Post on 04-Apr-2018
7/29/2019 Hardening Linux Servers
1/25
Hardening Linux ServersHardening Linux Servers
Marta VuelmaAlfasys Tecnologia
7/29/2019 Hardening Linux Servers
2/25
AgendaAgenda
Apresentando fatos Obstculos para a segurana
O que hardening Tcnicas de hardening Perguntas
7/29/2019 Hardening Linux Servers
3/25
Alguns fatos sobre seguranaAlguns fatos sobre segurana
Os principais tipos de ataques reportados aoCERT.br e outras instituies ocupadas emcriar estatsticas sobre segurana so:
SPAM (s no primeiro trimestre de 2010, onmero de registros ultrapassou os 10milhes.
Phishing (aumento de 61% em um ano) Fraudes (manteve-se estvel) Ataques a servidores Web (42% maior
que o mesmo perodo de 2009)
Dados de Abril/10
7/29/2019 Hardening Linux Servers
4/25
Alguns fatos sobre seguranaAlguns fatos sobre segurana (cont.)(cont.)
A maioria destes ataques exploramvulnerabilidades conhecidas de servidores eesto sendo usados para atacar outros
servidores. Somente um firewall convencional (stateful
firewall) NO consegue proteger um servidorcontra este tipo de ataque.
7/29/2019 Hardening Linux Servers
5/25
NmerosNmeros
7/29/2019 Hardening Linux Servers
6/25
Obstculos para a seguranaObstculos para a segurana
Segurana requer planejamento; Segurana requer monitoramento;
permanente
Segurana requer atualizao constante, tantodas ferramentas em uso quanto dos profissionaisenvolvidos.
Apesar de j existirem muitos padres
internacionais de segurana (como Sarbanes-Oxley, por ex.), a maioria das organizaespossui mecanismos pobres de segurana eausncia quase que total de polticas e cultura de
segurana.
7/29/2019 Hardening Linux Servers
7/25
Obstculos para a seguranaObstculos para a segurana (cont.)(cont.)
Os usurios no esto preparados para usoadequado dos recursos;
Atualmente, o objetivo primrio compartilhar
e no proteger; A segurana um processo permanente. No
existem solues do tipo Instale-Esquea Muitos profissionais utilizam-se de falsos
conceitos de segurana para montar suasredes.
7/29/2019 Hardening Linux Servers
8/25
O que hardening?O que hardening?
um processo utilizado em diversos nveis derecursos em servidores para proporcionarsegurana mais completa e efetiva.
A partir do momento em que conectamos umequipamento em uma rede, ele no est maisseguro. Isso inclui desde o processo de instalaoat a liberao para produo.
A ampla oferta de ferramentas para hardening deservidores, permite ao administrador montar oconjunto ideal de ferramentas para o seu cenrio.
7/29/2019 Hardening Linux Servers
9/25
O que hardening?O que hardening? (cont.)(cont.)
As ferramentas disponveis hoje para Linuxoferecem um nvel de segurana muito elevadopara servidores e estaes.
A utilizao das tcnicas de hardening, somadaa uma poltica de monitoramento e atualizaoconstante, garante um nvel de proteo muitoalto.
O objetivo do hardening de servidores amanter os intrusos o mais longe possvel pelomaior perodo de tempo com mltiplas camadasde segurana.
7/29/2019 Hardening Linux Servers
10/25
Nvel 0Nvel 0
A segurana de um sistema comea na instalao. Um servidor s pode ser considerado seguro se o
processo de instalao utilizou-se das seguintes
tcnicas de hardening: Fontes de instalao confiveis e verificados com a
chave GPG do desenvolvedor; Aps a instalao, deve ser gerada uma base de
informaes sobre o sistema de arquivos que serutilizada como matriz para deteco de alterao dosbinrios e arquivos de configurao aps a conexodo servidor no ambiente de risco.
7/29/2019 Hardening Linux Servers
11/25
Nvel 0Nvel 0 (cont.)(cont.)
Ferramentas como o Tripwire* ou AIDE oferecemo nvel de controle necessrio para monitoraralteraes no sistema de arquivos.
aide --check.
AIDE found differences between database and filesystem!!Start timestamp: 2010-01-06 14:41:17Summary:Total number of files=4145,added files=0,removedfiles=0,changed files=1Changed files:changed:/etc/hostsDetailed information about changes:
File: /etc/hostsPermissions: -rw-r--r-- , -rwxr-xr-x
7/29/2019 Hardening Linux Servers
12/25
Hardening para o SOHardening para o SO
Tudo que no explicitamente permitido deveser proibido.
No esquea o bsico:
Troque as senhas default de servios; Use senhas complexas; Desinstale ou desabilite software
desnecessrio; Mantenha o SO sempre atualizado; Documente a instalao para permitir uma
recuperao rpida em caso de falhas.
7/29/2019 Hardening Linux Servers
13/25
Hardening para o SOHardening para o SO (cont.)(cont.)
Apague contas de usurios no usadas erestrinja o acesso de contas do sistema(nobody, guest e qualquer outra conta usada
pelo sistema deve ter /bin/false como defaultshell no arquivo /etc/passwd); Mantenha os logs habilitados e verifique-os
periodicamente. Utilize preferencialmente um servidor de logs
para armazenar os registros do servidor emant-los a salvo de invasores (rsyslog umadas melhores opes pois utiliza ssl)
7/29/2019 Hardening Linux Servers
14/25
Hardening para o SOHardening para o SO (cont.)(cont.)
Utilize ferramentas para verificar se o servidorest realmente seguro antes de coloc-lo emproduo (scanners de porta nmap, por
exemplo, sniffers tcpdump ou wireshark, entremuitos outros);nmap -p0- -v -A -T4 host
Faa o download de pacotes de software de fontes
confiveis e verifique com a chave GPG fornecidapelo desenvolvedor.rpm --checksig nome_pacote
7/29/2019 Hardening Linux Servers
15/25
Hardening para o sistema de arquivosHardening para o sistema de arquivos
Em ambientes crticos, isole os arquivos dosistema em parties somente leitura, o quereduz muito o risco de comprometimento:
/bin, /lib, /sbin, /usr somente leitura/var, /usr/var, /home - escrita
/opt, /usr/local somente leitura
/etc, /usr/local/etc escritaTodo o resto (/) - somente leitura
Considerar a necessidade de planejamento deatualizaes para este caso.
7/29/2019 Hardening Linux Servers
16/25
Hardening para o sistema de arquivosHardening para o sistema de arquivos(cont.)(cont.)
Certifique-se que no existem arquivos com SUID,SGID ou sem proprietrio:find / \( -perm -004000 -o -perm -002000 \) -type
f -printfind / -nouserfind / -nogroup
7/29/2019 Hardening Linux Servers
17/25
Ferramentas de conformidadeFerramentas de conformidade
Aps todos os ajustes requeridos para o SO e sistemade arquivos, deve ser aplicada uma ferramenta queavalie o estado atual em conformidade com aexpectativa de segurana. A figura mostra uma tela do
Bastille.
7/29/2019 Hardening Linux Servers
18/25
Hardening para redeHardening para rede
O login remoto do root e de outros usuriosprivilegiados deve ser desabilitado: configure eutilize o sudo;
Configure cada servidor com o seu prpriofirewall (filtro de pacotes, stateful firewall e firewall deaplicao);
Um firewall de aplicao permite suprir acarncia deixada pelos firewalls stateful queno conseguem avaliar alm do binmioprotocolo/porta (o netfilter pode utilizar o patchl7-filter)
7/29/2019 Hardening Linux Servers
19/25
Hardening para redeHardening para rede (cont.)(cont.)
Feche todas as portas abertas que no estosendo usadas e monitore-as periodicamente.netstat -lut
Todos os servios publicados devem serexecutados em ambiente chroot. Sempre que possvel, restrinja o nmero de
hosts que acessam os servios pblicos. Utilize uma DMZ para isolar servidores que
precisam ter servios na Internet.
7/29/2019 Hardening Linux Servers
20/25
Hardening para redeHardening para rede (cont.)(cont.)
Monitore os logins no servidor com alertas nomomento em que eles so realizados. Apossibilidade de no perceber umcomprometimento em um servidor que no
acessado frequentemente muito grande. Inclua a seguinte linha no bashrc do sistema:echo 'Login efetuado' `hostname` `date`
`who` | mail -s Login efetuado`hostname` `who | awk '{print $5}'`
suporte@dominio
7/29/2019 Hardening Linux Servers
21/25
Gerenciamento e continuidadeGerenciamento e continuidade
A complexidade dos servios e o nmero deitens que precisam ser monitorados exigeferramentas especficas que coleteminformaes e gerenciem alertas como: Nagios Shinken Zabbix (entre outros)
No existe segurana sem plano decontingncia e recuperao. Para isto,documentao e backup so cruciais.
7/29/2019 Hardening Linux Servers
22/25
RefernciasReferncias
www.isc.org www.cgi.br
www.cetic.br www.antispam.br www.cert.br
www.websense.com www.antiphishing.org www.netcraft.com
7/29/2019 Hardening Linux Servers
23/25
ContatoContato
marta.vuelma@gmail.com
marta@alfasys.com.br
www.alfasys.com.br
martavuelma.wordpress.com
7/29/2019 Hardening Linux Servers
24/25
PerguntasPerguntas
?
7/29/2019 Hardening Linux Servers
25/25
Obrigada!