4.5. Serviços de Rede Disponíveis

Enquanto o acessso a controles administrativos é uma questão importante para administradores de sistema dentro de uma empresa, manter controle de quais serviços de rede estão ativos é de suma importância para qualquer um que instalar e operar um sistema Linux.

Muitos serviços comportam-se como servidores de rede sob o Red Hat Enterprise Linux. Se um serviço de rede estiver rodando em uma máquina, então uma aplicação de servidor chamada daemon está escutando conexões em uma ou mais portas de rede. Cada um destes servidores deve ser tratado como uma via potencial de ataque.

4.5.1. Riscos aos Serviços

Serviços de rede podem apresentar muitos riscos a sistemas Linux. Veja abaixo uma lista com as principais questões:

Para limitar a exposição a ataques através da rede, todos os serviços não utilizados devem ser desligados.

4.5.2. Identificando e Configurando Serviços

Para aumentar a segurança, a maioria dos serviços instalados com o Red Hat Enterprise Linux são desligados por default. No entanto, há algumas exceções notáveis:

Ao determinar se estes serviços devem ou não ser deixados rodando, é melhor usar bom senso e pecar pela precaução. Por exemplo: se uma impressora não está disponível, não deixe o cupsd rodando. O mesmo vale para o portmap. Se você não monta volumes NFS ou usa o NIS (o serviço ypbind), então o portmap deve ser desativado.

O Red Hat Enterprise Linux é distribuído com três programas desenvolvidos para ligar e desligar serviços. Eles são: Ferramenta de Configuração dos Serviços (redhat-config-services), ntsysv e chkconfig. Para informações sobre o uso destas ferramentas, consulte o capítulo Controlando Acesso aos Serviços do Guia de Administração de Sistemas do Red Hat Enterprise Linux.

Figura 4-3. Ferramenta de Configuração dos Serviços

Se você não está certo sobre o propósito de um serviço específico, a Ferramenta de Configuração dos Serviços tem um campo de descrição, ilustrado na Figura 4-3, que pode lhe ser útil.

Mas verificar quais serviços de rede estão disponíveis para iniciar no momento de ligar a máquina (boot) não é suficiente. Bons administradores de sistema também devem verificar quais portas estão abertas e escutando. Veja a Seção 5.8 para mais detalhes sobre o assunto.

4.5.3. Serviços Inseguros

Potencialmente, qualquer rede é insegura. Por este motivo, desligar serviços não usados é tão importante. Exploits de serviços são revelados e consertados rotineiramente. Portanto é importante manter atualizados os pacotes associados a qualquer serviço de rede. Veja o Capítulo 3 para mais detalhes sobre este assunto.

Alguns protocolos de rede são essencialmente mais inseguros que outros. Estes incluem quaisquer serviços que façam o seguinte:

Exemplos de serviços essencialmente inseguros incluem os seguintes:

Todos os programas de login e shell (rlogin, rsh e telnet) devem ser evitados em favor do SSH. (Veja a Seção 4.7 para mais informações sobre o sshd).

O FTP não é essencialmente tão perigoso à segurança do sistema quanto janelas de comando (shells) remotas, mas os servidores FTP devem ser configurados e monitorados cuidadosamente para evitar problemas. Veja a Seção 5.6 para mais informações sobre a proteção de servidores FTP.

Serviços que devem ser implementados cuidadosamente e por trás de um firewall incluem os seguintes:

Você pode consultar mais informações sobre a proteção de serviços de rede em Capítulo 5.

A próxima seção aborda as ferramentas disponíveis para configurar um firewall simples.