1
Download Securing Debian Manual
Transcript
Capítulo 5. Tornando os serviços em execução do seu sistema mais seguros 64 Também modifique o syslogd para escutar no $CHROOT/dev/log assim o servidor de nomes poderá gravar entradas do syslog no log local do sistema. Se deseja evitar problemas com bibliotecas dinâmicas, você poderá compilar o binário estaticamente. Você poderá usar o apt-get para fazer isto, com a opção source. Ele pode até mesmo baixar os pacotes que precisa para compila-los adequadamente. Você deverá fazer algo similar a isto: $ apt-get --download-only source bind build-dep bind $ cd bind-8.2.5-2 (edite o Makefile.in assim CFLAGS incluirá a opção ’-static’ antes da definição @CFLAGS@ substituída pelo autoconf) $ dpkg-buildpackage -rfakeroot $ cd .. $ dpkg -i bind-8.2.5-2*deb Após a instalação, você precisará mover os arquivos para a jaula chroot 4 você poderá manter os scripts do init.d em /etc/init.d assim o sistema irá iniciar automaticamente o servidor de nomes, mas edite-os para adicionar --chroot /location_of_chroot nas chamadas para start-stop-daemon nestes scripts. Para mais informações sobre como configurar jaulas chroot veja ‘Paranóia geral do chroot e suid’ on the next page. FIXME, merge info from http://people.debian.org/~pzn/howto/chroot-bind.sh.txt, http://www. cryptio.net/~ferlatte/config/ (Debian-specific), http://web.archive.org/web/20021216104548/ http://www.psionic.com/papers/whitep01.html and http://csrc.nist.gov/fasp/FASPDocs/ NISTSecuringDNS.htm. 5.8 Tornando o Apache mais seguro FIXME: Adicionar conteúdo: os módulos fornecidos com a instalação padrão do Apache (sob /usr/lib/apache/X.X/mod_*) e módulos que podem ser instalados separadamente pelos pacotes libapache-mod-XXX. Você poderá limitar o acesso ao servidor Apache se você somente deseja usar ele internamente (para propósitos de testes, para acessar os arquivos do doc-central, etc..) e não deseja que pessoas de fora o acessem. Para fazer isto, use as diretivas Listen ou BindAddress no /etc/apache/http.conf. Using Listen: Listen 127.0.0.1:80 Using BindAddress: BindAddress 127.0.0.1 Então reinicie o apache com /etc/init.d/apache restart e você verá que ele somente esperará por requisições na interface loopback. Em qualquer caso, se não estiver usando todas as funcionalidades fornecidas pelo Apache, você poderá querer dar uma olhada em outros servidores web fornecidos no Debian, como o dhttpd. A Documentação do Apache (http://httpd.apache.org/docs/misc/security_tips.html) fornece informações relacionadas com medidas de segurança a serem tomadas no servidor web Apache (estes mesmos passos são oferecidos no Debian através do pacote apache-doc). Mais informações sobre restrições do Apache configurando uma jaula chroot são mostradas em ‘Ambiente chroot para Apache’ on page 145. 5.8.1 Proibindo a publicação de conteúdo dos usuários A instalação padrão do Apache no Debian permite que usuários publiquem conteúdo sob o diretório $HOME /public_html. Este conteúdo pode ser pego remotamente usando uma URL tal como: http://your_apache_server/~user. Se não quiser permitir isto, você deverá alterar o arquivo de configuração /etc/apache/http.conf comentando a linha: LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so 4a não ser que utilize a opção instdir quando executar o dpkg mas então a jaula chroot será um pouco mais complexa
