Segurança do Sistema de Arquivos

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 08 de Maio de 1997

Verificar falhas de segurança no sistema de arquivos é outra tarefa importante do administrador. Primeiramente devem ser identificados os arquivos que podem ser alterados por usuários não autorizados, arquivos que podem involuntariamente dar permissões excessivas a usuários e arquivos que possam fornecer acesso a invasores. É importante também monitorar modificações no sistema de arquivos e possuir mecanismos que permitam a volta do sistema ao estado original.

O comando find é um comando de propósito geral para pesquisar o sistema de arquivos. O comando

# find / -type f -a \( -perm 0400 -o -perm 0200 \) -print

localiza todos os arquivos do sistema com os bits setuid ou setgid ligados. A saída deste comando deve ser analisada para determinar se não existe algum arquivo suspeito na lista.

O comando

# find / -perm -2 -print

identifica todos os arquivos com permissão de escrita universal.

O comando

# find / -nouser -o nogroup -print

identifica arquivos que não pertencem a nenhum usuário ou a nenhum grupo.

Imediatamente após a instalação de um sistema, deve-se gerar um arquivo que liste a configuração inicial dos arquivos do sistema:

# ls -aslgR /bin /etc /usr >> MasterChecklist

Este arquivo contém uma lista completa de todos os arquivos nestes diretórios. As linhas referentes a arquivos que mudem freqüentemente devem ser removidas. O masterchecklist deve ser guardado em um local seguro para evitar adulterações.

Para pesquisar alterações no sistema de arquivos, execute o comando acima novamente e compare-o com o arquivo mestre:

# diff MasterChecklist Currentlist

Outro aspecto muito importante é a realização de backups freqüentes do sistema de arquivos. Backups não apenas protegem contra falhas de hardware mas também contra deleções acidentais.

Acrônimos ;-)

PERL - Pathetically Eclectic Rubbish Lister
PCMCIA - People Can't Memorize Computer Industry Acronyms
ISDN - It Still Does Nothing
APPLE - Arrogance Produces Profit Losing Entity
SCSI - System Can't See It
DOS - Defunct Operating System
BASIC - Bill's Attempt to Seize Industry Control
IBM - I Blame Microsoft
DEC - Do Expect Cuts
CD-ROM - Comsumer Device, Rendered Obsolete in Months
OS/2 - Obsolete Soon, Too
WWW - World Wide Wait
MACINTOSH - Most Applications Crash; If Not, The Operating System Hangs