SlideShare uma empresa Scribd logo

Hardening linux

H
hdoria

O documento discute práticas de hardening no Linux para garantir a segurança de servidores, enfatizando o mapeamento de ameaças e ações corretivas. São apresentados princípios básicos como desinstalação de softwares desnecessários, desabilitação de serviços e a importância de senhas fortes. Também menciona ferramentas auxiliares e a necessidade de configuração contínua para manter a segurança.

Tecnologia
1 de 41
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Hardening Linux Práticas para manter um servidor seguro Hugo Doria @hdoria http://hdoria.com hdoria@me.com sábado, 29 de outubro de 11
HUGO QUEM? • Administrador de Sistemas • Desenvolvedor do Arch Linux • Criador do HnTool, PacUpdate e outras ferramentas • POGamador nas horas vagas • Pai coruja sábado, 29 de outubro de 11
sábado, 29 de outubro de 11
sábado, 29 de outubro de 11
sábado, 29 de outubro de 11
Incidentes Reportados ao CERT Fonte: cert.org, 2010 sábado, 29 de outubro de 11
Incidentes Reportados ao CERT 400000 300000 200000 100000 1999 2000 2001 2002 2003 2004 0 2005 2006 2007 2008 2009 2010 Fonte: cert.org, 2010 sábado, 29 de outubro de 11
Hardening é o mapeamento de ameaças e execução de atividades corretivas com o objetivo de fortalecer o sistema operacional. sábado, 29 de outubro de 11
Mas amor, como eu posso fazer esse fortalecimento? :B sábado, 29 de outubro de 11
Planejamento • Quais serviços serão instalados? • Qual a disponibilidade necessária? • Qual a carga que devo suportar? • Quem deve ter acesso? • E se algo der errado? sábado, 29 de outubro de 11
Princípios Básicos • Desinstalar softwares desnecessários • Desabilitar serviços (# netstat -nltup) • Desabilitar o login remoto de root • Manter o sistema sempre atualizado • Política de senhas fortes sábado, 29 de outubro de 11
acesso físico = problema sábado, 29 de outubro de 11
Protegendo o GRUB # grub grub> md5crypt Password: ****** Encrypted: $1$2FXKzQ0$I6k7iy22wB27CrkzdVPe70 # vi /boot/grub/menu.lst passwd --md5 $1$2FXKzQ0$I6k7iy22wB27CrkzdVPe70 sábado, 29 de outubro de 11
SUID/SGID SUID: # find / -perm -4000 SGID: # find / -perm -2000 sábado, 29 de outubro de 11
Sistemas de Arquivos Retirar permissões no /etc/fstab sábado, 29 de outubro de 11
Sistemas de Arquivos OPÇÃO DESCRIÇÃO nodev não interpreta dispositivos físicos noexec não permite a execução de binários nosuid não é permitido setar o suid ro filesystem como somente leitura sábado, 29 de outubro de 11
Sistemas de Arquivos Montando o /home com segurança: /dev/sda2 /home ext4 noexec,nodev,nosuid 0 2 Montando o /tmp com segurança: /dev/sda3 /tmp ext4 noexec,nodev,nosuid 0 2 sábado, 29 de outubro de 11
SSH sábado, 29 de outubro de 11
SSH PermitRootLogin Yes sábado, 29 de outubro de 11
SSH PermitRootLogin No sábado, 29 de outubro de 11
SSH PermitRootLogin No PermitEmptyPasswords Yes sábado, 29 de outubro de 11
SSH PermitRootLogin No PermitEmptyPasswords No sábado, 29 de outubro de 11
SSH PermitRootLogin No PermitEmptyPasswords No Protocol 1,2 sábado, 29 de outubro de 11
SSH PermitRootLogin No PermitEmptyPasswords No Protocol 2 sábado, 29 de outubro de 11
SSH PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b c sábado, 29 de outubro de 11
SSH Port 22 PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b c sábado, 29 de outubro de 11
SSH Port 8022 PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b c sábado, 29 de outubro de 11
SSH Usar chave de autenticação!!! sábado, 29 de outubro de 11
Logout automático # vi /etc/profile TMOUT=1200 HISTSIZE=100 sábado, 29 de outubro de 11
PROFTPD sábado, 29 de outubro de 11
PROFTPD MaxLoginAttemps 3 RootLogin No ServerIdent No DefaultRoot ˜ sábado, 29 de outubro de 11
Ferramentas Auxiliares sábado, 29 de outubro de 11
Ferramentas Auxiliares • SELinux • http://selinux.sourceforge.net • GrSecurity • http://www.grsecurity.net • PaX Project • http://pax.grsecurity.net/ sábado, 29 de outubro de 11
Bastille http://bastille-linux.sourceforge.net/ sábado, 29 de outubro de 11
Nessus http://www.nessus.org/ sábado, 29 de outubro de 11
HnTool http://hntool.net/ sábado, 29 de outubro de 11
Conclusão • Má configuração = problema • Necessidade de hardening • Tarefa constante! • Criação de uma nova ferramenta de segurança! sábado, 29 de outubro de 11
Referências sábado, 29 de outubro de 11
Referências sábado, 29 de outubro de 11
Referências sábado, 29 de outubro de 11
sábado, 29 de outubro de 11

Mais conteúdo relacionado

PDF
Customizando Slackware
Hudson Figueredo
 
PPTX
Kubuntu filipe simao n11 12 l
ginho17
 
PDF
Tutorial de instalação do PlayerStageGazebo no ubuntu linux 10.10 maverick me...
Danilo Ricardo
 
ODP
Linux4all#1
Daniel
 
PDF
Minicurso Slackware - Alexsandro Henrique
PotiLivre Sobrenome
 
KEY
Mini-curso de linux básico
Adriano Melo
 
PPTX
Sistemas operativos - Arch Linux
DanielAraujo224
 
PDF
E no Sétimo dia ele escreveu testes - Seminario PHP
Rafael Dohms
 
Customizando Slackware
Hudson Figueredo
 
Kubuntu filipe simao n11 12 l
ginho17
 
Tutorial de instalação do PlayerStageGazebo no ubuntu linux 10.10 maverick me...
Danilo Ricardo
 
Linux4all#1
Daniel
 
Minicurso Slackware - Alexsandro Henrique
PotiLivre Sobrenome
 
Mini-curso de linux básico
Adriano Melo
 
Sistemas operativos - Arch Linux
DanielAraujo224
 
E no Sétimo dia ele escreveu testes - Seminario PHP
Rafael Dohms
 

Mais procurados (6)

PDF
Administração de servidores Linux
João Sá
 
PDF
Lab ect 02 pt
SmartSolutionsTeleccom
 
PPT
Permissão de Acesso - Sistema de Arquivos Linux
Wellington Oliveira
 
PDF
Criando pacotes para o Arch Linux
hdoria
 
PDF
Tutorial: Instalação do Linaro Ubuntu na Gumstix Overo® Fire COM
Lab. de Sistemas Embarcados Críticos - ICMC/USP
 
PDF
Tutorial: Instalação de Ubuntu em uma Gumstix Overo
Lab. de Sistemas Embarcados Críticos - ICMC/USP
 
Administração de servidores Linux
João Sá
 
Lab ect 02 pt
SmartSolutionsTeleccom
 
Permissão de Acesso - Sistema de Arquivos Linux
Wellington Oliveira
 
Criando pacotes para o Arch Linux
hdoria
 
Tutorial: Instalação do Linaro Ubuntu na Gumstix Overo® Fire COM
Lab. de Sistemas Embarcados Críticos - ICMC/USP
 
Tutorial: Instalação de Ubuntu em uma Gumstix Overo
Lab. de Sistemas Embarcados Críticos - ICMC/USP
 
Anúncio

Destaque (6)

ODP
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Bruno Alexandre
 
PDF
ITEC Catálogo/Catalog 2013/2014 » PT EN ES
i-TEC
 
PDF
Unidade 5 hardening-linux
Leandro Almeida
 
PDF
Segurança Linux
Cassio Ramos
 
PDF
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
fgsl
 
PDF
Seguranca em Servidores Linux
Alessandro Silva
 
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Bruno Alexandre
 
ITEC Catálogo/Catalog 2013/2014 » PT EN ES
i-TEC
 
Unidade 5 hardening-linux
Leandro Almeida
 
Segurança Linux
Cassio Ramos
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
fgsl
 
Seguranca em Servidores Linux
Alessandro Silva
 
Anúncio

Último (9)

PPTX
Informática Aplicada Informática Aplicada Plano de Ensino - estudo de caso NR...
amylene1
 
PDF
Manejo integrado de pragas na cultura do algodão
EmanuelAmadeusSilvaS
 
PDF
eBook - GUIA DE CONSULTA RAPIDA EM ROTEADORES E SWITCHES CISCO - VOL I.pdf
AndressaA8
 
PPTX
Tipos de servidor em redes de computador.pptx
andremicaszuada
 
PPTX
Proposta de Implementação de uma Rede de Computador Cabeada.pptx
andremicaszuada
 
PPTX
Eng. Software - pontos essenciais para o início
gutooky
 
PDF
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
PPTX
Utilizando code blockes por andre backes
mordike3
 
PPTX
Viasol Energia Solar -Soluções para geração e economia de energia
viasolaquecedoresmkt
 
Informática Aplicada Informática Aplicada Plano de Ensino - estudo de caso NR...
amylene1
 
Manejo integrado de pragas na cultura do algodão
EmanuelAmadeusSilvaS
 
eBook - GUIA DE CONSULTA RAPIDA EM ROTEADORES E SWITCHES CISCO - VOL I.pdf
AndressaA8
 
Tipos de servidor em redes de computador.pptx
andremicaszuada
 
Proposta de Implementação de uma Rede de Computador Cabeada.pptx
andremicaszuada
 
Eng. Software - pontos essenciais para o início
gutooky
 
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
Utilizando code blockes por andre backes
mordike3
 
Viasol Energia Solar -Soluções para geração e economia de energia
viasolaquecedoresmkt
 

Hardening linux

  • 1. Hardening Linux Práticas para manter um servidor seguro Hugo Doria @hdoria http://hdoria.com hdoria@me.com sábado, 29 de outubro de 11
  • 2. HUGO QUEM? • Administrador de Sistemas • Desenvolvedor do Arch Linux • Criador do HnTool, PacUpdate e outras ferramentas • POGamador nas horas vagas • Pai coruja sábado, 29 de outubro de 11
  • 3. sábado, 29 de outubro de 11
  • 4. sábado, 29 de outubro de 11
  • 5. sábado, 29 de outubro de 11
  • 6. Incidentes Reportados ao CERT Fonte: cert.org, 2010 sábado, 29 de outubro de 11
  • 7. Incidentes Reportados ao CERT 400000 300000 200000 100000 1999 2000 2001 2002 2003 2004 0 2005 2006 2007 2008 2009 2010 Fonte: cert.org, 2010 sábado, 29 de outubro de 11
  • 8. Hardening é o mapeamento de ameaças e execução de atividades corretivas com o objetivo de fortalecer o sistema operacional. sábado, 29 de outubro de 11
  • 9. Mas amor, como eu posso fazer esse fortalecimento? :B sábado, 29 de outubro de 11
  • 10. Planejamento • Quais serviços serão instalados? • Qual a disponibilidade necessária? • Qual a carga que devo suportar? • Quem deve ter acesso? • E se algo der errado? sábado, 29 de outubro de 11
  • 11. Princípios Básicos • Desinstalar softwares desnecessários • Desabilitar serviços (# netstat -nltup) • Desabilitar o login remoto de root • Manter o sistema sempre atualizado • Política de senhas fortes sábado, 29 de outubro de 11
  • 12. acesso físico = problema sábado, 29 de outubro de 11
  • 13. Protegendo o GRUB # grub grub> md5crypt Password: ****** Encrypted: $1$2FXKzQ0$I6k7iy22wB27CrkzdVPe70 # vi /boot/grub/menu.lst passwd --md5 $1$2FXKzQ0$I6k7iy22wB27CrkzdVPe70 sábado, 29 de outubro de 11
  • 14. SUID/SGID SUID: # find / -perm -4000 SGID: # find / -perm -2000 sábado, 29 de outubro de 11
  • 15. Sistemas de Arquivos Retirar permissões no /etc/fstab sábado, 29 de outubro de 11
  • 16. Sistemas de Arquivos OPÇÃO DESCRIÇÃO nodev não interpreta dispositivos físicos noexec não permite a execução de binários nosuid não é permitido setar o suid ro filesystem como somente leitura sábado, 29 de outubro de 11
  • 17. Sistemas de Arquivos Montando o /home com segurança: /dev/sda2 /home ext4 noexec,nodev,nosuid 0 2 Montando o /tmp com segurança: /dev/sda3 /tmp ext4 noexec,nodev,nosuid 0 2 sábado, 29 de outubro de 11
  • 18. SSH sábado, 29 de outubro de 11
  • 19. SSH PermitRootLogin Yes sábado, 29 de outubro de 11
  • 20. SSH PermitRootLogin No sábado, 29 de outubro de 11
  • 21. SSH PermitRootLogin No PermitEmptyPasswords Yes sábado, 29 de outubro de 11
  • 22. SSH PermitRootLogin No PermitEmptyPasswords No sábado, 29 de outubro de 11
  • 23. SSH PermitRootLogin No PermitEmptyPasswords No Protocol 1,2 sábado, 29 de outubro de 11
  • 24. SSH PermitRootLogin No PermitEmptyPasswords No Protocol 2 sábado, 29 de outubro de 11
  • 25. SSH PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b c sábado, 29 de outubro de 11
  • 26. SSH Port 22 PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b c sábado, 29 de outubro de 11
  • 27. SSH Port 8022 PermitRootLogin No PermitEmptyPasswords No Protocol 2 AllowUsers/AllowGroups a b c sábado, 29 de outubro de 11
  • 28. SSH Usar chave de autenticação!!! sábado, 29 de outubro de 11
  • 29. Logout automático # vi /etc/profile TMOUT=1200 HISTSIZE=100 sábado, 29 de outubro de 11
  • 30. PROFTPD sábado, 29 de outubro de 11
  • 31. PROFTPD MaxLoginAttemps 3 RootLogin No ServerIdent No DefaultRoot ˜ sábado, 29 de outubro de 11
  • 32. Ferramentas Auxiliares sábado, 29 de outubro de 11
  • 33. Ferramentas Auxiliares • SELinux • http://selinux.sourceforge.net • GrSecurity • http://www.grsecurity.net • PaX Project • http://pax.grsecurity.net/ sábado, 29 de outubro de 11
  • 34. Bastille http://bastille-linux.sourceforge.net/ sábado, 29 de outubro de 11
  • 35. Nessus http://www.nessus.org/ sábado, 29 de outubro de 11
  • 36. HnTool http://hntool.net/ sábado, 29 de outubro de 11
  • 37. Conclusão • Má configuração = problema • Necessidade de hardening • Tarefa constante! • Criação de uma nova ferramenta de segurança! sábado, 29 de outubro de 11
  • 41. sábado, 29 de outubro de 11