SlideShare uma empresa Scribd logo
1 / 10
AuditoriaAuditoria: processo de exame e validação de um
sistema, atividade ou informação.
1 / 10
Histórico Antiguidade
Início da Civilização (4000ac)
Dinastia Zhao, Romanos, Bíblia, Idade média
Revolução Francesa
Brasil: Período Colonial Luso no Brasil: Juiz
2 / 10
Histórico Antiguidade
Início da Civilização (4000ac)
Dinastia Zhao, Romanos, Bíblia, Idade média
Revolução Francesa
Brasil: Período Colonial Luso no Brasil: Juiz
Século XX+
Crash 1929 (Criação da SEC em 34)
McKesson & Robbins (1939): auditoria independente
Anos 60: controles internos empresariais
Brasil: Norma do BACEN (1972), CVM (1976)
Enron (2001): Lei SOX (2002)
Swap Reverso (2008): 800 Bilhões de Dólares!
2 / 10
Motivos Avaliar
Por que ativar a auditoria
Estou seguro com auditoria?
Ideal: Instalação "zerada"
Real: Configuração de um servidor já em produção
Controle da pilha *
* Você controla o transporte do hardware?
3 / 10
Projeto Planejar
Definir objetivos
Definir escopo
Definir papéis para os envolvidos
Definir as ações
Avaliar Leis e Regulamentações
4 / 10
4 / 10
AIDE Advanced Intrusion Detection
Environment *
Analisa alterações em arquivos e pastas
Cria uma "fotografia" , depois compara
Lembrar de discos voláteis, logs, prelink
Somente para checagem rápida (uso ideal com cron+email)
Não é preventivo!
* site
5 / 10
AIDE
Exemplo
Configuração
/etc/aide.conf
# para diretórios, sem fazer hashes
DIR = p+i+n+u+g+acl+selinux+xattrs
# Access control only
PERMS = p+i+u+g+acl+selinux
# Insano:
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
/boot FIPSR
/etc PERMS
# Não monitorar (voláteis)
!/etc/mtab
!/usr/tmp
6 / 10
AIDE
Exemplo
Combinações
Iniciar com o básico, e ir sintonizando o sistema:
B: p+i+n+u+g
R: B+s+m+c+acl+selinux+xattrs+md5
L: B+acl+selinux+xattrs
E: Empty group
>: B+S+acl+selinux+xattrs
# combinando R+hashes
NORMAL = R+rmd160+sha256
LOG = >
# um R com 1 hash
RPLUS = R+sha512
man aide.conf ;)
7 / 10
show me the code!
7 / 10
7 / 10
Auditd The Linux Audit Daemon
Autores: Steve Grubb * (atual), Rick faith
Projeto criado e mantido pela Red Hat
Daemon que garante a aplicação das regras, definidas em
/etc/auditd/rules.conf
* site
8 / 10
Auditd
Exemplo
Monitorar
Com o auditd, podemos monitorar:
Cuidar de acesso a arquivos
Monitorar chamadas do SO
Registrar os comandos de um usuário
Registrar eventos de segurança
Procurar por eventos
Gerar relatórios
Monitorar acesso à rede
A performance do sistema pode ser afetada, dependendo da quantidade
de informação que está sendo coletada pelo Audit.
Who is gonna watch the watchmen?
9 / 10
little less conversation, a little more
action..
9 / 10
9 / 10
Outros Tem mais!
OSSEC - Open Source SECurity
Lynis
Como garantir que os logs são confiáveis?
Servidor de Syslog externo
Criptografar o Syslog
Impressão de acesso
Validar os executáveis do servidor (find é teu amigo!)
Módulo pam_tty_audit:
session required pam_tty_audit.so enable=*
iptables/ebtables
inotify/iWatch *
* Não é o relógio da maçã!
10 / 10
:wq
Obrigado !$ mail -s "GDG Foz do Iguaçu" spacial gmail com
/spacial
π
referências
10 / 10
Links para mais informações:
ISACA
Red Hat
Graficos Audit
Red Hat SecGuide
iWatch/inotify: Ótima palestra do Eriberto
OSSEC
SLEs SecGuide
The Institute of Internal Auditors Research Foundation
Apresentação usando Remark
Imagem: The Good, the Bad and the Ugly - by Orlando Abarca
10 / 10
another little things..
10 / 10

Mais conteúdo relacionado

Semelhante a Ativando a auditoria em servidores GNU/Linux - Jacson Renzo Querubin (7)

SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriques
 
Gerenciamento de Redes com Zabbix
Gerenciamento de Redes com ZabbixGerenciamento de Redes com Zabbix
Gerenciamento de Redes com Zabbix
 
De A a Zabbix - I Congresso de Ciências Exatas e Tecnológicas
De A a Zabbix - I Congresso de Ciências Exatas e TecnológicasDe A a Zabbix - I Congresso de Ciências Exatas e Tecnológicas
De A a Zabbix - I Congresso de Ciências Exatas e Tecnológicas
 
Botnets
BotnetsBotnets
Botnets
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
Treze ferramentas/frameworks para desenvolvimento Android
Treze ferramentas/frameworks para desenvolvimento AndroidTreze ferramentas/frameworks para desenvolvimento Android
Treze ferramentas/frameworks para desenvolvimento Android
 
Treze ferramentas/frameworks para desenvolvimento android
Treze ferramentas/frameworks para desenvolvimento androidTreze ferramentas/frameworks para desenvolvimento android
Treze ferramentas/frameworks para desenvolvimento android
 

Mais de GDGFoz

Dart e Flutter do Server ao Client Side
Dart e Flutter do Server ao Client SideDart e Flutter do Server ao Client Side
Dart e Flutter do Server ao Client Side
GDGFoz
 

Mais de GDGFoz (20)

Apresentação GDG Foz 2023
Apresentação GDG Foz  2023Apresentação GDG Foz  2023
Apresentação GDG Foz 2023
 
Desenvolvimento de um Comedouro para cães com Acionamento Automático e Remoto
Desenvolvimento de um Comedouro para cães com Acionamento Automático e RemotoDesenvolvimento de um Comedouro para cães com Acionamento Automático e Remoto
Desenvolvimento de um Comedouro para cães com Acionamento Automático e Remoto
 
Introdução do DEVSECOPS
Introdução do DEVSECOPSIntrodução do DEVSECOPS
Introdução do DEVSECOPS
 
Aquisição de dados IoT com Event Sourcing e Microservices
Aquisição de dados IoT com Event Sourcing e MicroservicesAquisição de dados IoT com Event Sourcing e Microservices
Aquisição de dados IoT com Event Sourcing e Microservices
 
Robótica Sucational
Robótica SucationalRobótica Sucational
Robótica Sucational
 
A nova era do desenvolvimento mobile
A nova era do desenvolvimento mobile A nova era do desenvolvimento mobile
A nova era do desenvolvimento mobile
 
Qualidade em Testes de Software
Qualidade em Testes de SoftwareQualidade em Testes de Software
Qualidade em Testes de Software
 
WebAssembly além da Web - Casos de Uso em IoT
WebAssembly além da Web - Casos de Uso em IoTWebAssembly além da Web - Casos de Uso em IoT
WebAssembly além da Web - Casos de Uso em IoT
 
Dart e Flutter do Server ao Client Side
Dart e Flutter do Server ao Client SideDart e Flutter do Server ao Client Side
Dart e Flutter do Server ao Client Side
 
UX: O que é e como pode influenciar a vida do desenvolvedor?
UX: O que é e como pode influenciar a vida do desenvolvedor?UX: O que é e como pode influenciar a vida do desenvolvedor?
UX: O que é e como pode influenciar a vida do desenvolvedor?
 
Dicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOpsDicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOps
 
Angular >= 2 - One Framework Mobile & Desktop
Angular >= 2 - One Framework Mobile & DesktopAngular >= 2 - One Framework Mobile & Desktop
Angular >= 2 - One Framework Mobile & Desktop
 
Automação Residencial Extrema com Opensource
Automação Residencial Extrema com OpensourceAutomação Residencial Extrema com Opensource
Automação Residencial Extrema com Opensource
 
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?
 
Desmistificando a programação funcional
Desmistificando a programação funcionalDesmistificando a programação funcional
Desmistificando a programação funcional
 
Microsserviços com Kotlin
Microsserviços com KotlinMicrosserviços com Kotlin
Microsserviços com Kotlin
 
Autenticação de dois fatores
Autenticação de dois fatores Autenticação de dois fatores
Autenticação de dois fatores
 
Fique em casa seguro (ou tente)!
Fique em casa seguro (ou tente)!Fique em casa seguro (ou tente)!
Fique em casa seguro (ou tente)!
 
Hooks em React: o novo jeito de fazer componentes funcionais
Hooks em React: o novo jeito de fazer componentes funcionaisHooks em React: o novo jeito de fazer componentes funcionais
Hooks em React: o novo jeito de fazer componentes funcionais
 
Angular, React ou Vue? Comparando os favoritos do JS reativo
Angular, React ou Vue? Comparando os favoritos do JS reativoAngular, React ou Vue? Comparando os favoritos do JS reativo
Angular, React ou Vue? Comparando os favoritos do JS reativo
 

Ativando a auditoria em servidores GNU/Linux - Jacson Renzo Querubin

  • 2. AuditoriaAuditoria: processo de exame e validação de um sistema, atividade ou informação. 1 / 10
  • 3. Histórico Antiguidade Início da Civilização (4000ac) Dinastia Zhao, Romanos, Bíblia, Idade média Revolução Francesa Brasil: Período Colonial Luso no Brasil: Juiz 2 / 10
  • 4. Histórico Antiguidade Início da Civilização (4000ac) Dinastia Zhao, Romanos, Bíblia, Idade média Revolução Francesa Brasil: Período Colonial Luso no Brasil: Juiz Século XX+ Crash 1929 (Criação da SEC em 34) McKesson & Robbins (1939): auditoria independente Anos 60: controles internos empresariais Brasil: Norma do BACEN (1972), CVM (1976) Enron (2001): Lei SOX (2002) Swap Reverso (2008): 800 Bilhões de Dólares! 2 / 10
  • 5. Motivos Avaliar Por que ativar a auditoria Estou seguro com auditoria? Ideal: Instalação "zerada" Real: Configuração de um servidor já em produção Controle da pilha * * Você controla o transporte do hardware? 3 / 10
  • 6. Projeto Planejar Definir objetivos Definir escopo Definir papéis para os envolvidos Definir as ações Avaliar Leis e Regulamentações 4 / 10
  • 8. AIDE Advanced Intrusion Detection Environment * Analisa alterações em arquivos e pastas Cria uma "fotografia" , depois compara Lembrar de discos voláteis, logs, prelink Somente para checagem rápida (uso ideal com cron+email) Não é preventivo! * site 5 / 10
  • 9. AIDE Exemplo Configuração /etc/aide.conf # para diretórios, sem fazer hashes DIR = p+i+n+u+g+acl+selinux+xattrs # Access control only PERMS = p+i+u+g+acl+selinux # Insano: FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256 /boot FIPSR /etc PERMS # Não monitorar (voláteis) !/etc/mtab !/usr/tmp 6 / 10
  • 10. AIDE Exemplo Combinações Iniciar com o básico, e ir sintonizando o sistema: B: p+i+n+u+g R: B+s+m+c+acl+selinux+xattrs+md5 L: B+acl+selinux+xattrs E: Empty group >: B+S+acl+selinux+xattrs # combinando R+hashes NORMAL = R+rmd160+sha256 LOG = > # um R com 1 hash RPLUS = R+sha512 man aide.conf ;) 7 / 10
  • 11. show me the code! 7 / 10
  • 13. Auditd The Linux Audit Daemon Autores: Steve Grubb * (atual), Rick faith Projeto criado e mantido pela Red Hat Daemon que garante a aplicação das regras, definidas em /etc/auditd/rules.conf * site 8 / 10
  • 14. Auditd Exemplo Monitorar Com o auditd, podemos monitorar: Cuidar de acesso a arquivos Monitorar chamadas do SO Registrar os comandos de um usuário Registrar eventos de segurança Procurar por eventos Gerar relatórios Monitorar acesso à rede A performance do sistema pode ser afetada, dependendo da quantidade de informação que está sendo coletada pelo Audit. Who is gonna watch the watchmen? 9 / 10
  • 15. little less conversation, a little more action.. 9 / 10
  • 17. Outros Tem mais! OSSEC - Open Source SECurity Lynis Como garantir que os logs são confiáveis? Servidor de Syslog externo Criptografar o Syslog Impressão de acesso Validar os executáveis do servidor (find é teu amigo!) Módulo pam_tty_audit: session required pam_tty_audit.so enable=* iptables/ebtables inotify/iWatch * * Não é o relógio da maçã! 10 / 10
  • 18. :wq Obrigado !$ mail -s "GDG Foz do Iguaçu" spacial gmail com /spacial π referências 10 / 10
  • 19. Links para mais informações: ISACA Red Hat Graficos Audit Red Hat SecGuide iWatch/inotify: Ótima palestra do Eriberto OSSEC SLEs SecGuide The Institute of Internal Auditors Research Foundation Apresentação usando Remark Imagem: The Good, the Bad and the Ugly - by Orlando Abarca 10 / 10