Linux hardening, como melhorar o desempenho do seu linux

1. FACULDADE ZACARIAS DE GÓES
ERIC GALDINO DOS SANTOS SILVA
TÉCNICAS DE SEGURANÇA DA INFORMAÇÃO: UM ESTUDO
DIRECIONADO À APLICAÇÃO DE HARDENING EM SISTEMAS OPERACIONAIS
LINUX
VALENÇA – BAHIA
2012

2. ERIC GALDINO DOS SANTOS SILVA
TÉCNICAS DE SEGURANÇA DA INFORMAÇÃO: UM ESTUDO
DIRECIONADO À APLICAÇÃO DE HARDENING EM SISTEMAS OPERACIONAIS
LINUX
Artigo apresentado à Faculdade Zacarias de Góes como
requisito parcial obrigatório para obtenção do grau de
Bacharel em Sistemas de Informação.
Orientador: Prof. Esp Ricardo Wanner de Godoy
Valença – Bahia
2012

3. ERIC GALDINO DOS SANTOS SILVA
TÉCNICAS DE SEGURANÇA DA INFORMAÇÃO: UM ESTUDO
DIRECIONADO À APLICAÇÃO DE HARDENING EM SISTEMAS OPERACIONAIS
LINUX
Artigo apresentado à Faculdade Zacarias de Góes como
requisito parcial obrigatório para obtenção do grau de
Bacharel em Sistemas de Informação.
Orientador: Prof. ESP Ricardo Wanner de Godoy
Aprovada em ____/____/____
BANCA EXAMINADORA
______________________________________
Prof. Ricardo Wanner de Godoy
Associação dos Diplomados da Escola Superior de Guerra, ADESG, Brasil -
Especialização em Estudos de Política e Estratégia.
_______________________________________
Prof.
_______________________________________
Prof.

4. SUMARIO
RESUMO
1 INTRODUÇÃO 5
2 FUNDAMENTAÇÃO TEÓRICA 10
2.1 SISTEMA OPERACIONAL 10
2.2 SCRIPT 11
2.3 SEGURANÇA DA INFORMAÇÃO 12
2.3.1 Seguranças em sistemas operacionais linux 13
2.4 A TÉCNICA DE HARDENING 13
2.4.1 Práticas de hardening em sistemas operacionais linux 14
2.4.1.1 Firewall 15
2.4.1.2 Segurança no sistema de arquivos 16
2.4.1.3 Regras de utilização de serviços de rede e serviços ativos do sistema 16
2.4.1.4 Permissões especiais de arquivos 16
2.4.1.5 Utilização de Quota 17
2.4.1.6 Remoção de programas desnecessários 17
3 METODOLOGIA 17
4 CONCLUSÃO 18
REFERÊNCIA 20
ANEXO A 24
APENDICE 28

5. TÉCNICAS DE SEGURANÇA DA INFORMAÇÃO: UM ESTUDO
DIRECIONADO À APLICAÇÃO DE HARDENING EM SISTEMAS OPERACIONAIS
LINUX
Eric Galdino dos Santos Silva1
RESUMO
Este trabalho tem por finalidade expor o tema de segurança da informação fazendo uso da
técnica de hardening com o objetivo de deixar o sistema operacional estável. Vivemos em
uma sociedade de informações, onde a relação entre as pessoas e os sistemas, onde são
utilizados diversos meios de comunicação e um desses meios são os computadores,
principalmente por causa da globalização e avanços tecnológicos, neles são armazenados
arquivos de extrema importância ou pessoal, e para que essas informações sigilosas não
parem nas mãos de qualquer individuo, é necessário à criação de um sistema de segurança de
informação, para que possa dificultar ao máximo os cracker, de invadirem a privacidade das
pessoas e das organizações. O processo de segurança dos sistemas operacionais, deve ser feito
uma exploração das vulnerabilidades do sistema, implementando a técnica de hardening,
serviços e instrumentos minimizando os ataques e antecipando-se aos próximos, e assim
aumentando o nível de segurança da informação, mas para que isso seja feito também é
necessário um estudo das possíveis falhas de segurança em um sistema operacional. Os
resultados obtidos nesse artigo foi o conhecimento de alguns métodos de segurança da
informação, indicando o uso e aprimoramento, possibilitando uma maior estabilidade em
sistemas operacionais linux.
Palavras – chave: Hardening. Segurança da informação. Segurança em sistemas. Informação
Sistema da informação.
ABSTRACT
This study aims to expose the issue of information security using the technique of hardening
in order to leave the stable operating system. We live in an information society, where the
relationship between people and systems, which uses various media and these media are
computers, mainly because of globalization and technological advances, files stored on them
are extremely important or personal , and that such information confidential does not stop the
hands of any individual is required to create a system of information security, that might
hinder the most of the cracker, to invade the privacy of individuals and organizations. The
process of security of operating systems, should be made an exploitation of the vulnerabilities
of the system, implementing the technique of hardening, services and tools minimizing the
attacks and anticipating the next, and so increasing the level of information security, but that
this is done is also necessary to study the possible security flaws in an operating system. The
results of this paper was the knowledge of some methods of information security, indicating
the use and improvement, providing greater stability in linux operating systems.
Keywords: Hardening. Security of the information. Security in systems. Information System
of the information.
___________________________
1
Graduando em Sistemas de Informação na Faculdade Zacarias de Góes. E-mail: eric.fullmetal@gmail.com

6. 5
1 INTRODUÇÃO
A informação é um processo de organização e manipulação de dados que
normalmente interage com pessoas e sistemas, utilizando diversos meios de comunicação, tais
como: livros, jornais, televisão, música e principalmente a internet. Alinhado a era da
informação está a rede mundial de computadores, rede esta utilizada atualmente como
principal fonte de informação e comunicação, integrando diversas funcionalidades, pessoas,
serviços, sistemas e uma grande quantidade de informação.
Na maioria das vezes, essas informações agregam elevado valor, sejam elas de
cunho financeiro, de competitividade comercial ou até mesmo de informação pessoal. Com
este avanço tecnológico, surge uma nova tendência na área de segurança da informação,
gerando problemas de vazamento de informações, invasão e furto de informações que
naturalmente são causados pela má administração dos serviços e sistemas que estão agregados
às estruturas computacionais empresariais.
No meio tecnológico o principal causador desses problemas são pessoas
denominadas como cracker2
, caracterizador por possuírem certo nível específico de
conhecimentos informáticos, e utilizam este para invadir sistemas, coletar dados e
informações, por brechas e lacunas que na maioria das vezes são desprezadas pelos
administradores de sistemas. Normalmente, eles executam teste de segurança, explorando as
vulnerabilidades, pontos falhos e a partir dai, iniciam seus ataques através da internet,
passando assim a adquirir informações sigilosas utilizando-as para beneficio próprio.
Este artigo está direcionado a responder a seguinte questão: A aplicação de
hardening3
em sistemas operacionais Linux é o suficiente como técnica de segurança da
informação?
Devido à evolução computacional surgiu à necessidade de resguardar os dados e
informações que estão atrelados aos sistemas, efetuando rotinas de segurança, implementando
serviços e instrumentos com o principal intuito de minimizar ataques e tentar aumentar o nível
de segurança da informação nos sistemas operacionais.
Assim, torna-se necessário a aplicação de um estudo direcionado para algumas
hipóteses referente às possíveis falhas de segurança em sistema operacional. Hipótese básica
___________________________
2
Cracker é um individuo virtual, alguém que usa seus conhecimentos para invadir sistemas, quebrar travas e
senhas, roubar dados etc. (MORIMOTO, 2005).
3
Hardening é uma técnica usada para mapear ameaças e depois executar possíveis correções nos sistemas
preparando-o para determinadas tentativas de ataques ou violação na segurança da informação (FACINA, 2009).

7. 6
há possibilidade de manter um sistema de segurança da informação em um sistema
operacional usando técnicas de hardening; as secundárias: a) a utilização de técnicas de
vulnerabilidade em sistemas oferece um maior domínio do administrador sobre a estrutura de
segurança da informação das plataformas operacionais; b) a implementação de novos padrões
de segurança em sistemas operacionais é possível minimizar os ataques a servidores e
serviços em sistemas operacionais Linux; c) a prática de hardening proporciona melhorias e
oculta às vulnerabilidades do sistema, inviabilizando a coleta de informações pelos crackers.
O objetivo geral desta pesquisa foi estudar a necessidade de implementação das
técnicas de segurança da informação em sistemas operacionais Linux, focando na utilização
de ferramentas para prevenção de ataques e execução de atividades corretivas.
Já os objetivos específicos deste estudo são: a) identificar através de técnicas de
vulnerabilidade os problemas de segurança em ambientes operacionais Linux; b) analisar a
necessidade de aprimoramento nos padrões de segurança; c) proporcionar melhores práticas
de hardening em sistemas operacionais Linux.
Na área computacional existem três pilares básicos, são eles: o hardware que se
trata do meio físico, placas e periféricos; o software é o abstrato e parte lógica, programas e o
peopleware que são os usuários. Os três são fundamentais para obter um bom desempenho na
área de tecnologia. (GIACOMIN; SARTOREL, 2012, p. 4).
O hardware é o conjunto de peças e componentes eletrônicos, circuitos integrados
e placas ligadas umas as outras, resultando na parte física do computador. Alguns exemplos a
serem citados são: mouse, teclados, memoria, impressora, monitores todos esses periféricos de
entrada ou saída. O hardware também se encontra em vários aparelhos tecnológicos dentre
eles o celular que contém uma placa com circuitos e um sistema para gerenciar (GIACOMIN;
SARTOREL, 2012, p. 4).
Já os softwares são programas de computador, composto por varias instruções
bem organizadas em conjuntos, quando executadas resultam no objetivo desejado (KOZAK,
2012, p. 10).
A lei 9.609/98, de 19 de fevereiro de 1998 que trata sobre a proteção da
propriedade intelectual de programa de computador, sua comercialização no País, e dá outras
providências no artigo 1º afirma que.
Programa de computador é a expressão de um conjunto organizado de instruções em
linguagem natural ou codificada, contida em suporte físico de qualquer natureza, de
emprego necessário em máquinas automáticas de tratamento da informação,
dispositivos, instrumentos ou equipamentos periféricos, baseados em técnica digital
ou análoga, para fazê-los funcionar de modo e para fins determinados.

8. 7
Uma das grandes vantagens é que o software com o passar dos anos, não se
desgastam, sendo possível manter ele sempre ativo com atualizações ou versões novas. O
grande problema do software geralmente acontece no seu desenvolvimento onde vários
fatores podem determinar o seu fracasso. Diferentemente dos computadores que com o passar
dos anos ele começa a se deteriorar devido ao tempo e sua utilização.
O peopleware é a parte humana, os usuários seja ele básico que irá usufruir do
produto final para o seu laser ou avançados que usarão para o trabalho, que são os
programadores, analista de sistemas, designer e etc (GIACOMIN; SARTOREL, 2012, p. 4).
É considerado software livre todo programa que atenda as quatro liberdades de
utilização do software, estabelecidas pela Free Software Foundation (FSF), nas quais os
usuários e as empresas detêm da possibilidade de modificar e redistribuir este programa
alterado, pois o mesmo tem a possibilidade de ser estudado e modelado para o uso particular
dos interessados (FREE SOFTWARE, 2008, p.1).
Segundo a Fundação Software Livre, América Latina (2008, p. 1), é considerado
software livre todo software que possui:
• A liberdade de executar o programa, para qualquer propósito (liberdade nº 0);
• A liberdade de estudar como o programa funciona, e adaptá-lo para as suas
necessidades (liberdade nº 1);
• Aceso ao código-fonte é um pré-requisito para esta liberdade; A liberdade de
redistribuir cópias de modo que você possa ajudar ao seu próximo (liberdade nº 2);
• A liberdade de aperfeiçoar o programa, e liberar os seus aperfeiçoamentos, de
modo que toda a comunidade se beneficie (liberdade nº 3);
Esta é a base que consiste a filosofia de software livre. As possibilidades de
acesso ao código fonte permitiram ao desenvolvedor a real análise e verificação de falhas de
segurança nos diversos tipos de sistemas, pois o código-fonte do sistema que possui todas as
especificações de funcionamento está disponível a todo o momento. Com toda essa liberdade
é possível investir em segurança dentro do software, pois se tem a liberdade de acesso a todo
sistema, dando certa autonomia para que se possa modificar e principalmente, criar rotinas e
procedimentos de segurança de maneira consciente e eficaz. (FREE SOFTWARE, 2008, p. 1).
A grande maioria dos usuários acha que está protegido contra invasão ou ataques dos crackes,
devido à utilização de um firewall4
ou de um software de antivírus, mais normalmente essas
ferramentas não garante a segurança total dos sistemas operacionais e de suas devidas
aplicações. Por achar que estão seguros, os usuários acabam ficando vulneráveis, pois os
___________________________
4
O firewall refere-se a uma peça de software que examina todo pacote de rede vindo da internet para decidir se
ele deveria ser permitido, rejeitado completamente, ignorado ou modificado (NEGUS, 2008, p. 410).

9. 8
mesmos não tomam os devidos cuidados de prevenção, como por exemplo: atualizações do
sistema operacional, dos antivírus e demais serviços que estão agregados a ele.
Esta impressão de segurança pode gerar diversos riscos: primeiramente aos
usuários que estão a todo o momento fornecendo dados com a utilização dos aplicativos, os
sistemas, aos administradores de sistemas, e principalmente, aos dados que estão inseridos
neste processo. Uma técnica bem administrada pode sim, passar um maior nível de segurança
e o firewall é uma delas, que utiliza a técnica de filtragem dos pacotes que trafegam em uma
rede de computadores, efetuando a função de análise dos dados que “entram” e que “saem” da
rede e da internet, impedindo que possíveis ameaças entrem e passem a danificar o sistema e a
coletar dados (ULBRICH; DELLA, 2009, p. 194).
Para Ulbrich e Della (2009, p. 194),
Um firewall sempre é colocado na divisa entre duas ou mais redes. Pode ser entre
redes privadas ou entre uma rede privada e a internet. A função de tal equipamento é
controlar o trafego entre elas, permitindo ou bloqueando informações de acordo com
regras pré-estabelecidas. Há diversas explicações para a palavra firewall.
Outra técnica a ser implementada é a de política de segurança, onde se adotam
medidas que visam um melhor uso dos sistemas, contendo normas e diretrizes, estabelecendo
práticas de segurança física e lógica. Essas práticas perpassam pela aplicação de práticas de
segurança e principalmente pelo trabalho de conscientização e treinamento de usuários,
quanto à utilização dos sistemas e recursos que estão disponíveis.
Para que o sistema seja considerado seguro utilizando uma política de segurança,
é necessário que venha se cumprir todas as determinações estabelecidas pela política local da
empresa ou órgão, pois a mesma é estabelecida de acordo com a realidade e vivência diária
pelas quais os profissionais passam.
Existem diversos tipos de práticas de segurança, que consiste prevenção e na
exploração das vulnerabilidades e das ameaças que possam vir a danificar os sistemas e
serviços, e estudá-las para que possam ser efetuadas manutenções corretivas, deixando o
sistema operacional mais robusto, confiável e seguro, preparando-o para enfrentar futuras
tentativas de ataques dos crackers e de serviços de terceiros.
Haverá melhorias no processo de segurança da informação, com um bom
gerenciamento e um conhecimento amplo em ferramentas tecnológicas. Devido aos
problemas na área de sistema operacional, sendo possível revertê-los com a utilização de
novos métodos de administração do mesmo.
A escolha deste tema se deu pela vivência dos problemas de segurança da

10. 9
informação, onde todos os dias cresce o número de usuários de computador e na maioria das
vezes faz um uso imprudente do sistema operacional e de seus aplicativos. Concluído que se o
sistema for infectado poderá ser fácil à solução, formatando ou usando um aplicativo de
remoção de vírus, mas o que tem interesse mesmo é o que o software mal intencionado fez, ou
queria fazer. Devido à falta de conhecimento dos usuários de sistemas operacionais e
aplicativos, no qual acham que estão bem protegidos de ameaças e ataques digitais, mais na
verdade não estão totalmente seguros. E isso acaba gerando transtornos futuros, pois os
mesmos acabam sendo atacados devido à falta de informações e conhecimentos técnicos.
Com o surgimento das redes sociais há um aumento de possíveis invasões, por um
meio conhecido como engenharia social que é usada para obter informações sigilosas do
usuário, ele é usado de uma forma em que os usuários recebem informações vantajosas ao seu
respeito oferecendo algo de bom para o usuário, atualização de informações de contas
bancárias e de outros cadastros que seja possível coletar informações, divulgando informações
falsas dizendo que a pessoa estava em um possível lugar, onde até mesmo o usuário nunca
havia passado (ULBRICH; DELLA, 2009, p. 124-125).
Junto a essas informações geralmente vem um link5
suspeito, nele o usuário é
direcionado a uma página falsa ou um download6
, onde se encontra o vírus, geralmente ao
clicar no suposto link o seu sistema será infectado automaticamente, e já estará sendo
manipulado pelo cracker criador do vírus.
Este estudo teve sua origem devido à necessidade das empresas de segurança da
informação, onde os usuários de tecnologia precisam prestar mais atenção a esse quesito, pois
a maioria das informações está contida dentro de um micro computador. Se um conteúdo de
grande valor for vazado na rede e cair nas mãos erradas pode ter um grande impacto negativo,
desestabilizando financeiramente e até psicologicamente. Esse conteúdo pode ser obtido de
várias formas ilícitas na qual o indivíduo age de má fé para fins próprios. Com o
conhecimento amplo e a vivência do indivíduo em relação à segurança de informação, há a
possibilidade de criar uma melhor segurança, podendo ser construída uma blindagem de
proteção amenizando a invasão dos intrusos, e também palestrar sobre o assunto em questão,
com o intuito de preparar o usuário para que o mesmo não seja uma vítima, evitando que ele
___________________________
5
Link é uma expressão motivada pelo uso da informática, importada da língua inglesa e que significa ligação.
Pode ser uma palavra, um termo ou uma imagem que ao clicarmos dará acesso a um documento qualquer
(LIMA, 2011, p. 1).
6
Download – Baixar em Português, download é a transferência de dados entre um computador remoto e o seu,
sejam eles uma música, um filme, um arquivo de texto e até mesmo esta página e artigo que você está lendo no
momento (SILVA, 2011, p. 1).

11. 10
se torne uma possível ferramenta para abrir uma brecha e invadir o sistema operacional.
2 FUNDAMENTAÇÃO TEÓRICA
Nos dias atuais devido ao fácil acesso a tecnologia principalmente a computadores
e dispositivos moveis que facilitam a vida de muita gente efetuando trabalhos rotineiros, que
na maioria das vezes demorariam dias para serem concluídos, traz consigo também um grande
risco, pois existem pessoas que aproveita a dependência desses serviços para tentar invadir e
roubar nossos dados para serem usados em atos ilícitos usufruindo assim ilegalmente de
nossos dados.
Assim foi surgindo à necessidade de profissionais qualificados na área, que
começaram a perceber que o sistema operacional na maioria das vezes se torna o principal
alvo desses ataques, e que haveria há possibilidade de melhorar o sistema deixando ele mais
robusto e seguro. Visando essa segurança da informação foi dada origem a técnica de
hardening, onde é feito o estudo de vulnerabilidades do sistema operacional, antecipando
possíveis ataques e assim deixando o sistema mais seguro.
2.1 SISTEMA OPERACIONAL
O sistema operacional tem por característica principal fornecer uma interface de
gerenciamento computacional para o usuário, gerenciando o processador, que é responsável
pelos ciclos de processamento e por toda informação que “entra” e “sai” do computador,
acompanhado pela memória RAM7
, que tem o papel principal de armazenar temporariamente
os dados que são processados, os periféricos de entrada/saída, e outros recursos que
contemplam um sistema computacional. Pode ser classificado como um software básico para
efetuar o controle e o gerenciamento do hardware8
, e de softwares9
aplicativos, com a
responsabilidade de alocar recursos e fornecer serviços específicos aos usuários.
O sistema operacional é uma camada de software que opera entre o hardware e os
programas aplicativos voltados ao usuário final. O sistema operacional é uma
estrutura de software ampla, muitas vezes complexa que incorpora aspectos de baixo
nível (como drivers de dispositivos e gerência de memória física) e de alto nível
(como programas utilitários e a própria interface gráfica) (MAZIERO, 2011, p. 3).
O sistema operacional não é um único software, nele se encontra vários programas
___________________________
7
A sigla "RAM" vem de "Random Access Memory", ou "memória de acesso aleatório", indicando a principal
característica da memória RAM, que é o fato de permitir o acesso direto a qualquer um dos endereços
disponíveis e de forma bastante rápida (MORIMOTO, 2007, p. 1).
8
Hardware (hard = duro) significa ferragens, quinquilharia, e envolve o conjunto de componentes mecânicas,
magnéticas e electrónicas de um computador ou de qualquer outro sistema digital (BARRICO, 2011, p. 1).
9
Software é uma aplicação, um programa do computador, que permite executar uma determinada tarefa
(SOUSA, 2008, p. 1).

12. 11
executando cada um com a sua finalidade, assim falar-se-á um pouco sobre os mais
relevantes.
O núcleo do sistema conhecido como kernel10
poucos usuários comuns já
ouviram falar, mas ele é o coração do sistema operacional onde o mesmo tem a
funcionalidade de intermédio, fazendo a ligação entre o hardware e o sistema operacional.
Já os drivers funcionam como uma espécie de tradutor, pegando os comandos e
fazendo com que o hardware específico entenda bem o que o sistema estar requisitando. Na
maioria das vezes o driver já é fornecido pelo próprio fabricante do hardware outras vezes já
vem nativo do próprio sistema operacional.
Antes de o sistema operacional inicializar existem processos que são carregados
para preparar o hardware chamado de código de inicialização, “a inicialização do hardware
requer uma série de tarefas complexas, como reconhecer os dispositivos instalados, testá-los e
configurá-los adequadamente para seu uso posterior. Outra tarefa importante é carregar o
núcleo do sistema operacional em memória e iniciar sua execução” (MAZIERO, 2011, p. 3).
Depois que o sistema operacional é inicializado existe vários programas instalados
e que podem ser complementado ao sistema denominado de programas utilitários, sendo
comentados alguns, “são programas que facilitam o uso do sistema computacional,
fornecendo funcionalidades complementares ao núcleo, como formatação de discos e mídias,
configuração de dispositivos, manipulação de arquivos (mover, copiar, apagar), interpretador
de comandos, terminal, interface gráfica, gerência de janelas, etc.” (MAZIERO, 2011, p. 3).
2.2 SCRIPT11
A linguagem de programação script é uma sequência de comandos a ser
executado dentro de um texto, e não precisa ser compilado como os demais programas, porém
deve-se ter um interpretador para que esses sejam entendidos pelo sistema. “As linguagens de
script desenvolveram-se no decorrer dos últimos 25 anos. Tais linguagens são usadas
colocando-se uma lista de comandos, chamados de script, em um arquivo para serem
executados.” (SEBESTA, 2006, p.21).
Com o passar do tempo foi surgindo novas linguagens de script dentre elas a
___________________________
10
Kernel pode ser entendido como o núcleo do sistema operacional, isto é, como a parte essencial deste. Cabe ao
kernel fazer o intermédio entre o hardware e os programas executados pelo computador. Isso significa que a
junção do kernel mais os softwares que tornam o computador usável (drivers, protocolos de comunicação, entre
outros), de acordo com a sua aplicação, é que formam o sistema operacional em si (ALECRIM, 2011, p.1).
11
Um script é um arquivo que guarda vários comandos e pode ser executado sempre que Preciso (JARGAS,
2004, p. 2).

13. 12
primeira foi chamada de sh (de shell o console do linux), iniciou-se como uma pequena
coleção de comandos interpretados como chamadas aos subprogramas do sistema que
executavam funções de utilidade como, por exemplo, gerenciamento e filtragem simples de
arquivos ( SEBESTA, 2006, p. 21).
Escreve JARGAS (2004, p. 7) um simples script que mostrar a data e hora o uso
do disco rígido e quantos usuários estão conectados na máquina.
#!/bin/bash
# sistema − script que mostra informações sobre o sistema
# Autor: Fulano da Silva
# Pede uma confirmação do usuário antes de executar
echo "Vou buscar os dados do sistema. Posso continuar? [sn] "
read RESPOSTA
# Se ele digitou 'n', vamos interromper o script
test "$RESPOSTA" = "n" && exit
# O date mostra a data e a hora correntes
echo "Data e Horário:"
date
echo
# O df mostra as partições e quanto cada uma ocupa no disco
echo "Uso do disco:"
df
echo
# O w mostra os usuários que estão conectados nesta máquina
echo "Usuários conectados:"
w
2.3 SEGURANÇA DA INFORMAÇÃO
A segurança da informação a cada dia que passa vem crescendo porque ela está
ligada a proteção dos arquivos, dados e informações que são de grande valor para os usuários,
e assim ela vem se tornando necessária a cada dia que passa, devido a inúmeros ataques dos
crackers que podem ser sofridos a qualquer momento.
Escreve Soares; Lemos; Colcher (1995, p. 448), o termo segurança é usado com o
significado de minimizar a vulnerabilidade de bens (qualquer coisa de valor) e recursos.
Vulnerabilidade é qualquer fraqueza que pode ser explorada para se violar um sistema ou as
informações que ele contém.
Não há nada 100% seguro sempre se consegue um jeito de burlar algo, a
segurança da informação tem o seu papel de tentar o máximo possível diminuir essas
vulnerabilidades. Então ela tem que manter-se sempre atualizada, já que se cria uma vacina12
nova e surgem novas ameaças nesse mundo digital.
___________________________
12
Vacina na área de tecnologia é como se fosse um meio de proteção para uma determinada praga.

14. 13
Segundo Krause (1999), Pereira (2000) e Albuquerque (2002) [apud Matos,
2010], há três princípios básicos para garantir a segurança da informação:
• Confidencialidade: A informação somente pode ser acessada por pessoas
explicitamente autorizadas. É a proteção de sistemas de informação para impedir
que pessoas não autorizadas tenham acesso;
• Disponibilidade: A informação deve estar disponível no momento em que a
mesma for necessária;
• Integridade: A informação deve ser recuperada em sua forma original (no
momento em que foi armazenada). É a proteção dos dados ou informações contra
modificações intencionais ou acidentais não-autorizadas.
2.3.1 Seguranças em Sistemas Operacionais Linux
No início com as construções dos computadores os usuários tinham que ter um
conhecimento bastante avançado, já que não existia um sistema operacional os usuários tinha
que desenvolver os próprios programas numa linguagem que só a máquina entedia, ou seja,
software interagia diretamente com o hardware.
Com o passar dos anos foi desenvolvido um sistema de grande proporção onde o
mesmo realizaria o gerenciamento das aplicações, podendo até executar a instalação de um ou
mais programas.
Quando foram construídos os primeiros computadores, seus usuários programavam
as aplicações em linguagem de máquina, interagindo diretamente com o hardware.
Logo percebeu-se que algumas tarefas básicas se repetia nas mais diversas
aplicações. Por exemplo, transferência de dados entre a memoria e os dispositivos de
entrada e ou saída (impressoras, unidades de armazenamento etc.). Foi a partir dai
que surgiram os sistemas operacionais (SOARES; LEMOS; COLCHER, 1995, p.
421).
Devido ao crescimento que teve os sistemas operacionais é de fundamental
importância ficar atentos à segurança nos mesmo, com a quantidade de aplicações criadas nas
quais podem acabar criando possibilidade de fraquezas nos sistemas. O intuito principal é de
analisar os procedimentos e técnicas de vulnerabilidade em Sistemas Operacionais Linux,
efetuando uma análise detalhada da distribuição Debian, que por sua vez é uma distribuição
livre. Este estudo será efetuado com o auxilio de aplicativos livres, e proporcionará um maior
nível de entendimento sobre falhas de segurança e disponibilidade de serviços de forma
confiável para todos os usuários que estão inseridos no processo de encaminhar e receber
dados.
2.4 A TÉCNICA DE HARDENING
O hardening consiste na técnica de explorar as vulnerabilidades e ameaças que
possam vir a danificar os sistemas e serviços, e estudá-las para que possam ser feita uma

15. 14
manutenção corretiva deixando o sistema operacional mais robusto, confiável, seguro
preparando para enfrentar futuras tentativas de ataques dos crackers.
Essa técnica também contém a opção de remover nomes de usuários que não
usam mais e outros serviços desnecessários. É possível inserir limitações aos usuários dando
só as permissões necessárias de leitura escrita no sistema de arquivo, a seus respectivos donos
ou a quem é de interesse, só manter instalado softwares básicos para uso pessoal, quando
remover um programa, sempre verificar se há resíduos deixados no sistema operacional, deve-
se criar um mecanismo de atualização para manter sempre atualizados os sistemas e seus
aplicativos, pois os mesmos sempre estão verificando e corrigindo falhas encontradas no
decorrer dos tempos.
O hardening consiste na realização de alguns ajustes finos para o fortalecimento da
segurança de um sistema. Muitos administradores sem experiência em segurança
preparam seus servidores com uma instalação básica e depois que suas aplicações
estão disponíveis nenhum procedimento é feito para manter a integridade do sistema
(REIS; JULIO; VERBENA, 2011, p. 21).
2.4.1 Práticas de hardening em sistemas operacionais linux
O Hardening quando bem aplicado ao sistema dentro de uma empresa pode trazer
vários benefícios, o mesmo pode evitar o vazamento de informações que possam
comprometer a receita trazendo prejuízos futuros, exemplo, o lançamento de algo novo que
não possa ser plagiado, com essa técnica é também possível diminuir os transtornos aos
usuários já que, quando a sua máquina é contaminada será necessário realizar a manutenção
nos sistemas operacionais gerando um atrasado nas suas funções que lhe foram delegadas.
O sistema operacional com o hardening sendo utilizado gera uma melhoria
bastante significativa, pois com esse método é possível também a retirada de uso processos
não necessários, ou seja, que não seja utilizado pelos usuários nem pelo sistema. Sendo assim
aumenta a capacidade de processamento da máquina e como recompensa o sistema se
desenvolve com mais eficiência e eficácia chegando a obter a efetividade onde o mesmo
poderá utilizar ainda mais o potencial do seu sistema operacional, atingindo assim as suas
metas em um menor espaço de tempo possível.
Hardening, ou blindagem de sistemas, consiste na utilização de técnicas para prover
mais segurança a servidores que disponibilizam serviços externos, como servidores
Web, ou até mesmo serviços internos, como servidores de banco de dados, de
arquivos, entre outros (REIS; JULIO; VERBENA, 2011, p.1).
Para que tudo isso seja possível são necessários profissionais gabaritados na área,
e com um conhecimento amplo principalmente na área de segurança da informação, pois esse
conhecimento é indispensável.

16. 15
Um administrador de rede não pode ficar esperando por novos problemas de
segurança, um novo bug13
ou mesmo uma nova técnica e/ou ferramenta que prove
um conceito de vulnerabilidade. Devido aos riscos eminentes que existe em toda
web, o administrador deve se antecipar na busca por vulnerabilidades na rede e
desse modo resolvê-las antes que os atacantes descubram essas vulnerabilidades
(VIEGAS, 2008, p. 30).
2.4.1.1 Firewall
É possível também em sistemas operacionais Linux utilizando script, configurar
um firewall estabelecendo paramentos e comandos para deixa-lo blindado ao máximo, contra
tentativas de invasões ou ataques dos crackers, com um bom script pode-se bloquear as portas
não utilizadas pelo sistema operacional.
Apresenta MORIMOTO (2006, p. 1) a seguir um script de firewall:
#!/bin/bash
iniciar(){
# Abre para a faixa de endereços da rede local:
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
# Faz a mesma coisa, só que especificando a interface. Pode ser
# usada em substituição à regra anterior:
# iptables -A INPUT -i eth0 -j ACCEPT
# Abre uma porta (inclusive para a Internet):
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Ignora pings:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Protege contra IP spoofing:
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
# Descarta pacotes malformados, protegendo contra ataques diversos:
iptables -A INPUT -m state --state INVALID -j DROP
# Abre para a interface de loopback. Esta regra é essencial para que
# o KDE e outros programas gráficos funcionem adequadamente:
iptables -A INPUT -i lo -j ACCEPT
# Impede a abertura de novas conexões, efetivamente bloqueando o acesso
# externo ao seu servidor, com exceção das portas e faixas de endereços
# especificadas anteriormente:
iptables -A INPUT -p tcp --syn -j DROP
echo "Regras de firewall ativadas"
}
parar(){
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo "Regras de firewall desativadas"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac
___________________________
13
A palavra significa inseto em inglês e foi atribuída inicialmente às falhas mecânicas, diz-se que Thomas
Edison a empregou pelos problemas que os animais causavam em seu fonógrafo. Mais tarde o termo foi
atribuído à informática quando os primeiros computadores valvulados atraíam muitos insetos para seus
componentes, o que gerava erros frequentes. Atualmente a expressão aponta qualquer erro que um programa
pode gerar (PRADA, 2008, p. 1).

17. 16
2.4.1.2 Segurança no sistema de arquivos
O sistema de arquivo é o meio que os sistemas operacionais têm de nomear,
organizar e armazenar os dados, cada um com sua característica tornando fácil a sua busca de
informações mais ágil quando requisitado pelo sistema, sendo assim podemos também
interferir um pouco nesse método.
O primeiro é que se torna possível particionar o disco rígido, com isso coloca-se
as informações valiosas em uma parte separada das informações mais comuns,
proporcionando uma maior segurança já que os dados dos estarão separados cada um com sua
tabela de partição (VIEGAS, 2008, p. 28).
2.4.1.3 Regras de utilização de serviços de rede e serviços ativos do sistema
Com a facilidade de comunicação entre os computadores nos dias atuais
utilizando os serviços de redes nos quais oferecem um livre acesso entre as máquinas, sendo
possível também deixar brechas para futuros ataques de invasão, vendo isso os profissionais
da área atentaram-se nessas falhas e vem desenvolvendo métodos para limitar que os usuários
sem conhecimento venham a deixar brechas no sistema.
As Redes facilitam a transferência e o compartilhamento de arquivos para todos os
computadores da rede web. Todas essas conexões de computadores feitas ao mesmo
tempo pode ser prático, entretanto, ao mesmo tempo podem trazem vulnerabilidades
e brechas de segurança. Se não soubermos limitar o uso e restringir o acesso,
usuários comuns podem ter uma liberdade indevida (VIEGAS, 2008, p. 29).
Essa limitação pode ser criada graças a diversos serviços e ferramentas criadas
para isso, uma boa parte das empresas nos dias atuais opta por adotarem servidores Linux
com seus serviços agregados, podendo ser mais seguro e uma alternativa mais barata já que os
serviços são quase todos gratuito utilizando recurso só com a mão de obra do profissional.
Um servidor Linux configurado da à possibilidade de limitar, por exemplo, o acesso à
internet, restringir o compartilhamento de pasta no sistema operacional evitando assim a
vulnerabilidade do mesmo.
2.4.1.4 Permissões especiais de arquivos
Há uma grande importância em dar permissões especiais aos arquivos porque ele
só irá executar de acordo com seu usuário, isso coíbe que o mesmo seja requisitado
indevidamente impossibilitando a sua execução desnecessária usada com má intenção.
Nos sistemas operacionais Linux por padrão existe uma conta de usuário chamada

18. 17
root14
essa tem total liberdade sobre o sistema por isso só deve ser usada pelo profissional de
gabaritado, nas demais contas devem ser personalizadas para só usar o necessário.
Por padrão no Linux se divide em três níveis de acesso o dono, grupo e outros e
cada um desses níveis de acesso tem três tipos de permissão, leitura, escrita e execução,
verificar ANEXO A.
2.4.1.5 Utilização de Quota
O uso do recurso de cota é um método onde pode determinar o tamanho de espaço
em disco que o usuário poderá salvar seus arquivos, evitando assim que sejam salvos arquivos
desnecessários no HD.
O uso de cotas é uma funcionalidade do sistema operacional que permite limitar a
quantidade de espaço de disco e/ou o número de arquivos que um usuário ou
membros de um grupo podem alocar em um sistema de arquivos. Isto é mais
frequente em sistemas de compartilhamento de tempo onde é desejável limitar a
quantidade de recursos que qualquer usuário ou um grupo de usuários podem alocar.
Isto previnirá um usuário ou um grupo de usuários de consumir todo o espaço em
disco disponível(FREEBSD, 2012, p. 1).
2.4.1.6 Remoção de programas desnecessários
Quando é instalado um sistema operacional mesmo uma instalação básica sempre
acontece de ir junto alguns programas desnecessários, administradores em servidores Linux
devem ficar bem atentos, pois, quando é instalado sistema tem que se verificar se todos os
softwares instalados serão utilizados, se não, é correto efetuar a remoção dos mesmos, isso
deve ser feito com bastante atenção porque alguns desses programas podem ser dependências
de outros.
Utilizando o comando dpkg -l | awk '{print $2, $3}' > programas_instalados.txt,
ele irá listar todos os programas instalados no sistema e vai salvar com o nome
programas_instalados.txt, assim o administrador poderá analisar minuciosamente todos os
softwares instalados e verificar o que lhe tem necessidade ou não para seu uso, evitando assim
que devido a esses programas sejam utilizado como possíveis brechas (SANTOS, 2010, p. 1).
2 METODOLOGIA
O método utilizado para elaborar este trabalho foi à pesquisa bibliográfica
analisando os meios e recursos obtidos, identificando múltiplas referencias sobre a temática
em estudo, visando à segurança da informação e conhecendo a técnica de hardening, com o
___________________________
14
No Linux, o usuário root é o deus do sistema, o único que tem acesso a todos os arquivos e configurações
(MORIMOTO, 2006, p. 1).

19. 18
intuito analisa-la em sistemas operacionais Linux efetuando um levantamento de
vulnerabilidades, criando correções, melhorias e aplica-las com o objetivo de propor um
sistema mais robusto e seguro.
As fontes utilizadas para realizar essa pesquisa bibliográfica foram as secundarias,
para desenvolver este artigo foi necessário à coleta de dados através de livros, artigos,
internet, revistas e outros, coletando assim o maior numero de informações possíveis, para
que se possa ter enumeras alternativas na tentativa de amenizar os problemas que a falta de
segurança no sistema causaria em uma determinada empresa, podendo mostrar o conteúdo
com maior abrangência, e trabalhando com uma linguagem objetiva e clara.
O estudo é focado na segurança da informação onde foram abordados meios de
prevenção a ataques fazendo com que seja possível melhorar bastante a segurança nos
sistemas operacionais, foi apresando uma introdução do que é a informação, segurança da
informação, a utilização de uma nova técnica que vem surgindo o hardening, o mesmo
consiste em analisar e identificar as vulnerabilidades dos sistemas possibilitando uma
proteção maior, antecipando à futuras tentativas de invasão. Existem vários meios de
prevenção dentre eles foram selecionados alguns, o firewall, segurança no sistema de
arquivos, regras de utilização de serviços de rede, serviços ativos do sistema, permissões
especiais no sistema de arquivos, utilização de quota e remoção de programas desnecessários
todos esses meios favorecem para uma boa segurança da informação.
Esta pesquisa busca mostrar para as organizações que é possível tornar um
sistema operacional mais seguro, com implantações de novos métodos envolvendo toda a
empresa, onde os métodos implantados irá fazer com que os lideres e colaboradores da
empresa possam ser mais eficientes e eficazes alcançando assim a efetividade, obtendo
melhores resultados para a organização tendo uma menor preocupação com a perda de
arquivos e vazamento de informações, buscando a excelência no quesito segurança.
3 CONCLUSÃO
Nos dias atuais onde há informação a todo o momento sendo emitida por vários
meios de comunicação, dentre eles o micro computador onde contém um sistema operacional
para gerenciá-lo, no qual deixa a vida do usuário e das empresas muito mais fácil e agilizando
vários processos e arquivando determinadas informações de grande valor para as pessoas,
assim torna-se possível a implementação de novos meios de segurança da informação em um
sistema operacional.

20. 19
No decorrer desse estudo foi apresentado que é possível melhorar bastante a
segurança dos sistemas usando técnicas de hardening, esse meio se antecipa aos ataques dos
crackers verificando as vulnerabilidades dos sistemas operacionais, e assim o administrador
pode oferecer uma maior estrutura as empresas e usuários na segurança da informação
dificultando a coleta de informações pelos invasores.
Os crackers utilizam a rede mundial de computadores, que é um meio de
comunicação bastante usado no mundo, com as redes sociais que andam fazendo sucesso
entre as pessoas e a mesma acaba se tornando uma ferramenta para esses criminosos argilosos
se aproveitarem dos usuários usando da boa fé mandando mensagens para os mesmos, onde
esconde pequenos códigos desordenados popularmente conhecidos como vírus, outro meio
utilizado por eles são as paginas falsas na internet ou com conteúdo malicioso, já que é
bastante popular o uso da internet para realizar transações de banco, compras online e dentre
outras atividades que facilitam a vida no cotidiano.
Hoje em dia vem surgindo um novo conceito a ser estudado que é a engenharia
social, não se trata só do computador nem do software, mas também da educação do usuário
onde na maioria das vezes não estar gabaritado para utilizar um sistema de informática e
muito menos manipular um sistema operacional, sendo assim torna-se possível à educação
dos mesmos dentro das empresas oferecendo cursos e palestras mostrando como usar e se
prevenir desses ataques.
Um gestor, administrador ou usuário não pode ficar esperando por novos
problemas de segurança da informação, um novo bug, uma nova técnica ou ferramenta que
prove um conceito de vulnerabilidade. Devido aos riscos eminentes que existe em toda rede
de internet, o administrador deve se antecipar na busca por vulnerabilidades na rede e desse
modo resolvê-las antes que os crackers descubram essas vulnerabilidades.

21. 20
REFERÊNCIAS
ABADI, M. Hardening em Servidores Linux , 2010. Disponivel em:
<http://marcosabadi.blogspot.com.br/2010/02/hardening-em-servidores-linux.html>. Acesso
em: 22 de fevereiro de 2012.
ALECRIM, E. Firewall conceitos e tipos. infowester, 2004. Disponivel em:
<http://www.infowester.com/firewall.php>. Acesso em: 26 de janeiro de 2012.
ALECRIM, E. O que é Linux e qual a sua história? infowester, 2011. Disponivel em:
<http://www.infowester.com/historia_linux.php>. Acesso em: 29 de abril de 2012.
BARRICO, C. Noção de hardware. di.ubi, 2012. Disponivel em:
<www.di.ubi.pt/~cbarrico/Disciplinas/Informatica/Downloads/Capitulo2.pdf>. Acesso em: 4
de abril de 2012.
CAMARGO, C. O que é Cracker? tecmundo, 2008. Disponivel em:
<http://www.tecmundo.com.br/744-o-que-e-cracker-.htm>. Acesso em: 18 de agosto de 2011.
CAMPOS, A. politica de seguranca de informacao um modelo de como nao fazer.
efetividade, 2009. Disponivel em: <http://www.efetividade.net/2009/01/20/politica-de-
seguranca-de-informacao-um-modelo-de-como-nao-fazer/>. Acesso em: 10 de fevereiro de
2012.
COLLOVINI, B. H. configuracao do sistema de quota no linux. sputnix, 2012. Disponivel
em: <http://www.sputnix.com.br/artigos/sistema/configuracao-do-sistema-de-quota-no-
linux/>. Acesso em: 21 de abril de 2012.
COSTA, C. E. D. sistemas de informacao - sistemas de gestao empresarial. administradores,
08 nov. 2007. Disponivel em: <http://www.administradores.com.br/informe-se/producao-
academica/sistemas-de-informacao-sistemas-de-gestao-empresarial/358/>. Acesso em: 04 de
setenbro de 2011.
COSTA, W. D. T. Instalação, configuração do Samba e utilização de quota. vivaolinux, 2012.
Disponivel em: <http://www.vivaolinux.com.br/artigo/Instalacao-configuracao-do-Samba-e-
utilizacao-de-quota>. Acesso em: 21 de abril de 2012.
DEBIAN COPYRIGHT. Introdução ao Debian. Debian, 28 jul. 2010. Disponivel em:
<http://www.debian.org/intro/about>. Acesso em: 22 de outubro de 2011.
DINIZ, M. permissão de acesso. uniriotec, 2012. Disponivel em:
<http://www.uniriotec.br/~morganna/guia/permissao.html>. Acesso em: 12 de março de
2012.
DUARTE, L. G. Hardening de servidores. vivaolinux, 2010. Disponivel em:
<http://www.vivaolinux.com.br/dica/Hardening-de-servidores>. Acesso em: 13 de agosto de
2011.
DUTRA, L. R. Software: Conceito, Características e Aplicações. redes.unb, 2011.

22. 21
Disponivel em:
<http://www.redes.unb.br/material/Metodologia%20de%20Desenvolvimento%20de%20Soft
ware/aula1.pdf>. Acesso em: 14 de setembro de 2011.
FACINA, A. L. Hardening no OpenBSD. vivaolinux, 2009. Disponivel em:
<http://www.vivaolinux.com.br/dica/Hardening-no-OpenBSD>. Acesso em: 30 de setembro
de 2011.
FARIA, A. L. D. Conheça a NBR ISO/IEC 27002 – Parte 1. profissionaisti, 2010. Disponivel
em: <http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/>.
Acesso em: 22 de novembro de 2011.
FREE SOFTWARE FOUNDATION. O que é Software Livre? Fundação Software Livre
América Latina, 2008. Disponivel em: <http://www.fsfla.org/svnwiki/about/what-is-free-
software.pt.html>. Acesso em: 22 de outubro de 2011.
FREEBSD. Configurando o sistema de quotas. FreeBSD, 2012. Disponivel em:
<http://doc.fug.com.br/handbook/quotas.html>. Acesso em: 13 de abril de 2012.
FREIRE, V. programação. freewebs, 2005. Disponivel em:
<http://www.freewebs.com/viniciusfre/exemplos.html>. Acesso em: 30 de abril de 2012.
GIACOMIN, W. J.; SARTOREL, A. O desafio em lidar com a informática no meio
educacional, 2011. Disponivel em:
<http://editora.unoesc.edu.br/index.php/coloquiointernacional/article/view/1281/643>. Acesso
em: 24 de abril de 2012.
JARGAS, A. M. aurelio. apostila introducao shell, 2004. Disponivel em:
<http://aurelio.net/shell/apostila-introducao-shell.pdf>. Acesso em: 24 de fevereiro de 2012.
JUNIOR, M. V. D. S. O que é segurança da informação? webinsider, 2009. Disponivel em:
<http://webinsider.uol.com.br/2009/09/23/o-que-e-seguranca-da-informacao/>. Acesso em:
28 de novembro de 2011.
KOZAK, D. V. Conceitos basicos da informatica. chasqueweb.ufrgs, 2002. Disponivel em:
<http://chasqueweb.ufrgs.br/~paul.fisher/apostilas/inform/Conceitos.Basicos.da.Informatica.P
DF>. Acesso em: 23 de abril de 2012.
BRASIL. lei 9.609/98, de 19 de fevereiro de 1998 que trata sobre a proteção da propriedade
intelectual de programa de computador, sua comercialização no País, e dá outras
providências. Planalto [Presidência da República Casa Civil], Brasília, 19 de fevereiro de
1998; 177º da Independência e 110º da República.
LIMA, D. G. D. O que é Link Building? dp6, 2011. Disponivel em:
<http://www.dp6.com.br/o-que-e-link-building>. Acesso em: 26 de fevereiro de 2012.
MATOS, Francisco M. A. de. Proposta de um checklist para verificação da segurança

23. 22
física de uma empresa baseada na norma ABNT NBR ISSO/IEC 27002:2005. Fortaleza.
2010.
MAZIERO, C. A. Livro de sistemas operacionais, 2011. Disponivel em:
<http://dainf.ct.utfpr.edu.br/~maziero/doku.php/so:livro_de_sistemas_operacionais>. Acesso
em: 24 de março de 2012.
MORIMOTO, C. E. O que é um Sistema de Arquivos. hardeware, 2002. Disponivel em:
<http://www.hardware.com.br/livros/hardware-manual/que-sistema-arquivos.html>. Acesso
em: 23 de abril de 2012.
MORIMOTO, C. E. cracker. guia do hardware, 2005. Disponivel em:
<http://www.hardware.com.br/termos/cracker>. Acesso em: 25 de março 2012.
MORIMOTO, C. E. Linux: Escrevendo scripts de firewall. guia do hardware, 2006.
Disponivel em: <http://www.hardware.com.br/tutoriais/linux-escrevendo-scripts-firewall/>.
Acesso em: 30 de março de 2012.
MORIMOTO, C. E. rodando programas como root. guia do hardware, 2006. Disponivel em:
<http://www.hardware.com.br/livros/entendendo-linux/rodando-programas-como-root.html>.
Acesso em: 22 de abril de 2012.
MORIMOTO, C. E. Memória RAM. guia do hardware, 2007. Disponivel em:
<http://www.hardware.com.br/termos/memoria-ram>. Acesso em: 28 de abril de 2012.
OFICINA DA NET. Segurança da informação, conceitos e mecanismos. Oficina da net,
2008. Disponivel em:
<http://www.oficinadanet.com.br/artigo/1307/seguranca_da_informacao_conceitos_e_mecani
smos>. Acesso em: 31 de outubro de 2011.
OLIVEIRA, L. A. H. G. D. Sistemas Operacionais. ufrn, abr. 2004. Disponivel em:
<www.dca.ufrn.br/~lmarcos/courses/DCA800/ppt/sistemas_operacionais.ppt>. Acesso em: 21
de outubro de 2011.
PAULINO, D. Tipos de Software - Você realmente sabe o que é um Software? oficinadanet,
2009. Disponivel em: <http://www.oficinadanet.com.br/artigo/1908/tipos_de_software_-
_voce_realmente_sabe_o_que_e_um_software>. Acesso em: 22 de novembro de 2011.
POZZEBON, R. O que é Firewall e o que ele faz por seu computador? oficinadanet, 2011.
Disponivel em:
<http://www.oficinadanet.com.br/artigo/seguranca/o_que_e_firewall_e_o_que_ele_faz_por_s
eu_computador>. Acesso em: 26 de janeiro de 2012.
PRADA, R. o que e bug? tecmundo, 2008. Disponivel em:
<http://www.tecmundo.com.br/seguranca/213-o-que-e-bug-.htm>. Acesso em: 21 maio 2012.
REIS, F. A. D.; VERBENA, M. F.; JULIO, E. P. Segurança. Infra Magazine, v. 1, n. 01, p.
19-30, 2011.
RODRIGUES, B. M. Linux Hardening. csirt pop mg, 2008. Disponivel em:

24. 23
<http://www.csirt.pop-mg.rnp.br/docs/hardening/linux.html>. Acesso em: 3 ago. 2011.
RODRIGUES, B. M. Windows Hardening. csirt pop mg, 2008. Disponivel em:
<http://www.csirt.pop-mg.rnp.br/docs/hardening/windows.html>. Acesso em: 03 de agosto de
2011.
SANTOS, V. Fortalecimento de Servidores Linux. hackbusters, 2010. Disponivel em:
<http://hackbusters.blogspot.com.br/2010/02/fortalecimento-de-servidores-linux.html>.
Acesso em: 22 de abril de 2012.
SARMENTO, T. Introdução ao conceito de hardening, 2011. Disponivel em:
<http://www.vivaolinux.com.br/artigo/Introducao-ao-Conceito-de-Hardening>. Acesso em:
01 setembro de 2011.
SEBESTA, R. W. conceito de linguagens de programação. 5ª. ed. porto alegre RS: artmed
sa, 2003.
SILVA, R. O que é download e upload?, 2011. Disponivel em: <http://www.meajuda.net/o-
que-e-download-e-upload/>. Acesso em: 19 de fevereiro de 2012.
SIMON, I. A Revolução Digital e a Sociedade do Conhecimento. ime, 11 maio 1999.
Disponivel em: <http://www.ime.usp.br/~is/ddt/mac333/aulas/tema-11-24mai99.html>.
Acesso em: 16 de agosto de 2011.
SOARES, L. F. G.; LEMOS, G.; COLCHER, S. Redes de computadores: das LANs MANs
e WANs às Redes ATM. 2. ed. Rio de Janeiro: Elsevier, 1995.
SOUSA, R. Hardware e Software. notapositiva, 2008. Disponivel em:
<http://www.notapositiva.com/trab_estudantes/trab_estudantes/tic/7softhard.htm>. Acesso
em: 06 de março de 2012.
TERRA TECNOLOGIAS. O perigo que ronda os sistemas. Terra, 2011. Disponivel em:
<http://tecnologia.terra.com.br/interna/0,OI216000-EI4803,00.html>. Acesso em: 14 de
setembro de 2011.
ULBRICH, H. C.; VALLE, J. D. Universidade H4ck3r: Desvende todos os segredos do
submundo dos hackers. 6. ed. São Paulo: Universor dos Livros, 2009.
VIEGAS, Alberto L. Segurança de aplicações WEB: Hardening nos servidores baseados em
software livre. Recife. 2008.

25. 24
ANEXO A - Permissões especiais de arquivos
Permissão de acesso
Cada arquivo/diretório do sistema está associado a um usuário (dono) e a um
grupo. O dono de um arquivo (ou de um diretório) pode definir quem tem acesso ao arquivo e
qual tipo de acesso é permitido (leitura, gravação e/ou execução). Isto é chamado de
permissão de acesso.
Níveis de acesso
Para cada arquivo e diretório no Linux são definidos três níveis de acesso:
a. dono - é a pessoa que criou o arquivo ou o diretório. Somente o dono e/ou o
administrador do sistema (root) pode alterar as permissões de acesso.
b. grupo - conjunto de usuários que são membros do mesmo grupo a qual pertence o
arquivo.
c. outros - o resto dos usuários do sistema.
Tipos de permissão
Para cada nível de acesso temos três tipos de permissão:
a. leitura (r) - permite ler o conteúdo de um arquivo/diretório.
b. escrita (w) - permite alterar um arquivo/diretório.
c. execução (x) - permite executar um arquivo ou acessar um diretório.
Exemplo
Para ver as permissões dos arquivos e subdiretórios do diretório corrente, basta
digitar o comando ls -l. Abaixo mostramos um exemplo.
Permissões Ligações
diretas
Dono Grupo Tamanho Última
Atualização
Arq/Dir
drwxrwxr-x 4 Aluno Básico 1024 .

26. 25
May 10 22:07
drwx------ 8 Aluno Básico 1024 May 10 21:50 ..
-rw-rw---- 1 Aluno Básico 34585 May 10 22:07 linux.txt
-rw-rw-r-- 1 Aluno Básico 15258 Apr 23 12:26 perl.txt
drwxrwxr-x 2 Aluno Básico 1024 Apr 28 10:56 pesquisa_alunos
drwxrwxr-x 2 aluno Básico 1024 Apr 24 11:38 testes_perl
-rwxrwsr-x 1 Aluno Básico 14785 Nov 15 10:50 teste
A primeira coluna do exemplo acima mostra as permissões de acesso dos
subdiretórios e arquivos, onde
• O primeiro caractere diz qual é o tipo do objeto:
o - para arquivo comum;
o b para dispositivos de bloco (oferecem grandes quantidades de dados de cada
vez).
o c para dispositivo de caracteres (oferecem dados de um caractere de cada vez);
o d para diretório;
o l para link simbólico;
o p para FIFO ou NamedPipe;
o s para socket mapeado em arquivo;
• Os três caracteres seguintes mostram as permissões de acesso do dono do arquivo.
• O quinto, o sexto e o sétimo caracteres dizem quais as permissões de acesso para os
usuários que são membros do grupo ao qual pertence o arquivo/diretório.
• Os três últimos caracteres especificam as permissões para os outros usuários do
sistema.
Por exemplo, o arquivo linux.txt acima tem permissão de leitura e escrita apenas
para o dono e para os membros do grupo do arquivo.

27. 26
Permissões especiais
Existem três permissões especiais de arquivo:
• SGID - com esta permissão, o usuário executa o arquivo ou acessa o diretório como se
fosse membro do grupo ao qual pertence o arquivo/diretório.
• SUID - com esta permissão, o usuário executa o arquivo ou acessa o diretório como se
fosse o dono.
• sticky bit - o usuário pode criar/alterar/deletar (apenas) os seus próprios arquivos no
diretório que possui esta permissão, mesmo que não seja o dono do diretório e nem
membro do grupo ao qual o diretório pertence. Quando o sticky bit é usado em um
arquivo, significa que este arquivo é compartilhado por vários usuários.
Note que estas permissões se referem a execução de um arquivo ou a autorização
de acesso a um diretório. Portanto, elas estão relacionadas a permissão x. Os seguintes valores
são usados para identificar o uso de permissão especial em um arquivo/diretório:
Permissão Nível Significado
S dono SUID
S dono SUID + permissão de execução para o dono
S grupo SGID
S grupo SGID + permissão de execução para o grupo
T
outro
s
sticky bit
T
outro
s
sticky bit + permissão de execução para o resto
dos usuários do sistema
No exemplo mostrado acima, temos a seguinte linha:
-rwxrwsr-x 1 aluno basico 14785 Nov 15 10:50 teste
Note que o arquivo teste possui permissão s para o grupo. Isto significa que este é
um arquivo SGID e que pode ser executado pelos membros do grupo a qual pertence o

28. 27
arquivo (neste exemplo, o dono e o resto dos usuários do sistema também possuem permissão
de execução).
Comandos relacionados
• chgrp - para mudar o grupo de um arquivo ou de um diretório.
• chmod - para mudar a permissão de acesso a um arquivo ou a um diretório.
• chown - para mudar o dono de um arquivo.

29. 28
APÊNDICE A – Bastille
O bastille é um software ainda pouco conhecido no mercado brasileiro, sendo uma
ferramenta gratuita que contém scripts para aumentar há segurança dos sistemas operacionais
Linux tornando-se ideal a implantação em servidores.
As imagens utilizadas a seguir foram do sistema operacional debian Linux 5.0
lenny utilizando o bastille 3.0.9-13 encontrado no repositório debian.
Como instalar o bastille no debian Linux.
1º passo.
Opção 1 no sistema operacional debian.
Atualize a sua soucelist no debian.
#apt-get update
Comando para instalar o bastille.
#apt-get install bastille
Opção 2 no sistema operacional debian.
Acesse o site do bastille.
http://bastille-linux.sourceforge.net/
Procure a opção Download Bastille UNIX
Escolha o download de acordo com sua distribuição
A escolhida aqui foi o debian,
Concluindo o download abra o console do Shell .
$ Sudo dpkg –i bastille_3.0.9-13_all.deb ou a versão baixada
Depois de instalado execute o bastille no console.
#bastille –x executa a parte gráfica
Ou
#bastille –c executa no modo texto

30. 29
Bem na Figura 1 o bastille é executado no modo texto, e a tela de boas vindas, nos
orienta a responder todas as perguntas e também com um e-mail para envio de erros e
sugestões para software.
Fonte: Autor (2012)
A Figura 2 é uma pergunta sobre as permissões de administração do sistema e
pergunta se gostaria de restringir alguma.
Fonte: Autor (2012)

31. 30
A Figura 3 comenta sobre a desativação "SUID root" para os programas.
Fonte: Autor (2012)
Figura 4 comenta sobre a desativação "SUID root" para montagem de unidades.
Fonte: Autor (2012)

32. 31
Figura 5 comenta sobre a desativação "SUID root" para o comando ping, que testa
a conexão de rede.
Fonte: Autor (2012)
Figura 6 para desativar texto claro r-protocolos que utilizam a autenticação baseada em IP.
Fonte: Autor (2012)

33. 32
Figura 7 estabelecer prazos para as senhas expirarem e se não for modificada será
bloqueada temporariamente.
Fonte: Autor (2012)
Figura 8 deve-se proibir login root em 1-6 tty? Isso obriga que antes de logar com
o usuário root seja necessário logar com um usuario comum e depois digitar $su passando
para o root, e assim se a senha do root for roubada o cracker não conseguirá logar diretamente
com o root, dificutando a tentativa de invasão.
Fonte: Autor (2012)

34. 33
Figura 9 permite proteger o GRUB com senha, fazendo com que só um usuário
tenha acesso à inicialização.
Fonte: Autor (2012)
Figura 10 permite desabilitar a reinicialização do sistema operacional usando a
combinação das teclas CTRL-ALT-DELETE, assim se o atacante for uma pessoa fisíca
inpossibilita a reinicialização forçada.
Fonte: Autor (2012)

35. 34
Figura 11 o bastille oferece um padrão para a navegação no protocolo TCP
Wrappers e xinetd.
Fonte: Autor (2012)
Figura 12 informar que o serviço telnet não é seguro e que é aconselhável a sua
desativação, pois o mesmo é texto puro tornando fácil o seu monitoramento.
Fonte: Autor (2012)

36. 35
Figura 13 informa que o ftp não é totalmente seguro e mostra outra opção que é o
sftp e desabilita o ftp.
Fonte: Autor (2012)
Figura 14 informa se gostaria de exibir "autorizou o uso" mensagens de log-in-
time, se alguem modificar algo fica uma mensagem gravada no sistema podendo pegar o
invasor tentando burlar o sistema.
Fonte: Autor (2012)

37. 36
No bastille aparecerá uma tela com a seguinte mensagem
│ <Press TAB to go on> │
│ │
│A default login/telnet/ftp "Authorized Use Only" banner will be created, and │
│will be found in /etc/issue. You should modify this banner to apply more │
│specifically to your organization (for instance, adding any site-specific │
│information to the default warnings). If this is a corporate site, check with │
│your corporate counsel to determine the most appropriate warning for the │
│banner. These banners, according to CIAC's bulletin │
│ │
│ (http://ciac.llnl.gov/ciac/bulletins/j-043.shtml) │
│ │
│may make it much easier to prosecute intruders. By including this default │
│banner, neither the Bastille development team nor Hewlett-Packard Company take│
│any responsibility for your ability to prosecute system crackers. Please, │
│especially if you run a corporate site, review/replace this with more specific │
│language.
Informa que se os serviços, telnet e ftp se serão usados por padrão eles tem um
banner no diretório /etc/issue, sendo recomendado que os administradores modifiquem esse
banner ocultando informações sobre a versão que está sendo usada inpossibilitando que seja
explorado os bugs do mesmo.
Figura 15 Quem é responsável pela concexão de autorização para utilizar este
equipamento.
Fonte: Autor (2012)

38. 37
Figura 16 ajuda a colocar limites de uso de recursos do sistema, ajudando a se
defender dos ataques de negação de serviço, e assim podendo limitar a eficacia de muitos
ataques efetuando modificações /etc/security/limits.conf.
Fonte: Autor (2012)
Figura 17 aqui é dada à opção de restringir alguns grupos de contas de usuarios de
ter acesso ao console.
Fonte: Autor (2012)

39. 38
Figura 18 colocar os nomes das contas que terão acesso ao console.
Fonte: Autor (2012)
Figura 19 pergunta se gostaria de colocar logs adcionais no sistema.
Fonte: Autor (2012)

40. 39
Figura 20 aceitando com yes na figura 20 gera um script que ira acrescentar
arquivos de log adicionais em : /var/log/kernel - mensagens do kernel /var/log /syslog –
arquivos de mensagens de "warning" gravidade e "erro".
Fonte: Autor (2012)
Figura 21 pergunta se há logs remotos se haver vamos configura-lo.
Fonte: Autor (2012)

41. 40
Figura 22 configurar o processo de contabilidade no qual registra todos os
comantos execultados, por quem e quando, dando a possibilidade de reconstruir todo o
caminho percorrido pelo cracker.
Fonte: Autor (2012)
Figura 23 é só um informativo sobre o que o bastille tenta fazer e que de agora em
diante tem que prestar bastante atenção.
Fonte: Autor (2012)

42. 41
Figura 24 deseja desativar o acpid e / ou apmd que gerencia a energia.
Fonte: Autor (2012)
Figura 25 pergunta se pode desabilitar NFS (Network File System, comum a
maioria das variantes do Unix) e SMB (Samba) informando que não é tão seguro, por ser um
sistema de compartilhamento de arquivos, tornando fácil seu monitoramento.
Fonte: Autor (2012)

43. 42
Figura 26 coloca em cogitação colocar o sendemail em modo daemon, mas ele
explica que não há a necessidade de ta rodando o tempo todo em modo daemon, se desativar o
bastille ira perguntar se deseja rodar o sendmail a cada poucos minutos para processar a fila
de correio de saída.
Fonte: Autor (2012)
Figura 27 se você não tiver usando o servidor web apache pelo menos no
momento desative, quando houver a necessidade de usa-lo ative-o mais tarde.
Fonte: Autor (2012)

44. 43
Figura 28 informações sobre o servidor web apache, algumas observações na hora
de configurar.
Fonte: Autor (2012)
Figura 29 pergunta se gostaria de desativar a impressão, podendo reativa no
futuro.
Fonte: Autor (2012)

45. 44
Figura 30 repassa que o FTP é bastante perigoso com pouca segurança e da dois
motivos.
1) Todas as palavras viajam visiveis através da conexão, permitindo que qualquer
arquivo hospedeiro intermediário (e, geralmente, cada anfitrião na origem e de destino rede de
área local) para "farejar" senhas não criptografadas.
2) daemons ftp normalmente precisam ser executado com privilégios de root, é na
maioria arquivos: os mais comuns foram encontrados para ter uma infinidade de segurança de
arquivo e vulnerabilidades ao longo de sua existência.
Fonte: Autor (2012)
Figura 31 nessa parte o bastille sugere a criação de um diretório temporário
alternativo para a execução de scripts.
Fonte: Autor (2012)

46. 45
Figura 32 se for permitido o bastille executarar um scrip de filtragem de pacotes,
tranformando o sistema operacional em um pequeno firewall, esse script é suportado no
kernel 2.2 (ipchains) e 2,4 (iptables se disponível, caso contrário, ipchains).
Fonte: Autor (2012)
Figura 33 informar que será solicitado a escolher as informações iniciais para
configuração do script de firewall.
Fonte: Autor (2012)

47. 46
Figura 34 pergunta se precisa das configurações avançadas de rede.
Fonte: Autor (2012)
Figura 35 é solicitado a configuração do DNS, caso seja deixado vazio o script de
firewall irá ler o nome dos servidores atuais a partir de /etc / resolv.conf quando ele é
executado, que é a configuração recomendada.
Fonte: Autor (2012)

48. 47
Figura 36 ajuda a fazer uma lista com os nomes de todas as interfaces que estão
ligadas às redes públicas não confiáveis sem ter que modificar o script de firewall.
Fonte: Autor (2012)
Figura 37 criar uma relação de todos os serviços relacionados ao TCP (telnet, ftp,
imap, pop3, finger, sunrpc, exec de login, linuxconf, ssh) com o nome e número de porta e
com isso registrar as tentativas de conexões a partir das interfaces públicas.
Fonte: Autor (2012)

49. 48
Figura 38 criar uma relação de todos os serviços relacionados ao UDP (Back
Orifice) com o nome e/ou número de porta e com isso registra as tentativas de conexões
apartir das interfaces públicas e enquanto os crackers tiverem rondando o Back Orifice não
representarem perigo.
Fonte: Autor (2012)
Figura 39 criar uma relação de todos os serviços relacionados ao ICMP com o
nome e/ou numero de porta e com isso registrar as tentativas de conexões apartir das
interfaces públicas.
Fonte: Autor (2012)

50. 49
Figura 40 listar os nomes de serviços ou números de portas TCP que tenha acesso
as redes públicas.
Fonte: Autor (2012)
Figura 41 listar os nomes de serviços ou números de portas UDP que tenha acesso
as redes públicas.
Fonte: Autor (2012)

51. 50
Figura 42 pergunta se quer forçar o modo passivo, isso tem a ver com a forma
como os clientes rodando na máquina vão se comunicar com outras máquinas.
Fonte: Autor (2012)
Figura 43 especificar os servicos TCP que podem ser bloqueados, para verificar os
serviços que estão rodando pode usar o comando “Lsof” (List Open Files) lista de todos os
arquivos abertos e os processos que abriu.
Fonte: Autor (2012)

52. 51
Figura 44 especificar os servicos UDP que podem ser bloqueados.
Fonte: Autor (2012)
Figura 45 especificar quais ICMP (Internet Control Message Protocol) serão
permitidos.
Fonte: Autor (2012)

53. 52
Figura 46 deseja ativar a verificação de endereço de origem, ajudando a bloquear
os endereços falsificados.
Fonte: Autor (2012)
Figura 47 modo como o tráfego bloqueado é rejeitado.
Fonte: Autor (2012)

54. 53
Figura 48 determinar os nomes de todas as interfaces das maquinas que irão
precisar do DHCP.
Fonte: Autor (2012)
Figura 49 pergunta se deseja sincronizar os horarios das maquina com o NTP
(Network Time Protocol), se sim, digite os ips das maquinas, se não, deixe em branco.
Fonte: Autor (2012)

55. 54
Figura 50 quais tipos de ICMP (Internet Control Message Protocol) deseja
impedir a saída, se desativar o padrão a sua maquina não será visível quando, por exemplo,
utilizar o comando traceroute.
Fonte: Autor (2012)
Figura 51 o bastille pergumta se deseja executar o firewall na inicialização e se
quiser modificar alguma configuração depois, o arquivo fica / etc / Bastille / bastille-
firewall.cfg.
Fonte: Autor (2012)

56. 55
Figura 52 é a parte de configuração do pasd (porta detectora de ataque e
verificação), ela trabalha verificando os logs do firewall e analizando se alguem está tentando
escanear ou não a máquina.
Fonte: Autor (2012)
Figura 53 determina o tempo que controla a frequencia do psad, na verificação
dos pacotes que foram negados pelo firewall.
Fonte: Autor (2012)

57. 56
Figura 54 é determinado o tempo de varredura de portas por intervalo.
Fonte: Autor (2012)
Figura 55 ativar a varredura por persistência determinado assim um número de
portas scaneada por um período fixo de tempo.
Fonte: Autor (2012)

58. 57
Figura 56 aqui é definido o tempo que o psad ira determinar o valores coletados
como válidos para analize por padrão vem uma hora.
Fonte: Autor (2012)
Figura 57 se deseja mostrar as assinaturas já que o psad faz uso de muitas dessas
tais como a TCP e UDP.
Fonte: Autor (2012)

59. 58
Figura 58 as classificassões de níveis de perigo por padrão são: nível 1 = 5
pacotes de nível 2 = 50 pacotes de nível 3 = 1000 pacotes nível 4 = 5,000 nível 5 = 10000
pacotes.
Fonte: Autor (2012)
Figura 59 configurar o envio de alerta por e-mail.
Fonte: Autor (2012)

60. 59
Figura 60 determinar qual nível de aletar deve ser enviado para o e-mail.
Fonte: Autor (2012)
Figura 61 se deseja ser alertado sobre qualquer pacote novo que chegar à rede.
Fonte: Autor (2012)

61. 60
Figura 62 deseja habilitar o bloqueio automatico de ips que tentaram scanear a sua
máquina.
Fonte: Autor (2012)
Figura 63 deseja que o bastille habilite o psad no ato da inicialização do sistema.
Fonte: Autor (2012)

62. 61
Figura 64 Você terminou de responder às perguntas, ou seja, podemos fazer as
mudanças?
Agora vamos implementar as escolhas que foram feitas.
Se quiser voltar a fazer novas alterações responda não!
Fonte: Autor (2012)

63. 62
Creditos Bastille
Jay Beale - Lead Architect and Original Author.
HP Bastille Dev Team - Developers - HP-UX Port, Design/Arch.
Peter Watkins - Core Developer: Firewall.
Mike Rash - Developer: PSAD.
Paul Allen - Developer: User Interface.
Javier Fernandez-Sanguino - Developer - Debian Port.
Niki Rahimi (IBM) - Developer - SuSE and TurboLinux Ports.
Brian Stine - Developer - Gentoo Port.
Carsten Gehrke - Developer, Delphi (Fort Knox Project).
Charlie Long - Developer, Delphi (Fort Knox Project).
Jon Lasser - Original Coordinator.
E muitos outros colaboradores, cujos nomes podem ser encontrados em:
www.bastille-unix.org/credits.html
Estamos em débito com o seguinte apoio e ajuda:
The US TSWG and US Navy Hewlett Packard.
Mandrakesoft The SANS Institute.
VA Software IBM.