http://www.zago.eti.br/firewall/seguran.txt Comentarios, dicas, FAQ e indicações de pacotes e tutoriais relacionados a segurnça do sistema em geral.. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre veja neste diretorio (site) FAQ firewall.txt invasão.txt veja também no diretorio principal. log.txt virus.txt antivirus.txt Neste FAQ também mensagens sobre ataques, invasão, Hacker e Sistemas de Detecção de Intrusão ******************************************************** ****************************************************************************** Respondendo uma pergunta sobre SSH na Linux-br o Sr. Jorge Godoy escreveu: " Nenhum software é 100% seguro. O OpenSSH possui um alto grau de segurança se você sabe o que faz. Pode-se deixá-lo péssimo também... " ****************************************************************************** Algumas indicações: http://www.conectiva.com/doc/livros/online/10.0/servidor/pt_BR/ch15s09.html Detectando Incidentes de Segurança http://www.nbso.nic.br/tools/ Ferramentas pra segurança, proteção, analise de logs e muitas aplicações pra usar na rede. http://www.nbso.nic.br/index-po.html O NBSO é o Grupo de Resposta a Incidentes de Segurança para a Internet Brasileira, mantido pelo Comitê Gestor da Internet no Brasil. É o grupo responsável por receber, analisar e responder a incidentes de segurança em computadores envolvendo redes conectadas à Internet brasileira. Segurança, spam e problemas correlatos envolvendo speedy da Telefonica use o e-mail: security@telesp.net.br http://www.linuxsecurity.com.br Site do projeto Linux Security Brasil Muitos artigos sobre segurança, tem um boletim por e-mail com dicas sobre segurança que vale a pena assinar. Vulnerabilidades recomendo o link: http://www.securityfocus.com http://www.rnp.br/cais/alertas/ Boletim da RNP que divulga alertas de segurança em redes e sistemas. http://www.rnp.br/cais/listas.html formulario de cadastro para receber os boletins de alerta via e-amil ****************************************************************************** LINKS sobre assuntos relacionados a segurança. Comece por aqui... http://www.tldp.org/HOWTO/Security-HOWTO/ E não rode nada que não seja absolutamente necessário. nada. http://www.dicas-l.com.br/cursos/seguranca/index.htm "Seguranca em Redes Linux". apostila http://hannibal.vr9.com/apostila/apostila_pdf.zip http://www.linuxsecurity.com.br/info/unix/apostila.CIPSGA.zip http://www.cipsga.org.br/hannibal/index.html http://linux.sathi.com.br/article.php?sid=29 artigo sobre dsnif - pegar senha na rede documentos em HTML e PDF, em inglês sobre backup, invasão, virus e segurança: http://www.linuxsecurity.com.br/article.php?sid=5365 http://www.nic.br/docs/seg-adm-redes.html dicas para administrador de rede. http://www.sans.org/Top20_Portuguese.php as 20 vulnerabilidades mais comuns em redes. http://www.modulo.com.br/index.jsp FAQ, indicação de livros e artigos sobre segurança, muito material, alguns em inglês. http://neworder.box.sk Site em ingles, scripts, dicas e etc sobre linux, windows e etc... O forte é segurança, firewall, router essas coisas..... explora também o lado dos bugs e exploits.... http://www.thehacker.com.br Curso Hacker e Segurança, varios artigos sobre assuntos relacionados a invasão e defesa. http://cdm.frontthescene.com.br/ clube dos mercenarios, site muito de hacking, tem lista de discussão, artigos e outros assuntos..... http://www.yolinux.com/TUTORIALS/LinuxTutorialInternetSecurity.html site em ingles com dicas e tutoriais sobre: * Basic Security Steps / Overview * SSH: Secure Shell (encrypted telnet session) * PortSentry: monitoring network probes and hack attacks and stopping them. * Tripwire: monitoring your system for changes and questionable files. Performing A Security audit: * Chkrootkit: Hunt for trojan commands, worms and known exploits * NESSUS: Performing a network vulnerability scan/security audit of your system. http://www.linuxsecurity.com.br/article.php?sid=8019 Novo "ranking" (Top 6) de ferramentas de segurança pela SecurityFocus disponibilizado através de seu boletim semanal... ************************************************************************ linuxsecurity -> [ Disk Encryption HOWTO v1.1 ]   HOWTO escrito por David Braun, descrevendo um método para criptografia de HD, tanto de todo o disco rígido quanto apenas de partes dele, com a chave criptográfica armazenada em uma mídia externa como forma de aumentar a segurança... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=7829 -> [ chkrootkit 0.42b ]   Nova versão disponível ... Chkrootkit é um Shell script desenvolvido por Nelson Murilo e colaboradores que checa a existência de rootkits instalados em sua máquina através de comparações com "assinaturas" singulares dos mais comuns... Foi testado com sucesso nas seguintes plataformas: Linux 2.0.x e 2.2.x e 2.4.x (Qualquer distribuição), FreeBSD 2.2.x, 3.x e 4.x,  OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0 e 3.1, Solaris 2.5.1, 2.6 e 8.0... Ferramenta INDISPENSÁVEL... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=8037 ___ -> [ Top 6 de Ferramentas de Segurança pela SecurityFocus ] Novo "ranking" (Top 6) de ferramentas de segurança pela SecurityFocus disponibilizado através de seu boletim semanal... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=8038 ************************************************************************ DICAS: Evite fazer as coisas como root, quando necessário os privilégios de root para instalar ou configurar algo no sistema, execute "su ou su -" e quando terminar volte a ser usuario comum digitando exit, com isto evita que um programa com bug possa causar danos ao sistema, que um script provoque estrago em todo o sistema, que um comando errado pode parar o sistema ou danificar area de outros usuarios ou do sistema e evita a propagação de um possível virus, trojan e coisas do genero. ****************************************************************************** Roubo online dá mais prejuízo que fraude SÃO PAULO - No ano passado, as empresas perderam mais dinheiro com o roubo de informações confidenciais do que com fraudes financeiras, principalmente por causas de problemas de segurança tecnológica, apurou um levantamento comandado pelo FBI e pela Computer Security Institute (CSI). (11/04/2002, 14h56) fonte: http://www2.uol.com.br/info/aberto/infonews/ti/index.shl ****************************************************************************** 29/07/2003 - 14h49 Mais de 50% dos demitidos roubariam dados de ex-empregadores da Folha Online Mais da metade dos trabalhadores do Reino Unido usariam o livre acesso aos sistemas de antigos empregadores para se vingar da empresa caso julgassem sua demissão injusta. Foi o que apontou um estudo realizado pela fabricante de software Novell, noticia na integra em: http://www1.folha.uol.com.br/folha/informatica/ult124u13514.shtml ****************************************************************************** -> [ Best practices for accepting user data ]   Artigo escrito por David A. Wheeler e disponibilizado através da IBM Developer works, com informações a respeito da validação de entrada de dados em programas, uma das primeiras linhas de defesa de qualquer programa seguro... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=8013 ****************************************************************************** -> [ Flawfinder 1.24 ]   Flawfinder é uma alternativa livre/Open Source (GPL) ao conhecido ITS4 que realiza varreduras em códigos de programas, identificando falhas de segurança em potencial, organizando as mesmas baseando-se no nível de perigo... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=8012 ****************************************************************************** -> [ samhain 1.8.0 ]   samhain é uma ferramenta para checagem da integridade de sistemas que pode, opcionalmente, ser utilizado como uma aplicação cliente/servidor para monitoramento centralizado de estações em rede, onde arquivos de banco de dados e configurações podem ser armazenados no servidor... Em adição à possibilidade de envio de reports para o servidor de logs através de conexões TC/P/IP autenticadas, diversas outras facilidades relacionadas a logging (como email, console, syslog, etc) estão disponíveis... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=8010 ___ ****************************************************************************** ****************************************************************************** ****************************************************************************** The Linux Security Quick Reference Guide --------------------------------------------------------------------- Em http://www.LinuxSecurity.com/docs pode ser encontrado um guia rápido de referência para sistemas Linux. Este guia, formatado em duas páginas, tem por objetivo oferecer um ponto de partida para aperfeiçoar a segurança de sistemas GNU/Linux. O guia inclui também referências sobre: - Links sobre segurança disponíveis na Internet - Dicas para melhorar a segurança de seu sistema - Informações gerais sobre segurança - BIND, kernel, Apache e detecção de invasões - Instalação e configuração do SSH - Dicas de uso do programa Tripwire O guia está disponível em múltiplos formatos e tamanhos: carta, A4, postscript, PDF. Esta documentação faz parte do projeto de documentação do Linux (http://www.linuxdoc.org/ ). Ainda sobre segurança, um excelente site, este da Unicamp, é o http://www.security.unicamp.br . Vale a pena fazer uma visita. Links, documentos, recomendações. Bastante completo. --------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 10787 assinantes. Para sair ou assinar a lista Dicas-L, consulte o documento que se encontra em http://www.Dicas-l.com.br/FAQ.html. ****************************************************************************** Mandamentos de segurança - Adaptado por Adriano Caetano (RosS) - E-mail: ano2001@sti.com.br Planejamento: 1. Identifique o que você precisa protejer. 2. Escolha as prioridades para segurança. 3. Especifique normas para emergências. 4. Eduque seus usuários. Usuários/Senhas 1. Certifique-se que cada usuário tenha uma conta individual. 2. Confirme se cada usuário possui senha. 3. Verifique se sua instalação pode rejeitar senhas com menos de 6 caracteres. 4. Consiga e rode programas que tentam achar senhas frágeis. (Crack, Cracklib). 5. Considere a possibilidade de usar programas que geram senhas. 6. Nunca transmita senhas por telefone ou e-mail. 7. Certifique-se que o arquivo de senhas só pode ser lido pelo "root". 8. Considere a possibilidade de trocar as senhas em intervalos regulares. Root 1. Iniba a entrada do "root" de qualquer terminal (deixe, no máximo, a console). 2. Entre com sua conta comum e então use "su" para tornar-se "root". Sistema de Arquivos 1. Procure por programas que tenham SUID/SGID ligados. 2. Procure por arquivos com permissão para gravação, que são disparados por alguma ferramenta específica (.exrc, .profile, .pinerc, .kshrc, .login, /etc/sendmail.cf, /etc/profile, etc). Contas de Usuários 1. Remova contas inativas. 2. Use rksh ou rsh quando necessário. 3. Certifique-se que todas as contas tem senha. 4. Evite criar contas pra rodar um único programa. 5. Jamais crie outras contas com id 0 (mesmo do root). Dados 1. Faça cópias de segurança regularmente. 2. Certifique-se que as cópias poderão ser recuperadas numa emergência. 3. Use mecanismos de veficação de integridade de programas e arquivos. (por exemplo checksum md4/5 ou pdf) 4. Certifique-se que os sistemas de arquivos tem as permissões corretas. 5. Não habilite SUID/SGID em scripts (shell ou perl). 6. Elimine as permissões de gravação nos "devices" dos terminais, "pseudo terminais" principalmente. 7. Certifique-se que os arquivos começados com "." não tem permissão pra gravação por ninguém. 8. Remova todos os shells (csh, zsh, ash, etcsh) que não estiver usando. 9. Considere rodar regularmente programas que identificam falhas de segurança no Unix, tais como COPS, Tiger, Medusa, etc. 10. Guarde uma listagem dos programas que tem SUID/SGID e compare-a com cada nova verificação. 11. Remova TODOS os utilitários que não forem necessários na máquina, tais como: cc, perl, awk, etc. Arquivos de Logs 1. Rode o comando "last" e "who /var/adm/wtmp" regularmente. 2. Verifique os arquivos de auditoria regularmente. 3. Verifique o arquivo sulog. 4. Verifique os arquivo gerados pelos Daemos com: xferlog (ftpd) syslog (syslogd) messages (syslogd) access_log (httpd) OBS: o /etc/syslog.conf permite uma grande varideade de possibilidades de log, e de arquivos para contê-los. Ameaças 1. Nunca instale software desconhecido, sem os fontes para exame. 2. Evite usar scripts com SUID/SGID, examine data e permissões. 3. Jamais coloque "." na variável de ambiente PATH do "root". 4. Vefique periodicamente os arquivos de rc e data de modificação de programas. 5. Examine a variável de ambiente PATH de todos os scripts que for executar. 6. Garanta que nenhum programa com SUID/SGID permita saída para o shell. 7. Examine os programas que permitem passar o usuário com parâmetro. Ameaças via Rede 1. Examine o /etc/hosts.equiv e todos os .rhosts, caso você deseje usar os comandos "r" (rlogin, remsh (rsh), rexec, rcp, retc :-). NOTA: este recurso é altamente condenado, no aspecto segurança. 2. Desabilite TODOS os recursos de rede que NâO estiver usando. 3. Substitua (se quiser manter habilitado) o fingerd, por uma versão segura. 4. Verifique (e instale) a versão mais recente do Sendmail. 5. Desabilite, se possível, o serviço de TFTP. (Candidato a serviço mais inseguro). 6. Certifique-se que a versão do FTP anonymous é segura. 7. Jamais coloque o mesmo arquivo /etc/passwd no diretório do ftp anonymous. 8. Jamais crie diretórios cujo dono seja o usuário "ftp" (serviço FTP). 9. Desabilite o serviço de NFS para máquinas remotas. 10. Use um POPD que tenha arquivo de senhas próprio, ou ao menos permita desconexào após n (poucas) tentativas. 11. Remova o programa phf do diretório .../httpd/cgi-bin. (serviço http). 12. Remova também os programas test-cgi e nph-test-cgi diretório .../httpd/cgi-bin. (serviço http). 13. Jamais coloque algum interpretador (perl, csh, ksh, etc) no diretório .../httpd/cgi-bin (serviço http). 14. Não crie links que usem o perl ou shell para disparar programas. Segurança em Roteadores 1. Troque ou cadastre uma senha no roteador antes de ligado definitivamente à Internet, seguindo as mesmas regras para senhas de usuário. 2. Desabilite, se possível, o acesso remoto ao 'login' do roteador. 3. Desabilite os serviços internos (chargen, echo, etc). 4. No caso de roteadores Cyclades, troque não só a senha de fábrica como também o nome do superusuário. 5. Desabilite todos os protocolos desnecessários (RIP, BGP, etc). ****************************************************************************** Seguranca do Sistema de Arquivos --------------------------------------------------------------------- Verificar falhas de seguranca no sistema de arquivos e outra tarefa importante do administrador. Primeiramente devem ser identificados os arquivos que podem ser alterados por usuarios nao autorizados, arquivos que podem involuntariamente dar permissoes excessivas a usuarios e arquivos que possam fornecer acesso a invasores. E importante tambem monitorar modificacoes no sistema de arquivos e possuir mecanismos que permitam a volta do sistema ao estado original. O comando find e um comando de proposito geral para pesquisar o sistema de arquivos. O comando # find / -type f -a \( -perm 0400 -o -perm 0200 \) -print localiza todos os arquivos do sistema com os bits setuid ou setgid ligados. A saida deste comando deve ser analisada para determinar se nao existe algum arquivo suspeito na lista. O comando # find / -perm -2 -print identifica todos os arquivos com permissao de escrita universal. O comando # find / -nouser -o nogroup -print identifica arquivos que nao pertencem a nenhum usuario ou a nenhum grupo. Imediatamente apos a instalacao de um sistema, deve-se gerar um arquivo que liste a configuracao inicial dos arquivos do sistema: # ls -aslgR /bin /etc /usr >> MasterChecklist Este arquivo contem uma lista completa de todos os arquivos nestes diretorios. As linhas referentes a arquivos que mudem frequentemente devem ser removidas do arquivo. O masterchecklist deve ser guardado em um local seguro para evitar adulteracoes. Para pesquisar alteracoes no sistema de arquivos, execute o comando acima novamente e compare-o com o arquivo mestre: # diff MasterChecklist Currentlist Outro aspecto muito importante e a realizacao de backups frequentes do sistema de arquivos. Backups nao apenas protegem contra falhas de hardware mas tambem contra delecoes acidentais. ****************************************************************************** Monitoracao da Seguranca --------------------------------------------------------------------- Uma das tarefas do administrador de sistemas e a monitoracao da seguranca. Esta tarefa envolve o exame de arquivos de log para detectar acessos nao autorizados, bem como a monitoracao de falhas de seguranca. Nos paragrafos que se seguem, os nomes e localizacao dos arquivos mencionados referem-se a sistemas SunOS. A localizacao e mesmo o nome dos comandos pode variar de sistema para sistema. Os conceitos apresentados todavia se aplicam a qualquer sistema Unix. As contas devem ser monitoradas periodicamente de modo a verificar dois eventos: usuarios que logam quando nao devem (por exemplo, tarde da noite ou quando estao de ferias) e usuarios executando comandos que normalmente nao deveriam usar. O arquivo /usr/adm/lastlog registra o login mais recente de cada usuario do sistema. A mensagem impressa no terminal a cada vez que um usuario loga Last login: Sat Mar 10 10:50:48 from ccvax.unicamp.br usa a data armazenada no arquivo lastlog. A data do ultimo login relatada pelo comando finger tambem usa estes dados. Os usuarios devem ser alertados a inspecionar esta data para certificarem-se de que nao foi efetuado nenhum acesso nao autorizado as suas contas e, caso positivo, a alertar o administrador de sistemas para o ocorrido. O arquivo /etc/utmp e usado para registrar quem esta logado no sistema no momento. Este arquivo pode ser exibido atraves do comando who: % who edmar pts/29 Oct 02 08:59 (uninetgw.unicamp) ruben pts/31 Oct 02 10:30 (scon.cmp.unicamp) lilliam pts/32 Oct 02 14:30 (naomi.cmp.unicam) dgrhint pts/34 Oct 02 14:29 (dgrh-gw.unicamp.) Para cada usuario e exibido o userid, o terminal sendo utilizado e o computador remoto(se o login foi efetuado via rede). O arquivo /usr/adm/wtmp registra as datas de login e logout de cada usuario. Este arquivo tambem pode ser examinado atraves do comando who: % who /usr/adm/wtmp pinheiro pts/8 Oct 02 14:34 (scon.cmp.unicamp) mvs pts/17 Oct 02 14:35 (143.106.44.68) rosana pts/17 Oct 02 14:37 (ccts13.unicamp.b) enavega pts/41 Oct 02 14:39 (uninetgw.unicamp) eduardof ftp5164 Oct 02 14:39 (recife.cmp.unica) ... Uma linha que contem o userid indica a hora em que o usuario logou; uma linha que nao contem o userid indica a hora em que o usuario desconectou-se do sistema. Infelizmente a saida deste comando e raramente exibida como acima. Se varios usuarios logaram ao mesmo tempo os tempos de login e logout ficam misturados e precisam ser ajustados manualmente. O arquivo wtmp pode tambem ser examinado manualmente atraves do comando last. Este comando ordena as entradas no arquivo, casando os tempos de login e logout. Se invocado sem argumentos, o comando last exibe toda a informacao contida no arquivo. O arquivo acct registra a execucao de cada comando no sistema, quem o executou, quando e quanto tempo gastou. Esta informacao e registrada cada vez que um comando e completado. O arquivo acct pode ser examinado atraves do comando lastcomm. Se invocado sem argumentos toda a informacao do arquivo e exibida. O comando lastcomm aceita como argumentos o nome de um comando, de um usuario ou de um terminal. A monitoracao da seguranca da rede e mais dificil, porque existem inumeros mecanismos que um invasor pode utilizar para penetrar no sistema. Existem entretanto alguns programas que auxiliam nesta tarefa. O syslog e um mecanismo que permite que qualquer comando registre mensagens de erro e informativas na console do sistema e/ou em um arquivo. Normalmente mensagens de erro sao gravadas no arquivo /usr/adm/messages juntamente com a data e hora em que foram enviadas pelo programa que as gerou. De particular interesse sao as mensagens geradas pelos programas login e su. Sempre que alguem loga como root o comando login registra esta informacao. Normalmente, logar diretamente como root deve ser desencorajado, visto ser dificil identificar quem esta realmente utilizando a conta. Uma vez que esta possibilidade tenha sido desabilitada identificar violacoes de seguranca se resume a analisar o arquivo de mensagens procurando as mensagens geradas pelo comando su. Outro tipo de evento a ser monitorado sao pessoas tentando insistentemente logar em determinada conta e nao conseguindo. Apos tres tentativas o programa login nao mais permite que a pessoa tente novamente. O programa su registra o sucesso ou o fracasso da operacao. Estas mensagens podem ser usadas para verificar se os usuarios estao compartilhando suas senhas bem como identificar um invasor que conseguiu uma conta e esta tentando utilizar outras. O comando showmount pode ser usado em um servidor NFS para exibir o nome de todas as maquinas que estao montando algum de seus diretorios. Se invocado sem opcoes o programa simplesmente exibe uma lista de todos os computadores. Com as opcoes -a e -d a saida e mais util. A opcao -a faz com que o comando showmount liste todos as combinacoes de computadores e diretorios: % showmount -a apoio.cmp.unicamp.br:/pub/pub6/linux/slackware/slakware aracati.cmp.unicamp.br:/home aracati.cmp.unicamp.br:/home/cesar atibaia.dcc.unicamp.br:/pub/pmarumbi.dcc.unicamp.br:/pub/pub3 atlanta.unicamp.br:/usr/local cravo.apoio.cmp.unicamp.br:/usr/local escher.dcc.unicamp.br:/pub/pub3 % showmount -d /amanda /home /home/cesar /pub/pmarumbi.dcc.unicamp.br:/pub/pub3 /pub/pub3 /pub/pub6 /pub/pub6/linux/slackware/slakware /usr/local /usr/local/bin Sera exibida uma linha para cada diretorio montado por uma maquina. A opcao -d faz com que seja exibida uma lista de todos os diretorios que estao montados por alguma maquina. Deve ser verificado que apenas maquinas locais montem os diretorios exportados e que apenas diretorios normais estejam sendo montados. ****************************************************************************** > Eu gostaria de saber como eu faco para obter o maximo de protecao > contra invasoes apenas atraves de configuracao de arquivos do linux, > sem firewall ou coisa parecida, apenas mexendo nos arquivos de > configuracao do linux. Edite o arquivo /etc/inetd.conf e comente todas as entradas menos a do "auth". Isto já te garante um mínimo de proteção. Edite, também, o arquivo /etc/hosts.allow e o hosts.deny incluíndo, respectivamente, os hosts que podem e não podem usar os serviços locais da máquina. E aproveitando que você já está no diretório /etc veja como se faz e crie o arquivo /etc/porttime colocando os dias e horários em que as pessoas estão autorizadas a usar este micro (por exemplo, das 8:00 as 17:00 nos dias de semana). Ah! Depois de editar o inetd.conf dê um 'killall -HUP inetd' para que ele seja re-inicializado com as novas configurações. Ok? ****************************************************************************** Lock Screen --------------------------------------------------------------------- Muitos usuarios tem por habito abandonar seu local de trabalho e seus computadores por longos periodos de tempo. Isto pode ter graves consequencias. Alguem pode se aproveitar de sua ausencia e enviar mensagens difamatorias em seu nome, apagar seus arquivos, etc, etc, etc. Para minorar estes problemas, existem programas que, apos determinado tempo de inatividade, travam a tela do seu computador, exigindo que se digite a senha para se retomar as atividades. No ambiente AIX existe o programa xss que realiza estas tarefas. O ambiente desktop CDE (Common Desktop Environment), agora distribuido juntamente com varios sistemas operacionais (Solaris, AIX, e outros) tambem oferece a possibilidade de se configurar esta facilidade. Caso nao exista em seu sistema uma facilidade como o xss ou o CDE, nunca se esqueca de ativar o programa xlock, este ja mais difundido, sempre que se ausentar de sua mesa por periodos mais prolongados. O importante entretanto e lembrar que nunca se deve deixar sua casa (no caso, seu computador) com as portas totalmente abertas sem ninguem para tomar conta. Alguem pode entrar e fazer um tremendo estrago. ----------------------- ****************************************************************************** Eu ia escrever um monte e coisas mas estou com sorte, veja os artigos em : http://linuxtoday.com/ http://www.bastille-linux.org/jay/ http://www.bastille-linux.org/jay/security.html http://www.securityportal.com/cover/coverstory20000731.html http://www.securityportal.com/topnews/tighten20000720.html http://securityportal.com/topnews/os20000417.html E um dos programas que eu gosto muito é o Bastile(http://www.bastille-linux.org/), ele pode lhe ensinar muito sobre o que um administrador de sistemas deve fazer para deixar o seu sistema mais seguro, apesar que agora eu estou brincando com o meu sistema sem a ajuda dele :P Não é só vc que esta com este tipo de problema, eu estou e mais um monte de usuários de internet que utilizam cable-modens que já estão "se acostumando" em servir MP3 usando programas como o gnome-napster, gnapster, napster e outros incluindo o IRC(não é o meu caso, eu só pego não sirvo :PPP ). Quanto ao seu problema de "reinstalar o sistema e mesmo assim ele consegue entrar" , na minha opinião, vc esta fracassando em administrar o seu sistema, o Linux não tem nada haver com as suas falhas. Por um acaso vc esta modificando as senhas do sistema a cada vez que vc reinstalou ele??? Vc por um acaso costuma utilizar senhas tipo "palavras, data de nascimento etc" em vez de senhas como "StDb7x9-Kq5b1Apd8D" ????? Vc tem absoluta certeza que ele realmente consegue entrar tão rápido no seu sistema assim como vc falou???? Para se conseguir "sequestrar" um sistema dependendo do nível de segurança leva-se de uma semana a até meses de tentativas e estudos, se o cracker não for um "divino" com poderes "mentais" para adivinhar a senha do seu sistema, então o invasor vem de dentro da sua empresa! Faça uma analize dos logs, mande para a lista se vc achar conveniente, talvez poderemos lhe ajudar. ****************************************************************************** Olha aí. Aqui vai o endereço de uma página onde pode-se baixar em pdf ou postscript uma página (frente e verso) para a4 ou carta com dicas e diretivas muito interessantes (pra mim, pelo menos :-) sobre práticas de segurança no gnu/linux. www.linuxsecurity.com/articles/documentation_article-1208.html Abraço ****************************************************************************** listas sobre segurança Como este é um assunto que pode interessar todo mundo, aqui vão algumas que eu conheço 8lgm-list-request@8lgm.org - Muito boa, os pessoal discute detalhadamente sobre brechas de segurança, e junk mail não é permitido. Pra se increver, escreve subscribe 8lgm-list no corpo do email linux-security-request@redhat.com - Dispensa comentários, pra se increver escreva subscribe no corpo linux-alert-request@redhat.com - Uma bem legal se vc tem um interesse comercial em linux pra entrar, escreve subscribe no corpo majordomo@uow.edu.au - Lista de discussão de técnicas de invasão, redes neurais, eu gosto muito dessa, pra vc entrar subscribe ids no corpo majordomo@lists.gnac.net - Esta é especifica de firewalls, pra entrar subscribe firewalls listserv@listserv.ntbugtraq.co - Praticamente obrigatória na minha opinião, pra entrar subscribe ntbugtraq majordomo@applicom.co.il - Lista do Firewall-1 da CheckPoint, é boa.. Pra entrar SUBSCRIBE firewall-1 listserv@etsuadmn.etsu.edu - Outra de segurança pra entrar, SUB infsec-1 endereço@de.email majordomo@toad.com - Lista de hackers, todo cuidado é pouco quando falar em private nesta , pra entrar SUBSCRIBE firewall-wizards@nfr.net - Essa o nível é um pouco mais avançado, pra se inscrever vá em htttp://www.nfr.net/forum/firewall-wizards.html win2ksecadvice@listserv.ntsecurity.net - Lista de segurança no windows 2000, muito boa pra entrar manda um email pra listserv@listserv.ntsecurity.net com o comando SUBSCRIBE win2ksecadvice howto@listserv.ntsecurity.net - Lista quase obrigatória também vulnerabilidades do NT discutidas até o fim , pra entrar manda um email para listserv@listserv.ntsecurity.net com SUBSCRIBE howto no corpo alert@iss.net - Lista da iss, essencialmente comercial, pra entrar vá em http://www.iss.net/vd/maillist.html#alert bugtraq@netspace.org - Outra quase obrigatória, vulnerabilidades de Unix, pra entrar escreva SUBSCRIBE BUGTRAQ no corpo Modero a security-net. Para se inscrever, mande mail em branco para: security-net-subscribe@egroups.com Dêem uma olhada no site http://www.securenet.com.br/ estreou no dia 22 www.sekure.org em portuga. entre em www.securityfocus.com Se alguem tiver algum problema muito dificil de resolver que nao estiver encontrando solucao na lista pode tentar mandar um email EM INGLES para Helpdesk Staff na parte de howto da pagina da tucows: http://howto.tucows.com/ Ajuda nunca eh demais. ****************************************************************************** Visite: http://www.linuxsecurity.com.br/renato/obscurity.html > Como eu faco para mudar ou esconder a versao dos meus programas... > Ex. quando alguem olhar a versao do meu sendmail, ira aparecer uma versao > diferente da q esta rodando ****************************************************************************** Um artigo interessante sobre como descobrir os rastros deixados por um invasor no sistema: http://www.sunworld.com/sunworldonline/swol-07-2000/swol-0721-security.html ****************************************************************************** Se a instalação padrão de algumas distribuições deixam a desejar no quesito segurança, pelo menos temos como "fechar" o nosso Linux depois de completa a instalação. Um dos muitos artigos explicando como fazer isto pode ser encontrado no endereço abaixo: http://www.net-security.org/text/articles/default.shtml ****************************************************************************** [-LinuxSecurity Brasil Diario-<03/09/00>-] > +-----------------------------+ > --| LinuxSecurity Brasil Diario |-- > +-----------------------------+ > veiculado a 284 membros cadastrados > > > > > > -=-=-=-=-=-=-=- Anuncio -=-=-=-=-=-=-=- > > Faça parte do Grupo Nacional de Usuarios GNU/Linux - BRASIL > > Inscreva-se : > > http://www.cipsga.org.br/apoio.html > > -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- > > o Materias postadas: > -------------------- > > -=[ Ipfilter 3.4.10/4.0alpha14 ]=- > > > -> Novos lançamentos do Ipfilter por Darren Reed, versões da série 3.4 e 4.0alpha... Da série 3.4 mudanças incluem correções ICMP, geração RST e problemas para o script plog... Já a versão alpha foi testada com IRIX 6.2, mas o autor não tem certeza de seu funcionamento correto... > > URL: http://www.linuxsecurity.com.br/article.php3?sid=448&mode=&order=0 > > > -=[ FAQ de Segurança WWW ]=- > > > -> Atualizado o FAQ original da W3C (em inglês) que procura responder algumas das mais frequentes questões relacionadas a implicações de segurança na utilização de um servidor web e navegadores web... > > > URL: http://www.linuxsecurity.com.br/article.php3?sid=449&mode=&order=0 > > > -=[ Shadow Password Suite 20000902 ]=- > > > -> Shadow Password Suite inclui programas necessários para converter arquivos de senhas tradicionais V7 UNIX para o formato SRV4 Shadow, alem de conter programas adicionais para manter arquivos de senhas e grupos (que trabalham tanto com arquivos de senhas shadow ou não shadow)... > > URL: http://www.linuxsecurity.com.br/article.php3?sid=450&mode=&order=0 > > > -=[ Uso de ICMP para Scanning ]=- > > > -> Nova versão do documento da sys-security group (em inglês) de Ofir Arkin, com uma descrição mais do que completa da utilização de ICMP para diversos tipos de scanning (varreduras), mapeamento de topologias alem de várias características de segurança ligadas ao protocolo... Documento disponível nos formatos PDF e PS... > > URL: http://www.linuxsecurity.com.br/article.php3?sid=451&mode=&order=0 > > > -=[ FAQ de Segurança Sun/Solaris ]=- > > > -> Recentemente atualizado o conhecido FAQ de segurança da SunWorld (em inglês) com informações gerais à respeito de segurança no sistema operacional Solaris como patches, ferramentas para uso geral, diveras fontes de informações no assunto e muito mais... Leitura obrigatória a qualquer administrador Solaris... > > > URL: http://www.linuxsecurity.com.br/article.php3?sid=452&mode=&order=0 > > > -=[ PAM ]=- > > > -> Mais um excelente artigo de Kurt Seifried, dessa vez através da Sysadmin Magazine (SAMAG) (em inglês) sobre PAM (Pluggable Authentication Modules)... > > URL: http://www.linuxsecurity.com.br/article.php3?sid=453&mode=&order=0 > > > -=[ BIRD 1.0.3 ]=- > > > -> BIRD é um daemon de roteamento dinâmico para sistemas UNIX... Suporta todos os protocolos de roteamento utilizados atualmente na Internet, como BGP, OSPF, RIP (e seus variantes IPv6 com exceção de OSPFv3 que está sendo desenvolvido)... Possui configuração extremamente flexível e uma linguagem para filtro de rotas... Na nova versão OSPF trabalha melhor em redes NBMA... > > URL: http://www.linuxsecurity.com.br/article.php3?sid=454&mode=&order=0 > > > -=[ rc.firewall 4.0 ]=- > > > -> rc.firewall é um script para firewall baseado em IPCHAINS com grande suporte a serviços de rede (incluindo NFS, IPSecc, VPN, Proxy, etc), masquerading, port forwarding (incluindo definições para jogos em rede), e IP accounting... Proteções do script incluem anti-spoofing, vários DoS, ataques smurf, portscans e muito mais... Diversas interfaces de rede também são suportadas pelo script... Nova versão do script possui várias adições, dentre elas suporte a interfaces virtuais, múltiplas subnets privadas, transferências de arquivo pelo ICQ, ICP para o squid, DirectX, etc, além de uma checagem do estado das interfaces (ativa, não ativa) adicionada... > > > URL: http://www.linuxsecurity.com.br/article.php3?sid=455&mode=&order=0 > > > -=[ Análise IDS: Nmap e Queso ]=- > > > -> O propósito desse artigo é o de ajudar os especialistas em detecção de intrusos e administradores de firewall a identificar scans provenientes das ferramentas NMAP e QUESO... Artigo da SecurityFocus por Toby Miller (em inglês)... > > URL: http://www.linuxsecurity.com.br/article.php3?sid=456&mode=&order=0 > -------------------- > A LinuxSecurity Brasil agradece a oportunidade de poder difundir > noticias de seguranca para toda a comunidade brasileira... > Caso nao deseje mais receber esse email ou o esteja recebendo por engano, > entre em contato atraves do email renato@linuxsecurity.com.br... > > > Gratos pela atencao, > Equipe LinuxSecurity Brasil > http://www.linuxsecurity.com.br > http://www.unixsecurity.com.br ****************************************************************************** > Na revista PC Master ano 3 nr 9 Edicao 33 > Veio um CD com o Conectiva Linux Edicao servidor 4.2 e tambem um > script "configurador de seguranca" chamado "bastille". > Este "bastille" faz um montao de perguntas e depois configura o ipchains > restringindo acesso a um monte de coisas, pra voce ter uma ideia eu > so consiga usar o comando 'ping' na minha maquina estando logado > como root e de outra maquina nao consigo nem "pingar" na minha maquina > (nem telnet, nem ssh, nem ...), o arquivo host.allow passou de zero p/ > 4779 bytes. > Tem restricao pra tudo ... > Se voce quiser eu te mando o arquivo de configuracao > *mas ele eh grande*. > Alguns dias atras muitas pessoas nos pediram p/ enviar o arquivo acima citado. Criamos uma area de ftp na nossa pagina e estaremos disponibilizando algumas solucoes p/ Linux nela. Pra quem quiser : ****************************************************************************** De: Antonio-F-Zago Para: zagolinux@uol.com.br Assunto: [Fwd: [ginux-l] Re: Seguranca] Data: 02 Jul 2002 14:54:51 -0300 De: Humberto L Jucá Responder-a: ginux-l@comp.ufla.br Para: ginux-l@comp.ufla.br Assunto: [ginux-l] Re: Seguranca Data: 02 Jul 2002 12:07:49 -0400 Qdo o lance é segurança a coisa é mais complicada do que parece. Se inscreva na lista de discussão l-security para saber sobre vulnerabilidades e atualizações. Para saber as portas abertas no seu server vc pode fazer assim: netstat -antu Para saber quem é responsável pela porta: netstat -antup Ps.: O lsof -i tb te mostra dados relativos a portas e arquivos abertos relacionados a acessos remotos. Como se trata de um servidor ppp, "o que é quase regra": - Não utilize o wu-ftpd como servidor de ftp (estara se arriscando atoa) - Não disponibilize o NFS - Não ative o portmap (lembrando que o NFS precisa dele) - Se vc utiliza o X, rode com -nolisten tcp (fecha a porta 6000) - Um conselho: naum deixe que sinais de ping e traceroute cheguem ao server É interessante utilizar ferramentas de auditoria (ou IDS) como tripwire e snort. Eu uso o Mdk 8.2 e ele já adota uma vericação de portas abertas ontem e hoje e arquivos com suid ontem e hoje. Como portscanner (verificação remota) vc pode usar o nmap ou nmapfe -------------------------------------------------------------- GINUX-L: Lista de Discussao Sobre Linux Para se desinscrever, envie e-mail para ecartis@comp.ufla.br com a mensagem "unsubscribe ginux-l" no corpo ou assunto do e-mail -------------------------------------------------------------- ****************************************************************************** De: Dorian Bolivar Para: Hadad Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) duvidas com owner de logs e dirs Data: 28 Aug 2002 00:45:36 -0300 At 01:28 27/8/2002 -0300, Hadad wrote: [...] essa delegacao de permissoes esta correta? devo continuar agindo assim ou dessa maneira estou compromentendo a seguranca ao usar o root nesse esquema? Pessoalmente não vejo como comprometer a segurança com esse seu esquema. Haveria um risco de segurança se: o syslog estiver rodando como root && estiver aberto a conexões externas && existir um exploit nele. Por isso, atualmente, serviços como o Apache (httpd) e a maioria dos MTAs NÃO rodam como root (i.e., os arquivos que eles precisam escrever, como consequência, não podem ter owner root). Para melhorar o seu esquema, além de setar os owners como root é fundamental deixar as permissões dos arquivos bem restritas (chmod), e ainda fazer rotacionamento de logs com envio automático para um local seguro, distante da máquina em questão. -- []s, Dorian ****************************************************************************** De: zgrp@zipmail.com.br Para: henrique Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Modo "Promisc" !!! Data: 28 Aug 2002 15:13:48 -0300 Ola Ribeirao Pretano, :p ps.: Eu tmb sou daí, da terrinha! hehehe :) >Pessoal , eu estou utilizando o snort e notei que quando ele inicia , ele coloca as minhas placas de rede em modo "PROMISC" isso estaria me trazendo algum risco de segurança para a minha maquina ??? Ok. O snort eh um sniffer. Para ele poder sniffar a rede (e nao somente o fluxo para a sua maquina) ele prescissa estar em modo promiscuo. Se vc sniffar a rede sem estar em modo promiiscuo, vc apenas podera analisar o trafego que eh referente a sua maquina. :) O problema q vc pode ter, eh q para sniffar a rede e colocar a placa em modo promiscuo vc prescissar ser root (ou atraves de meios mais avançados, dar essa "capacidade" a outro usuario para rodar o snort). E se por ventura, alguem conseguir mandar um pacote raw capaz de enganar o snort e talvez provocar algum bof, ou coisa do tipo e ganhar acesso a maquina ou talvez apenas derrubar o serviço do snort. Mas essa possibilidade eh bem remota. Não é muito comun esse tipo de problema sair. Se bem q faz pouco tempo tivemos algo parecido na libpcap, que proporcionava alguns problemas desse em algumas feramentas como tcpdump, e outras. :) T+ [ ]'s > >Qual é a diferença quando a placa de rede esta em modo PROMISC e >MULTICAST ??? > ****************************************************************************** De: Dorian Bolivar Para: Frederico Bertucci Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Criptografia Data: 26 Sep 2002 02:56:07 -0300 On Thu, 26 Sep 2002 00:53:02 -0300 Frederico Bertucci wrote: > Como eu faço pra criptografa um arquivo no linux, por terminal, > o q usar e > tudo. Uma boa solução é usar uma solução baseada no PGP, como o GnuPG: http://www.gnupg.org/ ****************************************************************************** 28/10/2002 - 12h28 Erro humano é responsável por 31% das paradas em redes corporativas da Folha Online Metade das redes corporativas nos Estados Unidos tiveram configurações de switches, roteadores ou firewalls alteradas sem autorização no último ano, segundo um estudo do Yankee Group. A empresa de pesquisas de mercado atribuiu a isso e outros erros humanos cerca de 30% das paradas nessas redes. Os analistas do Yankee Group entrevistaram 229 executivos de redes de corporações e do governo para determinar os principais motivos das paradas nas redes. Na pesquisa, os administradores disseram que 35% das vezes que suas redes saem do ar, os responsáveis pela queda são ou o provedor de internet ou a operadora de telecomunicações. Outros 31% deles atribuíram a parada de suas redes a erros humanos, principalmente pela falta de controle das configurações de redes. Outras causas incluem problemas de energia (14%), falha no hardware (12%) ou problemas mal resolvidos (8%). Zeus Kerravala, vice-presidente do Yankee Group, disse que os operadores de rede das agências do governo e das 1000 maiores empresas dos Estados Unidos --citadas pela revista Fortune-- pode melhorar significativamente o desempenho de suas redes se reduzirem aquilo sobre o que têm maior controle: os erros humanos. "Esse estudo mostra que as paradas em redes de computadores podem ser reduzidas em cerca de 30% através da simples melhora das regras e controle de configurações", disse Kerravala, acrescentando que "uma hora de rede fora do ar pode custar nada menos que entre US$ 90 mil e US$ 4,5 milhões, dependendo do tipo de empresa". ****************************************************************************** De: Hamacker Para: Wilson Giordani de Souza Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) NESSUS Data: 27 Nov 2002 11:31:57 -0200 Sim. O NessusClient é um programa para checar vulnerabilidades. Quando voce usa o NessusClient a partir de sua intranet, voce estará checando vulnerabilidades de uma máquina especifica que poderá ser alvo de hackers/crackers locais. Quando roda o NessusClient a partir de uma estacao de fora de sua intranet (via modem por exemplo) voce está testando sua rede a vulnerabilidades externas inclusive tentando quebrar o firewall. O nessusd é apenas para armazenar o engine de ataques que serão feitos pelo NessusClient pelo que pude perceber e não é necessário ter o nessusd rodando na maquina que será testada, inclusive no readme não recomenda isso, tem gente colocando o nessusd no firewall para testar o firewall, cujo teste será inclusive mascarado e recheado de falhas, pois o próprio nessusd abre uma porta. Mas o programa é bom mesmo. O chato é que precisa ser um hacker para descobrir como fechar as vulnerabilidades que ele encontra. Quando ele diz que a maquina é pingavel ele identifica como falha e se voce configura o firewall para nao permitir pings e acabar com essa falha, o NessusClient não consegue mais scanear falhas no servidor, chato né ? Então voce habilita os pings novamente para quando for executar testes novamente. []'s Wilson Giordani de Souza wrote: Bom, a minha questao eh simples (acho): existe algum problema em eu ter executado o cliente nessus na mesma maquina em que rodo o servidor nessusd ? O resultado do teste poderia estar "maquiado" por causa disso? Obrigado pela atencao. Wilson ****************************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Marcio Merlone Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Dominios virtuais aparecendo do nada Data: 09 Dec 2002 09:41:11 -0200 > A página do banco talvez, mas a cópia criada por algum hacker acho que > não. A partir do momento que vc pôs os dados no form e clicou no botão, > faz qualquer coisa. Não senhor, um cracker não pode colocar uma página diferente pedindo a senha do cartão no primeiro acesso por dois motivos: 1. O cliente já está acostumado a digitar a senha de acesso e não do cartão na primeira página (nenhum banco pede a senha do cartão na primeira página). 2. O cliente percebendo alteração deste tipo não faria o acesso (pessoas espertas). > No Bradesco, por exemplo, é. No Bradesco é o que? Pedida a senha do cartão no primeiro acesso? Não senhor, no Bradesco se pede Agencia e Conta, depois pede a senha eletronica de 4 dígitos (a senha do cartão são 6 dígitos) e frase de segurança. > Pouco provável (eu acho). Se ele conseguir as senhas vai eletrônico > mesmo. Ele não vai conseguir a senha se o usuário não fizer uma transação. E no eletrônico ele precisa do cartão. > Mas pode ser no caso dos bancos que só pedirem senha na hora "H" > da transação. Infelizmente não uso o Itaú há muito tempo, então não sei > como ele opera. Mas vou acreditar em vc que só pede na hora "H", então o > sequestro será um perigo real. Acredite, eu já avaliei o sistema de um bocado de bancos grandes no Brasil. A senha do cartão só é requerida na hora de efetuar uma transação. Ainda sobre algumas seguranças dos mais importantes bancos: Itau - Você só saca o dinheiro se estiver de posse do cartão no caixa eletrônico. Além de Agencia e Conta ele irá pedir: dia ou mes ou ano do seu nascimento e 2 dos 5 numeros que tem na parte inferior do seu cartão. O limite de saque é de R$ 500 por dia. Bradesco - Também é necessário estar de posse do cartão no caixa eletrônico. É necessário digitar 2 letras de segurança que no site não são requeridas em nenhum momento, o que torna o trabalho do cracker inútil para saques em caixas. Banco do Brasil - Idem sobre o cartão e igual ao Bradesco mas são 3 letras de acesso. Todos os 3 têm limite de saque diário de R$500 estipulado por norma do BACEN. > Heheheheee.. Não se pode perder oportunidades. ;^) Com certeza. Existem pessoas que precisam de ajuda e eu estou aqui para ajudar, o valor é negociável. Como se diz em direito: Necessidade vs. Possibilidade. - Marcus Lima. ****************************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: linux-br Assunto: Re: (linux-br) Segurança em LINUX Data: 16 Jan 2003 13:48:15 -0200 > Gostaria de levantar uma discussão sobre segurança em sistemas LINUX, nos > seus mais diversos aspectos!!! Ok, gosto de segurança e de Linux... acho que podemos discutir. > Tenho um servidor rodando a dupla NIS/NFS com o Conectiva 8. Tenho dúvidas > no seguinte sentido: Já verificou as atualizações de segurança do CL8? > - é interessante desabilitar o ftp, telnet e outros (quais???) nas > estações? Sim, qualquer serviço desnecessário deve ser desabilitado. Se possível nem instalado. > - de que forma posso impedir o usuário de instalar novos softwares (não > posso impedí-lo de criar arquivos executáveis, pois trabalhamos com o > Kylix...); O usuário comum não pode instalar pacotes RPM, mas podem compilar programas em C e C++. O que você pode fazer é tirar a permissão de execução do gcc ou g++ para usuários comuns, deixando assim comente para o root. Lembre-se que existem outros compiladores... (eles podem até compilar programas em Kylix). Você pode então monitorar o que estes usuários estão gravando em suas áreas de trabalho... Pode usar o AIDE para isso inclusive. Manual do AIDE: http://www.cs.tut.fi/~rammer/aide/manual.html Site do AIDE: http://www.cs.tut.fi/~rammer/aide.html > - quanto ao cron e ao at, não quero que o usuário possa agendar tarefas > (a princípio já resolvido criando em /etc o cron.allow e at.allow e > colocando os usuários que pode agendar tarefas); Você fez da forma correta... limitou a permissão dos usuários para usarem o cron e at. > - quanto à utilização da internte/e-mail, gostaria de manter um log de > tudo que é acessado, por usuário, e bloquear alguns endereços; Neste caso o ideal seria usar um proxy como o Squid (http://www.squid-cache.org) e um analisador de logs para ele como o SARG (http://web.onda.com.br/orso/) > - que outras questões de segurança é importante para verificar? Todos os pontos de segurança são importantes, a questão seria o que mais de segurança está faltando? Procura saber mais sobre PAM Limits, com ele você pode limitar quantidade de logins simultâneos, uso de CPU, uso de memória, quantidade de processos, etc. Também existem outros pontos menos críticos do que estes, com o tempo você descobrirá... > Em resumo: quero que os usuários possam apenas utilizar os recursos do > computador para o trabalho, impedindo-os de fazerem outras "frescuras". Por experiencia própria... quanto mais você restringe seus funcionários a prestarem mais atenção no trabalho e menos no lazer, mais insatisfeitos com a empresa eles serão. A Empresa que trabalho não deixa entrar no ICQ e monitora o uso da Web, em contra partida, podemos usar os e-mails a vontade e também podemos navegar a vontade, desde que no log do Proxy não conste que temos mais de 10% de acessos a páginas de lazer por semana. > Se possível gostaria da opinião de vocês sobre os itens acima e outros que > julgarem importantes!!! Sempre existem mais coisas... Mas o tempo vai mostrando o que falta... :))) - Marcus Lima. ****************************************************************************** De: Magno K. Nardin <127.o.o.1@bol.com.br> Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Bug afeta segurança de distribuições Linux Data: 15 Feb 2003 09:17:04 -0200 Em Sex 14 Fev 2003 16:40, Alexandre escreveu: > Quinta-feira, 13 de fevereiro de 2003 - 13h56 > O CVS, sigla de Concurrent Versions System, é um software usado para > controlar versões de programas em desenvolvimento. A falha, segundo o > CERT, permite que um atacante execute programas na máquina invadida, leia > informações confidenciais e tire a máquina do ar. > http://info.abril.com.br/aberto/infonews/022003/13022003-4.shl Amigo, A InfoExame não é uma fonte de informação confiável para bugs e correções, é apenas um jornal "on line". Se você se interessa por segurança, procure olhar todo dia pelas atualizações de softwares em http://freshmeat.net , assine listas como a da LinuxSecurity Brasil ( http://www.linuxsecurity.com.br ) da Security Focus ( http://www.securityfocus.com ), e, principalmente, a lista de segurança dos desenvolvedores dos softwares que te interessam. Quanto à notícia, data de 13/2/2003, eu realmente me irrito com notícias velhas e pela metade lançadas ao vento como essas que você trouxe. Não sei que profissional é o responsável por publicar essa notícia, mas esse, EMHO, não é o jornalismo que se aprende na escola. Infelizmente parece que há uma certa carência de jornalistas especialistas em Linux. Se a notícia estivesse completa (o jornalismo que se aprende na escola), ela também incluiria o fato de que os desenvolvedores do CVS ( http://www.cvshome.org/ ) já corrigiram essa falha há quase um mês (publicada no dia 20/1/2003) e essa correção faria parte da notícia como um serviço ao usuário/leitor. A existência da correção é um fato que pude constatar em menos de 3 (três) minutos buscando nos lugares certos ( http://www.cert.org e http://www.cvshome.org ): Bug VU#650937, CAN-2002-0059, descoberto e reportado em 14/1/2003 por Stefan Esser, aceito e corrigido em 20/1/2003 pelos desenvolvedores do CVS, como noticiei acima. Sds. -- Magno K. Nardin ****************************************************************************** De: Jorge Godoy Para: Carlos A Silva Cc: Ricardo Guedes , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Script p/ deletar arquivos !!! (XL) Data: 14 Mar 2003 10:35:03 -0300 "Carlos A Silva" writes: > Acho que os foruns não servem somente para aprender!!! > Servem para trocar experiências, idéias e superar dificuldades. > Resolver, muitas vezes em alguns minutos, emergências que levariam dias. > Se eu sei o "caminho das pedras" poderei auxiliar um colega meu, e, quanto > tempo ele não ganhará, hein??...prá aproveitar em outras situações muito > mais produtivas!!! > Prá que reinventar a roda...Vamos trocar conhecimentos, receitas... É exatamente este o ponto! A documentação contém exemplos e muitas vezes receitas prontinhas. Para quê fazer o seu colega que conhece mais e estaria produzindo gastar o tempo em algo que você poderia ter resolvido em uma fração do tempo que ele perdeu --- interrupção do trabalho, solução do teu problema, volta ao trabalho, concentrar-se novamente no problema dele, etc. --- se lesse a documentação. A reinvenção da roda consiste, também, em querer comprá-la em uma mercearia. Para que ir à mercearia solicitar uma roda se na borracharia e no mercado elas já estão disponíveis? Ou, para quê colocar uma roda de trator num fusca? É preciso saber qual a roda a ser utilizada. > Não queira ser melhor que os outros somente porque vc sabe fazer!!! > Pesquise, descubra, ajude e DIVULGUE...Será muito mais valorizado > por isso. Ninguém é melhor que o outro somente porque sabe fazer. Se assim se acha, está redondamente enganado. Conhecimento é algo que melhora a si próprio, não algo que o torna superior a alguém. Quanto a achar que será valorizado por copiar e colar receitas já prontas, sinto muito, mas também está enganado. > Posso não ser um "expert" em listar ou deletar diretórios, mas com > certeza, se cheguei até onde cheguei, é porque tenho outros > conhecimentos & experiência que poderão ser trocadas, ser receitadas > como fórmuladas prontas, já testadas!!! E se constarem na documentação, então, melhor ainda. :-) A documentação contém muitas informações a respeito de métodos obsoletos. Queres um exemplo de receita testada e divulgada amplamente nesta lista? Renomear arquivos de letras maiúsculas para minúsculas. 99% das divulgadas aqui continha problemas que a utilização do documentação apontaria e informaria como resolver. Alguns dos problemas eu indicava e com o uso do próprio script enviado. Isso é inteligência? Não, ao meu ver. Você gerava um problema muito maior e poderia até mesmo comprometer os dados. > Imagine se cada criança que nascesse precisasse aprender desde o > zero, desde que o mundo é mundo, sem utilizar receitas prontas. Imagine porque será que livros sobre como educar bebês vendem bem? :-) > Imagine VOCÊ, tendo que aprender a fazer um CORREIO ELETRÔNICO, sem > usar uma receita pronta (o software), somente para se comunicar > conosco?? O software não é a receita. É a implementação do protocolo. Você distorce o conceito levando-o a um extremo para mostrar que seu ponto de vista é válido. Com isso, infelizmente, você o afunda mais. Imagine-se utilizando uma mesma receita... e deixando relay aberto e sendo inserido em blacklists... Imagine-se usando uma receita com um conteúdo malicioso que envia mensagens para um endereço qualquer, inclusive os assuntos da diretoria. Quando há a ignorância, é muito fácil ser explorado. > "... não se coloca uma lâmpada acesa debaixo de uma mesa, mas se > coloca ela no alto, para que possa iluminar a todos... " Se você quer enxergar a cabeação que está abaixo da mesa, no alto ela não vai ajudar muito; principalmente se a mesa só possui entrada pela frente. O conhecimento é o que nos torna realmente capazes e profissionais. Sem conhecimento, seríamos meros apertadores de botão ou clicadores de mouse. Sds, -- Godoy. Para: Bruno Ferreti , Grupo Linux Assunto: Re: (linux-br) Regra Data: 14 Mar 2003 11:57:20 -0800 e problemas com scans..??? se for porque vc nao configura um portsentry, snort, etc..??? ai o portsentry ja bloqueia o ip criando a regra automaticamente (tanto ipchains, quanto iptables) e joga no host.deny. master --- Bruno Ferreti wrote: > Olá amigos.. > > Eu precisava de uma regra de firewall para > bloquear qualquer conexão de > computadores, da internet, com o IP > 200.207.qualquer.coisa/26 (mascara > 255.255.255.192), eu pensei na seguinte regra, mas > naum sei se irá > funcionar?? > > iptables -A FORWARD -s 200.207.0.0/26 -j DROP > > []s ****************************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Bruno Ferreti , Grupo Linux Assunto: Re: (linux-br) Vulnerabilidades - OFF TOPIC Data: 19 Mar 2003 16:26:17 -0300 www.cert.org www.securityfocus.com www.linuxsecurity.org www.microsoft.com etc. etc. etc... Alias, comece por aqui: www.marcuslima.eti.br/startsearch.html - Marcus Lima. ----- Original Message ----- From: "Bruno Ferreti" To: "Grupo Linux" Sent: Wednesday, March 19, 2003 2:52 PM Subject: (linux-br) Vulnerabilidades - OFF TOPIC > Olá, > > Preciso fazer um trabalho para a faculdade (Controle e Segurança de > Sistemas), sobre as vulnerabilidades do LINUX e do XP. Alguém sabe onde > posso encontrar um bom material sobre o assunto? ***************************************************************************** De: zgrp unknow Para: Bruno Ferreti Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Vulnerabilidades - OFF TOPIC Data: 19 Mar 2003 16:18:24 -0300 Olá, Procure em http://cve.mitre.org por XP e Linux. Vc vai encontrar varios advisorys de segurança dos dois. hehehe :) ***************************************************************************** De: Edival Mittelstad Martins de Sousa Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Re: Sniffer . Qual melhor?? Data: 12 Apr 2003 15:23:12 -0300 On Fri, 11 Apr 2003 21:01:42 -0300, Alberto J. Azevedo wrote > > Bom ? o seguinte to tentando a usar um Sniffer, mas n?o to conseguindo > > muitos resultados. > > testei o Ethereal. > > pergunta? Algu?m sabe de algum bem legal e com documenta?ao, preciso > > descobrir a senha de um usu?rio. > > pe?o sugestoes de qual sniffer usar.. > > Agrade?o a aten??o de todos. > > Primeiramente ferifique se sua interface esta no modo promiscuo # ifconfing Se não estiver, nenhum sniffer lhe trara o que espera Para colocar em modo promiscuo # ifconfig eth[x] promisc Para retirar do modo promiscuo # ifconfig eth[x] -promisc Edival Mittelstad ***************************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Carlos A Silva , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Fui atacado!!! SSh Porta 22 - Conectiva 6.0 !!!! (XL) Data: 11 Apr 2003 11:04:16 -0300 www.securityfocus.com assina a BUGTRAQ Não me lembro, mas acho que a conectiva tem uma lista de segurança (eu não assino essa porque também tenho que ficar por dentro de outras atualizações e discussões de outros produtos). ***************************************************************************** ***************************************************************************** De: DAVIS@embratel.com.br Para: linux-br@bazar.conectiva.com.br Assunto: Re: RES: (linux-br) Lista ou site de seguraça em portugues, alguem pode indicar??? Data: 04 Jul 2003 14:08:36 -0300 Consulte o site de segurança do Comitê Gestor de Internet do Brasil: http://www.nbso.nic.br/docs/seg-adm-redes/ **************************************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Brunhara , linux-br@bazar.conectiva.com.br Assunto: RES: (linux-br) Lista ou site de seguraça em portugues, alguem pode indicar??? Data: 03 Jul 2003 20:13:31 -0300 Boa sorte com seus sites de segurança em portugues... mas só para te lembrar, estes sites dependem da boa vontade das pessoas em traduzir e atualizar... em segurança, estar na frente é sempre crucial e saber ingles é um diferencial. Antigamente tinha um pessoal muito 10 que mantinha o site www.hiss.com.br (Hakers Internet Security Solutions), mas eles sumiram do mercado. A Aker (www.aker.com.br) publica algumas coisas interessantes em portugues, mas acho que vale mais aprender ingles. - Marcus Lima. --- **************************************************************************** De:  dino@salvati.no-ip.com Para:  Rodrigo Lima Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)rootkit - placa de rede promiscua Data:  Wed, 16 Jul 2003 15:19:48 -0300 Baixe e rode o chkrootkit, mas eu recomendo que tu analizes todos os teus servidores a procura de pacotes desatualizados, falhas de segurança, etc. Também é interessante que revises o teu firewall. --  /~\ The ASCII        Edson Salvati ************************************************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] Estatisticas NBSO: NIC BR Security Office Data:  Mon, 21 Jul 2003 03:48:16 -0300 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20030721.shtml --------------------------------------------------------------------          PostgreSQL: Administração (DBA) e Linguagem PL/pgSQL                          Campinas : 30 de julho                          São Paulo: 16 de julho                            Mais informações       http://www.dextra.com.br/servicos/treinamento/pg/postgres.htm ------------------------------------------------------------------------   Estatisticas NBSO: NIC BR Security Office   ========================================= Estao disponiveis em:     http://www.nbso.nic.br/stats/ as estatisticas dos incidentes reportados ao NBSO referentes ao segundo trimestre de 2003. Nos numeros deste trimestre e' interessante ressaltar o aumento de atividade na porta 17300/TCP:     http://www.nbso.nic.br/stats/2003-abr-jun/scan-portas.html O NBSO tem observado que os scans destinados a essa porta tem por objetivo localizar maquinas infectadas com kuang2 e fazer upload de varios tipos de malware na maquina vitima.  O NBSO ja' contabilizou mais de 30 variantes de malware distribuidos desta forma, em sua maioria spybots e virus. Klaus Steding-Jessen NIC BR Security Office http://www.nbso.nic.br/ --------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para  assinantes.        Todas as mensagens da Dicas-L ficam armazenadas em                http://www.Dicas-l.com.br. A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, deste que o conteúdo, inclusive esta nota, não sejam modificados. --------------------------------------------------------------- ************************************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Paulo Augusto , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Seguranca em segmentacao de redes - Como fazer? Data:  Wed, 23 Jul 2003 00:08:45 -0300         Já pensou em política de segurança?         Existem N maneiras de se fazer o que deseja, mas nenhuma delas funcionará sem prejuizo do seu tempo, por isso crie uma política de segurança dentro da sua empresa e faça com que todos os usuários assinem. Aqueles que descumprirem (e para isso serve o log) serão punidos de acordo com o regulamento estipulado.         Em tempo, entenda por política de segurança também ações que você pode tomar dentro do sistema operacional para impedir que o usuário tenha acesso a configurações.         Windows: poledit, AD polices, SCUA, entre outros métodos...         Linux/Unix: Permissões de arquivos e binários, bloqueio de alteração de arquivos no FS, etc...         Vale também as sugestões dos nossos colegas sobre configurações de Switches, adição de placas no servidor Linux, segmentação da rede, etc... Att, Marcus Lima. Consultor de Segurança Aker Security Solutions - Regional RJ/ES www.aker.com.br ************************************************************************** De:  crg Para:  Diorgenes Mello , getualv@yahoo.com.br, linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) Debian, vale a pena? Data:  Mon, 23 Jun 2003 21:17:35 -0300 Em Segunda 23 Junho 2003 16:23, Diorgenes Mello escreveu: > | Agora, uma dúvida: ter ou não esses módulos pré-habilitados prejudicam > | muito a performance do sistema? E, atualmente, é realmente necessário > | recompilar o Kernel? > > para um athlon XP talvez não agora um K6-II-500 por exemplo fica notavel a > diferença Hoje em dia o grande problema nao eh a performace mas sim a seguranca do sistema. Eh comodo ter tudo ja instalado e rodando mas eh bastante perigoso. Para entender melhor meu ponto de vista leia o item G1 (ja velho ainda bom) da lista SANS/FBI Top 20 List http://www.sans.org/top20/portuguese_v2.php Alias eh bem interessante estar atendo a lista, a mais atualizada esta em http://www.sans.org/top20/ -- CRG ************************************************************************** De:  rogerio araujo Para:  Thiago Pimentel Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Ref.: Vírus noLinux Data:  06 Aug 2003 10:10:56 -0300 Por isso utilizo regras fortes na segurança em minhas estações. 1 - senha root com no minimo 15 caracteres 2 - todos os equipamentos tem um usuario padrao : USER , senha padrão 123456 , para acessos de pesquisadoes que precisem rapidamente utilizar uma maquina para acesso a internet,  processr textos,  planilhas, etc 3 - cada usuário normal tem seu próprio login 4 - uso e abuso dos logs 5 - nunca utilizo a conta root em minha maquina de uso sempre minha conta pessoal 6 - firewall forte impedindo até mesmo acesso aos servidores pop e smtp externamente, quem precisa usa o webmail. 7 - eventualmente rodo o chkrootkit 8 - de vez em quanto checo os diretórios aonde estão os binários ( bin usr/bin sbin usr/sbin ) e dou um ls -latr , com isso vejo se algum programa foi atualizado recentemente. E mesmo assim ainda acho que tem muito furo. Em Qua, 2003-08-06 às 04:04, Thiago Pimentel escreveu: > Fernando A. Ribeiro Fortes wrote: > > é coisa do passado, portanto ADEUS inunidade! ....", pra minha surpresa nunca > É possível escrever vírus para qualquer plataforma que permita a > execução de código arbitrário. A pouca disseminação de pragas para > Linux, assim como Mac e outros deve-se simplesmente ao fato deles serem > menos visados. > > thiago ************************************************************************** De:  julio henrique Maschio Para:  Segurança - Conectiva Cc:  José Luis Pissin Assunto:  [seguranca] IDS Data:  Mon, 7 Jul 2003 12:43:04 -0300 nao querendo gerar uma guerra santa por aqui  |:-D> eu recomendo vc tbm dar uma olhada na filosofia de honeypots... http://www.honeypot.com.br/   (pt-br) http://www.linuxsecurity.com.br/article.php?sid=7547 (pt-br) http://www.securityfocus.com/infocus/1690   (en) http://www.tracking-hackers.com/ (en) o primeiro apresenta um grupo brasileiro de honeypots - exemplos tbm o segundo mostra um exemplo bem simples e prático. (...) o terceiro é interessante, compara bem detalhadamente as vantagens e desvantagens... o quarto é o ninho...   :-D []s, julio ************************************************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] Práticas de Segurança para Administradores de Redes Internet Data:  Wed, 21 May 2003 02:30:31 -0300 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20030521.shtml -------------------------------------------------------------------- World Training - Soluçoes completas em Treinamentos Open-Source: Linux, Segurança em Linux, MySQL, FreeBSD - Treinamento também à Distância                     http://www.worldtraining.com.br --------------------------------------------------------------------   Práticas de Segurança para Administradores de Redes Internet   ============================================================ Colaboração: Klaus Steding-Jessen http://www.nbso.nic.br/docs/seg-adm-redes/ Está disponível uma nova versão do documento "Práticas de Segurança para Administradores de Redes Internet", em:           http://www.nbso.nic.br/docs/seg-adm-redes/ Por favor divulguem nas suas instituições. Essa nova versão conta com as seguintes adições: - seção sobre redes wireless; - versão HTML, alem da versão PDF; - seção de educação dos usuários; - adições na seção de DNS -- consultas do tipo version.bind; - adições na seção de ferramentas de monitoramento de logs; - adições na seção de cuidados com redes reservadas -- RFC 3330 e     redes não alocadas pelo IANA; - novos links e livros adicionados. Este documento procura reunir um conjunto de boas práticas em configuração, administração e operação segura de redes conectadas a Internet.  Ele é dirigido ao pessoal técnico de redes conectadas a Internet, especialmente aos administradores de redes, sistemas e/ou segurança, que são os responsáveis pelo planejamento, implementação ou operação de redes e sistemas. Sugestões, críticas e opiniões são sempre bem-vindas.  Por favor usem o endereco doc@nic.br para esse fim. Abracos, Klaus.   NIC BR Security Office   http://www.nbso.nic.br/ --------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 21267 assinantes.        Todas as mensagens da Dicas-L ficam armazenadas em                http://www.Dicas-l.com.br. A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, deste que o conteúdo, inclusive esta nota, não sejam modificados. --------------------------------------------------------------- ************************************************************************** De:  Jorge Godoy Para:  linux-br@bazar2.conectiva.com.br, aff2002@globo.com Assunto:  Re: (linux-br)DIRETO com cirpitografia ??? Data:  Wed, 24 Mar 2004 00:11:57 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Monday 22 March 2004 14:58, André Fernandes wrote: > Temos aqui na empresa um servidor de e-mail com o DIRETO intalado e estamos > precisando que as mensagem sejam cripitografadas ( sepossivel com direito > a assinatura eletronica). Alguem ja fez isso usando o DIRETO ??? Minha opinião é de que esta é uma tarefa do cliente e não do servidor. Primeiro para manter a integridade da mensagem, segundo para manter o segredo da chave. Se você colocar o segredo no servidor e o mesmo for comprometido, todas as mensagens trafegadas podem ser comprometidas, já que o invasor terá acesso à senha da chave. Com a responsabilidade de cada cliente manter sua chave você pode individualizar os remetentes cada qual com sua chave correspondente e com seu segredo protegido. Os programas para Linux, pelo menos, permitem que você especifique que as mensagens devem ser assinadas e/ou criptografadas por padrão. Você pode, depois, checar no MTA se há o padrão da assinatura e rejeitar as mensagens que não a possuem. - -- Godoy.     -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ************************************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  hamacker , Lista Linux Assunto:  Re: (linux-br)Qual o CMS menos vulneravel ao SQL injection ? Data:  Wed, 07 Apr 2004 21:56:33 -0300 Olá Hamacker,    Um ataque de SQL Injection é muito simples de se resolver e acredito que o PHPNuke (versões mais recentes) não esteja mais vulnerável a este tipo de ataque.    Sobre SQL Injection Techniques: http://www.cfgigolo.com/archives/000103.html (Este site é sobre ColdFusion, mas a ideia de SQL Injection é suficiente)    Sobre outros tipos de ataques a CMSes, acho que quanto mais maduro menos problemático. Eu escolheria o PHPNuke até porque sei programar em PHP e encontrar e corrigir falhas seria bem fácil para mim, escolha aquele que seja do seu agrado e mantenha-se informado.    Hoje estive (assim como alguns colegas da lista) num Simpósio de Segurança da Microsoft (sim, da Microsoft, porque não?) e um dos pontos que era comum a todas as palestras (Microsoft, Módulo e outras) era o fato de segurança ser pró-ativa, você tem que buscar saber das vulnerabilidade antes ou até ao mesmo tempo que outras pessoas descobrem, assim você pode tomar atitudes para resolver a 'falha' em tempo de não sofrer ataques. Att, Marcus Lima Consultor de Segurança ************************************************************************** De:  Carlos Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)seguranca a acesso a banco Data:  Fri, 16 Apr 2004 11:26:44 -0300 Accenture_Luiz_Estivalet@Dell.com wrote: Ola, > Acabei de instalar um Slackware, instalacao padrao. > Gostaria de acessar meu banco...mas tenho duvidas em relacao a seguranca do sistema > em relacao a essa operacao. O que tenho q configurar para deixar o meu sistema mais > seguro? Usar um firewall ? Qual? Enfim, como deixo meu sistema seguro de invasoes e etc? > Se puderem me dar algumas dicas ou indicar sites com bons artigos sobre o assunto agradeço! > > Obrigado, > L.F.Estivalet > >   > Luiz,  Falar sobre seguranca envolve dezenas e dezenas de topicos, eu vou falar aqui de dois ou tres deles para nao ser muito longo , mas tenho certeza que outros participantes da lista vao complementar muito bem o que vou dizer.  Sim, e importante voce colocar um firewall na sua maquia linux, se voce nao conhece bem o iptables e nao gostaria de fazer um firewall "na mao" voce pode baixar um da internet que necessitara apenas que voce edite um arquivo informando suas opcoes: http://www.rocky.molphys.leidenuniv.nl/ A opcao acima e apenas uma entre dezenas. Voce acessar o banco pode ser perigoso de duas formas: 1 )Expor sua maquina a ataque; 2) Expor sua conta no banco a ataques; Eu acredito que a segunda situacao pode ser mais frequente. Existem por ai (BB,ITAU,BRADESCO sabem muito bem) dois tipos de ataques a sites de banco: 1 - Voce recebe um e-mail de origem duvidosa com dizendo assim "parabens, voce que e um cliente especial do nosso banco ganhou uma promocao e para isso acesse o link abaixo" e o link em questao aponta para um servidor proprio do fraudador que coletara seus dados que voce mesmo ira informar por inocencia e outras razoes... . 2 - Algum hacker porde invadir um servidor DNS e alterar um apontamento, o que antes era assim: www.itau.com.br.       IN      A       200.246.143.40 #esse ip eh verdadeiro e realmente aponta para o itau pode ser alterado e ficar assim: www.itau.com.br.       IN      A       200.246.112.10 #esse ip eu inventei agora Ai se o seu resolv.conf apontar para um servidor DNS alterado quando voce digitar no browser www.itau.com.br ao inves de ir para o verdadeiro site do itau em 200.246.143.40 ira para um site clonado do itau em 200.246.112.10 , o site sera igualzinho ao site original e a vitima talvez nem desconfie. As vezes o site gera um erro proposital apos voce inserir seus dados e a partir dai te redireciona ao verdadeiro site, para tentar dificultar a percepcao da vitima, mas ai sera tarde demais, eles ja terao seus dados sigilosos. Desconfie de e-mails com promocoes e surpresas. Procure saber o ip verdadeiro do site de banco que voce costuma acessar e va direto via ip ou coloque no /etc/hosts ou crie um DNS proprio. Para deixar seu sistema ainda menos vulneravel sempre atualize seus softwares. Leia sobre arquivos SUID/SGID, muito explorados localmente para obtencao de privilegios ate chegar ao ROOT. Qualquer servico rodando, seja ele openssh, apache, bind,postfix, rsync (este ultimo possibilitou a obtencao de privilegios de superusuario recentemente em uma invasao aos computadores da universidade de Stantford), etc..., salve os dois links a seguir em seus favoritos e leia-os com frequencia: http://www.infodesktop.com/infonews/seg/ http://gomesllc.vilabol.uol.com.br/noticias.htm Eles falam sobre as ultimas noticias em relacao a seguranca. Use senhas fortes mesclando caracteres e numeros. Proteja sua senha ROOT a qualquer custo, leia sobre PAM e sshd (existe um problema com fork em muitos sistemas linux que um usario sem nenhum previlegio que executaro o codigo a seguir: #!/usr/bin/perl use strict; fork and exit ; ######### <- linha censurada pra nao incentivar o uso do codigo! fork ; } Ira travar a maquina completamente instantaneamente com a criacao de processos ate sugar todos os recursos da maquina, incrivelmente muitos sistemas em sua instalacao default vem desprotegidos disso (eu me dei mal uma vez, dei acesso a um amigo na minha maquina que fez essa brincadeirinha comigo, a partir dai nao dei mais mole :P ) mas isso pode ser resolvido com a implementacao de pam/limits.conf + sshd. E por ai vai.. Espero ter ajudado um pouco Luiz, boa sorte. "Primeiro eles o ignoram. Depois, riem de voce. Chega um ponto em que lutam contra voce. Ate o dia em que voce vence." Gandhi SlackWare Linux user #349702 ************************************************************************** **************************************************************************