SlideShare uma empresa Scribd logo

Unidade5 roteiro

1 de 3
Baixar para ler offline
Curso Técnico de Manutenção e Suporte em Informática
                        Segurança da Informação
                         Prof. Leandro Almeida

                Roteiro – Hardening pós-instalação em Linux


   1 BIOS e Bootloader passwords
      1.1      Proteção contra alterações na BIOS
           No setup do computador, habilite a inicialização através de senha. Vale salientar
que nem todos os setups possuem essa funcionalidade.

       1.2      Proteger o GRUB contra edições
             Execute o comando para gerar o hash da senha:


         # /sbin/grub­md5­crypt

            Edite o arquivo de configuração do GRUB, /boot/grub/boot.conf. Após a linha
      timeout na seção principal do documento, adicione a seguinte linha:

          password ­ ­md5        <password­hash>

             Onde <password­hash> corresponde a saída do comando /sbin/grub­
md5­crypt

    2 Controles administrativos
      2.1       Desabilitar acesso com usuário root
          2.1.1    Local
             Remova o conteúdo do arquivo com o comando:

         # echo > /etc/securetty
Este arquivo possui uma lista de dispositivos onde o usuário root pode efetuar
login. Esta ação força ao usuário, após efetuar login, utilizar os comandos 'su' ou 'sudo'.
           2.1.2     SSH
              Edite o arquivo de configuração (/etc/ssh/sshd_config) e troque a linha

       # PermitRootLogin yes 

             para:

       PermitiRootLogin no 

             Esta ação força ao usuário, após efetuar login remoto, utilizar os comandos 'su'
ou 'sudo'.

    3 Serviços inseguros
             Utilizando o utilitário chkconfig, observe se os serviços abaixo estão em
execução:
                 • rlogin
                 • rsh
                 • telnet
                 • vsftpd
             Caso estejam, desabilite os serviços com o utilitário 'service'.

    4 Filtro de pacotes
       A ideia é criar uma configuração personalizada do filtro de pacotes. Inicialmente,
setaremos a política padrão das chains INPUT e FORWARD para rejeitar pacotes. A chain
OUTPUT será setada para aceitar pacotes. Adicionamos uma regra a chain INPUT para aceitar
conexões da interface de loopback(127.0.0.1), visto que alguns serviços, necessitam dessa
conexão.
       Adicionamos uma regra para rejeitar pacotes ICMP, ou seja, o servidor não aceitará
Linux. Adicionamos uma regra para aceitar direcionados a porte UDP/53, assim o servidor
poderá navegar utilizando o DNS. A última regra permite o trágefo de conexões
estabelecidas.

       #!/bin/bash 
       #assign variable $IPT with the iptables command 
       IPT=/sbin/iptables 
       #set policies on each chain 
       $IPT ­P INPUT DROP 
       $IPT ­P FORWARD DROP 
       $IPT ­P OUTPUT ACCEPT #default, but set it anyway 
       #flush all rules in the filter table 
       $IPT ­F 
       #allow traffic on the loopback interface 
       $IPT ­A INPUT ­i lo ­j ACCEPT 
       #deny icmp traffic 
       $IPT ­A INPUT ­p icmp ­j DROP 
       #allow incoming DNS traffic 
       $IPT ­A INPUT ­p udp ­­sport 53 ­j ACCEPT 
       #allow established TCP connections 
$IPT ­A INPUT ­p tcp ! ­­syn ­j ACCEPT 


   5 Atualizações de segurança
            Crie o hábito de manter seu sistema atualizado com o utilitário YUM:

      # yum update


              Procure sempre utilizar os repositórios oficiais do CentOS. Uma lista de
repositórios pode ser encontrada em:
 http://www.centos.org/modules/tinycontent/index.php?id=30

Recomendados

Linux - Servidor de FTP VSFTPD
Linux - Servidor de FTP VSFTPDLinux - Servidor de FTP VSFTPD
Linux - Servidor de FTP VSFTPDFrederico Madeira
 
Instalando Ubuntu Server - Manual
Instalando Ubuntu Server - ManualInstalando Ubuntu Server - Manual
Instalando Ubuntu Server - ManualAparicio Junior
 
Apresentação PGDAY - instalação e configuração - PostgreSQL
Apresentação PGDAY - instalação e configuração - PostgreSQLApresentação PGDAY - instalação e configuração - PostgreSQL
Apresentação PGDAY - instalação e configuração - PostgreSQLJohnes Castro
 

Mais conteúdo relacionado

Mais procurados

Firewall Definitivo - William Souza
Firewall Definitivo - William SouzaFirewall Definitivo - William Souza
Firewall Definitivo - William SouzaTchelinux
 
Instalação e configuração apache Ubuntu Server
Instalação e configuração apache Ubuntu ServerInstalação e configuração apache Ubuntu Server
Instalação e configuração apache Ubuntu ServerAparicio Junior
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debianEduardo Mendes
 
Super video aulas comandos shell linux + de 2 horas de aula
Super video aulas comandos shell linux + de 2 horas de aulaSuper video aulas comandos shell linux + de 2 horas de aula
Super video aulas comandos shell linux + de 2 horas de aulaVideo Aulas Linux e Mikrotik
 
SENAI - Segurança firewall
SENAI - Segurança   firewall SENAI - Segurança   firewall
SENAI - Segurança firewall Carlos Melo
 
Apache2.4 tuning-hands on
Apache2.4 tuning-hands onApache2.4 tuning-hands on
Apache2.4 tuning-hands onRenato Gomes
 
Tutorial Replicação Slony
Tutorial Replicação SlonyTutorial Replicação Slony
Tutorial Replicação SlonySofia Trindade
 
KIWI: Leve o openSUSE para todos os lugares
KIWI: Leve o openSUSE para todos os lugaresKIWI: Leve o openSUSE para todos os lugares
KIWI: Leve o openSUSE para todos os lugareselliando dias
 
Instalando nx server no ubuntu 9_10
Instalando nx server no ubuntu 9_10Instalando nx server no ubuntu 9_10
Instalando nx server no ubuntu 9_10limafricke
 
Aula 10 configuração ip estático ubuntu server
Aula 10   configuração ip estático ubuntu serverAula 10   configuração ip estático ubuntu server
Aula 10 configuração ip estático ubuntu serverAparicio Junior
 
Configurando o ftp - ubuntu server
Configurando o ftp - ubuntu serverConfigurando o ftp - ubuntu server
Configurando o ftp - ubuntu serverAparicio Junior
 
Compartilhamento no samba com permissão de grupo
Compartilhamento no samba com permissão de grupoCompartilhamento no samba com permissão de grupo
Compartilhamento no samba com permissão de grupoCarlos Eduardo
 

Mais procurados (19)

Firewall Definitivo - William Souza
Firewall Definitivo - William SouzaFirewall Definitivo - William Souza
Firewall Definitivo - William Souza
 
Instalação e configuração apache Ubuntu Server
Instalação e configuração apache Ubuntu ServerInstalação e configuração apache Ubuntu Server
Instalação e configuração apache Ubuntu Server
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debian
 
Php WatchDog
Php WatchDogPhp WatchDog
Php WatchDog
 
Roteiro nfs
Roteiro nfsRoteiro nfs
Roteiro nfs
 
Super video aulas comandos shell linux + de 2 horas de aula
Super video aulas comandos shell linux + de 2 horas de aulaSuper video aulas comandos shell linux + de 2 horas de aula
Super video aulas comandos shell linux + de 2 horas de aula
 
Cacti
CactiCacti
Cacti
 
SENAI - Segurança firewall
SENAI - Segurança   firewall SENAI - Segurança   firewall
SENAI - Segurança firewall
 
Apache2.4 tuning-hands on
Apache2.4 tuning-hands onApache2.4 tuning-hands on
Apache2.4 tuning-hands on
 
Tutorial Replicação Slony
Tutorial Replicação SlonyTutorial Replicação Slony
Tutorial Replicação Slony
 
KIWI: Leve o openSUSE para todos os lugares
KIWI: Leve o openSUSE para todos os lugaresKIWI: Leve o openSUSE para todos os lugares
KIWI: Leve o openSUSE para todos os lugares
 
Usuário LInux
Usuário LInuxUsuário LInux
Usuário LInux
 
Instalando nx server no ubuntu 9_10
Instalando nx server no ubuntu 9_10Instalando nx server no ubuntu 9_10
Instalando nx server no ubuntu 9_10
 
Aula 10 configuração ip estático ubuntu server
Aula 10   configuração ip estático ubuntu serverAula 10   configuração ip estático ubuntu server
Aula 10 configuração ip estático ubuntu server
 
Configurando o ftp - ubuntu server
Configurando o ftp - ubuntu serverConfigurando o ftp - ubuntu server
Configurando o ftp - ubuntu server
 
Compartilhamento no samba com permissão de grupo
Compartilhamento no samba com permissão de grupoCompartilhamento no samba com permissão de grupo
Compartilhamento no samba com permissão de grupo
 
Processos (Linux)
Processos (Linux)Processos (Linux)
Processos (Linux)
 
Apache
ApacheApache
Apache
 
(14) ftp
(14) ftp(14) ftp
(14) ftp
 

Destaque (6)

Unidade3 roteiro proxy
Unidade3 roteiro proxyUnidade3 roteiro proxy
Unidade3 roteiro proxy
 
Manual instalacao-cent os
Manual instalacao-cent osManual instalacao-cent os
Manual instalacao-cent os
 
Unidade8 roteiro
Unidade8 roteiroUnidade8 roteiro
Unidade8 roteiro
 
Manual instalação winxp
Manual instalação winxpManual instalação winxp
Manual instalação winxp
 
Unidade7 roteiro
Unidade7 roteiroUnidade7 roteiro
Unidade7 roteiro
 
D do s
D do sD do s
D do s
 

Semelhante a Unidade5 roteiro

Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTecla Internet
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e HardeningBruna Griebeler
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFLuiz Arthur
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLfgsl
 
Project HA
Project HAProject HA
Project HAKarpv
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisconogueira
 
Slack4security
Slack4securitySlack4security
Slack4securityDaniel
 
Linux4security
Linux4securityLinux4security
Linux4securityDaniel
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos ciscoAllan Alencar
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxIvani Nascimento
 
Alta Disponibilidade em Linux com Heartbeat e Drbd
Alta Disponibilidade em Linux com Heartbeat e DrbdAlta Disponibilidade em Linux com Heartbeat e Drbd
Alta Disponibilidade em Linux com Heartbeat e DrbdFrederico Madeira
 
Minicurso GNU/Linux básico - Aula1 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula1 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula1 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula1 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 

Semelhante a Unidade5 roteiro (20)

Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos Linux
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PF
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
 
Project HA
Project HAProject HA
Project HA
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisco
 
I educar-manual-de-instalaao
I educar-manual-de-instalaaoI educar-manual-de-instalaao
I educar-manual-de-instalaao
 
Slack4security
Slack4securitySlack4security
Slack4security
 
IntroduçãO Ao Linux
IntroduçãO Ao LinuxIntroduçãO Ao Linux
IntroduçãO Ao Linux
 
Linux4security
Linux4securityLinux4security
Linux4security
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos cisco
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do Linux
 
Squid proxy
Squid proxySquid proxy
Squid proxy
 
01 notações iniciais
01   notações iniciais01   notações iniciais
01 notações iniciais
 
Comandos Linux Parte 2
Comandos Linux Parte 2Comandos Linux Parte 2
Comandos Linux Parte 2
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consulta
 
Alta Disponibilidade em Linux com Heartbeat e Drbd
Alta Disponibilidade em Linux com Heartbeat e DrbdAlta Disponibilidade em Linux com Heartbeat e Drbd
Alta Disponibilidade em Linux com Heartbeat e Drbd
 
Minicurso GNU/Linux básico - Aula1 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula1 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula1 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula1 - Semana Sistemas de Informação 2015 - UNI...
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBD
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 

Mais de Leandro Almeida (20)

Segurança de-redes
Segurança de-redesSegurança de-redes
Segurança de-redes
 
Unidade2 projeto lógico da rede
Unidade2   projeto lógico da redeUnidade2   projeto lógico da rede
Unidade2 projeto lógico da rede
 
Roteiro cups
Roteiro cupsRoteiro cups
Roteiro cups
 
Roteiro sambaswat
Roteiro sambaswatRoteiro sambaswat
Roteiro sambaswat
 
Roteiro samba
Roteiro sambaRoteiro samba
Roteiro samba
 
Unidade6 roteiro pentest
Unidade6 roteiro pentestUnidade6 roteiro pentest
Unidade6 roteiro pentest
 
Roteiro vsftpd
Roteiro vsftpdRoteiro vsftpd
Roteiro vsftpd
 
Unidade5 roteiro footprint
Unidade5 roteiro footprintUnidade5 roteiro footprint
Unidade5 roteiro footprint
 
Unidade5 footprint
Unidade5 footprintUnidade5 footprint
Unidade5 footprint
 
Unidade 8 ieee802-11i
Unidade 8   ieee802-11iUnidade 8   ieee802-11i
Unidade 8 ieee802-11i
 
Unidade4 cripto
Unidade4 criptoUnidade4 cripto
Unidade4 cripto
 
Roteiro dns
Roteiro dnsRoteiro dns
Roteiro dns
 
Unidade 6 servico dns
Unidade 6   servico dnsUnidade 6   servico dns
Unidade 6 servico dns
 
Roteiro web
Roteiro webRoteiro web
Roteiro web
 
Unidade 7 cripto
Unidade 7  criptoUnidade 7  cripto
Unidade 7 cripto
 
Unidade 5 servico web
Unidade 5   servico webUnidade 5   servico web
Unidade 5 servico web
 
Unidade3 seg perimetral-vpn
Unidade3 seg perimetral-vpnUnidade3 seg perimetral-vpn
Unidade3 seg perimetral-vpn
 
Unidade3 seg perimetral-vpn
Unidade3 seg perimetral-vpnUnidade3 seg perimetral-vpn
Unidade3 seg perimetral-vpn
 
Unidade3 seg perimetral-ids
Unidade3 seg perimetral-idsUnidade3 seg perimetral-ids
Unidade3 seg perimetral-ids
 
Unidade3 seg perimetral-proxy
Unidade3 seg perimetral-proxyUnidade3 seg perimetral-proxy
Unidade3 seg perimetral-proxy
 

Unidade5 roteiro

  • 1. Curso Técnico de Manutenção e Suporte em Informática Segurança da Informação Prof. Leandro Almeida Roteiro – Hardening pós-instalação em Linux 1 BIOS e Bootloader passwords 1.1 Proteção contra alterações na BIOS No setup do computador, habilite a inicialização através de senha. Vale salientar que nem todos os setups possuem essa funcionalidade. 1.2 Proteger o GRUB contra edições Execute o comando para gerar o hash da senha: # /sbin/grub­md5­crypt Edite o arquivo de configuração do GRUB, /boot/grub/boot.conf. Após a linha timeout na seção principal do documento, adicione a seguinte linha: password ­ ­md5 <password­hash> Onde <password­hash> corresponde a saída do comando /sbin/grub­ md5­crypt 2 Controles administrativos 2.1 Desabilitar acesso com usuário root 2.1.1 Local Remova o conteúdo do arquivo com o comando:    # echo > /etc/securetty
  • 2. Este arquivo possui uma lista de dispositivos onde o usuário root pode efetuar login. Esta ação força ao usuário, após efetuar login, utilizar os comandos 'su' ou 'sudo'. 2.1.2 SSH Edite o arquivo de configuração (/etc/ssh/sshd_config) e troque a linha # PermitRootLogin yes  para: PermitiRootLogin no  Esta ação força ao usuário, após efetuar login remoto, utilizar os comandos 'su' ou 'sudo'. 3 Serviços inseguros Utilizando o utilitário chkconfig, observe se os serviços abaixo estão em execução: • rlogin • rsh • telnet • vsftpd Caso estejam, desabilite os serviços com o utilitário 'service'. 4 Filtro de pacotes A ideia é criar uma configuração personalizada do filtro de pacotes. Inicialmente, setaremos a política padrão das chains INPUT e FORWARD para rejeitar pacotes. A chain OUTPUT será setada para aceitar pacotes. Adicionamos uma regra a chain INPUT para aceitar conexões da interface de loopback(127.0.0.1), visto que alguns serviços, necessitam dessa conexão. Adicionamos uma regra para rejeitar pacotes ICMP, ou seja, o servidor não aceitará Linux. Adicionamos uma regra para aceitar direcionados a porte UDP/53, assim o servidor poderá navegar utilizando o DNS. A última regra permite o trágefo de conexões estabelecidas. #!/bin/bash  #assign variable $IPT with the iptables command  IPT=/sbin/iptables  #set policies on each chain  $IPT ­P INPUT DROP  $IPT ­P FORWARD DROP  $IPT ­P OUTPUT ACCEPT #default, but set it anyway  #flush all rules in the filter table  $IPT ­F  #allow traffic on the loopback interface  $IPT ­A INPUT ­i lo ­j ACCEPT  #deny icmp traffic  $IPT ­A INPUT ­p icmp ­j DROP  #allow incoming DNS traffic  $IPT ­A INPUT ­p udp ­­sport 53 ­j ACCEPT  #allow established TCP connections 
  • 3. $IPT ­A INPUT ­p tcp ! ­­syn ­j ACCEPT  5 Atualizações de segurança Crie o hábito de manter seu sistema atualizado com o utilitário YUM: # yum update Procure sempre utilizar os repositórios oficiais do CentOS. Uma lista de repositórios pode ser encontrada em: http://www.centos.org/modules/tinycontent/index.php?id=30