On Tuesday 20 March 2001 13:30, Wagner Klein da Silva wrote:
> On Tue, 20 Mar 2001, Ronaldo Reis Jr. wrote:
> > Mas e o usuario Desktop? Como fica na quest?o de seguran?a, ser? que
> > o cara tera que se transformar em um administrador de sistemas
> > tamb?m?
>
> O usuario TEM que deixar de ser leigo e aprender algumas coisas
> basicas. Querer fazer sistemas para "completos idiotas" so' se for
> para aplicacoes especificas e controladas, senao resulta em uma
> sucessao de ataques. Veja o que acontece com o Win*.
Hum, nao eh bem assim. Veja bem (tm), a partir do momento em que vc
disponibiliza uma série de servicos e recursos no sistema operacional, todos
esses sao falhas de seguranca em potencial. Isso tanto pode ser o ActiveX e
as macros do Word no ambiente Windows como o bind bugado e o sendmail com
kernel < 2.2.16 em ambiente Linux. Acho que aqui nao há lugar para
comparacoes Windows/Linux já que os dois provêem uma série de recursos que
podem ser explorados por crackers da mesma forma se mal configurados. Eu acho
que se vc quiser oferecer um sistema de completa seguranca, vc terá que
reduzir o sistema operacional ao mínimo possivel, eliminando qualquer forma
de multitarefa, multiuser, acesso remoto, portas escutando qualquer coisa,
como no Mac. Vc termina com um ambiente inferior, mas esse eh o preco que se
paga por seguranca total.
Mas nao é preciso seguir esse caminho se vc decidir investir em ambientes de
trabalho distribuidos, centralizando as responsabilidades de seguranca para
um conjunto unico de maquinas, e reduzindo-se os clientes ao minimo para
execucao remota dos aplicativos somente. Vc tanto reduz o raio de acao dos
crackers como reduz os recursos (e falhas de seguranca em potencial) dos
clientes, mantendo a mesma funcionalidade a um custo minimo. E nao eh preciso
deixar de se usar Linux pra isso. Eu acho que esse eh o caminho a seguir no
caso de empresas, mas infelizmente isso nao se aplica aos usuarios domesticos
que sao o foco da thread, jah q hoje em dia a frequencia do clock do PC é o
equivalente digital do tamanho do celular, só que em sentido inverso. Tem
gente que tem uma estranha compulsao em comprar o hardware mais poderoso
possivel, mesmo que seja soh para rodar Word e Excel.
O simples fato de incluir bind, sendmail, telnetd e outros numa distribuicao
para usuarios comuns já eh uma falha de seguranca esperando para ser
explorada. Lembre-se de uma das máximas do BOFH: O usuário é uma completa
zebra até prova em contrário.
> O Linux permite melhor controle do administrador sobre o sistema e
> sobre o que o usuario pode ou nao fazer em sua maquina, e isso reduz
> muito as possibilidades e as consequencias de uma invasao.
No caso do bug do bind isso nao ajuda muito, assim como nos N virus para
Windows. E eu sou da opiniao que, se mal configurado o Linux é muito mais
inseguro do que o Windows. Bem configurado sao outros 500.
> As coisas tendem a melhorar no Desktop do Linux, cada vez mais as
> distribuicoes estao adotando esquemas de maior seguranca, esquemas de
> atualizacao automatica, respostas rapidas aos problemas encontrados,
> etc.
As ultimas versoes do Mandrake tem algo interessante que eh a integracao
total do kdesu com o desktop. Se o usuario precisa instalar algum programa,
ele nao precisa estar logado como root nem abrir um terminal. Basta clicar no
arquivo no Konqueror, uma janela aparece pedindo a senha de root, o programa
instala-se e fecha a sessao su. Nada de abrir terminal, ir para o prompt,
instalar o programa via linha de comando, passar pelo risco de um rm -rf /. E
perfis de seguranca na instalacao tb, do minimo ao paranoico. Mas
infelizmente algumas distribuicoes costumam logo de cara habilitar nfs,
portmap, sendmail, squid e o escambau na maquina do sujeito que soh quer
instalar o Linux para ver como eh. Se nao causar mah impressao por alguma
eventual invasao, causarah pela perda de performance.
--
Thiago Pimentel
Preview Tecnologia
Lei de Gates: A cada 18 meses, a velocidade do software cai pela metade.
Assinantes em 21/03/2001: 2189
Mensagens recebidas desde 07/01/1999: 104729
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
