Segurança para iniciantes

Started by Anonymous, 07 de February , 2006, 04:11:38 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

Anonymous

07 de February , 2006, 04:11:38 PM
No Linux, para encontrar um rastro de uma invasão, chegando assim ao invasor, é necessário usar o bom senso, pensando como o invasor.

O que você faria se estivesse com um sistema operacional alheio na mãos? Óbvio, você faria de tudo para não perder o acesso ao sistema, instalando algum tipo de backdoor (descreverei sobre) - ou até mesmo adicionaria um usuário no sistema com privilégios de root. Achar uma backdoor no sistema não é um bicho-de-sete-cabeças.

Mas mesmo sabendo disso, é essencial que você conheça seu sistema, saiba se ele tem dados de datas de execuções de arquivos, quais são as portas abertas, etc.

Para ver todas as portas abertas no sistema, digite o comando abaixo:

# lsof -i

Serão listadas todas as portas que estão sendo usadas. Veja se encontra alguma porta estranha.

Procurar por rastros no /etc/passwd é obrigatório. Adicionar usuários no /etc/passwd é bem a cara de muitos invasores. Portanto, não perca tempo. Tenha em mente todos os usuários cadastrados no sistema e entre com o comando abaixo:

# grep ":0:0:" /etc/passwd

Serão listados os usuários com permissão total no sistema. Para obter mais detalhes é interessante abrir este arquivo (passwd) e dar uma bela olhada. Veja se todos os usuários conferem. Se encontrar algo de estranho, examine.

Como examinar? Use arquivos de log do sistema - o primeiro arquivo de log a ser verificado é o bash_history, que conterá os 1000 últimos comandos digitados por algum usuário. Por exemplo, no caso de um usuário root, o arquivo bash_history se encontrará na pasta /root. Editando-o com o seu editor de textos preferido, você terá uma pequena noção do que foi feito em seu sistema e, assim, tentará corrigir. Se mesmo assim o log bash_history não trouxer informação alguma, utilize o comando:

# ps -aef | grep root

O comando acima procurará por processos executados pelo usuário root, que no caso poderão ser modificados por qualquer outro usuário. Basta verificar se entre a lista não há algum script suspeito sendo executado. Com certeza, este passo lhe trará algumas informações.

Para melhor segurança do seu Linux é bom sempre ter um firewall ou até mesmo um scanner de segurança.

Este artigo foi meu primeiro postado no site, por isso o fiz voltado para os usuários que estão começando no Linux, para que possam entender alguns princípios de segurança em sistemas Linux.

Minha próxima postagem será sobre como recuperar arquivos excluídos - útil para os casos em que alguém deleta seus arquivos durante uma invasão -, e escreverei assuntos sempre voltados para segurança de sistemas Linux.

Fonte: por fantini www.vivaolinux.com.br
Print
Go Up Pages1
User actions