Macetes para ajudar na segurança
Alguns macetes básicos para os iniciantes que precisam melhorar a segurança do Linux. A dica aborda: ssh, ftp, apache, bind e portscan. Vale a pena gastar alguns segundos para ler isto, são pequenos ajustes que podem ser feitos rapidamente e podem ajudar muito na segurança de sua máquina SSHD:
Uma idéia muito interessante e que uso com frequência é bloquear o acesso ao SSH para o usuario ROOT, obrigando o atacante a descobrir duas senhas, a de um usuário comum e a do root.
Bloqueando acesso direto do root ssh
[root@auth ~]# nano -w /etc/ssh/sshd_config
e acrescente esta linha:
PermitRootLogin no
Caso você tenha um IP fixo e utilize apenas esta maquina para acessar os servidores, vc podera especiicar no sshd qual usuario e qual ip poderam efetuar logon.
[root@auth ~]# nano -w /etc/ssh/sshd_config
acrescentar a linha:
AllowUsers usuario@ip
Apache
Nunca é bom deixar as vistas do invasor a versão do software que esta utilizando, no Apache, para esconder esta informação, vc pode simplesmente alterar a linha e deixa-la assim:
ServerSignature Off
Outra dica é nunca deixar que os diretorios listem o conteúdo, caso nao haja o arquivo index.html
Options +Indexes MultiViews
Iptables
Bloquear qualquer tipo de Ping
echo"1"> /proc/sys/net/ipv4/icmp_echo_ignore_all
Com isso você evita que o invasor envie pings para sua máquina.
Bind
Como ja disse, é bom esconder a versão do Software e no caso do Bind é bom limitar a transferencia de zona para quem realmente precisa, faça assim:
edite o arquivo /etc/named.conf
options {
version "Pootz! Esqueci a versao";
allow-transfer {
200.0.0.1; // Ip1
201.0.0.2; // ip2
};
};
Sniffer
Verifique se a sua rede esta sujeita a sniffer.
[root@auth ~]# ifconfig eth0
e localize a linha e compare com estas.
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 // Sem Sniffer
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 // Promiscuo - Sujeito a sniffer
[root@auth ~]# ifconfig eth0 -promisc // para retirar o modo promiscuo
TIMEOUT
Efetura logoff automatico após o tempo determinado de inatividade edite o arquivo /root/.bashrc e acrescente a linha:
TMOUT=3600 // em segundos ou seja.. 1 hora de inatividade para logouf automatico.
PORTAS
Verifique qual programa esta listando a porta.
[root@auth ~]# nmap -sS localhost
Starting nmap 3.70 ( http://www.insecure.org/nmap/ (http://www.insecure.org/nmap/) ) at 2005-06-15 13:47 AMT
Interesting ports on auth (127.0.0.1):
(The 1644 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
[root@auth ~]# fuser 21/tcp
here: 21
21/tcp: 1948
[root@auth ~]# ps 1948
PID TTY STAT TIME COMMAND
1948 ? S 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
Bom.. algumas dicas básicas, espero que ajude os iniciantes a melhor um pouco mais a segurança dos servers.
Abraços
Retirado de "http://underlinux.com.br/wiki/index.php/Tutoriais/Seguranca/macetes-seguranca"
Ta ai um topico muito interessante mas que ninguem postou, vale a pena ser reavivado.
Mas olha cara sinceramente essas dicas sao inuteis, a unica coisa que ele realmente disse foi "nao deixe root sem senha" isso é o obvio do obvio.
Quem escreveu isso nunca ownou nada.
Se todos os admins das boxes que eu ja ownei soubessem disso eu nunca teria feito um deface:
1 Sempre instalar o Apache sobre chroot.
2 Cortar TODAS as permissões do usuario nobody. (fundamental)
3 Register Globals ON é risco? Não a nescessidade de por OFF desde que você deixe allow url file inclusion em off, ja que ninguem usa isso pra nada, alem de como falha segurança (fato).
4 Cortar todas as maneiras de execução de comandos pelo php (ex. shell_exec), mesmo depois de ter cortado as permissoes do usuario do servidor httpd (no caso o nobody como dito acima).
e interessante sim
eu ainda nunca consegui instalar os vhosts em chroot
dizem que tem que installar php em mode cgi, alguem ja consegui?
rog