Segurança em Servidores Linux - Ênfase em RHEL

  • View
    571

  • Download
    22

Embed Size (px)

DESCRIPTION

Não espere seu sistema ser invadido para torná-lo a prova de balas. Antecipe-se e tome as medidas preventivas para proteger seus dados, sistemas e sua reputação profissional. Conheça alguns dos principais recursos para fortalecer a segurança de servidores Linux e minimizar riscos e ameaças de possíveis invasões.

Text of Segurança em Servidores Linux - Ênfase em RHEL

  • 1. SEGURANA EEMM SSEERRVVIIDDOORREESS LLIINNUUXXAlessandro SilvaTechnical Account Manager | Platform03 Set 2014

2. Sobre o Palestrante Bacharel em Informtica e Especialista em TI aplicada Educao - UFRJ Ps-graduando em Gerncia da Segurana da Informao UFRJ Especialista em Linux com mais de 10 anos na indstria de TI Certificaes: RHCE - Red Hat Certified Engineer RHCSA -Red Hat Certified System Administrator LPIC-1, LPIC-2 e LPIC-3 Novell CLA e Datacenter Technical Specialist Zabbix Certified Specialist e Zabbix for Large Environments Idealizador dos eventos: Fsldc e LinuxinRio Technical Account Manager na Red HatSEGURANA EM SERVIDORES LINUX | 2 ALESSANDRO SILVA 3. Agenda O que queremos proteger? Segurana fsica e controle de acesso Fortalecimento da Instalao Gerenciamento do sistema Auditoria Segurana nos servios Tunando o kernel Planejamento de contingncia e recuperao de desastres Consideraes finaisSEGURANA EM SERVIDORES LINUX | 3 ALESSANDRO SILVA 4. Liderana e inovao com cdigo abertoSEGURANA EM SERVIDORES LINUX | 5 ALESSANDRO SILVA 5. O que queremos proteger?DisponibilidadeConfidencialidadeIntegridadeSEGURANA EM SERVIDORES LINUX | 6 ALESSANDRO SILVA 6. Segurana na InstalaoOnde tudo comea!SEGURANA EM SERVIDORES LINUX | 7 ALESSANDRO SILVA 7. Segurana fsica e controle de acesso Se existe acesso fsico mquina, a segurana inexistente! Acesso ao servidor Rack Acesso fsico e controle de acesso Proteja o BIOS/UEFI Preveno de mudanas Evita boot no autorizado Desabilitar perifricos no usados No-break, fonte redundante... RAIDSEGURANA EM SERVIDORES LINUX | 8 ALESSANDRO SILVA 8. Instalao Escolha sua distribuio Confiabilidade Suporte Atualizao EstabilidadeSEGURANA EM SERVIDORES LINUX | 9 ALESSANDRO SILVA 9. Instalao Qual a fonte da imagem ISO? Instalao Minimal/Basic Particionamento dos discos Planejamento do particionamento Diminui o tempo de acesso aos dados Facilita a recuperao de desastres Minimiza problemas de indisponibilidade por espao em disco Swap Prefira no usar Se no tiver escolha, usar SSD!SEGURANA EM SERVIDORES LINUX | 10 ALESSANDRO SILVA 10. Instalao Use LVM! /boot Kernel, Grub, ... No deve ser encriptada /home Dados dos usurios /var/tmp e /tmp Arquivos temporrios No so armazenados por longo perodo.SEGURANA EM SERVIDORES LINUX | 11 ALESSANDRO SILVA 11. Instalao Instale apenas os pacotes necessrios Pacotes do sistema precisam vir de fontes segurasSEGURANA EM SERVIDORES LINUX | 12 ALESSANDRO SILVA 12. Instalao Proteja o gerenciador de boot (Grub) com senhaSEGURANA EM SERVIDORES LINUX | 13 ALESSANDRO SILVA 13. Ps-instalaoJ posso entrar em produo?SEGURANA EM SERVIDORES LINUX | 14 ALESSANDRO SILVA 14. Atualizao do sistema Atualizao completa do sistema yum update Checagem de erratas yum checkupdatesecurity Aplicando as erratas yum update securitySEGURANA EM SERVIDORES LINUX | 15 ALESSANDRO SILVA 15. Servios: Quais devem estar ativos? Apenas os servios necessrios! ntsysv chkconfig systemctl # systemctl list-unit-files # systemctl disable httpdroot@myserver:/home/alessandro# chkconfig listhttpdhttpd 0:off 1:off 2:on 3:on 4:on 5:on 6:offSEGURANA EM SERVIDORES LINUX | 17 ALESSANDRO SILVA 16. Servios: Quais devem estar ativos?TCProot@myserver [~]# netstat -tnapConexes Internet Ativas (servidores e estabelecidas)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program nametcp 0 0 0.0.0.0:40001 0.0.0.0:* OUA 6041/javatcp 0 0 0.0.0.0:1 0.0.0.0:* OUA 4904/portsentrytcp 0 0 0.0.0.0:993 0.0.0.0:* OUA 4332/dovecottcp 0 0 0.0.0.0:10050 0.0.0.0:* OUA 4017/zabbix_agentdtcp 0 0 0.0.0.0:80 0.0.0.0:* OUA 2412/httpdtcp 0 0 0.0.0.0:995 0.0.0.0:* OUA 4332/dovecotUDProot@myserver [~]# netstat -napuConexes Internet Ativas (servidores e estabelecidas)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program nameUdp 0 0 192.168.10.78:53 0.0.0.0:* 3561/namedudp 0 0 192.168.10.79:53 0.0.0.0:* 3561/namedudp 0 0 192.168.10.80:53 0.0.0.0:* 3561/namedSEGURANA EM SERVIDORES LINUX | 18 ALESSANDRO SILVA 17. Servios: performance x segurana ps, netstat top, htop, nmon lsof, pgrep systemtapSEGURANA EM SERVIDORES LINUX | 19 ALESSANDRO SILVA 18. Limitando os recursos Limitando o acesso root aos terminais /etc/securetty Forar logout para o usurio .bashrc ou /etc/profile TMOUT=360 Limitando o acesso aos recursos /etc/security/limits.conf Evite o forkbomb :(){ :|: &};:SEGURANA EM SERVIDORES LINUX | 20 ALESSANDRO SILVA 19. Limitando os recursos Mximo de processos executados simultaneamenteroot@myserver:/home/alessandro# ulimit u46601 Tempo mximo de utilizao da CPUroot@myserver:/home/alessandro# ulimit tUnlimited Mximo de arquivos que podem ser criados pelo usurioroot@myserver:/home/alessandro# ulimit funlimitedSEGURANA EM SERVIDORES LINUX | 21 ALESSANDRO SILVA 20. Gereciamento do SistemaComo voc aplica seus patches de segurana?SEGURANA EM SERVIDORES LINUX | 22 ALESSANDRO SILVA 21. Equipe de Resposta a Incidentes ERISI CSIRT (Computer Security Incident Response Team) Investiga e analisa questes relacionadas a segurana desoftware Analisa quais produtos so afetados, seus impactos econtramedidas Publicao de erratas Severidades Impactos CVE ( Common Vulnerabilities and Exposures)SEGURANA EM SERVIDORES LINUX | 23 ALESSANDRO SILVA 22. CVE Formato padronizado para notificao e acompanhamento dequestes de segurana relacionadas a software. Mantido pela empresa MITRE Corporation Common Vulnerability Scoring System (CVSS) Severidades Crtica Importante Moderada BaixaSEGURANA EM SERVIDORES LINUX | 24 ALESSANDRO SILVA 23. Erratas Red Hat Security Advisory (RHSA) Red Hat Bug Fix Advisory (RHBA) Red Hat Enhancement Advisory (RHEA)SEGURANA EM SERVIDORES LINUX | 25 ALESSANDRO SILVA 24. Como funciona na prtica?SEGURANA EM SERVIDORES LINUX | 26 ALESSANDRO SILVA 25. YUM Security Plugin - Instalao# yum install -y yum-plugin-security# ls -l /etc/yum/pluginconf.d/-rw-r--r-- 1 root root 17 Out 16 17:52 product-id.conf-rw-r--r-- 1 root root 17 Fev 3 07:03 security.conf-rw-r--r-- 1 root root 17 Out 16 17:52 subscription-manager.conf# cat /etc/yum/pluginconf.d/security.conf[main]enabled=1SEGURANA EM SERVIDORES LINUX | 27 ALESSANDRO SILVA 26. YUM Security Plugin Verificando erratas# yum updateinfoLoaded plugins: productid,refreshpackagekit,rhnplugin,security, subscriptionmanagerThis system is not registered to Red Hat Subscription Management.You can use subscriptionmanagerto register.This system is receiving updates from RHN Classic or RHNSatellite.rhelx86_64server6/updateinfo| 2.1 MB 00:22Updates Information Summary: available42 Security notice(s)5 Critical Security notice(s)15 Important Security notice(s)7 Low Security notice(s)15 Moderate Security notice(s)143 Bugfix notice(s)13 Enhancement notice(s)updateinfo summary doneSEGURANA EM SERVIDORES LINUX | 28 ALESSANDRO SILVA 27. Kpatch: dynamic kernel patching Permitir a aplicao de um patch no kernel sem necessidadede reboot do servidor ou restart de qualquer processo. SysAdmins podero aplicar erratas de segurana crticassem precisar de janelas de manuteno. Maior controle de uptime sem sacrificar: Segurana Disponibilidade Estabilidade Encontra-se em desenvolvimento: https://github.com/dynup/kpatchSEGURANA EM SERVIDORES LINUX | 29 ALESSANDRO SILVA 28. Gesto de Atualizaes Aplicar atualizaes A maior parte dos ataques ocorrem em softwares no atualizados Monitoramento aps a aplicao Gesto de mudanas ViabilidadeSEGURANA EM SERVIDORES LINUX | 30 ALESSANDRO SILVA 29. Red Hat Network SatelliteSEGURANA EM SERVIDORES LINUX | 31 ALESSANDRO SILVA 30. MonitoramentoNotificaesControleCentralizadoConfiguraoStatusChecagensMonitorao SNMPMonitorao com agenteMonitorao com ping e portaDispositivos monitoradosSEGURANA EM SERVIDORES LINUX | 32 ALESSANDRO SILVADispositivos de redeServidores comAgente ZabbixServidores semAgente Zabbix 31. Controle de AcessoEsteja no controle da administrao de sistemasSEGURANA EM SERVIDORES LINUX | 33 ALESSANDRO SILVA 32. Firewall Servir como separao entre sua rede e a Internet Permitir o uso legtimo da rede Impedir trfego indevido ao servidor (malicioso) Iptables Avaliao Busca de regras existentes Identificao das necessidades de proteo Definio da estratgiaSEGURANA EM SERVIDORES LINUX | 34 ALESSANDRO SILVA 33. FirewallFerramenta de administrao do Firewall no Red Hat 6SEGURANA EM SERVIDORES LINUX | 35 ALESSANDRO SILVA 34. Proxy e filtros Utilizao de Proxy Performance Controle de acesso Autenticao e autorizao Filtro de contedo (por pgina, por usurio...) Relatrios de acessos com SARGSEGURANA EM SERVIDORES LINUX | 36 ALESSANDRO SILVA 35. TCP Wrappers Ferramenta para autorizar ou negar acesso aos servios. Utiliza a biblioteca Libwrap Para fins de controle utiliza os arquivos: /etc/hosts.allow /etc/hosts.deny Usado em conjunto com o firewallsshd : client1.example.com : allowsshd : client2.example.com : denySEGURANA EM SERVIDORES LINUX | 37 ALESSANDRO SILVA 36. Controle de acesso MAC (Mandatory Access Control) SELINUX (Security-Enhanced Linux) Padro no Red Hat Enterprise Linux DAC (Discricionary Access Control) chmod chattr ACL (Access Control List) FilesystemSEGURANA EM SERVIDORES LINUX | 38 ALESSANDRO SILVA 37. Controle de acesso Permisses Permisses especiais SUID, SGID e Stick bit Atributos chattr, lsattr Reviso nos controles de acessoroot@myserver:/home/alessandro# find / typed perm1000ls SUDOSEGURANA EM SERVIDORES LINUX | 39 ALESSANDRO SILVA 38. Auditoria: Use o Audit! Mecanismo para rastrear informaes de segurana relevantescom base em regras pr-definidas. til para avaliar a violao da poltica de segurana e aesrealizadas no sistema. Audit no prov segurana adicional Os eventos so armazenados em logs Possveis violaes podem ser evitadas com medidaspreventivas com base na anlise dos logs. Desenhado para atender padres de segurana:- Payment Card Industry Data Security Standard (PCI-DSS)SEGURANA EM SERVIDORES LINUX | 40 ALESSANDRO SILVA 39. Auditoria: Satellite + OpenSCAP Varredu