{"id":857,"date":"2013-04-04T09:14:36","date_gmt":"2013-04-04T12:14:36","guid":{"rendered":"http:\/\/www.linux2business.com.br\/site\/?p=857"},"modified":"2013-11-05T10:52:48","modified_gmt":"2013-11-05T13:52:48","slug":"tornando-se-um-artista-de-seguranca-linux-2","status":"publish","type":"post","link":"https:\/\/www.linux2business.com.br\/site\/tornando-se-um-artista-de-seguranca-linux-2\/","title":{"rendered":"Tornando-se um “Artista de Seguran\u00e7a Linux”"},"content":{"rendered":"[twitter-button]\n

<\/a>\u201cQuando o custo para obten\u00e7\u00e3o da informa\u00e7\u00e3o excede o valor obtido pela sua posse, a solu\u00e7\u00e3o \u00e9 eficaz.\u201d<\/em> – Guia Pr\u00e1tico do Red Hat Linux por Mark G. Sobell, Terceira Edition (Prentice Hall), p\u00e1gina 989.<\/p>\n

Depois de quarenta anos no ramo de computa\u00e7\u00e3o, a ideia que tem sido difundida por profissionais de seguran\u00e7a \u00e9 de que n\u00e3o existe tal coisa de um sistema de computador seguro, mas apenas n\u00edveis de inseguran\u00e7a. Portanto o custo de manter a informa\u00e7\u00e3o e o sistema de seguran\u00e7a tem de ser equilibrado com o custo de perder a informa\u00e7\u00e3o ou sistema, ou danific\u00e1-lo. Infelizmente, a velocidade e disponibilidade da Internet combinada com o baixo custo de computadores e servi\u00e7os de rede muito potentes, proporcionaram um custo de \u201cinvas\u00e3o\u201d cada vez mais baixo e um custo de \u201cseguran\u00e7a\u201d cada vez mais alto.<\/p>\n

<\/p>\n

\"internet-segura\"A coisa mais importante para um sistema seguro \u00e9 ter uma boa pol\u00edtica de seguran\u00e7a. Sem isso, voc\u00ea est\u00e1 perdido e vagueia de forma ineficaz. Portanto, voc\u00ea tem que fazer uma reflex\u00e3o a respeito de quem ser\u00e1 capaz de fazer o que, se essas limita\u00e7\u00f5es s\u00e3o obrigat\u00f3rias e sem restri\u00e7\u00f5es, ou como vai implementar e aplicar essas pol\u00edticas. Um bom exemplo de como n\u00e3o ter uma boa pol\u00edtica \u00e9 a empresa que for\u00e7a todos os seus funcion\u00e1rios a terem senhas longas e complicadas, que mudam uma vez por semana, mas tolera estas pessoas escrevendo suas senhas em etiquetas adesivas e coladas em seus monitores LCD, \u201cporque estas pessoas podem n\u00e3o se lembrar das senhas\u201d.
\nA pr\u00f3xima coisa mais importante \u00e9 um bom conjunto de ferramentas de seguran\u00e7a e pessoas treinadas para implant\u00e1-las e acompanhar os resultados gerados.<\/p>\n

Muitos sistemas desktops se escondem atr\u00e1s de um \u201cfirewall\u201d em ambientes corporativos ou mesmo dom\u00e9sticos. O firewall \u00e9 um sistema especializado em aceitar dados da Internet e encaminhar estes dados para os desktops ou servidores. A esperan\u00e7a \u00e9 que o firewall isole as pessoas m\u00e1s das pessoas atr\u00e1s do firewall e, portanto, os sistemas podem ser mais \u201crelaxados\u201d em sua seguran\u00e7a. Infelizmente nos dias atuais de computa\u00e7\u00e3o m\u00f3vel, laptops podem se mover de dentro do per\u00edmetro protegido pelo firewall para o desprotegido \u201cambiente selvagem\u201d da Starbucks, por exemplo, onde as pessoas bebendo caf\u00e9 e \u201csurfando na net\u201d t\u00eam os seus notebooks infectados com v\u00edrus e cavalos de tr\u00f3ia e que trazem de volta estes notebooks ao escrit\u00f3rio. Atualmente, os ataques as vezes v\u00eam de dentro da organiza\u00e7\u00e3o (em que o firewall n\u00e3o d\u00e1 nenhuma prote\u00e7\u00e3o) e n\u00e3o do exterior.<\/p>\n

Outros sistemas n\u00e3o podem se esconder tr\u00e1s de firewall e s\u00e3o chamados de sistemas \u201cBasti\u00e3o\u201d. Eles s\u00e3o os sistemas que executam o seu servidor Web, Correio Eletr\u00f4nico (E-Mail) e outro servi\u00e7os. Estes s\u00e3o os sistemas que t\u00eam de ser \u201cabsolutamente (tanto quanto poss\u00edvel) protegidos\u201d.<\/p>\n

Finalmente, o acompanhamento constante das listas de seguran\u00e7a, sites e r\u00e1pida aplica\u00e7\u00e3o de patches \u00e9 fundamental para a seguran\u00e7a de um sistema. Ter o c\u00f3digo fonte do seu sistema dispon\u00edvel significa que voc\u00ea n\u00e3o tem que esperar para que seu fornecedor disponibilize a corre\u00e7\u00e3o compilada e testada. Voc\u00ea pode tomar a decis\u00e3o de aplicar a corre\u00e7\u00e3o, dependendo da criticidade do ataque.<\/p>\n

Dadas as filosofias e as quest\u00f5es acima, eu acredito que o Software Livre e de C\u00f3digo Aberto \u00e9 a melhor base para permitir que seus sistemas inseguros alcancem a seguran\u00e7a, e este blog trata disso.<\/p>\n

Este blog n\u00e3o \u00e9 uma explica\u00e7\u00e3o detalhada de seguran\u00e7a de rede, nem sobre como bloquear SPAM, nem em ser um guia de receitas de curso de seguran\u00e7a do sistema. A seguran\u00e7a \u00e9 uma forma de arte, bem como uma ci\u00eancia, e este blog n\u00e3o pode fazer de voc\u00ea um Michelangelo em 3000 palavras. Se eu puder mostrar aqui que o seu sistema est\u00e1 atualmente no n\u00edvel \u201cpintura a dedo\u201d e que, com o Software Livre voc\u00ea pode fazer uma \u201caquarela\u201d, \u201cpinturas a \u00f3leo\u201d e n\u00e3o s\u00f3 isto, ent\u00e3o eu acho que fiz um bom trabalho.<\/p>\n

Algum dia seu trabalho pode estar em um “Museu da Arte de Seguran\u00e7a”.<\/p>\n

Hist\u00f3ria e Arquitetura do Unix<\/h2>\n

Em 1969, Ken Thompson e Dennis Ritchie come\u00e7aram a desenvolver o sistema operacional Unix, \u201capenas por divers\u00e3o\u201d. Querendo ou n\u00e3o, o Unix foi concebido para ser um sistema compartilhado, em primeiro lugar, e tornou-se rapidamente um sistema que permitia o compartilhamento por v\u00e1rias pessoas, com v\u00e1rios processos para cada pessoa. Isto imediatamente definiu um design mais robusto e seguro do que um sistema de usu\u00e1rio \u00fanico, j\u00e1 que o conceito de estabilidade e de seguran\u00e7a teve que ser constru\u00eddo dentro do pr\u00f3prio sistema.
\nConcedido, nos primeiros anos da Bell Laboratories, n\u00e3o se teve muita aten\u00e7\u00e3o para a senha ou a seguran\u00e7a em n\u00edvel pessoal, mas ao longo dos anos as coisas como: tempo de vida da senha, fortifica\u00e7\u00e3o da senha e senhas \u201cescondidas\u201d foram colocadas no sistema para melhorar a seguran\u00e7a.<\/p>\n

Unix foi criticado por seu modelo inicial de \u201csuperusu\u00e1rio\u201d versus \u201ctodo mundo\u201d na execu\u00e7\u00e3o de programas (especialmente programas administrativos) e no agrupamento das propriedades do \u201cdono\u201d, \u201cgrupo\u201d e \u201coutros\u201d (ou seja, todos os outros do mundo) com as capacidades de \u201cleitura\u201d, \u201cescrita\u201d e\/ou \u201cexecu\u00e7\u00e3o\u201d no arquivo. Enquanto isso era relativamente simples, mas tamb\u00e9m uma estrutura de permiss\u00e3o elegante, funcionou bem durante alguns anos, com o tempo as \u201cAccess Control Lists\u201d ou \u201cACLs\u201d foram habilitadas, permitindo \u00e0s pessoas criarem classes de privil\u00e9gios de execu\u00e7\u00e3o e acesso a arquivos e diret\u00f3rios em um n\u00edvel mais refinado.<\/p>\n

Quando o Unix deixou a Bell Labs e entrou para o meio acad\u00eamico, nas universidades, ele passou pela cl\u00e1ssica \u201cprova de fogo\u201d, com os estudantes tentando invadir o sistema e os desenvolvedores tentando mant\u00ea-los fora. O Unix se tornou o sistema operacional para o estudo s\u00e9rio de ci\u00eancia da computa\u00e7\u00e3o e, portanto, (em muitos casos) para estudos s\u00e9rios de seguran\u00e7a do computador.<\/p>\n

Arquitetura do Linux<\/h2>\n

Como eu mencionei antes, a arquitetura do Linux segue de perto a arquitetura dos sistemas Unix. Um kernel monol\u00edtico relativamente pequeno com bibliotecas e utilit\u00e1rios que acrescentam funcionalidade a ele.<\/p>\n

Isso por si s\u00f3 agrega valor a seguran\u00e7a, pois permite que o usu\u00e1rio final desligue uma s\u00e9rie de servi\u00e7os (tanto de m\u00e1quina quanto de rede) que n\u00e3o precisa, que funcionando no sistema cria mais possibilidades de ataque.<\/p>\n

\"pinguim-transparente\"Por exemplo, a grande maioria dos sistemas desktops atuam como cliente para os servi\u00e7os, n\u00e3o como um servidor. A desativa\u00e7\u00e3o destes servi\u00e7os significa que outras pessoas atrav\u00e9s da rede n\u00e3o podem se conectar a eles. Nos prim\u00f3rdios do Linux diversas distribui\u00e7\u00f5es eram disponibilizadas com os servi\u00e7os ativados no momento da instala\u00e7\u00e3o. Esta foi uma impress\u00e3o errada de que ter os servi\u00e7os funcionando seria mais f\u00e1cil administrar, mas os especialistas em seguran\u00e7as rapidamente apontaram que ter os servi\u00e7os em execu\u00e7\u00e3o no momento da instala\u00e7\u00e3o (antes da aplica\u00e7\u00e3o dos patches necess\u00e1rios), tamb\u00e9m deixaria os sistemas, mesmo que por pouco tempo, abertos a ataque. Agora a maioria, sen\u00e3o todas, as distribui\u00e7\u00f5es deixam estes servi\u00e7os desligados e voc\u00ea \u00e9 instru\u00eddo a habilit\u00e1-los na hora certa, espero que somente depois de ter aplicado os patches necess\u00e1rios.<\/p>\n

Outro exemplo \u00e9 o conceito de remover os compiladores e outras ferramentas de desenvolvimento de software do sistema, uma vez que estas ferramentas d\u00e3o aos crackers maiores possibilidades para explorar o sistema. Remover estas ferramentas significa que o cracker ter\u00e1 que utilizar outros m\u00e9todos para \u201cquebrar\u201d a seguran\u00e7a.<\/p>\n

V\u00e1rios pacotes FOSS (Free and Open Source Software) foram adicionado a esta funcionalidade b\u00e1sica ao longo dos anos, dando ao Linux uma seguran\u00e7a ainda maior.<\/p>\n

O primeiro \u00e9 \u201cPAM\u201d ou \u201cPluggable Authentication Modules\u201d. Em qualquer sistema, \u201cautentica\u00e7\u00e3o\u201d significa que voc\u00ea se identificou de tal forma que o sistema lhe dar\u00e1 acesso aos servi\u00e7os. Assim que voc\u00ea entra com seu nome de usu\u00e1rio e sua senha, voc\u00ea est\u00e1 sendo \u201cautenticado\u201d tipicamente pelo nome de usu\u00e1rio e senha no arquivo \/etc\/passwd e pelo programa login. Da mesma forma o ftpd, e outros programas de \u201cservi\u00e7o\u201d, ir\u00e1 autentic\u00e1-lo da mesma maneira.<\/p>\n

Se voc\u00ea estiver em uma rede, no entanto, poder\u00e1 ser autenticado por in\u00fameros m\u00e9todos, que podem ser LDAP, DCE, Kerberos ou mesmo os m\u00e9todos mais recentes, e in\u00fameros programas podem ter que ser alterados para refletir o novo m\u00e9todo de autentica\u00e7\u00e3o. O PAM foi fornecido para permitir que novos m\u00e9todos de autentica\u00e7\u00e3o possam ser aplicados a todos os programas do sistema que precisa de autentica\u00e7\u00e3o sem ter que mudar e integrar cada novo m\u00e9todo de autentica\u00e7\u00e3o.<\/p>\n

Outro m\u00e9todo de autentica\u00e7\u00e3o mencionado anteriormente foi \u201cAccess Control List\u201d, ou \u201cACL\u201d. Uma ACL concede \u201cacesso\u201d para um arquivo ou diret\u00f3rio com base em uma extens\u00e3o das permiss\u00f5es tradicionais do Unix \u201cdono\/grupo\/outros\u201d e \u201crwx\u201d mencionada acima. Desde que as ACLs estejam implementadas como parte da estrutura do sistema de arquivos, voc\u00ea tem que ter certeza que seu kernel tenha sido constru\u00eddo para suport\u00e1-las, que o sistema de arquivos que voc\u00ea est\u00e1 usando oferece suporte a elas, e que o sistema de arquivos foi montado com as ACLs ligadas. Entretanto, uma vez realizado tudo isto, voc\u00ea pode atribuir permiss\u00f5es a v\u00e1rios usu\u00e1rios em uma base de usu\u00e1rios individuais, v\u00e1rios grupos em uma base de grupo-por-grupo, e assim por diante.<\/p>\n

Isso permitir\u00e1 voc\u00ea facilmente criar um grupo de operadores que podem iniciar ou parar um banco de dados ou fazer backups, mas n\u00e3o conseguir desligar todo o sistema, por exemplo.<\/p>\n

Finalmente, voc\u00ea tem que estar ciente de que nem todos os utilit\u00e1rios do Linux suportam ACLs. Se voc\u00ea est\u00e1 copiando arquivos de um diret\u00f3rio para outro com o comando cp voc\u00ea deve usar as op\u00e7\u00f5es \u201c-p\u201d (preserve) ou \u201c-a\u201d (archive) no comando. Alguns dos comandos robusto do Unix como, cpio, tar e outros, n\u00e3o suportam a c\u00f3pia das ACLs, e portanto as ACLs seriam perdida.<\/p>\n

Sistemas de Arquivos Criptografados<\/h2>\n

\"criptografia\"Criptografar seus dados deve ser parte de sua pol\u00edtica de seguran\u00e7a em um mundo de dispositivos USB, unidades port\u00e1teis e laptops roubados, e o Linux permite que voc\u00ea criptografe arquivos individuais, sistemas de arquivos, parti\u00e7\u00f5es swap e mesmo sistemas de arquivos dentro de arquivos individuais.<\/p>\n

Alguns desses m\u00e9todos de criptografia tamb\u00e9m trabalham com sistemas de arquivos em n\u00edvel de usu\u00e1rio, o que significa que voc\u00ea pode configur\u00e1-los enquanto o sistema est\u00e1 funcionando.<\/p>\n

Loop-AES usa uma t\u00e9cnica de loop-back para permitir que o dispositivo de bloco fa\u00e7a a criptografia sem ter que mudar nada no kernel. T\u00e9cnicas de loop-back tamb\u00e9m s\u00e3o \u00fateis para sistemas de arquivos mantidos em um \u00fanico arquivo, assim este m\u00e9todo pode ser usado para criar um sistema de arquivos criptografado que est\u00e1 contido em um \u00fanico arquivo em sua m\u00e1quina.<\/p>\n

DM-Crypt usa a funcionalidade de mapeamento de dispositivos (tamb\u00e9m \u00fatil para o RAID via software, snapshotting e outros recursos) do kernel para criptografar arquivos.<\/p>\n

Cryptofs \u00e9 um sistema de arquivos em espa\u00e7o do usu\u00e1rio (FUSE) que permite montar um sistema de arquivos em um diret\u00f3rio, e em seguida todos os arquivos armazenados nesse diret\u00f3rio s\u00e3o criptografados, incluindo o nome do arquivo. Quando voc\u00ea desmontar o sistema de arquivos, os arquivos s\u00e3o criptografados e n\u00e3o ser\u00e3o de-criptografados at\u00e9 o sistema de arquivos ser montado novamente usando a mesma chave.<\/p>\n

Existem outros m\u00e9todos para criptografar arquivos e sistemas de arquivos, tais como EncFS e TrueCrypt.<\/p>\n

Al\u00e9m disso, recentemente, um administrador de sistema Microsoft Windows inicializou um Live CD Linux em uma de suas m\u00e1quinas e ficou surpreso ao verificar que o Linux pode ler e escrever no sistema de arquivos do Microsoft Windows, apesar de ter definido os diret\u00f3rios como privado sob o sistema operacional da Microsoft. Expliquei-lhe que era um sistema operacional diferente e a menos que ele criptografasse todos os dados em seu disco, ele devia esperar que algu\u00e9m usando um sistema operacional diferente em sua m\u00e1quina fosse capaz de ver, alterar e excluir dados no seu sistema de arquivos do Microsoft Windows.<\/p>\n

SELinux<\/h2>\n

A maioria dos m\u00e9todos de autentica\u00e7\u00e3o de controle de acesso s\u00e3o arbitr\u00e1rios. O dono do objeto (seja um programa ou dado) pode alterar as permiss\u00f5es para outras pessoas e grupos.<\/p>\n

Anos atr\u00e1s, a Ag\u00eancia de Seguran\u00e7a Nacional (NSA) criou um projeto para aplicar \u201cMandatory Access Control\u201d (MAC) dentro do kernel Linux. Este projeto ficou conhecido como \u201cSecurity Enhanced Linux\u201d ou \u201cSELinux\u201d. O MAC refor\u00e7a as pol\u00edticas de seguran\u00e7a que limitam o que um usu\u00e1rio ou programa pode fazer, e quais arquivos, portas, aparelhos e diret\u00f3rios um programa ou usu\u00e1rio pode acessar.
\nSELinux tem tr\u00eas modos: \u201cDesabilitado\u201d, \u201cPermissivo\u201d e \u201cExecu\u00e7\u00e3o\u201d. No modo \u201cDesabilitado\u201d nada \u00e9 feito. Neste modo voc\u00ea tem as pol\u00edticas configuradas e prontas, mas n\u00e3o ativas. O modo \u201cPermissivo\u201d registra as viola\u00e7\u00f5es da pol\u00edtica em arquivos de log para que voc\u00ea possa verificar ou monitorar. No modo \u201cExecu\u00e7\u00e3o\u201d qualquer viola\u00e7\u00e3o da pol\u00edtica de seguran\u00e7a ser\u00e1 contida.<\/p>\n

SELinux utiliza cerca de 5 a 10% do desempenho do sistema quando no modo de Execu\u00e7\u00e3o ou Permissivo.<\/p>\n

Da mesma forma, o SELinux pode ser executado em uma pol\u00edtica de \u201cOrientada\u201d ou \u201cEstrita\u201d. A pol\u00edtica \u201cOrientada\u201d significa que os controles MAC apenas se aplicam a determinados processos. A \u201cEstrita\u201d significa que os controles MAC se aplicam a todos os processos.
\nAs pessoas devem ser advertidas de que o uso indiscriminado da pol\u00edtica \u201cEstrita\u201d do SELinux pode tornar o sistema praticamente inutiliz\u00e1vel para alguns usu\u00e1rios. Tem que haver um compromisso de manter o sistema seguro, mas permitindo que os usu\u00e1rios fa\u00e7am o seu trabalho.<\/p>\n

Argumenta-se que o SELinux \u00e9 um \u201cexagero\u201d em um sistema de um \u00fanico usu\u00e1rio, mas com modernos exploits e o poder do \u201csistemas de um \u00fanico usu\u00e1rio\u201d, podemos encontrar mais e mais aplica\u00e7\u00f5es do SELinux em um desktop de um \u00fanico usu\u00e1rio.<\/p>\n

AppArmor<\/h2>\n

AppArmor \u00e9 um outro sistema para \u201cMandatory Access Control\u201d, mas que se baseia mais em uma base de programa-por-programa do que o SELinux e permite que voc\u00ea misture e aplique pol\u00edticas do tipo \u201cExecu\u00e7\u00e3o\u201d e \u201cPermissivo\u201d no sistema ao mesmo tempo.<\/p>\n

Atrav\u00e9s do \u201cperfil\u201d de cada programa, o AppArmor pode limitar o que um programa pode fazer e quais arquivos ele pode acessar, gravar ou executar.<\/p>\n

Algumas pessoas acham que o AppArmor \u00e9 mais f\u00e1cil de configurar e controlar do que o SELinux.<\/p>\n

Tornando Arquivos “Imut\u00e1veis”<\/h2>\n

Se algu\u00e9m invade seu sistema, ele pode alterar v\u00e1rios arquivos de controle, como o arquivo passwd. Voc\u00ea pode impedir isto tornando o arquivo \u201cimut\u00e1vel\u201d. Quando um arquivo \u00e9 \u201cimut\u00e1vel\u201d ele n\u00e3o pode ser alterado, seja por escrita, exclus\u00e3o, renomeado ou hard links, at\u00e9 mesmo pelo superusu\u00e1rio. Primeiro o arquivo tem que voltar a ter permiss\u00f5es \u201cnormais\u201d, e ent\u00e3o ele pode ser alterado. O comando usado para fazer um arquivo tanto imut\u00e1vel quanto volt\u00e1-lo ao normal \u00e9 chattr, e tem a sintaxe desta forma: chattr +i <nome_de_arquivo>.
\nUsando o comando chattr com o par\u00e2metro \u201ca\u201d em vez do \u201ci\u201d faz com que o arquivo s\u00f3 possa ter informa\u00e7\u00f5es adicionadas. Isso \u00e9 \u00fatil para arquivos de log, onde voc\u00ea deseja que o sistema adicione novas informa\u00e7\u00f5es, n\u00e3o apagando as informa\u00e7\u00f5es antigas.<\/p>\n

Depois que o comando chattr for executado em um arquivo, mesmo o usu\u00e1rio root n\u00e3o pode alterar ou apagar o arquivo at\u00e9 que o arquivo seja alterado com as permiss\u00f5es anteriores, com \u201c-i\u201d ou \u201c-a\u201d.<\/p>\n

Novamente, voc\u00ea tem que verificar se o sistema de arquivos que voc\u00ea est\u00e1 usando suporta esta funcionalidade. Os sistemas de arquivos Ext2 e Ext3 suportam.<\/p>\n

Logs<\/h2>\n

Sistemas Unix e Linux t\u00eam arquivos de log. Esses arquivos registram diferentes tipos de eventos, desde inicializa\u00e7\u00e3o e finaliza\u00e7\u00e3o de um processo at\u00e9 mensagens expl\u00edcitas sobre o seu servidor de e-mail ou sua base de dados. A maioria dos sistemas Unix e Linux tem a possibilidade de encaminhar os v\u00e1rios n\u00edveis de informa\u00e7\u00f5es desde \u201cbom saber\u201d para \u201ccr\u00edtica\u201d para um reposit\u00f3rio central. Os administradores de sistemas podem criar filtros e scripts para ajud\u00e1-los a monitorar esses arquivos de log, identificando atividades que indiquem pessoas acessando o sistema.<\/p>\n

Estes arquivos, claro, devem ser protegidos utilizando o comando chattr, mencionado acima, com a op\u00e7\u00e3o \u201c+a\u201d.<\/p>\n

Sistemas de Detec\u00e7\u00e3o de Intrusos<\/h2>\n

Existem v\u00e1rios Sistemas de Detec\u00e7\u00e3o de Intrusos (IDC) dispon\u00edveis para Linux. SNORT (http:\/\/www.snort.org\/) \u00e9 um deles. O SNORT utiliza um conjunto de regras para determinar as intrus\u00f5es.<\/p>\n

Backups<\/h2>\n

\"backup\"Apesar de todo seu trabalho, tempo, suor e l\u00e1grimas, eventualmente, seu sistema ser\u00e1 comprometido. Agora voc\u00ea tem que descobrir quando ele foi comprometido, como foi comprometido e estar pronto para recuperar o que foi danificado sem permitir que outros poss\u00edveis v\u00edrus e trojans permane\u00e7am no seu sistema.<\/p>\n

Com muito trabalho, voc\u00ea pode ser capaz de usar ferramentas para varrer seu sistema \u00e0 procura desses v\u00edrus e trojans. Ou voc\u00ea pode re-instalar a partir de um CD-ROM original, ou imagem ISO em boas condi\u00e7\u00f5es, e mais todos os patches associados.<\/p>\n

A forma final \u00e9 ter um bom n\u00edvel de backup de todo o sistema de produ\u00e7\u00e3o que voc\u00ea tem e atualizar periodicamente o backup para ter certeza de ter todos os patches de seguran\u00e7a que ocorreram desde a \u00faltima atualiza\u00e7\u00e3o. Se voc\u00ea puder determinar com precis\u00e3o quando seu sistema estava comprometido, voc\u00ea poder\u00e1 restaurar o sistema a partir de um desses backups. Caso contr\u00e1rio, voc\u00ea ter\u00e1 que instalar a partir do c\u00f3digo-fonte.<\/p>\n

Resumo<\/h2>\n

Estou certo de que muitos dos profissionais de seguran\u00e7a v\u00e3o olhar para este texto e dizer: \u201cRealmente fundamental\u201d.<\/p>\n

Outras pessoas podem olhar para algumas destas caracter\u00edsticas e dizer: \u201cComo posso manter-me atualizado de todas essas pol\u00edticas e comandos em um sistema t\u00e3o complexo como o Unix ou Linux?\u201d. A resposta \u00e9 que provavelmente voc\u00ea n\u00e3o conseguir\u00e1 se manter atualizado de todas estas considera\u00e7\u00f5es sobre o sistema e \u00e9 a\u00ed que as pol\u00edticas de seguran\u00e7a entram em jogo. Fa\u00e7a com que cada sistema fique t\u00e3o seguro quanto os servi\u00e7os e informa\u00e7\u00f5es armazenadas nele, permitindo que voc\u00ea ainda realize seu trabalho.<\/p>\n

Al\u00e9m de estudar os recursos listados abaixo, voc\u00ea tamb\u00e9m deve olhar o site da sua distribui\u00e7\u00e3o espec\u00edfica. Porque h\u00e1 muitas maneiras de fazer a criptografia de arquivos, compilar um kernel, e garantir a seguran\u00e7a de um sistema, e sua distribui\u00e7\u00e3o pode ter desenvolvido uma arquitetura de seguran\u00e7a geral que complementa suas pol\u00edticas e fazem a seguran\u00e7a do sistema de uma maneira muito mais f\u00e1cil.<\/p>\n

Recursos<\/h2>\n

Existem diversos livros bons sobre seguran\u00e7a de computadores e seguran\u00e7a em Linux, especificamente. Os dois abaixo s\u00e3o muito bons:<\/p>\n