Segurança em Linux

João Bosco Teixeira Junior

Disponível em:www.boscojr.com/palestras/fafica-jt.pdf

Sobre esse que vos fala...● Bacharel em Ciência da Computação – UFPE

(2004)● Especialista em Criptografia e Segurança de

Redes – UFF (2007)● Mestre em Ciências Geodésicas e Tecnologias

da Geoinformação – UFPE (2010)● Analista do Serviço Federal de Processamento

de Dados – SERPRO desde 2004 (Só tecnologias abertas – Graças!)

● Entusiasta de tecnologias abertas (Linux, Arduino, SBCs, Asterisk, etc..)

● Maker de nascença

Roteiro● Software Livre e Aberto● Distribuições● Dimensões da Segurança● Boas práticas na administração de sistemas● Segurança de Host● Segurança de Rede● Segurança da Informação● Outros aspectos

FOSS – Free and Open Source Software

● 4 Liberdades (Free Software)– Você consegue usar o seu sistema para o que você

quer?– Você consegue estudar o código e modificá-lo

conforme suas necessidades?– Você pode redistribuir o seu programa de forma a

ajudar outras pessoas?– Você pode contribuir com ajustes com os

programas que você usa?

Pilares do Software Livre● Usuários● Comunidade● Documentação

O Ministério do SL adiverte:

Antes de adotar um Software Livre ou Aberto verifique o uso do software e principalmente a atividade da

comunidade que o suporta

O Trabalho com Software Livre e Aberto

Flexibilidade = ∞

O Trabalho com Software Livre e Aberto

Linux e Distribuições

Distribuições Linux● Kernel Linux + Milhares de Softwares (Pacotes)● Alta capacidade de customização● Publico Alvo x Aplicativos embarcados● Distribuições

– De uso geral: Debian, CentOS– Específicas: Kali (Antigo Backtrack), Ubuntu

Cristian Edition– Com serviço de suporte (Subscrição)

● Red Hat Linux, Oracle Linux, Suse Linux

Segurança x Flexibilidade

SEGURANÇA

1FLEXIBILIDADE =

Então:

Segurança = ∞ Flexibilidade = 0

Dimensões da Segurança● Sistema● Host● Rede● Informação● Análise em Segurança

SEGURANÇA DO SISTEMA

BOAS PRÁTICAS

Escolha senhas fortes

Automatic Password Generator# apg

Proteja a sua senha

Fonte: http://www.techradar.com/news/software/applications/8-of-the-best-linux-password-managers-916152

Use um Password Manager

Fiagaro's Password Manager, Gpass, Gpassword Manager, Gringotts, KeePassX, MyPasswords, PasswordSafe, Revelation

Mantenha o seu sistema atualizado

# apt-get update && apt-get upgrade # yum updateOU

Desinstale e/ou Desabilite e os serviços sem uso

# netstat -ntpl

Não use a configuração padrão● Hardening de SO e do serviço

– Use checklists– Scripts para SO Linux (Bastille e Lynis)

● Separe partições rw para todos os users– /tmp– /var/tmp

● Use quotas de armazenamento

Use distribuições Consolidadas...

Ou enterprise ($$)

Gestão de Acesso e Usuários● Não usar root para login remoto● Mais sudo e menos su● Remover ou desativar “ex-usuários”

Acesso físico● Senha no GRUB● Criptografia de Sistema de Arquivos

Faça logs● Questões:

– Centralização– Tempo de Guarda– Armazenamento– Busca de informações

Sorria! Você está sendo logado

Use Antivírus?● Recomenda-se uso de Antimalware

– Entidades certificadoras exigem– Interações com MS/Windows

● Clamav

SEGURANÇA DO HOST

TCP Wrappers● Usado para restringir acesso aos serviços de

rede.● Wrapper: tcpd ● Ou binários linkados com a libwrap● # ldd /usr/sbin/sshd

– linux-gate.so.1 => (0xb7722000)– libwrap.so.0 => /lib/i386-linux-gnu/libwrap.so.0

(0xb7674000)

● /etc/hosts.allow e /etc/hosts.deny– All:200.20.20.20

Port Knocking● Single Package Autorization

Fonte: http://www.portknocking.org/

Segurança do Host● Fail2ban

– Protege o servidor de ataques de força bruta através da analise de logs de acesso e autenticação.

– Cria regras de iptables ou TCP_WRAPER● OSSEC

– HIDS (Host Based IDS)– Analise de Logs, checa integridade, monitora

registro (Windows), detecção de rootkits– Por responder aos ataques (Prevenção)– Comprada pela TrendMicro

SEGURANÇA DA REDE

MECANISMOS DE SEGURANÇA

MECANISMOS DE SEGURANÇA

MECANISMOS DE SEGURANÇA

MECANISMOS DE SEGURANÇA

IDS

MECANISMOS DE SEGURANÇA

IDSPROXY

FIREWALL DO LINUXNETFILTER/IPTABLES

● Iptables: comando de gerenciamento do firewall do kernel Linux (NETFILTER)

● Tabelas: O que fazer com o pacote?● Cadeias: “Tubo ou duto” por onde o pacote

passa● Regras (operam sobre os pacotes)● Firewall

– Padrão: Filtros de Pacotes (1a Geração)– Estados: -m state (2a Geração)– Inspeção de Pacotes: -m string

● Próxima Versão: NFTABLES (Kernel 3.13)

NETFILTER/IPTABLESTabelas/Tables

● O que você deseja fazer com o pacote?● Bloquear e Liberar pacotes?

– FILTER● Mudar endereços e/ou portas de origem e/ou

destino do pacote?– NAT

● Mudar outros campos do cabeçalho do pacote– MANGLE– Ex: QoS

● Bloquear e liberar pacotes antes do sistema de processamento do pacote (Connection Tracking).– RAW

NETFILTER/IPTABLES(Cadeias ou Chains)

● “Duto” por onde o pacote passa e pode ser manipulado pelas regras

Fonte: http://stuffphilwrites.com/2014/09/iptables-processing-flowchart/

Módulos do Iptables● Permite estender as funcionalidades do Iptables● -m limit --limit num/tempo● -m multiport● -m mac● -m owner● -m string (CPU BOUND!)

Fonte: http://pt.wikibooks.org/wiki/Guia_do_Linux/Avan%C3%A7ado/Firewall_iptables/Outros_m%C3%B3dulos_do_iptables

Proxy

● Estima-se que 30% do tempo dos funcionários de uma organização são em atividades recreativas

● Leis que responsabilizam o dono da estrutura● SQUID/DANSGUARDIAN● Dificuldade em classificar o conteúdo

(SQUIDGUARD)– Usar listas livres ou comprar (Squidblacklist.org)

IDS/IPSDectecção e Prevenção

● Recebem todo e trafego das redes analisadas● Posicionamento: In-line (SPOF) ou out-of-band● Trabalham com base em conteúdo ou comportamento

do tráfego (Assinaturas)● IPS's podem impedir o ataque (in-line)● Problemas de falso positivo

Fonte: http://www.pedropereira.net/ips-ids-o-que-e-tutorial/

IDS/IPSDectecção e Prevenção

● Recebem todos os pacotes que trafegam pelas redes analisadas

● In-line vs out-of-band● Trabalham com base em conteúdo ou

comportamento do tráfego (Assinaturas)● IPS's podem impedir o ataque (in-line)● Problemas de falso positivo

IDS/IPS

Fonte:http://wiki.aanval.com/wiki/Snort_vs_Suricata

Segurança da Informação● SSH – Security Shell

– Acesso remoto● GPG (Gnu Privacy Guard) -

https://www.gnupg.org/– Criptografia de chave pública

● Criptografia de FS– Dm-crypt (Nativo)

● Frontend (CryptSetup)– Truecrypt (http://www.truecrypt.org/)

● v.7.2 (05/2015) - Descontinuado– Loop-AES (http://sourceforge.net/projects/loop-

aes/)● V.3.7c (05/2015)

– Enc-FS (https://vgough.github.io/encfs/)● v.1.8.1 (03/2015)

https://www.gnupg.org/

Outros Aspectos● Auditoria em Segurança

– Sleuth kit + Autopsy (Frontend)– Kali Linux Distro

● Security vs Safety● Safety preocupa-se com continuidade

– Alta disponibilidade e Recuperação de Desastres

Fechamento● Trabalhar com SL é compor soluções;● São muitas as opções de software livre então

escolha com cuidado;● As coisas mudam, então estude;● Segurança deve está em tudo que você faz.

Analise os riscos

Fim