Oficina Instalação do Servidor Pimentalab
No dia 09/10 foi realizada uma oficina de instalação do servidor Pimentalab. Na ocasião acompanhamos a instalação feita pelo tecnoativista Marcelo Tech.
De acordo com o projeto original “[…] construção do sistema de informação e plataforma web com servidor autônomo em funcionamento (sempre com software livre).” Um dos objetivos do servidor seria funcionar em apoio a uma rede de blogs de grupos de pesquisa.
Para a instalação optamos por algumas configurações a fim de minimizar os riscos relativos à segurança do servidor:
Gerenciador de Volume Lógico
O LVM[1] (Logical Volume Manager), ou Gerenciador de Volume Lógico, permite que o disco rígido (HD) seja redimensionado com facilidade. Com o LVM é possível criar partições lógicas que se estendem pelos volumes físicos, portanto, as partições não ficam limitadas pelo tamanho dos discos individuais, mas sim por um volume cumulativo. Posteriormente é possível adicionar um disco para redimensionar as partições. para mais informações acesse aqui.
Na instalação do Debian é possível escolher a opção de LMV criptografado. A opção “para iniciantes” cria apenas uma partição para o diretório /home, mas é possível configurar manualmente o LVM criptografado. A dica para o o LVM criptografado manualmente é primeiro criar uma partição para o /boot (que não pode ser criptografada), depois criar a criptografia para o restante do hd e por último configurar o LVM.
Criptografia de Disco
A criptografia de disco serve para proteger os dados no caso de roubo ou perda do computador ou disco rígido. O padrão de criptografia utilizada na instalação do linux é AES[2] com chave de 256 bits, ou seja, um algoritmo de chave simétrica[3] onde existe apenas uma chave (senha) para as operações de cifragem e decifragem.
Para se quebrar uma chave de segurança desse tipo de criptografia, um ataque comum de força bruta (programas testam por palavras de dicionário) demoraria alguns milhões de anos se a senha for bem configurada: acima de 25 caracteres, com letras e números, maiúsculas e minúsculas e caracteres especiais. Um caso bem conhecido de tentativa de quebrar senhas de criptografia foi o que envolveu o FBI e os discos rígidos de Daniel Dantas, preso na operação Satiagraha da Polícia Federal em 2008.
Bootless
“Bootless é uma integração tecnológica que permite um computador criptografado a permanecer sem gerenciador de partida (bootloader), de modo que grampos em software sejam difíceis de serem instalados. O Bootless é um gerenciador de partida em software livre instalado numa mídia removível e utilizado para inicializar computadores. É baseado no git-annex e no GNU Grub. É previsto suporte inicial para o sistema operacional Debian. O Bootless atualmente usa a Hydra Suite.”[4]
Tipos de ataque à criptografia
Quando um sistema operacional é instalado, o boot é inserido na MBR (Master Boot Record) o primeiro setor de um hd, onde também se localiza a tabela de partições. O boot do computador é o primeiro processo responsável para iniciar o sistema operacional, e portanto, não pode ser criptografado.
Se uma pessoa tiver acesso físico ao computador ela poderá se utilizar dessa vulnerabilidade de arquitetura dos computadores. Uma técnica, conhecida como Evil Made Attack[5], pode ser utilizada para infectar o carregador do True Crypt (software utilizado para criptografia de disco na instalação do linux). Utilizando o bootless, minimizaria os riscos de alguém que tiver acesso físico ao servidor inserir um backdoor[6] no sistema.
Cultura de Segurança
Além dessas possibilidades de implementação de segurança, um sistema seguro é um sistema atualizado. Isso minimiza os riscos de ataque através de vulnerabilidades de software. Para sistemas GNU/Linux existe o manual de segurança do Debian[7] bem interessante, onde é possível conhecer algumas ferramentas úteis para auditoria do sistema.
Referências
- [1] Instalando o Linux com LVM – http://www.hardware.com.br/artigos/linux-lvm/
- [2] AES (Advanced Encryption Standart) https://pt.wikipedia.org/wiki/Advanced_Encryption_Standard
- [3] Algoritmo de chave simetrica – https://pt.wikipedia.org/wiki/Algoritmo_de_chave_sim%C3%A9trica
- [4] Bootless – https://bootless.sarava.org/index.pt/
- [5] Evil Maide Attack – http://sseguranca.blogspot.com.br/2010/02/evil-maid-attack-ataque-ao-truecrypt.html
- [6] Backdoor – https://pt.wikipedia.org/wiki/Backdoor
- [7] Securing Debian Manual – https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-tools.pt-br.html
Mais informações
-
Como instalar um servidor Linux com Debian 7.0 Wheezy – http://www.servidordebian.org/pt/start
-
Padrão Saravá https://padrao.sarava.org/rescue/
-
Servidores Linux – Guia Prático http://www.hardware.com.br/livros/servidores-linux/