{"id":22242,"date":"2025-03-10T00:05:00","date_gmt":"2025-03-10T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22242"},"modified":"2025-03-09T17:32:40","modified_gmt":"2025-03-09T20:32:40","slug":"forense-digital-com-linux-tecnicas-praticas-parte-16","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/03\/diversos\/forense-digital-com-linux-tecnicas-praticas-parte-16\/","title":{"rendered":"Forense Digital com Linux \u2013 T\u00e9cnicas Pr\u00e1ticas \u2013 Parte 16"},"content":{"rendered":"\n<p style=\"text-align: justify;\">O\u00a0<strong>SELinux (Security-Enhanced Linux)<\/strong>\u00a0\u00e9 um m\u00f3dulo de seguran\u00e7a do kernel Linux que fornece um mecanismo para suportar pol\u00edticas de controle de acesso obrigat\u00f3rio (MAC). Embora o SELinux n\u00e3o seja uma ferramenta espec\u00edfica para detec\u00e7\u00e3o de malware, ele pode ajudar a prevenir e mitigar atividades maliciosas ao restringir o acesso de processos e usu\u00e1rios a recursos do sistema.<\/p>\n<p style=\"text-align: justify;\">No entanto, o SELinux pode ser usado em conjunto com outras ferramentas para monitorar e analisar atividades suspeitas que possam indicar a presen\u00e7a de malware. Abaixo, descrevo como configurar e usar o SELinux no\u00a0<strong>Rocky Linux 9<\/strong>\u00a0para melhorar a seguran\u00e7a e detectar atividades suspeitas.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Pr\u00e9-requisitos<\/strong><\/p>\n<p>Antes de come\u00e7ar, certifique-se de que o ambiente atenda aos seguintes requisitos:<\/p>\n<ul>\n<li>\n<p><strong>Sistema Operacional<\/strong>:<\/p>\n<ul>\n<li>\n<p>Rocky Linux 9 instalado e atualizado.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Acesso<\/strong>:<\/p>\n<ul>\n<li>\n<p>Acesso root ou um usu\u00e1rio com privil\u00e9gios\u00a0<code>sudo<\/code>.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Conectividade<\/strong>:<\/p>\n<ul>\n<li>\n<p>Conex\u00e3o \u00e0 internet para baixar pacotes e depend\u00eancias.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Passos para configurar e usar o SELinux no Rocky Linux 9<\/strong><\/p>\n<p>1.\u00a0<strong>Verificar o status do SELinux<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Verificar se o SELinux est\u00e1 Instalado<\/strong>:<\/p>\n<ul>\n<li>\n<p>O SELinux geralmente vem pr\u00e9-instalado no Rocky Linux. Verifique se ele est\u00e1 presente:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">rpm<\/span> <span class=\"token parameter variable\">-q<\/span> selinux-policy<\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Verificar o Status do SELinux<\/strong>:<\/p>\n<ul>\n<li>\n<p>Verifique o status atual do SELinux:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong>sestatus<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>A sa\u00edda deve mostrar o modo atual do SELinux (Enforcing, Permissive ou Disabled).<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p>2. <strong>Configurar o modo do SELinux<\/strong><\/p>\n<p>O SELinux pode operar em tr\u00eas modos:<\/p>\n<ul>\n<li>\n<p><strong>Enforcing<\/strong>: Aplica as pol\u00edticas de seguran\u00e7a e nega acesso n\u00e3o autorizado.<\/p>\n<\/li>\n<li>\n<p><strong>Permissive<\/strong>: Registra viola\u00e7\u00f5es, mas n\u00e3o nega acesso.<\/p>\n<\/li>\n<li>\n<p><strong>Disabled<\/strong>: Desativa o SELinux.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<ul>\n<li>\n<p><strong>Alterar o modo do SELinux<\/strong>:<\/p>\n<ul>\n<li>\n<p>Para alterar o modo do SELinux, edite o arquivo de configura\u00e7\u00e3o:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> <span class=\"token function\">nano<\/span> \/etc\/selinux\/config<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Altere a linha\u00a0<code>SELINUX=<\/code>\u00a0para o modo desejado:<\/p>\n<div class=\"md-code-block\">\n<pre><strong>SELINUX=enforcing<\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Reiniciar o Sistema<\/strong>:<\/p>\n<ul>\n<li>\n<p>Reinicie o sistema para aplicar as altera\u00e7\u00f5es:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> <span class=\"token function\">reboot<\/span><\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Verificar o Modo Atual<\/strong>:<\/p>\n<ul>\n<li>\n<p>Ap\u00f3s a reinicializa\u00e7\u00e3o, verifique o modo do SELinux novamente:<\/p>\n<div class=\"md-code-block\">\n<pre><strong>sestatus<br \/><br \/><br \/><\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>3. <strong>Monitorar logs do SELinux<\/strong><\/p>\n<p style=\"text-align: justify;\">O SELinux registra viola\u00e7\u00f5es de seguran\u00e7a no arquivo de log\u00a0<code>\/var\/log\/audit\/audit.log<\/code>. Esses logs podem ser usados para identificar atividades suspeitas.<\/p>\n<ul>\n<li>\n<p><strong>Instalar Ferramentas de An\u00e1lise<\/strong>:<\/p>\n<ul>\n<li>\n<p>Instale o\u00a0<code>setroubleshoot<\/code>\u00a0e o\u00a0<code>audit<\/code>\u00a0para facilitar a an\u00e1lise de logs:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> dnf <span class=\"token function\">install<\/span> <span class=\"token parameter variable\">-y<\/span> setroubleshoot audit<\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Verificar Logs de Viola\u00e7\u00f5es<\/strong>:<\/p>\n<ul>\n<li>\n<p>Use o comando\u00a0<code>ausearch<\/code>\u00a0para pesquisar viola\u00e7\u00f5es do SELinux:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> ausearch <span class=\"token parameter variable\">-m<\/span> avc <span class=\"token parameter variable\">-ts<\/span> recent<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Isso mostrar\u00e1 as viola\u00e7\u00f5es de acesso (AVC &#8211; Access Vector Cache) recentes.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Analisar Logs com\u00a0<code>sealert<\/code><\/strong>:<\/p>\n<ul>\n<li>\n<p>Use o\u00a0<code>sealert<\/code>\u00a0para gerar relat\u00f3rios detalhados sobre viola\u00e7\u00f5es:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> sealert <span class=\"token parameter variable\">-a<\/span> \/var\/log\/audit\/audit.log<br \/><br \/><br \/><\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>4. <strong>Criar pol\u00edticas personalizadas (opcional)<\/strong><\/p>\n<p>Se o SELinux bloquear um processo leg\u00edtimo, voc\u00ea pode criar pol\u00edticas personalizadas para permitir o acesso.<\/p>\n<ul>\n<li>\n<p><strong>Gerar um M\u00f3dulo de Pol\u00edtica<\/strong>:<\/p>\n<ul>\n<li>\n<p>Use o\u00a0<code>audit2allow<\/code>\u00a0para gerar um m\u00f3dulo de pol\u00edtica a partir dos logs:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> <span class=\"token function\">grep<\/span> <span class=\"token operator\">&lt;<\/span>process_name<span class=\"token operator\">&gt;<\/span> \/var\/log\/audit\/audit.log <span class=\"token operator\">|<\/span> audit2allow <span class=\"token parameter variable\">-M<\/span> mypolicy<\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Carregar o M\u00f3dulo de Pol\u00edtica<\/strong>:<\/p>\n<ul>\n<li>\n<p>Carregue o m\u00f3dulo gerado:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> semodule <span class=\"token parameter variable\">-i<\/span> mypolicy.pp<br \/><br \/><br \/><\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>5. <strong>Usar o SELinux para prevenir atividades maliciosas<\/strong><\/p>\n<p style=\"text-align: justify;\">O SELinux pode ajudar a prevenir atividades maliciosas ao restringir o acesso de processos a recursos do sistema. Aqui est\u00e3o algumas pr\u00e1ticas recomendadas:<\/p>\n<ul>\n<li>\n<p><strong>Restringir Servi\u00e7os<\/strong>:<\/p>\n<ul>\n<li>\n<p>Use o SELinux para restringir servi\u00e7os a seus contextos de seguran\u00e7a apropriados. Por exemplo, configure o contexto de seguran\u00e7a para o servidor web:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> chcon <span class=\"token parameter variable\">-t<\/span> httpd_sys_content_t \/var\/www\/html<\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Usar Pol\u00edticas Estritas<\/strong>:<\/p>\n<ul>\n<li>\n<p>Aplique pol\u00edticas estritas para servi\u00e7os cr\u00edticos, como bancos de dados e servidores web.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Monitorar Altera\u00e7\u00f5es de Contexto<\/strong>:<\/p>\n<ul>\n<li>\n<p>Verifique regularmente os contextos de seguran\u00e7a de arquivos e diret\u00f3rios cr\u00edticos:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">ls<\/span> <span class=\"token parameter variable\">-Z<\/span> \/var\/www\/html<br \/><br \/><br \/><\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>6. <strong>Integrar com outras ferramentas de seguran\u00e7a<\/strong><\/p>\n<p>O SELinux pode ser usado em conjunto com outras ferramentas de seguran\u00e7a, como:<\/p>\n<ul>\n<li>\n<p><strong>AIDE<\/strong>: Para verificar a integridade de arquivos.<\/p>\n<\/li>\n<li>\n<p><strong>ClamAV<\/strong>: Para escanear arquivos em busca de malware.<\/p>\n<\/li>\n<li>\n<p><strong>Fail2Ban<\/strong>: Para bloquear IPs maliciosos.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O SELinux \u00e9 uma camada poderosa de seguran\u00e7a que pode ajudar a prevenir e mitigar atividades maliciosas no Rocky Linux 9 e demais distros Linux. Ao configurar e monitorar o SELinux, voc\u00ea pode melhorar a seguran\u00e7a do sistema e detectar atividades suspeitas que possam indicar a presen\u00e7a de malware.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Referencia Bibliogr\u00e1fica<\/strong><\/p>\n<p>Para mais detalhes, consulte a\u00a0<a href=\"https:\/\/access.redhat.com\/documentation\/en-us\/red_hat_enterprise_linux\/9\/html\/using_selinux\/index\" target=\"_blank\" rel=\"noopener noreferrer\">documenta\u00e7\u00e3o oficial do SELinux<\/a>.<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>O\u00a0SELinux (Security-Enhanced Linux)\u00a0\u00e9 um m\u00f3dulo de seguran\u00e7a do kernel Linux que fornece um mecanismo para suportar pol\u00edticas de controle de acesso obrigat\u00f3rio (MAC). Embora o SELinux n\u00e3o seja uma ferramenta espec\u00edfica para detec\u00e7\u00e3o de malware, ele pode ajudar a prevenir e mitigar atividades maliciosas ao restringir o acesso de processos e usu\u00e1rios a recursos do [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":22246,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[100],"tags":[],"class_list":["post-22242","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diversos"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22242","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22242"}],"version-history":[{"count":5,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22242\/revisions"}],"predecessor-version":[{"id":22248,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22242\/revisions\/22248"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22246"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}