Segurança em Servidores Linux: Norma ISO 27002

Cesar Augusto Domingos Apresentação Cesar Augusto Domingos -Especialista em projetos de redes corporativas, administração de redes. -Graduado em Tecnologia de Redes de Computadores pelo IMES; -Desenvolvimento de soluções para reduções de custos em TI, projetos de Redes e Treinamentos especializados utilizando Software Livre em especial em Sistemas Linux para Segurança de Redes como Firewall, Pen-Test e Seguranças baseadas na norma BS7799; -Certificado LPIC-2 (Linux Professional Institute Nível 2); -Gerente da área de Treinamento da empresa 4Linux. - Um dos autores do livro BS7799 – Da tática a prática em servidores Linux.

Apresentação do Curso Trata-se de um curso de Segurança Computacional em softwares, que propõe soluções de controles com a norma ISO 27002, na sua versão vinculada pela ABNT, como base de tática. Seu objetivo é exemplificar na prática como buscar a conformidade contida na norma. Todavia, o objetivo do curso é ser pontual, dentro do contexto computacional, tendo como proposta a utilização de ferramentas FOSS (Free and Open Source Software) combinadas com o poder dos recursos do Sistema Operacional Linux, o que possibilitará ao profissional de TI propor modelos de segurança com ferramentas consagradas no mundo do software livre.

Segurança da Informação Qual é o bem mais importante de uma empresa?

A Norma ISO 27002 Esse é o metódo que podemos adotar para fazer a segurança da informação.

O que é Hardening?

Definição de Hardening Analisando a real tradução da palavra, Hardening significa Endurecer-se. Endurecer????

Outras definições de Hardening - Blindagem do Sistema; - Fortalecimento do Sistema; - Ajuste Fino; - Procedimentos de segurança Pós-Instalação; - Técnicas de segurança Pós-Instalação.

Segurança da Informação Podemos ter um sistema 100% seguro??

3 fatores da segurança Segurança RISCO RISCO Risco Flexibilidade

HARDENING Segurança no Sistema de Arquivos Pontos a serem considerados na Segurança do sistema de arquivos: 1 – Particionamento: As boas práticas de instalações aconselham a particonar o disco e colocar os principais diretórios nestas partições. Mas o diretório /tmp é um diretório importante?

HARDENING Segurança no Sistema de Arquivos 2 – Opções de montagem: Algumas opções do comando mount, podem trazer maior segurança ao Sistema de Arquivos. Exemplos: - noexec: /dev/hda5 /tmp ext3 defaults,noexec 0 2 - nosuid: /dev/hda6 /home ext3 defaults,nosuid 0 2

Lista de Montagem

HARDENING Arquivos com permissão de Suid Bit Mesmo não permitindo que arquivos com permissão de Suid bit ativados não sejam aceitos nas partições, fica a seguinte pergunta: Será que todos os arquivos que tem permissão de Suid bit por padrão são necessários no meu servidor?

HARDENING Arquivos com permissão de Suid Bit - O que deve ser feito? 1 – Fazer um levantamento de todos os arquivos do sistema que tem permissão de suid bit e deixar isso registrado em uma lista. 2 – Tirar todas as permissões de suid bit dos arquivos no sistema. 3 – Colocar permissão de suid bit somente nos arquivos que realmente são necessários em seu servidor.

SHELL+SUID BIT = HARDENING SUID BIT # cp /bin/sh /home/x/sh # chmod 4755 /home/x/sh $ ./sh

HARDENING Gerenciamento de Privilégios Alguns procedimentos que devem ser levados em consideração para Gerenciamento de Privilégios: - Bloquear login do root; /etc/securetty - Determinar datas de expiração para contas de usuários; chage

HARDENING Gerenciamento de Privilégios - Remover shells válidas de usuários que não precisam delas /etc/passwd Substituir /bin/sh para /bin/false - Executar um logout após um tempo determinado /home/usuário/.bashrc /etc/profile TMOUT=180

HARDENING Gerenciamento de Privilégios - Utilizar o PAM. Algumas funções úteis do PAM para Hardening: - Limitar horários de login remotos e locais; - Limitar quantidade de login's por usuário; - Definir tamanho mínimo de senhas; - Limitar quais usuários poderão ter acesso de root no sistema;

HARDENING Gerenciamento de Privilégios - Limitar o Comando da Morte!!! #:(){ :|:& };: - Esse é o comando e o PAM pode limita-lo.

HARDENING Procurar por senhas fracas Quero lhes apresentar um cara chamado John the Ripper. - O John é um programa de Brute Force local que pode ser utilizado por administradores para validar se os usuários da rede estão utilizando senhas fracas. Mas ATENÇÃO: Muito cuidado com o John pois ele pode ser usado contra você!!

HARDENING Root sem acesso remoto Desabilitar o login do usuário root para acesso remoto por SSH. PermitRootLogin no Troca da porta padrão do ssh. Port 2345

HARDENING Check-list de serviços ativos - Será que todos os serviços que foram instalados por padrão são necessários nesse meu servidor ? - Será que para o meu servidor de firewall eu preciso deixar o serviço de e-mail instalado, deixando a porta 25/TCP aberta sem necessidade?

HARDENING Check-list de serviços ativos Para ser feito um Check-list, algumas ferramentas podem ser utilizadas: - netstat - nmap - hping - losf No final todos os serviços desnecessários poderem ser desativados ou removidos.