Escolar Documentos
Profissional Documentos
Cultura Documentos
SanchezMolinaHarveyRodrigo Fortificacion Entorno Linux1
SanchezMolinaHarveyRodrigo Fortificacion Entorno Linux1
ATIVIDADE
FORTIFICAÇÃO DE UM AMBIENTE LINUX
Apresentado por:
Para o professor:
1. A C T I V I D A D ................ 3
2. C O N F I G U R A C I O N M A Q U I N A V I R T U A L ............... 4 3. C O N F I G U R A C I O N
C A R P E T A / h o m e ........................ 5 4. C O N F I G U R A C I O N D I S C O D U R O ....................
6 5. C R E A C I O N D E U S U A R I O S ................... 7
6. C O N F I G U R A C I O N G R U B .................... 9
7. S E C U R I Z A C I O N S U D O / S U....................... 1 3
8.I N S T A L A C I O N O P E N S S H S E R V E R....................... 1 5 9. C O N F I G U R A C I O N P U
E R T O S S H ( 2 2 ).. ................................. 16 1 0 . C R E A C I O N D E G R U P O S D E U S U A R I
O S.. ........................... 17 11. IN S T A L A C I O N S E R V I D O R P R O X Y ( S Q U I D ).. ..................
19 1 2 . R E GL A D E R E S TRICIONA CORREO
S .................. 21
1 No table of contents entries found.
2 6 . C O N C L U S I O N E .. ............................................................................... 25
17 . W E B G R A F I A ................ 26
I I E—P
DE LA RIOJA " n ■ Em ■ •%
1.1 Descrição
A mesma empresa da atividade anterior entrou em contato conosco novamente para solicitar a
instalação e configuração segura de uma máquina virtual baseada no VirtualBox e cujo sistema
operacional é o Ubuntu.
• Na janela que aparece selecionamos o tamanho da RAM para o nosso caso 4GB e clique
em Next.
• Selecione o tamanho do disco rígido 10GB e clique em Criar.
• Em seguida, Próximo, Próximo e Criar.
Ubuntu
Deslig F28
4096 <] |Lb
(• Áudio
9º Gerenciador Oracle VM
VirtualBox 9º Oracle VM
Ajuda da máquina VirtualBox .
arquivada
WIN7
PS
Guarda
Tipo de arquivo do disco
rígido
se Ubuntu
Ubuntu
Sair © • VDI (imagem de disco
©KM Desligado
do VirtualBox) ou VHD
(disco rígido virtual) ou
VMDK (disco de máquina
Ou Tamanho
fixo
Modo
Especialista
Controlado Controlado
r: r: g) Rede
e Rede
Na próxima janela, criamos as tabelas de partição de disco, selecione "Mais opções" e, em seguida,
clique em "Nova tabela de partições" e clique em "Continuar".
• A primeira coisa que deve ser configurada é a partição de inicialização (boot do sistema
operacional Linux), clicamos com o botão direito do mouse em "free space" e depois em
"add", então selecionamos o tamanho da partição, o tipo da partição "Primary", o sistema de
arquivos "ext4" e o ponto de montagem "/boot". Nota: (Este passo é repetido para a criação
de todos os outros swap, home, etc.) Para o nosso caso ele nos pede a configuração da
partição /home, selecionamos o tamanho, o tipo de partição é "Lógico", sistema de arquivos
"ext4" e ponto de montagem "/home".
• Na janela que aparece "Tipo de instalação" ativamos as caixas "Criptografar Disco" e "Usar
LVM" e clicamos em "Instalar Agora"
• Na próxima janela colocamos a chave de criptografia para o nosso caso será disc0Join e
clique em "Instalar agora".
• Damos "Continuar" ao aviso que sai, depois clicamos em "Instalar agora".
• Na janela "Quem é você?" preencha os campos de identificação com os dados fornecidos pela
atividade e clique em "Continuar".
• Para entrar no sistema, digitamos a chave de criptografia do disco rígido e damos Enter.
• Ele é inserido com nomes de usuário e senha com os dados da atividade (Usuário:
Ingresso e senha: SSSOoJoin
6. O grub deve ser protegido. A forma de proteger o Grub será através de uma senha ou senha. Se
aplicarmos as etapas detalhadas nesta seção, obteremos os seguintes resultados:
Para obter os resultados mencionados acima, temos que executar os seguintes passos:
Passo No.1: Faça uma cópia de backup do arquivo de configuração do grub antes de começar a
modificar, para realizar esta atividade abrimos o terminal no ubuntu e executamos os seguintes
comandos:
Esses comandos gerarão um backup dos arquivos grub.cfg, 00_header, 10_linux e 30_os_prober
em nossa partição home.
Passo No.2: Você deve definir as contas de usuário que podem modificar o GRUB. Para definir os
usuários e senhas dos usuários, que poderão usar a linha de comando grub, e executar e editar as
entradas grub, temos que abrir um terminal e executar o seguinte comando: sudo nano
/etc/grub.d/00_header.
Uma vez que o editor de texto nano é aberto, vamos para o final do arquivo e temos que adicionar a
lista de usuários e senhas, adicionando o seguinte texto:
Como você pode ver neste texto definimos 2 usuários. O usuário root e o usuário cess. Cada um
desses usuários terá senhas 1212 e 1515, respectivamente. As partes em azul são aquelas que têm de
ser adaptadas dependendo dos utilizadores e palavras-passe que querem criar e estabelecer e uma
vez que os utilizadores e palavras-passe tenham sido definidos, damos-lhe para guardar as
alterações.
Passo No.3: Criptografar senhas de usuário. As senhas de usuário definidas na etapa 2 estão
disponíveis em texto simples no arquivo /etc/grub.d/00_header. Obviamente, isso não é o mais
aconselhável para proteger nossos equipamentos. Para resolver esse problema, vamos gerar um hash
para ocultar as senhas que acabamos de criar. Para fazer isso, abrimos um terminal e digitamos o
seguinte comando: sudo grub-mkpasswd-pbkdf2.
Em seguida, receberemos uma mensagem na tela que nos dirá para digitar a senha que queremos
ocultar. No meu caso como eu quero esconder a senha do usuário cessar typé:
Em seguida, pressionando Enter nos pedirá novamente a senha. Por isso, digito novamente:
1515
Depois de digitar a senha uma segunda vez e pressionar Enter, obteremos o hash da senha do
usuário cessante. No meu caso o hash é o seguinte:
grub.pbkdf2.sha512.10000.; 42E7FEA05CAAD8D1A3F6233E2FFF098AE3FEDB4A4
5FE6712E06C68999A907312D86FCE0AFE158E5EEAE5EF4B15B1D889F2A4D004
ED2CD206675E1DC1A2847849.53309C627E6DAC144D54F7C159E4EF4DECF7331
9819EAC4CBF993B5E80FB5B2417C993EAB30F8D0C50B02BC1A8470529780CF6
E7776E6A285A5331CB18AFB93A
Repetimos o mesmo passo para o usuário root, mas usando a senha 1234, e obtemos o seguinte hash:
grub.pbkdf2.sha512.10000.4225DF7454926171D5C983990D8ACAB1F274695CA14
06D10C228803A83920D7B6FC7D6C9B6CB4CA27107430D13EBAB783D57CFA713
4A1A97C5577AA346BF0564.383C1F3C341668D08F02B61CD7069C040D34B5762
07AC668D3A859329962FA02B69F39E55FD540313FC1B44704828019648E7C835
9BBDEBBFB4A73C62895F29B
Agora que obtivemos os hashes, só precisamos substituir a senha que criamos na etapa 2 pelo hash.
Para fazer isso abrimos um terminal e executamos o seguinte comando: sudo nano
/etc/grub.d/o0_header
Depois disso, só temos que salvar as alterações feitas, a seguinte captura de tela em que você pode
ver o texto inserido no arquivo /etc/grub.d/00_header:
Passo No.4: Finalmente, a configuração do Grub deve ser atualizada. Para fazer isso em um
terminal executamos o seguinte comando: sudo update-grub2.
Nós configuramos o sudo para sempre solicitar ou pedir a senha ao executar um aplicativo como root
no Ubuntu, usando o sudo não vai te pedir uma senha nos primeiros 15 min, e isso faz com que seja
uma quebra de insegurança, vamos mudar e ter segurança para que ele sempre peça a senha quando
um aplicativo roda como root:
• Abrimos o terminal e testamos as alterações, executamos o comando $sudo apt update e nos
pedimos a senha.
• Limpamos a tela "limpa" e executamos o seguinte comando $ sudo apt upgrade para
verificar a securizacion criada anteriormente, então devemos solicitar uma senha novamente.
Além disso, para limitar o acesso ao comando "sudo" e "su", você deve criar dois grupos "wheel" e
"admin" e adicionar os usuários que deseja habilitar.
• Adicione o usuário que queremos poder executar o comando su ao grupo recém-criado com o
seguinte comando:
# usermod -a -G admin <nombre_de_usuario>
Para limitar o uso do sudo você tem que executar as seguintes etapas:
• Todos os usuários que usarão o comando sudo precisarão estar no grupo de administradores.
Crie o grupo de administradores se ele não for criado:
# Adicionar administrador do grupo
Atividades do Terminal •
unir@Linux -
File Edit View Find Terminal Help unir@Linux:-$ sudo
apt-get install openssh-server [sudo] senha para
ingressar:
Aa4 unir@Linux: -
— Modo de Exibição de Edição de Arquivo Encontre a Ajuda do
Terminal
unir@Linux:~$ nmap 127.0.0.1
• Para fazer isso, abrimos um terminal no ubuntu, entramos com o usuário com
e execute o seguinte comando:
#iptables -L
10 . Os usuários que irão trabalhar na máquina são da área de gestão e engenharia. Crie o usuário
não administrador Ingenieria01 com a senha SSSO0Ing01 e outro Direccon01 com a senha
SSSO0Dir01. Deve-se cogitar que o futuro terá mais usuários de ambas as áreas.
Modo terminal:
Você pode usar este comando quando o erro de criação for exibido:
e
join(Linx'-$ sudo adduser Ilgeniertaól Engenharia [sudo senha para ingressar:
Ingenieria01@Linux % Direcciono1gLinux -
:
• Modo de Exibição de Edição de Arquivo Encontre a Ajuda do
Terminal
Modo de Exibição de Edição de Arquivo Encontre a Ajuda
do Terminal DireccionelgLinux:-$ nkdir CarpDire1
IngenieriaeigLinux:-$ mkdir CarpIngBl DireccioneigLinux:-$ é
IngenieriaelgLinux:~$ ls Exemplos de CarpDire1 , desktop
CarpIngBl exemplos.desktop Endereço1gLinux:-$ |
Ingenieriab1@Linux:~$ |
Drwx
11. Finalmente, somos solicitados a montar um servidor proxy Squid com o seguinte
Características:
Uma vez que o serviço é instalado, o que procedemos a fazer é redefini-lo para verificar sua
instalação correta.
rootubuntu :/home/harvey# /etc/init .d/squid reiniciar
[ Ok ] Reiniciando lulas (uia systemct1): lula .ser u gelo. rootubuntu :/home/haruey#
12. Impedir que os usuários naveguem em seus e-mails pessoais gmail.com, hotmail.com
yahoo.com.
requ ire-proxy-header
Exigir conexões do protocolo PROXY versão 1 ou Z. O proxy_protocol_access é necessário para colocar na lista de permissões proxies downstream
que podem ser confiáveis.
Se você executar o Squid em uma máquina de hospedagem dupla com uma interface interna e uma externa, recomendamos que você especifique o endereço interno:porta
em http_port. Desta forma, o Squid só estará visível no endereço interno.
No arquivo squid.conf aberto com o editor nano ou geany ubuntu, adicionaremos na seção de regras
(linha 992 e 1196) as regras criadas:
Todos os acls que você deseja não poder acessar para navegar estão definidos, no nosso caso serão
os sites de e-mail.
ft INSIRA SUAS PRÓPRIAS REGRAS) AQUI PARA PERMITIR O ACESSO DE SEUS CLIENTES
13. Restrinja que não é possível navegar em nenhum dia da semana entre 8 e 10 da manhã.
• Todos os procedimentos descritos acima são realizados para criar uma regra ou restrição,
abrimos o arquivo de configuração /etc/squid /squid.conf ou com o editor nano ou geany do
ubuntu criamos a regra para restringir a navegação nas horas de 8 e 10 da manhã aos
trabalhadores:
• A primeira linha de comando determina a rede à qual a regra deve ser aplicada
• A segunda linha de comando determina a hora em que o serviço de navegação será bloqueado
• A terceira linha de comando especifica a ação que vamos executar, passando como
parâmetros a qual origem vamos aplicá-la e em que momentos vamos aplicá-la.
Assunto Dados dos alunos Data
Sobrenome: SANCHEZ MOLINA
Segurança em
4 DE JUNHO DE 2020
Sistemas Operacionais
Nome: HARVEY RODRIGO
Uma vez feitas essas modificações, salvamos e reiniciamos o serviço squid e com esta configuração
fica restrito em quais horários podem ser navegados.
• Os logs do sistema são salvos no arquivo /var/ log/messages, mas neste caso vamos
configurar um novo arquivo para armazenar logs.
• Com isso indicamos que as mensagens vindas do kernel com prioridade 4 ou superior ('aviso'
é nível de prioridade 4) no arquivo /var/ log/messages.log e ignorando o restante de
prioridade mais baixa (debug, info e notice que são de 3 para baixo) geralmente irrelevantes,
salve o arquivo e reinicie o serviço:
/etc/init.d/sysklogd reiniciar
15. Instale e configure o navegador Firefox para usar o servidor Squid configurado e verifique se as
restrições são aplicadas corretamente.
archResults • lll\ CD
No table of contents
entries found.
Wo Logins e senhas
2- Acessórios Ctrl+Shift+A
O Preferências
"4 Personalizar...
16. CONCLUSÕES
17. WEBOGRAFIA
• https://blog.infranetworking.com/servidor-proxy/
• https://www.ionos.es/digitalguide/servidores/configuracion/squid-el-
servidor-proxy-cache-de-código-aberto/
• https://www.youtube.com/watch?v=XQKp_3Yqc14
• https://www.youtube.com/watch?v=958Mpbo3Dgc
• http://xandrusoft.blogspot.com/2010/04/configuracion-de-archivo-
para-logs- de.html
• Para permitir apenas conexões com a porta SSH(22), execute o seguinte comando:
#iptables –A ENTRADA –p tcp - -dport 22 –m estado –estado NOVO –j ACEITAR
#iptables –A SAÍDA –p tcp - -dport 22 –j DROP
#iptables –A FORWARD –p tcp - -dport 22 –j DROP