Ir para o conteúdo
ou

Software livre Brasil

Tela cheia Sugerir um artigo
 Feed RSS

Blogosfera do PSL-Ba

16 de Junho de 2009, 0:00 , por Software Livre Brasil - | 2 pessoas seguindo este artigo.

O Projeto Software Livre Bahia (PSL-BA) é um movimento aberto que busca, através da força cooperativa, disseminar na esfera estadual os ideais de liberdade difundidos pela Fundação Software Livre (FSF), possibilitando assim a democratização do acesso a informação, através dos recursos oferecidos pelo Software Livre. Esta busca tem seus alicerces fundados na colaboração de todos, formando um movimento sinérgico que converge na efetivação dos ideais de Liberdade, Igualdade, Cooperação e Fraternidade.

O Projeto Software Live Bahia é formado pela articulação de indivíduos que atuam em instituições publicas e privadas, empresas, governos ou ONGs, e demais setores da sociedade. Além disso o projeto não é subordinado a qualquer entidade ou grupo social, e não estabelece nenhuma hierarquia formal na sua estrutura interna.

Alexandro Silva: Infraestrutura para Aplicações Web Seguras parte 3 – Aplicação

3 de Março de 2010, 0:00, por Software Livre Brasil - 0sem comentários ainda

Finalizando nossa trilogia farei algumas recomendações para fortalecer o Apache2 e algumas referências sobre boas práticas de segurança no desenvolvimento de aplicações.

Apache2 Seguro

1 – Atualização

É chato falar sempre a mesma ladainha mas atualização é o item número 1 de qualquer cheklist de pós instalação. Sobre isso comentei na 1a. parte.

2 – Escolha o módulo do Apache que melhor atenda suas necessidades

Isso mesmo. Existe um módulo do Apache para cada necessidade vejamos:

* Apache MPM Prefork

Ele implementa um non-threaded web server que processa os pedidos de maneira similar ao Apache 1.3, sendo o melhor MPM para isolar cada requisição, assim um problema com uma única requisição não afetará as outras.
Ele é auto ajustável tornando muito rara a necessidade de ajustar as suas diretivas de configuração.

O mais importante é que a diretiva MaxClients possua um valor suficientemente grande para lidar com tantas solicitações simultâneas, mas pequena o suficiente para assegurar que haja bastante RAM física para todos os processos.

Para instalar o Apache MPM Prefork execute

aptitude install apache2-mpm-prefork

* Apache MPM Worker

Ele implementa um multi-threaded server hibrido. Usando threads para tratar as requisições. Ele atende a apliações que neessitam atender muitas requisições usando poucos recursos do sistema, entretando ele retém a estabilidade do servidor porque mantem muitos processos abertos onde cada um desse processos rodam várias threads.

As diretivas mais importantes no uso deste módulo são: ThreadsPerChild e MaxClients

Para instalar o Apache MPM Worker execute

aptitude install apache2-mpm-worker

Apache Hardening

Este assunto já foi tratado anteriomente porém quero atualizar alguns itens:

* Edite os seguintes parâmetros do arquivo /etc/apache2/conf.d/security

* Server Tokens

De
ServerTokens Full

Para
ServerTokens Prod

* ServerSignature

De
ServerSignature On

Para
ServerSignature Off

* TraceEnable

De
TraceEnable On

Para
TraceEnable Off

* Protega o acesso aos arquivos

Edite os arquivos existentes no diretório /etc/apache/sites-available . Altere os parâmetros diretiva Directory / deixando da seguinte forma:

Order Deny,Allow
Deny from all

Habilite o mod_security

Se você possuir um espírito aventureiro e gostar de fortes emoções recomendo o uso do mod_security. Ele bloqueia o monitoramento de requisições e respostas HTTP tanto quanto a negação de pacotes suspeitos.

Se você possui as caracteristicas acima então siga meu post com o passo a passo para habilitá-lo.

Links Recomendados

* Apache Performance Tunning
* Apache Security Tips

Auditoria – Ferramentas

Nikto

O Nikto Webserver Scanner é uma excelente ferramenta de auditoria para servidores Web. Escrito em perl e mantido pelo CIRT se tornou parte integrante do Nessus.
Muito cuidado com os reports gerados por ele, o ideal é estudar e testar cada alerta gerado pois alguns deles são falsos positivos, isso não tira de forma alguma o brilho desta ferramenta.

W3af

O W3af é um completo framework para ataque e auditoria de servidores Web. Ele faz o serviço completo ( barba, cabelo e bigode ) sendo capaz de fazer uma simples auditoria de vulnerabilidades ao ataque propriamente dito.

Diferentemente do Nikto ele é um devorador de recursos e pode levar dias para concluir uma auditoria de acordo com os plugins habilitados, principalmente se habilitar todos os plugins do módulo Discovery.

Para um relatório efetivo de como anda a segurança do seu Webserver recomendo o trabalho em conjunto do Nessus, Nikto e o W3af.

Post to Twitter Tweet This Post


Alexandro Silva: Estamos de mudança

2 de Março de 2010, 0:00, por Software Livre Brasil - 0sem comentários ainda

Após alguns meses de aluguel resolvi tomar vergonha na cara e oganizei um lar definitivo para o Alexos Core Labs. Meu grande amigo/irmão Ricardo Cropalato cedeu um espaço em seu webhost mas vi a possibilidade de manter meu próprio servidor, coisa que não estava afim de fazer tempos atrás.

Estou muito satisfeito com a infra-estrutura de VPS que estamos usando na Colivre, estamos mantendo nossos serviços tanto no Slicehost quanto no Linode. Escolhi um VPS no Linode para ser a nova casa deste blog.

Aproveitando registrei os dominios alexos.org e alexos.net. Vi que os leitores da lingua inglesa estavam reclamando do Google Translate então resolvi montar a versão em inglês usando o dominio alexos.org.

Muitas novidades estão por vir em breve. Estou trabalhando duro para manter um blog de qualidade e sempre atualizado.

Aguardem….

Post to Twitter Tweet This Post


Rafael Gomes: Hardening do Proftpd

2 de Março de 2010, 0:00, por Software Livre Brasil - 0sem comentários ainda

Para quem não conhece, o Proftpd é um software responsável pelo serviço de FTP. Talvez um dos mais usados no ambiente Gnu/Linux.

Para instalar e começar usar o Proftpd é muito fácil, mas o que poucos sabem é que a sua configuração padrão, assim como em qualquer outro serviço, é focada apenas para experimentação, ou seja, em um ambiente de produção ele deve ser customizado, seja de acordo a carga de utilização de seu ambiente ou a sua segurança.

Irei tratar hoje sobre alguns aspectos de segurança desse serviço, que com pequenas alterações são resolvidos.

Todos as configurações explicadas abaixo serão encontradas no arquivo do proftpd, que geralmente está localizado em /etc/proftpd/proftpd.conf

  • Evitar Footprinting

Footprinting é o processo de obter informações do alvo, antes de iniciar um ataque, sendo assim vamos dificultar essa coleta de informações adicionando a seguinte linha:

ServerIdent Off

  • Tentativas de login

Para evitar que o invasor efetue a quantidade necessária de tentativas para “adivinhar” sua senha, adicione a seguinte linha no seu arquivo de configuração:

MaxLoginAttempts 3

  • Inibir

O que poucas pessoas sabem é, que as vezes uma medida simples pode ter um retorno interessante.

As vezes um alerta antes de uma tentativa de acesso indevido é o bastante para afastar alguns tipos de invasores, ou ao menos deixá-los avisados que aquele servidor foi alvo de uma modificação com foco em segurança.

Crie dois arquivos em seu servidor, em um dos arquivos coloque um texto a ser exibido antes do usuário tentar efetuar logon e outro para após.

O texto que será exibido antes, deve conter um texto sério, que tem como objetivo demonstrar a seriedade da organização que hospeda o serviço e quais as implicações o invasor terá caso ele apenas tente efetuar uma invasão, ele ao menos pensará um pouco mais antes de iniciar um ataque para aquele ativo.

Para a mensagem que ficará antes do acesso adicione a seguinte linha:

DisplayConnect /home/ftp/texto_antes.msg

Para a mensagem que ficará depois, adicione a seguinte linha:

DisplayLogin /home/ftp/texto_depois.msg

Basicamente, essas são as medidas mais simples a serem tomadas com seu servidor FTP, que em minha opinião farão uma enorme diferença na utilização do seu serviço.

Existem outras medidas que podem ser aplicadas em sua configuração, mas como algumas delas divergem quanto ao fim devido do serviço, preferi me manter no básico.

Caso tenha mais alguma sugestão, pode comentar, atualizarei o post caso necessário.

Até a próxima!


Nelson Pretto: Feliz 2010

1 de Março de 2010, 0:00, por Software Livre Brasil - 0sem comentários ainda

Na Bahia, conta a lenda, tudo só começa depois do carnaval. Hoje é o início do semestre 2010.1 na Universidade Federal da Bahia e, de fato, para nosotros, apesar de termos trabalhados um tico ao logo dos últimos meses, o ano está agora começando.
Aulas, reuniões, orientações, escritas e leituras fazem do nosso trabalho intensificado nas federais (belo livro de Valdemar Sguissardi!).
Ano especial no Brasil por conta das eleições e, no caso da UFBA, também especial porque até maio teremos que ter escolhido o novo Reitor. Curioso nesse aspecto é que, como da outra vez há quatro anos, um silêncio absoluto toma conta de todas as correntes. Algo de muito estranho deve estar acontecendo em algum lugar.
Mas, vamos deixar essa polêmica e alimentar uma outra, essa sim, bastante visível e que anima as páginas de opiniões dos nossos jornais. Trata-se do projeto de ponte que ligará Salvador à Ilha de Itaparica.
Como aqui tudo, muito rapidamente virá meio sacanagem - dá boa! - eis que recebo um croqui da futura ponte logo depois da sua inauguração... O pessoal não brinca em serviço é, seguramente, esse desenho de Flávio Luiz Felipe - que não conheço! - é bastante divertido...

Day after na ponte Salvador Itaparica



Tags deste artigo: nordeste psl bahia