Deixando o Seu
Desktop Mais Seguro
15 de janeiro de 2004
Postado por: Thadeu Camargo
Este artigo visa os
usuários novatos em Linux e é evidente que pode ser
aproveitado pelos mais experientes, se for o caso. Tenho percebido que
o noticiário e usuários em geral tem divulgado o Linux
como um sistema que reune várias vantagens como: gratuito,
robusto, livre de falhas e seguro, o que não é totalmente
verdadeiro.
Gratuito: Linux é regido pela licença GPL, software livre
sim, mas isso não quer dizer que seja gratuito. Pode se fazer o
download da distribuição mas existe a possibilidade de
comprar a caixa. Isso é matéria para outro assunto e
não me alongarei nesta questão, mas caso queira ter
maiores detalhes, leia
a licença aqui.
Robusto: Concordo plenamente. Neste caso não tenho nada a
declarar:-)
Livre de falhas e seguro: Esta afirmação não
é totalmente verdadeira devido a dois fatores..nenhum sistema
está livre de falhas. Existe apenas aquele que tem mais falhas
do que o outro. Um sistema operacional tem milhões de linhas de
comando, junte isso a milhares de linhas de comando dos softwares e
teremos com certeza alguns erros. O que importa é a rapidez em
que estes erros são reconhecidos, documentados e corrigidos. O
outro fator reside justamente no usuário. Por mais que o Linux
seja um sistema eficiente e seguro, de nada adiantará caso o
usuário seja displicente em relação a
segurança. O Linux tem regras de permissões
rígidas que dificultam ataques mas o se o usuário
não tiver consciência disso não vai adiantar nada.
É importante que o usuário saiba que operando uma
máquina Linux ele não estará no paraíso,
onde tudo são flores e que ninguém poderá
importuná-lo. Sabendo disso, podemos providenciar alguns fatores
para que o sistema fique mais seguro. Observe que os procedimentos
escritos abaixo são aconselhaveis para uma máquina
desktop. Servidores e máquinas em redes precisam de mais
implementações de segurança, que são
descritas em outro artigo.
Procedimentos
Em primeiríssimo lugar: use a conta root somente quando for necessário. Felizmente na "cultura" *NIX já existe esta regra que é praticamente imposta a todos os usuários novatos. Ao contrário do Windows, que devido as suas versões 9x não davam condições de se fazer um gerenciamento de contas eficiente fazendo com que os usuários se acostumassem a gerenciar o sistema sempre como modo administrador, sem contas limitadas, no Linux pode e deve se criar usuários com poderes limitados.
A conta root equivale ( mal comparando ) a conta administrador do Windows 2000/XP. Nela pode se fazer tudo: Gerenciar o sistema, instalar programas, deletar arquivos primordiais para o funcionamento do sistema, enfim, pode tudo. Ele é o Deus do sistema. Então porque não usar a conta root? Simplesmente porque o micro ficaria extremamente vulnerável, pois em caso de algum ataque externo o invasor conseguiria ficar com privilégios de root e assim fazer o que quiser com o sistema. Além da possibilidade de ataques o micro ficaria vulnerável a ações danosas ou equivocadas do usuário:-)
Usando se uma conta limitada o risco de acontecer danos devido a ataques externos reduz drasticamente porque o invasor será barrado pelas rígidas regras de permissões do sistema. É lógico que podem existir meios de se conseguir privilégios de root através de outros meios, um deles seria explorando falhas no sistema. Mais adiante explico como fazer para evitar isso.
Após
criar sua conta de usuário limitada é hora de fechar as
portas para ataques externos. Geralmente as distribuições
incluem o iptables firewall
extremamente eficiente e com a grande vantagem de ser altamente
customizável e de fácil administração pois
ele trabalha através de scripts que podem ser feitos e refeitos
ao gosto do usuário. O iptables trabalha através de
regras e existem algumas que serão de grande valia para fazer
com que a máquina fique protegida. Verifique aqui.
Agora é
uma boa hora de desabilitar serviços inúteis para uma
máquina pessoal. Serviços como Telnet, FTP, sql, squid,
finger, smtp named, Samba, Apache e sshd podem ser desabilitados
caso sua máquina não esteja em rede ou não seja
servidor. Além de deixar o sistema mais leve, desabilitando
estes serviços ficaremos livres de possíveis falhas de
segurança que porventura estejam nestes serviços. Para
desabilitar serviços no Mandrake utilize o Mandrake Control Center, em outras
distribuições pode se usar o Linuxconf,o comando ntysyv ou editando os arquivos /etc/inetd.conf ou /etc/services.
Como disse
antes, em qualquer sistema operacional existem falhas. O mais
importante de tudo é a rapidez no reconhecimento e
disponibilização de correções destas falhas
e neste ponto a comunidade de software livre simplesmente dá um
banho, disponibilizando correções para os softwares ou
kernel com falhas. Cabe ao usuário estar sempre a par destas
correções e instalar os patches o mais rápido
possível. Caso o software ainda não tenha
correção é aconselhável desabilita-lo
momentaneamente até que o problema seja corrigido.
Uma
prática saudável e verificar se o seu sistema está
com rootkits. Rootkit
é um conjunto de ferramentas na qual um possível invasor
poderia usar para camuflar os seus passos no sistema. A ferramenta mais
eficiente para verificar a evidência de rootkits no sistema
é o chkrootkit.
Conclusões Finais
Como pode se ver para colocar o sistema seguro não é
nenhuma tarefa de outro mundo pois no Linux não há
perigos de vírus, controles Active X maliciosos ou spywares como
no Windows mas existe a possibilidade de invasão do sistema.
É evidente que estas implementações de
segurança são válidas somente para uma
máquina pessoal, que é o objetivo deste artigo. Quando se
fala em micros em redes ou servidores a questão muda
completamente de figura, sendo necessária providências
muito mais complexas.
