SlideShare uma empresa Scribd logo

Segurança Linux configuração

Alvaro Gomes
Alvaro Gomes

Este documento discute a implantação de sistemas de segurança com Linux em ambientes corporativos. Ele aborda tópicos como configuração segura do Linux, uso do Linux em ambientes corporativos e sistemas de segurança baseados em Linux, como Tripwire.

Dispositivos e hardware
1 de 48
Baixar para ler offline
LSI TEC (c) 2000 1 Implantação de Sistemas de Segurança com Linux Volnys Borges Bernal Frank Meylan Adilson Guelfi Matteo Nava {volnys,meylan,guelfi,ilnava}@lsi.usp.br Núcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP http://www.lsi.usp.br/~nsrav
LSI TEC (c) 2000 2 Agenda o Configuração Segura Linux o Linux em Ambiente Corporativo o Sistemas de segurança Baseados em Linux
LSI TEC (c) 2000 3 Configuração Segura Linux
LSI TEC (c) 2000 4 Configuração Segura Linux o A maior parte das distribuições Linux utiliza uma instalação default que não é ideal para ser utilizada em um ambiente corporativo o Em um ambiente corporativo geralmente é necessário um sistema operacional seguro
LSI TEC (c) 2000 5 Configuração Segura Linux o Segurança no boot X Senhas BIOS X Segurança Física X Senha LILO + proteção do arquivo X Modo single-user seguro
LSI TEC (c) 2000 6 Configuração Segura Linux (1) Habilitar senha no monitor X Objetivo: êEvita que usuários digitem linhas de comando no monitor para, por exemplo: u realizar o boot de um outro dispositivo u realizar o boot no modo single-user (perigoso se não requisitar a senha do administrador) u mudar seqüência de boot (arquiteturas PC) X Restrições êArquiteturas PC: algumas BIOS possuem uma senha mestre que geralmente são conhecidas pela equipe de manutenção e “hackers” êÉ também possível apagar a senha realizando curtocircuito em determinados terminais da flash-ROM
LSI TEC (c) 2000 7 Configuração Segura Linux (2) Segurança física X Objetivo êImpedir que a flash-ROM seja apagada, eliminando a senha do monitor. êImpedir que um disco seja roubado. X Restrições êImportante nos servidores que possuam informações sensíveis X Como proceder êRestrição de acesso físico à sala êRestrição física de acesso ao interior do equipamento
LSI TEC (c) 2000 8 Configuração Segura Linux (3) Configuração do dispositivo de boot default X Objetivo êImpedir que seja realizado o boot por um dispositivo removível X Como proceder êEm arquiteturas PC, a lista de dispositivos a serem testados para carga do programa de boot deve incluir somente o dispositivo associado à partição raiz. Nunca incluir na lista dispositivos removíveis
LSI TEC (c) 2000 9 Configuração Segura Linux (4) Modo single-user seguro X Objetivo êRequisitar a senha do administrador quando entra em modo single-user X Como configurar no Linux RedHat ou debian êDeve existir a seguinte linha no arquivo /etc/inittab: u su:S:wait:/sbin/sulogin
LSI TEC (c) 2000 10 Configuração Segura Linux (5) Habilitar modo seguro do LILO (Linux RedHat / Debian) X Objetivo êEvitar que o usuário possa modificar parâmetros de carga (boot) do linux através do LILO. êPara isto é necessário informar uma senha. X Como proceder êAcrescentar as seguintes linhas ao arquivo /etc/lilo.conf: u restricted u password = <senha> êModificar a permissão do arquivo /etc/lilo.conf para leitura e escrita somente pelo root
LSI TEC (c) 2000 11 Configuração Linux Segura o Opções de operação do kernel X Disponíveis em /proc/sys/net/ipv4 êicmp_echo_ignore_all (desabilitar se não for necessário) êicmp_echo_ignore_broadcast (desabilitar) êip_forward (desabilitar se não for necessário) êip_masq_debug (habilitar) êtcp_syncookies (habilitar) êrp_filter (habilitar) êsecure_redirects (habilitar) êlog_martians (habilitar) êaccept_source_route (desabilitar)
LSI TEC (c) 2000 12 Configuração Linux Segura o Segurança de senhas X Habilitar Shadow êColocação das senhas em arquivo protegido (/etc/shadow) X Habilitar Aging êForçar mudança periódica das senhas pelos usuários
LSI TEC (c) 2000 13 Configuração Segura Linux o Configuração dos serviços de rede X Somente os serviços de rede estritamente necessários X Desabilitar os processos não necessários X Estes processos podem ser disparados êAtravés de script u Scripts em /etc/rc.d/init?.d u chkconfig - utilitário para habilitar/ desabilitar serviços êAtravés do daemon inetd u Arquivo de configuração: /etc/inetd.conf
LSI TEC (c) 2000 14 Configuração Segura Linux o Configuração dos serviços de rede (cont.) X Daemon inetd - Exemplo de arquivo /etc/inetd.conf ftp stream tcp nowait root /bin/ftpd ftpd telnet stream tcp nowait root /bin/telnetd telnetd login stream tcp nowait root /sbin/rlogind rlogind shell stream tcp nowait root /bin/rshd rshd cfinger stream tcp nowait guest /bin/fingerd fingerd #bootp dgram udp wait root /sbin/bootpd bootpd -f pop-2 stream tcp nowait root /sbin/ipop2d ipop2d pop-3 stream tcp nowait root /sbin/ipop3d ipop3d time stream tcp nowait root internal time dgram udp wait root internal rusersd dgram rpc/usd wait root /bin/rusersd rusersd
LSI TEC (c) 2000 15 Daemon inetd (1) Inetd lê arquivo de configuração (/etc/inetd.conf) (2) Realiza “open passivo” nas portas necessárias (3) Aguarda conexões inetd open passivo 21 23 513 ftp telnet login TCP Arquivo /etc/inetd.conf: ftp stream tcp nowait root ftpd /usr/sbin/ftpd ftpd telnet stream tcp nowait root telnetd /usr/sbin/telnetd telnetd login stream tcp nowait root rlogind /usr/sbin/rlogind rlogind
LSI TEC (c) 2000 16 Daemon inetd (4) Recebimento de um pedido de conexão na porta 23 (telnet) inetd 21 23 513 ftp telnet login TCP Arquivo /etc/inetd.conf: ftp stream tcp nowait root ftpd /usr/sbin/ftpd ftpd telnet stream tcp nowait root telnetd /usr/sbin/telnetd telnetd login stream tcp nowait root rlogind /usr/sbin/rlogind rlogind
LSI TEC (c) 2000 17 Daemon inetd (5) Inetd dispara daemon associado (telnetd) telnetd inetd open passivo 21 23 513 ftp telnet login TCP Arquivo /etc/inetd.conf: ftp stream tcp nowait root /usr/sbin/ftpd ftpd telnet stream tcp nowait root /usr/sbin/telnetd telnetd login stream tcp nowait root /usr/sbin/rlogind rlogind
LSI TEC (c) 2000 18 Configuração Segura Linux o Configurar TCP Wrappers X Serviço de controle de acesso a serviços Internet: êTambém chamado de “tcp_log” êPermite restringir e monitorar (via syslog) requisições para serviços como telnet, finger, ftp, rsh, rlogin, tftp, talk, e outros X Funcionalidades êLog u As conexões são monitoradas através do syslog. êControle de acesso u Configurado através dos arquivos: Õ/etc/hosts.allow Õ/etc/hosts.deny
LSI TEC (c) 2000 19 Configuração Segura Linux o Configurar TCP Wrappers (cont.) X Exemplo de configuração: ê/etc/hosts.allow u ALL: LOCAL, .xyz.com.br EXCEPT PARANOID u ALL: 200.55.44.0/255.255.255.0 EXCEPT PARANOID u ALL EXCEPT telnetd: 200.55.48.0/255.255.255.0 u ftpd: ALL EXCEPT PARANOID ê/etc/hosts.deny u ALL: ALL
LSI TEC (c) 2000 20 Configuração Segura Linux o Utilizar SSH em substituição ao telnet/ftp X Instalar OpenSSH o Configuração correta de hora/data X Utilizar protocolos de sincronização de relógio: êntpdate / xntp o Configurar terminais seguros X /etc/securetty o Customizar serviço de log X /etc/syslog.conf X direcionar uma cópia para o servidor central de log
LSI TEC (c) 2000 21 Configuração Linux Segura o Habilitar sudo X Permite que um determinado utilitário seja executado com privilégio de administrador X Realiza log das atividades o Instalar e configurar Tripwire X Detecção de intrusão de host o Segurança X-windows X Habilitar X-windows somente se for necessário
LSI TEC (c) 2000 22 Configuração Linux Segura o Bastile Linux Project X Script de auxílio na configuração de um sistema LINUX seguro X www.bastile-linux.org
LSI TEC (c) 2000 23 Linux em Ambiente Corporativo
LSI TEC (c) 2000 24 Linux em Ambiente Corporativo o Pode ser utilizado para várias finalidades distintas: (1) Como desktop para usuários (2) Como servidor êServidores para Intranet êServidores para Internet êServidor Gateway (3) Como plataforma para auditoria e análise de segurança (4) Como plataforma de desenvolvimento (5) Outros
LSI TEC (c) 2000 25 Linux em Ambiente Corporativo o (1) Como desktop para os usuários X Linux em substituição aos sistemas Windows9x nos desktops X Vantagens êSistema operacional seguro u Classes distintas de usuários ÕAdministrador / Usuário Normal u Criação de LOGs para auditoria êCusto X Desvantagem êExistem ainda algumas tarefas que não podem ser realizadas em ambiente gráfico êTreinamento de usuários
LSI TEC (c) 2000 26 Linux em Ambiente Corporativo Internet DMZ Intranet DMZ DNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet Intranet MAIL ? ? Log ? Clientes
LSI TEC (c) 2000 27 Linux em Ambiente Corporativo Internet Roteamento Filtros NAT/Masquerade DMZ Proxy reverso VPN DMZ Intranet Endereçamento Endereçamento Privado Privado
LSI TEC (c) 2000 28 Linux em Ambiente Corporativo o (2) Linux como Servidor X Servidores para Intranet êServidor de arquivos u NFS (UNIX), SAMBA (MS-Windows) êServidor WEB para a Intranet u Apache, Netscape êServidor DNS para a Intranet u BIND êServidor de Log u Syslog (nativo) êOutros serviços (Ex. Banco de Dados)
LSI TEC (c) 2000 29 Linux em Ambiente Corporativo o (2) Linux como Servidor (cont.) X Servidores para DMZ êServidor DNS u BIND êServidor WEB u Apache, Netscape êServidor PROXY u Squid êServidor E-MAIL u sendmail u qmail
LSI TEC (c) 2000 30 Linux em Ambiente Corporativo o (2) Linux como Servidor (cont.) X Servidores Gateways êRoteamento êFiltro de pacotes êNAT / Masquerade êTransparent Proxy êProxy Reverso êVPN êTambém possível alguns firewalls comerciais
LSI TEC (c) 2000 31 Linux em Ambiente Corporativo X Servidores Gateways (cont.) êVantagens u Desempenho u Suporte a Hardware ÕFlexibilidade (comparado a outros UNIX) ÕCusto (comparado a outros UNIX) ÕAtualização u Suporte para diversos protocolos ÕEthernet/FastEthernet/GigabitEthernet ÕISDN / X25 / X21 ÕIPv4, IPX, IPv6 u Suporte a ÕIP-Chains (filtros, NAT, masquerade) u Custo do software
LSI TEC (c) 2000 32 Linux em Ambiente Corporativo o (3) Como plataforma para Auditoria e Análise de segurança X Linux para a equipe de segurança / auditoria X Ferramentas: êAnalisadores de vulnerabilidades u Nessus êDetetores de intrusão de rede u Snort
LSI TEC (c) 2000 33 Sistemas de segurança para Linux
LSI TEC (c) 2000 34 Sistemas de segurança para Linux o Codificação de senhas com MD5 X Permite utilização de senhas com até 256 caracteres X Utiliza codificação hash MD5 o John The Ripper X Avaliador de senhas vulneráveis X Permite detectar senhas “fracas” no sistema X www.openwall.com/john o Crack X Avaliador de senhas vulneráveis
LSI TEC (c) 2000 35 Sistemas de segurança para Linux o Tripwire X Detector de intrusão, baseado em host X Versão comercial: www.tripwire.com X Versão livre: www.tripwire.org o AIDE X Detector de intrusão, baseado em host êwww.cs.tut.fi/~rammer/aide.html
LSI TEC (c) 2000 36 Sistemas de segurança para Linux o OpenSSH X Implementação livre do protocolo SSH (Secure Shell) X SSH1 / SSH2: Padrão Internet X “Telnet” criptografado e autenticado X “FTP” criptografado e autenticado X Canais X-windows criptografados e autenticados X www.openssh.com o S/Key X One Time Password X Implementação em software
LSI TEC (c) 2000 37 Sistemas de segurança para Linux o SQUID X Servidor PROXY X Permite definir ACL êControle de acesso a páginas pelos usuários êFiltros por URL X LOG de acessos X Squid Web Proxy Cache êwwww.squid-cache.org
LSI TEC (c) 2000 38 Sistemas de segurança para Linux o NAT x ProxyReverso (xinetd) Servidor Proxy xinetd Reverso TCP TCP UDP UDP TCP UDP TCP UDP ΝΑΤ ICMP IGMP ICMP IGMP ICMP IGMP ICMP IGMP IP IP IP IP ARP RARP ARP RARP ARP RARP ARP RARP Ethernet Ethernet Ethernet Ethernet
LSI TEC (c) 2000 39 Sistemas de segurança para Linux Internet Filtros DMZ Intranet DMZ DNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet Intranet MAIL ? ? Log ? Clientes
LSI TEC (c) 2000 40 Sistemas de segurança para Linux Internet Masquerade (troca de endereços N-1) DMZ Intranet DMZ DNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet Intranet MAIL ? ? Log ? Clientes
LSI TEC (c) 2000 41 Sistemas de segurança para Linux Internet Proxy DMZ Reverso Intranet DMZ DNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet Intranet MAIL ? ? Log ? Clientes
LSI TEC (c) 2000 42 Sistemas de segurança para Linux o xinetd X Proxy Reverso X Permite uma conexão de uma porta para uma outra porta em um outro host o IPChains / IPMasqadm X Permite configurar opções do kernel para: êFiltros de pacotes êNAT - Network Address Translation êMasquerade o Problemas X Log no masquerade (muito log) X Log nos servidores (a identificação da máquina origem é da sua máquina gateway)
LSI TEC (c) 2000 43 Sistemas de segurança para Linux o NMAP X Scanner de IP e Portas X www.insecure.org/nmap o SAINT X Analisador de vulnerabilidade (network based) o NESSUS X Scanner de IP e Portas X Analisador de vulnerabilidade (network based)
LSI TEC (c) 2000 44 Sistemas de segurança para Linux o SHADOW X Detector de intrusão (network based) X The SANS Institute o SNORT X Detector de intrusão (network based) X www.snort.org
LSI TEC (c) 2000 45 Sistemas de segurança para Linux o Firewalls Comerciais X Firewall-1 êwwww.checkpoint.com X Aker Firewall êwwww.aker.com.br X Phoenix Adaptive Firewall êwww.progressive-systems.com
LSI TEC (c) 2000 46 Sistemas de segurança para Linux o Kerberos X Sistemas de Autenticação e Confidencialidade o Free Secure WAN X Virtural Private Network X Canal seguro para interligação de redes X Implementa IPSEC X VPN de êhost êrede
LSI TEC (c) 2000 47 Sistemas de segurança para Linux o Servidor Central de Log X Objetivo êMáquina confiável que centralize o log de todas as máquinas do sistema X Como configurar êRealizar a configuração segura Linux êDesabilitar todos os servicos de rede êPermitir acesso somente pelo administrador via console
LSI TEC (c) 2000 48 Obrigado NSRAV Núcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP volnys@lsi.usp.br meylan@lsi.usp.br

Recomendados

Instalação do asterisk
Instalação do asteriskInstalação do asterisk
Instalação do asteriskVicente Nobre
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFLuiz Arthur
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
Linux System Administrator | Curso de Redes | 3Way Networks
Linux System Administrator | Curso de Redes | 3Way NetworksLinux System Administrator | Curso de Redes | 3Way Networks
Linux System Administrator | Curso de Redes | 3Way Networks3Way Networks
 
pf: O Filtro de Pacotes do OpenBSD
pf: O Filtro de Pacotes do OpenBSDpf: O Filtro de Pacotes do OpenBSD
pf: O Filtro de Pacotes do OpenBSDVinícius Zavam
 
Linux network administration | Curso de Redes | 3Way Networks
Linux network administration | Curso de Redes | 3Way NetworksLinux network administration | Curso de Redes | 3Way Networks
Linux network administration | Curso de Redes | 3Way Networks3Way Networks
 
Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSD
Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSDRootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSD
Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSDNullbyte Security Conference
 
Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei Pollon
Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei PollonFerramentas GPL para a segurança de Redes de Computadores - Vanderlei Pollon
Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei PollonTchelinux
 

Recomendados

Instalação do asterisk
Instalação do asteriskInstalação do asterisk
Instalação do asteriskVicente Nobre
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFLuiz Arthur
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
Linux System Administrator | Curso de Redes | 3Way Networks
Linux System Administrator | Curso de Redes | 3Way NetworksLinux System Administrator | Curso de Redes | 3Way Networks
Linux System Administrator | Curso de Redes | 3Way Networks3Way Networks
 
pf: O Filtro de Pacotes do OpenBSD
pf: O Filtro de Pacotes do OpenBSDpf: O Filtro de Pacotes do OpenBSD
pf: O Filtro de Pacotes do OpenBSDVinícius Zavam
 
Linux network administration | Curso de Redes | 3Way Networks
Linux network administration | Curso de Redes | 3Way NetworksLinux network administration | Curso de Redes | 3Way Networks
Linux network administration | Curso de Redes | 3Way Networks3Way Networks
 
Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSD
Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSDRootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSD
Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSDNullbyte Security Conference
 
Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei Pollon
Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei PollonFerramentas GPL para a segurança de Redes de Computadores - Vanderlei Pollon
Ferramentas GPL para a segurança de Redes de Computadores - Vanderlei PollonTchelinux
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Back track apresentação
Back track apresentaçãoBack track apresentação
Back track apresentaçãoKleber Santos
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLfgsl
 
Asterisk
AsteriskAsterisk
AsteriskGaphurae Semsombra de Duvida
 
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...Tchelinux
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonTchelinux
 
Iptables layer7
Iptables layer7Iptables layer7
Iptables layer7Paulo Steinhauser
 
Uma breve história no tempo...da computação
Uma breve história no tempo...da computaçãoUma breve história no tempo...da computação
Uma breve história no tempo...da computaçãoRodrigo Senra
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesLuiz Arthur
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxjrrsouzaj
 
Project HA
Project HAProject HA
Project HAKarpv
 
Gnu/Linux - Workshop EACH-USP
Gnu/Linux - Workshop EACH-USPGnu/Linux - Workshop EACH-USP
Gnu/Linux - Workshop EACH-USPWellington Silva
 
Redes prática - Enderecamento I Plinux
Redes prática - Enderecamento I PlinuxRedes prática - Enderecamento I Plinux
Redes prática - Enderecamento I PlinuxLuiz Arthur
 
Sistemas operacionais 14
Sistemas operacionais 14Sistemas operacionais 14
Sistemas operacionais 14Nauber Gois
 
I Workshop de Redes do Iespes
I Workshop de Redes do IespesI Workshop de Redes do Iespes
I Workshop de Redes do Iespesluizfelipemz
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptablesMarcelo Barros de Almeida
 
Linux - Instalação de Programas
Linux - Instalação de ProgramasLinux - Instalação de Programas
Linux - Instalação de Programasguest407a9
 
Como clonar h ds e fazer backup sem precisar do ghost
Como clonar h ds e fazer backup sem precisar do ghostComo clonar h ds e fazer backup sem precisar do ghost
Como clonar h ds e fazer backup sem precisar do ghostVanderlei Nascimento
 
Alta disponibilidade - Linux Day Impacta
Alta disponibilidade - Linux Day ImpactaAlta disponibilidade - Linux Day Impacta
Alta disponibilidade - Linux Day ImpactaImpacta Eventos
 
Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Implantação de sistemas desegurança com linux
Implantação de sistemas desegurança com linuxImplantação de sistemas desegurança com linux
Implantação de sistemas desegurança com linuxSoftD Abreu
 
Minicurso GNU/Linux
Minicurso GNU/LinuxMinicurso GNU/Linux
Minicurso GNU/LinuxKhayla Elias dos Santos
 

Mais conteúdo relacionado

Mais procurados

Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Back track apresentação
Back track apresentaçãoBack track apresentação
Back track apresentaçãoKleber Santos
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLfgsl
 
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...Tchelinux
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonTchelinux
 
Uma breve história no tempo...da computação
Uma breve história no tempo...da computaçãoUma breve história no tempo...da computação
Uma breve história no tempo...da computaçãoRodrigo Senra
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesLuiz Arthur
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxjrrsouzaj
 
Project HA
Project HAProject HA
Project HAKarpv
 
Gnu/Linux - Workshop EACH-USP
Gnu/Linux - Workshop EACH-USPGnu/Linux - Workshop EACH-USP
Gnu/Linux - Workshop EACH-USPWellington Silva
 
Redes prática - Enderecamento I Plinux
Redes prática - Enderecamento I PlinuxRedes prática - Enderecamento I Plinux
Redes prática - Enderecamento I PlinuxLuiz Arthur
 
Sistemas operacionais 14
Sistemas operacionais 14Sistemas operacionais 14
Sistemas operacionais 14Nauber Gois
 
I Workshop de Redes do Iespes
I Workshop de Redes do IespesI Workshop de Redes do Iespes
I Workshop de Redes do Iespesluizfelipemz
 
Linux - Instalação de Programas
Linux - Instalação de ProgramasLinux - Instalação de Programas
Linux - Instalação de Programasguest407a9
 
Como clonar h ds e fazer backup sem precisar do ghost
Como clonar h ds e fazer backup sem precisar do ghostComo clonar h ds e fazer backup sem precisar do ghost
Como clonar h ds e fazer backup sem precisar do ghostVanderlei Nascimento
 
Alta disponibilidade - Linux Day Impacta
Alta disponibilidade - Linux Day ImpactaAlta disponibilidade - Linux Day Impacta
Alta disponibilidade - Linux Day ImpactaImpacta Eventos
 
Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 

Mais procurados (20)

Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
 
Back track apresentação
Back track apresentaçãoBack track apresentação
Back track apresentação
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
 
Asterisk
AsteriskAsterisk
Asterisk
 
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...
Introdução ao Desenvolvimento do Kernel Linux Versões 2.6.X - Douglas Schilli...
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei Pollon
 
Iptables layer7
Iptables layer7Iptables layer7
Iptables layer7
 
Uma breve história no tempo...da computação
Uma breve história no tempo...da computaçãoUma breve história no tempo...da computação
Uma breve história no tempo...da computação
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptables
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
 
Project HA
Project HAProject HA
Project HA
 
Gnu/Linux - Workshop EACH-USP
Gnu/Linux - Workshop EACH-USPGnu/Linux - Workshop EACH-USP
Gnu/Linux - Workshop EACH-USP
 
Redes prática - Enderecamento I Plinux
Redes prática - Enderecamento I PlinuxRedes prática - Enderecamento I Plinux
Redes prática - Enderecamento I Plinux
 
Sistemas operacionais 14
Sistemas operacionais 14Sistemas operacionais 14
Sistemas operacionais 14
 
I Workshop de Redes do Iespes
I Workshop de Redes do IespesI Workshop de Redes do Iespes
I Workshop de Redes do Iespes
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptables
 
Linux - Instalação de Programas
Linux - Instalação de ProgramasLinux - Instalação de Programas
Linux - Instalação de Programas
 
Como clonar h ds e fazer backup sem precisar do ghost
Como clonar h ds e fazer backup sem precisar do ghostComo clonar h ds e fazer backup sem precisar do ghost
Como clonar h ds e fazer backup sem precisar do ghost
 
Alta disponibilidade - Linux Day Impacta
Alta disponibilidade - Linux Day ImpactaAlta disponibilidade - Linux Day Impacta
Alta disponibilidade - Linux Day Impacta
 
Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela Filter
 

Semelhante a Segurança Linux configuração

Implantação de sistemas desegurança com linux
Implantação de sistemas desegurança com linuxImplantação de sistemas desegurança com linux
Implantação de sistemas desegurança com linuxSoftD Abreu
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisconogueira
 
Linux4all#2
Linux4all#2Linux4all#2
Linux4all#2Daniel
 
Comandos Linux Parte 1
Comandos Linux Parte 1Comandos Linux Parte 1
Comandos Linux Parte 1Leo Amorim
 
Aula - Comandos Linux - Parte 1
Aula - Comandos Linux - Parte 1Aula - Comandos Linux - Parte 1
Aula - Comandos Linux - Parte 1Leo Amorim
 
Redes prática - Inetd
Redes prática - InetdRedes prática - Inetd
Redes prática - InetdLuiz Arthur
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos ciscoAllan Alencar
 
Configurando uma rede local com acesso internet
Configurando uma rede local com acesso internetConfigurando uma rede local com acesso internet
Configurando uma rede local com acesso internetTiago
 
Apostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em LinuxApostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em Linuxeliezer
 
Apostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em LinuxApostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em Linuxeliezer
 
Apostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em LinuxApostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em Linuxguest7a481e8
 
Funtoo escla
Funtoo esclaFuntoo escla
Funtoo esclaDaniel
 
Configurando rede local
Configurando rede localConfigurando rede local
Configurando rede localFelipe Pereira
 
Projeto Terminais Leves Linux
Projeto Terminais Leves LinuxProjeto Terminais Leves Linux
Projeto Terminais Leves LinuxMarco Neves
 
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdtInstalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdtAnderson Bassani
 
Funtoo Gnu/Linux: Customização ao extremo
Funtoo Gnu/Linux: Customização ao extremoFuntoo Gnu/Linux: Customização ao extremo
Funtoo Gnu/Linux: Customização ao extremoDaniel
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e HardeningBruna Griebeler
 

Semelhante a Segurança Linux configuração (20)

Implantação de sistemas desegurança com linux
Implantação de sistemas desegurança com linuxImplantação de sistemas desegurança com linux
Implantação de sistemas desegurança com linux
 
Minicurso GNU/Linux
Minicurso GNU/LinuxMinicurso GNU/Linux
Minicurso GNU/Linux
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisco
 
Linux4all#2
Linux4all#2Linux4all#2
Linux4all#2
 
Comandos Linux Parte 1
Comandos Linux Parte 1Comandos Linux Parte 1
Comandos Linux Parte 1
 
Aula - Comandos Linux - Parte 1
Aula - Comandos Linux - Parte 1Aula - Comandos Linux - Parte 1
Aula - Comandos Linux - Parte 1
 
Redes prática - Inetd
Redes prática - InetdRedes prática - Inetd
Redes prática - Inetd
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos cisco
 
Configurando uma rede local com acesso internet
Configurando uma rede local com acesso internetConfigurando uma rede local com acesso internet
Configurando uma rede local com acesso internet
 
Apostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em LinuxApostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em Linux
 
Apostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em LinuxApostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em Linux
 
Apostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em LinuxApostila Treinamento AvançAdo Em Linux
Apostila Treinamento AvançAdo Em Linux
 
IntroduçãO Ao Linux
IntroduçãO Ao LinuxIntroduçãO Ao Linux
IntroduçãO Ao Linux
 
Dhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoDhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamento
 
Funtoo escla
Funtoo esclaFuntoo escla
Funtoo escla
 
Configurando rede local
Configurando rede localConfigurando rede local
Configurando rede local
 
Projeto Terminais Leves Linux
Projeto Terminais Leves LinuxProjeto Terminais Leves Linux
Projeto Terminais Leves Linux
 
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdtInstalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
 
Funtoo Gnu/Linux: Customização ao extremo
Funtoo Gnu/Linux: Customização ao extremoFuntoo Gnu/Linux: Customização ao extremo
Funtoo Gnu/Linux: Customização ao extremo
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
 

Mais de Alvaro Gomes

Museu nacional de história natural e da ciência
Museu nacional de história natural e da ciênciaMuseu nacional de história natural e da ciência
Museu nacional de história natural e da ciênciaAlvaro Gomes
 
Luís Vaz de Camões Vida e Obras
Luís Vaz de Camões Vida e Obras Luís Vaz de Camões Vida e Obras
Luís Vaz de Camões Vida e Obras Alvaro Gomes
 
Ética Deontológica Técnico Administrativo
Ética Deontológica Técnico AdministrativoÉtica Deontológica Técnico Administrativo
Ética Deontológica Técnico AdministrativoAlvaro Gomes
 
Revolução Industrial - O Ponto de Viragem
Revolução Industrial - O Ponto de ViragemRevolução Industrial - O Ponto de Viragem
Revolução Industrial - O Ponto de ViragemAlvaro Gomes
 
Linux Commandos Cheat
Linux Commandos CheatLinux Commandos Cheat
Linux Commandos CheatAlvaro Gomes
 
Flash android using livesuit
Flash android using livesuitFlash android using livesuit
Flash android using livesuitAlvaro Gomes
 
13 Things the Government doesn´t want you to know
13 Things the Government doesn´t want you to know13 Things the Government doesn´t want you to know
13 Things the Government doesn´t want you to knowAlvaro Gomes
 
Hackeando facebook com wireshark e cookie injector
Hackeando facebook com wireshark e cookie injectorHackeando facebook com wireshark e cookie injector
Hackeando facebook com wireshark e cookie injectorAlvaro Gomes
 
Como transformar o router thomson num print server
Como transformar o router thomson num print serverComo transformar o router thomson num print server
Como transformar o router thomson num print serverAlvaro Gomes
 
Drivers ADB Android
Drivers ADB AndroidDrivers ADB Android
Drivers ADB AndroidAlvaro Gomes
 
ROM china original (Shenzhen)
ROM china original (Shenzhen)ROM china original (Shenzhen)
ROM china original (Shenzhen)Alvaro Gomes
 
Reinstalar actualizar el sistema operativo android
Reinstalar actualizar el sistema operativo androidReinstalar actualizar el sistema operativo android
Reinstalar actualizar el sistema operativo androidAlvaro Gomes
 
Hackeando facebook com wireshark e cookie injector
Hackeando facebook com wireshark e cookie injectorHackeando facebook com wireshark e cookie injector
Hackeando facebook com wireshark e cookie injectorAlvaro Gomes
 
H4dummies (translated to portuguese)
H4dummies (translated to portuguese)H4dummies (translated to portuguese)
H4dummies (translated to portuguese)Alvaro Gomes
 
Algoritmos e estructura de dados
Algoritmos e estructura de dadosAlgoritmos e estructura de dados
Algoritmos e estructura de dadosAlvaro Gomes
 

Mais de Alvaro Gomes (20)

Museu nacional de história natural e da ciência
Museu nacional de história natural e da ciênciaMuseu nacional de história natural e da ciência
Museu nacional de história natural e da ciência
 
Luís Vaz de Camões Vida e Obras
Luís Vaz de Camões Vida e Obras Luís Vaz de Camões Vida e Obras
Luís Vaz de Camões Vida e Obras
 
Ética Deontológica Técnico Administrativo
Ética Deontológica Técnico AdministrativoÉtica Deontológica Técnico Administrativo
Ética Deontológica Técnico Administrativo
 
Revolução Industrial - O Ponto de Viragem
Revolução Industrial - O Ponto de ViragemRevolução Industrial - O Ponto de Viragem
Revolução Industrial - O Ponto de Viragem
 
Linux Commandos Cheat
Linux Commandos CheatLinux Commandos Cheat
Linux Commandos Cheat
 
Flash android using livesuit
Flash android using livesuitFlash android using livesuit
Flash android using livesuit
 
Websearch
WebsearchWebsearch
Websearch
 
13 Things the Government doesn´t want you to know
13 Things the Government doesn´t want you to know13 Things the Government doesn´t want you to know
13 Things the Government doesn´t want you to know
 
Hackeando facebook com wireshark e cookie injector
Hackeando facebook com wireshark e cookie injectorHackeando facebook com wireshark e cookie injector
Hackeando facebook com wireshark e cookie injector
 
Como transformar o router thomson num print server
Como transformar o router thomson num print serverComo transformar o router thomson num print server
Como transformar o router thomson num print server
 
Drivers ADB Android
Drivers ADB AndroidDrivers ADB Android
Drivers ADB Android
 
ROM china original (Shenzhen)
ROM china original (Shenzhen)ROM china original (Shenzhen)
ROM china original (Shenzhen)
 
Reinstalar actualizar el sistema operativo android
Reinstalar actualizar el sistema operativo androidReinstalar actualizar el sistema operativo android
Reinstalar actualizar el sistema operativo android
 
Hackeando facebook com wireshark e cookie injector
Hackeando facebook com wireshark e cookie injectorHackeando facebook com wireshark e cookie injector
Hackeando facebook com wireshark e cookie injector
 
H4dummies (translated to portuguese)
H4dummies (translated to portuguese)H4dummies (translated to portuguese)
H4dummies (translated to portuguese)
 
Algoritmos e estructura de dados
Algoritmos e estructura de dadosAlgoritmos e estructura de dados
Algoritmos e estructura de dados
 
HTML - Guia5
HTML - Guia5HTML - Guia5
HTML - Guia5
 
HTML - Guia4
HTML - Guia4HTML - Guia4
HTML - Guia4
 
HTML - Guia 3
HTML - Guia 3HTML - Guia 3
HTML - Guia 3
 
HTML - Guia 1 e 2
HTML - Guia 1 e 2HTML - Guia 1 e 2
HTML - Guia 1 e 2
 

Segurança Linux configuração

  • 1. LSI TEC (c) 2000 1 Implantação de Sistemas de Segurança com Linux Volnys Borges Bernal Frank Meylan Adilson Guelfi Matteo Nava {volnys,meylan,guelfi,ilnava}@lsi.usp.br Núcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP http://www.lsi.usp.br/~nsrav
  • 2. LSI TEC (c) 2000 2 Agenda o Configuração Segura Linux o Linux em Ambiente Corporativo o Sistemas de segurança Baseados em Linux
  • 3. LSI TEC (c) 2000 3 Configuração Segura Linux
  • 4. LSI TEC (c) 2000 4 Configuração Segura Linux o A maior parte das distribuições Linux utiliza uma instalação default que não é ideal para ser utilizada em um ambiente corporativo o Em um ambiente corporativo geralmente é necessário um sistema operacional seguro
  • 5. LSI TEC (c) 2000 5 Configuração Segura Linux o Segurança no boot X Senhas BIOS X Segurança Física X Senha LILO + proteção do arquivo X Modo single-user seguro
  • 6. LSI TEC (c) 2000 6 Configuração Segura Linux (1) Habilitar senha no monitor X Objetivo: êEvita que usuários digitem linhas de comando no monitor para, por exemplo: u realizar o boot de um outro dispositivo u realizar o boot no modo single-user (perigoso se não requisitar a senha do administrador) u mudar seqüência de boot (arquiteturas PC) X Restrições êArquiteturas PC: algumas BIOS possuem uma senha mestre que geralmente são conhecidas pela equipe de manutenção e “hackers” êÉ também possível apagar a senha realizando curtocircuito em determinados terminais da flash-ROM
  • 7. LSI TEC (c) 2000 7 Configuração Segura Linux (2) Segurança física X Objetivo êImpedir que a flash-ROM seja apagada, eliminando a senha do monitor. êImpedir que um disco seja roubado. X Restrições êImportante nos servidores que possuam informações sensíveis X Como proceder êRestrição de acesso físico à sala êRestrição física de acesso ao interior do equipamento
  • 8. LSI TEC (c) 2000 8 Configuração Segura Linux (3) Configuração do dispositivo de boot default X Objetivo êImpedir que seja realizado o boot por um dispositivo removível X Como proceder êEm arquiteturas PC, a lista de dispositivos a serem testados para carga do programa de boot deve incluir somente o dispositivo associado à partição raiz. Nunca incluir na lista dispositivos removíveis
  • 9. LSI TEC (c) 2000 9 Configuração Segura Linux (4) Modo single-user seguro X Objetivo êRequisitar a senha do administrador quando entra em modo single-user X Como configurar no Linux RedHat ou debian êDeve existir a seguinte linha no arquivo /etc/inittab: u su:S:wait:/sbin/sulogin
  • 10. LSI TEC (c) 2000 10 Configuração Segura Linux (5) Habilitar modo seguro do LILO (Linux RedHat / Debian) X Objetivo êEvitar que o usuário possa modificar parâmetros de carga (boot) do linux através do LILO. êPara isto é necessário informar uma senha. X Como proceder êAcrescentar as seguintes linhas ao arquivo /etc/lilo.conf: u restricted u password = <senha> êModificar a permissão do arquivo /etc/lilo.conf para leitura e escrita somente pelo root
  • 11. LSI TEC (c) 2000 11 Configuração Linux Segura o Opções de operação do kernel X Disponíveis em /proc/sys/net/ipv4 êicmp_echo_ignore_all (desabilitar se não for necessário) êicmp_echo_ignore_broadcast (desabilitar) êip_forward (desabilitar se não for necessário) êip_masq_debug (habilitar) êtcp_syncookies (habilitar) êrp_filter (habilitar) êsecure_redirects (habilitar) êlog_martians (habilitar) êaccept_source_route (desabilitar)
  • 12. LSI TEC (c) 2000 12 Configuração Linux Segura o Segurança de senhas X Habilitar Shadow êColocação das senhas em arquivo protegido (/etc/shadow) X Habilitar Aging êForçar mudança periódica das senhas pelos usuários
  • 13. LSI TEC (c) 2000 13 Configuração Segura Linux o Configuração dos serviços de rede X Somente os serviços de rede estritamente necessários X Desabilitar os processos não necessários X Estes processos podem ser disparados êAtravés de script u Scripts em /etc/rc.d/init?.d u chkconfig - utilitário para habilitar/ desabilitar serviços êAtravés do daemon inetd u Arquivo de configuração: /etc/inetd.conf
  • 14. LSI TEC (c) 2000 14 Configuração Segura Linux o Configuração dos serviços de rede (cont.) X Daemon inetd - Exemplo de arquivo /etc/inetd.conf ftp stream tcp nowait root /bin/ftpd ftpd telnet stream tcp nowait root /bin/telnetd telnetd login stream tcp nowait root /sbin/rlogind rlogind shell stream tcp nowait root /bin/rshd rshd cfinger stream tcp nowait guest /bin/fingerd fingerd #bootp dgram udp wait root /sbin/bootpd bootpd -f pop-2 stream tcp nowait root /sbin/ipop2d ipop2d pop-3 stream tcp nowait root /sbin/ipop3d ipop3d time stream tcp nowait root internal time dgram udp wait root internal rusersd dgram rpc/usd wait root /bin/rusersd rusersd
  • 15. LSI TEC (c) 2000 15 Daemon inetd (1) Inetd lê arquivo de configuração (/etc/inetd.conf) (2) Realiza “open passivo” nas portas necessárias (3) Aguarda conexões inetd open passivo 21 23 513 ftp telnet login TCP Arquivo /etc/inetd.conf: ftp stream tcp nowait root ftpd /usr/sbin/ftpd ftpd telnet stream tcp nowait root telnetd /usr/sbin/telnetd telnetd login stream tcp nowait root rlogind /usr/sbin/rlogind rlogind
  • 16. LSI TEC (c) 2000 16 Daemon inetd (4) Recebimento de um pedido de conexão na porta 23 (telnet) inetd 21 23 513 ftp telnet login TCP Arquivo /etc/inetd.conf: ftp stream tcp nowait root ftpd /usr/sbin/ftpd ftpd telnet stream tcp nowait root telnetd /usr/sbin/telnetd telnetd login stream tcp nowait root rlogind /usr/sbin/rlogind rlogind
  • 17. LSI TEC (c) 2000 17 Daemon inetd (5) Inetd dispara daemon associado (telnetd) telnetd inetd open passivo 21 23 513 ftp telnet login TCP Arquivo /etc/inetd.conf: ftp stream tcp nowait root /usr/sbin/ftpd ftpd telnet stream tcp nowait root /usr/sbin/telnetd telnetd login stream tcp nowait root /usr/sbin/rlogind rlogind
  • 18. LSI TEC (c) 2000 18 Configuração Segura Linux o Configurar TCP Wrappers X Serviço de controle de acesso a serviços Internet: êTambém chamado de “tcp_log” êPermite restringir e monitorar (via syslog) requisições para serviços como telnet, finger, ftp, rsh, rlogin, tftp, talk, e outros X Funcionalidades êLog u As conexões são monitoradas através do syslog. êControle de acesso u Configurado através dos arquivos: Õ/etc/hosts.allow Õ/etc/hosts.deny
  • 19. LSI TEC (c) 2000 19 Configuração Segura Linux o Configurar TCP Wrappers (cont.) X Exemplo de configuração: ê/etc/hosts.allow u ALL: LOCAL, .xyz.com.br EXCEPT PARANOID u ALL: 200.55.44.0/255.255.255.0 EXCEPT PARANOID u ALL EXCEPT telnetd: 200.55.48.0/255.255.255.0 u ftpd: ALL EXCEPT PARANOID ê/etc/hosts.deny u ALL: ALL
  • 20. LSI TEC (c) 2000 20 Configuração Segura Linux o Utilizar SSH em substituição ao telnet/ftp X Instalar OpenSSH o Configuração correta de hora/data X Utilizar protocolos de sincronização de relógio: êntpdate / xntp o Configurar terminais seguros X /etc/securetty o Customizar serviço de log X /etc/syslog.conf X direcionar uma cópia para o servidor central de log
  • 21. LSI TEC (c) 2000 21 Configuração Linux Segura o Habilitar sudo X Permite que um determinado utilitário seja executado com privilégio de administrador X Realiza log das atividades o Instalar e configurar Tripwire X Detecção de intrusão de host o Segurança X-windows X Habilitar X-windows somente se for necessário
  • 22. LSI TEC (c) 2000 22 Configuração Linux Segura o Bastile Linux Project X Script de auxílio na configuração de um sistema LINUX seguro X www.bastile-linux.org
  • 23. LSI TEC (c) 2000 23 Linux em Ambiente Corporativo
  • 24. LSI TEC (c) 2000 24 Linux em Ambiente Corporativo o Pode ser utilizado para várias finalidades distintas: (1) Como desktop para usuários (2) Como servidor êServidores para Intranet êServidores para Internet êServidor Gateway (3) Como plataforma para auditoria e análise de segurança (4) Como plataforma de desenvolvimento (5) Outros
  • 25. LSI TEC (c) 2000 25 Linux em Ambiente Corporativo o (1) Como desktop para os usuários X Linux em substituição aos sistemas Windows9x nos desktops X Vantagens êSistema operacional seguro u Classes distintas de usuários ÕAdministrador / Usuário Normal u Criação de LOGs para auditoria êCusto X Desvantagem êExistem ainda algumas tarefas que não podem ser realizadas em ambiente gráfico êTreinamento de usuários
  • 26. LSI TEC (c) 2000 26 Linux em Ambiente Corporativo Internet DMZ Intranet DMZ DNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet Intranet MAIL ? ? Log ? Clientes
  • 27. LSI TEC (c) 2000 27 Linux em Ambiente Corporativo Internet Roteamento Filtros NAT/Masquerade DMZ Proxy reverso VPN DMZ Intranet Endereçamento Endereçamento Privado Privado
  • 28. LSI TEC (c) 2000 28 Linux em Ambiente Corporativo o (2) Linux como Servidor X Servidores para Intranet êServidor de arquivos u NFS (UNIX), SAMBA (MS-Windows) êServidor WEB para a Intranet u Apache, Netscape êServidor DNS para a Intranet u BIND êServidor de Log u Syslog (nativo) êOutros serviços (Ex. Banco de Dados)
  • 29. LSI TEC (c) 2000 29 Linux em Ambiente Corporativo o (2) Linux como Servidor (cont.) X Servidores para DMZ êServidor DNS u BIND êServidor WEB u Apache, Netscape êServidor PROXY u Squid êServidor E-MAIL u sendmail u qmail
  • 30. LSI TEC (c) 2000 30 Linux em Ambiente Corporativo o (2) Linux como Servidor (cont.) X Servidores Gateways êRoteamento êFiltro de pacotes êNAT / Masquerade êTransparent Proxy êProxy Reverso êVPN êTambém possível alguns firewalls comerciais
  • 31. LSI TEC (c) 2000 31 Linux em Ambiente Corporativo X Servidores Gateways (cont.) êVantagens u Desempenho u Suporte a Hardware ÕFlexibilidade (comparado a outros UNIX) ÕCusto (comparado a outros UNIX) ÕAtualização u Suporte para diversos protocolos ÕEthernet/FastEthernet/GigabitEthernet ÕISDN / X25 / X21 ÕIPv4, IPX, IPv6 u Suporte a ÕIP-Chains (filtros, NAT, masquerade) u Custo do software
  • 32. LSI TEC (c) 2000 32 Linux em Ambiente Corporativo o (3) Como plataforma para Auditoria e Análise de segurança X Linux para a equipe de segurança / auditoria X Ferramentas: êAnalisadores de vulnerabilidades u Nessus êDetetores de intrusão de rede u Snort
  • 33. LSI TEC (c) 2000 33 Sistemas de segurança para Linux
  • 34. LSI TEC (c) 2000 34 Sistemas de segurança para Linux o Codificação de senhas com MD5 X Permite utilização de senhas com até 256 caracteres X Utiliza codificação hash MD5 o John The Ripper X Avaliador de senhas vulneráveis X Permite detectar senhas “fracas” no sistema X www.openwall.com/john o Crack X Avaliador de senhas vulneráveis
  • 35. LSI TEC (c) 2000 35 Sistemas de segurança para Linux o Tripwire X Detector de intrusão, baseado em host X Versão comercial: www.tripwire.com X Versão livre: www.tripwire.org o AIDE X Detector de intrusão, baseado em host êwww.cs.tut.fi/~rammer/aide.html
  • 36. LSI TEC (c) 2000 36 Sistemas de segurança para Linux o OpenSSH X Implementação livre do protocolo SSH (Secure Shell) X SSH1 / SSH2: Padrão Internet X “Telnet” criptografado e autenticado X “FTP” criptografado e autenticado X Canais X-windows criptografados e autenticados X www.openssh.com o S/Key X One Time Password X Implementação em software
  • 37. LSI TEC (c) 2000 37 Sistemas de segurança para Linux o SQUID X Servidor PROXY X Permite definir ACL êControle de acesso a páginas pelos usuários êFiltros por URL X LOG de acessos X Squid Web Proxy Cache êwwww.squid-cache.org
  • 38. LSI TEC (c) 2000 38 Sistemas de segurança para Linux o NAT x ProxyReverso (xinetd) Servidor Proxy xinetd Reverso TCP TCP UDP UDP TCP UDP TCP UDP ΝΑΤ ICMP IGMP ICMP IGMP ICMP IGMP ICMP IGMP IP IP IP IP ARP RARP ARP RARP ARP RARP ARP RARP Ethernet Ethernet Ethernet Ethernet
  • 39. LSI TEC (c) 2000 39 Sistemas de segurança para Linux Internet Filtros DMZ Intranet DMZ DNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet Intranet MAIL ? ? Log ? Clientes
  • 40. LSI TEC (c) 2000 40 Sistemas de segurança para Linux Internet Masquerade (troca de endereços N-1) DMZ Intranet DMZ DNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet Intranet MAIL ? ? Log ? Clientes
  • 41. LSI TEC (c) 2000 41 Sistemas de segurança para Linux Internet Proxy DMZ Reverso Intranet DMZ DNS Proxy WEB DNS p/ WEB p/ Arquivos Intranet Intranet MAIL ? ? Log ? Clientes
  • 42. LSI TEC (c) 2000 42 Sistemas de segurança para Linux o xinetd X Proxy Reverso X Permite uma conexão de uma porta para uma outra porta em um outro host o IPChains / IPMasqadm X Permite configurar opções do kernel para: êFiltros de pacotes êNAT - Network Address Translation êMasquerade o Problemas X Log no masquerade (muito log) X Log nos servidores (a identificação da máquina origem é da sua máquina gateway)
  • 43. LSI TEC (c) 2000 43 Sistemas de segurança para Linux o NMAP X Scanner de IP e Portas X www.insecure.org/nmap o SAINT X Analisador de vulnerabilidade (network based) o NESSUS X Scanner de IP e Portas X Analisador de vulnerabilidade (network based)
  • 44. LSI TEC (c) 2000 44 Sistemas de segurança para Linux o SHADOW X Detector de intrusão (network based) X The SANS Institute o SNORT X Detector de intrusão (network based) X www.snort.org
  • 45. LSI TEC (c) 2000 45 Sistemas de segurança para Linux o Firewalls Comerciais X Firewall-1 êwwww.checkpoint.com X Aker Firewall êwwww.aker.com.br X Phoenix Adaptive Firewall êwww.progressive-systems.com
  • 46. LSI TEC (c) 2000 46 Sistemas de segurança para Linux o Kerberos X Sistemas de Autenticação e Confidencialidade o Free Secure WAN X Virtural Private Network X Canal seguro para interligação de redes X Implementa IPSEC X VPN de êhost êrede
  • 47. LSI TEC (c) 2000 47 Sistemas de segurança para Linux o Servidor Central de Log X Objetivo êMáquina confiável que centralize o log de todas as máquinas do sistema X Como configurar êRealizar a configuração segura Linux êDesabilitar todos os servicos de rede êPermitir acesso somente pelo administrador via console
  • 48. LSI TEC (c) 2000 48 Obrigado NSRAV Núcleo de Segurança e Redes de Alta Velocidade Laboratório de Sistemas Integráveis Escola Politécnica da USP volnys@lsi.usp.br meylan@lsi.usp.br