24
Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002

  • Upload
    kiley

  • View
    84

  • Download
    1

Embed Size (px)

DESCRIPTION

Segurança em Servidores Linux: Norma ISO 27002. Apresentação. Cesar Augusto Domingos -Especialista em projetos de redes corporativas, administração de redes. -Graduado em Tecnologia de Redes de Computadores pelo IMES; - PowerPoint PPT Presentation

Citation preview

Page 1: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002

Page 2: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 2 www.4linux.com.br

Apresentação

Cesar Augusto Domingos

-Especialista em projetos de redes corporativas, administração de redes.

-Graduado em Tecnologia de Redes de Computadores pelo IMES;

-Desenvolvimento de soluções para reduções de custos em TI, projetos de Redes e Treinamentos especializados utilizando Software Livre em especial em Sistemas Linux para Segurança de Redes como Firewall, Pen-Test e Seguranças baseadas na norma BS7799;

-Certificado LPIC-2 (Linux Professional Institute Nível 2);

-Gerente da área de Treinamento da empresa 4Linux.

- Um dos autores do livro BS7799 – Da tática a prática em servidores Linux.

Page 3: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 3 www.4linux.com.br

Apresentação do Curso

Trata-se de um curso de Segurança Computacional em softwares, que propõe soluções de controles com a norma ISO 27002, na sua versão vinculada pela ABNT, como base de tática. Seu objetivo é exemplificar na prática como buscar a conformidade contida na norma.

Todavia, o objetivo do curso é ser pontual, dentro do contexto computacional, tendo como proposta a utilização de ferramentas FOSS (Free and Open Source Software) combinadas com o poder dos recursos do Sistema Operacional Linux, o que possibilitará ao profissional de TI propor modelos de segurança com ferramentas consagradas no mundo do software livre.

Page 4: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 4 www.4linux.com.br

Segurança da Informação

Qual é o bem mais importante de uma empresa?

Page 5: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 5 www.4linux.com.br

A Norma ISO 27002

Esse é o metódo que podemos adotar para fazer a segurança da informação.

Page 6: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 6 www.4linux.com.br

O que é Hardening?

Page 7: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 7 www.4linux.com.br

Definição de Hardening

Analisando a real tradução da palavra, Hardening significa Endurecer-se.

Endurecer????

Page 8: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 8 www.4linux.com.br

Outras definições de Hardening

- Blindagem do Sistema;

- Fortalecimento do Sistema;

- Ajuste Fino;

- Procedimentos de segurança Pós-Instalação;

- Técnicas de segurança Pós-Instalação.

Page 9: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 9 www.4linux.com.br

Segurança da Informação

Podemos ter um sistema 100% seguro??

Page 10: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 10 www.4linux.com.br

3 fatores da segurança

Segurança RISCO

Flexibilidade

Flexibilidade

Segurança Risco

Segurança RISCO

Page 11: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 11 www.4linux.com.br

HARDENINGSegurança no Sistema de Arquivos

Pontos a serem considerados na Segurança do sistema de arquivos:

1 – Particionamento:1 – Particionamento:

As boas práticas de instalações aconselham a particonar o disco e colocar os principais diretórios nestas partições.

Mas o diretório /tmp é um diretório importante?

Page 12: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 12 www.4linux.com.br

HARDENINGSegurança no Sistema de Arquivos

2 – Opções de montagem:2 – Opções de montagem:

Algumas opções do comando mount, podem trazer maior segurança ao Sistema de Arquivos. Exemplos:

- noexec:

/dev/hda5 /tmp ext3 defaults,noexec 0 2

- nosuid:

/dev/hda6 /home ext3 defaults,nosuid 0 2

Page 13: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 13 www.4linux.com.br

Lista de Montagem

Page 14: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 14 www.4linux.com.br

HARDENINGArquivos com permissão de Suid Bit

Mesmo não permitindo que arquivos com Mesmo não permitindo que arquivos com permissão de Suid bit ativados não sejam permissão de Suid bit ativados não sejam aceitos nas partições, fica a seguinte aceitos nas partições, fica a seguinte pergunta:pergunta:

Será que todos os arquivos que tem Será que todos os arquivos que tem permissão de Suid bit por padrão são permissão de Suid bit por padrão são

necessários no meu servidor?necessários no meu servidor?

Page 15: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 15 www.4linux.com.br

HARDENINGArquivos com permissão de Suid Bit

- O que deve ser feito?- O que deve ser feito?

1 – Fazer um levantamento de todos os arquivos 1 – Fazer um levantamento de todos os arquivos do sistema que tem permissão de suid bit e do sistema que tem permissão de suid bit e deixar isso registrado em uma lista.deixar isso registrado em uma lista.

2 – Tirar todas as permissões de suid bit dos 2 – Tirar todas as permissões de suid bit dos arquivos no sistema.arquivos no sistema.

3 – Colocar permissão de suid bit somente nos 3 – Colocar permissão de suid bit somente nos arquivos que realmente são necessários em seu arquivos que realmente são necessários em seu servidor.servidor.

Page 16: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 16 www.4linux.com.br

HARDENINGSUID BIT

SHELL+SUID BIT =

# cp /bin/sh /home/x/sh

# chmod 4755 /home/x/sh

$ ./sh

Page 17: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 17 www.4linux.com.br

HARDENINGGerenciamento de Privilégios

Alguns procedimentos que devem ser levados em Alguns procedimentos que devem ser levados em consideração para Gerenciamento de Privilégios:consideração para Gerenciamento de Privilégios:

- Bloquear login do root;- Bloquear login do root;

/etc/securetty/etc/securetty

- Determinar datas de expiração para contas - Determinar datas de expiração para contas de usuários;de usuários;

chagechage

Page 18: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 18 www.4linux.com.br

HARDENINGGerenciamento de Privilégios

- Remover shells válidas de usuários que não precisam delas- Remover shells válidas de usuários que não precisam delas

/etc/passwd/etc/passwd

Substituir /bin/sh para /bin/falseSubstituir /bin/sh para /bin/false

- Executar um logout após um tempo determinado- Executar um logout após um tempo determinado

/home/usuário/.bashrc/home/usuário/.bashrc

/etc/profile/etc/profile

TMOUT=180TMOUT=180

Page 19: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 19 www.4linux.com.br

HARDENINGGerenciamento de Privilégios

- Utilizar o PAM.- Utilizar o PAM.

Algumas funções úteis do PAM para Hardening:Algumas funções úteis do PAM para Hardening:

- Limitar horários de login remotos e locais;- Limitar horários de login remotos e locais;

- Limitar quantidade de login's por usuário;- Limitar quantidade de login's por usuário;

- Definir tamanho mínimo de senhas;- Definir tamanho mínimo de senhas;

- Limitar quais usuários poderão ter acesso de root no - Limitar quais usuários poderão ter acesso de root no sistema;sistema;

Page 20: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 20 www.4linux.com.br

HARDENINGGerenciamento de Privilégios

- Limitar o - Limitar o Comando da Morte!!!Comando da Morte!!!

#:(){ :|:& };:#:(){ :|:& };:

- Esse é o comando e o PAM pode limita-lo.- Esse é o comando e o PAM pode limita-lo.

Page 21: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 21 www.4linux.com.br

HARDENINGProcurar por senhas fracas

Quero lhes apresentar um cara chamado Quero lhes apresentar um cara chamado

John the RipperJohn the Ripper. .

- O John é um programa de Brute Force local que - O John é um programa de Brute Force local que pode ser utilizado por administradores para pode ser utilizado por administradores para validar se os usuários da rede estão utilizando validar se os usuários da rede estão utilizando senhas fracas.senhas fracas.

Mas ATENÇÃO: Muito cuidado com o John pois ele pode ser usado contra

você!!

Page 22: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 22 www.4linux.com.br

HARDENINGRoot sem acesso remoto

Desabilitar o login do usuário root para acesso Desabilitar o login do usuário root para acesso remoto por SSH.remoto por SSH.

PermitRootLogin noPermitRootLogin no

Troca da porta padrão do ssh.Troca da porta padrão do ssh.

Port 2345Port 2345

Page 23: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 23 www.4linux.com.br

HARDENINGCheck-list de serviços ativos

- Será que todos os serviços que foram instalados - Será que todos os serviços que foram instalados por padrão são necessários nesse meu servidor ?por padrão são necessários nesse meu servidor ?

- Será que para o meu servidor de firewall eu - Será que para o meu servidor de firewall eu preciso deixar o serviço de e-mail instalado, preciso deixar o serviço de e-mail instalado, deixando a porta 25/TCP aberta sem deixando a porta 25/TCP aberta sem necessidade?necessidade?

Page 24: Segurança em Servidores Linux: Norma ISO 27002

Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 24 www.4linux.com.br

HARDENINGCheck-list de serviços ativos

Para ser feito um Check-list, algumas ferramentas podem ser Para ser feito um Check-list, algumas ferramentas podem ser utilizadas:utilizadas:

- netstat- netstat

- nmap- nmap

- hping- hping

- losf- losf

No final todos os serviços desnecessários poderem ser desativados No final todos os serviços desnecessários poderem ser desativados ou removidos.ou removidos.