[FUGSPBR] OFF-TROPIC Segurança FREEBSD

Luiz Gustavo luizgustavo em myrealbox.com
Seg Jun 14 12:05:27 BRT 2004 

"Ronan Lucio" <ronanl em melim.com.br> writes:

> O primeiro ponto a ser observado é que muitos dos bugs existentes no
> Linux não existem no FreeBSD. Isso que dizer que o que o grsecuriy e o
> lids fazem no Linux talvez (penso: Muito provavelmente) não seja
> necessário no FreeBSD, pelo menos a nível de SO.

 Assim como certos bugs que afetem o FreeBSD nao afetariam o
 Linux(kernel).

> Outra coisa é que muitas explorações de buffer overflow e
> alguns tipos de DoS´s referentes à serviços se dão a nível
> de aplicação e não a nível de SO.

> Em suma isso quer dizer o seguinte:
> 1) Mantenha o sistema operacional atualizado
>      Versões mais novas corrigem vários bugs das versões anteriores.

 Essa dica nao engloba o famoso 0day.

> 2) Mantenha os aplicativos atualizados
>      Versões mais novas corrigem vários bugs das versões anteriores.

 Infelizmente tb nao suficiente.

> 3) Fique ligado nos security advisories (www.freebsd.com.br)
>      e em outros sites de segurança, principalmente nos sites dos
>      desenvolvedores das aplicações as quais você utiliza.

 Trabalho reativo.

> 4) Ferramentas como o snort dão uma boa força no aumento da
>       segurança do servidor.

 Nao necessariamente, IDSes consomem um tempo razoavel de tuning e
 ajuste de alarmes falsos. Eu os considero ferramentas interessantes,
 porem sem confiar demais.

> 5) Existem algumas regras básicas de segurança como (particionamento,
>      no suexec, contas, shells, desabilitação de serviços desnecessários,
>      e etc.) que são muito importante de serem lidas e estão disponíveis
>      em diversos sites pela Internet.

 Verdade.

> 6) Não esqueça de um bom filtro de IPs
>      Imagine a seguinte situação: Você tem um servidor de Banco de Dados
>      rodando no seu servidor e surgiu uma nova falha de segurança bastante
>      comprometedora.
>      Imagine ainda que você está viajando (férias ou foi pra um congresso
>      qualquer).
>      Se terceiros não tiverem como acessar a porta TCP do seu servidor,
>      eles não terão como invadí-lo explorando esta vulnerabilidade.

 O foco deve ser sempre se cercar o maximo possivel para nao deixar
 possiveis brechas e diminuir a catastrofe...

-- 
gustavo

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd