Segurança e Privacidade na Internet: Como criar um Ubuntu "à prova de balas"?

[Master_]

Galera, todos nós sabemos que o Ubuntu, por si próprio, já é um grande símbolo de segurança; mas, ao meu ver, segunança nunca é demais

A itenção desse meu tópico aqui, é centralizar essa realidade: buscar tornar o Ubuntu o mais seguro o possível.

Seguem as minhas dúvidas:

Toques básicos de segurança no Ubuntu: Que erros podem ser evitados para aumentar a segurança? Existem pequenas falhas de segurança que podem ser corrigidas?

Firewall: Qual software usar? Firestarter? Smoothwall? HardWall Firewall? Firewall Builder? Bulldog? Como Instalar? Como Configurar?

Grsecurity: O que é realmente? O que faz? Aonde baixar? Como instalar?

-----------
Privacidade: Como (quando for necessário) tornar a navegação no Ubuntu anônima? Como "esconder-se" na internet?

-----------

Me ajudem a resolver essas dúvidas, que sei que não são só minhas. Eu mesmo, tentarei pesquisar mais e responder algumas.

Aguardo a solidariedade da comunidade
Que este tópico não seja útil apenas para mim.

[VB5]

Acho que não cabe uma preocupação maior a respeito... além do Linux ser extremamente seguro, ele não é  o alvo preferencial ( ainda...) dos crackers. Eu me limito a uma Firewall e está perfeitamente bem ( uso Firestarter, e estou satisfeito até aqui). Antivírus e antispyware, não vejo motivo.

VB5

[pinduvoz]

Acho que o firewall é o que basta (não uso por software, pois meu roteador traz um embutido).

Minha conclusão neste sentido deriva da preocupação que se vê em encontrar a "configuração perfeita" para o iptables (há muita informação/discussão sobre isso na internet).

Por outro lado, vejo poucos linuxers discutindo virus, trojans, worms etc.

[csat]

Concordo com o VB5, mas já uso outro tipo de firewall, o guarddog.

Para reforçar instalei o anti-virus Free AVG que é baixado gratuitamente do site http://free.grisoft.com/ e uma rotina foi criada, com informações do site http://ubuntuforums.org/ de forma a ser um aplicativo do "Applications tab".

Também acho que é um excesso de zelo.  Entretanto não adiantam firewalls, antivirus, criptografia, etc., se não houver conscientização de segurança por parte do usuário.  Usar palavras de dicionário como senhas é quase a mesma coisa que não ter segurança alguma.

[VB5]

Concordo com o VB5, mas já uso outro tipo de firewall, o guarddog.

Para reforçar instalei o anti-virus Free AVG que é baixado gratuitamente do site http://free.grisoft.com/ e uma rotina foi criada, com informações do site http://ubuntuforums.org/ de forma a ser um aplicativo do "Applications tab".

Também acho que é um excesso de zelo.  Entretanto não adiantam firewalls, antivirus, criptografia, etc., se não houver conscientização de segurança por parte do usuário.  Usar palavras de dicionário como senhas é quase a mesma coisa que não ter segurança alguma.

Concordo inteiramente - a peça mais frágil da segurança de um sistema é sempre a interface "cadeira/teclado"... 
O uso de antivirus no Linux destina-se basicamente a evitar que um e-mail infectado ( que nada fará no Linux) possa ser repassado a um usuário M$ - onde ele se sentirá em casa...  Nesse sentido, é uma iniciativa louvável.

VB5

[gabriel0085]

Aqui também não uso anti-vírus ou anti-spyware. Acho completamente desnecessários.


Minhas medidas de segurança:

-Baixar todos os updates de seguraça sugeridos pelo Ubuntu
-Firestarter devidamente configurado



Assim me sinto perfeitamente seguro. Bem mais que quando usava Windows com anti-vírus, 2 anti-spywares, servicepack2, firewall e Firefox (que no widnows também é medida de segurança, =P).

[Master_]

Acho que ainda estou preso aos vícios de segurança do tempo do windows, hehehe

Já percebi que antivírus no linux, é furada, não tem sentido nenhum, mas firewall é importante.

Tenho o Firestarter aqui, mas tenho algumas dúvidas quanto a ele:

- Ele é realmente eficiente? Observei que ele não faz nenhum tipo de interação com o usuário, como outros firewalls que conheço... Não pergunta se determinados programas podem acessar tais portas, nem mesmo se podem acessar a internet... Ele faz tudo por conta...
- Outra coisa: Se ele for realmente votado como o melhor firewall, como fazê-lo iniciar com o sistema?

- Outros Firewalls mais eficientes? Qual?

[gabriel0085]

Acho que ainda estou preso aos vícios de segurança do tempo do windows, hehehe

Já percebi que antivírus no linux, é furada, não tem sentido nenhum, mas firewall é importante.

Tenho o Firestarter aqui, mas tenho algumas dúvidas quanto a ele:

- Ele é realmente eficiente? Observei que ele não faz nenhum tipo de interação com o usuário, como outros firewalls que conheço... Não pergunta se determinados programas podem acessar tais portas, nem mesmo se podem acessar a internet... Ele faz tudo por conta...
- Outra coisa: Se ele for realmente votado como o melhor firewall, como fazê-lo iniciar com o sistema?

- Outros Firewalls mais eficientes? Qual?

Na verdade o Firestarter não é bem um Firewall, ele é apenas um script que edita o iptables, que é firewall presente no kernel do Linux.

O iptables precisa ser configurado e carregado a cada boot para funcionar e para isso o Firestarter funciona muito bem.

Sobre como deixá-lo na inicilização veja este tópico:

Instalar firestarter + inicialização
http://ubuntuforum-br.org/index.php/topic,17835.0.html

[csat]

- Outros Firewalls mais eficientes? Qual?

Como já foi reportado o firewall no Linux Ubuntu e em muitas outras distribuições usa regras eficazes de controle de pacotes do IPTABLES.

O FIRESTARTER e o GUARDDOG são apenas camadas de tratamento e interface com o usuário a fim de facilitar a configuração, mas nada impede para aqueles que têm bom domínio do assunto fazer a configuração das regras do IPTABLES na mão, diretamente por linha de comando.

A regra básica de qualquer FIREWALL é

DENY ALL = negue tudo que for entrar
ALLOW = permita apenas o que for essencial para o serviço

Eu costumava brincar dizendo DENY ALL e ALLOW só o que interessa.

[Master_]

Como já foi reportado o firewall no Linux Ubuntu e em muitas outras distribuições usa regras eficazes de controle de pacotes do IPTABLES.

O FIRESTARTER e o GUARDDOG são apenas camadas de tratamento e interface com o usuário a fim de facilitar a configuração, mas nada impede para aqueles que têm bom domínio do assunto fazer a configuração das regras do IPTABLES na mão, diretamente por linha de comando.

A regra básica de qualquer FIREWALL é

DENY ALL = negue tudo que for entrar
ALLOW = permita apenas o que for essencial para o serviço

Eu costumava brincar dizendo DENY ALL e ALLOW só o que interessa.

E como eu acesso e configuro diretamente o iptables no Ubuntu?

[gabriel0085]

Como já foi reportado o firewall no Linux Ubuntu e em muitas outras distribuições usa regras eficazes de controle de pacotes do IPTABLES.

O FIRESTARTER e o GUARDDOG são apenas camadas de tratamento e interface com o usuário a fim de facilitar a configuração, mas nada impede para aqueles que têm bom domínio do assunto fazer a configuração das regras do IPTABLES na mão, diretamente por linha de comando.

A regra básica de qualquer FIREWALL é

DENY ALL = negue tudo que for entrar
ALLOW = permita apenas o que for essencial para o serviço

Eu costumava brincar dizendo DENY ALL e ALLOW só o que interessa.

E como eu acesso e configuro diretamente o iptables no Ubuntu?

Dá uma olhada nesse link que ele te ensina:

Linux: Escrevendo scripts de firewall
http://www.guiadohardware.net/tutoriais/linux-escrevendo-scripts-firewall/

[csat]

Como já foi reportado o firewall no Linux Ubuntu e em muitas outras distribuições usa regras eficazes de controle de pacotes do IPTABLES.

O FIRESTARTER e o GUARDDOG são apenas camadas de tratamento e interface com o usuário a fim de facilitar a configuração, mas nada impede para aqueles que têm bom domínio do assunto fazer a configuração das regras do IPTABLES na mão, diretamente por linha de comando.

A regra básica de qualquer FIREWALL é

DENY ALL = negue tudo que for entrar
ALLOW = permita apenas o que for essencial para o serviço

Eu costumava brincar dizendo DENY ALL e ALLOW só o que interessa.

E como eu acesso e configuro diretamente o iptables no Ubuntu?

Quando você, através da interface Guarddog ou do Firestarter diz que quer o acesso liberado para o POP3 e o SMTP (essenciais para o e-mail) uma ou outra interface cria uma regra usando o IPTABLES.  Se você somente abriu as conexões para o POP3 e o SMTP, por consequência, as demais conexões ficaram fechadas.  Ou seja.  O default é tudo fechado que, em Ingles representa-se por DENY ALL.  Quando disse libere o POP3 e o SMTP a regra foi criada de forma ao uso de ALLOW (em Ingles) desses dois protocolos.

Portanto como eu e outros haviam falado você configura o iptables por intermédio ou do Firestarter ou do Guarddog.  Devem existir outros mas não me recordo agora.

[Master_]

Ok. Creio que o Firestarter irá resolver bem o meu problema . Mas não estou conseguindo fazer ele iniciar com o sistema...

Segui todas as instruções - > deste tópico <-, mas nada... Ele não está iniciando...

O que fazer?

[alarcon]

Ok. Creio que o Firestarter irá resolver bem o meu problema . Mas não estou conseguindo fazer ele iniciar com o sistema...

Segui todas as instruções - > deste tópico <-, mas nada... Ele não está iniciando...

O que fazer?

Se você instalou o firestarter:

sudo apt-get update

sudo apt-get install firestarter

Abra um terminal (Menu Aplicações > Acessórios > Terminal) e digite:

export EDITOR=gedit && sudo visudo


ATENÇÃO: Para quem vai tentar editar o arquivo sudoers em versões mais recentes do Ubuntu, tipo o Ubuntu 8.10 Intrepid Ibex, está dica de usar o comando logo acima não funciona mais, portanto para editar o arquivo sudoers, usem o que falo aqui: http://ubuntuforum-br.org/index.php/topic,43472.msg258252.html#msg258252



depois tecla ENTER que vai ser aberto um editor gráfico no arquivo em questão para serem feitas as alterações (você pode copiar e colar)

O resto é feito fora do terminal e graficamente.

Seu arquivo sudoers, depois de feito as alterações propostas por mim deverá ficar exatamente assim:

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
# Defaults

#Defaults   !lecture,tty_tickets,!fqdn
Defaults !lecture,tty_tickets,!fqdn,env_keep+="DISPLAY HOME"



# Uncomment to allow members of group sudo to not need a password
# %sudo ALL=NOPASSWD: ALL

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root   ALL=(ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%admin ALL= NOPASSWD: /usr/sbin/firestarter

as partes em negrito acima foram as partes que foram alteradas (a primeira linha em negrito) ou acrescentadas (as duas últimas linhas em negrito) ao arquivo sudoers original. Veja com cautela o que foi mudado e o que foi acrescentado ao sudoers original.

ATENÇÃO: Muito cuidado ao editar o arquivo sudoers, pois qualquer erro vai causar grandes problemas como relação ao comando sudo.

Agora vá no Menu Sistemas > Preferências > Sessões e clique no botão Adicionar e em nome digite: Firestarter e em comando digite: sudo /usr/sbin/firestarter --start-hidden

Antes de reiniciar o Computador tecle: Alt+F2

Na janela que se abre digite: sudo /usr/sbin/firestarter

agora configure seu firestarter (botão Preferências).

Dicas de configuração:

Na opção Interface deixe marcado:

- Habilitar ícone na bandeja
- Minimizar para bandeja ao fechar a Janela

Na opção política, deixe marcado:

- Aplicar alterações da politica imediatamente


Na opção firewall deixe marcado:

- iniciar/reiniciar o firewall ao discar para fora
- iniciar/reiniciar o firewall em renovações de requisições DHCP

Na opção configurações de rede:

- use ppp0 para ambas opções


Na opção filtragem ICMP deixe marcada:

- Habilitar filtragem de ICMP


O restante das configurações do firestarter deixe como estão. Para fazer estas mudanças, basta na janela padrão do firestarter clicar no botão Preferências. Depois de selecionar tudo que falo basta clicar no botão Aceitar.

Para ficar mais fácil entender como configurei o Firestarter nas suas preferências colei umas imagens aqui:

http://ubuntuforum-pt.org/index.php/topic,28204.msg162954.html#msg162954

Depois de ter feito tudo corretamente, ao reiniciar o seu sistema o ícone do firestarter deverá aparecer minimizado no systray do Ubuntu próximo ao relógio e ao se conectar ele fica ativo fazendo o seu papel.


===EDITADO===

Só a título de curiosidade, segue abaixo um link para o Youtube mostrando como se instala e configura o Firestarter.

http://www.youtube.com/watch?v=4eMTf-S1IjI

[Master_]

Agora sim! O firestarter está certinho
Brigadão alarcon.

Mais uma dúvida (vou tirar todas as minhas dúvidas sobre segurança nom tópico só ): Existe algum meio de ocultar o meu endereço IP no Ubuntu? Ou, alguma forma de se usar um proxy anônimo, para se acessar algumas páginas e serviços restritos apenas a internautas Americanos (quando é o caso)?

No "outro SO", eu já tinha conseguido isso, com um programinha, mas no Ubuntu naum sei...

Alguém sabe como se faz isso?