Segurança_Linux

8/12/2019 Segurança_Linux

http://slidepdf.com/reader/full/segurancalinux 1/55

@alessssilva

Segurança em Servidores Linux

Segurança em Servidores LinuxSegurança em Servidores Linux

Por Alessandro Silva



@alessssilva


Sobre o palestranteSobre o palestrante

● Bacharel em Informática e Especialista em TI Aplicada a Educação pelo NCE/!"#$

● P%s&'raduando em (er)ncia de Se'urança da Informação * NCE/!"#

● +ais de ,- anos na ind.stria de TI e somente com 0inu1$

●

Certificaç2es3 0PIC&45 "ed 6at Certified S7stem Administrator5 Novell C0A e 8CTS59a::i1 Certified Specialist e 9a::i1 for 0ar'e Enviroments$

● 8esde ;-,, tra:alhando com pro<etos de monitoração com 9a::i1$

● Principais interesses:

●

0inu1 e Certificaç2es● Se'urança● 9a::i1● 8rupal



@alessssilva


Agenda Agenda

● 6ardenin' da Instalação

● +ecanismos de proteção

● Controle de acessos

● !ortalecendo serviços

● Soluç2es de se'urança para 0inu1

● Plane<amento do am:iente se'uro

●

6ardenin' de =ernel● +onitoramento

● Planos de Contin')ncia e "ecuperação de 8esastres

● Certificaç2es em Se'urança para 0inu1



@alessssilva


8isponi:ilidade

O que queremos proteger?O que queremos proteger?

Confidencialidade Inte'ridade



@alessssilva


Segurança na Instalação



@alessssilva


InstalaçãoInstalação

● Se e1iste acesso f>sico ? má@uina5 a se'urança ine1istente

● Acesso ao servidor

– "ac

– Se'urança f>sica e controle de acesso

● !onte redundante

● No&:rea

● 8esa:ilitar perifricos não usados no setup

● Senha no setup

● Implementar "AI8 para redundDncia

– Preferencialmente por hardare FperformanceG



@alessssilva



● Escolha sua distri:uição

– Confia:ilidade

– Suporte

– AtualiHação

– Esta:ilidade



@alessssilva



● ual a fonte da ima'em ISJK

– Instalação +inimal/Netinstall

● Particionamento dos discos

– Plane<amento do particionamento

● 8iminui o tempo de acesso aos dados

● !acilita a recuperação de desastres

● +inimiHa pro:lemas de indisponi:ilidade por espaço em disco

● Sap

– Prefira não usar. Se não tiver escolha5 usar SSD



@alessssilva



● Particionamento dos discos

– Para 'arantir e1tensi:ilidade5 use L!"

rootLm7server MO df &hSist# Arq# $am %sad Disp %so& "ontado em/dev/sdaQ 5R( ,5,( 5( ,U //dev/sdaR 4R4( R;( ;R;( ;4U /home/dev/sda 5V( ,4V+ 5Q( 4U /tmp/dev/sda4 ;Q( 5( ,( 4U /usr/dev/sda; 4-( 5Q( ;( ,U /var/dev/sda, VV+ Q,+ RV+ U /:oottmpfs ,--V+ - ,--V+ -U /dev/shm/dev/sd:, QV( 4-( ( R4U /:acup



@alessssilva



● Instale apenas os pacotes necessários

● Pacotes do sistema precisam vir de fonte se'ura



@alessssilva



● Prote<a o 'erenciador de :oot F(ru:G com senha



@alessssilva


Segurança no Acesso ' (edeSegurança no Acesso ' (ede

● "etirar a má@uina da rede

●

Identificar os serviços com suporte● Alterar a confi'uração do sistema de modo @ue apenas os

serviços necessários este<am ativos

– 8epend)ncia

●

"einicialiHar o sistema● Werificar se serviços desnecessários estão sendo e1ecutados

● "etornar a má@uina ? rede e verificar a conectividade



@alessssilva


!ortalecimento p%s&instalação



@alessssilva


)on*iguraç+es P,s-instalação)on*iguraç+es P,s-instalação

I.I$$A/● )ontrolando terminais

– ,3;4Q3respan3/s:in/'ett7 4R-- tt7,

– ;3;43respan3/s:in/'ett7 4R-- tt7;

– 43;43respan3/s:in/'ett7 4R-- tt74


– Q3;43respan3/s:in/'ett7 4R-- tt7Q


● Alterando comportamento

– ca3,;4Q3ctrlaltdel3/s:in/shutdon &t, &a &r no

● De*inir o (unLevel de*ault



@alessssilva


Ativando e desativando serviçosAtivando e desativando serviços

● 8e:ian

– rcconf

– chconfi'

● "ed 6at

– nts7sv

– chconfi'

root0t1in2to3:41ome4alessandro5 c12con*ig --list apac1e6apache; -3off ,3off ;3on 43on 3on Q3on 3off



@alessssilva



7$OP F 6ishamXs TopG * Criado por um :rasileiro

● netstat● ps● top5 htop5 nmon● lsof5 p'rep

N+JN



@alessssilva



root0m3server 895 netstat -tnapCone12es Internet Ativas Fservidores e esta:elecidasGProto (ecv-; Send-; Local Address <oreign Address State PID4Program nametcp - - -$-$-$-3---, -$-$-$-3Y JZA -,/<avatcp - - -$-$-$-3, -$-$-$-3Y JZA V-/portsentr7tcp - - -$-$-$-3VV4 -$-$-$-3Y JZA 44;/dovecottcp - - -$-$-$-3,--Q- -$-$-$-3Y JZA -,/Ha::i1[a'entdtcp - - -$-$-$-3R- -$-$-$-3Y JZA ;,;/httpdtcp - - -$-$-$-3VVQ -$-$-$-3Y JZA 44;/dovecot

root0m3server 895 netstat -napuCone12es Internet Ativas Fservidores e esta:elecidasGProto (ecv-; Send-; Local Address <oreign Address State PID4Program nameudp - - ,R$,;$,V-$R3Q4 -$-$-$-3Y 4Q,/namedudp - - ,R$,;$,V-$V3Q4 -$-$-$-3Y 4Q,/namedudp - - ,R$,;$,V-$R-3Q4 -$-$-$-3Y 4Q,/named

$)P

%DP



@alessssilva


Limitando os recursosLimitando os recursos

● Limitando o acesso root aos terminais

– /etc/securett7

● <orçar logout para o usu=rio

– $:ashrc ou /etc/profile

● T+JT\4-

● Limitando o acesso aos recursos

– /etc/securit7/limits$conf

– Evite o for:om:

● 3FG] 3^3 _`3



@alessssilva


Limitando os recursosLimitando os recursos

● "=ximo de processos executados simultaneamente

● $empo m=ximo de utili>ação da )P%

● "=ximo de arquivos que podem ser criados pelo usu=rio

rootLthinto73/home/alessandro ulimit &u-,

rootLthinto73/home/alessandro ulimit &tnlimited

rootLthinto73/home/alessandro ulimit &funlimited



@alessssilva


<irealls e <iltros<irealls e <iltros

● Servir como separação entre sua rede e a Internet

● Permitir o uso le'>timo da rede

● Impedir tráfe'o indevido ao servidor FmaliciosoG

● Ipta:les

– Avaliação

– Busca de re'ras e1istentes

●

ipta:les &n0

– Identificação das necessidades de proteção

– 8efinição da estrat'ia



@alessssilva



!erramenta de administração do !ireall no "ed 6at



@alessssilva



● Endian

● Smoothall

● Brasil!b

● W7atta

● ClearJS

● ntan'le

● P!Sense F!ree BS8G

id i



@alessssilva



● tiliHação de Pro17

– Performance

– Controle de acesso

● Autenticação e autoriHação

● !iltro de conte.do Fpor pá'ina5 por usuário$$$G

● "elat%rios de acessos com SARG

S S id Li



@alessssilva


$)P @rappers$)P @rappers

● TCP brapers

– !erramenta para autoriHar ou ne'ar acesso aos serviços$

– tiliHa a :i:lioteca 0i:rap

– Para fins de controle utiliHa os ar@uivos3● /etc/hosts$allo

● /etc/hosts$den7

– Pode ser utiliHada em con<unto com fireall

S S id Li



@alessssilva


)ontrole de Acessos)ontrole de Acessos

● +AC F+andator7 Access ControlG

– SLI.%B FSecurit7&Enhanced 0inu1G

– Padrão no "ed 6at Enterprise 0inu1

● 8AC F8iscricionar7 Access ControlG

– Chmod

– Chattr

● AC0 FAccess Control 0istG

– !iles7stem

S S id Li



@alessssilva


● Permiss2es

● Permiss2es especiais

–

SI85 S(I8 e Stic :it● Atri:utos

– chattr5 lsattr

● "evisão nos controles de acesso

● S8J

root0t1in2to3:41ome4alessandro5 *ind 4 -t3pe d -perm -C -ls;;Q;V dr1r1rt ;- root root -V #un ,4 ,;3;- /tmp4RV,Q dr1r1rt ; root root -V #un ,4 ,;3,V /tmp/$ICE&uni1

)ontrole de Acessos)ontrole de Acessos




@alessssilva


Auditoria Auditoria

● WisualiHando os .ltimos comandos

– apt&'et install Acct

– lastcomm

●

"e'istrando todos os comandos – apt&'et install snoop7

– tail &f /var/lo'/auth

root0t1in2to3:95 lastcomm rootls root pts/; -$-- secs Sat #un ;; ,434-cat root pts/; -$-- secs Sat #un ;; ,434-:ash ! root pts/; -$-- secs Sat #un ;; ,434-ifconfi' root pts/; -$-- secs Sat #un ;; ,43;Vapt&'et root pts/; ;$-4 secs Sat #un ;; ,43;Vdp' root pts/; -$-- secs Sat #un ;; ,43;V




@alessssilva


Auditoria Auditoria

Pol>tica de senhas

PASS[+A[8AS VVVVVPASS[+IN[8AS -PASS[bA"N[A(E 0J(IN["ET"IES Q0J(IN[TI+EJT -0J(IN[TI+EJT -

4etc4login#de*s

ltima mudança de senha 3 +ar ,5 ;-,4

Senha e1pira 3 nuncaSenha inativa 3 nuncaConta e1pira 3 nuncaN.mero m>nimo de dias entre troca de senhas 3 -N.mero má1imo de dias entre troca de senhas 3 VVVVVN.mero de dias de avisos antes da e1piração da senha 3

root0t1in2to3:41ome4alessandro5 c1age -l alessandro




@alessssilva


Auditoria Auditoria

root0espiritolivre 895 1oroot pts/- ;-,4&-&;V ,;3Q4 F,R$;,$,--$Groot pts/, ;-,4&-&;V ,;3-R F;--$V$;--$,R;G

root0espiritolivre 895 lastroot pts/- ,R$;,$;,V$;-, Sat #un ;V ,;3Q4 still lo''ed inroot pts/, ;--$V$;4$R Sat #un ;V ,;3-R still lo''ed inroot pts/- ,$,$;$,Q bed #un ; ,-34 & ,,3Q F-,3-Groot pts/- ,4$,V4$Q$,4 Tue #un ;Q ,3;4 & ,3; F--3-4G

@1o

Last




@alessssilva


Segurança no Arma>enamento de DadosSegurança no Arma>enamento de Dados

● JpenSS0

● (P(

– til para validar a autenticidade e integridade dos pacotes

● Cripto'rafia do !iles7stem

– m note:oo do EB foi es@uecido em um ta1i com informaç2esconfidenciais$ E a'oraK

pupp35 gpg --veri*3 gnupg-C#6#E#tar#b>6#sig

'p'3 Si'nature made bed ; 8ec ;--4 -3;3QR EST usin' 8SA e7 I8 QQR8C8'p'3 (ood si'nature from berner =och F'nup' si'G gddV<nL'nu$or''p'3 checin' the trustd:'p'3 no ultimatel7 trusted e7s found'p'3 bA"NIN(3 This e7 is not certified ith a trusted si'nature There is no indication that the si'nature :elon's to the oner$!in'erprint3 B8V -Q-! 8R!C V,B 4, ;8CC RB ABRV QQ R8C8




@alessssilva


Segurança no Arma>enamento de DadosSegurança no Arma>enamento de Dados

● /ac2up

● Estrat'ia de :acup

– Stora'e5 fita

– "otina de :acup

– Softare para :acup

● Bacula

● Amanda




@alessssilva


Autenticação de usu=rios e gruposAutenticação de usu=rios e grupos

● PA+

● Jpen08AP

● Politica de controle de acesso

– E1iste processo para desa:ilitar um usuário desli'ado da empresaK

● Pol>tica de senhas

– Senhas se'uras com letras5 n.meros e caracteres especiais

–

Evitar senhas do tipo3 empresaL;-,45 ,;4@e5 ,;4Q5 etc$ – Senhas conhecidas por constarem em ordlists

● En'enharia social


mailto:empresa@2013

mailto:empresa@2013



@alessssilva


Serviços F Alguns dos riscosServiços F Alguns dos riscos

● Serviços inse'uros

– 8enial of Service Attac F8oSG

– 8istri:uted 8enial of Service Attac F88oSG

– Script Wunera:ilit7 Attacs – Buffer Jverflo Attacs




@alessssilva


Serviços F SS7Serviços F SS7

● "anter atuali>ado

● Acesso remoto ao shell dos servidores

● Tráfe'o cripto'rafado

● !aH tunelamento com se'urança

● Autenticação por senha ou certificado

● Indispens=vel para S7sAdmins 0inu1




@alessssilva



● 4etc4ss14ss1dGcon*ig

● %S )7A!S

Port ;;Protocol ;Permit"oot0o'in 7es0o'in(raceTime -PermitEmpt7Passords noAllo users tu1 linusBanner /etc/issue




@alessssilva



● Banner de :oas&vindas

– /etc/issue e /etc/issue$net

rootLAPPT8J4SPJAS3 cat /etc/issue$net

8e:ian (N/0inu1 $-

● Confi'ure no SS6

– /etc/ssh/sshd[confi'

Banner /etc/issue

● Conceito deve ser aplicado a outros serviços




@alessssilva

g ç

<$P - !S<$PD<$P - !S<$PD

● WS!TP8 FWer7 Secure !TP 8aemonG

● E1istem várias soluç2es

– Pro!TP85 Pure&!tpd5 etc$

● Performance

● Esta:ilidade

● Amplamente utiliHado

● "anter atuali>ado

● En<aular FC6"JJTG




@alessssilva

g ç

<$P - !S<$PD<$P - !S<$PD

● *tpdGbannerH<$P Server

– Esconder :anner

● anon3mousGenableH.O

–

8esa:ilita o lo'in anjnimo● riteGenableHS

– Permite @ue o usuário 'rave informaç2es

● userlistGenableHS

– userlist[file\/etc/vsftpd$alloed[users● c1rootGlocalGuserHS

– En<aule usuários




@alessssilva

g ç

<$P - !S<$PD<$P - !S<$PD

● )ontrole de acesso

– /etc/ftpusers

● Prevenindo ata@ues de 8oS

– ls[recurse[ena:le\NJ

– ma1[clients\;--

– ma1[per[ip\

● <$P com SSL




@alessssilva

g

@eb Server@eb Server

● "anter o so*tare atuali>ado

● Adicionar suporte a cone12es cripto'rafadas

● J:servar os m%dulos de se'urança dispon>veis

– +od[securit75 mod[evasive5 mod[access5 mod[authH● A<uste das confi'uraç2es ade@uadamente

● 8iret%rios restritos

– $htaccess e htpassd

● Testar as confi'uraç2es antes de aplicar em produção – apachectl confi'test

– apachectl 'raceful




@alessssilva

S3slog )entrali>adoS3slog )entrali>ado

S7sAdmin

E&mail

Servidor de S7slo'




@alessssilva

$unando o Jernel$unando o Jernel

● 4proc4s3s4net4ipvE4tcpGs3ncoo2ies

– Tenta evitar SN ATAC= @ue causa uma ne'ação de serviço

● 4proc4s3s4net4ipvE4ipGde*aultGttl

– En'ana o kJS 'uessin' em scans

● 4proc4s3s4net4ipvE4icmpGec1oGignoreGall

– Blo@ueio de pacotes IC+P

● 4proc4s3s4net4ipvE4icmpGec1oGignoreGbroadcasts

– I'nora mensa'ens enviadas para :rodcast

● 4proc4s3s4net4ipvK4con*4all4disableGipvK

– 8esa:ilita IPW




@alessssilva

So*tare de apoio a 7ardeningSo*tare de apoio a 7ardening

● !ortalecimento da instalação

– Bastile

– 6arden




@alessssilva

estão de Atuali>aç+esestão de Atuali>aç+es

● Aplicar atualiHaç2es

– A maior parte dos ata@ues :em&sucedidos ocorrem em softares nãoatualiHados

●

+onitoramento ap%s a aplicação● (estão de mudanças

● Wia:ilidade




@alessssilva

"onitoramento da In*raestrutura "onitoramento da In*raestrutura

● Poss>veis +odelos

& Wers2es enterprise e communit7

- $udo incluMdo

● Jpen Source de verdade

● Sem add&ons proprietários● Sem vers2es enterprise ou demo




@alessssilva

"onitoramento"onitoramento

Notificaç2es

ControleCentraliHado

Confi'uraçãoStatusCheca'ens

+ o n i t o r a ç ã o S N + P

+onitoração com a'ente

+ o n i t o r a ç ã o c o m p i n ' e p o r t a

8ispositivos monitorados

8ispositivos de rede

Servidores comA'ente 9a::i1

Servidores semA'ente 9a::i1




@alessssilva

Soluç+es de Segurança para LinuxSoluç+es de Segurança para Linux

● TCP8+P

● bireshar

●

N'rep● Ethereal

● Snort

● Tripire

● Aide

● Netcat

● Nmap

●

#ohn the "ipper● JpenWAS

● C6="ootit

● JpenWPN

● Bactrac 0inu1




@alessssilva

/IA - /usiness Impact Analis3s/IA - /usiness Impact Analis3s

● uanto tempo pode ficar parado em caso de um incidenteK

● ual o impacto da indisponi:ilidade no ne'%cioK

● uais os re@uisitos m>nimos para retorno a normalidadeK

● 6á contin')nciaK

● Em caso de um desastre5 @ual o tempo necessário pararetorno a normalidadeK




@alessssilva

PlaneNamento do ambientePlaneNamento do ambiente

● uais serviços serão hospedadosK

● ual os n>veis de acessoK

● uantos usuários terão acessoK

– uantos simultDneosK

● ual a criticidade do servidorK




@alessssilva

P)O F Plano de )ontingncia P)O F Plano de )ontingncia

● uais os componentes m>nimos para manutenção dosserviços do servidor at o retorno a normalidadeK

● Contin')ncia não si'nifica ,--U de funcionamento

– ,--U si'nifica redundDncia● Contin')ncia pode ser knão faHer nada

● Contin')ncia pode ser $$$




@alessssilva

P(D F Plano de (ecuperação de DesastresP(D F Plano de (ecuperação de Desastres

● Aplicado ao componente

● Construir ou não um ernel personaliHadoK

● =icstart

● CloneHilla




@alessssilva

specialista em Segurança - Linuxspecialista em Segurança - Linux

0PIC&;0PIC&, 0PIC&4

Provas ,-, e ,-; Provas ;-, e ;-; Prova 4-, FcoreG

0PIC&4FEspecialiHaçãoG

Securit7 Speciaslist

Certificação 0PICertificação 0PI

Prova 4-4




@alessssilva

)erti*icação em Segurança - Linux)erti*icação em Segurança - Linux

"6CSA

(7)(7)

(7)SA(7)SA

(7E6(7E6

(7E6Q(7E6Q

(7QQQ(7QQQNetor Services

8irector7 Services

SE0IN

Certificação "ed 6atCertificação "ed 6at




@alessssilva

(e*erncias(e*erncias

● 6ardenin' 0inu1 * Pacet Pu:lisher

● Se'urança para 0inu15 +c (rall 6ill

● Bactrac 0inu1 * Auditora de teste de invasão5 C+

● (uia de Se'urança do "6E0

● Palestra3 Certificação em 0inu13 J @ue e como se certificar

● Palestra3 +onitoramento de Infraestrutura com 9a::i1




@alessssilva

ObrigadoObrigado

Alessandro Silva

-mail: contatoLalessandrosilva$info

Facebook : http3//alessandrosillva$info/face:oo$itter: http3//alessandrosilva$info/titterLin2edin3 http3//alessandrosilva$info/linedin

mailto:[email protected]

mailto:[email protected]

Documents

Segurança_Linux