03/05/2019 Passo a passo completo para manter um sistema Linux seguro - Linux Descomplicado

ADMINISTRADORES DE REDE, DICAS, SEGURANÇA

Passo a passo completo para manter um

sistema Linux seguro
Ricardo Ferreira Costa 8 De Setembro De 2015 1 Comentário

Recentemente, a Linux Foundation divulgou um checklist completo com um conjunto

de diretrizes para ajudar profissionais de TI e usuários, que usam o Linux como
estação de…

Recentemente, a Linux Foundation divulgou um checklist completocom um conjunto de

diretrizes para ajudar profissionais de TI e usuários, que usam o Linux como estação de

trabalho, a manter a segurança do sistema e reduzir o risco de um ataque. Em resumo,

esse material é destinado para você que está usando um sistema Linux agora ou deseja

usá-lo algum dia. Portanto, para facilitar seu entendimento, este artigo está organizado
seguindo uma ordem cronológica que vai desde o momento que antecede o boot da
máquina e escolha da distro Linux ao uso rotineiro do sistema.

O QUE ESSE MATERIAL NÃO GARANTE?

https://www.linuxdescomplicado.com.br/2015/09/sistema-linux-seguro-passo-a-passo.html 1/7
03/05/2019 Passo a passo completo para manter um sistema Linux seguro - Linux Descomplicado

O checkList, divulgado pela Linux Foundation, não visa detalhar procedimentos de

segurança em sistemas Linux; mas sim uma tentativa de oferecer um conjunto de
recomendações básicas para evitar que você cometa erros comuns que atinjam
a segurança do sistema. Em resumo, são diretrizes com um conjunto básico de regras de

segurança fundamentais para um bom uso do sistema.

RECOMENDO QUE LEIA: TOP 11 ferramentas de segurança de redes para Linux Saiba
como aumentar a segurança dos sistemas Linux configurando políticas de senhas

ESTRUTURA
O material divulgado pela Linux Foundation abrange vários níveis de criticidade que
poderão lhe ajudar a decidir se usará ou não determina medida de segurança. Entre os
quais, são:

1. ESSENCIAL – medidas que devem ser consideradas. Senão implementadas, podem

oferecer alto risco de segurança;

2. MODERADA – medidas que aumentarão a segurança do sistema. Contudo, podem

ser analisadas com mais cautela, pois vão afetar a forma como você interage com seu
ambiente de trabalho, e, provavelmente, exigirá aprendizados de novos hábitos ou
desaprendizados de velhos;

3. PARANOIA

Neste último caso, são recomendações para melhorar consideravelmente a segurança,

mas também exigem um trabalho de alta adaptação ao interagir com o sistema. Em
resumo, requer um nível maior de entendimento do sistema.

Em geral, o material oferece um equilíbrio entre a segurança e facilidade de uso!

https://www.linuxdescomplicado.com.br/2015/09/sistema-linux-seguro-passo-a-passo.html 2/7
03/05/2019 Passo a passo completo para manter um sistema Linux seguro - Linux Descomplicado

PASSO A PASSO COMPLETO

1 – Escolha do Hardware

SecureBoot
Nível de criticidade: ESSENCIAL

Apesar de sua natureza controversa, o SecureBoot oferece prevenção contra muitos

ataques a estações de trabalho; tais como: Rootkits, “Evil Maid” – bootkit que altera o
booter loader, etc. O uso do SecureBoot não vai evitar um ataque bem elaborado ou
predestinado, mas ter SecureBoot garante uma camada à mais de segurança.

Sem suporte Firewire, thunderbolt ou ExpressCard ports

2 – Antes do boot

UEFI mode habilitado - (não Legacy BIOS)

Nível de criticidade: ESSENCIAL

UEFI, mesmo com todas as suas questões, oferece uma grande quantidade de
recursos que o modo Legacy BIOS não, tais como: SecureBoot. A maioria dos sistemas
modernos vêm com o modo de UEFI ativado por padrão.

Senha para acessar configurações da UEFI

3 – Escolha da distro

SELinux/AppArmor/GrSecurity
Nível de criticidade: ESSENCIAL

https://www.linuxdescomplicado.com.br/2015/09/sistema-linux-seguro-passo-a-passo.html 3/7
03/05/2019 Passo a passo completo para manter um sistema Linux seguro - Linux Descomplicado

Mandatory Access Controls (MAC) ou Role-Based Access Controls (RBAC) são uma
extensão do mecanismo de segurança do usuário / grupo básico utilizado em sistemas de

legado POSIX. A maioria das distribuições nos dias de hoje ou já vêm junto com uma
implementação MAC / RBAC (Fedora, Ubuntu), ou fornece um mecanismo para adicioná-

lo através de uma etapa pós-instalação opcional (Gentoo, Arch, Debian). Obviamente, é

altamente recomendado que você adquira uma distribuição que vem pré-configurado com
um sistema MAC / RBAC. Contudo, se você tem apreço sobre uma distribuição que não

tem um habilitado por padrão, planeje-se configurar após a instalação do sistema.

Distribuições que não oferecem quaisquer mecanismos MAC / RBAC devem ser evitadas!!

Boletins de segurança periódicos

Fornecer correções de segurança em tempo hábil
Suporte a UEFI e SecureBoot

4 – Pós-instalação

Firewall habilitado
Nível de criticidade: ESSENCIAL

Por que resolvi trocar o Ubuntu LTS pelo OpenSUSE Tumbleweed?

Atualização de sistema automática

Utilização de um IDS

5 – Rotina de backup

Armazenamento secundário - external storage

Nível de criticidade: ESSENCIAL

https://www.linuxdescomplicado.com.br/2015/09/sistema-linux-seguro-passo-a-passo.html 4/7
03/05/2019 Passo a passo completo para manter um sistema Linux seguro - Linux Descomplicado

É útil ter um disco rígido externo, onde se pode despejar backups completos sem ter que

se preocupar com tais coisas como largura de banda e velocidades de upload. Não
somente enviar dados para o armazenamento secundário, mas é preciso armazená-los

criptografados usando uma ferramenta de backup que cria backups criptografados,

como Duplicty.

Também, é interessante criar um ponto de restauração no seu sistema Linux.

Conheça algumas maneiras para restaurar seu sistema Linux em caso de

falhas

6 – Boas práticas

Usar 2 diferentes browsers

Nível de criticidade: ESSENCIAL

Usando dois browsers diferentes, uma para o trabalho / locais de alta segurança, e outra
para tudo o resto vai ajudar a evitar compromissos menores de dar atacantes acesso a

todo os cookies salvos. O principal inconveniente será a quantidade de memória

consumida por dois processos diferentes do navegador.

É recomendado o uso do Firefox para alta segurança e Chrome/Chromium para todas as

outras. No Firefox, você deve instalar os seguintes add-ons:

NoScript

Privacy Badger

HTTPS Everywhere

Certificate Patrol

Os melhores navegadores web para Linux

https://www.linuxdescomplicado.com.br/2015/09/sistema-linux-seguro-passo-a-passo.html 5/7
03/05/2019 Passo a passo completo para manter um sistema Linux seguro - Linux Descomplicado

Usar 2 diferentes browsers - 1 em uma VM

Usar VM para cada tarefa

7 – Gerenciamento de senhas

Uso de um gerenciador de senhas

Nível de criticidade: ESSENCIAL

Uso do software Keepass, por exemplo.

Saiba como gerenciar/administrar suas senhas pela linha de comando no

Linux

3 Ferramentas para geração de senhas aleatórias no Linux

Se você quiser mais informações sobre o assunto ou deseja apenas conhecer as

políticas de TI da Linux Foundation, você pode ver a lista completa no GitHub.

ONDE ENCONTREI?
La Fundación Linux publica un checklist de seguridad para administradores de
sistemas

Publicidade

Curso Online

LINUX: DICAS E TRUQUES

https://www.linuxdescomplicado.com.br/2015/09/sistema-linux-seguro-passo-a-passo.html 6/7
03/05/2019 Passo a passo completo para manter um sistema Linux seguro - Linux Descomplicado

O melhor de tudo que já foi publicado no portal Dicas-L, que completa 22 anos em

2019. Além disto, o curso conta também com vários artigos sobre programação

Bash do Prof. Julio Neves.

Saiba mais

Linux Foundation Sysadmins Open-Source Their IT Policies

https://www.linuxdescomplicado.com.br/2015/09/sistema-linux-seguro-passo-a-passo.html 7/7