Capítulo 13 Segurança

13.1. O BIND (named) está escutando na porta 53 e em outras portas elevadas. O que está havendo?
13.2. O Sendmail está ouvindo na porta 587 além da tradicional porta 25! O que está havendo?
13.3. O que é a conta do usuário toor que tem UID 0? Meu sistema foi comprometido?
13.4. Por que o suidperl não está funcionando corretamente?

13.1. O BIND (named) está escutando na porta 53 e em outras portas elevadas. O que está havendo?

O FreeBSD, a partir da versão 3.0, utiliza portas não privilegiadas e elevadas, aleatoriamente, para responder à requisições de DNS. Se a intenção é usar a porta 53 para responder a estas requisições, para adequar o comportamento do BIND à um firewall ou apenas para sentir-se melhor, experimente acrescentar a instruçõo abaixo no arquivo /etc/namedb/named.conf:

options {
            query-source address * port 53;
            };

O * deve ser substituído por um endereço IP único, caso se deseje restringir ainda mais este comportamento.

De qualquer forma, parabéns. É uma pratica saudável verificar registros não usuais no conteúdo de saída do sockstat(1)

13.2. O Sendmail está ouvindo na porta 587 além da tradicional porta 25! O que está havendo?

As versões mais novas do Sendmail tem suporte à uma característica que se chama Mail Submission, que ouve na porta 587. Esse serviço não é completamente suportado ainda, mas sua popularidade vem crescendo.

13.3. O que é a conta do usuário toor que tem UID 0? Meu sistema foi comprometido?

Não se preocupe. O usuário toor é uma conta “alternativa” com poderes de super usuário (toor é root escrito ao contrário). Normalmente esse usuário era criado quando o interpretador de comandos bash(1) era instalado, mas agora o usuário existe por padrão no sistema. A intenção é que o usuário seja usado com um interpretador de comandos fora do padrão, de forma que o ambiente de linha de comando do usuário root não tenha que ser alterada. Essa é uma situação importante quando nos referimos à interpretadores de comandos que não fazem parte da base do sistema operacional (por exemplo, que foram instaladas do Ports ou como pacotes, já que normalmente, elas são instaladas sob o /usr/local/bin que por padrão está em um sistema de arquivos diferente da raiz do sistema. Em uma situação onde o interpretador de comandos do usuário estiver sob /usr/local/bin ou sob /usr (ou onde quer que seja) e esse sistema de arquivos não puder ser montado por alguma razão, o usuário root estará impossibilitado de se logar no sistema para corrigir o problema (contudo, ao entrar em modo mono tarefa, o sistema pede o caminho completo para algum interpretador de comandos.

Alguns administradores costumam usar o toor para tarefas do dia-a-dia, com um interpretador de comandos (shell) não comum, e deixando o root com seu interpretador de comandos (shell) padrão para realizar tarefas de emergência ou de modo mono usuário. Por padrão, o usuário toor não pode ser usado, já que ele não tem uma senha definida. Para habilitar a conta, logue-se como root no sistema e defina uma senha para o toor.

13.4. Por que o suidperl não está funcionando corretamente?

Por motivos de segurança, a instalação padrão do suidperl não tem o bit suid definido. Os administradores de sistemas podem reaver o comportamento esperado com o seguinte comando:

# chmod u+s /usr/bin/suidperl

Se a intenção é que o suidperl seja compilado com suid durante as atualizações do sistema, edite o /etc/make.conf e adicione a linha ENABLE_SUIDPERL=true no arquivo, antes de começar um make buildworld.

Este, e outros documentos, podem ser obtidos em ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

Para perguntas sobre FreeBSD, leia a documentação antes de contatar <[email protected]>.
Para perguntas sobre esta documentação, envie e-mail para <[email protected]>.