[FUG-BR] Proteção

[Guilherme M. O.]

Ok, tentarei explicar melhor.

Preciso colocar um servidor em um local físico não confiável. Se a
pessoa tiver acesso físico ao servidor, ela não poderá fazer nada, no
máximo acessar um console sem permissão a nada.

Esse servidor hospeda a versão server de uma ferramenta case própria
que deve ser acessada por uma rede local, e somente esta porta estará
liberada no servidor, nenhuma mais (nada de ssh, ftp, nada).

Depois de configurado, teoricamente não há necessidade de realizar
manutenção no servidor. Porém ele deve acessar um servidor de
atualização situado em outra rede (interna também) e "auto-atualizar"
o OS e a ferramenta case (a ferramenta case, baixando o arquivo e os
scripts ela consegue se auto-atualizar. a questão da atualização do SO
sugerida pelo Alex Moura seria suficiente, creio eu) periodicamente
(para manter o servidor protegido de bugs e a ferramenta case sempre
com a versão mais nova.

Como são redes diferentes, e eu só tenho acesso a rede do servidor e
nada mais, o local fisico do servidor não é confiavel, eu precisaria
"proteger" o server contra acesso físico, de forma que se alguem
conseguisse acessar o console (se for possível, nem acessar o console
ele conseguiria), não conseguiria fazer nada.

A ferramenta case precisa de privilégios administrativos para rodar
(root) e recebe atualizações no mínimo semanais.


On 1/10/07, Victor Loureiro Lima <victorloureirolima em gmail.com> wrote:
> > Pessoal, Boa Tarde
> >
> > Estou precisando configurar para um projeto um servidor que precise de
> > um tipo meio "complexo" de segurança.
> >
> > Preciso que ele seja praticamente inacessível mesmo com acesso físico
> > a máquina (entendam por acesso fisico o acesso ao monitor e teclado),
> > e que ele busque atualizações apenas em outro servidor da minha rede
> > (nele, em nenhum outro). Eu iria configurar ele e então travar ele de
> > forma que nada mais precise ser mudado.
>
> Inacessivel por meio fisico e' coisa muito complicada, mas existem
> solucoes que ficam bem perto disso e que de repente funcionariam para
> voce. Acesso restrito a sala, em um predio com acesso restrito tbm,
> seguranca nos andares e etc, etc etc...
>
> >
> > Ele rodaria aplicações próprias, e eu precisaria atualizar essas
> > aplicações (elas tem um módulo próprio de atualização) e o SO em si,
> > mas tudo através apenas do servidor interno da minha rede.
>
> Isso e' facil de fazer de certa forma, faz um cabeamento de forma que
> o unico computador que ele esteja conectado seja o que contem as
> atualizacoes!!! (nota: A seguranca do computador que contem as
> atualizacoes e' critica para a seguranca do que esta' trancafiado -
> seus problemas acabaram de multiplicar por dois ;))
>
> >
> > Pensei em usar alguma distro linux e então o SE Linux. Mas então
> > pensei no FreeBSD, e como sou leigo no free, existe alguma "solução"
> > para esse caso?
>
> FreeBSD e' bem seguro, mas nao tem o foco de ser o mais seguro nao, no
> mundo dos BSDs sem duvida o mais seguro e' o OpenBSD (www.openbsd.org
> - codigos constantemente revisados, um codigo so' e 'incorporado ao
> source-tree depois de extensivamente auditado* e etc, tem mecanismos
> built-in e quase off-the-box que "realmente aumentam a seguranca" e
> etc... vale a pena verificar)
>
> >
> > Grato
> >
> > --
> > Guilherme M. O.
> Voce provavelmente vai ter que explicar mais sobre o seu problema,
> porque da forma com o voce colocou ficou um pouco vago para mim, de
> repente o freebsd pode ate' ser a melhor solucao para voce, mas com as
> descricoes que voce deu, qualquer sistema operacional bem configurado
> e gerenciado pode render o mesmo nivel de seguranca (salvo alguns S.O.
> :))
>
> att,
> victor loureiro lima
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Guilherme M. O.