Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.

html

Centro de Informática de Ribeirão Preto - CIRP

Segurança em Sistemas Operacionais Unix/Linux
1 - Apresentação

Palestra sobre Segurança em Unix: http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/HTML/pa0.html

Sobre Segurança e Norma ISO17799: http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/CDROM.Seguranca/norma
/index.html
www.freebsd.org/security www.debian.org/security

2 - Arquivos de senhas

Tipos de criptografia : DES e MD5

Comandos para manipulação de usuários e senhas:
Linux : passwd, shadow, pwconv, pwunconv, vipw, vigr, passwd, adduser, rmuser, userdel, etc
FreeBSD : vipw, adduser, passwd, master.passwd, group, pw, etc
Tamanho máximo das senhas
Políticas de troca de senhas
Quebra de senhas com o programa Crack e John the Ripper
FreeBSD: Cracking Passwords to Enhance Security
Senhas de diferentes S.Os. e compatibildades
Migração de senhas
Exemplo de criação de N usuários no FreeBSD: ftp://linorg.cirp.usp.br/FreeBSD.Utils/

Dica : Acompanhar o que o usuário está digitando

O usuário deve ter um shell com o seguinte conteúdo: csh -i |& tee /tmp/log
Você deve monitorar os comandos digitados por ele da seguinte maneira : tail -f /tmp/log

2.1 - Atributos e Permissões de arquivos

Comandos chattr e lsattr (no Linux) e chflags (no FreeBSD)

chattr e lsattr: www.linorg.cirp.usp.br/Debian.refs/Foca.Linux/Iniciante.com.Intermediario
Protegendo o FreeBSD com chflags: www.free.bsd.com.br/noticia.php3?CAD=1&NOT=35&PARA=topo
Comando stat: Status dos arquivos

2.2 - Proteção em partições e arquivos de inicialização, terminais, etc.

Proteções nos arquivos /etc/fstab e /etc/inittab

Proteções no arquivo /etc/ttys (No FreeBSD)
Guias Foca Linux:focalinux.cipsga.org.br

2.3 - Proteção no Sistema de Arquivos

O que fazer depois da instalação do Linux

Partições e permissão de execução de arquivos
Proteção nas partições /tmp com noexec, nosuid e nodev e outros parâmetros
Programas executáveis na partição /tmp
www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/ch4.en.html#s4.7

2.4 - Exercícios com os recursos citados no itens anteriores.

1 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

3 - PAM - Módulo de autenticação Plugável

Utilização com SSH, telnet, POP e IMAP, SUDO

Exercícios com atribuição de permissão de su para poucos usuários, controle de recursos, CPU, memória, etc.

Controle dos serviços POP e IMAP:

Referências:
http://2020ok.com/books/8/securing-optimizing-linux-rh-edition-v1-3-41208.htm
E-Books Free
*** www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s03.html#seg-pam
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s07.html
*** www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/ch4.en.html#s4.9
*** geocities.yahoo.com.br/cesarakg/protegendo_seu_linux.html
*** www.revistadolinux.com.br/ed/021/assinantes/seguranca.php3
*** www.linuxbsd.com.br/phpLinuxBSD/modules/man/LinuxFoca/foca_linux_intermediario/ch-etc.htm
*** www.cbpf.br/~sun/pdf/pam.pdf
Debian Security

3.1 - Exemplos de utilização do PAM:

Usando o PAM para limitar o uso de recursos no servidor.

Fazer com sessões de shell iniciadas por usuários ou grupo de usuários tenham restrições quanto ao uso de recursos da
máquina como:

Número máximo de arquivos abertos.

Prioridade para rodar processos
Máximo uso do processador
Máximo uso de memória
Máximo uso de forks (processos)
Número máximo de logins (veja ulimit). Ver arquivos do diretório /etc/security/

3.2 - Configurando o PAM

Primeiro deve-se selecionar o serviço que se irá aplicar estas restrições.

Como exemplo limitaremos o uso de recursos de sessões abertas pelo ssh, sessões remotas.

Altere o /etc/pam.d/sshd e inclua a linha depois do último "session required":

session required pam_limits.so

session required /lib/security/pam_limits.so

Exemplos:

1 - Limitar número máximo de processos para 6 e quantidade de logins para 2 de todos os usuários.

Alterar o arquivo /etc/security/limits.conf

* hard nproc 6

* hard maxlogins 2

É importante frisar que nenhuma restrição pode ser aplicada ao usuário root.

- Alterar o arquivo /etc/security/access.conf:

-:ALL EXCEPT root:LOCAL

Isso vai proibir accesso remoto para o root, só permite localmente.

*** www.newsforge.com/article.pl?sid=04/09/20/1556223

Exercícios:

1 - Configurar o PAM de modo a permitir que apenas alguns usuários possam se tornar root.
2 - Configurar o PAM para os serviços IMAP e POP - (www.faqs.org/docs/securing/chap23sec189.html)
3 - Controlar o acesso ao servidor, via SSH, em determinados dias e horários apenas.

2 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

4 - Configurar os limites do servidor, estabelecendo o número máximo de processos, conexões simultâneas, número de
conexões dos usuários, ftp users, tempo de conexão, falhas de autenticação, etc.
5 - Através do link : www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/ch4.en.html#s4.9.8, faça uma
comparação com as configurações padrões dos servidores Linux, instalação default.
6 - Instalar o Módulo do de configuração do PAM para o WEBMIN (www.webmin.com)

3 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

4 - Ferramentas de varredura e Scan ports

Introdução
Utilização das ferramentas: satan, saint, nessus, nmap, queso, strobe, tcp_scan, udp_scan e netcat
Varredura com NMAP: granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/ferramentas.varredura.html

4.1 - Verificações com programas : netstat e lsof

Exemplos de utilização

lsof -P -n -r -i tcp:80 | grep ESTABLISHED

lsof | grep t0rn ---> detecta t0rnrootkit
lsof -i tcp:9611
lsof -i tcp:5874
lsof -i TCP:12754
lsof -i tcp:22
netstat -an
lsof | grep LISTEN
netstat -an | grep LISTEN
nmap hostname
lsof -P -n -i
lsof -P -n -i tcp:139
lsof -P -n -i tcp:80
lsof -P -n -i tcp:22

4.2 - Verificação do Status do Servidor

sysstat (detalhes envolvidos dos programas sa e arquivos de log)

Utilização do pacote do Systat, em Linux e em FreeBSD

4.3 - Monitoração das atividades de Rede: Pacotes iptraf, trafshow, netdiag, iplog (TCP/IP traffic logger)

Utilização do IPLOG:

/usr/local/sbin/iplog -o -L -z -u iplog --tcp=false --icmp=false -F --icmp-resolve=false -N --udp-resolve=false -i rl0

# mais detalhes em /usr/local/etc/iplog.conf

4.4 - Escuta de tráfego e Sniffers

Utilização dos programas ethereal, tethereal, ngrep, tcpdump, scapy e dsniff

Outras ferramentas SNIFFER para Linux: apt-cache search sniffer

Como detectar sniffers na rede ?

4 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

Exemplos de utilização:

tethereal -d tcp.port==80,http : decodifica todo tráfego na porta 80 TCP, como http.

ngrep -q -i "passwd|password" port 80 and tcp : captura todos os pacotes que trafeguem pela porta 80/tcp (http) e
que contenham a palavra "passwd" ou "password" em maiúscula ou minúscula (opção -i).
ngrep -q -A 100 -i "google": Captura os pacotes que contêm a palavra "google"
tcpdump -i eth0 -tttt: Captura pacotes na interface eth0 e os mostra o timestamp em cada linha
scapy: Poderosa ferramenta interativa para manipulação de pacotes, geração de pacotes, Scanner de rede, sniffer, etc.
Pode substituir os programas hping, nmap, arpspoof, arp-sk, arping, tcpdump, tethereal, p0f, etc. Feito em Phyton, o
que permite que sejam passadas as variáveis, parâmetros e funções.

Exemplos: www.cartel-securite.fr/pbiondi/scapy.html
Test the robustness of a network stack with invalid packets:
sr(IP(dst="172.16.1.1", ihl=2, options="b$2$", version=3)/ICMP())

Packet sniffing and dissection (with a bpf filter or thetereal-like output):

a=sniff(filter="tcp port 110")
a=sniff(prn = lambda x: x.display)

Sniffed packet reemission:

a=sniff(filter="tcp port 110")
sendp(a)

Pcap file packet reemission:

sendp(rdpcap("file.cap"))

Manual TCP traceroute:

sr(IP(dst="www.google.com", ttl=(1,30))/TCP(seq=RandInt(), sport=RandShort(), dport=dport)

Protocol scan:
sr(IP(dst="172.16.1.28", proto=(1,254)))

ARP ping:
srp(Ether(dst="ff:ff:ff:ff:ff:ff")/ARP(pdst="172.16.1.1/24"))

ACK scan:
sr(IP(dst="172.16.1.28")/TCP(dport=(1,1024), flags="A"))

Passive OS fingerprinting:
sniff(prn=prnp0f)

Active OS fingerprinting:
nmap_fp("172.16.1.232")

ARP cache poisonning:

sendp(Ether(dst=tmac)/ARP(op="who-has", psrc=victim, pdst=target))

Reporting:
report_ports("192.168.2.34", (20,30))

5 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

dsniff : Password sniffer, permite verificar senhas nos seguintes serviços: FTP, Telnet, SMTP, HTTP, POP, poppass,
NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS,
IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer,
Microsoft SMB, Oracle SQL*Net, Sybase e protocolos SQL Microsoft.
dsniff -m -c -i fxp0: Captura pacotes na interface de rede fxp0 e detecta automaticamente o protocolo usado.

4.6 - Narrow Security Scanner

Procura por vulnerabilidades (500+) em aplicações WEB bem como serviços (RPC, FTPD IMAPD, POP3 e Linuxconf)
no endereço IP especificado.

nss -s 192.168.0.1

* Boa ferramenta para testar a segurança de WEB site. Disponível para Unix e Windows

http://packetstormsecurity.org/UNIX/scanners/nss/

5 - Serviços SSH e FTP

Controle de usuários, chroot, shells permitidos, hosts, modificação de atributos execução de comandos, criação de
diretórios, etc.

http://www.linorg.cirp.usp.br/solhre/chap29sec295.html

http://www.openssh.org

Exercícios

Configuração dos servidores de FTP:

VSFTPD, PROFTPD e WU-FTP

SSH, SCP e SFTP
Interação com TCP WRAPPER
Faça comparações entre os serviços SSH, TELNET e FTP.
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s03.html

6 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

6 - Segurança no Sistema Operacional FreeBSD

Segurança em BSD: BSD Security

Livro : FreeBSD and OpenBSD Security

Livros sobre Segurança: Security.oreilly.com

HandBook do FreeBSD: HanbdBook FAQ do FreeBSD : FreeBSD FAQ

6.1 - Firewall IPFW para FreeBSD: Firewall IPFW

Artigo: IP Firewall no FreeBSD

Recomendações de Segurança do FreeBSD: Security Advisories

6.2 - Securing FreeBSD: Secure.pdf securing-freebsd FreeBSD_Basics

6.3 - Níveis de Segurança do Kernel do FreeBSD: www.dicas-l.com.br/dicas-l/20060711.php

Sistemas Operacionais seguros: www.trustedbsd.org www.openbsd.org

7 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

7 - Ferramentas para verificação de integridade dos dados:

Detecção de Root Kits: Chkrootkit (www.chkrootkit.org) Artigo: chkrootkit-ssi2001.pdf

7.1 - Ferramentas AIDE (Advanced Intrusion Detection Environment), substuituta do Tripwire:

www.cs.tut.fi/~rammer/aide.html
sourceforge.net/projects/aide
www.cs.tut.fi/%7Erammer/aide/manual.html
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s07.html

7.2 - Ferramentas COPS (Computer Oracle and Password System):

Identifica riscos de segurança em sistema Unix. Verifica se o arquivo de senhas (/etc/passwd) está vazio, se existem
arquivos com permissão de escrita para todos, se o servidor de FTP anônimo está mal configurado, dentre outros.

Disponível em:www.fish.com/cops/

7.3 - Ferramenta TIGER

www.nongnu.org/tiger/

Verificação de Segurança local: Permissões,em arquivos de senha, NFS, Sendmail, portas de rede, etc.

Verifica vulnerabilidades de segurança em sistemas Unix. É muito parecido com o COPS porém possui mais recursos.

Utilização : /usr/sbin/tiger
Resultados : Diretório /var/log/tiger

7.4 - Detecção de incidentes de Segurança:

www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s09.html

7.5 - Outras ferramentas : ISS, Tripwire, Strobe, etc.

*** www.rnp.br/newsgen/9711/seguranca.html

7.6 - Artigo sobre testes de invasão:

www.revista.unicamp.br/infotec/artigos/frank3.html#2

7.7 - Ferramentas de Detecção de Corrupção do Sistema

bsign - Detecção de corrupção e intrusão

Segurança de serviços e uso de ferramentas: http://www.linuxjournal.com/taxonomy/term/7
systraq - Monitoração do Sistema e alerta de modificações
tripwire - Verificação da integridade do S.O.
Utilização do Nessusd: http://www.linuxjournal.com/article/4685

8 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

7.8 - Proteção do Sistema

Ferramenta harden-tools

Criptografia no File System : cfs e encfs

Proteção do Debian Linux - HowTo: Securing-Debian-HowTo

Checagem da Segurança: checksecurity

Scanner de segurança no servidor WEB: nikto

9 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

8 - Ferramentas para TCP/IP:

Netcat (Netcat for Unix & Windows)

Mais detalhes: Netcat.txt

Exemplo de utilização

$> nc -v website.com 80 # digite no prompt GET / HTTP/1.0 ou HEAD /HTTP/1.0 para adquirir informações do WEB
server.

Netcat como servidor e cliente:

No servidor colocar : nc -l 2233

No cliente colocar: nc 2233

Assim, os dois podem trocar mensagens

Pode-se especificar o uso de TCP e UDP

Mais detalhes e exemplos no man nc

Utilização do Netcat: Netcat - o canivete suíço do TCP/IP

8.1 - Ferramenta socket

Cria conexões TCP socket para entrada/saída de dados.

No FreeBSD : /usr/ports/sysutils/socket

Pode-se criar uma conexão TCP em determinada porta e epserar troca de dados nesta conexão:

Exemplos (man socket)

1 - No servidor colocar: socket -sl 2345

No cliente colocar : telnet localhost 2345 e passar os dados. O cliente vai mostrar dados recebidos.

2 - Pode-se executar um determinado comando ou programa ao se conectar numa determinada porta TCP:

Colocar no servidor: socket -wslqvp "echo Funciona legal" 2345

Colocar no cliente: telnet localhost 2345 , isso vai mostrar a mensagem "Funciona legal" e fechar a conexão.

10 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

9 - Ferramentas para análise de Rede TCP/IP

www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s08.html

Logs de arquivos relacionados a segurança: Apache, auth.log, e-mails, syslog, sulog, messages, etc.
Softwares para segurança, o diretorio /usr/ports/security.
Instalação do FAKEBO.
Instalação do chkrootkit e verificação do FAKEBO.
Níveis de segurança do FreeBSD.
Antivírus clamav. Instalação e utilização.
Firewall IPTABLES, IPFW e PF.
Criação de regras e utilização.
Firewall para o Linux : Iptables
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s08.html
Firewall para o FreeBSD : IPFW e PF
granito2.cirp.usp.br/Handbook.FAQ.FreeBSD/handbook/firewalls.html
www.rnp.br/newsgen/9901/ipfw-bsd.html

Ferramentas para FreeBSD: sockstat, systat, fstat, ifstat, netstat, nfsstat, ps, iostat, pstat e vmstat . Instalação e
utilização.

Ferramentas para o Linux :dstat, ifstat (para Kernel 2.6), systat (sar, iostat e mpstat). Instalação e utilização.

sockstat: Monitoração da Rede, identificação de serviços, portas, etc.

socket: Permite se criar um socket e executar programas.
systat: Monitoração do Sistema completo. Dados estatísticos do sistema:
icmp, icmp6, ifstat, iostat, ip, ip6, mbufs, netstat, pigs, swap, tcp, ou vmstat.
fstat: Identificação de arquivos ativos, em uso.
ifstat: Atividades das interfaces de rede.
netstat: Serviços de Rede, protocolos, status de cada serviço, etc.
nfsstat: Status do serviço NFS
ps: Processos do servidor Unix
iostat: Monitoração dos dispositivos de Entrada/Saída, discos, memória, etc.
pstat: Arquivos em uso, utilização da área de Swap, estados dos terminais e estruturas dos VNODES
vmstat: Monitoração da utilização de memória.
dstat: Estatística de uso do Sistema Operacional Linux.
sar: Coleta e relaciona as atividades do Sistema Operacional Linux.
mpstat: Estatísticas de uso do Processador.

11 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

10 - Utilização de ferramentas - técnicas de invasão.

*** www.informabr.com.br/tecnicas.htm www.invasao.com.br

Software HAKTEK

11 - Sistemas para IDS (Intrusion Detect System)

São sistemas e ferramentas para a detecção de intrusão, invasão e comprometimento de um servidor. Detecta pacotes
que podem estar trafegando na rede e causando danos.

*** O que é e como funciona uma ferramenta IDS:www.clm.com.br/snort/comofuncionaids.asp

Understanding IDS for Linux: www.linuxjournal.com/article/5616

Sistemas de Detecção de Intrusão: www.lockabit.coppe.ufrj.br/downloads/academicos/IDS.pdf

Sistemas de Detecção de Intrusão e Aspectos Legais: www.absoluta.org/seguranca/seg_ids.htm

Introdução a Sistemas de Detecção de Intrusão: www.gta.ufrj.br/grad/03_1/sdi/

SNORT: www.snort.org

Manual do SNORT: www.bsbnet.com/snort/

Utilização do SNORT em IDS: www.linuxjournal.com/article/4668

*** Snort Brasil:www.clm.com.br/snort/snort.asp

*** Utilização do SNORT com MySQL: www.pop-pr.rnp.br/tiki-index.php?page=IDS+Snort

12 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

Exercícios
1 - Instalar os programas socket, netcat e dfstat e verificar suas funcionalidades.

2 - Utilizar o comando socket para criar uma conexão e verificar através do nmap ou nmapfe a situação das portas TCP. Verificar também com o
comando lsof.

3 - Utilizar o comando netcat para trabalhar como cliente e servidor. Verificar com um port scanner a presença do netcat.

4 - Utilizar o comando dfstat para verificar a situação do servidor Linux.

5 - Utilizar os comandos do pacote netdiag para fazer os diagnósticos na rede, nas conexões TCP, situação da rede, tráfego de dados, etc.

6 - Utilizar os comandos nmap e lsof para verificar as conexões TCP, portas em utilização e arquivos que estão sendo usados por determinados
processos.

7 - Utilizar o software chkrootkit para examinar as conexões de rede, rootkits suspeitos, possíveis programas infectados por rootkits, etc.

8 - Como detectar um Sniffer na rede ?

9 - O que significa uma placa de rede trabalhando em modo Promíscuo ? Como fazer para que ela saia do modo Promíscuo ?

10 - Qual a função básica de um Firewall ? Como ele pode ser utilizado ?

11 - Instalar o SSH DropBear e o FTP server VSFTPD.

12 - Proteger as configurações dos dois serviços acima.

13 - Fazer varredura de portas com o NMAP e o STROBE (componente do netdiag) na própria máquina e em mais uma máquina.

14 - Desabilitar o TELNET e instalar o TELNETS (Telnet com SSL).

15 - Verificar as portas abertas e protegê-las. Usar os programas lsof, netstat, sockstat e nmap.

16 - Usar o /etc/inetd.conf e /etc/init.d/ para ver a lista de Daemons que podem ser inicializados. Fazer adaptações de modo a se colocar novos
serviços.

17 - Usar o comando lsof para verificar serviços de rede/processos e arquivos usados por cada processo, etc.

18 - Verificar os arquivos de log od Servidor Web Apache e procurar por suspeitas de ataques CGI, execução de programas executáveis, etc.
Usar o programa NESSUS para verificação mais detalhada e diversificada das vulnerabilidades existentes.

19 - Elabore um esquema de bloqueio de conexões ao seu servidor Debian Linux. Deve-se aceitar conexões SSH e FTP de poucos usuários e
endereços IP.

20 - Um servidor Linux foi considerado HACKEADO e está comprometido. Os dados dos usuários devem ser preservados e o HACKER deve ser
identificado.

Qual o procedimento que você adotaria considerando a seguinte situação:

O servidor Linux não permite que o usuário root se conecte. A senha foi trocada.
Alguns comandos (ps, df, pwd e ls) foram removidos e não há como verificar suas funcionalidades.
Há uma denúncia de que o servidor está fazendo SCAN de portas em outro servidor, de outra Rede.
Não é possível reinstalar o Sistema Operacional todo, tem que fazer o Backup antes. Como fazer o Backup nesta situação ?
Que ferramentas são necessárias para se descobrir as vulnerabilidades e o causador deste transtorno ?
Como recuperar os arquivos apagados (ps, df, pwd e ls) ?
O que é necessário para que todo o servidor seja reestabelecido e seu funcionamento normalizado ?

21 - Na verificação de certos pacotes e serviços instalados num Unix, o que deve ser considerado em relação a possíveis vulnerabilidades dos
serviços disponibilizados ? Como manter o servidor em funcionamento próximo do ideal ?

22 - Como estabelecer limites para os usuários dum S.O. Unix ? Quais tipos de limites julga necessários ?

23 - Como fazer para verificar constantemente a integridade dos arquivos e diretórios do Unix ?

24 - Como proteger o Kernel de um S.O. Unix, evitar a instalaçao de Rootkits ? Elabore um esquema de proteção.

25 - Como fazer um teste das possíveis vulnerabilidades que um S.O. Unix pode apresentar ? Quais ferramentas e metodologia você utilizaria ?
Justifique.

13 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

Dicas de manipulação de pacotes no Linux Debian e no FreeBSD

Linux Debian:
Verificação de conteúdo de um pacote: dpkg -L pacote
Lista de pacotes com um dado nome ou palavra-chave: apt-cache search nome, apt-cache show pacote (descrição do pacote)
Instalar/desinstalar pacotes: apt-get install pacote, apt-get remove pacote
Start/Stop de daemons: /etc/init.d/inetd stop , /etc/init.d/inetd start
Serviços de rede: netstat -nal
Lista de pacotes instalados: dpkg -l
FreeBSD:
Verificação de conteúdo de um pacote: pkg_info -xL pacote
Lista de pacotes com um dado nome ou palavra-chave: cd /usr/ports && make search name=pacote ou key=pacote
Instalar/desinstalar pacotes: pkg_add -r pacote, pkg_delete -f pacote. Apenas para pacotes compilados
Start/Stop de daemons: /usr/local/etc/rc.d/servico.sh stop , /usr/local/etc/rc.d/servico.sh start
Serviços de rede: netstat -nal
Lista de pacotes instalados: pkg_info

14 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

Referências Bibliográficas:
www.onlinux.com.br/dicas/lnag/
www.linuxsecurity.com
www.underlinux.com.br
www.unixsecurity.com
www.unixsecurity.com.br
www.linorg.cirp.usp.br/Seguranca.Linux/
ftp://www.linorg.cirp.usp.br/LNAG/
ftp://www.linorg.cirp.usp.br/Seguranca/
www.linorg.cirp.usp.br/Debian.refs/
ftp://www.linorg.cirp.usp.br/pub1/
http://www.linorg.cirp.usp.br/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/

Artigos e Revistas
Artigo Linux Security Tips: ftp://linorg.cirp.usp.br/pub/Livros/sharma.html
RNP - Rede Nacional de Pesquisa e Ensino: Artigos publicados
Revista do Gestor de Segurança de Informação: Security Review
Revistas e Livros, Hackerismo, etc:www.linuxmall.com.br/index.php?product_id=2171
*** Securing and Hardening Linux Production Systems: www.puschitz.com/SecuringLinux.shtml
Revistas sobre Segurança: www.infosyssec.com/infosyssec/secmag1.htm
Best Hacking Download Sections on the Net: www.infosyssec.net/infosyssec/tools2.htm
Artigos Segurança em Linux: ftp://linorg.cirp.usp.br/pub/Livros/Artigos_Livros_etc_Seguranca_LINUX.html
IT Magazines and Newspapers: www.infosyssec.org/infosyssec/compmagonline.htm
YoLinux: Internet Server Security and Configuration Tutorial: yolinux.com/TUTORIALS/LinuxTutorialInternetSecurity.html
YoLinux: List of Linux Security and Hacker Software Tools: yolinux.com/TUTORIALS/LinuxSecurityTools.html

UNIX Computer Security Checklist

ftp://linorg.cirp.usp.br/Seguranca/unix_security_checklist
Unix Computer Security Checklist v2.0
Unix Security Resources
*** www.infosyssec.net ***
linuxdevcenter.com/pub/a/linux/2001/12/14/rootkit.html

Documentos - Vulnerabilidades de segurança

www.security.unicamp.br
Softwares de Segurança

Segurança em Unix/Redes
ftp://linorg.cirp.usp.br/Seguranca/
Manual de Segurança do Linux Debian
Segurança em Servidores
Network Security
Intrusion Detection
Lista Security - UNICAMP
www.securityfocus.com
www.securitytracker.com
ACME Security
SANS www.sans.org
Security Focus www.securityfocus.org
*** NIC BR www.nic.br
*** NIC BR Security Officer www.nic.br/seguranca/index.html
Check list em Segurança de Servidores: seg-adm-redes.pdf seg-adm-chklist.pdf
CAIS www.rnp.br/cais
Protegendo o FreeBSD:granito2.cirp.usp.br/Handbook.FAQ.FreeBSD/handbook/securing-freebsd.html
Detecção de Intrusão Checklist: www.cert.org/tech_tips/intruder_detection_checklist.html
Network Security Tools: www.insecure.org/tools.html
Cartilha de Segurança: cartilha.cert.br
Antispam.br: www.antispam.br
*** A Taste of Computer Security: www.kernelthread.com/publications/security/index.html
*** Unix vs. Microsoft Windows : www.kernelthread.com/publications/security/uw.html
*** Segurança de serviços e uso de ferramentas: http://www.linuxjournal.com/taxonomy/term/7
*** Packet Storm Security:http://packetstormsecurity.org

*** Apostilas Treinamento UNICAMP: www.ccuec.unicamp.br/treinamentos/index_html

Livros Unix / Linux: WWW.LINORG.CIRP.USP.BR/livros.html

15 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html

Artigos do autor
Qual Unix usar ? Como escolher ? Sistema Operacional FreeBSD

Autor : MSc.Eng. Ali Faiez Taha / Electronic Mail : aftaha ARROBA cirp.usp.br / SCSUPOR - CIRP

16 de 16 11/2/2009 16:45