Protegendo o Desktop do Linux

Uma seleção de ferramentas fáceis de usar para manter seus sistemas seguros

Embora o GNU/Linux® tenha a reputação de ser um sistema operacional muito mais seguro do que o Microsoft ® Windows®, você ainda precisa proteger o desktop Linux. Este tutorial o conduz pelas etapas de instalação de software antivírus, criando um plano de backup-restauração e fazendo um uso prático de um firewall. Quando terminar, você terá o conhecimento e as ferramentas necessárias para proteger seu Desktop do Linux contra a maioria dos ataques e evitar o acesso ilegítimo ao seu computador.

Jeffrey Orloff, Director of IT/Security, SafeWave, LLC

Jeffrey Orloff atua como Diretor de TI e Segurança da SafeWave, LLC. Ele também trabalha como coordenador de tecnologia para o Departamento de Educação Alternativa/Departamento de Justiça Juvenil do Distrito Escolar do Condado de Palm Beach.



25/Nov/2008

Antes de Iniciar

Para obter o máximo deste tutorial, siga as etapas fornecidas para cada tarefa com um computador executando GNU/Linux ou uma máquina virtual com GNU/Linux como o sistema operacional.

Sobre este tutorial

Este tutorial apresenta a você os conceitos básicos de segurança do GNU/Linux e mostra como proteger ou fortalecer seu desktop contra ataques. Ele fornece exemplos passo a passo de como:

  • Proteger seu computador contra ataques de malware
  • Configurar um firewall para manter hackers de fora
  • Fazer backup de arquivos importantes e recuperar arquivos após um backup bem-sucedido
  • Instalar atualizações em seu sistema operacional e outro software
  • Proteger com senha o bootloader

Estes mesmos conceitos fundamentais de segurança para tornar seu desktop seguro também servem como uma base para fortalecer seus servidores Linux.

Objetivos

Após concluir este tutorial, você estará apto a proteger seu desktop do GNU/Linux e evitar ataques conta seu computador e seus dados. Você estará apto a instalar e configurar software para ajudar a proteger seu desktop contra malware que pode possibilitar a um hacker acesso ao seu computador. Também estará apto a utilizar um firewall para proteção contra tráfego de entrada e saída, fazer backup e restaurar seus dados e aplicar outros truques que fortalecem ainda mais o seu sistema.

Pré-requisitos

Este tutorial é escrito para usuários do GNU/Linux iniciantes. Ele assume que você tem um entendimento básico do sistema operacional GNU/Linux e tem experiência em download e instalação de software.

Requisitos do sistema

Para utilizar os exemplos neste tutorial, você precisa do sistema operacional GNU/Linux instalado em um computador ou como um ambiente virtual com acesso do root. Também é necessária uma conexão ativa com a Internet com a capacidade de fazer download de software.

Os exemplos utilizam o Ubuntu, portanto, é recomendável utilizar uma derivação do Debian do GNU/Linux. Embora os exemplos funcionem em uma máquina virtual executando o GNU/Linux, você não deve utilizar um Live CD.


Mitos sobre a Segurança do GNU/Linux

Por anos, os usuários do GNU/Linux tiveram a noção de que seu sistema operacional era superior ao Microsoft Windows em termos de segurança. Infelizmente, o que os hackers ganham em comprometer um computador ou rede também mudou ao longo do tempo.

Originalmente, a maioria dos ataques contra computadores era proveniente de hackers procurando por notoriedade em suas comunidades. Havia casos de hackers mal-intencionados procurando obter informações sensíveis por motivos financeiros. Mas o conceito de roubo de informações financeiras ou confidenciais para obter lucro não era o objetivo principal dos hackers—até recentemente.

Atualmente, organizações criminosas bem organizadas se utilizam de hackers mal-intencionados com o propósito exclusivo de violar sistema de segurança de computadores para vantagem financeira. Ao longo dos anos, as perdas monetárias devido a violações de computador têm sido estimadas em centenas de bilhões.

Quando o prejuízo era a principal motivação para hackers mal-intencionados, os sistemas Windows eram seus principais alvos. O Windows era fácil para qualquer pessoa, não apenas apaixonados por computador, utilizar. E assim, os computadores desktop começaram a aparecer em quase todas as casas, escolas, e empresa ao redor do mundo; e eram utilizados por pessoas com habilidades de computação abaixo da média. Com um conjunto tão grande de usuários novatos, os hackers mal-intencionados não sentiam falta de alvos fáceis.

O Windows também se tornou um alvo favorito de alguns hackers mal-intencionados devido ao seu software proprietário. Alguns ataques eram motivados pelo desejo de trazer publicidade negativa à Microsoft, que não era vista como uma apoiadora da comunidade de software livre. Estes ataques também começaram a criar mitos sobre segurança nos círculos de computação.

O GNU/Linux é mais seguro do que o Microsoft Windows?

Um dos mitos mais populares circundantes à segurança de computadores é que o GNU/Linux é mais seguro do que o Windows. Muitos fatores devem ser considerados ao determinar o grau de segurança de um sistema. O fator mais importante é como o sistema foi configurado. É muito pouco provável que um sistema GNU/Linux configurado por um novato completo seja mais seguro do que um sistema Windows configurado por um especialista altamente qualificado.

Este tutorial aborda a configuração adequada do desktop do GNU/Linux. Ao executar as etapas para configurar seu sistema de computador adequadamente, você poderá ter a certeza de que o seu sistema está seguro. Aceitar cegamente o mito de que o "Linux é mais seguro" pode levar a problemas.

O GNU/Linux é livre de vírus?

Outro mito de segurança de computadores é o de que os vírus não atacam computadores GNU/Linux. Embora uma quantidade menor de vírus tenha sido criada para atacar sistemas GNU/Linux do que sistemas Windows, os vírus para GNU/Linux existem. Ameaças aos sistemas GNU/Linux também se apresentam em outras formas de malware, tais como cavalos de Tróia, rootkits e spyware. Estas ameaças são abordadas na próxima seção deste tutorial.

O número de ataques contra sistemas GNU/Linux tem aumentado constantemente. Uma razão para isto é simplesmente que o número de usuários mudando para sistemas operacionais GNU/Linux está aumentando. Como estes sistemas operacionais têm adotado o conceito de interface gráfica com o usuário (GUI), o GNU/Linux tem se tornado uma substituição ao Windows mais fácil de usar e mais barata.

Outra razão para o aumento nos ataques contra sistemas GNU/Linux é o fato de mais ataques terem motivação financeira. Os hackers não se importam mais com qual tipo de sistema operacional seu alvo está executando— eles simplesmente desejam os dados mais preciosos que estão armazenados no computador. Se o computador-alvo executar o Windows, eles utilizam explorações Windows. Para computadores executando GNU/Linux, eles atacam um conjunto totalmente diferente de vulnerabilidades.

Conforme você progredir através deste tutorial, verá algumas etapas básicas que pode executar para ajudar a evitar acesso não-autorizado ao seu computador desktop GNU/Linux. Novas vulnerabilidades sempre estão sendo descobertas. Você precisa tornar uma prioridade manter-se informado e tomar as ações apropriadas para manter a segurança do seu computador.


Protegendo contra Malware

Malware é a abreviação de software mal-intencionado. Qualquer programa ou arquivo cujo propósito seja danificar ou interromper um sistema de computador ou rede é um malware. Esta seção do tutorial primeiro fornece a você uma visão geral de como o malware pode atacar o GNU/Linux e quais fundamentos de design no sistema operacional ajudam a evitar infecções de malware. Acompanhando a visão geral, estão as instruções sobre como implementar proteção antivírus e como proteger seu sistema contra rootkits.

Para o malware espalhar-se entre sistemas e para causar danos, o programa ou arquivo precisa ser executado. O GNU/Linux foi projetado de forma que os usuários não estejam executando sob a conta root (administrador); portanto, os programas e arquivos não têm a capacidade de executarem sem permissão explícita. Sem a habilidade de executar programa neste estado de login, o malware não consegue instalar-se ou propagar-se através de um sistema GNU/Linux devido às permissões do usuário. O recurso de segurança de permissões do usuário está integrado no GNU/Linux e é uma ferramentas mais efetivas contra a propagação do malware.

O malware criado para Windows não executará em um computador GNU/Linux. Da mesma forma que o Microsoft Office não pode executar diretamente a partir de um sistema GNU/Linux, os programas e arquivos mal-intencionados não executam porque os executáveis binários são criados para Windows. Se você tentar ativar um programa mal-intencionado criado para o Windows em um ambiente GNU/Linux, o programa não saberá o que fazer porque suas instruções são criadas para ler, gravar e executar de acordo com a arquitetura Windows. Isto também evita que o malware seja criado para GNU/Linux, porque as várias distribuições do sistema operacional sejam suficientes para tornar alguns tipos de malware inúteis.

Embora alguns aspectos do malware sejam irrelevantes para o desktop GNU/Linux, ainda há vários motivos porque você deveria se preocupar com ele. Executar varreduras ativamente para verificar se há malware ajuda a evitar a sua propagação. Mesmo se você não executar um programa mal-intencionado no GNU/Linux, ainda pode transmitir o programa para outro computador. Por exemplo, se você estiver utilizando vários ambientes, pode ser fácil transmitir um arquivo infectado do seu sistema GNU/Linux para um sistema Windows através de e-mail, através de uma unidade USB ou através de um compartilhamento Samba.

Outro exemplo é proveniente do malware para várias plataformas que é codificado para responder diferentemente, dependendo do sistema operacional do host. Se o malware detectar o Windows, ele ataca como tal. Se o Red Hat for detectado, diferentes comandos são executados.

Você também precisa considerar o aumento da popularidade dos ambientes independentes de plataforma, tais como OpenOffice.org, Perl e Firefox. O malware pode ser construído para atacar vulnerabilidades específicas que são independentes de plataforma. Por exemplo, o worm MSIL.Yakizake envia um e-mail para cada pessoa no catálogo de endereços Thunderbird do host. As mensagens eram customizadas com o sufixo DNS de forma que a linguagem do correio ficava correta.

Finalmente, você deve observar atentamente os pacotes de malware criados especificamente para GNU/Linux. Há muito tempo, os rootkits têm sido o calcanhar de Aquiles dos administradores do GNU/Linux. Eles fazem parte da mesma família de software que os cavalos de Tróia. Um método rootkit é um conjunto de ferramentas que possibilita que um hacker tenha acesso à conta root (de administrador) em seu computador. Estes pacotes de malware têm diferentes nomes, tais como tOrn e ARK, mas o resultado final é o mesmo: seu computador ou rede não fica mais sob seu controle.

Instalar proteção antivírus: ClamAV

Ao instalar o ClamAV, você pode especificar se deseja executar o programa manualmente ou executá-lo continuamente ao conectá-lo a um daemon. Para um desktop, o ideal é executar o programa como um daemon (isto ainda lhe dá a opção de executar varreduras manuais).

Para instalar o ClamAV como um daemon de execução contínua, siga estas etapas:

  1. Ligue o seu computador e efetue login.
  2. Na barra de menus, selecione Aplicativos > Acessórios > Terminal.
  3. Assim que o terminal for ativado, insira: sudo apt-get install clamav-daemon
  4. Quando solicitado, insira sua senha. Isto instala um pacote denominado clamav-freshclam, que é o pacote atualizador para o aplicativo ClamAV.
  5. Agora você visualiza uma mensagem indicando quanto espaço em disco será utilizado ao instalar o software. Insira Y no prompt para iniciar a instalação.

O processo de instalação deve levar apenas alguns minutos. Quando ele é concluído, você visualiza um alerta indicando que seu banco de dados de vírus é mais antigo do que x dias e que é necessário atualizá-lo o quanto antes.

Atualize suas definições de vírus

As definições de vírus são padrões de código que são exclusivos a diferentes programas de malware. Scanners antivírus comparam os conteúdos dos seus arquivos com os padrões de código em um banco de dados de definições de vírus. Se uma correspondência for localizada, o programa o alerta que há um arquivo infectado em seu computador e impede que o código em tal arquivo seja executado.

Os criadores de malware continuamente estão criando e tentando propagar novos arquivos infecciosos, portanto, à parte da instalação do software antivírus, manter suas definições de vírus atualizadas é a tarefa mais importante em manter seus arquivos protegidos do malware. Se a definição para uma parte específica do malware não estiver em seu banco de dados de definições de vírus, o scanner antivírus não reconhecerá seu código mal-intencionado e possibilitará que ele seja executado e cause qualquer dano para o qual foi programado.

Como você instalou o freshclam com o ClamAV, pode atualizar suas definições de vírus imediatamente a partir do terminal, seguindo estas etapas:

  1. No prompt, insira: sudo freshclam
  2. Quando solicitado, insira sua senha. Executar este comando atualiza suas definições com o banco de dados mais recente.
  3. O comando freshclam não causa nenhuma atualização automática subsequente em suas definições de vírus. A cada vez que você obtém as definições mais recentes, deve executar o freshclam novamente. Após realizar a atualização inicial, você pode julgá-la conveniente para utilizar o argumento -v no comando para primeiro verificar se suas definições estão ou não atualizadas: sudo freshclam -v

Iniciar o ClamAV

Agora que você atualizou suas definições de vírus, está pronto para iniciar o ClamAV.

Para executar uma varredura manual da sua pasta inicial, acesse o prompt do terminal e insira clamscan. Quando o comando clamscan for concluído, você visualizará um relatório de quantos diretórios e arquivos foram varridos e quantos arquivos infectados foram localizados.

Para iniciar a execução do ClamAV como um daemon, vá para o prompt de terminal e insira clamdscan. O comando clamdscan cria um usuário denominado ClamAV. Você pode então incluir este usuário no grupo que possui os arquivos que deseja varrer.

Instalar a GUI ClamTk para ClamAV

Como este tutorial é destinado a iniciantes, esta seção explica como configurar o ClamAV utilizando uma interface gráfica com o usuário (GUI) denominada ClamTk. Para instalá-la, siga estas etapas:

  1. Feche o terminal.
  2. Na barra de menus, selecione Aplicativos > Adicionar/Remover.
  3. Na parte superior da janela Adicionar/Remover Aplicativos, selecione Todos os aplicativos de Software Livre no menu suspenso Mostrar .
  4. Insira Clam na caixa de procura e pressione Enter.
  5. Quando Adicionar/Remover Aplicativos localiza o ClamTk, ele é listado como um Scanner de Vírus na seção principal da janela (consulte a Figura 1). Selecione a caixa de opção Scanner de Vírus . Se você for solicitado a ativar a instalação do software mantido pela comunidade, clique no botão Ativar .
    Figura 1. Instalando o ClamTk utilizando a ferramenta Adicionar/Remover
    Figure showing the Add/Remove tool
  6. Clique em Aplicar Alterações na parte inferior direita da janela.
  7. Clique em Aplicar.
  8. Quando a senha for solicitada, insira-a e clique em OK.
  9. Quando você visualizar a janela pop-up informando que a instalação foi concluída, clique em Fechar.

Utilizar o ClamTk

É possível ativar o ClamTk a partir do desktop selecionando Aplicativos > Ferramentas do Sistema > Scanner de Vírus, mas utilizar o programa desta maneira pode exibir que você efetue login como root, o que não é desejável. Ao invés disso, utilize as seguintes etapas para abrir o ClamTk com os direitos apropriados:

  1. Pressione Alt-F2.
  2. Digite: gksu clamtk
  3. Clique em Executar.

A Figura 2 mostra a janela do Scanner de Vírus ClamTk. Você pode utilizar o menu e a barra de ferramentas para emitir comandos. A seção de Informações lista arquivos e seus status. Se um arquivo estiver infectado, isto será indicado aqui (os arquivos na Figura 2 estão aguardando para serem varridos). Na parte superior da janela, a seção Status indica quantos arquivos foram varridos e quantos arquivos infectados foram localizados.

Figura 2. Varrendo para verificar malware utilizando a GUI do ClamTk
Figure showing ClamTk scanning a computer for Malware

Se você descobrir que um malware infectou algum arquivo, certifique-se de que o arquivo não seja um arquivo essencial para o sistema antes de excluí-lo. Isto é especialmente seguro se você estiver utilizando um computador com inicialização dupla, porque você pode varrer diretórios do Microsoft Windows utilizando o GNU/Linux e o ClamAV.

Proteger contra rootkits

Provavelmente, o malware mais perigoso que os usuários do GNU/Linux enfrentam é o rootkit. Para lutar contra rootkits e outras possíveis explorações, esta seção mostra como instalar e utilizar o rkhunter e o chkrootkit. Estes programas varrem seu desktop para verificar arquivos suspeitos que podem ter sido instalados por um hacker para obter controle do seu computador.

Instale e utilize o rkhunter

Para instalar o rkhunter, siga estas etapas:

  1. Para navegar de volta para o terminal, selecione Aplicativos > Acessórios > Terminal.
  2. No shell do terminal, insira o seguinte comando: sudo aptitude install rkhunter
  3. Quando você receber uma mensagem informando quanto espaço o software utilizará, insira Y para iniciar a instalação.

Assim que o rkhunter tiver sido instalado com êxito, você pode executá-lo para verificar várias explorações em seu desktop. Para iniciar o programa, vá para o prompt de terminal e insira: sudo rkhunter --check

Se o rkhunter estiver executando apropriadamente, você começa a visualizar uma lista de diretórios com a palavra OK ou Aviso próxima a eles. Quando iniciado, o rkhunter executa vários tipos de varreduras. Após a conclusão de uma varredura, você começa a próxima pressionando Enter. Os diferentes tipos de varreduras são:

  • Diretórios
  • Exploram no desktop (resultados de amostra mostrados na Figura 3)
  • Portas que são comumente utilizadas para acesso à porta dos fundos
  • Arquivos de inicialização, grupos e contas, arquivos de configuração do sistema e o sistema de arquivos
  • Aplicativos

Após todas as varreduras serem concluídas, o rkhunter fornece um relatório e cria um arquivo de log com os resultados.

Figura 3. Rkhunter varrendo rootkits
Rkhunter scanning for rootkits

Assim como com o ClamAV, você precisa atualizar o rkhunter regularmente de forma que ele possa detectar as vulnerabilidades e explorações mais recentes:

  1. A partir do terminal, insira: sudo rkhunter --update
  2. Quando solicitado, insira sua senha.

Instalar e utilizar o chkrootkit

Embora a maioria do software antivírus não execute apropriadamente junto com um programa antivírus de outra empresa, os caçadores de rootkit executarão simbioticamente com outro. Portanto, para uma proteção mais abrangente, você pode instalar o chkrootkit e executá-lo junto com o rkhunter.

Para instalar o chkroot, simplesmente acesse o prompt de terminal e insira: sudo aptitude install chkrootkit

Assim que o chkroot for instalado, você o executará assim como o rkhunter. No prompt do terminal, insira: sudo chkrootkit

Quando o chkroot concluir sua varredura, você será levado de volta ao prompt do terminal.

Se o rkhunter ou o chkrootkit descobrir algo fora do normal, eles simplesmente o informam sobre o possível problema. Nenhum destes programas realmente exclui arquivos do seu computador. Se você for alertado a algo por qualquer um dos programas, pesquise a exploração ou vulnerabilidade que foi relatada e certifique-se de que o que foi localizado não é um positivo falso. Em seguida, determine as etapas necessárias para eliminar a ameaça. Algumas vezes, você só precisa atualizar o sistema operacional ou outro software. Outras vezes, pode ser necessário localizar um programa enganador e erradicá-lo do seu sistema.


Utilizando um Firewall

A próxima etapa preventiva que você deve executar é utilizar o firewall integrado em seu sistema operacional. O Ubuntu, por padrão, executa iptables como o firewall em todas as distribuições. Na instalação, as configurações padrão para este firewall possibilitam todo o tráfego de entrada e saída por padrão. Para fazer um uso efetivo do firewall, você precisa criar regras para bloquear seu desktop.

É possível configurar iptables através do terminal, mas esta seção do tutorial mostra como criar regras de firewall com uma GUI denominada Firestarter.

Instalar e ativar o Firestarter

O Firestarter não está instalado no Ubuntu por padrão. Para instalar e ativar o Firestarter, siga estas etapas:

  1. Abra o terminal e digite este comando: sudo apt-get install firestarter
  2. Quando solicitado, insira sua senha.
  3. Para ativar o programa, feche a janela do terminal e selecione Sistema > Administração > Firestarter.

Configurar o Firestarter

Quando você ativa o Firestarter pela primeira vez, é conduzido por um assistente de configuração. Siga estas etapas para concluir o assistente:

  1. Consulte a introdução na primeira tela e clique em Avançar.
  2. A próxima tela solicita que você forneça informações sobre o seu dispositivo de rede. Se você estiver utilizando um cabo Ethernet para conectar seu computador a um roteador, o dispositivo Ethernet deve ser configurado como eth0, conforme mostrado na Figura 4. Se você tiver o DHCP em execução na sua rede, certifique-se de que esta opção esteja selecionada. Após fazer as seleções apropriadas, clique em Avançar.
    Figura 4. Configurando o dispositivo de rede no Firestarter
    Step one, configuring the network device
  3. Se você estiver compartilhando sua conexão com a Internet com outros computadores, a próxima tela possibilita configurar isto (consulte a Figura 5). Assim que tiver definido sua configuração de rede, clique em Avançar.
    Figura 5. Configurando o compartilhamento de conexão com a Internet
    Configuring Firestarter to work with Internet connection sharing
  4. Clique em Salvar para iniciar o firewall.

A Figura 6 mostra o Firestarter monitorando ativamente um computador.

Figura 6. Firestarter
Firestarter

Incluir o Firestarter em seus programas de inicialização

Antes de iniciar a configuração das políticas do Firestarter, execute as seguintes etapas para incluí-lo em seus programas de inicialização e permitir que o Firestarter proteja seu computador a cada vez que você inicializar:

  1. Selecione Sistema > Preferências > Sessões.
  2. Clique em Incluir para exibir uma janela onde você pode digitar o comando de inicialização.
  3. Insira Firestarter no campo Nome .
  4. Insira o seguinte no campo Comando: sudo /usr/sbin/firestarter
  5. Clique em Incluir e, em seguida, feche a janela Preferências da Sessão.

Criar políticas no Firestarter

Para utilizar o Firestarter para interromper o tráfego ilícito, você precisa criar políticas. As políticas de firewall são as regras que determinam como um firewall lida com tráfego de entrada e saída. As políticas podem ser configuradas para evitar o tráfego para e de um endereço IP específico, um site específico ou até mesmo uma porta em um computador. Ao criar políticas, é importante lembrar que embora o bloqueio de determinado tráfego possa tornar sua rede/computador mais seguro, ele também pode atrapalhar a habilidade das pessoas trabalharem. Você precisa encontrar um equilíbrio entre a segurança e a funcionalidade.

Certifique-se de que o Firestarter esteja aberto em seu desktop. O Firestarter bloqueia qualquer tráfego de rede de entrada que não seja uma resposta a uma conexão estabelecida por um host seguro. Se você não iniciar a conexão, o Firestarter a bloqueia por padrão.

Para criar uma nova política que permita uma conexão de entrada, siga estas etapas:

  1. Clique na guia Política no Firestarter.
  2. Configure a opção Edição como Política de tráfego de entrada.
  3. Clique em Incluir Regra na parte superior da janela. Quando fizer isso, uma nova janela aparecerá, solicitando quais conexões de entrada permitir (consulte a Figura 7).
    Figura 7. Incluindo uma política de tráfego de entrada
    Adding an inbound traffic policy in Firestarter
  4. No primeiro campo, insira a rede, o nome do host ou endereço IP a partir do qual deseja permitir tráfego de chegada a originar. Para praticar, insira: thisnetwork.org
  5. Clique em Incluir.
  6. Quando for levado de volta à janela principal, clique em Aplicar Política.

Realce sua nova política; os botões Remover Regra e Editar Regra agora estão ativados. A menos que você tenha criado uma regra real que planeja utilizar, clique em Remover Regra e, então, Aplicar Política.

Para criar uma nova política que bloqueia o tráfego de saída para uma rede, site ou host específico, siga estas etapas:

  1. Clique na guia Política no Firestarter.
  2. Configure a opção Edição como Política de tráfego de saída.
  3. Agora, você pode selecionar Permissivo ou Restritivo. Permissivo coloca o tráfego selecionado na lista de bloqueio; se você criar uma política no modo Permissivo, estará informando ao Firestarter para evitar o tráfego de saída para qualquer coisa listada na política. Restritivo, por outro lado, bloqueia qualquer tráfego de saída exceto qualquer coisa listada na política.

    Por exemplo, se você desejar que o seu computador acesse apenas www.thisnetwork.org, selecione Restritivo. Para bloquear o acesso a www.thisnetwork.org, selecione Permissivo.

  4. Clique em Incluir Regra na parte superior da janela.
  5. Na janela Incluir nova regra de saída, insira a rede, nome do host ou endereço IP ao qual deseja impedir ou permitir o tráfego de saída (dependendo de ter selecionado Permissivo ou Restritivo na etapa anterior). Para praticar, insira thisnetwork.org
  6. Clique em Incluir.
  7. Quando for levado de volta à janela principal, clique em Aplicar Política.

Assim que você tiver feito alterações de política no Firestarter, pode bloquear o firewall clicando na guia Status e selecionando Bloquear Firewall.


Fazendo Backup e Restaurando Arquivos de Desktop

Outra etapa na proteção do seu desktop do GNU/Linux envolve o estabelecimento de um processo de backup e recuperação.

Primeiro, siga estas etapas para instalar os programas de Backup do Usuário Inicial e Recuperação do Usuário Inicial:

  1. Na barra de menus, selecione Aplicativos > Adicionar/Remover.
  2. Na parte superior da janela Adicionar/Remover Aplicativos, selecione Todos os aplicativos de Software Livre no menu suspenso Mostrar .
  3. Insira backup na caixa de procura e pressione Enter.
  4. Role até o pacote Backup do Usuário Inicial e selecione-o.
  5. Quando for perguntado se deseja instalar os aplicativos armazenados em um pacote configurável (isto se refere ao aplicativo de Restauração do Usuário Inicial), clique em Instalar Tudo.
  6. Selecione as caixas de opção Backup do Usuário Inicial e Restauração do Usuário Inicial .
  7. Clique em Aplicar Alterações (consulte a Figura 8).
    Figura 8. Instalando o Backup do Usuário Inicial e a Restauração do Usuário Inicial
    Installing backup and restore applications
  8. Clique em Aplicar na próxima janela e, então, insira sua senha e clique em OK.

Executar um backup

Após instalar os programas, você pode seguir estas etapas para executar um backup:

  1. Selecione Sistema > Administração > Backup/Restauração do Usuário Inicial.
  2. Quando o programa é ativado, você recebe a opção de fazer backup de todos os arquivos na pasta inicial ou fazer backup de uma pasta específica. A primeira vez que você executar um backup, deve selecionar a opção Todos os Arquivos .

    Subsequentemente, quando você faz alterações significativas, pode selecionar apenas as pastas específicas para fazer backup. Após ter um backup completo dos seus arquivos, executar backups seletivos é um uso mais eficiente dos seus recursos de armazenamento e computação.

  3. Especifique onde deseja salvar o arquivo de backup. É preferível fazer o backup de uma unidade de armazenamento anexada ao invés de uma pasta no computador porque ela oferece uma melhor proteção no caso de uma falha completa do sistema.
  4. Clique em Backup.
  5. O Usuário do Backup Inicial pergunta se você deseja verificar a integridade dos dados. É uma boa prática utilizar esta opção, porque terá maior confiança de que o arquivo de backup poderá ser restaurado com êxito se você precisar dele.
  6. Quando o backup for concluído, o local do backup deve conter dois arquivos denominados master-archive.dar e master-catalog.dar.

Restaurar dados

Para restaurar dados que foram armazenados em backup, siga estas etapas:

  1. Crie uma pasta de destino na qual desejar colocar os arquivos restaurados. É uma boa prática criar esta pasta no desktop.
  2. Ative o terminal.
  3. No prompt, insira: sudo dar -x /path/archive_file -R /path/targetfolder
  4. Quando solicitado, insira sua senha. O processo de restauração preenche a pasta de destino com os dados contidos em seu arquivo de backup.

Instalando Atualizações

Muitos ataques contra computadores são ativados quando um hacker mal-intencionado localiza uma vulnerabilidade no software do sistema operacional ou outra parte do software que o computador está executando. Quando o software (incluindo os sistemas operacionais) é liberado, ele sempre contém diversas vulnerabilidades que os hackers mal-intencionados podem explorar. Ao longo do tempo, os desenvolvedores de software e os especialistas de segurança localizam estas vulnerabilidades e criam correções e atualizações para o software para preencher as lacunas.

Como um usuário de computador, é essencial certificar-se de que o seu sistema operacional e software estejam atualizados. A maioria dos sistemas operacionais possuem um recurso integrado que informa quando as atualização estão disponíveis e muitas das distribuições do GNU/Linux incluem este tipo de funcionalidade.

O Ubuntu utiliza um ícone laranja na barra de menus do desktop para alertá-lo sobre novas atualizações para todos os software mantidos nos repositórios do Ubuntu. Clicar neste ícone exibe a janela Gerenciador de Atualização (consulte a Figura 9).

Na janela Gerenciador de Atualização, você pode selecionar ou desmarcar as caixas de opção para indicar quais programas deseja ou não atualizar. Então, clique em Instalar atualizações para iniciar o processo. Você é informado sobre quais alterações serão feitas e uma estimativa de quanto tempo a atualização deve levar; então, você tem a opção de cancelar a atualização ou continuar a instalar qualquer novo pacote. Se ocorrer algum erro durante a atualização, você será alertado.

Figura 9. Atualizando o sistema operacional e outro software
Software update manager

Protegendo o Bootloader com Senha

Quando você estiver utilizando o GNU/Linux, pode executar o boot do computador para alterar a senha do administrador sem precisar digitar uma senha. Isto é chamado de modo de usuário único. Esta seção mostra como proteger esse recurso com senha.

Primeiro, proteja com senha o bootloader GRUB. Se você estiver utilizando o LILO, siga estas etapas:

  1. Ative o terminal.
  2. No prompt, insira: grub
  3. Para certificar-se de não armazenar a senha que está criando em texto simples, insira: md5crypt
  4. No prompt, insira a senha que deseja utilizar para o modo de usuário único.
  5. Você então recebe uma versão criptografada da senha. Não feche esta janela do terminal – você precisará desta senha criptografada nas próximas etapas.

Edite o arquivo de configuração GRUB

Para editar o arquivo de configuração GRUB, siga estas etapas (antes de editar, você fará backup do arquivo):

  1. Abra uma nova janela do terminal.
  2. Insira o seguinte comando: sudo cp /boot/grub/menu.lst /boot/grub/menu.lst-backup
  3. Quando solicitado, insira sua senha.
  4. Insira o seguinte comando: gedit /boot/grub/menu.lst
  5. Isto o leva até o arquivo de configuração Grub. Localize a linha no arquivo onde se lê: password md5 -- e substitua a senha existente com a senha criptografada criada anteriormente nesta seção. A Listagem 1 mostra como o seu arquivo de configuração GRUB deve se parecer quando a senha tiver sido alterada.
Listagem 1. Arquivo de configuração GRUB, após a alteração da senha
# Configure um tempo limite, em SEC segundos antes de executar automaticamente o boot na
entrada padrão
# (normalmente a primeira entrada definida).
timeout        3

## hiddenmenu
# Oculta o menu por padrão (pressione ESC para consultar o menu)
hiddenmenu

# Cores atraentes
#color cyan/blue while/blue

## password ['--md5'] passwd
# Se utilizado na primeira seção do arquivo de menu, desative todos os controles de edição
# interativos (editor de entradas do menu e linha de comandos) e entradas protegidas pelo
# comando 'lock'
# por exemplo, password topsecret
#      password --md5 $1$jLhUO/$aW78kHK1QfV3P2b2znUoe/
# password topsecret

#
# exemplos
#
# título         Windows 95/98/NT/2000

Diferente do GRUB, o LILO não permite senhas criptografadas. Se você estiver utilizando o bootloader LILO, siga estas etapas:

  1. Ative o terminal.
  2. No prompt, insira: edit cat /etc/lilo.conf
  3. Quando o editor for aberto, procure a seção de senha e crie uma nova senha.

Conclusão

Este tutorial apresentou algumas ferramentas que podem ajudá-lo a proteger seu desktop do GNU/Linux. É importante observar que mesmo se você instalar todas as ferramentas disponíveis para proteger seu computador e os dados armazenados nele, você é responsável por utilizar tais ferramentas.

Configure um planejamento para verificar atualizações para o ClamAV e o rkhunter. Torne a execução destes utilitários uma prática comum em uma base semanal e sempre que você instalar novo software. Configure um planejamento de backup para seus dados, e o mais importante, fique atualizado em relação às tendências em segurança de computadores.

Recursos

Aprender

Obter produtos e tecnologias

  • Faça download de Ubuntu para uso na parte prática deste tutorial.
  • Faça download de Sun VirtualBox para criar uma máquina virtual que você pode utilizar para praticar lições neste tutorial.
  • Com o software de avaliação IBM, disponível para download diretamente do developerWorks, crie seu próximo projeto de desenvolvimento no Linux.

Discutir

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Linux
ArticleID=386616
ArticleTitle=Protegendo o Desktop do Linux
publish-date=11252008