Macetes para a sua segurança.

[vuln]

Macetes para ajudar na segurança

Alguns macetes básicos para os iniciantes que precisam melhorar a segurança do Linux. A dica aborda: ssh, ftp, apache, bind e portscan. Vale a pena gastar alguns segundos para ler isto, são pequenos ajustes que podem ser feitos rapidamente e podem ajudar muito na segurança de sua máquina SSHD:

Uma idéia muito interessante e que uso com frequência é bloquear o acesso ao SSH para o usuario ROOT, obrigando o atacante a descobrir duas senhas, a de um usuário comum e a do root.

Bloqueando acesso direto do root ssh

[root@auth ~]# nano -w /etc/ssh/sshd_config

e acrescente esta linha:

PermitRootLogin no

Caso você tenha um IP fixo e utilize apenas esta maquina para acessar os servidores, vc podera especiicar no sshd qual usuario e qual ip poderam efetuar logon.

[root@auth ~]# nano -w /etc/ssh/sshd_config

acrescentar a linha:

AllowUsers usuario@ip



Apache

Nunca é bom deixar as vistas do invasor a versão do software que esta utilizando, no Apache, para esconder esta informação, vc pode simplesmente alterar a linha e deixa-la assim:

ServerSignature Off

Outra dica é nunca deixar que os diretorios listem o conteúdo, caso nao haja o arquivo index.html

Options +Indexes MultiViews



Iptables

Bloquear qualquer tipo de Ping

echo"1"> /proc/sys/net/ipv4/icmp_echo_ignore_all

Com isso você evita que o invasor envie pings para sua máquina.

Bind

Como ja disse, é bom esconder a versão do Software e no caso do Bind é bom limitar a transferencia de zona para quem realmente precisa, faça assim:


edite o arquivo /etc/named.conf

options {
  version "Pootz! Esqueci a versao";
  allow-transfer {
   200.0.0.1; // Ip1
   201.0.0.2; // ip2
 };
};


Sniffer

Verifique se a sua rede esta sujeita a sniffer.

[root@auth ~]# ifconfig eth0

e localize a linha e compare com estas.

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 // Sem Sniffer
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 // Promiscuo - Sujeito a sniffer

[root@auth ~]# ifconfig eth0 -promisc // para retirar o modo promiscuo


TIMEOUT

Efetura logoff automatico após o tempo determinado de inatividade edite o arquivo /root/.bashrc e acrescente a linha:

TMOUT=3600 // em segundos ou seja.. 1 hora de inatividade para logouf automatico.


PORTAS

Verifique qual programa esta listando a porta.

[root@auth ~]# nmap -sS localhost
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-06-15 13:47 AMT
Interesting ports on auth (127.0.0.1):
(The 1644 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp

[root@auth ~]# fuser 21/tcp
here: 21
21/tcp: 1948

[root@auth ~]# ps 1948
PID TTY STAT TIME COMMAND
1948 ? S 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

Bom.. algumas dicas básicas, espero que ajude os iniciantes a melhor um pouco mais a segurança dos servers.

Abraços
Retirado de "http://underlinux.com.br/wiki/index.php/Tutoriais/Seguranca/macetes-seguranca"

[Wuefez]

Ta ai um topico muito interessante mas que ninguem postou, vale a pena ser reavivado.

Mas olha cara sinceramente essas dicas sao inuteis, a unica coisa que ele realmente disse foi "nao deixe root sem senha" isso é o obvio do obvio.

Quem escreveu isso nunca ownou nada.
Se todos os admins das boxes que eu ja ownei soubessem disso eu nunca teria feito um deface:

1 Sempre instalar o Apache sobre chroot.

2 Cortar TODAS as permissões do usuario nobody. (fundamental)

3 Register Globals ON é risco? Não a nescessidade de por OFF desde que você deixe allow url file inclusion em off, ja que ninguem usa isso pra nada, alem de como falha segurança (fato).

4 Cortar todas as maneiras de execução de comandos pelo php (ex. shell_exec), mesmo depois de ter cortado as permissoes do usuario do servidor httpd (no caso o nobody como dito acima).

[rog]

e interessante sim

eu ainda nunca consegui instalar os vhosts em chroot

dizem que tem que installar php em mode cgi, alguem ja consegui?

rog