Leituras Online

Translate

terça-feira, 23 de agosto de 2016

Vantagens do Kernel Grsec/GrSecurity




Pensar que Linux é impenetrável, sem falhas de segurança, sem vírus etc é um grande erro e equivoco que tenho visto muitos expalhando por ai; qualquer sistema operativo é um alvo, ainda mais quando se trata principalmente de servidores sendo eles Linux ou não, sempre haverá uma exploração ou tentativa de encontrar falhas e invadir o sistema de alguma forma.
Grsecurity veio trazendo melhorias de segurança, bem como correções para o Kernel Linux que tem sim suas vulnerabilidades e falhas que muitas vezes as pessoas ignoram achando que por se tratar de um sistema ainda pouco usado ele está seguro de qualquer ato malicioso ou até mesmo de bugs.
Vejamos então abaixo Grsec segundo a própria empresa desenvolvedora para que eu não fale nada errado ou me esqueça de algum detalhe:

Grsecurity ® é uma extensa melhoria de segurança para o kernel do Linux que defende contra uma ampla gama de ameaças de segurança através de controle de acesso inteligente, exploração de corrupção de memória, e uma série de outras formas de endurecimento do sistema que geralmente não requerem nenhuma configuração. Ele tem sido ativamente desenvolvido e mantido durante os últimos 15 anos. suporte comercial para grsecurity está disponível através de Open Source Security, Inc.

Apenas grsecurity fornece proteção contra zero-day e outras ameaças avançadas que tiram o tempo valioso dos administradores com correções de vulnerabilidade. Isto é possível por nosso foco na eliminação de classes inteiras de bugs e explorar vetores, em vez de a eliminação de status-quo das vulnerabilidades individuais.

Atenua fraquezas de servidor compartilhado / container

 
Em qualquer tipo de ambiente de computação compartilhada, seja separação UID simples, OpenVZ, LXC, ou Linux-VServer, o método mais comum e muitas vezes mais fácil do comprometimento do sistema completo é através da exploração do kernel. Nenhum outro software existe para atenuar esta debilidade, mantendo usabilidade e performance.

 
 Como instalar o Grsec?

Neste caso irá depender de cada distribuição, mas vamos ver algumas delas e como obter e instalar no seu servidor ou até no seu desktop mesmo.

Debian 

Apenas versão x64

Adicionar backports

sudo nano /etc/apt/sourceslist

deb http://ftp.debian.org/debian jessie-backports main
 
sudo apt-get update && sudo apt-get install linux-image-grsec
 

 Arch Linux 

 Pacotes:

gradm
linux-grsec-docs
grsec-common 
linux-gersec
linux-grsec-headers

Instalação: sudo pacman -S linux-grsec linux-grsec-headers gradm

Reinicie e ao ver o grub seleciona opções avançadas e escolha a entrada correspondente ao grsec-linux e inicie, após iniciar poderá remover o kernel anterior se desejar e assim ele semrpe será iniciado pelo grsec; também podemos modificar qual iniciar primeiro editando o grub. 

Ubuntu 

 


Você precisa adicionar este repositório ao seu /etc/apt/sources.list:

deb http://ubuntu.cr0.org/repo/ kernel-security/

Baixe a chave gpg> gpg-key e assine-a com: 
 
apt-key add kernel-security.asc 

Depois disso, você pode usar o apt-get update e instalar o pacote usando:

apt-get install linux-image-grsec

Estas duas são algumas que tem o grsec completo nos seus repos ou de terceiros, nas demais há como aplicar patchs no kernel que estiver em uso mesmo, basta ler nas documentações das distros que não tiver nos seus repositórios o kernel completo grsec 


quinta-feira, 18 de agosto de 2016

Cursos online de TI vale a pena?

A internet trouxe vários benefícios para a sociedade e, entre eles, podemos destacar os cursos profissionalizantes online. Por ser uma coisa nova, algumas pessoas ainda não tem a confiança necessária para aderirem a essa nova metodologia de ensino. No entanto, os alunos adeptos das inovações tecnológicas, já estão se surpreendendo com as vantagens de se formarem estudando online. Conheça as vantagens em comparação com um curso presencial de TI!

Vantagens do curso online de TI

Muitos alunos já se formaram e estão se especializando ainda mais realizando novos cursos na área após descobrirem as inúmeras vantagens que o curso online de TI proporciona para eles. Confira alguns dos principais benefícios!

Estude onde e quando quiser

Há pouco tempo atrás, a única forma de estudar em casa ou no trabalho era através da leitura complementar de um livro, muitas vezes desatualizado, ou com a presença de um instrutor particular, o que demandava altos custos e pouca flexibilidade para o aluno. Com a possibilidade da realização de cursos pela internet, as facilidades são tantas que você pode fazer o seu curso de TI em casa, no horário e cômodo da casa que quiser, bastando para isso, apenas uma conexão com a internet.
Já imaginou como seria agradável, usar uma roupa confortável e se aconchegar na cama, sofá ou na mesa e acompanhado de uma xícara de café, estudar tranquilo, sem precisar encarar sol ou chuva, frio ou calor, trânsito ruim e riscos no trajeto?

Economize tempo e dinheiro

Realizar um curso presencial vai demandar esforços para se organizar melhor financeiramente e na otimização do seu tempo. Isso, devido aos altos custos com transportes, estacionamento, alimentação, material didático, segurança e o tempo perdido entre as idas e vindas para o local do curso.
Além da eficiência do ensino a distância, é possível fazer um curso online com preços bem mais acessíveis por não demandarem um espaço físico para a disponibilização da didática. Fazendo o seu tempo, poderá acessar as aulas em vídeo e assisti-las e repeti-las onde e quando for melhor para você. Profissionais qualificados estarão sempre à disposição para tirar dúvidas do aluno.

Atualização dinâmica

Todo o material didático utilizado em um curso presencial, mesmo que novo, provavelmente já estará desatualizado. Essa é uma das grandes vantagens do curso online de TI. Além de ser ambientalmente correto por desestimular a impressão de livros e outros materiais didáticos, o curso online permite uma atualização constante do conteúdo apresentado em aula.
Fundamental para um curso de TI, as atualizações dinâmicas vão agregar ainda mais valor a formação do aluno que sairá com o conhecimento prático das ferramentas utilizadas na profissão de forma bastante equiparado ao mercado.

Torne os seus funcionários grandes profissionais

Uma das ferramentas mais importantes para garantir a motivação dos profissionais que compõe a sua equipe de colaboradores é investir na sua capacitação profissional. Eles se sentirão valorizados e importantes para o negócio, além de elevar o padrão de qualidade dos serviços ou produtos oferecidos pela empresa.
Talvez você não saiba, mas pode oferecer um curso in company na própria empresa. Com acompanhamento presencial ou online, os funcionários poderão ser capacitados de forma eficiente e prática.
Benefícios como a economia de tempo e dinheiro, além de um aprendizado com mais praticidade e atualização tornam o curso online de TI muito compensador. Sendo assim, vale muito a pena.
Paulo Oliveira - Escola Linux 

Algumas escolas online recomendadas

Ou seja, em se tratando de empresas sérias como 4bios, 4linux, Certificação Linux(Uirá Ribeiro), EscolaLinux, PrimeCursos e IPED, vale sim a pena estudar online; qualquer destas escolhas eu recomendaria e não só os que eu especificamente divulgo; meu primeiro contato com curso relacionado a Linux foi online com os cursos do Prof. Uirá Ribeiro por exemplo :)

quarta-feira, 17 de agosto de 2016

SubgraphOS - Plataforma de Computação Resistente


Subgraph OS é uma plataforma de computação resistente. O principal objetivo do Subgraph é capacitar as pessoas para se comunicar, compartilhar e colaborar sem medo de vigilância e interferência. O que isto significa em termos práticos é que os usuários podem executar com segurança as suas tarefas do dia-a-dia com segurança e privacidade.

Em alguns aspectos, o SOS é como outros sistemas operacionais - é derivado do Debian GNU / Linux e usa o ambiente desktop GNOME como sua interface gráfica. Muitos aplicativos encontrados em outras distribuições Linux também estão disponíveis em SubgraphOS. Portanto, os usuários que já estão familiarizados com o Linux e, particularmente, o ambiente desktop GNOME vai se familiarizar facilmente.
A equipe de desenvolvimento acredita que a melhor maneira de capacitar as pessoas para se comunicar e viver livremente é desenvolver tecnologia que é segura, livre, open-source,  verificável e confiável.


Subgraph OS tem uma parte importante dessa visão.


A Internet é um ambiente hostil, e as revelações recentes têm tornado mais evidente do que nunca que o risco para todos os usuários dia se estende para além da necessidade de garantir o transporte de rede - o ponto final também está em risco.


Subgraph OS foi projetado desde o início para reduzir os riscos em sistemas de ponto de extremidade para que os indivíduos e organizações em todo o mundo podem se comunicar, compartilhar e colaborar sem medo de vigilância ou de interferência por adversários sofisticados através de ataques provenientes da rede.


Subgraph OS é concebido para ser difícil de atacar. Isto é conseguido através de endurecimento do sistema e, um foco contínuo proativa na segurança e ataque de resistência. Subgraph OS também coloca ênfase na integridade dos pacotes de software instaláveis.


Kernel endurecido com Grsecurity / pax





O melhor conjunto de melhorias de segurança do kernel Linux disponíveis. Grsecurity inclui PaX , um conjunto de patches para fazer tanto a interface do usuário e o kernel mais resistentes a exploração de vulnerabilidades de corrupção de memória. Outras melhorias Grsecurity reforça o controlo de acesso local e proporciona um ambiente mais seguro.



Anonimato

Subgraph OS inclui integração com o TOR e a maioria, senão todas as aplicações irão usar por padrão a rede TOR para se conectar à rede


Outros recursos de segurança


Subgraph OS está em constante aperfeiçoamento e endurecendo o estado de segurança do sistema operacional padrão. Isto inclui fazer melhorias de configuração e adicionar inteiramente novas atenuações.


Segurança de memória

A maioria do código escrito para o Subgraph está escrito em golang, que é uma linguagem segura de memória. bibliotecas golang também são muitas vezes executadas no golang puro, o que está em contraste com outras linguagens populares como Python. 

Subgraph também inclui um firewall de aplicativo que irá detectar e alertar o utilizador para ligações de saída inesperados pelas aplicações. O firewall de aplicação é bastante único para sistemas operacionais baseados em Linux e é uma área de desenvolvimento contínuo.

Recursos de segurança adicionais incluem:

AppArmor cobrindo muitas utilidades e aplicações do sistema,
monitor de eventos de segurança e notificações (em breve)
serviço de filtro de porta de controle tor Roflcoptor (em breve)
Porta a nova seccomp-bpf biblioteca golang Gosecco (em breve)

Download

 Alpha

Requerimentos do sistema


Máquina que pode confortavelmente executar GNOME 3:


máquina de 64 bits (Core2Duo ou mais)
2 GB de RAM (4 GB recomendado)
Pelo menos 20 GB de espaço no disco rígido

Descrição traduzida do site oficial>http://zip.net/bftq2m


terça-feira, 16 de agosto de 2016

Arch Linux - Instalação de Drivers de video


Assunto que deixa muitos "assustados" quando em um sistema Linux, principalmente em se tratando de Arch Linux que para muitos é um pouco difícil, porém com certeza é algo simples de se fazer como em qualquer outra distribuição, vejamos então como instalar drivers das principais marcas. 


Habilitar repositórios multilib

Abrir arquivo de configuração pacman.
  • sudo nano /etc/pacman.conf
Descomente as seguintes linhas e salve o arquivo.
  • [Multilib]
  • Include = /etc/pacman.d/mirrorlist

Instalação de Drivers genéricos 

  • sudo pacman -S xf86-video-vesa
Vesa drivers  fornecem aceleração, mas obviamente não irá funcionar como os drivers recomendados para cada tipo e marca de dispositivos que você use. Ele pode ser instalado como uma alternativa para os outros condutores se por qualquer motivo eles falham.

Instalação ATI/AMD Radeon Drivers
Instalar o driver Radeon Opensource.
  • sudo pacman -S xf86-video-ati ou xf86-video-amdgpu
  • Catalyst(proprietário)
  • yaourt -S catalyst-total
  • Configuração
  • aticonfig --initial
  • Para ver outras opções de configuração vá na wiki ou consulte aticonfig --help no terminal
  • Adicionar nos módulos do kernel
  • /etc/mkinitcpio.conf
  • sudo nano /etc/mkinitcpio.conf
  • Em--> MODULES="radeon"
  • E então:
  • sudo mkinitcpio -p linux
Instalação Nvidia Drivers
Opensource Nvidia
  • sudo pacman -S xf86-video-nouveau
  • Proprietário
  • sudo pacman -S nvidia nvidia-utils nvidia-libgl lib32-nvidia-libgl
  • Abaixo das séries 400
  • sudo pacman -S nvidia-340xx nvidia-340xx-libgl nvidia-340xx-utils

  • Ainda mais antigas:
  • sudo pacman -S nvidia-304xx nvidia-304xx-libgl nvidia-304xx-utils

  • Configuração
  • Auto-configuração sudo nvidia-xconfig
Instalação Intel Drivers
  • sudo pacman -S xf86-video-intel
  • Crie o Arquivo /etc/X11/xorg.conf.d/20-intel.conf

  • sudo nano /etc/X11/xorg.conf.d/20-intel.conf
  • E coloque as configs abaixo
  • Section "Device"
       Identifier  "Intel Graphics"
       Driver      "intel"
       Option      "AccelMethod"  "uxa"
    EndSection

Atualizar a lista de pacotes.

  • sudo pacman -Syu
Instalação Bibliotecas Mesa
  • sudo pacman -S mesa mesa-libGL
  • Não instale mesa-libGL se por acaso estiver usando drivers nvidia proprietários incluindo o nvidia-libgl pois o mesa-libgl vai desinstalar os drivers nvidia, ou seja, mesa-libgl* no Arch é para os casos de drivers genéricos
Instalação do mesa de 32bits/lib32
  • sudo pacman -S lib32-mesa lib32-mesa-libGL
  • Não instale isto se por acaso estiver usando drivers nvidia proprietários incluindo o nvidia-libgl pois o mesa-libgl vai desinstalar os drivers nvidia, ou seja, mesa-libgl* no Arch é para os casos de drivers genéricos

domingo, 14 de agosto de 2016

Archlinux - iptables


Archlinux - iptables

Configurar um firewall básico no  Arch  com iptables.


Instale o pacote iptables

pacman -S iptables

Em seguida, você precisa adicionar iptables em DAEMONS de /etc/rc.conf.

No systemd
systemctl enable iptables.service

Verificar o estado atual do firewall.

iptables -L
Excluir / limpar todas as regras da tabela.

iptables -F
Salve regras para arquivar.

iptables-save > /etc/iptables/iptables.rules

Restaurar regras de arquivo.

iptables-restore < /etc/iptables/iptables.rules

Iniciar / serviço / iptables Reiniciar Parar.

systemctl enable/disable iptables.service

Exemplo de arquivo de iptables.

*filter
:INPUT ACCEPT [368:102354]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [92952:20764374]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
COMMIT

Aceitar todas as conexões http e ssh. Drop se se não haver nenhum pedido/request. E criar log se chegar a este nível. Aceitar todas as ligações locais feitas com auto-retorno.

Este exemplo inclui algumas restrições sobre ssh para limitar o número de ligações por IP num dado intervalo de tempo.

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [52:6560]
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 4 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
COMMIT

Isso também pode ser ativado com os seguintes comandos.

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP`
arquivo de regra padrão para o iptables é definida em /etc/rc.d/iptables com a variável de ambiente IPTABLES_CONF = / etc / iptables / iptables.rules. 

Certifique-se de salvar as regras neste arquivo ou alterar IPTABLES_CONF em consequência.



Nuveem

728x90