O documento discute procedimentos para fortalecer a segurança de sistemas Linux, incluindo manter softwares e patches atualizados, limitar permissões de arquivos, reforçar login com senhas fortes e instalar ferramentas de detecção de intrusos. Ele também fornece exemplos práticos como proteger o GRUB com senha e habilitar o uso de sudo para administração do sistema.
2. Apresentação
●
Membro da Colivre – Cooperativa deMembro da Colivre – Cooperativa de
Tecnologias LivresTecnologias Livres
●
Atua no mercado OpenSource a mais de 10Atua no mercado OpenSource a mais de 10
anosanos
●
Professor da Graduação e Pós-GraduaçãoProfessor da Graduação e Pós-Graduação
da Unijorgeda Unijorge
●
Sysadmin do Projeto GnomeSysadmin do Projeto Gnome
●
Consultor em Segurança da Informação eConsultor em Segurança da Informação e
Tecnologias OpenSourceTecnologias OpenSource
●
Membro oficial do Ubuntu Internacional nasMembro oficial do Ubuntu Internacional nas
áreas de segurança e documentaçãoáreas de segurança e documentação
3. Hardening Linux
• É o processo de mapeamento das ameaças,É o processo de mapeamento das ameaças,
mitigação dos riscos e execução dasmitigação dos riscos e execução das
atividades corretivas - com foco na infra-atividades corretivas - com foco na infra-
estrutura e objetivo principal de torná-laestrutura e objetivo principal de torná-la
preparada para enfrentar tentativas depreparada para enfrentar tentativas de
ataque.ataque.
4. Hardening Linux
• Limitar o software instalado aquele que seLimitar o software instalado aquele que se
destina à função desejada do sistema;destina à função desejada do sistema;
• Aplicar e manter os patches atualizados, tanto doAplicar e manter os patches atualizados, tanto do
sistema operacional quanto das aplicações;sistema operacional quanto das aplicações;
• Revisar e modificar as permissões dos sistemasRevisar e modificar as permissões dos sistemas
de arquivos, em especial no que diz respeito ade arquivos, em especial no que diz respeito a
escrita e execução;escrita e execução;
• Reforçar a segurança do login, impondo umaReforçar a segurança do login, impondo uma
política de senhas fortes.política de senhas fortes.
5. Hardening LinuxHardening Linux
Procedimentos básicosProcedimentos básicos
• Pré-instalação:Pré-instalação:
– Planejamento de daemons/serviços;Planejamento de daemons/serviços;
– Esquemas de particionamento.Esquemas de particionamento.
• Pós-Instalação:Pós-Instalação:
– Proteger o GRUB com senha;Proteger o GRUB com senha;
– Atualizações e Patches;Atualizações e Patches;
– Remover serviços desnecessários;Remover serviços desnecessários;
– Remover SUID/SGID;Remover SUID/SGID;
– Uso do sudo;Uso do sudo;
– Bloquear o usuário root.Bloquear o usuário root.
– Instalar um HIDS ( ex. Ossec HIDS )Instalar um HIDS ( ex. Ossec HIDS )
6. Hardening LinuxHardening Linux
Na práticaNa prática
• Atualização do sistema:Atualização do sistema:
– aptitude update && aptitude safe-upgradeaptitude update && aptitude safe-upgrade
• Protegendo o GRUBProtegendo o GRUB
– grub-md5-cryptgrub-md5-crypt
Password:Password: INFORME SENHA <ENTER>INFORME SENHA <ENTER>
Retype password:Retype password: REPITA SENHA <ENTER>REPITA SENHA <ENTER>
– Copie o hash informadoCopie o hash informado
– vim /boot/grub/menu.lstvim /boot/grub/menu.lst
7. Hardening Linux
Na prática
• vim /boot/grub/menu.lst
title Debian GNU/Linux, kernel 2.6.26-2-686
root (hd0,1)
kernel /boot/vmlinuz-2.6.26-2-686 root=/dev/hda2 ro quiet
initrd /boot/initrd.img-2.6.26-2-686
password --md5 $1$i/MM1/$cB0VonMnHi9fyOxuGp7JB1
8. Hardening Linux
Na prática
• Habilitar sudo:Habilitar sudo:
– aptitude install sudoaptitude install sudo
– addgroup adminaddgroup admin
– adduser aluno adminadduser aluno admin
– vim /etc/sudoersvim /etc/sudoers
9. Hardening Linux
Na prática
- vim /etc/sudoersvim /etc/sudoers
# Uncomment to allow members of group# Uncomment to allow members of group
sudo to not need a passwordsudo to not need a password
# (Note that later entries override this, so you# (Note that later entries override this, so you
might need to move it further down)might need to move it further down)
# %sudo ALL=NOPASSWD: ALL# %sudo ALL=NOPASSWD: ALL
%admin ALL=(ALL) ALL%admin ALL=(ALL) ALL
10. Hardening Linux
Na prática
• Desabilitar o SUID/SGID
– find / -perm -4000 > suidfiles.txt
– find / -perm -2000 > sgidfiles.txt
11. Hardening Linux
Na prática
• Bloqueando o usuário root:Bloqueando o usuário root:
– usermod -L rootusermod -L root
• Para desbloquear:Para desbloquear:
– usermod -U rootusermod -U root
12. Hardening Linux
Bastille
• O Bastille protege o sistema operacional,O Bastille protege o sistema operacional,
configurando o sistema de maneira proativaconfigurando o sistema de maneira proativa
para aumentar sua segurança e reduzir aspara aumentar sua segurança e reduzir as
chances de comprometimento.chances de comprometimento.
14. • Além de manter o sistema seguro,Além de manter o sistema seguro,
devemos nos preocupar com a segurançadevemos nos preocupar com a segurança
da(s) aplicação(ões) que serãoda(s) aplicação(ões) que serão
disponibilizadas para a internet.disponibilizadas para a internet.
• Owasp ProjectOwasp Project
– Desenvolvimento seguro;Desenvolvimento seguro;
– Auditoria das aplicações;Auditoria das aplicações;
– Guia para desenvolvedores.Guia para desenvolvedores.
Hardening LinuxHardening Linux
Desenvolvimento SeguroDesenvolvimento Seguro