Segurança em servidores Linux

1.744 visualizações

Publicada em

Publicada em: Educação
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.744
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
126
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança em servidores Linux

  1. 1. Segurança em Servidores LinuxBaseado na Norma ISO 27002
  2. 2. Cesar DomingosEspecialista atuante há mais de 11 anos em projetos de redes corporativas eadministração de redes.Hoje atuando como Consultor de Business Intelligence com Software Livre na Smart.Atuou por 4 anos como Líder de Treinamentos da Empresa 4Linux, lançando novoscursos e metodologias de ensino.Desenvolvimento de soluções para reduções de custos em TI, projetos de Redes etreinamentos especializados utilizando Software Livre Pentaho para BusinessIntelligence, Sistemas Linux para Segurança de Redes como Firewall, Pen-Test eseguranças baseadas na norma BS7799(ISO 27002).Como instrutor ministrou mais de 100 turmas, sendo elas de Linux, Segurança emSoftware Livre e Business Intelligence com Pentaho.Graduado na Faculdade de Tecnologia em Redes de Computadores pela USCS.Certificado LPIC-3(Linux Professional Institute nível 3).Um dos autores do livro BS7799 – Da tática a prática em servidores Linux.
  3. 3. O que é Software Livre?● Segundo definição da FSF (Free Software Fundation), Software Livre é qualquer programa de computador que pode ser usado, copiado, estudado e redistribuído sem restrições.
  4. 4. Software Livre não quer dizer trabalho de graça
  5. 5. Software Livre. Onde encontro?
  6. 6. Softwares Livres mais poularesSistema Operacional: GNU/LinuxServidor Web: ApacheServidor de E-mail: PostfixServidor de Arquivos: SambaServidor de DNS: BINDServidor de Aplicação: TomCat, JbossServidor de Banco de Dados: MySQL, PostgreSQLNavegadores: Firefox, ChromePacote de Escritório: OpenOfficeEducação a distância: Moodle
  7. 7. Softwares Livres mais poularesSistema Wiki: MediaWikiTelefonia: AsteriskTeleconferência: BBB, Open MeetingsBusiness Intelligence: Pentaho, SpagoBIBPM: BonitaVirtualização: Xen, KVM, OpenVZLinguagens de Programação: Python, Java, Perl, PHP, LUA,Ruby, Gambas e Tcl.Solução de Gruopware: Zimbra, ExpressoE Muito, muito mais......
  8. 8. Linux em diversos sabores
  9. 9. Segurança da Informação A segurança da informação está relacionada com proteçãode um conjunto de dados, no sentido de preservar o valor quepossuem para um indivíduo ou uma organização. São características básicas da segurança da informação osatributos de confidencialidade, integridade, disponibilidadee autenticidade, não estando esta segurança restrita somentea sistemas computacionais, informações eletrônicas ousistemas de armazenamento. O conceito se aplica a todos osaspectos de proteção de informações e dados.
  10. 10. Sobre a Norma ISO 27002- Baseada na norma BS7799 - British Standard7799 é uma norma padrão de segurança dainformação. Foi desenvolvidaem 1995 na Inglaterra pela British Standard.- E qual o objetivo da Norma ISO 27002?
  11. 11. Mostra o que fazer, mas não como• Como todas as normas, ela dita boas práticas que devem ser adotadas para aplicar a segurança da informação em diversas áreas. Mas não diz como deve ser feito.• Com isso em mente, o objetivo dessa palestra é mostrar como aplicar essas boas práticas em servidores GNU/Linux.
  12. 12. Meu Sistema Operacional é seguro?
  13. 13. Resposta:
  14. 14. Segurança Fail
  15. 15. Motivo de não ser seguroInstalei. Tá funcionando. Então TÁ BOM!!!
  16. 16. Segurança vs FlexibilidadeFlexibilidade Risco Segurança Segurança Risco Flexibilidade
  17. 17. Preciso proteger os meus servidores Linux. O que fazer?• Aplicar Técnicas de Hardening.• Criar políticas de acessos.• Ter todos os eventos registrados.• Servidores Monitorados.• Cuidado com acesso físico.• Muitos outros.
  18. 18. Técnicas de Hardening• Um sistema operacional, é 100%?• O Linux por ser mais robusto, é 100%?• Podemos deixar um sistema operacional 100% seguro?• O que é Hardening?
  19. 19. Técnicas de Hardening• Remover programas desnecessários• Ajustar permissões especiais• Aplicar segurança no sistema de arquivos• Gerenciar acessos locais e remotos• Ajustar privilégios de usuários• Procurar por senhas fracas• Outros
  20. 20. Proteção ao Sistema de Arquivos• As boas práticas do FHS (Filesytem Hierarchy Standard) é particionar o disco rígido para alocar os principais pontos de montagem do sistema, que são: ▫ / ▫ /usr ▫ /var ▫ /home ▫ /tmp
  21. 21. Separar o /tmp? Qual o motivo?• Além dos motivos tradicionais, existe a questão das permissões.• O diretório /tmp é um diretório que permite tudo: ▫ # ls –l /tmp ▫ drwxrwxrwt 7 root root 4096 /tmp/• Por isso ele é um dos principais alvos de injeção de códigos maliciosos no sistema.
  22. 22. Como proteger• O sistema de montagem do Linux, permite que seja passados alguns parâmetros quando a partição é montada, e dois deles são bem úteis para esse caso: ▫ noexec – Não permite a execução na partição, mesmo que o arquivo tenha essa permissão. ▫ nosuid – Não permite que o arquivo seja executada com a permissão de Suid Bit.
  23. 23. Políticas de Acesso• Fechar toas as portas de serviços que não estão sendo utilizados.• Tirar acesso direto do usuário root local e remoto• Fazer restrições de acesso ao SSH• Controlar horários de acesso• Limitar quantidade de execução de processos por usuário comuns
  24. 24. Restrições no SSH• Mudar a portão padrão 22 para outra porta.• Restringir o IP por ListenAddress• Bloquear o root com PermiteRootLogin no• Definir grupos de acesso com AllowGroups• SSH com autenticação por chaves.• Restringir horários de acesso em conjunto com o módulo pam_time.so do PAM ● /etc/security/time.conf sshd:*:*:Al0800-1800
  25. 25. Quando acontece algo no servidor. Onde devo procurar?
  26. 26. Nos Logs do Sistema• Diretório dos Logs: ● /var/log – wtmp (Comando last) – btmp (Comando lastb) – utmp (Comandos w e who) – lastlog (Comando lastlog) – E todos os logs que são gravados no formato texto
  27. 27. Registrar é preciso• Identificação dos usuários;• Datas e horários de entrada (login, logout);• Identidade do terminal, nome da máquina ou IP;• Registro das tentativas de acesso aos aceitos erejeitados;• Registro das tentativas de acesso a outros recursose dados aceitos e rejeitados;• Alteração de arquivos;• Uso de privilégios, aplicativos e utilitários do sistema.
  28. 28. Como Registrar● Padrões: ● Syslog e Rsyslog● Para personalizar ● Syslog-NG (Com estrutura Cliente-Servidor)● Auxiliares ● Lastcomm ● Snoop
  29. 29. Monitorando a Segurança dos Servidores● HIDS (Host Intrusion Detection System) ● OSSEC (Active-Response)● NIDS (Network Intrusion Detection System) ● Snort com MySQL e AIDE● Nessus (Análise de Vulnerabilidades)
  30. 30. Active-Response
  31. 31. O que mais pode ser feito?● Criar boas regras de Firewall com Iptables● Ajustes de segurança em cada aplicação instalada (Ex: Apache, Postfix, Bind, etc)● Trabalhar com ambientes enjaulados (chroot)● Conexões seguras entre redes com VPN● Criar regras de acessos com SELinux
  32. 32. Logo...Instalei. Tá funcionando. Então TÁ BOM!!!
  33. 33. Outro lado da segurança: Pentest
  34. 34. Perguntas?

×