Seguranca em Servidores Linux

  • View
    680

  • Download
    3

Embed Size (px)

DESCRIPTION

Seguranca em Servidores Linux

Text of Seguranca em Servidores Linux

  • 1. @alessssilva Segurana em Servidores LinuxSegurana em Servidores LinuxSegurana em Servidores Linux Por Alessandro Silva

2. @alessssilva Segurana em Servidores Linux Sobre o palestranteSobre o palestrante Bacharel em Informtica e Especialista em TI Aplicada a Educao pelo NCE/UFRJ. Ps-graduando em Gerncia de Segurana da Informao NCE/UFRJ Mais de 10 anos na indstria de TI Certificaes: LPIC-3, RHCE, RHCSA, Novell CLA e DCTS, Zabbix Certified Specialist e Zabbix for Large Enviroments. Desde 2011 trabalhando com projetos de monitorao com Zabbix. Principais interesses: Linux e Certificaes Segurana Zabbix Drupal 3. @alessssilva Segurana em Servidores Linux AgendaAgenda Hardening da Instalao Mecanismos de proteo Controle de acessos Fortalecendo servios Solues de segurana para Linux Planejamento do ambiente seguro Hardening de Kernel Monitoramento Planos de Contingncia e Recuperao de Desastres Certificaes em Segurana para Linux 4. @alessssilva Segurana em Servidores Linux Disponibilidade O que queremos proteger?O que queremos proteger? Confidencialidade Integridade 5. @alessssilva Segurana em Servidores Linux Segurana na Instalao 6. @alessssilva Segurana em Servidores Linux InstalaoInstalao Se existe acesso fsico mquina, a segurana inexistente! Acesso ao servidor Rack Segurana fsica e controle de acesso Fonte redundante No-break Desabilitar perifricos no usados no setup Senha no setup Implementar RAID para redundncia Preferencialmente por hardware (performance) 7. @alessssilva Segurana em Servidores Linux InstalaoInstalao Escolha sua distribuio! Confiabilidade Suporte Atualizao Estabilidade 8. @alessssilva Segurana em Servidores Linux InstalaoInstalao Qual a fonte da imagem ISO? Instalao Minimal/Netinstall Particionamento dos discos Planejamento do particionamento Diminui o tempo de acesso aos dados Facilita a recuperao de desastres Minimiza problemas de indisponibilidade por espao em disco Swap Prefira no usar. Se no tiver escolha, usar SSD! 9. @alessssilva Segurana em Servidores Linux InstalaoInstalao Particionamento dos discos Para garantir extensibilidade, use LVM! root@myserver [~]# df -h Sist. Arq. Tam Usad Disp Uso% Montado em /dev/sda5 7,8G 1,1G 6,4G 14% / /dev/sda8 383G 82G 282G 23% /home /dev/sda6 4,9G 139M 4,5G 3% /tmp /dev/sda3 25G 7,6G 16G 34% /usr /dev/sda2 30G 4,5G 24G 17% /var /dev/sda1 996M 51M 894M 6% /boot tmpfs 1009M 0 1009M 0% /dev/shm /dev/sdb1 459G 360G 76G 83% /backup 10. @alessssilva Segurana em Servidores Linux InstalaoInstalao Instale apenas os pacotes necessrios Pacotes do sistema precisam vir de fonte segura 11. @alessssilva Segurana em Servidores Linux InstalaoInstalao Proteja o gerenciador de boot (Grub) com senha 12. @alessssilva Segurana em Servidores Linux Segurana no Acesso RedeSegurana no Acesso Rede Retirar a mquina da rede Identificar os servios com suporte Alterar a configurao do sistema de modo que apenas os servios necessrios estejam ativos Dependncia Reinicializar o sistema Verificar se servios desnecessrios esto sendo executados Retornar a mquina rede e verificar a conectividade 13. @alessssilva Segurana em Servidores Linux Fortalecimento ps-instalao 14. @alessssilva Segurana em Servidores Linux Configuraes Ps-instalaoConfiguraes Ps-instalao INITTAB Controlando terminais 1:2345:respawn:/sbin/getty 38400 tty1 2:23:respawn:/sbin/getty 38400 tty2 3:23:respawn:/sbin/getty 38400 tty3 4:23:respawn:/sbin/getty 38400 tty4 5:23:respawn:/sbin/getty 38400 tty5 6:23:respawn:/sbin/getty 38400 tty6 Alterando comportamento ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now Definir o RunLevel default 15. @alessssilva Segurana em Servidores Linux Ativando e desativando serviosAtivando e desativando servios Debian rcconf chkconfig Red Hat ntsysv chkconfig root@thinktoy:/home/alessandro# chkconfig --list apache2 apache2 0:off 1:off 2:on 3:on 4:on 5:on 6:off 16. @alessssilva Segurana em Servidores Linux Ativando e desativando serviosAtivando e desativando servios Debian rcconf chkconfig Red Hat ntsysv chkconfig root@thinktoy:/home/alessandro# chkconfig --list apache2 apache2 0:off 1:off 2:on 3:on 4:on 5:on 6:off 17. @alessssilva Segurana em Servidores Linux Ativando e desativando serviosAtivando e desativando servios HTOP ( Hisham's Top) Criado por um brasileiro netstat ps top, htop, nmon lsof, pgrep NMON 18. @alessssilva Segurana em Servidores Linux Ativando e desativando serviosAtivando e desativando servios root@myserver [~]# netstat -tnap Conexes Internet Ativas (servidores e estabelecidas) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:40001 0.0.0.0:* OUA 6041/java tcp 0 0 0.0.0.0:1 0.0.0.0:* OUA 4904/portsentry tcp 0 0 0.0.0.0:993 0.0.0.0:* OUA 4332/dovecot tcp 0 0 0.0.0.0:10050 0.0.0.0:* OUA 4017/zabbix_agentd tcp 0 0 0.0.0.0:80 0.0.0.0:* OUA 2412/httpd tcp 0 0 0.0.0.0:995 0.0.0.0:* OUA 4332/dovecot root@myserver [~]# netstat -napu Conexes Internet Ativas (servidores e estabelecidas) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 184.172.190.78:53 0.0.0.0:* 3561/named udp 0 0 184.172.190.79:53 0.0.0.0:* 3561/named udp 0 0 184.172.190.80:53 0.0.0.0:* 3561/named TCP UDP 19. @alessssilva Segurana em Servidores Linux Limitando os recursosLimitando os recursos Limitando o acesso root aos terminais /etc/securetty Forar logout para o usurio .bashrc ou /etc/profile TMOUT=360 Limitando o acesso aos recursos /etc/security/limits.conf Evite o forkbomb :(){ :|: &};: 20. @alessssilva Segurana em Servidores Linux Limitando os recursosLimitando os recursos Mximo de processos executados simultaneamente Tempo mximo de utilizao da CPU Mximo de arquivos que podem ser criados pelo usurio root@thinktoy:/home/alessandro# ulimit -u 46601 root@thinktoy:/home/alessandro# ulimit -t Unlimited root@thinktoy:/home/alessandro# ulimit -f unlimited 21. @alessssilva Segurana em Servidores Linux Firewalls e FiltrosFirewalls e Filtros Servir como separao entre sua rede e a Internet Permitir o uso legtimo da rede Impedir trfego indevido ao servidor (malicioso) Iptables Avaliao Busca de regras existentes # iptables -nL Identificao das necessidades de proteo Definio da estratgia 22. @alessssilva Segurana em Servidores Linux Firewalls e FiltrosFirewalls e Filtros Ferramenta de administrao do Firewall no Red Hat 23. @alessssilva Segurana em Servidores Linux Firewalls e FiltrosFirewalls e Filtros Endian Smoothwall BrasilFW Vyatta ClearOS Untangle PFSense (Free BSD) 24. @alessssilva Segurana em Servidores Linux Firewalls e FiltrosFirewalls e Filtros Utilizao de Proxy Performance Controle de acesso Autenticao e autorizao Filtro de contedo (por pgina, por usurio...) Relatrios de acessos com SARG 25. @alessssilva Segurana em Servidores Linux TCP WrappersTCP Wrappers TCP Wrapers Ferramenta para autorizar ou negar acesso aos servios. Utiliza a biblioteca Libwrap Para fins de controle utiliza os arquivos: /etc/hosts.allow /etc/hosts.deny Pode ser utilizada em conjunto com firewall 26. @alessssilva Segurana em Servidores Linux Controle de AcessosControle de Acessos MAC (Mandatory Access Control) SELINUX (Security-Enhanced Linux) Padro no Red Hat Enterprise Linux DAC (Discricionary Access Control) Chmod Chattr ACL (Access Control List) Filesystem 27. @alessssilva Segurana em Servidores Linux Permisses Permisses especiais SUID, SGID e Stick bit Atributos chattr, lsattr Reviso nos controles de acesso SUDO root@thinktoy:/home/alessandro# find / -type d -perm -1000 -ls 6422529 4 drwxrwxrwt 20 root root 4096 Jun 13 12:20 /tmp 6438915 4 drwxrwxrwt 2 root root 4096 Jun 13 12:19 /tmp/.ICE-unix Controle de AcessosControle de Acessos 28. @alessssilva Segurana em Servidores Linux AuditoriaAuditoria Visualizando os ltimos comandos apt-get install Acct lastcomm Registrando todos os comandos apt-get install snoopy tail -f /var/log/auth root@thinktoy:~# lastcomm root ls root pts/2 0.00 secs Sat Jun 22 13:30 cat root pts/2 0.00 secs Sat Jun 22 13:30 bash F root pts/2 0.00 secs Sat Jun 22 13:30 ifconfig root pts/2 0.00 secs Sat Jun 22 13:29 apt-get root pts/2 2.03 secs Sat Jun 22 13:29 dpkg root pts/2 0.00 secs Sat Jun 22 13:29 29. @alessssilva Segurana em Servidores Linux AuditoriaAuditoria Poltica de senhas PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_WARN_AGE 7 LOGIN_RETRIES 5 LOGIN_TIMEOUT 60 LOGIN_TIMEOUT 60 /etc/login.defs ltima mudana de senha : Mar 16, 2013 Senha expira : nunca Senha inativa : nunca Conta expira : nunca Nmero mnimo de dias entre troca de senhas : 0 Nmero mximo de dias entre troca de senhas : 99999 Nmero de dias de avisos antes da expirao da senha : 7 root@thinktoy:/home/alessandro# chage -l alessandro 30. @alessssilva Segurana em Servidores Linux AuditoriaAuditoria root@espiritolivre [~]# who root pts/0 2013-06-29 12:53 (186.241.100.67) root pts/1 2013-06-29 12:08 (200.97.200.182) root@espiritolivre [~]# last root pts/0 186.241.219.201 Sat Jun 29 12:53 still logged in root pts/1 200.97.237.48 Sat Jun 29 12:08 still logged in root pts/0 146.164.2.145 Wed Jun 26 10:37 - 11:45 (01:07) root pts/0 173.193.65.163 Tue Jun 25 16:23 - 16:26 (00:03) Who Last 31. @alessssilva Segurana em Servidores Linux Segurana no Armazenamento de DadosSegurana no Armazenamento de Dados OpenSSL GPG til para validar a autenticidade e integridade dos pacotes Criptografia do Filesystem Um notebook do EB foi esquecido em um taxi com informaes confidenciais. E agora? puppy# gpg --verify gnupg-1.2.4.tar.bz2.sig gpg: Signature made Wed 24 Dec 2003 07:24:58 EST using DSA key ID 57548DCD gpg: Good signature from "Werner Koch (gnupg sig) " gpg: checking the trustdb gpg: no ultimately trusted keys found gpg: WARNING: This key is not certified with a trusted signature! There is no indication that the