Segurança de Sistemas Prof. João Bosco M. Sobral Projeto de Segurança em Software Livre Segurança para um Servidor Linux

  • View
    110

  • Download
    4

Embed Size (px)

Text of Segurança de Sistemas Prof. João Bosco M. Sobral Projeto de Segurança em Software Livre...

  • Slide 1
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Projeto de Segurana em Software Livre Segurana para um Servidor Linux
  • Slide 2
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Pensando em segurana antes da instalao Com a Internet, seu servidor acessvel, de qualquer lugar do planeta, deixando de ser meramente um host para se tornar um alvo para invaso.
  • Slide 3
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Pensando em segurana antes da instalao Os sistemas operacionais utilizados nos computadores diretamente ligados rede: continuam vindo com um srie de funcionalidades de facilidades pr-ativadas, que no contribuem para a criao de um ambiente seguro.
  • Slide 4
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Pensando em segurana antes da instalao Um projeto de segurana deve trabalhar com a premissa de que: a segurana e a convenincia do ponto de vista do usurio final so inversamente proporcionais. Conexes temporrias, discadas ou similares, devem permitir nveis de servios um tanto limitados.
  • Slide 5
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Pensando em segurana antes da instalao O equilbrio dos dois minimizam o risco, mas antes disso devem estar conciliados com o negcio da empresa.
  • Slide 6
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Pensando em segurana antes da instalao Seu sistema de firewall no atuante para determinados tipos de ataque. Sua configurao pode no ter sido feita suficientemente segura para certos tipos de ataques.
  • Slide 7
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Pensando em segurana antes da instalao Seu antivrus s ser til para ataques de vrus j conhecidos. A segurana como uma corrente, na qual seu elo mais fraco representa o nvel de segurana da mesma.
  • Slide 8
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Parties Discos rgidos podem ser divididos em um ou mais discos lgicos que chamamos de parties. Esta diviso descrito na tabela de parties do disco, que fica no setor 0.
  • Slide 9
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Parties recomendvel criar vrias parties: Facilitar a administrao de backup. Facilitar a administrao de segurana, separando os programas com SUID em partio prpria. Limitar o tamanho dos diretrios. ???
  • Slide 10
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Antes da instalao... Regras para particionamento do HD : saber para qual finalidade ser usado seu servidor: Firewall e Proxy Web SMTP, POP FTP D mais autonomia para se aplicar segurana a partir do prprio sistema de arquivos.
  • Slide 11
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Particionamento do HD Definir: uma partio para o prprio sistema e outra partio para a rea de swap (64 Mb, 128Mb) Partio para backup. Partio para programas SUID. Diretrios em parties diferentes ou em discos diferentes (HDA, HDB)
  • Slide 12
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Partio para o sistema: diretrios Linux / - diretrio raiz. /boot - diretrio de arquivos estticos de inicializao (carga do sistema boot loader). /root - diretrio local do super-usurio. /dev - diretrio de arquivos de dispositivos do sistema (modems, terminais virtuais, discos,...)
  • Slide 13
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Particionamento do HD /bin - diretrio dos arquivos executveis. /sbin - arquivos de sistema essenciais. /mnt - diretrio ponto de montagem de parties temporrias, como discos, cd-rom, zip drive,... /lib - arquivos das bibliotecas compartilhadas utilizadas pelo sistema.
  • Slide 14
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Diretrios Linux /home diretrio local de diretrios dos usurios. /usr - arquivos de perfis (profiles) e configuraes pessoais de usurios. /tmp - arquivos temporrios gerados por utilitrios. /proc pseudo-sistema de arquivos, que armazena em tempo real as informaes geradas pelo kernel.
  • Slide 15
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Diretrios Linux /etc - principais arquivos de configurao dos utilitrios ou programas do sistema. /var - arquivos de informao varivel, tais como arquivos de logs do sistema. /opt - instalao de softwares opcionais de terceiros: BD Oracle, servio de Backup CA ArcServer, aplicativos, entre outros.
  • Slide 16
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Servidor Firewall / Proxy Para um servidor Firewall / Proxy, os maiores diretrios devem ficar para o /usr e o /var dos logs locais.
  • Slide 17
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Alguns tamanhos de diretrios /boot 15Mb / 512Mb /tmp 128Mb /usr 2048Mb /var 2048Mb /home 512Mb /opt 256Mb Swap 128Mb
  • Slide 18
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Para outros servios especficos Consultar a documentao do aplicativo. O negcio da empresa depende do desempenho do seu servidor.
  • Slide 19
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Partio Swap Num sistema em que a rea de Swap est sendo usada com muita frequncia, a mquina precisa de mais memria RAM. 64 Mb para memria de 128 Mb. 128 Mb para memria de 256 Mb ?
  • Slide 20
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Segurana Fsica Trancar os servidores. Tirar o boot pelo disquete ou CD-ROM. Tirar o autorun. Tirar o teclado. Tirar o monitor. Permitir acesso fsico somente s pessoas autorizadas.
  • Slide 21
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Listar os pacotes instalados >rpm qa > /root/pacotes_instalados >dpkg l > /root/pacotes_instalados >apt-get...
  • Slide 22
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Remover os pacotes desnecessrios Informao sobre o pacote: >rpm qi Remover >rpm e Remover >apt-get remove
  • Slide 23
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Remover... Deixe s o que utilizado. Compiladores (gcc, g++,...) Editor de texto (depois que tudo estiver configurado). more Bibliotecas desnecessrias. cat Ferramentas clientes de servios (ftp, telnet, wget, lynx,... )
  • Slide 24
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Loaders No MBR (Master Boot Record) do HD reside um programa loader. LILO (Linux Loader) GRUB (Grand Unified Boot-Loader) NTLDR A tarefa do loader carregar o SO na memria. Podem ser configurados para carregarem: Verses de kernel. SOs diferentes (dual boot).
  • Slide 25
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Loaders Carrega o Kernel, que por sua vez, ao fim de sua inicializao, carrega o processo INIT, o primeiro e todos os processos, pai de todos os outros. INIT cria os outros processos atravs da chamada fork().
  • Slide 26
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Grupos de usurios Permisses de acesso a grupo de usurios, para facilitar o gerenciamento de permisses aos recursos do sistema e controle dos usurios. Base de dados de grupos do sistema ficam em: /etc/group e /etc/gshadow (senhas) Senha para os grupos.
  • Slide 27
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Colocar senha no LILO ou grupo
  • Slide 28
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Fechar terminais
  • Slide 29
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral No permitir Ctrl+Alt+Del
  • Slide 30
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Restringir acesso
  • Slide 31
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Mudar permisses e atributos de arquivos
  • Slide 32
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Mudar atributos dos logs
  • Slide 33
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Senhas seguras
  • Slide 34
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Tirar SuidBit e Gdbit
  • Slide 35
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral PAM
  • Slide 36
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Segurana de Terminal
  • Slide 37
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Configurando a placa de rede
  • Slide 38
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Habilitando SSH
  • Slide 39
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Configurando segurana em servios TCPD
  • Slide 40
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Verificando portas abertas
  • Slide 41
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Instalando NIDS www.psionic.com Portsentry Network Intrusion Detection System Instalao: > rpm ivh portsentry-*.rpm
  • Slide 42
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Trabalhando com Logs
  • Slide 43
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Backup do sistema
  • Slide 44
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Instalar o Proxy Web
  • Slide 45
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Instalar o Ntop Ntop um analisador de rede.
  • Slide 46
  • Segurana de Sistemas Prof. Joo Bosco M. Sobral Instalando o Nessus Nessus o analisador de vulnerabilidades.
  • Slide 47