CORREO RISCO

Configurar um esquema de parties robusto, para Crtico

minimizar o risco de espao indisponvel

Considerar o Sistema de Arquivos dependendo do Alto

tipo de servidor
Inscrever-se na lista de discues do Debian-
Security p/ receber informaes sobre possveis Baixo
problemas de segurana

Configurar uma senha forte para a BIOS evitando o

comprometimento do sistema por acesso fsico, Crtico
porm esta ao limita um possvel reboot remoto

Desabilitar qualquer opo de boot que no seja Crtico

pelo HD

Alterar a senha de Root Crtico

Seleo de Pacotes Alto

Aplicar os ltimos patches do SO Crtico

Validar o sistema antes de fazer alteraes Crtico

 DESCRIO

Separar os diretrios de escrita de usurios como /home, /tmp e

/var/tmp. Separar tambm estruturas de diretrios que consomem
grande quantidade de espao em disco como /var/log, /var/spool/mail e
/var/cache/apt/archives. O /var e /opt no devem compartilhar da
mesma partio que o /. Para minimizar problemas causados por encher
o /home, criar quotas para limitar a quantidade de espao por usurio

Por padro o Debian instala o Ext3

Entrar no forum e inscrever-se

Permisso para acesso BIOS incorreta

Permisses de boot incorretas

A senha deve conter 8 ou mais dgitos, combinar maisculas, minsculas

e nmeros. No devem ser variaes de palavras de dicionrios, nem
nomes prprios
Na instalao, selecionar apenas os pacotes necessrios para o tipo de
servidor que ser instalado
Atualizar o sistema, e criar uma poltica de verificao de atualizaes
peridicas
Verificar o funcionamento do sistema antes de fazer alguma alterao
no sistema, pois o mesmo pode estar funcionando corretamente e pode
haver um falso positivo quanto mudana
 AO

Configurar as parties separadamente, e criar

uma poltica de cotas para quantidade de espao
por usurio

http://lists.debian.org/debian-security/

Entrar na BIOS e configurar uma senha forte

Entrar na BIOS e configurar o boot corretamente

No momento da instalao, configurar a senha de

Root seguindo os padres solicitados

aptitude update
aptitude dist-upgrade

Examinar o /var/log e corrigir todos os "error",

"warning", "critical", e "alert" antes de prosseguir
 OBSERVAES

Pastas separas com padro de 2GB. rea de Swap c/ o dobro da memria RAM, e no mximo 16GB.

Padro Ext3

Considerar a criao de um servidor de atualizaes. Tambm recomenda-se a validao das atualizaes em

um laboratrio antes de serem aplicadas
FONTE: http://benchmarks.cisecurity.org/
CORREO

Configurar o SSH

Configurar System Accounting

Instalar e Executar o Bastille

Verificar o sources.list

Minimizar o inetd

Desativar os servios padro

Configurar o TCP Wrappers e o Firewall

Somente habilitar o telnet se for realmente necessrio

Somente habilitar o FTP se for realmente necessrio

Somente habilitar o rlogin/rsh/rcp se for realmente necessrio

Somente habilitar o TFTP se for realmente necessrio

Somente habilitar o IMAP se for realmente necessrio

Somente habilitar o POP se for realmente necessrio

Somente habilitar o Ident se for realmente necessrio

Se possvel, desabilitar o Inetd

Se possvel, desabilitar o sendmail Server

Se possvel, desabilitar o GUI login
Se possvel, desabilitar o X Font Server
Desabilitar o Stadart Boot Services
Habilitar o SMB, somente se for absolutamente necessrio
Habilitar o NFS Server, somente se for absolutamente necessrio
Habilitar o NFS Client, somente se for absolutamente necessrio
Habilitar o NIS Client, somente se for absolutamente necessrio
Habilitar o NIS Server, somente se for absolutamente necessrio
Habilitar o RPC Portmap, somente se for absolutamente necessrio

Habilitar o daemon de impresso, somente se for absolutamente necessrio

Habilitar o servio de Web Server, somente se for absolutamente necessrio

Habilitar o servio de SNMP, somente se for absolutamente necessrio

Habilitar o servio de DNS, somente se for absolutamente necessrio

Habilitar o servio do SQL Server, somente se for absolutamente necessrio

Habilitar o servio do Webmin, somente se for absolutamente necessrio

Habilitar o servio do Squid, somente se for absolutamente necessrio

Inscrever-se na lista de discues do Debian-Security p/ receber informae

Configurar uma senha forte para a BIOS evitando o comprometimento do siste
Desabilitar qualquer opo de boot que no seha pelo HD
Verificar se a maquina esta em rede e restringir acesso a mesma
Modificaes de parmetros de rede adicional
Capturar as mensagens enviadas para o Syslog AUTHPRIV
Garantir que todos os comandos enviados para o servidor sejam registrados
Proteger Arquivos de Log Do sistema de serem modificados
Configurar SYSLOG para envio de logs para maquina remota
Impedir os usurios de dispositivos no autorizados a fazer montagems em
Impedir que os usurios levem set-UID para o sistema atravs de CD-ROMs e
Permitindo que os usurios montem e acessem os dados de unidades de
mdia removvel torna mais fcil para os programas mal-intencionados e de
dados a ser importado para a rede ou dados a serem removidos do
servidor.

Alterar as permisses de acesso padro para arquivos do grupo

Diretrios com permisso de escrita devem ter o seu conjunto de Sticky Bit

Arquivos com permisso de escrita podem ser alterados por qualquer

usurio invasor
Tomar cuidado para garantir que nenhum invasor set um UID nos
programas que foram introduzidos no sistema
Arquivos sem dono pode ser uma indicao de que um intruso acessou seu
sistema
Placas PCMCIA, USB e dispositivos de memria representam um outro vetor
de ataque contra seus sistemas. Os preos para um dispositivo de 512MB
ou mesmo 1GB de memria USB se tornaram muito acessveis, e espao
de armazenamento suficiente para transportar grandes quantidades de
dados de um sistema. Poucos servidores tm qualquer necessidade de
dispositivos PCMCIA ou USB

Rhosts implementar uma forma fraca de autenticao com base no

endereo de rede ou nome de host do computador remoto (que pode ser
falsificada por um invasor em potencial para explorar o sistema local).

Certamente a conta root no deve ser autorizado a transferir os arquivos

diretamente via FTP.
Prevenir X Server de escuta em Porta 6000/tcp
Os arquivos cron.allow e at.allow so uma lista de usurios que tm
permisso para executar o crontab e em comandos para enviar trabalhos
para serem executadas em intervalos

Os arquivos do sistema crontab so acessados somente pelo daemon cron

(que executado com privilgios de superusurio) e o comando crontab .
Permitindo que os usurios no privilegiados ler ou (ainda pior) modificar o
sistema de arquivos do crontab podendo criar a possibilidade de um
usurio local no sistema obter privilgios elevados.

Este item configura o xinetd para usar controle de acesso simples com base
em IP e conexes de log. Assim como mecanismos do xinetd de controle de
acesso so usados para monitorar tentativas de conexo ilcitas, a
ferramenta PortSentry popular
(http://www.psionic.com/products/portsentry.html) pode ser usado para
monitorar tentativas de acesso de portas no utilizadas.

Logins annimos nunca deve ser permitido, exceto no console do sistema

em situaes de emergncia. Em todas as outras vezes, o administrador
deve acessar o sistema atravs de uma conta sem privilgios e usar algum
mecanismo autorizado (como o comando su, ou o pacote sudo livremente
disponvel) para obter privilgios adicionais.

Por padro na maioria dos sistemas Linux, o gerenciador de inicializao

rpida permite a um atacante subverter o processo de boot normal com
muita facilidade.

Por padro no Debian Linux, voc pode entrar no modo nico usurio
simplesmente digitando "linux single" no prompt do LILO ou do GRUB no
menu de inicializao edio.Em qualquer caso, representa um risco de
segurana clara - a autenticao deve ser sempre exigida para nvel de raiz
de acesso.
Definir o parmetro seguro faz com que o processo do servidor NFS no
sistema local de ignorar pedidos de clientes NFS que no se originam a
partir da faixa de porta privilegiada (portos menos de 1024).

Por padro, o sistema de registro daemon, syslogd, no ouvir as mensagens

de log de outros sistemas na rede porta 514/udp (Solaris, ao contrrio, ouve
por padro). considerada boa prtica para criar uma ou mais mquinas
como central "Os servidores de log" para o trfego de log agregado de
todas as mquinas em um site.

Bloquear login por contas que possuam um shell, o que evita permisso de
login, assim evitando o usuario poder executar comandos

Executar rotineiramente um script para capturar possveis usuarios com

senha vazias

Determinar um periodo para expirao para as senhas de contas de

usuarios

Verificar se os arquivos shadow, passwd e group no possuem linhas

iniciadas com +, o que pode prover potenciais acessos pelo atravs do
servidor NIS

Procurar na variavel PATH possveis apontamentos para o diretrio corrente

"." o que daria permisso para hackers executarem scripts como root

Setar permisses restritas para o home directory dos usuarios

Negar Arquivos Ocultos com permisso de gravao

Remover arquivos .netrc

Criar um umask padro para os usuarios

Setar para no gerar core dumps de aplicativos e programas

Limitar conexoes como root usando o su

Editar aquivos que gerem banners

Criar avisos para sesses grficas abertas

Criar indicativos de privilgios para acessos a FTP e similares

Criar restries ao reboot da mquina

Implantar Antivirus no Servidor

Remover Backups antigos

Remover arquivos de backup

Crie links simblicos para arquivos perigosos

Alterar seqncia padro saudao para o sendmail

Habilitar Proteo TCP SYN Cookie

Segurana LILO / GRUB adicional

Com scripts de inicializao Avaliar pacotes associados

Avalie cada pacote instalado

Instalar e configurar o sudo

Bloqueio de conta aps 3 tentativas

Afinaes do Kernel

Remover todos os compiladores e assemblers

Verifique se no h contas no autorizadas UID 0 existente

Arquivo script de backup

ARQUIVO: Center for Internet Security Benchmark for Debian Linux v1.0
RISCO DESCRIO

Configurar o SSH com o protocolo SSH2. Atentar-se

para utiliza-lo em todos os ns da rede, pois h
Alto algumas incompatibilidades com a verso 1, onde
foram encontrados algumas vulnerabilidades

O system accounting coleta informaes do sistema a

cada 10 minutos, como uso do CPU, I/O de disco, e
podem ser acessados pelo comando sar, ou no
Alto diretrio /var/log/sysstat/sar. Estes arquivos ficam
disponveis por uma semana, e apagado pelo cron
todas as noites, caso deseje guardar por mais tempo,
alterar o diretrio do arquivo

Arquivo onde se encontram os repositrios padres,

Alto verificar se esto corretos e se so os recomendados
pelo debian.security

Baixo
Por padro o sistema sobre todos os servios que
Alto esto no inet.d.

Restringe o acesso da rede ao servidor, e cria um

Alto arquivo onde as permisses de acesso podem ser
inseridas

Verificar a real necessidade de habilitar o telnet, uma

Crtico vez que torna o sistema vulnervel
Verificar a real necessidade de habilitar o FTP, uma
Crtico vez que torna o sistema vulnervel
Verificar a real necessidade de habilitar o
Crtico rlogin/rsh/rcp, uma vez que torna o sistema
vulnervel
Verificar a real necessidade de habilitar o TFTP, uma
Crtico vez que torna o sistema vulnervel
Verificar a real necessidade de habilitar o IMAP, uma
Crtico vez que torna o sistema vulnervel
Verificar a real necessidade de habilitar o POP, uma
Crtico vez que torna o sistema vulnervel
Verificar a real necessidade de habilitar o Ident, uma
Crtico vez que torna o sistema vulnervel
 O inetd pode ser desabilitado, pois os servios j no
Alto subiro com ele
Alto
Baixo Desabilitar a interface grfica no login
Baixo Desabilitar o X Font Server
Alto Desabilitar o boot com servios padro
Alto
Alto
Alto
Alto
Alto
Alto

Alto

Alto

Alto

Alto

Alto

Alto

Alto

Baixo Entrar no forum e inscrever-se

Crtico Permisso para acesso BIOS incorreta
Crtico Permisses de boot incorretas
Critico Modificar parametros de rede
Critico Restringir acesso a maquina via rede
Critico Ativar captura de Logs enviados para o LOG_AUTHPRIV
Critico Ligar logs adicionais para o Daemon do FTP
Critico Configurar permisses em arquivos de log do sistema
Critico Logs do sistema em local de facil acesso, portato sal
Critico Adicionar Opo 'nodev' Para Parties apropriados em
Critico Adicionar opo 'nosuid' e 'nodev' para mdia removvel

Critico Desativar permio de usurio a Montar em sistemas

Critico Verifique passwd, shadow e permisses de arquivos do

Critico
Setar o Stick Bit nos diretorios com permisso de escrit

Critico Procurar Arquivos no autorizadas com permisso de escrita

Critico Procurar Arquivos executveis no autorizadas do Sist

Critico Localizar todos os arquivos sem dono

Critico Desativar dispositivos USB

Critico Remover Suporte .rhosts em arquivos de configurao

Critico
Criar arquivo de usurios ftp
Critico Invocando o "-nolisten tcp" opo faz com que o servid

Critico Restringir at/cron para usurios autorizados

Critico Restringir permisses em arquivos crontab

Critico Configurar Controle de Acesso do xinetd

Critico Restringir Logins Root Para Console Sistema

Critico Definir LILO / GRUB Senha

Critico Exigir autenticao para Single-User Mode

Critico Restringir pedidos cliente NFS para portas privilegiadas

Critico Habilite o Syslog Para aceitar mensagens Se for absol

Permisso de login permitem usuarios rodarem

Alto comandos

Usuarios com senhas vazias so um perigo j que

Crtico basta apenas o intruso saber o login para obter
acesso

Contas que no esto sendo mais usadas e senha j

Crtico muito antigas podem ser usadas indevidamente para
se obter acesso a algo

Mapeamentos em arquivos so criados para prover

Baixo acesso pelo Servidor NIS

Setar o "." na variavel PATH prove o poder de executar

Alto script no diretorio corrente, o que por sua vez faz com
que trojans possam ser executados

homer directorys com permisses abertas podem

Medio acababar deixando outros usuarios executando e
tendo poderemos

Medio Negar Arquivos Ocultos com permisso de gravao

Arquivos .netrc podem conter senhas que serveriam

Medio para atacar outros sistemas usando assim voce como
cobaia

Umask onde de permisses desnecessrias para

Alto usuarios ao criarem arquivos pode ocasionar danos j
que outros usuarios pode acabar conseguindo acesso

Core dumps podem acabar consumindo muito do

disco j que em falha de aplicativos o mesmo
Alto dependendo de quanto estivesse sendo usado de
memoria pelo aplicativo pode acabar enchendo o
disco

Logar como root usando su pode ser perigoso,

Medio sempre bom limitar j que podemos perder o
controle devido a tantas conexoes
 Arquivos que gerem banners em conexes pode
Baixo ajudar o invasor na identificao dos servios

Conexes com ambiente grfico so um risco em seu

Baixo servidor

Avisos de limitao de privilgios reduzem ataques a

Baixo medida que o invasor percebe o atento a segurana

Usuarios com permisses elevadas podem rebootar o

Alto servidor

Alto Virus podem dar acessos indevidos ao servidor

Backups antigos podem encher o disco e travar o

Alto servidor

Quando voc est certo de que alteraes foram bem

sucedidas , remova os arquivos de backup , que tero
contedos inseguros ou permisses. Ao deixar esses
Crtico arquivos em seu sistema, um invasor pode usar os
arquivos de backup como se fossem os originais ,
assim, burlando muitos de seus esforos.

Os / root / .rhosts , / root / .shosts e / etc /

hosts.equivfiles permitir uma forma fraca de controle
de acesso (ver a discusso de . Rhosts arquivos
acima). Os atacantes , muitas vezes, usam esses
arquivos como parte de seus scripts de exploit . Ao
Crtico associar esses arquivos para / dev / null , quaisquer
dados que um atacante escreve a esses arquivos
simplesmente descartado (embora um atacante
esperto ainda pode remover o link antes de escrever
os seus dados maliciosos) .

A seqncia de SMTP padro saudao exibe a verso

do software Sendmail rodando no sistema remoto.
Escondendo esta informao geralmente
considerada uma boa prtica , pois pode ajudar a
previnir ataques em mquinas rodando uma verso
vulnervel do Sendmail. No entanto , as aes
Mdio constantes do documento de referncia para
desativar completamente o Sendmail no sistema e
alterar essa seqncia de saudao padro algo
discutvel pois um ponto a menos que a mquina
passa a ser um ponto vulneravel.
 Um "ataque SYN " uma negao de ataque de
servio (DoS) que consome recursos do seu sistema
forando-o a reiniciar. Este ataque em particular
realizado comeando com aperto de mo na ligao
Crtico TCP (enviando o pacote SYN ), e , em seguida, nunca
completar o processo para abrir a ligao. Isto deixa-
lhe ligaes semi-abertas . Estes so ataques
bastantes simples e devem ser bloqueados.

Definir o sinalizador imutvel no LILO e arquivos

configurao GRUB ir evitar qualquer alterao de
( acidental ou no ) para os arquivos lilo.conf ou
Mdio menu.lst. Se voc deseja modificar qualquer arquivo,
voc precisar resetar o flag de imutvel usando o
comando chattr com -i , em vez + i .

A maneira mais eficaz para se livrar da maior parte

dos softwares no utilizado procurar no diretrio de
inicializao /etc /init.d e avaliar qual desses servios
Baixo no so necessrios. Use dpkg -- search /etc /init.d /
<scriptname> para determinar a qual pacote ele
pertence, usar <packagename> mostram aptido para
ler sobre isso , use <packagename> para remov-lo .

Prticas de Segurana em Computadores Melhores

Indstria recomendo remover servios no utilizados
Baixo e software para minimizar vetores de ataque em um
sistema.

sudo um pacote que permite que o administrador

do sistema para delegue atividades para grupos de
usurios. Estas atividades so normalmente alm da
capacidade administrativa do usurio - reiniciar o
servidor web , por exemplo. Se frequentes mudanas
de configurao do servidor web esto ocorrendo ( ou
voc tem um bug e o servidor web pra de
Mdio funcionar ), torna-se muito pesado para melhorar
continuamente e envolver o SysAdmin apenas para
reiniciar o servidor web. sudo permite que o
administrador delegue apenas que uma tarefa
utilizando autoridade raiz sem permitir que o grupo
de usurios de qualquer capacidade de outra raiz faa
o mesmo.
 Uma poltica de sistema de bloqueio de uma conta
que no autenticao vrias etapas tentativas uma
melhor prtica da indstria , e facilmente
implementado neste benchmark.A acima do valor
(negar = 3) far com que a conta a ser bloqueada
aps trs sucessivas no entre tentativas. Este valor
Mdio escolhido , pois um valor comum usado em alguns
Federais de Setores Regulados - voc est livre para
aument-lo se desejar. Para desbloquear um usurio
que foi bloqueado , use o comando faillog. Por
exemplo, para desbloquear usurio oracle , emitir
esse comando:faillog -u oracle -r

Antes de implementar essas mudanas , por favor,

rev-las com o ambiente em mente.
O valor acima para tcp_max_orphans muito menor
do que o padro 16.384 , e pode ser
demasiado baixo , dependendo do uso do servidor e
do ambiente. Tambm estar ciente de que registra
toda a
Mdio marcianos pode gerar uma quantidade excessiva de
toros , especialmente em sistemas de multi -homed
servidores
com pelo menos uma interface de rede em uma rede
hostil (por exemplo, firewalls suas fronteiras) . voc
deve garantir que voc tenha abundncia de espao
de log disponveis, bem como enviar a sua logs para
um host remoto.

Existe uma razo de misso crtica para ter um

compilador ou assembler nesta mquina?
Baixo Se a resposta for no, executar a aco abaixo.
O seguinte comando ir ajudar a identificar tais
pacotes :

Qualquer conta com UID 0 tem privilgios de

superusurio no sistema. O preferido e melhor
prtica para os administradores de obteno de
Mdio privilgios de superusurio para entrar com um sem
privilgios conta no grupo wheel , e usar sudo para as
operaes que exigem nvel da raiz
acesso.

Crtico Apendice B
SO: Debian Linux
AO OBSERVAES

Executar o script anexo

Executar o script anexo

Executar o script anexo

Executar o script anexo

unalias mv cp

Executar script anexo

Retira a permisso de acesso a todos "echo "ALL: O segundo script ignora

ALL"> / etc / hosts.deny diff / etc / hosts.deny-
PRECIS / etc / hosts.deny" e cria o arquivo hosts.allow redes IPv6
intencionalmente, e
que permite as redes logicamente conectadas a assume uma mascara
acess-lo "printf "ALL: localhost" > /etc/hosts.allow padro 255.255.255.0.
for I in `ifconfig | grep "inet addr" | cut -f2 -d: | cut Se a rede for diferente,
-f1-3 -d"." | grep -v ^127 | sort -n` do printf ", $I."
>> /etc/hosts.allow done echo >> /etc/hosts.allow diff deve ser alterado no
arquivo hosts.allow
/etc/hosts.allow-preCIS /etc/hosts.allow"

Em caso positivo, executar o comando anexo

Executar o script anexo

Executar o script anexo

Executar o script anexo
Executar o script anexo

http://lists.debian.org/debian-security/
Entrar na BIOS e configurar uma senha forte
Entrar na BIOS e configurar o boot corretamente
Executar o scrit
Executar o scrit
Executar o scrit
Executar o scrit
Executar o scrit
Executar o scrit
Executar o scrit
Executar o scrit

Executar o scrit

Executar o scrit

Executar o scrit

Executar o scrit
Executar o scrit

Executar o scrit

Executar o scrit

Executar o scrit

Executar o scrit

Executar o script

Executar o script

Executar o script

Executar o script

Executar o script

Executar o script

Executar o script
Executar o script

Executar o script

executar o script para bloquear o login

Executar um script para denunciar os usuarios:

Deixar um padro de expirao para as contas e troca

de senha ao serem criadas com este script

Executar um script rotineiramente em busca dessas

falhas

Executar script rotineiramente em busca de possiveis

caminhos com "." inserido na variavel PATH

executar um script para corrigir possiveis previlegios

script para execuo

executar script a procura de arquivos .netrc e

removelos

Executar script para setar um padro de umask para

usuarios

Configurar o limits.conf para barrar estes core dumps

executar script
Editar arquivos como /etc/issue /etc/motd

Editar os arquivos do Xorg para evitar "Base Logins"

Login de usuario com ambiente grfico

Rodar scripts para reportar acessos a FTP

Criar um script para checar permisses ou restringir o

acesso com senha para comandos como init, reboot e
shutdown
Implantar um Antivirus no servidor e agendar uma
rotina de scan
Usar o comando find em um script em busca de
arquivos que possam ser backups obsoletos no
servidor

find /-xdev | grep preCIS | xargs rm -rf

for FILE in /root/.rhosts /root/.shosts /etc/hosts.equiv

\
/etc/shosts.equiv; do
rm -f $FILE
ln -s /dev/null $FILE
done

cd /etc/mail
awk '/O SmtpGreetingMessage=/ \
{ print "O SmtpGreetingMessage=mailer ready"; next}
{ print }' sendmail.cf > sendmail.cf.new
mv -f sendmail.cf.new sendmail.cf
chown root:bin sendmail.cf
chmod 444 sendmail.cf
/usr/sbin/sendmailconfig
echo "echo 1 > /proc/sys/net/ipv4/tcp_syncookies" \
>> /etc/rc.local

chattr +i /etc/lilo.conf
chattr +i /boot/grub/menu.lst

cd /etc/init.d
ls

Veja a discusso :
Segundo as boas praticas de segurana, todo
software que no estiver sendo utilizado, desabilite-
o, assim estar reduzindo o campo de ao dos
invasores.

Instale o sudo via seu processo da empresa , se

aplicvel. Caso contrrio, execute aptitude install
sudo.
print \
"auth required \
/lib/security/pam_tally.so onerr=fail
no_magic_root\n\
account required \
/lib/security/pam_tally.so deny=3 no_magic_root
reset" \
>> /etc/pam.d/common-auth

cat <<END_SCRIPT >> /etc/sysctl.conf

# Following 2 lines added by CISecurity Benchmark
sec SN.9
net.ipv4.tcp_max_orphans = 256
net.ipv4.conf.all.log_martians = 1
End_Script
chown root:root /etc/sysctl.conf
chmod 0600 /etc/sysctl.conf

dpkg -l | egrep "cpp|dev|java|asm|gcc|bin86|dev86

getent passwd | awk -F: '$3 == "0" {print $1}

Verificar Script de Backup na pagina 70 do

documento
"Center for Internet Security Benchmark
for Debian Linux v1.0 "
Data Colaborador Alterao
15-Aug Leandro Separao de passos que devero ser feitos na instalao