[Linux] Dicas de Segurança

[Ðark$pawn]

/* Dicas de Segurança --> Passo a Passo como Deixar sua Máquina um pouco mais segura v1.0 */

Créditos:

Rodrigo Rubira Branco
Gerente de Segurança
Firewalls Security Corporation

Fonte: www.firewalls.com.br

Ok galera, aqui começo com uma parte importante de um curso de segurança, introduzindo os passos necessários para se executar um checklist de segurança em um computador (servidor ou não) e melhorar desta forma em partes sua segurança. Este checklist foi totalmente feito por mim sem consulta a nenhum outro texto, portanto, é possível que outros autores definam uma ordem de importância diferente da minha e talvez nem sequer mencionem (ou eu não mencione) passos listados.

Limitações:
Não irei entrar em detalhes do uso de ferramentas e partirei do pré-suposto que você sabe pelo menos usar linux (eu disse usar e não dominar). Também não irei considerar que um cara pode entrar com um revólver no seu estabecimento e obrigá-lo a passar as informações nem que pode ocorrer um desastre natural e você perder tudo, inclusive os backups.

Introdução:

Obviamente a melhor maneira de tornar seu computador seguro seria não conectando-o na internet, o que seria um crime no mundo atual. Bem, nem irei mencionar a necessidade dos BACKUPS.

Ops, já mencionei :/.

Segurança Remota

Passo 1:

Desabilite Serviços que Não Serão Necessários.
Especialmente TODOS os servicos RPC, que são muito inseguros.

Passo 2:

Troque Serviços como telnet e ftp por versões mais seguras e que
utilizem métodos de criptografia como ssh e scp.

Passo 3:

Substitua Servidores inseguros por suas versões mais seguras:
Por exemplo:
Wu-FTP por ProFTP
Telnet por SSH
Existem outras substituições que podem ser feitas, mas não são tão importantes quanto as duas listadas aqui por mim, e seriam trocar o bom e velho BIND por SecureDNS ou algo parecido, mas bem, mantendo-se atualizado a sua versão de BIND e utilizando-se criptografia não será necessario fazer a troca.

Passo 4:

Atualize seu kernel para a última versão segura e os arquivos do sistema também.

Passo 5:

Desabilite a resposta a ping em broadcast:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Passo 6:

Desabilite o repasse de pacotes:
echo 0 > /proc/sys/net/ipv4/ip_forward

Passo 7:

Configure o TCP_Wrappers:
vi /etc/inetd.conf
No lugar do serviço a ser invocado pelo inetd, chame o tcpd,
geralmente localizado em /usr/sbin.
Após isto, coloque em seu hosts.deny:
All:All
E em seu hosts.allow:
servico:
Com isso, tudo que você não permitir, será proibido

Agora visualizando mais a segurança local:

Passo 1:
Arquivos Críticos do Sistema | Permissão que devem ter

/var/log | 751
/var/log/messages | 644
/etc/syslog.conf | 640
/var/log/wtmp | 660
/var/log/lastlog | 640
/etc/passwd | 644
/etc/shadow | 600
/etc/hosts.allow | 600
/etc/hosts.deny | 600
/etc/lilo.conf | 600
/etc/securetty | 600
/etc/shutdown.allow | 400
/etc/inetd.conf | 600
/etc/rc.d | 755
/etc/cron.allow | 400
/etc/cron.deny | 400
/etc/ssh | 750
/etc/sysctl.conf | 400

Passo 2:

Desabilite todos os programas que rodam com o bit SUID ativado, a menos que seja extremamente importante rodar como SUID. Para encontrar tais arquivos:

find / -type f -perm +6000 -ls
Após isto:
chmod -s http://www.firewalls.com.br/mailman/listinfo/seguranca

OBS: Está lista é restrita e está sujeita a aprovação para inscrições

Passo 2:

Caso uma falha de segurança exista mas ainda não se possua uma correção nem sequer temporária, não exite em tirar do ar o serviço que possui tal falha, mesmo que não exista exploit para a falha divulgada (muitas vezes os crackers simplesmente não divulgam o exploit, embora o possuam)

Passo 3:

Utilize um bom firewall (iptables) e configure-o com políticas default
DROP: netfilter.samba.org
Utilize um packet sniffer para saber mais sobre o tráfego da rede, com filtros para facilitar detecção de invasão (tcpdump): www.br.tcpdump.org
Use um IDS e configure-o apropriadamente (snort): www.snort.org
Rode um verificador de arquivos (AIDE) para caso uma invasão ocorra
você possa verificar e eliminar backdoors implantadas: www.aide.org

Passo 4:

Configure seu syslog para gerar logs separados de cada um dos respectivos serviços de referência, e de preferência utilize o syslog-ng

Passo 5:

Tenha uma boa política de segurança e faça com que seus usuários a cumpram, prevendo duras punições para quem não o fizer. Elabore um bom plano de contingência para caso tudo o mais falhe.

Passo 6:

SEJA HUMILDE!!
Nunca dúvide da capacidade de alguém, nunca diga que uma pessoa não é capaz de invadir seu servidor e nem sequer mencione a toa sobre sua enorme preocupação com segurança. Não divulge informação alguma sobre sua rede a menos que seja necessário. Leia os logs do seu sistema. Em caso de dúvidas, desconecte a placa de rede.

BOA SORTE!!
Este conjunto de dicas será constantemente atualizado, fiquem de olho! Espero que tenha sido útil para alguma coisa.
Baixem os arquivos que eu mencionei e instale-os. Segurança é necessário até mesmo para usuários domésticos, todos devem se preocupar com isso.

Edited by: DarkSpawn

[whit3_sh4rk]

Parabéns... Belo post...

Realmente, como tinha dito para você, é um dos melhores colaboradores aqui do Darkers..

Obs: (cutucando o staff) se eu pudesse até daria 1 pontinho.. 

[]s

[Cloudy]

Eu achei legal. No começo achei que fosse mais um textinho bobo para inicinates, mas até que é interessante.

...by Cloudy