Hardening Linux rafaelsilva@rfdslabs.com.br
Hardening Linux Introdução Removendo softwares desnecessários Detectando portas Fechando portas Inittab e Scripts de Boot Tcp Wrappers OpenSSH Kernel Tunning Grsecurity - PAX Permissões de Arquivos Contas desnecessárias Password Aging Senhas Fortes Logins Inválidos Denial off Service Login Banners
Hardening Linux Introducao Hardening: Processo de configurar (tunnar) um sistema operacional com ênfase na sua segurança. usernames logins patch kernel network ports intrusion-detection systems Firewalls intrusion-prevention systems
Hardening Linux Introdução O que não vamos ver neste curso: Segurança Física Scripts Dispositivos Sensíveis Backup Partições Firewall (iptables) Selinux “Serviços” (ftp,apache, bind, etc)
Hardening Linux Introdução PenTest Enumeração e identificação de ativos. Informações sobre o alvo (emails, telefones, etc) Port Scanner Banner Grab Elevação de privilégios
Hardening Linux Introdução Information Gathering
Hardening Linux Introdução Exploiting, Bruteforce, DoS, etc.
Hardening Linux
Hardening Linux Removendo softwares desnecessários rpm –qa (lista todos os pacotes instalados) rpm –qi <pacote> (Informações sobre o pacote) rpm –e <pacote> (Remove um pacote especifico)
Hardening Linux Detectando portas Nmap – netstat - lsof
Hardening Linux Fechando portas chkconfig --list |grep on chkconfig nfs off /etc/init.d/nfs stop
Hardening Linux Fechando portas
Hardening Linux Fechando portas
Hardening Linux Fechando portas
Hardening Linux Inittab e Scripts de Boot Default Runlevel Removendo ctrl + alt + del Ativando Mudanças
Hardening Linux A configuração dos serviços com TCP wrappers deve ser efetuada através dos seguinte arquivos /etc/hosts.allow (são configuradas as regras para negar serviços a determinados clientes) /etc/hosts.deny. (configuram-se regras para permitir que determinados clientes tenham acesso a serviços.)
Hardening Linux
Hardening Linux Ex: Configuração WRAPPER no Host B # configuração do arquivo hosts.allow ## Telnet aberto para a máquina 200.201.75.1 in.telnetd:200.201.75.1 ********************************************** #configuração do arquivo hosts.denny ## Nega para todos, exceto os permitidos no hosts.allow in.telnetd:ALL
Hardening Linux O serviço SSH é muito útil para um administrador de sistemas Ele permite acesso remoto a maquina Confidencialidade Autenticidade (para os que souberem usar) Automatização de atividades
Hardening Linux Configuração: Os arquivos de configuração normalmente ficam em: /etc/ssh Normalmente temos estes arquivos moduli sshd_config ssh_host_dsa_key.pub ssh_host_key.pub ssh_host_rsa_key.pub ssh_config ssh_host_dsa_key ssh_host_key ssh_host_rsa_key
Hardening Linux Configurações: Desabilitar login como root PermitRootLogin no Usar a separação de privilégios (neste caso apenas algumas atividades são feitas com o user root e as demais com outro usuário do sistema) UsePrivilegeSeparation yes
Hardening Linux Usar a versão 2 do protocolo que é mais segura Desabilitar o forward de portas AllowTcpForwarding no X11Forwarding no
Hardening Linux Checar as permissões dos arquivos e o donos do mesmo StrictModes yes Desabilitar o sftp #Subsystem sftp /usr/lib/misc/sftp-server
Hardening Linux Desabilitar as autenticações baseadas em confiança entre os hosts IgnoreRhosts yes HostbasedAuthentication no RhostsRSAAuthentication no