Segurança em servidores Linux

  • View
    1.613

  • Download
    1

Embed Size (px)

DESCRIPTION

 

Text of Segurança em servidores Linux

  • 1. Segurana em Servidores LinuxBaseado na Norma ISO 27002
  • 2. Cesar DomingosEspecialista atuante h mais de 11 anos em projetos de redes corporativas eadministrao de redes.Hoje atuando como Consultor de Business Intelligence com Software Livre na Smart.Atuou por 4 anos como Lder de Treinamentos da Empresa 4Linux, lanando novoscursos e metodologias de ensino.Desenvolvimento de solues para redues de custos em TI, projetos de Redes etreinamentos especializados utilizando Software Livre Pentaho para BusinessIntelligence, Sistemas Linux para Segurana de Redes como Firewall, Pen-Test eseguranas baseadas na norma BS7799(ISO 27002).Como instrutor ministrou mais de 100 turmas, sendo elas de Linux, Segurana emSoftware Livre e Business Intelligence com Pentaho.Graduado na Faculdade de Tecnologia em Redes de Computadores pela USCS.Certificado LPIC-3(Linux Professional Institute nvel 3).Um dos autores do livro BS7799 Da ttica a prtica em servidores Linux.
  • 3. O que Software Livre? Segundo definio da FSF (Free Software Fundation), Software Livre qualquer programa de computador que pode ser usado, copiado, estudado e redistribudo sem restries.
  • 4. Software Livre no quer dizer trabalho de graa
  • 5. Software Livre. Onde encontro?
  • 6. Softwares Livres mais poularesSistema Operacional: GNU/LinuxServidor Web: ApacheServidor de E-mail: PostfixServidor de Arquivos: SambaServidor de DNS: BINDServidor de Aplicao: TomCat, JbossServidor de Banco de Dados: MySQL, PostgreSQLNavegadores: Firefox, ChromePacote de Escritrio: OpenOfficeEducao a distncia: Moodle
  • 7. Softwares Livres mais poularesSistema Wiki: MediaWikiTelefonia: AsteriskTeleconferncia: BBB, Open MeetingsBusiness Intelligence: Pentaho, SpagoBIBPM: BonitaVirtualizao: Xen, KVM, OpenVZLinguagens de Programao: Python, Java, Perl, PHP, LUA,Ruby, Gambas e Tcl.Soluo de Gruopware: Zimbra, ExpressoE Muito, muito mais......
  • 8. Linux em diversos sabores
  • 9. Segurana da Informao A segurana da informao est relacionada com proteode um conjunto de dados, no sentido de preservar o valor quepossuem para um indivduo ou uma organizao. So caractersticas bsicas da segurana da informao osatributos de confidencialidade, integridade, disponibilidadee autenticidade, no estando esta segurana restrita somentea sistemas computacionais, informaes eletrnicas ousistemas de armazenamento. O conceito se aplica a todos osaspectos de proteo de informaes e dados.
  • 10. Sobre a Norma ISO 27002- Baseada na norma BS7799 - British Standard7799 uma norma padro desegurana dainformao. Foi desenvolvidaem1995naInglaterrapelaBritish Standard.- E qual o objetivo da Norma ISO 27002?
  • 11. Mostra o que fazer, mas no como Como todas as normas, ela dita boas prticas que devem ser adotadas para aplicar a segurana da informao em diversas reas. Mas no diz como deve ser feito. Com isso em mente, o objetivo dessa palestra mostrar como aplicar essas boas prticas em servidores GNU/Linux.
  • 12. Meu Sistema Operacional seguro?
  • 13. Resposta:
  • 14. Segurana Fail
  • 15. Motivo de no ser seguroInstalei. T funcionando. Ento T BOM!!!
  • 16. Segurana vs FlexibilidadeFlexibilidade Risco Segurana Segurana Risco Flexibilidade
  • 17. Preciso proteger os meus servidores Linux. O que fazer? Aplicar Tcnicas de Hardening. Criar polticas de acessos. Ter todos os eventos registrados. Servidores Monitorados. Cuidado com acesso fsico. Muitos outros.
  • 18. Tcnicas de Hardening Um sistema operacional, 100%? O Linux por ser mais robusto, 100%? Podemos deixar um sistema operacional 100% seguro? O que Hardening?
  • 19. Tcnicas de Hardening Remover programas desnecessrios Ajustar permisses especiais Aplicar segurana no sistema de arquivos Gerenciar acessos locais e remotos Ajustar privilgios de usurios Procurar por senhas fracas Outros
  • 20. Proteo ao Sistema de Arquivos As boas prticas do FHS (Filesytem Hierarchy Standard) particionar o disco rgido para alocar os principais pontos de montagem do sistema, que so: / /usr /var /home /tmp
  • 21. Separar o /tmp? Qual o motivo? Alm dos motivos tradicionais, existe a questo das permisses. O diretrio /tmp um diretrio que permite tudo: # ls l /tmp drwxrwxrwt 7 root root 4096 /tmp/ Por isso ele um dos principais alvos de injeo de cdigos maliciosos no sistema.
  • 22. Como proteger O sistema de montagem do Linux, permite que seja passados alguns parmetros quando a partio montada, e dois deles so bem teis para esse caso: noexec No permite a execuo na partio, mesmo que o arquivo tenha essa permisso. nosuid No permite que o arquivo seja executada com a permisso de Suid Bit.
  • 23. Polticas de Acesso Fechar toas as portas de servios que no esto sendo utilizados. Tirar acesso direto do usurio root local e remoto Fazer restries de acesso ao SSH Controlar horrios de acesso Limitar quantidade de execuo de processos por usurio comuns
  • 24. Restries no SSH Mudar a porto padro 22 para outra porta. Restringir o IP por ListenAddress Bloquear o root com PermiteRootLogin no Definir grupos de acesso com AllowGroups SSH com autenticao por chaves. Restringir horrios de acesso em conjunto com o mdulo pam_time.so do PAM /etc/security/time.conf sshd:*:*:Al0800-1800
  • 25. Quando acontece algo no servidor. Onde devo procurar?
  • 26. Nos Logs do Sistema Diretrio dos Logs: /var/log wtmp (Comando last) btmp (Comando lastb) utmp (Comandos w e who) lastlog (Comando lastlog) E todos os logs que so gravados no formato texto
  • 27. Registrar preciso Identificao dos usurios; Datas e horrios de entrada (login, logout); Identidade do terminal, nome da mquina ou IP; Registro das tentativas de acesso aos aceitos erejeitados; Registro das tentativas de acesso a outros recursose dados aceitos e rejeitados; Alterao de arquivos; Uso de privilgios, aplicativos e utilitrios do sistema.
  • 28. Como Registrar Padres: Syslog e Rsyslog Para personalizar Syslog-NG (Com estrutura Cliente-Servidor) Auxiliares Lastcomm Snoop
  • 29. Monitorando a Segurana dos Servidores HIDS (Host Intrusion Detection System) OSSEC (Active-Response) NIDS (Network Intrusion Detection System) Snort com MySQL e AIDE Nessus (Anlise de Vulnerabilidades)
  • 30. Active-Response
  • 31. O que mais pode ser feito? Criar boas regras de Firewall com Iptables Ajustes de segurana em cada aplicao instalada (Ex: Apache, Postfix, Bind, etc) Trabalhar com ambientes enjaulados (chroot) Conexes seguras entre redes com VPN Criar regras de acessos com SELinux
  • 32. Logo...Instalei. T funcionando. Ento T BOM!!!
  • 33. Outro lado da segurana: Pentest
  • 34. Perguntas?