Melhorando a segurança de seu fedora
Data: 28-04-2005 @ 21:31:57 BRT
Tópico: Fedora Linux
Acvsilva nos enviou uma grande dica de como melhorar a segunrança do Fedora Core Linux, saiba tudo e muito mais nesse artigo!
Você poderá melhorar a segurança de seu linux editando o /etc/rc.d/rc.local como root e adicionar os seguinte parâmetros:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all
for i in /proc/sys/net/ipv4/conf/*; do
echo 0 > $i/accept_redirects
echo 0 > $i/accept_source_route
echo 1 > $i/log_martians
echo 1 > $i/rp_filter;
done
onde:
a)
icmp_echo_ignore_all e icmp_echo_ignore_broadcasts - esse arquivo é
responsável por rejeitar todas as requisições de ICMP ECHO, ou apenas
aquelas destinadas a endereços broadcasting ou multicasting;
b) icmp_ignore_bogus_error_responses - esse arquivo é responsável por ignorar mensagens falsas de icmp_error_responses;
c) tpc_syncookies - é importante ativar essa opção evitando ataques como 'syn flood atack';
d) conf/accept_redirects - essa opção decide se o kernel aceita redirecionar mensagens ICMP ou não;
e)
conf/accept_source_route - essa opção permite estabelecer o caminho que
um pacote segue ate chegar a seu destino, e conseqüentemente o caminho
de volta desse pacote. Ativar essa opção abre chances para que um
cracker realize ataques do tipo IP Spoofing
f)
conf/*/log_martians - permite que pacotes de origem suspeita ou
desconhecida (como pacotes forjados) sejam logados pelo próprio kernel.
g) conf/*/rp_filter - verifica o Endereço de Origem do Pacote, prevenindo a sua maquina de ataques como 'IP Spoofing'.
OBS: (1) fonte - http://www.comlinux.com.br/docs/dicas/antiataque.shtml
Salve o arquivo e, como root, vá para /etc/rc.d e execute: # ./rc.local
Execute agora: # sysctl -a
e
veja se as regras que você configrou acima foram alteradas. Veja
exemplo abaixo (é um recorte, o arquivo original é bem maior):
net.ipv4.conf.lo.log_martians = 1
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_echo_ignore_all = 1
Para saber se o iptables está carregado e protegendo seu pc, digite:
# lsmod
e se aparecerem os módulos abaixo está tudo ok:
Module Size Used by Tainted: P
ipt_state 1080 18 (autoclean)
ipt_REJECT 4344 4 (autoclean)
ipt_limit 1560 6 (autoclean)
ipt_LOG 4248 6 (autoclean)
ip_conntrack_ftp 5168 0 (unused)
ip_conntrack 28840 2 [ipt_state ip_conntrack_ftp]
iptable_filter 2444 1 (autoclean)
ip_tables 15264 5 [ipt_state ipt_REJECT ipt_limit ipt_LOG iptable_filter]
TESTANDO
Vamos
agora fazer um pequeno teste para sabermos se estamos "invisíveis" na
internet. Lembre-se: não se pode atacar o que não se pode ver"...
1) Vá para o endereço: http://www.grc.com/default.htm
2) Clique em "ShieldsUP"
3) Clique em "proceed" e "continuar"
4) Clique em "all service ports"
5)
As portas até 1024 serão testadas e se o resultado final for um
"PASSED" em verde, seu pc não responde a pacotes icmp e, portanto, tem
uma segurança a mais na navegação... ;-))
Por acvsilva
|
|