Hardening Linux rafaelsilva@rfdslabs.com.br

Hardening Linux Introdução Removendo softwares desnecessários Detectando portas Fechando portas Inittab e Scripts de Boot Tcp Wrappers OpenSSH Kernel Tunning Grsecurity - PAX Permissões de Arquivos Contas desnecessárias Password Aging Senhas Fortes Logins Inválidos Denial off Service Login Banners

Hardening Linux Permissões de Arquivos Defino o umask como uma máscara padrão de permissão de acesso ao arquivo de sistema (File System) do GNU/Linux.

Hardening Linux Permissões de Arquivos $ umask 0022 O resultado acima é o seguinte: 0 : Este só indica que é o valor de uma umask; 0 : Dá acesso total ao arquivo criado pelo usuário; 2 : Dá acesso de Leitura e execução do arquivo, no caso de um diretório permiti que este seja acessado através do comando \"cd <diretório>\"; 2 : O Mesmo direitos acima, só que para os outros usuários do sistema.

Desabilite programas SUID/SGID não utilizados Hardening Linux Desabilite programas SUID/SGID não utilizados  Um usuário comum será apto a executar um programa como root se o mesmo for setado como SUID root. Um administrador de sistemas deve minimizar a utilização desses programas SUID/SGID e desabilitar os progtamas que não sejam necessários. Primeiro Passo Para localizar todos os arquivos com o bit `s' de arquivos que tenham o root como dono, utilize o comando: [root@rfdslabs]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls ­lg {} ; Para desabilitar os bits suid dos programas selecionados acima, digites o seguinte comando:     [root@rfdslabs /]# chmod a-s [programa]

Hardening Linux Word Writable Files Utilize o seguinte comando para procurar diretórios e arquivos com permissão de leitura e escrita para todos: Permite que os arquivos e diretórios sejam alterados apenas se o usuário for o dono do arquivo ou do diretorio.

Hardening Linux Unowned Files

Hardening Linux Unlocked Accounts passwd –l (lock)

Checking for Unused Accounts Hardening Linux Checking for Unused Accounts Apagar a conta:

Não recomendado para servidores com contas compartilhadas. Hardening Linux Password Aging Não recomendado para servidores com contas compartilhadas.

Não recomendado para servidores com contas compartilhadas. Hardening Linux Password Aging Não recomendado para servidores com contas compartilhadas.

Hardening Linux Password Aging Quando uma conta e criada no linux os seguintes campos são passados ao arquivo /etc/shadow:

Hardening Linux Password Aging Adicionamos um novo usuário: Verificamos o usuário: Formato do /etc/shadow para o usuario test: Desativar expiração de uma determinada conta:

Hardening Linux Password Aging Exibir Informações sobre expiração de uma determinada conta: Exemplo:

Hardening Linux Contas Especiais Desabilite todas as contas especiais Voce deve  apagar todas os usuários padrões e contas de grupo que você não utilize em seu sistema com: lp, sync, shutdown, halt, news, uucp, operator, games, gopher etc Para apagar uma conta de usuário: [root@rfdslabs /]# userdel LP Para apagar um grupo: [root@rfdslabs /]# groupdel LP DICA: Backdoor do Sync.

Hardening Linux A conta root A conta "root" é a conta com mais privilégios em um sistema Unix. Quando o administrador se esquece de sair de sua sessão no prompt root do sistema antes de sair então o sistema deve automaticamente deslogá-lo da shell. Para que isso seja feito, você deve configurar a variável especial do   Linux chamada "TMOUT" com um tempo (em segundos).  Edite seu arquivo profile "vi /etc/profile" e adicione a seguinte linha em algum lugar após a linha: "HISTFILESIZE="  TMOUT=3600 O valor que atribuímos à variável "TMOUT=" é dado em segundos e representa 1 hora (60*60 = 3600 segundos).

Hardening Linux Desativar todo acesso ao console para usuários comuns Você deve desabilitar todo acesso via console de programas como shutdown, reboot, e halt para usuários comuns em seu servidor.  Para fazer isso, execute o seguinte comando: [root@rfdslabs /]# rm -f /etc/security/console.apps/<nome_do_serviço>  Onde <nome_do_serviço> é o nome do programa o qual você deseja desabilitar acesso via console.

Não permita login do root de diferentes consoles Hardening Linux Não permita login do root de diferentes consoles O arquivo "/etc/securetty" permite a você especificar em que dispositivos TTY o usuário "root" tem permissão para logar. Edite o arquivo "/etc/securetty" para desabilitar qualquer tty que você não necessita comentando os mesmos (# no início da linha).  

Hardening Linux Shell logging  O shell bash registra até 500 comandos antigos no arquivo "~/.bash_history" (onde "~/" é seu diretório home) para tornar fácil a você repetir longos comandos. Cada usuário que tenha uma conta no sistema terá seu arquivo “bash_history" em seu diretório home. O shell bash deeve registrar um número menor de comandos e apagá-los quando o usuário sair do sistema.

Hardening Linux Primeiro Passo As linhas HISTFILESIZE e HISTSIZE do arquivo "/etc/profile" determinam o tamanho de comandos antigos que o arquivo "Bash_history" para todos os usuários em seu sistema pode suportar.  Eu recomendo a configuração do HISTFILESIZE e HISTSIZE no arquivo "/etc/profile" para um valor menor como 30. Edite o arquivo profile (vi /etc/profile) e altere as linhas para: HISTFILESIZE=30 HISTSIZE=30   Que significam, o arquivo "Bash_history" de cada diretório home de usuários pode rehistrar até 20 comandos antigos e não mais.

Hardening Linux Shell logging  Segundo Passo O administrador deve também adiciona no arquivo "/etc/skel/.bash_logout" a linha: "rm -f  $HOME/.bash_history", para que a cada vez que o usuário sair do sistema, seu arquivo “bash_history" seja apagado.   Edite o arquivo .bash_logout (vi /etc/skel/bash_logout) e adicione a seguinte linha:  rm -f $HOME/.bash_history

Hardening Linux Banners

Hardening Linux Banners

Hardening Linux Banners - OsGuessing

Hardening Linux Kernel Tuning

Hardening Linux Kernel Tuning Os parâmetros do kernel são configurados no arquivo /etc/sysctl.conf O comand sysctl –p ativa os parâmetros configurados neste arquivo

Hardening Linux Kernel Tuning Sysctl –w (write) grava a alteração

Hardening Linux Kernel Tuning TCP SYN Cookie Protection Tenta evitar o SYN ATAQUE que causa uma negação de serviço net.ipv4.tcp_syncookies = 1

Hardening Linux Kernel Tuning Ignoring to ICMP Requests Maquinas param de responder a pacotes ICMP (ping). net.ipv4.icmp_echo_ignore_all = 1

Hardening Linux Kernel Tuning Ignoring Broadcasts Request Ignorar mensagens enviadas para broadcast net.ipv4.icmp_echo_ignore_broadcasts = 1

Hardening Linux Kernel Tuning Bad Error Message Protection Alertas sobre mensagens na rede net.ipv4.icmp_ignore_bogus_error_responses = 1

Hardening Linux Kernel Tuning Próxima aula…