Overload

O post anterior gerou algumas discussões sobre as capacidades do Flash, meus conhecimentos em relação à ferramenta e o padrão HTML 5. Infelizmente ainda não estudei HTML 5 ao ponto de listar todos os recursos que facilitarão nossas vidas. Já em relação ao Flash posso dizer que quando usava Windows ele era meu programa favorito (comecei na versão 5), e a coisa mais avançada que consegui fazer com ele foi esse jogo, há cinco anos, além de algumas animações bobas.

Quando estava no período de migração Win -> Lin, dual boot e tal, conheci o MTASC, um compilador livre para Actionscript 2, e descobri que havia todo um mundo de aplicações e bibliotecas dedicadas à causa do Flash open source. Houve tentativas de criar uma aplicação semelhante ao Flash da Adobe (na época da Macromedia) que funcionasse no Linux, mas nenhuma deu certo, até onde acompanhei. Existem, porém, outros aplicativos de animação disponíveis atualmente, como o Ktoon e o Synfig, mas não cheguei a me aprofundar em nenhum dos dois.

Concluindo, todos erramos, é normal. Eu também fiz sites em Flash. Mas se ainda existe alguma dúvida sobre a capacidade do trio HTML + CSS + Javascript  de produzir sites com efeitos modernosos e estilosos, recomendo fortemente aos senhores e senhoritas conhecer a biblioteca Processing.js. E fica como lição final: “pesquisar antes de acusar”, A.K.A. “pensar antes de falar”.

Abs!

Infraestrutura para Aplicações Web Seguras parte 1 – Sistema

Neste artigo abordarei como montar/manter um servidor seguro. Uso o Debian GNU/Linux como sistema base mas todas as ferramentas e procedimentos listados servem para qualquer Unix-like.

Um dos grandes inimigos na implementação de qualquer solução é o tempo. Tudo tem que ser feito no menor tempo possível, com o menor gasto possível e com 0% de falha. Para respeitamos todas essas premissas as orientações apresentadas serão de rápida implementação e fácil manutenção.

Hardening

Trocando em miúdos o hardening é o fortalecimento de um sistema, serviço ou aplicação com o objetivo de minimizar ou dificultar a ação de hackers e crackers.

Iniciamos o hardening antes da instalação do sistema. Neste momento planejamos:

1 – Daemons/serviços que serão disponibilizados;
2 – Particionamento;

1 – Como o foco do nosso artigo são aplicações Web já sabemos que vamos trabalhar com o Quarteto Fantástico – Linux, Apache, PHP e MySQL ou Postgresql. De antemão já temos definidos os serviços que serão disponibilizados.

2 – Com isso definido recomendo que o diretório /var permaneca numa partição separada, lá ficarão os arquivos do site no /var/www e os arquivos do banco em /var/lib/mysql.
Dependendo da aplicação é possivel que o BD cresca rapidamente então recomendo separar a maior parte do disco para está partição e também recomendo a utilzação do sistema de arquivos XFS.

Quer saber porque recomendo o uso deste sistema de arquivos? CLIQUE AQUI

Feito todo o planejamento e com o S.O. instalado iniciaremos os procedimentos de pós-instalação:

1 – Atualizar todo o sistema. No caso do Debian recomendo antes de tudo ajustar o arquivo sources.list removendo todo o conteúdo e adicionado os seguintes repositórios:

deb http://ftp.us.debian.org/debian stable main contrib
deb http://security.debian.org/ stable/updates main contrib

Feito isso use o velho e bom aptitude update && aptitude safe-upgrade

2 – Remova todos os serviços desnecessários:

Recomendo a instalação do Nmap, assim de forma fácil e rápida descobriremos as portas abertas e os serviços em execução.

Exemplo:

nmap localhost

Starting Nmap 5.21 ( http://nmap.org ) at 2010-02-25 00:53 BRT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000021s latency).
Hostname localhost resolves to 2 IPs. Only scanned 127.0.0.1
Not shown: 996 closed ports
PORT STATE SERVICE
xx/tcp open xxx
xxx/tcp open xxxx
xxx/tcp open xxx
xxx/tcp open xxxxx

Nmap done: 1 IP address (1 host up) scanned in 0.22 seconds

Você poderá remover a aplicação indesejada usando o comando aptitude remove [aplicação] ou apenas impedir que ela seja executada durante o boot, como por exemplo o MTA exim usando o comando update-rc.d -f exim remove. Dessa forma o exim permanecerá instalado, por ser dependência para outras aplicações, mas não será executado durante o boot.

3 – Use o sudo

Evite logar no sistema usando o usuário root e não deixe que membros da equipe façam o mesmo, assim é possivel fortalecer a auditoria de autenticação, instalação e remoção de pacotes e ações que podem danificar o sistema.

4 – Bloqueie o usuário root

Use o comando usermod -L root para bloquear o login usando o usuário root.

5 – Mude a porta padrão do ssh e bloqueie o login do usuário root

Segurança por obscuridade é uma das técnicas utilizadas para dificultar o footprinting, e o port scanning do seu sistema.
Para fazer estas modificações acesse o arquivo /etc/ssh/sshd_config e altere as seguintes linhas:

Port 22

para por exemplo

Port 3000

PermitRootLogin yes

para

PermitRootLogin no

Refinando o processo de Hardening

Algumas ferramentas podem ser utilizadas para ajudar no processo de hardening do sistema. Recomendo fortemente o uso das seguintes ferramentas:

Hntool

Este é um novo projeto do meu amigo sergipano Hugo Doria que vem crescendo bem rápido e vem contando com novos contribuidores diariamente.
O objetivo desta ferramenta é facilitar a vida do Sysadmin informando as melhorias necessárias para fortalecer os serviços e o próprio sistema.
Como ele é totalmente modular fica muito fácil contribuir. Se você quer aprender a programar em Python essa é hora.
Contribua com o desenvolvimento do Hntool. A comunidade de segurança brasileira agradece.

Bastille

O Bastille protege o sistema operacional, configurando o sistema de maneira pro-ativa para aumentar sua segurança e reduzir as chances de comprometimento. Ele também pode ser usado para assessorar no processo de Hardening do sistema, reportando e detalhando cada configuração de segurança usada pelo programa.

Ele auxilia o usuário/administrador do sistema a escolher exatamente como fortalece-lo. No modo de operação/hardening padrão, ele interage com o usuário fazendo perguntas , explicando cada tópico para, então, criar uma política baseada nas respostas do usuário. Logo em seguida, aplica-se as políticas no sistema. No modo de auditoria, ele cria um relatório para ensinar o usuário sobre as configurações de segurança disponíveis, além de informar quais configurações foram definidas/ajustadas.

Para ajudar na instalação e configuração disponibilizo o capitulo referente ao Bastille que criei para minha aula na Pós em Segurança da Informação da Unijorge.

Monitoramento Seguro

Após todos os ajustes necessários é hora de monitorar e manter o ambiente sempre disponível e seguro. Para isso recomendo a instalação das seguintes ferramentas:

Ossec HIDS

O OSSEC é um escalável, multi-plataforma, e open source HIDS. Ele integra análise de log, checagem de integridade de arquivos, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.

Para facilitar a implentação postei 03 artigos com a instalação do Ossec Server, o Agente e a Interface Web.

Lenbrando que existe a opção da instalação local ( standalone ) permitindo que você seja alertado através do email.

Munin

O Munin é uma ferramenta de gerência de desempenho muito simples de instalar e configurar. Ela permite que você obtenha informações em tempo real de como anda o seu sistema.

Veja o post que disponibilizei sobre está excelente ferramenta.

Apticron

O Apticron é um script que alerta via email diariamente sobre novas atualizações no seu servidor, no alerta você encontra a lista de pacotes que precisam ser atualizados e todo o changelog.

Acesse os links 1 ou 2 para obter informações de como instalar e configurar está ferramenta bastante útil.

Conclusão

Finalizo aqui a 1a. parte da nossa saga. Peço desculpas aos leitores que querem mais informações técnicas sobre os assuntos abordados, só que o objetivo destes artigos é trazer recomendações e referências rápidas. Prometo trazer informações mais técnicas sobre os assuntos abordados em breve.

Tweet This Post

Oportunidade de aprender em Novo Hamburgo – RS

OBJETIVOS:

Módulo 1 – Administração de Sistemas Linux (40hs)

Módulo 2 – Administração de Redes Linux (45hs)
Desenvolver conceitos sobre serviços de redes em ambientes GNU/Linux e um perfil de autoformação na utilização de tecnologias “Open-Source”. Compreender a estrutura mundial da internet, bem como a configuração dos serviços que a sustentam. Conhecer e obter prática, através de simulações, de situações reais de provedores e da estrutura da internetem laboratório de redes Linux. Obter uma perspectiva prática e teórica sobre tópicos de segurança em redes de computadores, técnicas de invasão e proteção utilizando Linux. Monitorar e prevenir incidentes de redes em ambientes Linux. Integrar corretamente redes Windows e Linux. Conhecer alguns dos principais tópicos abordados na certificação internacional LPI.

PÚBLICO ALVO:
Alunos da Fundação Liberato e profissionais familiarizados com o uso de computadores e com conhecimentos básicos de redes de computadores.

MATRÍCULAS
Até 03/03/2010 na APM-Liberato, das 8h às 14h, mediante o pagamento da primeira parcela do curso. Endereço: Rua Inconfidentes 395, bairro Primavera – Novo Hamburgo/RS Fone: 3584-2029.

NÚMERO DE VAGAS
São oferecidas 22 vagas (não haverá reservas).

CALENDÁRIO E HORÁRIO DAS AULAS

Módulo 1:
As aulas ocorrerão aos sábados, nos dias 06, 13, 20 e 27 de março, 10, 17 e 24 de abril e 08 e 15 de maio das 8h às 12h30min.

Módulo 2:
As aulas ocorrerão aos sábados, nos dias 22 e 29 de maio, 12, 19 e 26 de junho e 03, 10, 17, 24 e 31 de julho das 8h às 12h30min.

INVESTIMENTO:

Módulo 1:
Para professores, alunos e ex-alunos da Fundação Liberato e UERGS, servidores da Prefeitura Municipal de Novo Hamburgo e sócios da ACI – NH/CB/EV – 2 parcelas de R$ 115,00. Demais interessados, 2 parcelas de R$ 135,00. O pagamento parcelado será somente por meio de cheque pré-datado ou boleto bancário (custo do aluno).

Módulo 2:
Para professores, alunos e ex-alunos da Fundação Liberato e UERGS, servidores da Prefeitura Municipal de Novo Hamburgo e sócios da ACI – NH/CB/EV – 2 parcelas de R$ 130,00. Demais interessados, 2 parcelas de R$ 150,00. O pagamento parcelado será somente por meio de cheque pré-datado ou boleto bancário (custo do aluno).

PROGRAMA DO CURSO:

Módulo 1:
Introdução a Administração de ambientes GNU / Linux: Introdução ao Linux, História e Conceitos do Software livre, O Editor de texto VI, Comando básicos do Bash e Introdução ao Shell Linux, Estrutura de diretórios, Sistemas de arquivos e ferramentas de manutenção.
Administração de Sistema Linux: Níveis de inicialização no Linux, Manipulação básica e avançada de pacotes, Instalação do Linux, Gerenciadores de Boot, Administração de contas e de grupos de usuários, Logs do sistema: arquivos e ferramentas de gerenciamento, X Window System – Xorg, Comandos intermediários e avançados do Bash, Redirecionamento e seleção de entradas e saídas, Linguagem Shell-Script, Recompilar Kernel Linux, Controle de permissões, Ferramentas para monitoramento de serviços do sistema Linux, Análise e interpretação de Logs.
Rede Linux I – Protocolos e Serviços: Interfaces de redes de dados no Linux e protocolos de redes, Modelo OSI – Conceitos, Produtos da família TCP/IPv4, Endereçamento IP, Configuração TCP/IP, Ferramentas e comandos de redes, Introdução ao roteamento em Linux e Firewall básico em Linux.

Módulo 2:
Rede Linux II – Segurança e Serviços: Compartilhamento de arquivos utilizando NFS, Protocolo FTP e ativação de um FTP server, Protocolo SMB ( Server Message Block ), Sistema samba (Compartilhamento Windows-Linux), Autenticação Integrada de Windows em Servidores Linux, Firewall Netfilter/Iptables e técnicas de proteção, SNAT-DNAT, Open-SSH, Proxy Cache Squid e Gerenciamento de relatórios.
Rede Linux III – Serviços de Internet: Introdução ao DNS, Funcionamento do DNS, Servidores de nomes e zonas, Servidores de cache DNS, Servidores de nomes reversos, Instalação de um servidor DNS, Configuração do BIND9, Protocolos SMTP, POP3 e IMAP4, Teoria básica de configuração do servidor de e-mail Postfix, Sistema de webmail SquirrelMail, Configuração básica do servidor Web Apache, Virtual Hosts no Apache, Tópicos de segurança no Apache.

DOCENTE:
Hugo Rafael Torma de Lima: Formado pela CISCO Network Academy. Graduando em Licenciatura da Computação, ministrou formações Avançadas Linux na Unisinos e Alfamídia – Grupo Processor S/A. Exerceu profissionalmente administração de redes e sistemas, especialmente os baseados na plataforma Linux, em provedores como SINOSCORP e SINOSNET. Criador do blog de Software Livre do Jornal NH – Grupo Sinos S/A. Atualmente é servidor público federal.

OBSERVAÇÕES:
- Não é necessário conhecimentos técnicos prévios de servidores ou ambiente Linux.
- É desejável que os participantes estejam familiarizados com o uso de computadores e que tenham conhecimentos básicos de redes de computadores.
- A Fundação Liberato reserva-se o direito de certificar somente quem obtiver 75% da frequência e desligar quem não apresentar comprometimento e postura adequada durante o curso.
- A Fundação Liberato reserva-se o direito de cancelar o curso caso não ocorra o número de matrículas mínimo para o equilíbrio econômico do curso, neste caso devolverá os valores pagos.

Aproveitem mais essa oportunidade que o Liberato está dando, maiores dúvidas enviem um e-mail para mim,  hugorafa [sem_spam] em gmail ponto com

Meu twitter: @AndreGondim

Abraços e boa sorte!! 
Conheça a comunidade Ubuntu Brasil
http://www.ubuntu-br.org/participe

Partilhar

Amnesia: The Dark Descent – Previsto em Agosto/2010