Firestarter o Tutorial definitivo !!! Minimizado no boot e sem senha.

Iniciado por aniquilator, 02 de Agosto de 2006, 18:33

tópico anterior - próximo tópico

Joseph

Citação de: aniquilator online 31 de Outubro de 2006, 10:33
Citação de: Joseph online 31 de Outubro de 2006, 07:55
eu pensei q depois de instalado e configurado, ele rodava o iptables automaticamente no proximo boot.

Como saber se ele esta rodando o iptables?

segundo eu li, nao lembro onde, ele faz uma especie de configuraçao do iptables, me corrijam se estiver errado, mas pelo menos no carregamento do boot, tem um script chamado firestarter.

LedStyle

Citação de: Joseph online 31 de Outubro de 2006, 11:37
Citação de: aniquilator online 31 de Outubro de 2006, 10:33
Citação de: Joseph online 31 de Outubro de 2006, 07:55
eu pensei q depois de instalado e configurado, ele rodava o iptables automaticamente no proximo boot.

Como saber se ele esta rodando o iptables?

segundo eu li, nao lembro onde, ele faz uma especie de configuraçao do iptables, me corrijam se estiver errado, mas pelo menos no carregamento do boot, tem um script chamado firestarter.

/etc/init.d/firestarter

magician

O problema é que ele depois do sistema arrancar ele volta a pedir a pass do root :S como faço para ele nao pedir a pass.

alarcon

Lendo este tópico resolvi prestar meu depoimento sobre o uso do firestarter. Bem uso ele desde do Ubuntu 5.10 e já nessa versão eu conseguia colocá-lo no systray do sistema ao iniciar o PC e sem pedir a senha root. Agora é lógico que ele fica lá e só entra em funcionamento depois da minha conexão com a internet via conexão discada. Uso o Ubuntu Dapper 6.06.1 agora.

Meus procedimentos foram assim: primeiro eu fiz como todo mundo aqui já comentou, ou seja, fui em Sistema > Preferências > Sessões e logo em seguida na aba Programas Iniciais o qual eu adicionei o seguinte comando sudo firestarter --start-hidden

Agora para que ele não peça a senha root eu editei o arquivo sudoers que se encontra em /etc/, colocando, no final deste arquivo, a seguinte informação:

alarcon ALL=NOPASSWD: ALL

e eu comentei a seguinte informação que tem lá:

%admin ALL=(ALL) ALL

para

#%admin ALL=(ALL) ALL

ou seja, eu liberei para o usuário alarcon a necessidade de digitar a senha ao usar o comando sudo, assim o camando sudo firestarter --start-hidden não vai ficar pedindo a senha no boot do sistema..

Também criei uma senha root antes de fazer estas modificações citadas acima, para se ter uma senha root diferente da minha senha de usuário normal.

Bom alguém perguntou sobre a segurança deste procedimento e eu penso que não ficará assim tão vulnerável, pois  kurumin usa o sudo exatamente assim, além disso caso algum script mal intencionado queira executar algo com permissão root ele poderá até colocar o comando sudo dentro do seu script para executar algo como root, mas lembro a vocês que para se executar qualquer coisa, antes terei de dar permissão de execução para ele, portanto ele não poderá ser auto-executável. Como também qualquer pessoa que possa utilizar localmente o meu PCc não tem acesso ao sistema entrando com o meu nome, pois é necessário digitar minha senha, que é uma boa senha, então penso que meu sistema não está assim tão vulnerável e para qualquer outro usuário a senha root ainda será pedida no comando sudo. Acho que assim até está melhor do que no kurumin, pois lá, quando eu usava, o sistema não pedia senha do usuário já entrando no sistema como usuário kurumin e aí qualquer um que tivesse acesso ao seu PC localmente poderia usar o sudo sem senha e alterar o sistema.

rafasnn

Macbook Pro 2,33 4GB 250GB
iPhone 8GB

alarcon

Citação de: rafasnn online 06 de Fevereiro de 2007, 08:54
Alarcon,

será que o procedimento funciona no Breezy?

funciona sim, pois como disse no início do meu texto logo acima, começei a usar o firestarter deste modo com o Ubuntu 5.10, ou seja, o Breezy.

aniquilator


alarcon

Citação de: aniquilator online 06 de Fevereiro de 2007, 14:48
Muito bom, poderia explicar como criar uma senha para root?

Bom como não encontrei mais o link de um artigo do Morimoto sobre senha root e sudo sem senha para o Ubuntu, vou escrever o que ele comentava neste artigo.

Segue logo abaixo seu texto:

Citar
Root, sudo e terminal


Muita gente estranha a conta de root desabilitada no Ubuntu. Se você é um deles, pode ativar a conta de root e passar a usar o sistema da forma usual de uma forma bem simples:

# sudo passwd

Sim, é só isso ;). Ao definir a senha, a conta de root é ativada e você passa a poder usá-la normalmente, como em outras distribuições. O sudo continua ativo, de forma que você pode usar o su ou sudo para executar comandos como root, de acordo com sua preferência. Se resolver travar o root novamente, use o comando "sudo passwd -l root".

Se preferir que o sudo não peça a sua senha de usuário ao executar comandos (como no Kurumin), abra o arquivo "/etc/sudoers" (como root), onde vai a configuração do sudo e substitua a linha:

%admin ALL=(ALL) ALL

por:

%admin ALL=NOPASSWD: ALL

O "%admin" indica que todos os usuários que fizerem parte do grupo "admin" (que originalmente inclui apenas o usuário criado durante a instalação) poderão usar o sudo. Você pode também especificar o login diretamente, como em:

tux ALL=NOPASSWD: ALL

As alterações neste arquivo entram em vigor automaticamente, por isso mantenha a janela do editor aberta, até testar e ver que está tudo ok. Assim, no caso de algum problema, você pode desfazer a alteração rapidamente.

Se você usa bastante o terminal, outra configuração importante é o autocompletar. Por padrão, o auto completar no terminal vem desativado para o root, o que atrapalha bastante se, como eu, você está acostumado a completar os comandos usando a tecla TAB. Para ativar, abra o arquivo "/etc/bash.bashrc" e descomente as linhas:

if [ -f /etc/bash_completion ]; then
. /etc/bash_completion
fi

aniquilator

#23
Obrigado, vou tentar o seu esquema.

Editei o sudoers e segui seu esquema, criei a senha de root , coloquei ele para iniciar e nada, uso o 6.10.

Ai descobri que para editar o sudoers tem que se ir em propriedades e dar permissão para leitura e escrita. Isso eu já tinha feito, só que depois de editado e salvo, tem-se que retirar a permissão de escrita e deixar somente leitura, ai funfa.

Complementando seu esquema então é só retirar a permissão de escrita que ele entra no boot sem problemas.

Estou aqui pensando se pelo o meu esquema não estaria mais simples esta configuração, pois eu me coloquei no grupo do sudo e acho que pelo seu esquema é a mesma coisa.


alarcon

Citação de: aniquilator online 07 de Fevereiro de 2007, 11:42
Obrigado, vou tentar o seu esquema.

Editei o sudoers e segui seu esquema, criei a senha de root , coloquei ele para iniciar e nada, uso o 6.10.

Ai descobri que para editar o sudoers tem que se ir em propriedades e dar permissão para leitura e escrita. Isso eu já tinha feito, só que depois de editado e salvo, tem-se que retirar a permissão de escrita e deixar somente leitura, ai funfa.

Complementando seu esquema então é só retirar a permissão de escrita que ele entra no boot sem problemas.

Estou aqui pensando se pelo o meu esquema não estaria mais simples esta configuração, pois eu me coloquei no grupo do sudo e acho que pelo seu esquema é a mesma coisa.



Tinha me esquecido do fato de que o arquivo sudoers só tem permissão de leitura tanto para o dono (root) quanto para o grupo (root) e portanto antes é necessário editar suas permissões para permitir a escrita nele. Para isso abra o nautilus como root, clique com o botão direito do mouse sobre o arquivo sudoers, que se encontra em /etc/, e vá em propriedades e depois na aba permissões e então selecione a opção escrita para o dono. Depois disso edite o arquivo como falado aqui e salve e retorne as permissões para o original, ou seja, somente leitura para o dono e o grupo e nenhuma para o resto. Estou explicando isso para os outros que não sabem disso ok.

Não tenho certeza mais acho que o que falei aqui é a mesma coisa que você fez só que via terminal e a sua graficamente, mas como disse não tenho plena certeza disso. Teste para ver se do seu modo ele acrescenta alguma linha no sudoers com algo semelhante ao que falei aqui.

Um outro detalhe que não falei é que para quem tem conexão discada, assim como eu, deve clicar no botão Preferências na janela principal do firestarter e depois no nome firewall na esquerda e depois na direita selecionar a opção iniciar/reiniciar firewall ao discar para fora para que qundo você entre no Ubuntu o firestarter não acuse erro por não ter tráfego da rede, pois ele só entrará em funcionamento quando a conexão discada se efetivar. Para o caso de quem usa conexão por outro método eu não sei dizer os procedimentos.

Depois de seguir tudo o que eu falei o resto é só problema de configuração do firestarter. Para uma primeira configuração, no caso de se usar a conexão discada, é necessário antes estar com uma conexão ativa para se poder selecionar nas preferências do firestarter > Firewall> configurações de rede e depois no lado direito a opção ppp0 e não a opção eth0, mas a opção ppp0 só aparece quando da conexão discada estiver ativa.

cadiles

Sou totalmente contrario a esta técnica, usar o linux com permissão de super usuário, ou seja, poder usar o sudo sem digitar uma senha é algo que por causa de um ícone no systray não vale a pena. Se usar o firestarter é com o objetivo de deixar seu pc mais seguro, porque iria abrir mão de uma segurança prioritária ? Não adianta fechar as portas de seu pc se alguém podendo por um disquete ou conseguir acesso ao computador ter permissão de formatar o sistema sem pedir permissão. Pessoal olha lá eim, é hora de medir   as atitudes. Valeuuuuuuuuu

aniquilator

Citação de: cadiles online 07 de Fevereiro de 2007, 20:29
Sou totalmente contrario a esta técnica, usar o linux com permissão de super usuário, ou seja, poder usar o sudo sem digitar uma senha é algo que por causa de um ícone no systray não vale a pena. Se usar o firestarter é com o objetivo de deixar seu pc mais seguro, porque iria abrir mão de uma segurança prioritária ? Não adianta fechar as portas de seu pc se alguém podendo por um disquete ou conseguir acesso ao computador ter permissão de formatar o sistema sem pedir permissão. Pessoal olha lá eim, é hora de medir   as atitudes. Valeuuuuuuuuu

Quanto ao tipo de segurança que vc reportou para mim não há problema, pois uso o PC em casa e é só eu que uso, o meu medo é quanto alguma coisa baixada pela net que se autoexecute, vc saberia dizer se com este esquema estou correndo este risco?

aniquilator

Consegui agora resolver dando permissão somente ao firestarter:

Vá até /usr/sbin>firestarter

Como root altere a permissão dele para vc (seu nome de usuário)

Em sessões coloque ele para rodar no início assim:

sudo /usr/sbin/firestarter

Obs: Desfiz as modifcações no etc/sudoers para default

Seu sistema agora estará trancado, vc agora estará como usuário comum, segurança em primeiro lugar!!!!!

Se alguém achar que ainda o sistema está vulnerável, favor postar sua opinião.



alarcon

Citação de: cadiles online 07 de Fevereiro de 2007, 20:29
Sou totalmente contrario a esta técnica, usar o linux com permissão de super usuário, ou seja, poder usar o sudo sem digitar uma senha é algo que por causa de um ícone no systray não vale a pena. Se usar o firestarter é com o objetivo de deixar seu pc mais seguro, porque iria abrir mão de uma segurança prioritária ? Não adianta fechar as portas de seu pc se alguém podendo por um disquete ou conseguir acesso ao computador ter permissão de formatar o sistema sem pedir permissão. Pessoal olha lá eim, é hora de medir   as atitudes. Valeuuuuuuuuu

Caro cadiles, usar o comando sudo sem pedir a senha não é a mesma coisa que usar o Linux como superusuário. A diferença é sutil, mas quando você usar o Linux como superusuário não há a necessidade de se usar o comando sudo e a todo momento ou comando você está executando o mesmo sempre como superusuário e portanto com todos os privilégios que ele oferece. Já o comando sudo , sem pedir a senha senha, só é usado para executar um determinado programa ou script que precise de privilégios especiais voltando em seguida, após sua execução, a ficar com privilégios restritos do usuário comum, portanto uma diferença sutil mais importante.

No Linux nada é auto-executável, ou seja, o sistema foi projetado para dar ênfase à segurança, o que também é fator de dificuldade. Nesse sentido, por exemplo, o sistema é configurado de modo que antes de o usuário executar um arquivo recém-baixado, ele precise acessar as propriedades e marcar a opção de execução, portanto remotamente é muito difícil, não vou dizer impossível, que alguém se utilize de algum script ou programa que venha a usar o comando sudo no seu interior afim de ter permissão de super usuário, sem que eu tenha antes dado permissão de execução para este script ou programa. Lembre-se o Linux não é o Windows onde qualquer um pode fazer um programa auto-executável.

Você falou sobre disquetes, acho eu que você estava se referindo aos chamados rootdisks que para quem não sabe são disquetes de boot com um conjunto de utilitários que explora falhas do sistema para tentar obter acesso. A maioria das brechas de segurança só pode ser explorada localmente e é exatamente isso o que o rootdisk faz. Se não for possível obter acesso explorando alguma vulnerabilidade conhecida, o rootdisk ainda pode tentar um ataque de força bruta, testando várias possibilidade de senha de superusuário até acertar. Entretanto, neste caso, uma senha de 12 caracteres, o meu caso, com letras ( maiúsculas e minusculas), números e outros caracteres especiais já seria suficiente para proteger o sistema. Além do mais são poucas as pessoas que tem acesso ao meu PC localmente e o sudo sem senha só é habilitado para o meu login e não os dos outros.

Faço todas as atualizações, principalmente de segurança, do meu Ubuntu e não instalo qualquer programa de fontes não confiáveis, portanto tenho sempre a versão mais atual com todas as correções de possíveis falhas de segurança e etc. Já uso o Linux faz um certo tempo e nunca tive problemas relativos a segurança.

Como tenho uma senha grande  e com vários tipos de caracteres, que troco regularmente, acho um incomodo muito grande ter que ficar digitando a mesma com o sudo, portanto uso-o sem pedir a senha da mesma forma que o Kurumin usa e acho que uma pessoa com os conhecimentos do Morimoto não iria fazer sua distribuição assim tão frágil como possa parecer, pode não ser a mais segura, mais com certeza não é a mais frágil.

Acho até mais seguro, opinião minha, quem usa o sudo sem pedir a senha do que quem usa o sudo com senha, mais instala qualquer coisa que nem sabe o que é e que pede a senha na hora da instalação e o usuário prontamente a fornece. Quem usa  comando sudo, sem senha, passa a ter mais responsabilidade no seu uso e não usa o comando sudo sem senha para qualquer coisa. Além do mais quando se usa o sudo pedindo a senha o usuário tem a tendencia de usar senhas mais fracas com poucos dígitos por que é um saco ter de digitar uma senha enorme a cada momento e quem usa o sudo sem pedir a senha tem a possibilidade de usar uma senha melhor.

A questão da segurança depende muito também dos hábitos dos usuários que assumem um comportamento de risco, deixando vários servidores ativos, usando senhas fracas e etc. Em resumo a segurança do sistema depende muito mais do comportamento do usuário do que do sistema operacional.

Para finalizar gostaria de dizer que não estou fazendo propaganda sobre este ou aquele modo de usar o comando sudo, mas apenas mostrei como uso o firestarter no meu Ubuntu, desde a versão 5.10, e por que vi alguém falar aqui que não havia nenhum modo de fazer o mesmo funcionar, sem pedir a senha, no Dapper quando do uso do comando sudo. Cada um usa da forma que lhe convém, mas acho que esta foi a de melhor custo-benefício com relação a segurança e usabilidade do sistema, ou seja, não é a forma mais segura, porém não é a forma mais frágil e além disso é a que traz uma usabilidade menos restrita, burocrática do sistema. Lógico que é melhor o comando sudo pedir a senha, mas enquanto não se encontra uma alternativa melhor para se usar o firestarter esta pelo menos é satisfatória.

Há outra coisa, não é questão apenas de se ter um ícone do firestarter no systray do sistema, é uma questão de se ter a mão a interface gráfica do iptables de fácil acesso para se poder bloquear e/ou liberar portas para programas e outros de uma forma real-time.

rafasnn

Citação de: aniquilator online 08 de Fevereiro de 2007, 10:23
Consegui agora resolver dando permissão somente ao firestarter:

Vá até /usr/sbin>firestarter
Como root altere a permissão dele para vc (seu nome de usuário)
Em sessões coloque ele para rodar no início assim:
sudo /usr/sbin/firestarter
Obs: Desfiz as modifcações no etc/sudoers para default
Seu sistema agora estará trancado, vc agora estará como usuário comum, segurança em primeiro lugar!!!!!
Se alguém achar que ainda o sistema está vulnerável, favor postar sua opinião.

Aniclator,

Tem como fazer isso no Kubuntu 6.10?
Macbook Pro 2,33 4GB 250GB
iPhone 8GB