Hardening Linux Servers

7/29/2019 Hardening Linux Servers

1/25

Hardening Linux ServersHardening Linux Servers

Marta VuelmaAlfasys Tecnologia


2/25

AgendaAgenda

Apresentando fatos Obstculos para a segurana

O que hardening Tcnicas de hardening Perguntas


3/25

Alguns fatos sobre seguranaAlguns fatos sobre segurana

Os principais tipos de ataques reportados aoCERT.br e outras instituies ocupadas emcriar estatsticas sobre segurana so:

SPAM (s no primeiro trimestre de 2010, onmero de registros ultrapassou os 10milhes.

Phishing (aumento de 61% em um ano) Fraudes (manteve-se estvel) Ataques a servidores Web (42% maior

que o mesmo perodo de 2009)

Dados de Abril/10


4/25

Alguns fatos sobre seguranaAlguns fatos sobre segurana (cont.)(cont.)

A maioria destes ataques exploramvulnerabilidades conhecidas de servidores eesto sendo usados para atacar outros

servidores. Somente um firewall convencional (stateful

firewall) NO consegue proteger um servidorcontra este tipo de ataque.


5/25

NmerosNmeros


6/25

Obstculos para a seguranaObstculos para a segurana

Segurana requer planejamento; Segurana requer monitoramento;

permanente

Segurana requer atualizao constante, tantodas ferramentas em uso quanto dos profissionaisenvolvidos.

Apesar de j existirem muitos padres

internacionais de segurana (como Sarbanes-Oxley, por ex.), a maioria das organizaespossui mecanismos pobres de segurana eausncia quase que total de polticas e cultura de

segurana.


7/25

Obstculos para a seguranaObstculos para a segurana (cont.)(cont.)

Os usurios no esto preparados para usoadequado dos recursos;

Atualmente, o objetivo primrio compartilhar

e no proteger; A segurana um processo permanente. No

existem solues do tipo Instale-Esquea Muitos profissionais utilizam-se de falsos

conceitos de segurana para montar suasredes.


8/25

O que hardening?O que hardening?

um processo utilizado em diversos nveis derecursos em servidores para proporcionarsegurana mais completa e efetiva.

A partir do momento em que conectamos umequipamento em uma rede, ele no est maisseguro. Isso inclui desde o processo de instalaoat a liberao para produo.

A ampla oferta de ferramentas para hardening deservidores, permite ao administrador montar oconjunto ideal de ferramentas para o seu cenrio.


9/25

O que hardening?O que hardening? (cont.)(cont.)

As ferramentas disponveis hoje para Linuxoferecem um nvel de segurana muito elevadopara servidores e estaes.

A utilizao das tcnicas de hardening, somadaa uma poltica de monitoramento e atualizaoconstante, garante um nvel de proteo muitoalto.

O objetivo do hardening de servidores amanter os intrusos o mais longe possvel pelomaior perodo de tempo com mltiplas camadasde segurana.


10/25

Nvel 0Nvel 0

A segurana de um sistema comea na instalao. Um servidor s pode ser considerado seguro se o

processo de instalao utilizou-se das seguintes

tcnicas de hardening: Fontes de instalao confiveis e verificados com a

chave GPG do desenvolvedor; Aps a instalao, deve ser gerada uma base de

informaes sobre o sistema de arquivos que serutilizada como matriz para deteco de alterao dosbinrios e arquivos de configurao aps a conexodo servidor no ambiente de risco.


11/25

Nvel 0Nvel 0 (cont.)(cont.)

Ferramentas como o Tripwire* ou AIDE oferecemo nvel de controle necessrio para monitoraralteraes no sistema de arquivos.

aide --check.

AIDE found differences between database and filesystem!!Start timestamp: 2010-01-06 14:41:17Summary:Total number of files=4145,added files=0,removedfiles=0,changed files=1Changed files:changed:/etc/hostsDetailed information about changes:

File: /etc/hostsPermissions: -rw-r--r-- , -rwxr-xr-x


12/25

Hardening para o SOHardening para o SO

Tudo que no explicitamente permitido deveser proibido.

No esquea o bsico:

Troque as senhas default de servios; Use senhas complexas; Desinstale ou desabilite software

desnecessrio; Mantenha o SO sempre atualizado; Documente a instalao para permitir uma

recuperao rpida em caso de falhas.


13/25

Hardening para o SOHardening para o SO (cont.)(cont.)

Apague contas de usurios no usadas erestrinja o acesso de contas do sistema(nobody, guest e qualquer outra conta usada

pelo sistema deve ter /bin/false como defaultshell no arquivo /etc/passwd); Mantenha os logs habilitados e verifique-os

periodicamente. Utilize preferencialmente um servidor de logs

para armazenar os registros do servidor emant-los a salvo de invasores (rsyslog umadas melhores opes pois utiliza ssl)


14/25

Hardening para o SOHardening para o SO (cont.)(cont.)

Utilize ferramentas para verificar se o servidorest realmente seguro antes de coloc-lo emproduo (scanners de porta nmap, por

exemplo, sniffers tcpdump ou wireshark, entremuitos outros);nmap -p0- -v -A -T4 host

Faa o download de pacotes de software de fontes

confiveis e verifique com a chave GPG fornecidapelo desenvolvedor.rpm --checksig nome_pacote


15/25

Hardening para o sistema de arquivosHardening para o sistema de arquivos

Em ambientes crticos, isole os arquivos dosistema em parties somente leitura, o quereduz muito o risco de comprometimento:

/bin, /lib, /sbin, /usr somente leitura/var, /usr/var, /home - escrita

/opt, /usr/local somente leitura

/etc, /usr/local/etc escritaTodo o resto (/) - somente leitura

Considerar a necessidade de planejamento deatualizaes para este caso.


16/25

Hardening para o sistema de arquivosHardening para o sistema de arquivos(cont.)(cont.)

Certifique-se que no existem arquivos com SUID,SGID ou sem proprietrio:find / $ -perm -004000 -o -perm -002000 $ -type

f -printfind / -nouserfind / -nogroup


17/25

Ferramentas de conformidadeFerramentas de conformidade

Aps todos os ajustes requeridos para o SO e sistemade arquivos, deve ser aplicada uma ferramenta queavalie o estado atual em conformidade com aexpectativa de segurana. A figura mostra uma tela do

Bastille.


18/25

Hardening para redeHardening para rede

O login remoto do root e de outros usuriosprivilegiados deve ser desabilitado: configure eutilize o sudo;

Configure cada servidor com o seu prpriofirewall (filtro de pacotes, stateful firewall e firewall deaplicao);

Um firewall de aplicao permite suprir acarncia deixada pelos firewalls stateful queno conseguem avaliar alm do binmioprotocolo/porta (o netfilter pode utilizar o patchl7-filter)


19/25

Hardening para redeHardening para rede (cont.)(cont.)

Feche todas as portas abertas que no estosendo usadas e monitore-as periodicamente.netstat -lut

Todos os servios publicados devem serexecutados em ambiente chroot. Sempre que possvel, restrinja o nmero de

hosts que acessam os servios pblicos. Utilize uma DMZ para isolar servidores que

precisam ter servios na Internet.


20/25

Hardening para redeHardening para rede (cont.)(cont.)

Monitore os logins no servidor com alertas nomomento em que eles so realizados. Apossibilidade de no perceber umcomprometimento em um servidor que no

acessado frequentemente muito grande. Inclua a seguinte linha no bashrc do sistema:echo 'Login efetuado' `hostname` `date`

`who` | mail -s Login efetuado`hostname` `who | awk '{print $5}'`

suporte@dominio


21/25

Gerenciamento e continuidadeGerenciamento e continuidade

A complexidade dos servios e o nmero deitens que precisam ser monitorados exigeferramentas especficas que coleteminformaes e gerenciem alertas como: Nagios Shinken Zabbix (entre outros)

No existe segurana sem plano decontingncia e recuperao. Para isto,documentao e backup so cruciais.


22/25

RefernciasReferncias

www.isc.org www.cgi.br

www.cetic.br www.antispam.br www.cert.br

www.websense.com www.antiphishing.org www.netcraft.com


23/25

ContatoContato

[email protected]

[email protected]

www.alfasys.com.br

martavuelma.wordpress.com


24/25

PerguntasPerguntas

?


25/25

Obrigada!

Hardening Linux Servers

Documents

Transcript of Hardening Linux Servers