Amanda Santini

TÓPICO ATUALIZADO 05/06/2015. Motivo = Regras para a Steam adicionadas TÓPICO ATUALIZADO 08/06/2015. Motivo = Regra para o KMail adicionada

Esses plugins "protetores" são uma *****, ainda por cima a maioria é em Java Que piada. Me recuso a usar qualquer programa vindo de bancos/governos. Alguém sabe a lista de arquivos que esse programa instala? Internet Banking só em Live-CD. É muita mão, e os bancos são burros e ineficientes em providenciar ferramentas seguras e eficazes.

Eu poderia criar um tópico sobre firewalls e aplicativos de bancos, acho que esse assunto não se encaixa nesse tópico. Mas para iniciantes basta usar o GUFW para bloquear a entrada e permitir tudo de saída. Só lembrando: não confiem em bancos, nem empresas, nem agências do governo. Tudo que for código fechado deve ser executado em um ambiente separado, de preferência em um computador só para esse tipo de aplicações.

Exato Primeiro se bloqueia tudo. Depois abre-se o que precisa. Depois nega-se tudo que não foi especificado. As regras para aplicativos devem estar no meio dessas 3 etapas.

Eu fiz alguns testes, e mesmo estando obsoletas elas funcionam Além de serem mais fáceis de se lidar. Mas você pode usar o ctstate se quiser, ex: # iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Como você vai botar tal regra depois de dizer pro firewall bloquear tudo lá no final? hehehehe. Você pode botar ela entre a abertura do DNS e a frase "NEGANDO TUDO QUE NÃO SE ENCAIXA NAS REGRAS ACIMA".

@ilkyest, ótima pergunta. No caso da Steam, por exemplo, ela usa algumas portas UDP, de 27000 até a 27015, então fica: iptables -A OUTPUT -p udp --dport 27000:27015 -j ACCEPT Além do UDP acima a Steam também precisa de certas portas TCP, como: iptables -A OUTPUT -p tcp --dport 27014:27050 -j ACCEPT Então para especificar para o Firewall que você quer abrir de uma porta até outra basta separar a porta de início e a porta de fim com dois pontos. Lembre-se que a ORDEM em que você coloca as regras é importante, então não ponha tais regras antes dos bloqueios, e nem depois

Interessante! Se for verdade mesmo então isso é novidade, "antigamente" mesmo com um DVD você não poderia fazer o upgrade de 32 para 64 bit.

Não, o Windows 10 só será de graça para quem tiver o Windows 7 ou 8 originais. Se você instalar o Windows 10 x86_64 TP você terá que comprar uma licença para ele quando a versão Final sair.

Não, pois é impossível trocar/fazer upgrade de um sistem x86 para um x86_64.

Me manda uma cópia do original, de preferência assinada, assim eu vejo e te respondo! eheheh

Isso acontecia comigo quando meu HD tava morrendo, e com Linux realmente trava menos. Mas vai chegar uma hora que seu HD vai pifar de vez. MAS, pra termos certeza, abra o Dash e pesquise por "Disco", e abra o "Utilitario de unidade" (ou algo assim). Faça um scan SMART completo (pode levar horas).

@PMantis13 A VALVe, talvez a primeira empresa grande e com jogos AAA a entrar no mundo Linux e revolucionar "os esquema" hehehe. Mas ultimamente não estou jogando nada, estou somente usando software GPL. O problema é que eu preciso dos drivers proprietários da AMD pois trabalho com o Blender (modelagem 3D), sendo assim talvez eu volte a instalar a Steam também.

Logicamente que me importo com a compatibilidade com meu sistema, afinal sem ela não posso aproveitar tudo de bom que a Rockstar tem

Não que essa escolha esteja em suas mãos, mas já decidi isso há alguns meses E eu nunca disse o contrário. Não estou denegrindo, apenas disse o porque de eu não dar suporte a ela.

1 - Mas isso é o básico do básico de qualquer empresa que presta, né? 2 - Voltar ao item 1 3 - 12115 DLC's pela Rockstar? Acho que não, mas pela comunidade. Mas claro, a Rockstar está de parabéns por não vender DLC's. 4 - Nada de mais nisso. 5 - Legal! Mas novamente, isso não é muito. A EA, que foi por vários anos a pior empresa dos EUA, dá jogos por conta da casa. Umas empresas tem pontos bons de um lado, e ruins de outro. 6 - Legal. 7 - Novamente legal, mas como eu disse, isso pra mim significa bulhufas, pouco me importo se ela tem todas essas qualidades. Se não posso jogar o jogo dela, isso tudo pra mim não importa, e por isso eu escolhi não suportar essa empresa.

Bem vindo a Era do DRM. Não sei como sustentam empresas como a RockStar

A informação de que TODOS os motores de busca rastreiam usuários é falsa. O DuckDuckGo, por exemplo, não rastreia. E nem a StartPage. Quanto ao Facebook: como diria o próprio Mark (criador): "Eles confiam em mim, esses otários de *****". Os usuários de Windows, Facebook, SmartPhones, Flash Player, Google, Yahoo, etc, deveriam buscar conhecer mais essas empresas. A informação de que "não importa o navegador que usares, estará sendo monitorado" também é falsa. Até mesmo o Firefox, que vem com o Google por padrão e que recebe um cookie do Google por padrão, pode ser usado sem receber esse cookie na primeira vez que é aberto, basta desligar a internet. Desligar a internet, abrir o Firefox, configurar pra não receber cookies, remover as empresas malignas do campo de buscas, fechar o Firefox, e depois reconectar a internet.

@Mlramos, acho que até dá para abrir com o PowerISO, editar, e salvar. Ai é só gravar.

@alexandre.mbm Sim, obviamente os UFW/GUFW são uma ótima alternativa para aqueles que não tem tempo de aprender o IPTABLES Acho que quem se expressou mal foi eu Em minha opinião o GUFW é mais indicado a iniciantes pois eles não precisam digitar comandos, é tudo "ao alcance de um clique". Sim, o UFW executa comandos para o iptables. O GUFW é uma GUI front-end para o UFW, que executa comandos no iptables.

Ou seja: é igual a instalação do Debian

Mas eu falei sobre o UFW ali em cima Na verdade o GUFW é um GUI para o UFW.

Firefox. É mais seguro, mais leve, mais customizável, e não envia o que eu faço para os servidores da Google. Aliás, me pergunto como as pessoas usam os serviços da Google, todos eles espionam os usuários.

Sim, o Linux é seguro e todos nós sabemos disso. Mas não podemos deixar de comentar sobre o Firewall do mesmo (netfilter) e sobre como configurá-lo de forma correta. Por padrão, o netfiler e sua front-ent Iptables estão configurados para aceitar qualquer conexão, tanto de entrada quanto de saida. Isso para mim é um absurdo pois basta um serviço vulnerável e "BUM", um cracker pode já ter invadido seu sistema. Tendo isso em vista eu sempre configurei o meu iptables da forma mais segura que eu conseguia em um curto período de tempo, mas quando comecei a jogar com a Steam percebi que seria impossível criar regras para os jogos pois alguns usam portas dinâmicas, isto é, hora usam portas 8783, hora usam 5412 (só um exemplo fictício). Foi então que tropecei no GUFW, uma ferramenta com interface gráfica que pode ser configurada tanto para negar todos os pacotes de entrada/saida quanto dinamicamente "autorizar" tudo que for relacionado a Steam. Isso não é legal? Ééé, não. Pelo menos pra mim. Se eu não tenho estudos mostrando a eficácia de um produto, eu não uso, e se você olhar as configuraçoes do GUFW vai perceber que elas são beeem basicas. Como eu sou louco (laudo emitido por um psiquiatra), resolvi estudar um pouco mais a fundo o iptables para que pudesse configurá-lo da forma correta. Mas pera ai, e a Steam? Eu não uso mais, não jogo mais e provavelmente vou ficar um tempão sem usar. Resolvi criar uma configuração segura e ao mesmo tempo fácil de ler por qualquer ser humano. Ela funciona, é segura, e tudo que você precisa fazer é COPIAR e COLAR os comandos que vou descrever (com algumas alterações necessárias). Simples não? Mãos a obra. Vou começar explicando que é possível criar Grupos de regras no iptables para que fique mais fácil juntar tudo e facilitar as coisas. Exemplo: posso criar um grupo chamado "pacotes inválidos" e direcionar várias regras sobre pacotes inválidos para esse grupo, e esse grupo tem um só comando no final (exemplo: DROP, ou ACCEPT). Isso facilita muito a criação dos logs também. Aqui vai um exemplo: # anti-spoof iptables -N In_RULE_0 iptables -A INPUT -i enp0s7 -s amarildo -j In_RULE_0 iptables -A In_RULE_0 -j LOG --log-level info --log-prefix "RULE 0 -- DENY " iptables -A In_RULE_0 -j DROP A primeira linha está COMENTADA, ou seja, tem um sustenido na frente (#, mais conhecido como "Hashtag") e isso significa que essa linha não será executada. Eu dei um nome a essa regra para facilitar, "Anti spoof". A segunda linha cria uma regra geral (grupo) chamada "In_RULE_0". Posso criar várias regras que no fim vão cair dentro dessa regra 0, inclusive todos os Logs. pacotes inválidos A terceira linha especifica que tudo que vier da minha placa de rede (enp0s7) em direção ao meu PC/Hostname (amarildo) cairá na regra In_RULE_0. (OBS: troque 'enp0s7' para sua placa de rede [eth0 ou seja lá qual for], e troque 'amarildo' pelo seu Hostname [/etc/hostname]). A quarta linha informa que tudo nessa regra geral será logado. Informa também o nível de log, e o TIPO de log. A ultima linha informa que todas as sub-regras criadas antes (linhas acima) sofrerão um "DROP", isto é, o Firewall vai silenciosamente negar todos os pacotes dessa regra. 1ª Regra - Negar tudo, e ir abrindo aos poucos O segredo de todo firewall seguro é fechar todas as portas e ir abrindo as que você precisa. Isso é seguro, e deve ser seguido em vez de abrir tudo e fechar o que você não precisa (esse último é errado e necessita de muito mais atenção, e portanto pode levar a ERROS). Vamos então bloquear tudo. iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP BLOQUEANDO DIVERSOS TIPOS DE ATAQUES Vamos agora negar todas as conexões que estavam ativas antes de iniciarmos nosso firewall iptables -A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP iptables -A OUTPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP Agora vamos negar todos os pacotes que possuem estado INVÁLIDO, e vamos dizer ao firewall que nos avise sobre isso (log) iptables -N drop_invalid iptables -A OUTPUT -m state --state INVALID -j drop_invalid iptables -A INPUT -m state --state INVALID -j drop_invalid iptables -A INPUT -p tcp -m tcp --sport 1:65535 --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j drop_invalid iptables -A drop_invalid -j LOG --log-level debug --log-prefix "INVALID state -- DENY " iptables -A drop_invalid -j DROP Regra anti-spoof, sendo logada qualquer tentativa de dar spoof em mim iptables -N In_RULE_0 iptables -A INPUT -i enp0s7 -s amarildo -j In_RULE_0 iptables -A In_RULE_0 -j LOG --log-level info --log-prefix "RULE 0 -- DENY " iptables -A In_RULE_0 -j DROP Eu bloqueio todo tipo de ICMP, assim ninguém será capaz de fazer "ping" em mim, e crio logs sobre essas tentativas iptables -N In_RULE_1 iptables -A INPUT -p icmp -m icmp --icmp-type any -j In_RULE_1 iptables -A In_RULE_1 -j LOG --log-level info --log-prefix "RULE 1 -- DENY " iptables -A In_RULE_1 -j DROP Bloqueio também qualquer tentativa de fazer Whois na minha máquina, e novamente os logs sobre essas tentativas são feitos iptables -N In_RULE_2 iptables -A INPUT -p tcp -m tcp --dport 43 -j In_RULE_2 iptables -A In_RULE_2 -j LOG --log-level info --log-prefix "RULE 2 -- DENY " iptables -A In_RULE_2 -j DROP Regra anti xmas-scan + logs sobre tentativas desse tipo de scan iptables -N In_RULE_3 iptables -A INPUT -p tcp -m tcp --tcp-flags ALL URG,PSH,FIN -j In_RULE_3 iptables -A In_RULE_3 -j LOG --log-level info --log-prefix "RULE 3 -- DENY " iptables -A In_RULE_3 -j DROP Se algo passar dessa regra, bloquear tudo relacionado a esse tipo de ataque, e logar iptables -N In_RULE_4 iptables -A INPUT -p tcp -m tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j In_RULE_4 iptables -A In_RULE_4 -j LOG --log-level info --log-prefix "RULE 4 -- DENY " iptables -A In_RULE_4 -j DROP Bloquear fragmentos de IP e criar logs caso alguém tente iptables -N In_RULE_5 iptables -A INPUT -p all -f -j In_RULE_5 iptables -A In_RULE_5 -j LOG --log-level info --log-prefix "RULE 5 -- DENY " iptables -A In_RULE_5 -j DROP Impedir que façam "Who" na sua máquina, e logar tudo iptables -N In_RULE_6 iptables -A INPUT -p udp -m udp --dport 513 -j In_RULE_6 iptables -A In_RULE_6 -j LOG --log-level info --log-prefix "RULE 6 -- DENY " iptables -A In_RULE_6 -j DROP Bloquear tracerout, e logar caso alguém tente iptables -N In_RULE_7 iptables -A INPUT -p udp -m udp --dport 33434:33524 -j In_RULE_7 iptables -A In_RULE_7 -j LOG --log-level info --log-prefix "RULE 7 -- DENY " iptables -A In_RULE_7 -j DROP LIBERANDO O NECESSÁRIO DE ENTRADA Agora que já temos uma defesa de entrada podemos liberar serviços necessários para acessar a Internet. O primeiro passo é liberar todo o tráfego ESTABLISHED e o tráfego RELATED. O primeiro, ESTABLISHED, é tráfico que nós estabelecemos, como quando abrimos uma página da Internet. O segundo é todo tipo de tráfego relacionado ao primeiro. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Agora vamos liberar a nossa rede interna, de dentro do nosso computador (ela não precisa de filtros) iptables -A INPUT -i lo -m state --state NEW -j ACCEPT LIBERANDO A SAÍDA Agora vamos liberar o tráfego de saída. Antes de liberar o que precisamos, vamos ter certeza de que não passaremos tráfego inválido para outras pessoas. iptables -A OUTPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP Novamente liberamos o tráfego ESTABLISHED (estabelecido) e RELATED (relacionado) iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Liberamos também o loopback (rede interna) iptables -A OUTPUT -o lo -m state --state NEW -j ACCEPT Agora liberamos o DNS iptables -A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPTiptables -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT FTP: iptables -A OUTPUT -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT http iptables -A OUTPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT https iptables -A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT IMAP (protocolo de e-Mail) iptables -A OUTPUT -p tcp -m tcp --dport 143 -m state --state NEW -j ACCEPT POP3 (alguns clientes de e-mail fornecem isso, é para você manter seu e-Mail no seu computador e não guardar nada no servidore de quem fornece o serviço) iptables -A OUTPUT -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT Impressora (mude a porta conforme necessário) iptables -A OUTPUT -p tcp -m tcp --dport 515 -m state --state NEW -j ACCEPT SMTP (e-Mail via Navegador de Internet) iptables -A OUTPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT SMTPS (Clientes de e-Mail como Thunderbird ou KMail) [pode variar a porta] iptables -A OUTPUT -p tcp -m tcp --dport 465 -m state --state NEW -j ACCEPT OpenVPN iptables -A OUTPUT -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT Kpasswd iptables -A OUTPUT -p udp -m udp --dport 464 -m state --state NEW -j ACCEPT Regras para liberar a Steam # Steam iptables -A OUTPUT -p udp --dport 27000:27030 -j ACCEPT iptables -A OUTPUT -p tcp --dport 27014:27050 -j ACCEPT iptables -A OUTPUT -p udp --dport 3478 -j ACCEPT iptables -A OUTPUT -p udp --dport 4379 -j ACCEPT iptables -A OUTPUT -p udp --dport 4380 -j ACCEPT Regra para o KMail: # KMail iptables -A OUTPUT -p tcp -m tcp --dport 993 -m state --state NEW -j ACCEPT Regra para OpenPGP iptables -A OUTPUT -p tcp -m tcp --dport 11371 -m state --state NEW -j ACCEPT Regra para SVN iptables -A OUTPUT -p tcp -m tcp --dport 3690 -m state --state NEW -j ACCEPT Regra para KTorrent iptables -A OUTPUT -p tcp -m tcp --dport 6881 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport 6881 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport 8881 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 8881 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport 7881 -m state --state NEW -j ACCEPT Regra para Git iptables -A OUTPUT -p tcp -m tcp --dport 9418 -m state --state NEW -j ACCEPT Regra para FlightGear iptables -A OUTPUT -p tcp -m tcp --dport 8888 -m state --state NEW -j ACCEPT OBS: A porta que o FlightGear usa para baixar cenários muda constantemente. Para saber qual porta usar naquele determinado dia ou semana, basta abrir aqui: http://scenery.flightgear.org/svn-server NEGANDO TUDO QUE NÃO SE ENCAIXA NAS REGRAS ACIMA Se algum tráfego for diferente do que especificamos, o Firewall negará tudo, e criará um log sobre isso. Bloquearemos todo o tráfego UDP restante iptables -N RULE_21 iptables -A OUTPUT -p udp -m udp -j RULE_21 iptables -A INPUT -p udp -m udp -j RULE_21 iptables -A RULE_21 -j LOG --log-level info --log-prefix "RULE 21 -- DENY " iptables -A RULE_21 -j DROP Agora todo tráfego TCP iptables -N RULE_22 iptables -A OUTPUT -p tcp -m tcp -j RULE_22 iptables -A INPUT -p tcp -m tcp -j RULE_22 iptables -A RULE_22 -j LOG --log-level info --log-prefix "RULE 22 -- DENY " iptables -A RULE_22 -j DROP Qualquer tentativa de se conectar ao Firewall será negada e logada iptables -N RULE_23 iptables -A OUTPUT -d amarildo -j RULE_23 iptables -A INPUT -j RULE_23 iptables -A RULE_23 -j LOG --log-level info --log-prefix "RULE 23 -- DENY " iptables -A RULE_23 -j DROP Novamente logada e negada. Redundância. iptables -N RULE_24 iptables -A OUTPUT -j RULE_24 iptables -A INPUT -j RULE_24 iptables -A RULE_24 -j LOG --log-level info --log-prefix "RULE 24 -- DENY " iptables -A RULE_24 -j DROP Criei essa configuração com a ajuda do programa "fwbuilder". Estou disponibilizando o arquivo .fwb e o arquivo script compilado que pode ser rodado em quase todas as distruibuições Linux. Também estou disponibilizando o arquivo de texto com todos os comandos. O HASH sha256sum do arquivo "Firewall.tar.gz" é: b0c53de7e3a83ea95eea483dc3074a378337c0194e67bb2500228c426f0adeb8 O HASH 256sum do arquivo "2.tar.gz" é: 1a93d7c6e350a73d118552bb514fb113798f4b0c669ca1fa682a0839c3ed2ce7 Firewall.tar.gz 2.tar.gz

Certeza que o "Portuguese" não era do Brazil? De qualquer forma, é fácil instalar o nosso idioma pelo Windows Update.

Não tem como saber sem antes você mesmo baixar o Home Premium original, deletar aquele arquivo, e verificar o HASH da ISO. E mesmo se fizer isso pode dar diferenças no HASH dependendo do método usado pra remover o arquivo. Por isso o método garantido é você baixar o Home Premium original e deletar o arquivo você mesmo.