Hardening linux

1.696 visualizações

Publicada em

Palestra realizada no Latinoware 2010 mostrando como realizar o Hardening (fortalecimento) de um servidor Linux.

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.696
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Hardening linux

  1. 1. Hardening Linux Práticas para manter um servidor seguro Hugo Doria @hdoria http://hdoria.com hdoria@me.comsábado, 29 de outubro de 11
  2. 2. HUGO QUEM? • Administrador de Sistemas • Desenvolvedor do Arch Linux • Criador do HnTool, PacUpdate e outras ferramentas • POGamador nas horas vagas • Pai corujasábado, 29 de outubro de 11
  3. 3. sábado, 29 de outubro de 11
  4. 4. sábado, 29 de outubro de 11
  5. 5. sábado, 29 de outubro de 11
  6. 6. Incidentes Reportados ao CERT Fonte: cert.org, 2010sábado, 29 de outubro de 11
  7. 7. Incidentes Reportados ao CERT 400000 300000 200000 100000 1999 2000 2001 2002 2003 2004 0 2005 2006 2007 2008 2009 2010 Fonte: cert.org, 2010sábado, 29 de outubro de 11
  8. 8. Hardening é o mapeamento de ameaças e execução de atividades corretivas com o objetivo de fortalecer o sistema operacional.sábado, 29 de outubro de 11
  9. 9. Mas amor, como eu posso fazer esse fortalecimento? :Bsábado, 29 de outubro de 11
  10. 10. Planejamento • Quais serviços serão instalados? • Qual a disponibilidade necessária? • Qual a carga que devo suportar? • Quem deve ter acesso? • E se algo der errado?sábado, 29 de outubro de 11
  11. 11. Princípios Básicos • Desinstalar softwares desnecessários • Desabilitar serviços (# netstat -nltup) • Desabilitar o login remoto de root • Manter o sistema sempre atualizado • Política de senhas fortessábado, 29 de outubro de 11
  12. 12. acesso físico = problemasábado, 29 de outubro de 11
  13. 13. Protegendo o GRUB # grub grub> md5crypt Password: ****** Encrypted: $1$2FXKzQ0$I6k7iy22wB27CrkzdVPe70 # vi /boot/grub/menu.lst passwd --md5 $1$2FXKzQ0$I6k7iy22wB27CrkzdVPe70sábado, 29 de outubro de 11
  14. 14. SUID/SGID SUID: # find / -perm -4000 SGID: # find / -perm -2000sábado, 29 de outubro de 11
  15. 15. Sistemas de Arquivos Retirar permissões no /etc/fstabsábado, 29 de outubro de 11
  16. 16. Sistemas de Arquivos OPÇÃO DESCRIÇÃO nodev não interpreta dispositivos físicos noexec não permite a execução de binários nosuid não é permitido setar o suid ro filesystem como somente leiturasábado, 29 de outubro de 11
  17. 17. Sistemas de Arquivos Montando o /home com segurança: /dev/sda2 /home ext4 noexec,nodev,nosuid 0 2 Montando o /tmp com segurança: /dev/sda3 /tmp ext4 noexec,nodev,nosuid 0 2sábado, 29 de outubro de 11
  18. 18. SSHsábado, 29 de outubro de 11
  19. 19. SSH PermitRootLogin Yessábado, 29 de outubro de 11
  20. 20. SSH PermitRootLogin Nosábado, 29 de outubro de 11
  21. 21. SSH PermitRootLogin No PermitEmptyPasswords Yessábado, 29 de outubro de 11
  22. 22. SSH PermitRootLogin No PermitEmptyPasswords Nosábado, 29 de outubro de 11
  23. 23. SSH PermitRootLogin No PermitEmptyPasswords No Protocol 1,2sábado, 29 de outubro de 11
  24. 24. SSH PermitRootLogin No PermitEmptyPasswords No Protocol 2sábado, 29 de outubro de 11
  25. 25. SSH PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b csábado, 29 de outubro de 11
  26. 26. SSH Port 22 PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b csábado, 29 de outubro de 11
  27. 27. SSH Port 8022 PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b csábado, 29 de outubro de 11
  28. 28. SSH Usar chave de autenticação!!!sábado, 29 de outubro de 11
  29. 29. Logout automático # vi /etc/profile TMOUT=1200 HISTSIZE=100sábado, 29 de outubro de 11
  30. 30. PROFTPDsábado, 29 de outubro de 11
  31. 31. PROFTPD MaxLoginAttemps 3 RootLogin No ServerIdent No DefaultRoot ˜sábado, 29 de outubro de 11
  32. 32. Ferramentas Auxiliaressábado, 29 de outubro de 11
  33. 33. Ferramentas Auxiliares • SELinux • http://selinux.sourceforge.net • GrSecurity • http://www.grsecurity.net • PaX Project • http://pax.grsecurity.net/sábado, 29 de outubro de 11
  34. 34. Bastille http://bastille-linux.sourceforge.net/sábado, 29 de outubro de 11
  35. 35. Nessus http://www.nessus.org/sábado, 29 de outubro de 11
  36. 36. HnTool http://hntool.net/sábado, 29 de outubro de 11
  37. 37. Conclusão • Má configuração = problema • Necessidade de hardening • Tarefa constante! • Criação de uma nova ferramenta de segurança!sábado, 29 de outubro de 11
  38. 38. Referênciassábado, 29 de outubro de 11
  39. 39. Referênciassábado, 29 de outubro de 11
  40. 40. Referênciassábado, 29 de outubro de 11
  41. 41. sábado, 29 de outubro de 11

×