Fw: Portas de rede abertas?
Parabéns Jean!
Você deu uma exemplo perfeito do conceito de "compartilhar" conhecimentos.
Sou apenas um usuários comum da lista, e não tenho intençao de gerar
críticas e nem tampouco a pretensão de ditar parâmetros para o andamento da
mesma.
Mas o que vi, merece ser elogiado: você respondeu a dúvida do companheiro
Mauricio, com total clareza e simplicidade.
Normalmente as respostas que temos visto na lista, em relação a perguntas
genéricas e/ou conceituais são: "vá ao google", "leia os man"... e outras
respostas que não ajudam em nada.
E vc demonstrou ter bom conhecimento (sem nenhum estrelismo), e o
compartilhou com muita paciência e boa vontade.
A sua iniciativa possibilitará ao Mauricio dar seus primeiros passos, e quem
sabe se desenvolver no mundo do software livre e ajudar a consolidá-lo.
Que seu exemplo seja seguido por todos nós, usuários dessa lista.
Julio Lopez
----- Original Message -----
From: "Jean Silva" <jeanclaybr@yahoo.com.br>
To: <debian-user-portuguese@lists.debian.org>
Sent: Tuesday, April 05, 2005 9:08 PM
Subject: Re: Portas de rede abertas?
>
> --- Maurício <briqueabraque@yahoo.com> wrote:
> > Oi, pessoal,
> >
> > Não entendo muito de segurança de computadores, mas assumi (sem
> > ter
> > lido isso em lugar nenhum, devo dizer) que instalando o Debian em
> > casa
> > eu poderia me sentir mais ou menos seguro já que a instalação do
> > sarge
> > não iria deixar portas de rede abertas sem que eu solicitasse.
> > Gostaria
> > de saber se eu assumi corretamente.
> Com certeza você está mais seguro do que estaria com os sistemas
> produzidos em Redmond, mas isto não significa que você está seguro.
> Se você não instalou nenhum serviço, provavelmente não há portas
> abertas. Mas não se sinta seguro.
> Você com certeza precisa de um firewall habilitado e bem
> configurado.
>
> > É possivel que meu computador
> > tenha
> > portas de rede abertas para o "público" sem que eu tenha solicitado
> > isso
> > explicitamente?
>
> Sim, é possível. Sempre pode haver um bug, ou alguma desatenção.
>
> > Se é possivel, como faço para fechar todas as portas
> > de
> > rede (meu micro é de uso doméstico, e eu não tenho necessidade de
> > acessá-lo de outros lugares mesmo via ssh, então acho que deixar
> > todas
> > as portas fechadas é uma boa idéia)?
>
> Você precisa de um firewall para fechar todas as portas. E isto é
> sim uma excelente idéia. Há um princípio fundamental de segurança
> chamado de "menor privilégio", ou seja, só permita o que for
> estritamente necessário e proíba todo o resto.
> Se tiver curiosidade, faça o teste que descreverei abaixo para
> verificar se a instalação que você fez tem alguma porta aberta. Se
> não, mais abaixo há um script usando iptables que dará uma proteção
> razoável à sua máquina.
> Entre no site www.grc.com/default.htm, clique em ShieldsUP e depois
> no link Proceed. Clique no botão Common Ports para verificar as portas
> abertas.
> Abaixo segue um script para iniciar o firewall a cada boot.
> Coloque-o em /etc/init.d/, instale o pacote rcconf e marque o script
> para ser iniciado durante o boot.
> #! /bin/sh
>
> set -e
>
> PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
> DESC="firewall daemon"
> NAME=firewall
> DAEMON=/usr/sbin/$NAME
> SCRIPTNAME=/etc/init.d/$NAME
>
> test -x $DAEMON || exit 0
>
> # Function that starts the daemon/service.
> d_start() {
> #start-stop-daemon --start --quiet --pidfile $PIDFILE \
> # --exec $DAEMON
> /usr/sbin/firewall
> }
>
> # Function that stops the daemon/service.
> d_stop() {
> /sbin/iptables -F
> }
>
> d_reload() {
> /usr/sbin/firewall
> }
>
> case "$1" in
> start)
> echo -n "Starting $DESC: $NAME"
> d_start
> echo "."
> ;;
> stop)
> echo -n "Stopping $DESC: $NAME"
> d_stop
> echo "."
> ;;
> #reload)
> restart|force-reload)
> echo -n "Restarting $DESC: $NAME"
> d_stop
> sleep 1
> d_start
> echo "."
> ;;
> *)
> echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2
> exit 1
> ;;
> esac
>
> exit 0
>
> Abaixo segue o script para o firewall. Coloque-o em /usr/sbin.
> #!/bin/bash
>
> # Limpa as regras, se existirem.
> /sbin/iptables -F
>
> # Política default: permite passar apenas o explicitamente liberado.
> /sbin/iptables -P INPUT DROP
> /sbin/iptables -P OUTPUT DROP
> /sbin/iptables -P FORWARD DROP
>
> # Todo tráfego de saída é autorizado e o estado guardado.
> /sbin/iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j
> ACCEPT
>
> # O tráfego de entrada referente a conexoes abertas a partir da rede
> # interna para a internet é permitido.
> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> # Abre para a interface de loopback
> iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
> # Cria um log de todos os pacotes rejeitados.
> /sbin/iptables -A INPUT -j LOG --log-prefix "Firewall: "
>
> Inicie o firewall e faça o teste que sugeri acima para verificar se
> todas as portas estão realmente fechadas.
> E por último, mas não menos importante, mantenha o sistema
> atualizado. Para tal, execute apt-get update e apt-get dist-upgrade
> periodicamente (O intervalo de tempo depende da sua banda e do seu
> nível de paranóia).
>
>
> __________________________________________________
> Converse com seus amigos em tempo real com o Yahoo! Messenger
> http://br.download.yahoo.com/messenger/
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>
>
Reply to: