Sei sulla pagina 1di 21

0

CENTRO DE EDUCAÇÃO TECNOLÓGICA DO AMAZONAS CETAM CURSO TÉCNICO DE ADMINISTRAÇÃO DE REDES

BS7799 EM LINUX Procedimentos Necessários Para Melhorar a Segurança de um Servidor Linux, Após a Instalação.

Renato Souza de Lira

Manaus

2006

1

CENTRO DE EDUCAÇÃO TECNOLÓGICA DO AMAZONAS CETAM CURSO TÉCNICO DE ADMINISTRAÇÃO DE REDES

Após a exposição do aluno Renato Souza de Lira, matricula nº. 8214106, sobre a defesa do Projeto Técnico intitulado BS7799 EM LINUX: Procedimentos necessários para melhorar a segurança de um servidor linux após a instalação, a Banca Examinadora / Coordenador

abaixo, aprovaram o presente Projeto que, por atender aos requisitos estabelecidos, recebeu a

nota (

)

Prof. Aldimiro Vasconcelos da Silva Filho Professor Orientador CETAM / IBC

Prof. Flávio de Oliveira Barros Professor Co-orientador CETAM / IBC

Membro da banca examinadora CETAM

Sr.(a)

Supervisor da Instituição

Coordenador do CETAM / IBC

2

SUMÁRIO

DADOS DA IDENTIFICAÇÃO

3

APRESENTAÇÃO

4

CARACTERIZAÇÃO DO PROBLEMA E JUSTIFICATIVA TÉCNICA

5

ÁREA DE ABRANGÊNCIA

8

OBJETIVOS

9

GERAL :

9

ESPECÍFICOS:

9

METAS

9

FASES DE EXECUÇÃO

10

METODOLOGIA

11

DESCRIÇÕES PRÁTICAS

12

1 -

Programas Desnecessários

12

2 - Segurança no Terminal

13

2.1-Desabilitar o uso de CTRL+ALT+DEL

13

 

2.2 - Limitar o uso dos terminais texto

13

2.3 Bloquear o terminal com a variável TMOUT

13

3 Gerenciamento de Privilégios

14

3.1-Bloquear o login do root nos terminais texto

14

 

3.2- Determinar datas de expiração pra contas de usuários

15

3.3

Remover shells válidas de usuários que não precisam delas

16

ÓRGÃOS ENVOLVIDOS

17

MECANISMOS E NORMAS DE EXECUÇÃO

18

ORÇAMENTO

 

18

CRONOGRAMA

19

REFERÊNCIAS

 

20

3

DADOS DA IDENTIFICAÇÃO

1. Título do Projeto: BS7799 EM LINUX: Procedimentos necessários para melhorar a

segurança de um servidor linux, após a instalação.

2. Orientando: Renato Souza de Lira

3. Orientador: Aldimiro Vasconcelos da Silva Filho

4. Co-orientador: Flávio de Oliveira Barros

5. Empresa: Instituto Benjamin Constant / Centro de Educação Tecnológica do Amazonas -

IBC/CETAM

6. Linha Temática: Segurança em redes de computadores.

4

APRESENTAÇÃO

O sistema Linux torna-se bastante seguro uma vez devidamente trabalhado. Porém muitos administradores sem muita experiência em segurança preparam seus servidores com uma instalação básica e, depois que suas aplicações já estão funcionando, eles deixam da maneira como está. Dessa forma pretendemos resolver esse problema por meio de uma técnica de segurança da informação conhecida como Hardening: Procedimentos de segurança pós-instalação. Essa técnica é baseada na norma de segurança mais usada em todo o mundo, a norma BS7799.

A norma BS7799 é considerado o mais completo padrão para o gerenciamento da

segurança da informação no mundo. Com ela é possível implementar um sistema de gestão de segurança baseado em controles e práticas definidos por uma norma e

internacionais.

Em dezembro de 2000, a Parte 1 da BS 7799 se tornou norma oficial da ISO sob o

código ISO/IEC 17799. Em agosto de 2001 o Brasil adotou esta norma ISO como seu padrão, através da ABNT, sob o código NBR-ISO/IEC 17799.

(http://www.linuxmall.com.br/index.php?product_id=4031)

práticas

Dentro desse cenário, a BS7799 foi criada com o objetivo de ajudar as empresas a construir políticas de segurança concisas e efetivas. Abordaremos neste trabalho uma técnica chamada Hardening que consiste nos procedimentos de segurança pós-instalação. Se analisarmos a real tradução da palavra, Herdening significa Endurecer-se, e é exatamente isso que vamos fazer com o sistema. Essa idéia fica mais clara se considerarmos a tradução como Fortalecimento ou, como se costuma dizer, Ajuste Fino. Nesta perspectiva pretende-se beneficiar o Instituto Benjamin Constant em suas políticas de segurança no setor do Centro de Processamento de Dados CPD, tornando a rede de computadores do Instituto mais segura e permitindo aplicar na prática políticas de segurança e soluções que visem à proteção dos servidores Linux. Este projeto tem o propósito de unir o melhor do mundo do software livre com a estratégia desenhada a partir de uma das normas de segurança da informação mais utilizada do mundo, com o objetivo de abordar os procedimentos necessários para melhorar a segurança de um servidor Linux após a instalação.

5

CARACTERIZAÇÃO DO PROBLEMA E JUSTIFICATIVA TÉCNICA

A segurança da informação é um bem diretamente relacionado aos negócios de uma

organização. Seu principal objetivo é garantir o funcionamento da organização frente às

possibilidades de incidentes, evitando prejuízos, aumentando a produtividade, provendo maior qualidade aos clientes e vantagens em relação aos seus competidores evidenciando a reputação da organização.

A comunidade internacional composta por entidades governamentais, e até mesmo

privadas, preocupadas com esta questão da segurança, iniciou, ainda de forma isolada, propostas para tratar o assunto, principalmente nos 12 últimos anos com a criação, em 1995,

da norma como a BS 17799-1 e evoluída para a versão BS 17799 1- 2 em 1999, que passou a ser padrão mundial seguido pelas empresas e governos. Surgiu então a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro deste mesmo ano. Para se obter um servidor Linux seguro não basta apenas instalá-lo com as configurações padrões, mas devemos aperfeiçoar tais configurações para torná-lo o mais seguro possível. Para resolver esse problema devemos considerar alguns fatores tais como, as práticas e os procedimentos a serem tomados para implementar segurança nos servidores Linux, procedimentos de instalação que proporcionam maior segurança, soluções de configuração nos servidores Linux, ações que minimizem os problemas encontrados. Dentro desse cenário, o projeto em questão propõe soluções completas que possam ajudar o Instituto Benjamin Constant IBC/CETAM a construir políticas de segurança concisas e efetivas, tendo como visão os princípios da segurança da informação, baseado na norma BS7799.

Segundo Moreira (2001, p.2):

tecnologias e avanços têm colocado muitas empresas em uma

posição delicada em alguns casos. Problemas de origem interna e

externa têm marcado presença no dia-a-dia, principalmente nas Organizações que não possuem Políticas de Segurança implementadas.

] [

Buscamos apresentar estratégias desenhadas a partir de uma das normas de segurança da informação mais utilizada do mundo, mostrando os procedimentos necessários a serem feitos para tornar o sistema de servidores Linux o mais seguro possível.

6

Este projeto tem relevância uma vez que identifica a ausência de manutenção evolutiva da política de segurança e também da configuração dos servidores, o que torna oportuno o estudo de alternativas para proteção dos principais ativos como informações, em razão da sua respectiva importância e um controle maior aos servidores Linux vitais do Instituto Benjamin Constant. Para manter uma ambiente de rede segura deve-se contar com um sistema operacional seguro e bem configurado para prover um alto nível de segurança. A inexistência de uma política de segurança permite que se determinem as diretrizes, normas e os procedimentos que apóiam as decisões da alta gerência.

O principal motivo deste trabalho é sugerir soluções de segurança aos servidores Linux

para que os riscos existentes sejam fortemente diminuídos.

O conceito de endurecimento do sistema não é novo, os militares e outras organizações

têm usado essa frase já algum tempo e ela se refere ao fortalecimento de seus equipamentos ou armamentos e tomar menos provável um ataque físico que causaria sérios danos. No contexto dos sistemas de computação, significa basicamente a mesma coisa reduzir as vulnerabilidades e também fortificar o sistema contra ataques ou conhecidas questões de segurança. Limitar qualquer serviço de sistema desnecessário e também implementar configurações padrão do sistema operacional realizam o endurecimento do sistema. Além disso, substituir um serviço inferior por um melhor também torna os sistemas seguros. Por exemplo, o sistema Linux suporta o serviço de Telnet, que fornece acessibilidade básica pra terminal de um sistema para outro sistema remoto. Esse serviço particular existe há algum tempo e é usado por muitos administradores de sistema. No entanto o serviço Telnet tem uma falha significativa: o caminho de comunicação entre o cliente e os servidores não é seguro. Como resultado, o uso desse serviço represente uma ameaça para a segurança, o que muitos

consideram bastante arriscado. Para tratar do problema, Telnet está desabiliado e o Secure Shell (SSH) está habilitado pra fornecer acesso seguro. O SSH fornece criptografia, o que torna o caminho de comunicação seguro.

O objetivo básico do endurecimento do sistema é eliminar qualquer serviço de sistema

desnecessário que possa representar uma ameaça à segurança e configurar o sistema para máxima segurança sem impactar seriamente a comunidade de usuários.

Segundo Maxwell (2003, p.169):

7

Uma das melhores maneiras de garantir um nível básico de segurança é remover serviços não utilizados ou desnecessários que possam representar um risco de segurança do sistema em potencial. Por exemplo, se FTP irrestrito estiver habilitado em um sistema, mas aquela máquina em particular não precisar realmente de capacidade de transferência de arquivo, então pode ser prudente fechar este serviço em particular.

Podemos ver que, mesmo que o sistema seja instalado no seu modo básico, ainda existem programas que podem ser retirados, pois talvez sejam até uma brecha de segurança em seu sistema se forem bem explorados.

Segundo Maxwell (2003, p.169):

Uma política de segurança escrita ajuda a aumentar a consciência quanto a questões de segurança, define claramente quais são e não são os usos permissíveis do sistema de modo que não haja ambigüidade ou incerteza entre os usuários e define papéis e responsabilidades para garantir a segurança e a recuperação de qualquer quebre de segurança potencial. O endurecimento de sistema inclui o estabelecimento de um conjunto de configurações padrão do sistema operacional, eliminando serviços de sistemas desnecessários e substituindo um sistema inferior por um sistema mais seguro.

Dessa forma devesse manter sempre políticas de segurança que visem evitar problemas em potencial, fornecer ambientes de computação estáveis e simplificar a identificação e diagnostico dos problemas e questões do sistema.

Dentro desse cenário, a BS7799 foi criada pelo BSI ( o inglês British Standerds Institution) com objetivo de ajudar as empresas a construir políticas de segurança concisas e efetivas para todos os ativos da empresa a partir de uma contextualização, tendo como visão os princípios da segurança da informação.

8

ÁREA DE ABRANGÊNCIA

O Instituto Benjamin Constant IBC foi criado pela Lei nº 643 de 2 de junho de 1884,

inaugurado em 10 de julho do mesmo ano. Atualmente o Instituto Benjamin Constant dispõe em sua estrutura física de Diretoria, Secretaria Acadêmica, Coordenação Pedagógica, Biblioteca, Sala de Estudo, Sala de Reunião, Sala de professores, Sala de Internet, sete salas de aula, seis laboratórios de Informática, dois laboratórios, uma oficina e um depósito de Hardware, laboratório de Computação Gráfica e Web Design, laboratório de Redes, Gerência

de Redes, Gerência de Projetos, duas salas para Desenvolvimento de Projetos, almoxarifado,

cantina e banheiros.

Ofertando Cursos Técnicos de Informática, na área de Administração de Redes, Desenvolvimento de Software, Web Design, Manutenção e Montagem de Equipamentos de Microcomputadores, e Geoprocessamento à alunos que concluíram o Ensino Médio, Informática Industrial para alunos das escolas estaduais que cursam concomitantemente o Ensino Médio, e Cursos Avançados para a comunidade, este imponente prédio contribui para a aprimoramento educacional da sociedade do Amazonas.

O Instituto Benjamin Constant, localiza-se à rua Nove de Novembro após a rua Lauro

Cavalcante.

O projeto terá sua focalização central no Centro de Processamento de Dados CPD da

Instituição acima citada, que é o setor responsável por toda a gerencia de redes de computadores da instituição, abrangendo o controle dos laboratórios, diretoria, secretaria e sala dos professores. Seu horário de funcionamento é de 7:30 h as 11:30 h e das 13:00 h as

22:00 h.

9

GERAL :

OBJETIVOS

Demonstrar 3 implementações de segurança na prática em servidores linux baseadas

na norma BS7799, em seus módulos que tratam especificamente da configuração de um servidor linux após a instalação.

ESPECÍFICOS:

Demonstrar na prática os procedimentos a serem tomados para implementar segurança nos servidores linux.

Aplicar soluções de configuração nos servidores linux, em conformidade com a norma

BS7799.

Propor ações que minimizem os problemas encontrados.

METAS

Na 1ª semana de estudo, será feito o levantamento dos servidores Linux do sistema atual do Instituto Benjamin Constant, obtendo-se assim uma análise do sistema existente. A 2ª semana será reservada para teste de implementação a serem aplicados, estudo do problema e elaboração de um plano de atividades. Esses procedimentos serão executados no período de 20 de novembro a 01 de dezembro. Durante as 2ª e 3ª semanas será feita a implementação da Técnica Hardening:

procedimentos de ajuste da configuração após a instalação do servidor linux, em conformidade com a norma BS7799. Também apresentaremos os relatórios de atividades para poder mostrar os resultados do Projeto, tudo isso no período de 04 a 15 de dezembro. Assim a aplicação de procedimentos práticos pós - instalação nos servidores linux do instituto IBC/CETAM permitirá um ganho em segurança para a sua rede de computadores, pois o sistema Linux torna-se bastante seguro uma vez devidamente trabalhado. As soluções aplicadas em conjunto refletirão no fortalecimento do sistema já existente, a diminuição dos riscos e uma boa flexibilidade. Esses procedimentos visão o aperfeiçoamento das configurações padrões de qualquer servidor em linux tornando-o ainda mais seguro. Tais resultados devem ser alcançados no período de execução do projeto que será de 20 de novembro a 15 de dezembro.

10

FASES DE EXECUÇÃO

 

FASES

 

SEMANAS

 
 

I. Levantamento dos servidores e análise do sistema existente.

X

     

II. Executar as 3 soluções de segurança

 

X

   

propostas.

III.

Teste gerais de implementação.

 

X

   

III.

Implementação dos procedimentos de

   

X

X

ajuste da configuração após a instalação do

servidor linux, em conformidade com a norma BS7799.

Tabela 1. Fases de execução

11

Metodologia da análise

METODOLOGIA

São feitos levantamentos relevantes como vulnerabilidades, e outros que podem ser de interesse da análise. Situação Atual: é apresentada a situação encontrada na empresa em relação a Segurança da Informação, levando-se em consideração o que pode ser mantido, o que pode ser aperfeiçoado e o que deve ser mudado, levando em consideração as três soluções propostas. Recomendações: São feitas recomendações de melhorias na Segurança da Informação, de acordo com o verificado na situação atual. Plano de Ação: São recomendações mais profundas visando melhorias na Segurança da Informação da empresa, que ajudam a orientar e determinar a atuação gerencial apropriada às prioridades para o gerenciamento dos riscos à Segurança da Informação. Serve como auxílio na implementação de controles que oferecem proteção contra os riscos identificados. Observações:

A análise é baseada na Norma BS7799.

O objetivo da metodologia é demonstrar na prática soluções que proporcionam maior segurança aos servidores Linux no Instituto Benjamin Constant.

Parâmetros da avaliação para os módulos da norma utilizados na análise:

Procedimentos a serem tomados para implementar segurança nos servidores linux.

Práticas de instalação que proporcionam maior segurança.

Soluções de configuração nos servidores linux, em conformidade com a norma

BS7799.

Implementações

Objetivo: Reduzir os riscos relacionados às configurações lógicas dos servidores Linux.

12

1. Programas Desnecessários será feita uma verificação dos programas que não são necessários para que sejam desinstalados e assim eliminemos assim brechas de segurança nos servidores.

2. Segurança no terminal manter nosso servidor seguro, com todos nossos terminais protegidos.

3. Gerenciamento de Privilégios com alguns ajustes nos arquivos de configuração podemos limitar bastante os privilégios comuns e até mesmo limitar o próprio root, o que em muitas situações pode ser útil, nos ajudando a ter um maior controle no gerenciamento de privilégios do sistema.

DESCRIÇÕES PRÁTICAS

1 - Programas Desnecessários

Conformidade com as recomendações:

Em relação aos programas instalados, a norma ABNT NRB ISSO/IEC 17799:2005 recomenda que devemos remover todo software desnecessário do sistema após uma checagem.

Executando os procedimentos:

Devemos fazer uma pesquisa por todos os pacotes instalados, junto com suas versões. Para então, enviá-los a uma lista para ser analisado.

# dpkg -1 | awk ´{print $2,$3}´ | sed „1,1d‟ > /root/pacotes

Assim pesquisaremos todos os pacotes instalados. O dpkg faz um filtro somente na segunda e na terceira coluna, que são os nomes dos programas e versões. A retirada dos programas desnecessários deve ser de acordo com a situação que se está trabalhando. É importante que isso seja minuciosamente analisado. Por exemplo, temos o programa wget, que é usado para fazer downloads sem a interação do usuário. Ai pode ter um risco, pois um cracker pode aproveitar-se de problemas conhecidos do seu sistema e utilizar o wget para baixar programas indevidos para o seu servidor, tais como exploids, backdooors, entre outros. Possibilitando que ele tenha um fácil acesso ao servidor ou que até mesmo o danifique.

13

Finalizando, caso o seu linux tenha o wget, podemos remove-lo. #apt-get remove purge wget

2 - Segurança no Terminal Conformidade com as recomendações:

Devemos ter controle sobre os acessos no sistema a fim de evitar acessos não-autorizados e não fornecer informações desnecessárias.

Executando os procedimentos 2.1-Desabilitar o uso de CTRL+ALT+DEL

Edite o arquivo /etc/inittab e comente a linha a seguir:

# ca:12345:ctrlalrdel:/sbin/shutdown t1 a r now

Depois das alterações, precisamos atualizar o arquivo /etc/inittab. Isso é feito com o comando seguinte:

# init q

2.2 - Limitar o uso dos terminais texto

Por questões de segurança não devemos deixar o logon habilitado em todos os terminais. Vamos impedir o login nos terminais 4,5 e 6. Para isso, devemos editar o arquivo /etc,inittab e

comentar as seguintes linhas:

# vi /etc/inittab

#4:23:respawn:/sbin/getty 38400 tty4

#5:23:respawn:/sbin/getty 38400 tty5 #6:23:respawn:/sbin/getty 38400 tty6

Após as alterações, execute o commando para atualizar o arquivo /etc/inittab.

# init q

2.3 Bloquear o terminal com a variável TMOUT

Esse é outro detalhe muito importante, que não vem configurado por padrão. A variável

TMOUT, controla o tempo que o terminal será deslogado.

14

Por exemplo, executando o seguinte comando:

# TMOUT=15

Com isso, se o terminal não for utilizado durante 15 segundos, o usuário será

automaticamente deslogado do sistema.

Para evitar que tenhamos que configurar toda vez que o sistema for iniciado, podemos colocar

essa variável dentro do arquivo global de variáveis.

# vi /etc/profile

if [ “´id –u´” –eq 0]; then

PATH=”/usr/local/sbin:/usr/local/bin:/usr//sbin:/usr/bin:/sbin:/bin:/usr/bin/X11”

else

PATH=“/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games”

fi if [ “$PS1” ]; then if [ “$BASH” ]; then PS1=´\u@\h:\w\$ ´ else if [ “´id –u´” –eq o] ; then PS1=´# ´ else PS1=´$ ´ Fi

fi

fi

TMOUT=180

Export PATH

TMOUTumask 022

Assim, caso não seja executado nenhum comando num intervalo de 180 segundos (3

minutos), o sistema voltará para a tela de login.

3 Gerenciamento de Privilégios

Conformidade com as recomendações:

A norma estabelece que concessão e o uso de privilégios devem ser restritos e controlados.

Executando os procedimentos

3.1-Bloquear o login do root nos terminais texto

15

Não devemos deixar o login habilitado como root para os terminais texto. Devemos bloquear

o login do root em todos os terminais texto, logar como usurário comum e quando necessário realizar alguma tarefa administrativa, viramos usuário root usando o comando su. Para isso temos que editar o arquivo /etc/securetty e comentar as linhas referentes aos terminais que queremos desabilitar para o root.

# vi /etc/securetty

#tty1

#tty2

#tty3

#tty4

#tty5

#tty6

#tty7

#tty8

#tty9

#tty10

#tty11

#tty12

3.2- Determinar datas de expiração pra contas de usuários Se por algum motivo uma conta de um usuário não está sendo utilizada, ela será desativada no tempo especificado, dando-nos uma segurança de que essa contra não será usada com más intenções.

Vamos usar o comando chage, que modifica os parâmetros do arquivo /etc/shadow, onde são feitos esses controles.

# chage 1 teste

Fezendo as modificações para esse usuário:

# chage M 30 W 5 I 2 teste

# chage -1 teste

16

-M = tempo máximo de validade da conta (em dias) -W = tempo de aviso (em dias)

-I = tempo antes de a conta ser desativada (em dias)

3.3 Remover shells válidas de usuários que não precisam delas

Vamos remover as shells válidas de todos os usuários que não vão executar oficialmente login no sistema através do terminal local (tty) ou via ssh. Combinando a isso, criaremos um usuário estratégico pertencente ao grupo de administradores, que também criaremos. Os usuários pertencentes a esse grupo terão permissão para realizar o login e posteriormente usar

o su para se tornar root.

Criando o grupo administradores. Em seguida, criaremos um usuário administrador e o adicionaremos ao grupo.

# groupadd administradores

# adduser toor

# gpasswd a toor administradores

Visualizando o arquivo /etc/passwd. Vemos que todos os usuários do sistema possuem shells válidos.

# cat /etc/passwd | less

Criaremos um script para remover todas as shells válidas dos usuários, menos daqueles que nós especificarmos.

# cd /root

# vi inválidos.sh

#!/bin/bash for USER in $ (cat /etc/passwd | cut f l –d “:” | grep –v toor | grep v tux) do

usermod s /bin/false $USER

done

17

#./invalidos.sh

Analizando o script, ele executa um laço (for) que pegará somente a primeira coluna do arquivo /etc/passwd, que são os nomes dos usuários que não estão especificados no grep v. Isso é armazenado dentro da variável USER para /bin/false, ou seja, uma shells inválida. Depois da execução deo script, visualize novamente o arquivo /etc/passwd e veja como ele ficou.

# cat /etc/passwd | less

Veja que todas as shells dos usuários passaram a ser /bin/false, menos as dos usuários root, toor e lux.

Podemos adotar a política de que, sempre que criarmos um usuário novo, ele seja criado com uma Shell inválida. Caso ele precise de uma Shell válida depois, podemos mudar isso no arquivo /etc/passwd.

# vi /etc/adduser.conf

Nesse arquivo podemos mudar a variável DSHELL para uma Shell inválida. DSHELL=/bin/false

ÓRGÃOS ENVOLVIDOS

Este projeto foi desenvolvido com o apoio das Instituições Parceiras, sem as quais o mesmo não poderia ser realizado. As Instituições envolvidas são:

Centro de Educação Tecnológica do Amazonas CETAM, representando a atuação do Poder Público na área da Formação de Recursos Humanos, Técnicos de Nível Médio, órgão responsável pela execução das Políticas de Educação Profissional do Estado do Amazonas.

Instituto Benjamin Constant IBC, por meio do qual foi possível a operacionalização do Curso Técnico de Administração de Redes de Computadores.

18

MECANISMOS E NORMAS DE EXECUÇÃO

Este projeto não necessitou de documentos como licitação, contratos, convênios e etc,

para a sua execução.

ORÇAMENTO

Ordem

     

Valor

Valor

Descrição dos materiais

Unidade

Quantida

de

Unitário

(R$)

Parcial

(R$)

 

MATERIAL DE EXPEDIENTE

 

1

Papel Ofício

Resma

02

16,00

32,00

 

Tinta preta Ref. Nº 21, para

       

2

impressora Modelo HP 9220

Cartucho

3

75,00

225,00

 

Tinta preta Ref. Nº 23, para

       

3

impressora Modelo HP 9220

Cartucho

2

75,00

150,00

4

Encadernação

Apostila

3

8,00

24,00

 

Subtotal (R$)

 

431,00

 

MATERIAL PARA PESQUISA

 
 

Cópias de material/

       

1

documentos para consulta

Unidade

500

0,10

50,00

2

CD‟s para gravação de dados

Unidades

03

2,00

6,00

 

Subtotal (R$)

 

56,00

 

VALOR TOTAL DO PROJETO (R$)

 

487,00

Tabela 2. QUADRO FINANCEIRO DO PROJETO

19

CRONOGRAMA

ATIVIDADES

 

SEMANAS

 

Revisão do pré-projeto com o orientador da disciplina projeto final

X

     

Levantamento de material, pesquisa e estudos gerais.

X

     

Criação de um plano de atividades

X

     

Testes de implementação.

 

X

X

 

Estudo dos problemas do sistema atual.

   

X

 

Implementação da Técnica Hardening: procedimentos de ajuste da configuração após a instalação do servidor linux, em conformidade com a norma BS7799.

   

X

 

Documentação do Projeto

     

X

Apresentação dos relatórios de atividades

     

X

Mostrar os resultados do Projeto.

     

X

Tabela 3. Cronograma das Atividades.

20

REFERÊNCIAS

MOREIRA, Nilton Stringasci, Segurança Mínima, Axcel Books, 1.ª edição, 2001.

PELTIER, Thomas R., Information Security Risk Analysis, CRC Press, 1ª edição, 2001

SANTOS, Antonio Jeová, Dano Moral na Internet, Editora Método, 1.ª edição, 2001.

DIAS, Claudia, Segurança e Auditoria da Tecnologia da Informação, Axcel Books, 1.ª edição,

2000.

CARUSO, C.A.A., Segurança em Informática e de Informações, Editora SENAC SP, 1.ª edição,

1999

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Código de Prática para a Gestão

da Segurança da Informação. NBR ISO/IEC 17799:São Paulo,2001.

FERREIRA, Aurélio Buarque de Holanda, Dicionário Aurélio da Língua Portuguesa, 2ª Edição,

2003.

SILLAMY, Norbert, Dicionário de Psicologia, Larousse, 1996.

FERREIRA, Aurélio Buarque de Holanda, Novo Dicionário Aurélio da Língua Portuguesa, 2a.

Edição, Editora Nova Fronteira, 1986.

LANNOY Dorin, Enciclopédia de psicologia contemporânea, 5o. volume, Editora Iracema, 1981.

MAIA, Marco Aurélio, Módulo Security Magazine www.modulo.com.br , 31 de julho de 2002.

MAXWELL, Steve; Administração de sistemas Unix: guia do iniciante; Rui de Janeiro; Editora

Ciência Moderna Ltda, 2003.

GALVÃO, Marcio; POGGI, Eduardo, Módulo, Avaliação de Riscos em Segurança da

Informação com o Security Check-up, 2002.

Febraban, www.febraban.org.br/palestras, consultado no dia 12/11/2006.

Módulo Security, www.modulo.com.br, consultado no dia 12/11/2006.

Dicionário Priberam, www.priberam.pt, consultado no dia 12/11/2006.

Sandro Melo, 06/12/06 as 10:00 h (http://www.linuxmall.com.br/index.php?product_id=4031)