Linux - As falhas de segurança

Introdução

Um sistema Linux é como um labirinto com muitas passagens. Cada passagem representa uma ligação desconhecida e portas de entradas com diferentes níveis de segurança.
Os vários meios de comunicação (protocolos, programas, ...) são responsáveis por violações de segurança. Na verdade, para se comunicar, elas abrem canais de comunicação, que se não for devidamente controlados, assegurados, podem representar uma porta de entrada para invasões e ataques.
Por exemplo, podemos citar algumas dessas falhas:

  • Bugs ou configuração incorreta e incompleta de DNS, de Sendmail, POP, IMAP, FTP DAEMON
  • Bugs ao nível de CGI ou configuração incorreta e incompleta do Apache
  • NFS, mountd ou SUN RPC (Remote Procedure Calls)
  • SNMP sobretudo a senha padrão
  • Inexistência de senha de acesso
  • Telnet
  • ...

Abaixo, nós vamos tentar de detalhar as falhas explicando como se proteger.

Senhas

Uma das falhas de segurança das mais comuns a todos os sistemas é a criação de senhas de baixo nível de complexidade, e até mesmo sua ausência. Para tanto, o administrador do sistema deve estar consciente da importância da criação de senhas com um grau alto de complexidade. A preconização geral é que, a senha respeite certo número de regras :

  • ele deve compor um mínimo de 8 elementos
  • deve conter caracteres, criptografados, caracteres especiais
  • deve conter caracteres maiúsculos e minúsculos
  • deve ser alterada regularmente. Instalação de um sistema de rotatividade de senhas
  • Não deve conter elementos do login

É possível por utilização de certo número de bibliotecas tais como passwd, cracklib em adição à PAM(Pluggable Authentification Modules). A biblioteca cracklib análise das senhas e determinar seu nível de complexidade.
PAM oferece funcionalidades complementares de segurança, por exemplo, editar o arquivo /etc/pam.d/passwd e adicionar:

passwd password requisite /usr/lib/security/pam_cracklib.so retry=3  
passwd password required /usr/lib/security/pam_pwdb.so use_authtok  

Estas linhas forçam o carregamento dinâmico destas bibliotecas com passwd .
PAM offre d'autres fonctionnalités qu'il est possible de découvrir sur les sites :

Portas abertas

Como descrito acima, qualquer sistema Linux é o centro de um labirinto onde os acessos são muitos. Na verdade cada serviço aplicativo instalado abre um número de portas para funcionar. A maioria destes programas são instalados por padrão no Linux e sua presença nem sempre é útil.
Para encontrar os serviços em execução, basta executar

#netstat -atuv  
Active Internet connections (servers and established)  
Proto Recv-Q Send-Q Local Address           Foreign Address         State  
tcp        0      0 localhost:mysql         :                     LISTEN  
tcp        0      0 *:netbios-ssn           :                     LISTEN  
tcp        0      0 *:www                   :                     LISTEN  
tcp        0      0 localhost:postgresql    :                     LISTEN  
tcp        0      0 *:microsoft-ds          :                     LISTEN  
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN  

Depois de ter sido determinada lista dos serviços indesejáveis, basta desinstalar todos eles.

Antigas versões de softwares

Linux está longe de ser perfeita, as vulnerabilidades são descobertas diariamente sobre a gama de software, serviços que hospeda. Para superar este problema, o administrador do sistema deve assegurar a atualização de software instalado para fazê-lo em seu mais recente lançamento e, assim, garantir a integridade do sistema e redução das vulnerabilidades e riscos de segurança.
Distribuições, tais como UBUNTU e GENTOO oferecem meios automáticos de atualização via as ferramentas emerge e apt-get. Par exemple :

Sous gentoo  
#emerge -Duvp world  
No  Ubutnu  
#apt-get  upgrade  

Configuração incorreta e incompleta de programas

A maioria dos programas instalados no Linux apresenta vulnerabilidades de segurança ligadas à:

  • Uma configuração incorreta
  • falhas de segurança nativas

POP e IMAP (salvo se encapsuladas em SSL), Telnet e Ftp apresentam um histórico abundante com as falhas de segurança que permitem as intrusões. É preconizado para isto de substituí-los por SPOP ; SIMAP, SSH e SSH SCP ou SFTP para suprir as lacunas e blindar o sistema, com isso.
Para resolver este problema, geralmente é recomendado:

  • Nunca lançar o servidor Web com uma conta privilégio, em root, é preferível utilizar uma conta simples para lançar o servidor Web, que disponha do mínimo em direitos de acesso para as necessidades do servidor.
  • Analisar CGI contra as vulnerabilidades: no momento do desenvolvimento, por exemplo, em C é recomendado utilizar funções tais fgets() que permite ao programador limitar o tamanho do cache e assim evitar os overflow.
  • Evitar estocar dados confidenciais ao nível dos servidores Web.
  • Evitar integrar dados confidenciais tais como os números de cartas de crédito nos URLs do servidor Web.

Recursos insuficientes e prioridades de segurança

Sistemas Linux estão presentes no coração de uma organização complexa e representam uma ferramenta que otimiza e facilita o trabalho das empresas. No entanto, em alguns casos, os requisitos organizacionais vão contra os princípios básicos da segurança do sistema, de modo que as normas e procedimentos de segurança são ignoradas em favor de demandas "mais importante".

É imperativo compreender as normas e procedimentos de segurança que devem ser integradas às prioridades das agências e que têm grande importância, porque as conseqüências de não implementação dessas normas e procedimentos podem ser muito graves.

É sempre aconselhável definir prioridades nos padrões de procedimento e de segurança para garantir a integridade do sistema.

Traduzido por Ana Spadari

Nosso conteúdo é produzido em colaboração com especialistas em tecnologia da informação sob o comando de Jean-François Pillou, fundador do CCM.net. CCM é um site sobre tecnologia líder em nível internacional e está disponível em 11 idiomas.
Este documento, intitulado 'Linux - As falhas de segurança ', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.

Assine nossa newsletter!

Assine nossa newsletter!