4.2 - Chroot
Esse é um recurso presente em sistemas Unix, no qual um determinado processo do sistema enxerga apenas uma subárvore do sistema operacional. Dessa forma, o processo não será capaz de ler, gravar ou executar arquivos fora desta subárvore. Assim como o usuário sem privilégios, o chroot é utilizado por diversos serviços. Normalmente a própria distribuição possui pacotes que instalam o serviço com o recurso.
|
Configurar um serviço para rodar com esse recurso pode ser uma tarefa complicada, pois deverão ser previstos todos os recursos que o serviço necessita utilizar, de modo que eles devem estar em um diretório acessível, dentro da árvore ao qual o processo foi “empacotado”.
|
No caso do Debian, procura-se a existência de versão chroot para o serviço a ser instalado, como no exemplo abaixo para um servidor web (Apache):
libapache2-mod-chroot - run Apache in a secure chroot environment
mod-chroot-common - run Apache in a secure chroot environment
4.3 – Desabilitar Funcionalidades Desnecessárias
Muitos serviços possuem recursos adicionais, como plugins, que podem não ser necessários para o funcionamento do servidor a ser configurado. Dessa forma, o administrador deve analisar cuidadosamente os arquivos de configuração do serviço, de modo a desabilitar qualquer recurso que seja indesejado. Essa tarefa também não é simples e depende da experiência do administrador em um determinado serviço. Quanto menos recursos o serviço oferecer, mais seguro ele será. O difícil é achar o equilíbrio.
Um exemplo de funcionalidade desnecessária seria um servidor www Apache instalado com suporte a PHP, caso não existam scripts em PHP sendo utilizados, eles podem perfeitamente ser desabilitados.