Re: [FUGSPBR] OFF-TROPIC Segurança FREEBSD

Ronan Lucio ronanl em melim.com.br
Seg Jun 14 10:30:37 BRT 2004 

Jorge,

> Olá Amigos, gostaria da opnião de vocês, eu quando trabalho com
> servidores Linux,
> e na qual o foco principal seja segurança, um dos principais
> aprimoramento que utilizo
> e o grsecuriy,lids,... entre outros patchs para aumentar a segurança do

Sinceramente não sei o que o grsecuriy e o lids fazem  exatamente.

> kernel do linux,
> protegendo contra buffers, restrigindo acesso a dispositivos de memoria,
> etc...
> e no freebsd? oque eu posso fazer para aumentar a segurança do sistema?
> quais são as dicas?

O primeiro ponto a ser observado é que muitos dos bugs
existentes no Linux não existem no FreeBSD.
Isso que dizer que o que o grsecuriy e o lids fazem no Linux
talvez (penso: Muito provavelmente) não seja necessário no
FreeBSD, pelo menos a nível de SO.

Outra coisa é que muitas explorações de buffer overflow e
alguns tipos de DoS´s referentes à serviços se dão a nível
de aplicação e não a nível de SO.

Em suma isso quer dizer o seguinte:
1) Mantenha o sistema operacional atualizado
     Versões mais novas corrigem vários bugs das versões anteriores.
2) Mantenha os aplicativos atualizados
     Versões mais novas corrigem vários bugs das versões anteriores.
3) Fique ligado nos security advisories (www.freebsd.com.br)
     e em outros sites de segurança, principalmente nos sites dos
     desenvolvedores das aplicações as quais você utiliza.
4) Ferramentas como o snort dão uma boa força no aumento da
      segurança do servidor.
5) Existem algumas regras básicas de segurança como (particionamento,
     no suexec, contas, shells, desabilitação de serviços desnecessários,
     e etc.) que são muito importante de serem lidas e estão disponíveis
     em diversos sites pela Internet.
6) Não esqueça de um bom filtro de IPs
     Imagine a seguinte situação: Você tem um servidor de Banco de Dados
     rodando no seu servidor e surgiu uma nova falha de segurança bastante
     comprometedora.
     Imagine ainda que você está viajando (férias ou foi pra um congresso
     qualquer).
     Se terceiros não tiverem como acessar a porta TCP do seu servidor,
     eles não terão como invadí-lo explorando esta vulnerabilidade.

[]s
Ronan


_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd