Title: [Linux] Dicas de Segurança
Post by: Ðark$pawn on 23 de March , 2006, 10:01:37 PM
Post by: Ðark$pawn on 23 de March , 2006, 10:01:37 PM
/* Dicas de Segurança --> Passo a Passo como Deixar sua Máquina um pouco mais segura v1.0 */
Créditos:
Rodrigo Rubira Branco
Gerente de Segurança
Firewalls Security Corporation
Fonte: www.firewalls.com.br (http://www.firewalls.com.br)
Ok galera, aqui começo com uma parte importante de um curso de segurança, introduzindo os passos necessários para se executar um checklist de segurança em um computador (servidor ou não) e melhorar desta forma em partes sua segurança. Este checklist foi totalmente feito por mim sem consulta a nenhum outro texto, portanto, é possível que outros autores definam uma ordem de importância diferente da minha e talvez nem sequer mencionem (ou eu não mencione) passos listados.
Limitações:
Não irei entrar em detalhes do uso de ferramentas e partirei do pré-suposto que você sabe pelo menos usar linux (eu disse usar e não dominar). Também não irei considerar que um cara pode entrar com um revólver no seu estabecimento e obrigá-lo a passar as informações nem que pode ocorrer um desastre natural e você perder tudo, inclusive os backups.
Introdução:
Obviamente a melhor maneira de tornar seu computador seguro seria não conectando-o na internet, o que seria um crime no mundo atual. Bem, nem irei mencionar a necessidade dos BACKUPS.
Ops, já mencionei :/.
Segurança Remota
Passo 1:
Desabilite Serviços que Não Serão Necessários.
Especialmente TODOS os servicos RPC, que são muito inseguros.
Passo 2:
Troque Serviços como telnet e ftp por versões mais seguras e que
utilizem métodos de criptografia como ssh e scp.
Passo 3:
Substitua Servidores inseguros por suas versões mais seguras:
Por exemplo:
Wu-FTP por ProFTP
Telnet por SSH
Existem outras substituições que podem ser feitas, mas não são tão importantes quanto as duas listadas aqui por mim, e seriam trocar o bom e velho BIND por SecureDNS ou algo parecido, mas bem, mantendo-se atualizado a sua versão de BIND e utilizando-se criptografia não será necessario fazer a troca.
Passo 4:
Atualize seu kernel para a última versão segura e os arquivos do sistema também.
Passo 5:
Desabilite a resposta a ping em broadcast:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Passo 6:
Desabilite o repasse de pacotes:
echo 0 > /proc/sys/net/ipv4/ip_forward
Passo 7:
Configure o TCP_Wrappers:
vi /etc/inetd.conf
No lugar do serviço a ser invocado pelo inetd, chame o tcpd,
geralmente localizado em /usr/sbin.
Após isto, coloque em seu hosts.deny:
All:All
E em seu hosts.allow:
servico:
Com isso, tudo que você não permitir, será proibido
Agora visualizando mais a segurança local:
Passo 1:
Arquivos Críticos do Sistema | Permissão que devem ter
/var/log | 751
/var/log/messages | 644
/etc/syslog.conf | 640
/var/log/wtmp | 660
/var/log/lastlog | 640
/etc/passwd | 644
/etc/shadow | 600
/etc/hosts.allow | 600
/etc/hosts.deny | 600
/etc/lilo.conf | 600
/etc/securetty | 600
/etc/shutdown.allow | 400
/etc/inetd.conf | 600
/etc/rc.d | 755
/etc/cron.allow | 400
/etc/cron.deny | 400
/etc/ssh | 750
/etc/sysctl.conf | 400
Passo 2:
Desabilite todos os programas que rodam com o bit SUID ativado, a menos que seja extremamente importante rodar como SUID. Para encontrar tais arquivos:
find / -type f -perm +6000 -ls
Após isto:
chmod -s http://www.firewalls.com.br/mailman/listinfo/seguranca (http://www.firewalls.com.br/mailman/listinfo/seguranca)
OBS: Está lista é restrita e está sujeita a aprovação para inscrições
Passo 2:
Caso uma falha de segurança exista mas ainda não se possua uma correção nem sequer temporária, não exite em tirar do ar o serviço que possui tal falha, mesmo que não exista exploit para a falha divulgada (muitas vezes os crackers simplesmente não divulgam o exploit, embora o possuam)
Passo 3:
Utilize um bom firewall (iptables) e configure-o com políticas default
DROP: netfilter.samba.org
Utilize um packet sniffer para saber mais sobre o tráfego da rede, com filtros para facilitar detecção de invasão (tcpdump): www.br.tcpdump.org (http://www.br.tcpdump.org)
Use um IDS e configure-o apropriadamente (snort): www.snort.org (http://www.snort.org)
Rode um verificador de arquivos (AIDE) para caso uma invasão ocorra
você possa verificar e eliminar backdoors implantadas: www.aide.org (http://www.aide.org)
Passo 4:
Configure seu syslog para gerar logs separados de cada um dos respectivos serviços de referência, e de preferência utilize o syslog-ng
Passo 5:
Tenha uma boa política de segurança e faça com que seus usuários a cumpram, prevendo duras punições para quem não o fizer. Elabore um bom plano de contingência para caso tudo o mais falhe.
Passo 6:
SEJA HUMILDE!!
Nunca dúvide da capacidade de alguém, nunca diga que uma pessoa não é capaz de invadir seu servidor e nem sequer mencione a toa sobre sua enorme preocupação com segurança. Não divulge informação alguma sobre sua rede a menos que seja necessário. Leia os logs do seu sistema. Em caso de dúvidas, desconecte a placa de rede.
BOA SORTE!!
Este conjunto de dicas será constantemente atualizado, fiquem de olho! Espero que tenha sido útil para alguma coisa.
Baixem os arquivos que eu mencionei e instale-os. Segurança é necessário até mesmo para usuários domésticos, todos devem se preocupar com isso.
Edited by: DarkSpawn
Créditos:
Rodrigo Rubira Branco
Gerente de Segurança
Firewalls Security Corporation
Fonte: www.firewalls.com.br (http://www.firewalls.com.br)
Ok galera, aqui começo com uma parte importante de um curso de segurança, introduzindo os passos necessários para se executar um checklist de segurança em um computador (servidor ou não) e melhorar desta forma em partes sua segurança. Este checklist foi totalmente feito por mim sem consulta a nenhum outro texto, portanto, é possível que outros autores definam uma ordem de importância diferente da minha e talvez nem sequer mencionem (ou eu não mencione) passos listados.
Limitações:
Não irei entrar em detalhes do uso de ferramentas e partirei do pré-suposto que você sabe pelo menos usar linux (eu disse usar e não dominar). Também não irei considerar que um cara pode entrar com um revólver no seu estabecimento e obrigá-lo a passar as informações nem que pode ocorrer um desastre natural e você perder tudo, inclusive os backups.
Introdução:
Obviamente a melhor maneira de tornar seu computador seguro seria não conectando-o na internet, o que seria um crime no mundo atual. Bem, nem irei mencionar a necessidade dos BACKUPS.
Ops, já mencionei :/.
Segurança Remota
Passo 1:
Desabilite Serviços que Não Serão Necessários.
Especialmente TODOS os servicos RPC, que são muito inseguros.
Passo 2:
Troque Serviços como telnet e ftp por versões mais seguras e que
utilizem métodos de criptografia como ssh e scp.
Passo 3:
Substitua Servidores inseguros por suas versões mais seguras:
Por exemplo:
Wu-FTP por ProFTP
Telnet por SSH
Existem outras substituições que podem ser feitas, mas não são tão importantes quanto as duas listadas aqui por mim, e seriam trocar o bom e velho BIND por SecureDNS ou algo parecido, mas bem, mantendo-se atualizado a sua versão de BIND e utilizando-se criptografia não será necessario fazer a troca.
Passo 4:
Atualize seu kernel para a última versão segura e os arquivos do sistema também.
Passo 5:
Desabilite a resposta a ping em broadcast:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Passo 6:
Desabilite o repasse de pacotes:
echo 0 > /proc/sys/net/ipv4/ip_forward
Passo 7:
Configure o TCP_Wrappers:
vi /etc/inetd.conf
No lugar do serviço a ser invocado pelo inetd, chame o tcpd,
geralmente localizado em /usr/sbin.
Após isto, coloque em seu hosts.deny:
All:All
E em seu hosts.allow:
servico:
Com isso, tudo que você não permitir, será proibido
Agora visualizando mais a segurança local:
Passo 1:
Arquivos Críticos do Sistema | Permissão que devem ter
/var/log | 751
/var/log/messages | 644
/etc/syslog.conf | 640
/var/log/wtmp | 660
/var/log/lastlog | 640
/etc/passwd | 644
/etc/shadow | 600
/etc/hosts.allow | 600
/etc/hosts.deny | 600
/etc/lilo.conf | 600
/etc/securetty | 600
/etc/shutdown.allow | 400
/etc/inetd.conf | 600
/etc/rc.d | 755
/etc/cron.allow | 400
/etc/cron.deny | 400
/etc/ssh | 750
/etc/sysctl.conf | 400
Passo 2:
Desabilite todos os programas que rodam com o bit SUID ativado, a menos que seja extremamente importante rodar como SUID. Para encontrar tais arquivos:
find / -type f -perm +6000 -ls
Após isto:
chmod -s http://www.firewalls.com.br/mailman/listinfo/seguranca (http://www.firewalls.com.br/mailman/listinfo/seguranca)
OBS: Está lista é restrita e está sujeita a aprovação para inscrições
Passo 2:
Caso uma falha de segurança exista mas ainda não se possua uma correção nem sequer temporária, não exite em tirar do ar o serviço que possui tal falha, mesmo que não exista exploit para a falha divulgada (muitas vezes os crackers simplesmente não divulgam o exploit, embora o possuam)
Passo 3:
Utilize um bom firewall (iptables) e configure-o com políticas default
DROP: netfilter.samba.org
Utilize um packet sniffer para saber mais sobre o tráfego da rede, com filtros para facilitar detecção de invasão (tcpdump): www.br.tcpdump.org (http://www.br.tcpdump.org)
Use um IDS e configure-o apropriadamente (snort): www.snort.org (http://www.snort.org)
Rode um verificador de arquivos (AIDE) para caso uma invasão ocorra
você possa verificar e eliminar backdoors implantadas: www.aide.org (http://www.aide.org)
Passo 4:
Configure seu syslog para gerar logs separados de cada um dos respectivos serviços de referência, e de preferência utilize o syslog-ng
Passo 5:
Tenha uma boa política de segurança e faça com que seus usuários a cumpram, prevendo duras punições para quem não o fizer. Elabore um bom plano de contingência para caso tudo o mais falhe.
Passo 6:
SEJA HUMILDE!!
Nunca dúvide da capacidade de alguém, nunca diga que uma pessoa não é capaz de invadir seu servidor e nem sequer mencione a toa sobre sua enorme preocupação com segurança. Não divulge informação alguma sobre sua rede a menos que seja necessário. Leia os logs do seu sistema. Em caso de dúvidas, desconecte a placa de rede.
BOA SORTE!!
Este conjunto de dicas será constantemente atualizado, fiquem de olho! Espero que tenha sido útil para alguma coisa.
Baixem os arquivos que eu mencionei e instale-os. Segurança é necessário até mesmo para usuários domésticos, todos devem se preocupar com isso.
Edited by: DarkSpawn
Title: Re: [Linux] Dicas de Segurança
Post by: whit3_sh4rk on 23 de March , 2006, 10:04:49 PM
Post by: whit3_sh4rk on 23 de March , 2006, 10:04:49 PM
Parabéns... Belo post...
Realmente, como tinha dito para você, é um dos melhores colaboradores aqui do Darkers..
Obs: (cutucando o staff) se eu pudesse até daria 1 pontinho..
[]s
Realmente, como tinha dito para você, é um dos melhores colaboradores aqui do Darkers..
Obs: (cutucando o staff) se eu pudesse até daria 1 pontinho..
[]s
Title: Re: [Linux] Dicas de Segurança
Post by: Cloudy on 24 de March , 2006, 01:50:29 PM
Post by: Cloudy on 24 de March , 2006, 01:50:29 PM
Eu achei legal. No começo achei que fosse mais um textinho bobo para inicinates, mas até que é interessante.
...by Cloudy
...by Cloudy