Faq 0006 - Segurança mínima em computadores com IP fixo e sistema operacional Linux/Unix
Para evitar o risco de tornar a rede do IQ vulnerável, a Comissão de Informática definiu alguns procedimentos mínimos de segurança

Os administradores das máquinas com IP fixo e que tiverem sistema operacional Linux/Unix, devem providenciar a configuração mínima de segurança, conforme descrito:

1. O serviço de mail deve ser desativado (ou não deve ser instalado).
2. Editar o arquivo /etc/hosts.deny com qualquer editor de textos do Unix. Aconselhamos que todo o acesso por telnet, ou ftp ou qualquer serviço do protocolo TCP/IP seja bloqueado para todas as maquinas e que sejam abertos acessos para determinadas maquinas - do mesmo laboratório por exemplo. Os arquivos ficariam assim:

- Hosts.deny
ALL:ALL

- Hosts.allow
all:143.107.46.101
all:143.107.52.14

No exemplo acima, os acessos para serviços como telnet e/ou ftp estão bloqueados para todas as maquinas exceto para as maquinas cujo IP esta indicado no arquivo hosts.allow.
Esclarecemos que os modelos acima são apenas exemplos e que varias combinações de permissão de acesso podem ser feitas; a descrita acima reflete um bom estado de segurança.
Além disso, o arquivo /etc/inetd.conf deve ser editado e todos os serviços não utilizados DEVEM ser comentados para que não sejam inicializados e para que não tornem sua maquina vulnerável.

Por exemplo:

--------------------------------------------------------------------------------------------------------------------------------------
#
# inetd.conf This file describes the services that will be available
# through the INETD TCP/IP super server. To re-configure
# the running INETD process, edit this file, then send the
# INETD process a SIGHUP signal.
#
# Version: @(#)/etc/inetd.conf 3.10 05/27/93
#
# Authors: Original taken from BSD UNIX 4.3/TAHOE.
# Fred N. van Kempen,
#
# Modified for Debian Linux by Ian A. Murdock
#
# Modified for RHS Linux by Marc Ewing
#
#
#
# Echo, discard, daytime, and chargen are used primarily for testing.
#
# To re-read this file after changes, just do a 'killall -HUP inetd'
#
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
#time stream tcp nowait root internal
#time dgram udp wait root internal
#
# These are standard services.
#
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#
# Shell, login, exec, comsat and talk are BSD protocols.
#
#shell stream tcp nowait root /usr/sbin/tcpd in.rshd
#login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#comsat dgram udp wait root /usr/sbin/tcpd in.comsat
#talk dgram udp wait root /usr/sbin/tcpd in.talkd
#ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
#dtalk stream tcp waut nobody /usr/sbin/tcpd in.dtalkd
#
# Pop and imap mail services et al
#
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd
#
# The Internet UUCP service.
#
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l
#
# Tftp service is provided primarily for booting. Most sites
# run this only on machines acting as "boot servers." Do not uncomment
# this unless you *need* it.
#
#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd
#bootps dgram udp wait root /usr/sbin/tcpd bootpd
#
# Finger, systat and netstat give out user information which may be
# valuable to potential "system crackers." Many sites choose to disable
# some or all of these services to improve security.
#
#finger stream tcp nowait root /usr/sbin/tcpd in.fingerd
#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd
#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
#
# Authentication
#
#auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -o
#
# End of inetd.conf

conteúdo: pontmar @ iq.usp.br