domingo, junho 08, 2008

Segurança em Sistemas de Arquivos - 1











Permissão de arquivos

A segurança dos servidores é obtida a partir de um conjunto de elementos que precisam ser analisados atentamente. A definição das permissões de acesso aos arquivos do servidor é algo fundamental, pois é a partir daí que definimos quais usuários ou processos acessam o “quê”.

Os arquivos /etc/passwd e /etc/shadow costumam ser os principais alvos de ataques. Estes arquivos armazenam informações sobre as contas de usuários (diretório home, Shell, etc) e respectivamente. As informações da conta são armazenadas em passwd e as senhas em shadow (formato md5).

Ter acesso ao /etc/shadow não implica em necessariamente em conhecer as senhas de todos os usuários cadastrados. No entanto, é possível obter as senhas caso o “usuário” (conta) utilizado no ataque possua permissão de leitura em /etc/shadow – utilizando ferramentas de força bruta ou dicionários, como John The Ripper.

Para dificultar a ação deste tipo de ataque devemos restringir a permissão de escrita ao arquivo /etc/passwd, de forma que apenas o administrador possa adicionar, modificar ou remover contas de usuários.

Atualmente, as distribuições do Linux não armazenam as senhas neste arquivo, mas sim em shadow . Portanto, o usuário configurado como dono deste arquivo deve corresponder ao root, sendo este o único com permissão de leitura.
Para verificar as permissões:

ls –l /etc/passwd

-rw- r-- r-- 1 root ..... /etc/passwd

Usuário Grupo Outros

ls –l /etc/shadow

-r-- --- --- 1 root .... /etc/shadow

Ajustando as permissões ( se necessário )

chmod 600 /etc/passwd
chmod 600 /etc/shadow

Os ajustes de permissão são importantes porque inviabilizam diferentes tipos de ataque. Suponhamos que exista um erro crítico de programação em um site hospedado em um servidor de Web Apache e este erro possibilite a leitura do sistema de arquivos do servidor.
Como o serviço Apache executa com permissão de usuário comum, a leitura do arquivo /etc/shadow e /etc/passwd não será permitida, pois apenas o usuário root possui permissão de leitura.

até a próxima.
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)