Re: Sobre particionamento, segurança etc. no manual do Debian.
Em Thu, 29 Mar 2012 22:10:17 -0300
Listeiro 037 <listeiro_037@yahoo.com.br> escreveu:
> Olá.
>
> O que vou questionar é algo sem sentido, porém imagina-se uma situação
> paranoica, onde algumas coisas podem ser suprimidas por redundância ou
> por necessitar tanto exagero.
>
> Usei algo do manual de segurança e completei com "exageros".
> Inclusive, se alguém me indicar algo sobre segurança, alguma lista de
> discussão paranoica, sites, de preferência em português, para
> acrescentar, eu agradeceria.
>
> Li em algum lugar que são obrigatórias e necessárias CINCO partas no
> superdiretório / sem serem montadas em outras partições.
>
> /bin, /sbin, /etc, /dev, /lib.
>
> As duas primeiras eu imagino que não será nada escrito dentro por um
> usuário comum.
>
> Da terceira não sei, a quarta será dinamicamente preenchida e não pode
> ter NODEV na montagem. Da quinta também não sei. As outras
> não-listadas podem ser usadas com partições montadas nelas.
>
> /boot pode conter uma partiçãoprimária e diversos kernels, até de
> outras instalações, com GRUB ou LILO escritos em seu boot.
>
> O caso é que em /usr coisas podem ser montadas em read-only, /var
> e /tmp não precisam de suid setado, mas precisam read-write. Etc. etc.
> observações do maual de segurança.
>
> Indo mais além, sob determinadas circunstãncias, determinadas, o
> sistema pode rodar montado sem suid setado.
>
> Então, o que queria saber é se há como usar sem travar ou danificar o
> sistema /bin e /sbin como read-only etc. com mount
> remontando/transferindo ou algo com menos cara de gambiarra. Em tempo
> de inicialização.
>
> E como pode ser feito para se rodar o que se necessita na
> inicialização podendo estar com NOSUID, NODEV, NOEXEC etc. setados no
> sistema de arquivos.
>
> Cortando TODAS as gorduras como partições com permissões
> desnecessárias, tirando poder de root que não será usado etc.
>
> É para lacrar o sistema e jogar a chave fora, rasgar a senha root,
> esquecê-lo e ser feliz! E se necessário for, usar um sistema live para
> mudar a senha.
>
> Fechar o root mesmo para ninguém consegui-lo, se não há como.
> E se conseguirem um usuário simples, não poderão encher muito o
> saco.
>
> Talvez para a maioria com mais visão sejam absurdos, exceto as
> recomendações do manual Debian, mas eu pensaria mais ou menos em como
> se trancar uma porta com sete fechaduras.
>
> Como nunca "calejei" um sistema, estou à procura do que é melhor para
> o máximo de segurança. isto incluiu ler o manual Debian.
>
> Se vai servir prá algo, não sei, mas depois de resover isto,
> preocuparei-me com criptografia de partições e outras perfumarias.
>
> Obs: Há muita coisa em Informática, principalmente Software Livre para
> se entender. Segurança não é minha área e até o momento não tenho
> pendido para estes esclarecimentos, por isto este caráter
> momentaneamente "supersticioso".
>
> Desculpem-me pela extensão e desde já agradeço.
>
> Até mais.
>
>
Já que você está pesquisando sobre o assunto e sobre as melhores
práticas para segurança de sistemas GNU/Linux, eu indicaria a leitura
de [1] grsecurity e [2] selinux. com certeza você vai precisar deles se
quiser melhor em 90% a segurança por ai. até +
1-http://en.wikibooks.org/wiki/Grsecurity
2-http://selinuxproject.org/page/Main_Page
Reply to: