Opencast #32 – Hardening

Categoria: OpenCast, Ubuntu | Palavras-chave: , , , , , , , ,

opencast-32-hardening

Voltamos com o Opencast depois de uma boa parada para espairecer. Neste episódio Ivan, Aprígio Simões, Diego e Og Maciel falam sobre o processo de “endurecimento” de um sistema. Na verdade o episódio é quase um monólogo do Aprígio que foi quem sugeriu a pauta e também foi o especialista “convidado”.

Excepcionalmente, mas pode se tornar o padrão, não teremos a versão em vídeo no youtube. O motivo é bem simples, é muito trabalho e isto acabaria prejudicando a periodicidade do Videocast e provavelmente a do Opencast também (mais do que já é prejudicada).

Agradecimento especial ao Rudinei que não participou do episódio, mas compilou os links que você vê abaixo:

Links do episódio

Twitter: @tecnologiaabert

Facebook: http://www.facebook.com/tecnologiaaberta

Google+: Tecnologia Aberta

Youtube: Tecnologia Aberta

E-Mail: opencast@tecnologiaaberta.com.br

Feed do Opencast: http://tecnologiaaberta.com.br/feed/opencast/

iTunes: http://itunes.apple.com/br/podcast/id424732898

Créditos das músicas usadas neste programa:
– Music by Dan-O at DanoSongs.com

Publicado em 12 de março de 2014 | 11 Comentários

Ivan Brasil Fuzzer

Ivan Brasil Fuzzer

Faço parte do grupo Tchelinux(http://www.tchelinux.org). O Tchelinux é um grupo de voluntários que trabalha com software livre e ainda acredita que boas coisas podem ser feitas nesta comunidade; desde que saibamos repassar aos que estão iniciando que Software Livre é um aprender e repassar o conhecimento incessante. Sou líder do Ubuntu-BR-RS juntamente com a Marta Vuelma. Tentamos divulgar a distribuição e auxiliar novos usuários por todo o estado do Rio Grande do Sul, as vezes em outros estados também. Sou um amante incondicional de software livre. Vivo apaixonado pelo Ubuntu.

Mais posts do autor (856)

11 Comentários

  1. Vagner Lima disse:

    No opencast 28, vc falou que testaria o Debian. Ai testou, relate ai a sua experiencia com o mesmo.

  2. Erick Barros disse:

    Olá pessoal, ainda estamos na espera de um programa sobre integração Linux SRV/ Windows SRV rsrsrs. E hoje tenho três perguntas:

    1) Aprigio falou sobre Antivírus (e que ele utiliza), eu defendo que o melhor Antvírus é o bom uso do sistema, com atualizações e afins. Mas se tratando de servidores além do Hardening, devemos usar Antivírus nos servidores?

    2) Coincidentemente estou começando a ver técnicas de Hardening para dois servidores UBTSERV aqui do trabalho. Entrou um chefe novo agora e o mesmo falou que o Iptables é antigo e sugeriu um firewall chamado CheckPoint.

    3) Além do particionamento diferenciado com partições exclusivas para cada coisa. O uso dos StickBits é válido? Aplicando a pastas e arquivos? Sou meio leigo nisso.

    Desculpa ai pessoal, perdi alguns episódios por conta da mudança da url do feed no meu smart. Mas agora estou total on.

    []s e sucesso.

  3. Everton Melo disse:

    Ola pessoas, gostei muito do opencast 32,
    Aprígio não me leve a mal mas gostaria de esclarecer alguns pontos sobre o wine hq.

    primeiro o wine não é um emulador o próprio nome dele ja diz isso:
    “Wine does not do any CPU emulation – hence the name “Wine Is Not an Emulator.”

    ele traduz chamadas de sistema, ta mais para um camada de compatibilidade do que para um emulador.
    porém todo mundo diz que o wine é um emulador so pra categorizar senão dizer “camada de conversão de chamadas de sistema é algo irreal”.

    fonte:http://wiki.winehq.org/Debunking_Wine_Myths

    outra coisa o wine tem suporte a rede sim…
    mas apenas como saída e não como entrada,
    e outro detalhe o wine não pode ser executado como ‘root’
    ele esta atrelado a cada usuário, ou seja se voce acha que vão usar o wine sem ao menos logar na máquina isso é muito improvável, mesmo por meio de um exploit o cara tem que configurar o ambiente não é algo trivial porém é trabalhoso e quanto melhor configurado mais tempo leva… e quanto mais recursos mais detectável será… do invasor se percebido, mesmo se ele conseguir um firewall bem configurado barra qq conexao não autorizada a ter saída.
    mas com acesso a um usuário ‘sudo’ entrar no wine seria perda de tempo? sendo que com o bash da pra fazer algo bem pior??
    fonte: http://www.winehq.org/docs/wineserver

    outra coisa instalar um antivirus no Wine, bem ninguem recomenda isso, nem a comunidade:
    http://appdb.winehq.org/votestats.php
    nem mesmo a solução paga do wine o Crossover, que funciona com ‘garrafas’ o que inibi o usuário a fazer besteira.

    vejo que todas as demais citações sobre o wine foram mais coerentes,

    sugiro então para quem for usar o wine instale tb o q4wine,
    alem de ter um excelente interface gráfica ele é bem configurável… tem até um taksmaneger… um appwiz e um control panel.

    outra coisa com exploit sim da pra fazer estrago mas ao meu ver o cara tem que ser muito bom… afinal ele tem que usar um aplicativo .exe que converse com um modulo do wine que traduza isso para chama chamada de sistema equivalente no linux…
    enfim cansa so de pensar…

    por precaução sempre use o wine com o q4wine para saber o que ele ta fazendo, outra coisa instale e configure um bom firewall ai ja barra qq entra ou mesmo saida de rede pelo wine de forma indevida.
    se mesmo assim voce não confirar no wine, instale o clamav para ele gerenciar a memória contra exploits/bufferoverflow que podem ser executados pelo wine… ( ao menos teoricamente da como eu disse )

    tentem ver o wine como uma coisa boa…
    da até pra fazer um ‘pote de mel’ com ele:

    http://appdb.winehq.org/objectManager.php?sClass=application&iId=9718
    ( informação desatualizada mas é interessante mensurar possibilidades )

    a todos grande abraço,
    se alguém precisar de ajuda com o wine e seus agregados ( POL, CrossOver, q4wine ) estou a disposição:

    everton.win32@gmail.com

  4. aprigio simoes disse:

    Sim.

    Eu disse isso la. O wine eh um simulador e nao emulador.

    Elenfaz essa conversão muito parecida com o que se existe em ABI.

    So nao sei se o Ivan cortou. Mas deixei claro essa observação. Wine eh um simulador.

    Um emulador se caracteriza em uma caixa virtual ou bochs que restringe a emulação dentro de e tudo como eh executado.

    • Everton Melo disse:

      Abrígio obrigado pelo retorno, so mandei essas observações pois achei o que voce disse bem coerente e como não ouvi a parte CORTADA, expus apenas as lacunas…
      também postei um comentário para dizer que o wine tem seus problemas sim mas também tem muito a contribuir para as pessoas como esta no próprio site:

      http://wiki.winehq.org/ImportanceOfWine

      grande abraço, espero poder um dia quem sabe participar de um bate papo com vocês, vejo que de tanto que ouço, essa vivência com os seus trabalhos deixam a gente mais perto do ideal do que uma comunidade de software livre precisa, de – difusão de informação gratuita. – de informação correta e o mais importante de pessoas!
      grande abraço a todos… continuem com o opencast… !

  5. Existem uma grand diferenca de simulacao para emulacao. A emulação (que nao é o caso do wine), ele permite reproduzir um ambiente dentro do outro, mas em uma espécie de “caixa”. As instruções tambem são baseadas em um processador emulado que executa com as mesmas propriedades do processador principal e a interpretacao é totalmente voltada em cima do hardware que a “caixa” ou boch esta tentando “simulador”, mas mesmo que seja emulado. No caso do wine, ele é e atua como um tradutor e convertento toda instrução pq a base dele entende a instrução rodando dentro do proprio hardware de origem. Ou seja, sem qualquer tipo de emulação e o proprio software faz a leitura e se interpreta.

    • Vagner Lima disse:

      E ai Aprigio, beleza! Eu tenho um servidor de e-mail linux e gostaria de colocar um antivírus, para proteger as estações windows. Por vc ser um cara muito conhecedor, qual vc recomenda colocar?

  6. Ernandes Fernandes disse:

    Eu que agradeço pelo destaque que deu ao meu comentário!
    Respondo só agora pois passei os últimos meses sem acompanhar regularmente o site (por pura falta de tempo) e achava que já tinha te agradecido. Agora que estou revendo os posts reparei que não tinha feito isto.

Deixe seu comentário

Website