BIND Domain Name System DNS

BIND (Berkeley Internet Name Domain) é o mais usado servidor DNS na Internet. Hoje em dia, cada distribuição Linux possui um pacote de serviços de DNS BIND.
O problema com BIND e qualquer servidor DNS é que, para ser capaz de traduzir nomes em endereços IP que tem para se comunicar com um monte de outros servidores DNS, e assim, a filtragem de pacotes de DNS não é possível. Serviços de DNS são vitais para a conexão à Internet, assim, a fim de interromper os serviços para as vítimas, os agressores têm um grande interesse em derrubar servidores DNS. Embora o BIND é bem conhecido por questões de segurança, há muitos servidores BIND vulnerável lá fora, e isso você tem que ter muito cuidado BIND execução. Uma pesquisa do servidor DNS em http://mydns.bboy.net/survey mostra a popularidade do BIND, e que ainda há uma porção de versões vulneráveis lá fora. Aqui está alguns de meus conselhos sobre o que proporcionaria um BIND mais seguro:

• Não use o pacote BIND que vem com sua distribuição de Linux; baixar as últimas do site BIND (http://www.isc.org).
• Coloque o BIND em uma jaula. Esta é a melhor coisa a fazer para se proteger contra vulnerabilidades remotamente exploráveis no BIND que permitem que os atacantes para obter uma shell no servidor executando BIND. Se você não chroot sua versão do BIND e dessa vulnerabilidade é descoberta, o seu servidor Linux e todos os dados pode estar comprometido antes de ter tempo para atualizar.
• Sempre aplicar patches e atualizar BIND sempre que é descoberto um bug ou uma nova versão sai.
• Secure transferências de zona entre primário e secundário servidores DNS usando o DNS Transaction Signatures (TSIG).
• Desativar recursão e cola de busca para se defender contra envenenamento de cache DNS.

Embora o BIND é mais popular e mais fácil de configurar, considere o uso TinyDNS, como tem provado ser mais segura ao longo dos anos.

Apache Web Server

O servidor web mais popular é o Apache, encontrada em http://www.apache.org, que teve alguns problemas de segurança no passado, se eram bugs do Apache ou add-on vulnerabilidades módulos. Aqui está alguns de meus conselhos sobre o que iria prestar um serviço mais seguro servidor Apache:

• Patch do seu servidor e tentar mantê-lo o mais atualizado possível.
• Remover todos os scripts de amostra de módulos add-on (mod_php, mod_cgi, mod_perl, etc.)
• Se estiver executando o PHP, CGI e outras linguagens de script, considere o uso suEXEC, um programa wrapper chamado pelo Apache para permitir a chamada de scripts de uma ID de usuário diferente daquele que ele usa para o Apache.
• Não permitir que os uploads de scripts em seu servidor web por entidades confiáveis.
• Leia sobre todas as vulnerabilidades de quaisquer projetos open-source que você instale, tais como fóruns PHPBB, por exemplo.
• Não execute o servidor web como root. Crie um usuário com direitos mínimos para executar o servidor web.
• Modifique o token de resposta para o seu servidor web. É difícil para um atacante para derrubá-lo quando ele ou ela não sabe o servidor web que você está executando.

Version Control Systems

Sistemas de controlo de versões oferecem ferramentas para desenvolvedores de software para trabalhar simultaneamente sobre o mesmo conjunto de arquivos e gerenciar diferentes versões do código-fonte.
Em sistemas Linux, o sistema de controle de versão mais popular é o CVS (Concurrent Versions System), usado por muitos projetos de software open-source que permitem o acesso anônimo a seus repositórios CVS via pserver o protocolo que é executado na porta TCP 2401 por padrão. Um servidor CVS com acesso remoto tem as seguintes vulnerabilidades:

• Uma pilha baseado em buffer overflow que pode ser provocado por linhas de entrada especialmente criado. Código de exploração para servidores de CVS foi publicada em listas de segurança e permite que os atacantes para executar código arbitrário no servidor CVS.
• Existem algumas vulnerabilidades na implementação de outros comandos e funções que podem ser exploradas por um usuário autenticado para causar negação de serviço ou executar código arbitrário no servidor CVS. Algumas delas podem ser exploradas por usuários anônimos.

Para se proteger contra essas vulnerabilidades, considere os seguintes passos:

• CVS update para a última versão estável. CVS pode ser encontrado em http://www.cvshome.org.
• Execute o servidor CVS em uma jaula.
• Configurar CVS para usar o protocolo SSH em vez do protocolo pserver (que envia as senhas em texto simples).
• Se você não permitir acesso anônimo ao servidor CVS, tente filtrar porta 2401 para permitir que somente os hosts confiáveis para se conectar a ele.
• Host o servidor CVS para ler apenas o acesso anônimo em um sistema autônomo.
• Execute o publicado façanhas contra os servidores de CVS.

Outro sistema de controle de versão que ganhou popularidade no Linux é subversão. Um repositório Subversion pode ser acessado remotamente através do protocolo svn. O servidor svn é executado na porta TCP 3690 por padrão e contém as seguintes vulnerabilidades:

• Uma pilha baseado em buffer overflow que pode ser explorada por atacantes não autenticado executar código arbitrário no servidor de subversão.
• Uma pilha baseado em buffer overflow que pode ser desencadeada por um especialmente criado get-data-comando svn rev. Desta forma, também um invasor não autenticado pode executar código arbitrário. Para essa vulnerabilidade, explora várias foram publicadas em listas de segurança.

Para proteger o servidor de subversão contra essas vulnerabilidades, considere os seguintes passos:

1. Atualize seu software subversão para a última versão estável em http://subversion.tigris.org/.
2. Subversão configurar para usar o WebDAV em vez do protocolo svn.
3. Se você não permitir acesso anônimo ao servidor de subversão, tente filtrar a porta TCP 3690 para permitir que somente os hosts confiáveis.
4. Execute o publicado explora o servidor contra a subversão.
5. Host do servidor a subversão para ler apenas o acesso anônimo em um sistema autônomo.

Mail Transport Agents (MTA)

E-mail é um dos serviços mais populares na Internet e para uma empresa é um serviço vital em quase todos os departamentos. SMTP (Send Mail Transfer Protocol) é um dos mais antigos protocolos da Internet e que é utilizado pelo MTA para enviar e-mail do remetente para os destinatários. SMTP escuta na porta TCP 25 por padrão, e se ele é usado para receber e-mails de qualquer endereço de e-mail na internet, não deve ser filtrada.
O MTA mais populares para Linux é o Sendmail, que tinha um monte de questões de segurança, incluindo saturações de buffer que poderia ser explorada remotamente para comprometer o servidor MTA. Alternativas populares são a Sendmail Postfix, Qmail, Exim e Courier-MTA.
Problemas mais popular MTAs 'são as seguintes:

• Vulnerabilidades como estouros de buffer, estouro de pilha, etc, que podem ser usados por atacantes remotos ou locais para comprometer o servidor com o MTA.
• Missconfiguration do MTA permitindo que todos usá-lo para o envio de e-mail. Isso é chamado de retransmissão aberta. MTAs missconfigured como relays abertos imediatamente cair nas mãos dos spammers, que pode causar grandes prejuízos para sua empresa por ter o seu servidor de e-mail em um dos servidores de e-mail muitas listas negras, além do fato de que todo o Spam consome sua banda. Você pode verificar o servidor de correio para ver se ele é um retransmissor aberto na http://www.abuse.net/relay.html, Que executa um conjunto de testes para ver se há alguma maneira para que um spammer usar seu servidor de e-mail para enviar e-mail a outras pessoas.
• Manual de vulnerabilidades em conta a divulgação de dados.

---

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "BIND Domain Name System DNS" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.

---