[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]


Securing Debian Manual
Apêndice F - Atualização de segurança protegida por um firewall


Depois de uma instalaçõa padrão, o sistema ainda poderá ter algumas vulnerabilidades de segurança. Ao menos que você baixe as atualizações para os pacotes vulneráveis em outro computador (ou você tenha espelhado security.debian.org para uso local), o sistema deverá ter acesso à Internet para os downloads.

Entretanto, na medida que você se conecta à Internet estará expondo seu sistema. Se um de seus serviços locais estiver vulnerável, poderá ser comprometido mesmo antes de finalizar as atualizações! Isso pode ser paranóico, mas as análises do Projeto Honeynet têm mostrado que sistemas podem ser comprometidos em menos de três dias, mesmo que o sistema não seja conhecido publicamento (i.e., não está publicado nos registros DNS).

Quando estiver fazendo uma atualização em um sistema não protegido por um mecanismo externo como firewall, é possível configurar seu firewall local para restringir conexões envolvendo somente as próprias atualizações de segurança. O exemplo abaixo mostra como configurar estas capacidades de firewall, que permitem somente conexões do security.debian.org, registrando todas as outras que são negadas.

FIXME: add IP address for security.debian.org (since otherwise you need DNS up to work) on /etc/hosts.

FIXME: test this setup to see if it works properly

FIXME: this will only work with HTTP URLs since ftp might need the ip_conntrack_ftp module, or use passive mode.

       # iptables -F
       # iptables -L
       Chain INPUT (policy ACCEPT)
       target     prot opt source               destination
     
       Chain FORWARD (policy ACCEPT)
       target     prot opt source               destination
     
       Chain OUTPUT (policy ACCEPT)
       target     prot opt source               destination
       # iptables -P INPUT DROP
       # iptables -P FORWARD DROP
       # iptables -P OUTPUT DROP
       # iptables -A OUTPUT -d security.debian.org --dport 80 -j ACCEPT
       # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
       # iptables -A INPUT -p icmp -j ACCEPT
       # iptables -A INPUT -j LOG
       # iptables -A OUTPUT -j LOG
       # iptables -L
       Chain INPUT (policy DROP)
       target     prot opt source               destination
       ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
       ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
       LOG        all  --  anywhere             anywhere           LOG level warning
     
       Chain FORWARD (policy DROP)
       target     prot opt source               destination
     
       Chain OUTPUT (policy DROP)
       target     prot opt source               destination
       ACCEPT     80   --  anywhere             security.debian.org
       LOG        all  --  anywhere             anywhere           LOG level warning

[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]


Securing Debian Manual

v3.1, Mon, 10 Feb 2014 17:06:00 +0000

Javier Fernández-Sanguino Peña jfs@debian.org
Autores, Seção 1.1