FAQ 0045 - Segurança mínima em computadores com IP fixo e sistema operacional Linux/Unix

Para evitar o risco de tornar a rede do IQ vulnerável, a Comissão de Informática definiu alguns procedimentos mínimos de segurança

Os administradores das máquinas com IP fixo e que tiverem sistema operacional Linux/Unix, devem manter o mínimo de recursos expostos:

1. O serviço de email deve ser desativado (ou não deve ser instalado).

2. Instalar um TCP Wrapper e configurar os arquivos /etc/hosts.deny e /etc/hosts.allow:

Arquido hosts.deny
ALL:ALL

Arquivo hosts.allow (apenas com os endereços das máquinas que tiverem permissão de acesso, um por linha)
all:143.107.46.101
all:143.107.52.14

No exemplo acima, os acessos para serviços como ssh estão bloqueados para todas às maquinas exceto para as maquinas cujo IP estão indicados no arquivo hosts.allow.

O arquivo /etc/inetd.conf deve ser editado e todos os serviços não utilizados DEVEM ser comentados para que não sejam usados.

3. Instale um firewall (iptables com ufw ou firewall builder).

4. Use um sistema em versão atual, com todas as atualizações de segurança em dia.

5. use ferramentas de monitoramento (logcheck) e de bloqueio das tentativas de acesso indevido (fail2ban).