[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sobre particionamento, segurança etc. no manual do Debian.



Uma vez gerei um sistema de 2 passos para autenticação no Linux, utilizando uma senha forte (14 caracteres, com número, letras e símbolos) e um flash drive com autenticação via PAM.

Para esse caso cheguei a planejar o uso de uma 3 etapa de autenticação,
com a checagem de digital, também utilizando o PAM, mas a empresa achou que isso seria para uma versão futura, de acordo com a necessidade.

Acho que esse esquema de dois passos já ajuda bastante, o único inconveniente é a necessidade de sempre ter o flash drive para poder realizar o acesso, mas como o uso de root é aconselhável apenas em casos muito específicos não irá interferir de forma significativa no trabalho.


Leandro Henrique Stein
Analista de Informática
Claro: (41) 9935-9960
Tim: (41) 9802-9109
Skype: leandro.h.stein
Twitter: @leandrohstein

"Desculpar-se é um sinal de fraqueza. Exceto entre amigos" - Leroy Jethro Gibbs

Em 30-03-2012 22:09, Listeiro 037 escreveu:
É "nóis" :)

Pensei em alguma coisa que gerasse uma senha de root aleatória e que fosse guardada em armazenamento móvel depois de instalar algum sistema, ou pedir para troca, ou troca periódica etc, ou envio prá algum lugar usando GPG, semelhante etc.

Bem naquela política do "a chave deste cofre não se encontra em poder da empresa".


Ou uma senha "descartável", que é renovada automaticamente após cada uso.

A senha de algum modo só se fica sabendo qual é se for necessário usá-la.


É para ninguém saber, não aparecer em lugar algum, ninguém acessar.

Ideias, ideias. :P

Se é prático e viável, ainda não sei, mas é interessante se houver ameaça física, embora crackers sejam mais sutis.

Obrigado pelas respostas.



Em Fri, 30 Mar 2012 21:42:41 -0300
Marlon Nunes<mcnunes@gmail.com>  escreveu:

Opa Maurício Neto,

So uma correção, as dúvidas relacionadas não foram questionadas por
mim e sim pelo "Listeiro 037 listeiro_037@yahoo.com.br".
Eu somente indiquei links relacionados a sistemas de segurança para o
GNU/Linux. até mais.

Em Fri, 30 Mar 2012 15:03:56 -0300
Mauricio Neto<mneto@inbox.com>  escreveu:

Rodolfo,
acho que não me fiz entender, segundo o texto do Marlon ele postula
que a senha do root deva ser esquecida ate pelo administrador e se
necessário for usar um live cd para modificar a senha. Por isso eu
coloquei este exemplo extremo de um pequena intervenção pode acabar
sendo uma dor de cabeça

Mauricio Neto

Em 30-03-2012 14:11, Rodolfo escreveu:
".....e você vai avisar ao "chefe" que tem que reiniciar o
servidor porque não tem a senha de administrador..."
Se o usuário não tem permissão pra ter senha de administrador,
muito menos de reiniciar um servidor, acho que protocolos serão
quebrados, e alguem vai ser punido.


Em 30 de março de 2012 12:45, Mauricio Neto<mneto@inbox.com
<mailto:mneto@inbox.com>>  escreveu:

      Marlon,
      Concordo com sua visão extrema de segurança. mas "coisas ruins
      acontecem", como falha em placas de rede, um servidor de email
que "atola" e coisas por ai. Não vou falar de disco porque neste
caso deveriam estar espelhados ou em raid. Mas imagine em um
ambiente de produção, atendendo a vários usuários e, você
necessita fazer uma intervenção, como por exemplo mudar uma rota
de rede,  e você vai avisar ao "chefe" que tem que reiniciar o
servidor porque não tem a senha de administrador.... :-)

      Segurança e produtividade são os dois pratos da balança

      Abraço
      Mauricio Neto

      Em 30-03-2012 07:53, Marlon Nunes escreveu:

          Em Thu, 29 Mar 2012 22:10:17 -0300
          Listeiro 037<listeiro_037@yahoo.com.br
          <mailto:listeiro_037@yahoo.com.br>>   escreveu:

              Olá.

              O que vou questionar é algo sem sentido, porém
imagina-se uma situação
              paranoica, onde algumas coisas podem ser suprimidas
por redundância ou
              por necessitar tanto exagero.

              Usei algo do manual de segurança e completei com
"exageros". Inclusive, se alguém me indicar algo sobre segurança,
              alguma lista de
              discussão paranoica, sites, de preferência em
português, para acrescentar, eu agradeceria.

              Li em algum lugar que são obrigatórias e necessárias
CINCO partas no
              superdiretório / sem serem montadas em outras
partições.

              /bin, /sbin, /etc, /dev, /lib.

              As duas primeiras eu imagino que não será nada escrito
              dentro por um
              usuário comum.

              Da terceira não sei, a quarta será dinamicamente
              preenchida e não pode
              ter NODEV na montagem. Da quinta também não sei. As
outras não-listadas podem ser usadas com partições montadas nelas.

              /boot pode conter uma partiçãoprimária e diversos
kernels, até de
              outras instalações, com GRUB ou LILO escritos em seu
boot.

              O caso é que em /usr coisas podem ser montadas em
              read-only, /var
              e /tmp não precisam de suid setado, mas precisam
              read-write. Etc. etc.
              observações do maual de segurança.

              Indo mais além, sob determinadas circunstãncias,
              determinadas, o
              sistema pode rodar montado sem suid setado.

              Então, o que queria saber é se há como usar sem travar
ou danificar o
              sistema /bin e /sbin como read-only etc. com mount
              remontando/transferindo ou algo com menos cara de
              gambiarra. Em tempo
              de inicialização.

              E como pode ser feito para se rodar o que se necessita
na inicialização podendo estar com NOSUID, NODEV, NOEXEC etc.
              setados no
              sistema de arquivos.

              Cortando TODAS as gorduras como partições com
permissões desnecessárias, tirando poder de root que não será
usado etc.

              É para lacrar o sistema e jogar a chave fora, rasgar a
              senha root,
              esquecê-lo e ser feliz! E se necessário for, usar um
              sistema live para
              mudar a senha.

              Fechar o root mesmo para ninguém consegui-lo, se não
há como. E se conseguirem um usuário simples, não poderão encher
              muito o
              saco.

              Talvez para a maioria com mais visão sejam absurdos,
exceto as recomendações do manual Debian, mas eu pensaria mais ou
              menos em como
              se trancar uma porta com sete fechaduras.

              Como nunca "calejei" um sistema, estou à procura do
que é melhor para
              o máximo de segurança. isto incluiu ler o manual
Debian.

              Se vai servir prá algo, não sei, mas depois de resover
isto, preocuparei-me com criptografia de partições e outras
              perfumarias.

              Obs: Há muita coisa em Informática, principalmente
              Software Livre para
              se entender. Segurança não é minha área e até o
momento não tenho
              pendido para estes esclarecimentos, por isto este
caráter momentaneamente "supersticioso".

              Desculpem-me pela extensão e desde já agradeço.

              Até mais.


          Já que você está pesquisando sobre o assunto e sobre as
melhores práticas para segurança de sistemas GNU/Linux, eu
indicaria a leitura
          de [1] grsecurity e [2] selinux. com certeza você vai
precisar deles se
          quiser melhor em 90% a segurança por ai. até +

          1-http://en.wikibooks.org/wiki/Grsecurity
          2-http://selinuxproject.org/page/Main_Page


          --
          To UNSUBSCRIBE, email to
          debian-user-portuguese-REQUEST@lists.debian.org
          <mailto:debian-user-portuguese-REQUEST@lists.debian.org>
          with a subject of "unsubscribe". Trouble? Contact
          listmaster@lists.debian.org
<mailto:listmaster@lists.debian.org>  Archive:
          20120330075326.33a97973@core.ezeec.com.br">http://lists.debian.org/20120330075326.33a97973@core.ezeec.com.br


      ____________________________________________________________
      FREE 3D MARINE AQUARIUM SCREENSAVER - Watch dolphins, sharks&
      orcas on your desktop!
      Check it out at http://www.inbox.com/marineaquarium




      --
      To UNSUBSCRIBE, email to
      debian-user-portuguese-REQUEST@lists.debian.org
      <mailto:debian-user-portuguese-REQUEST@lists.debian.org>
      with a subject of "unsubscribe". Trouble? Contact
      listmaster@lists.debian.org
<mailto:listmaster@lists.debian.org>  Archive:
4F75E324.3010600@inbox.com">http://lists.debian.org/4F75E324.3010600@inbox.com



____________________________________________________________
FREE 3D MARINE AQUARIUM SCREENSAVER - Watch dolphins, sharks&  orcas
on your desktop! Check it out at http://www.inbox.com/marineaquarium




Reply to: