Você está na página 1de 24

Hardening Linux

rafaelsilva@rfdslabs.com.br

Hardening Linux

Introduo Removendo softwares desnecessrios Detectando portas Fechando portas Inittab e Scripts de Boot Tcp Wrappers OpenSSH Kernel Tunning Grsecurity - PAX Permisses de Arquivos Contas desnecessrias Password Aging Senhas Fortes Logins Invlidos Denial off Service Login Banners

Hardening Linux Introducao

Hardening: Processo de configurar (tunnar) um sistema operacional com nfase na sua segurana. usernames logins patch kernel network ports intrusion-detection systems Firewalls intrusion-prevention systems

Hardening Linux Introduo


O que no vamos ver neste curso:

Segurana Scripts

Fsica Sensveis

Dispositivos Backup Parties Firewall

(iptables) (ftp,apache, bind, etc)

Selinux
Servios

Hardening Linux Introduo


PenTest Enumerao e identificao de ativos. Informaes sobre o alvo (emails, telefones, etc) Port Scanner Banner Grab Elevao de privilgios

Hardening Linux Introduo


Information

Gathering

Hardening Linux Introduo


Exploiting,

Bruteforce, DoS, etc.

Hardening Linux

Hardening Linux
Removendo softwares desnecessrios

rpm qa (lista todos os pacotes instalados) rpm qi <pacote> (Informaes sobre o pacote) rpm e <pacote> (Remove um pacote especifico)

Hardening Linux
Detectando portas

Nmap

netstat - lsof

Hardening Linux
Fechando portas

chkconfig

--list |grep on chkconfig nfs off /etc/init.d/nfs stop

Hardening Linux
Fechando portas

Hardening Linux
Fechando portas

Hardening Linux
Fechando portas

Hardening Linux
Inittab e Scripts de Boot
Removendo

ctrl + alt + del

Default Runlevel

Ativando Mudanas

Hardening Linux

A configurao dos servios com TCP wrappers deve ser efetuada atravs dos seguinte arquivos /etc/hosts.allow (so configuradas as regras para negar servios a determinados clientes) /etc/hosts.deny. (configuram-se regras para permitir que determinados clientes tenham acesso a servios.)

Hardening Linux

Hardening Linux

Ex: Configurao WRAPPER no Host B # configurao do arquivo hosts.allow ## Telnet aberto para a mquina 200.201.75.1 in.telnetd:200.201.75.1 ********************************************** #configurao do arquivo hosts.denny ## Nega para todos, exceto os permitidos no hosts.allow

in.telnetd:ALL

Hardening Linux
O

servio SSH muito til para um administrador de sistemas


Ele permite acesso remoto a maquina Confidencialidade Autenticidade (para os que souberem usar) Automatizao de atividades

Hardening Linux

Configurao:

Os arquivos de configurao normalmente ficam em: /etc/ssh Normalmente temos estes arquivos
moduli sshd_config

ssh_host_dsa_key.pub ssh_host_key.pub ssh_config ssh_host_rsa_key.pub ssh_host_dsa_key ssh_host_key ssh_host_rsa_key

Hardening Linux
Configuraes:

Desabilitar login como root


PermitRootLogin

no

Usar a separao de privilgios (neste caso apenas algumas atividades so feitas com o user root e as demais com outro usurio do sistema)
UsePrivilegeSeparation

yes

Hardening Linux
Usar

a verso 2 do protocolo que mais segura


Protocol 2

Desabilitar

o forward de portas

AllowTcpForwarding no X11Forwarding no

Hardening Linux
Checar

as permisses dos arquivos e o donos do mesmo


StrictModes yes

Desabilitar

o sftp

#Subsystem sftp /usr/lib/misc/sftpserver

Hardening Linux
Desabilitar

as autenticaes baseadas em confiana entre os hosts


IgnoreRhosts yes HostbasedAuthentication no RhostsRSAAuthentication no