Prticas de Segurana

I. Desconexo dos usurios no autorizados Os usurios no-autorizados podem estar dentro ou fora da empresa. A primeira coisa a se fazer neste caso verificar se ningum no autorizado tem o acesso fsico ao sistema, caso isto ocorra proteja fisicamente o acesso ao seu sistema. Computadores no devem ficar em locais pblicos da empresa e computadores pblicos no devem dar acesso ao sistema da empresa. O acesso no-autorizado ao sistema deve ser cancelado com extrema urgncia, em especial, se o usurio parecer estar ocultando sua identidade. Em um servidor Linux possvel verificar os usurios ativos atravs do comando w, por exemplo: #w
14:50:49 up 4 min, 2 users, USER TTY FROM root tty6 joao :0 l33t pts/4 10.0.0.254 load average: 0,22, 0,41, 0,19 LOGIN@ IDLE JCPU PCPU 14:49 6.00s 0.03s 0.00s 14:47 ?xdm? 15.43s 0.04s 15:07 0.00s 0.01s 0.00s WHAT top startkde lastlog

O comando w produz uma listagem com todos os usurios conectados no sistema. O w lista a origem do logon e mostra o processo em execuo no momento.

Prticas de Segurana
Atravs do comando w possvel verificar algumas anomalias quanto a usurios, por exemplo, um nome de usurio estranho como l33t que nunca foi visto antes, pode significar um cracker. O caso pode ser pior ainda se ele estiver conectado a partir do gateway da rede, e estiver fazendo uso de servidores FTP, Telnet ou do comando top para monitorar quem e o que est no sistema. O cenrio descrito anteriormente significa que a rede pode ter sido invadida e o gateway foi comprometido. preciso ento, tomar uma atitude radical e imediata, pois o intruso pode ter substitudo arquivos executveis do sistema, de modo a ter controle da mquina. Essa situao exige que a conexo do gateway com o mundo externo (e com a rede local) seja encerrada at que o gateway esteja seguro novamente. Deve-se tambm, investigar todos os servidores e clientes na rede interna a fim de identificar qual dano pode ter ocorrido quanto a segurana e as informaes da empresa. Para evitar qualquer risco, provvel que depois de uma possvel invaso, reinstalemos todos os servidores internos importantes. Mas, antes de tomar essa deciso devemos aguardar at a questo ter sido investigada a fundo. A reinstalao imediata do servidor pode apagar informaes teis sobre a invaso e como evital fururamente ...

Prticas de Segurana
Toda e qualquer evidncia de intruso deve ser relada a polcia, no caso de ter havido atividade criminal. Como bloquear uma conta de usurio suspeito Caso tenha-se notado uma atividade suspeita de usurios, tal como, usurios antes desconhecidos, usurios acessando o sistema fora do horrio normal de servio, usurios conectando-se atravs de mquinas remotas, etc. Todas as contas suspeitas devero ser bloqueadas. Isto possvel executando o comando passwd , com a opo -l (do ingls locked), por exemplo: # passwd -l nome_do_usurio Contas duplicadas no arquivo /etc/passwd que tenham a mesma UID (nmero que identifica o usurio no Linux) tambm devem ser desativadas. No incomum para um intruso configurar uma conta que tenha UID=0 (uma duplicata da conta root), que vise dar acesso ao sistema com privilgio de root (o root o usurio administrador Sistema Operacional Linux). Outra ferramenta til para a identificao de logons de usurio no-autorizados /var/log/wtmp . Todo acesso o comando last , que relata a atividade do arquivo dos usurios ao sistema dever ser registrado nesse arquivo. Alguns crackers muitas vezes excluiro este arquivo.

Prticas de Segurana
Uma sada do comando last:
#last l33t luiz root pts/4 pts/4 tty6 10.0.0.254 localhost Mon Apr 17 15:07 still logged in Mon Apr 17 15:06 - 15:06 (00:00) Mon Apr 17 14:49 still logged in

1 - Atividade 1.1 Fazer uma lista com as principais opes de todos os comando citados no item desconexo de usurios. Qual a diferena entre se utilizar o last e o w ? 1.2 Descobrir como fazer buscas de usurios com o comando last atravs: do nome do usurio; do terminal de conexo; e atravs de outros arquivos (tal como, backups) que no o arquivo padro. 1.3 Para que serve o comando lastlog e como este pode ajudar na identificao e monitoramento dos usurios? 1.4 Qual a diferena do comando w e do who? 1.5 Existem outras ferramentas/comandos que ajudam no gerenciamento de usurios? Faa uma breve pesquisa na Internet e identifique algumas! 1.6 Quais arquivos esto relacionados aos logs de acesso de usurios no sistema? possvel impedir que estes arquivos de logs sejam apagados?