3 - Pacotes e programas

Desabilitar os serviços de rede desnecessários reduz a superfície de ataque ao servidor, que em combinação com regras de filtragem no firewall, proveem uma boa camada de proteção. Apesar disso, um atacante pode ainda conseguir comprometer um serviço válido e obter acesso ao servidor comprometido.
Esse fato pode possibilitar ao atacante obter acesso de administrador ou ainda comprometer outros servidores na rede. Para reduzir o que um atacante é capaz de fazer no servidor, este deve possuir um conjunto mínimo de pacotes.

Deixe para desabilitar pacotes ao final da configuração do servidor, pois você pode precisar deles para alguma tarefa administrativa. Em especial, pacotes que proveem ferramentas para o atacante tentar comprometer outros sistemas.

A lista a seguir sugere alguns pacotes para serem desabilitados:

  1. Compiladores de linguagens (gcc, g++ e javac);
  2. Pacotes de monitoramento de conexões de rede (TCPdump, Nmap e netcat);
  3. Pacotes de produtividade (editores de texto e planilhas de cálculo), pois um servidor não deve ser usado como estação de trabalho;
  4. Ambiente gráfico (X11). Devem ser utilizados os ambientes gráficos das estações para realizar tarefas de configuração. Muitos serviços possuem ambientes de configuração web ou aplicações cliente-servidor, de modo que não é necessário manter o ambiente gráfico instalado. Caso seja indispensável, considere filtrar as portas do XWindows (X11) no seu firewall de borda;
  5. Serviços de rede não criptografados (Telnet, pop3 e Imap). Dê preferência sempre a serviços criptografados (SSH, SFTP, pop3s e imaps). O SSH - Secure Shell - é um serviço criptografado que surgiu para substituir serviços inseguros como o scp, rsh, rcopy e telnet;
Copyright © 2016 AIEC.