1. Hardening Linux
Práticas para manter um servidor seguro
Hugo Doria
@hdoria
http://hdoria.com
hdoria@me.com
sábado, 29 de outubro de 11
2. HUGO QUEM?
• Administrador de Sistemas
• Desenvolvedor do Arch Linux
• Criador do HnTool, PacUpdate e outras
ferramentas
• POGamador nas horas vagas
• Pai coruja
sábado, 29 de outubro de 11
7. Incidentes Reportados ao CERT
400000
300000
200000
100000
1999 2000
2001 2002
2003 2004 0
2005 2006
2007 2008
2009 2010
Fonte: cert.org, 2010
sábado, 29 de outubro de 11
8. Hardening é o mapeamento de ameaças e
execução de atividades corretivas com o
objetivo de fortalecer o sistema operacional.
sábado, 29 de outubro de 11
9. Mas amor, como eu
posso fazer esse
fortalecimento? :B
sábado, 29 de outubro de 11
10. Planejamento
• Quais serviços serão instalados?
• Qual a disponibilidade necessária?
• Qual a carga que devo suportar?
• Quem deve ter acesso?
• E se algo der errado?
sábado, 29 de outubro de 11
11. Princípios Básicos
• Desinstalar softwares desnecessários
• Desabilitar serviços (# netstat -nltup)
• Desabilitar o login remoto de root
• Manter o sistema sempre atualizado
• Política de senhas fortes
sábado, 29 de outubro de 11
13. Protegendo o GRUB
# grub
grub> md5crypt
Password: ******
Encrypted: $1$2FXKzQ0$I6k7iy22wB27CrkzdVPe70
# vi /boot/grub/menu.lst
passwd --md5 $1$2FXKzQ0$I6k7iy22wB27CrkzdVPe70
sábado, 29 de outubro de 11
14. SUID/SGID
SUID:
# find / -perm -4000
SGID:
# find / -perm -2000
sábado, 29 de outubro de 11
15. Sistemas de Arquivos
Retirar permissões no /etc/fstab
sábado, 29 de outubro de 11
16. Sistemas de Arquivos
OPÇÃO DESCRIÇÃO
nodev não interpreta dispositivos físicos
noexec não permite a execução de binários
nosuid não é permitido setar o suid
ro filesystem como somente leitura
sábado, 29 de outubro de 11
17. Sistemas de Arquivos
Montando o /home com segurança:
/dev/sda2 /home ext4 noexec,nodev,nosuid 0 2
Montando o /tmp com segurança:
/dev/sda3 /tmp ext4 noexec,nodev,nosuid 0 2
sábado, 29 de outubro de 11
31. PROFTPD
MaxLoginAttemps 3
RootLogin No
ServerIdent No
DefaultRoot ˜
sábado, 29 de outubro de 11
32. Ferramentas
Auxiliares
sábado, 29 de outubro de 11
33. Ferramentas
Auxiliares
• SELinux
• http://selinux.sourceforge.net
• GrSecurity
• http://www.grsecurity.net
• PaX Project
• http://pax.grsecurity.net/
sábado, 29 de outubro de 11
34. Bastille
http://bastille-linux.sourceforge.net/
sábado, 29 de outubro de 11
35. Nessus
http://www.nessus.org/
sábado, 29 de outubro de 11
36. HnTool
http://hntool.net/
sábado, 29 de outubro de 11
37. Conclusão
• Má configuração = problema
• Necessidade de hardening
• Tarefa constante!
• Criação de uma nova ferramenta de
segurança!
sábado, 29 de outubro de 11