Seguranca em Servidores Linux

@alessssilva
Segurança em Servidores LinuxSegurança em Servidores LinuxSegurança em Servidores Linux
Por Alessandro Silva

@alessssilva
Segurança em Servidores Linux
Sobre o palestranteSobre o palestrante
● Bacharel em Informática e Especialista em TI Aplicada a Educação pelo NCE/UFRJ.
● Pós-graduando em Gerência de Segurança da Informação – NCE/UFRJ
● Mais de 10 anos na indústria de TI
● Certificações: LPIC-3, RHCE, RHCSA, Novell CLA e DCTS, Zabbix Certified
Specialist e Zabbix for Large Enviroments.
● Desde 2011 trabalhando com projetos de monitoração com Zabbix.
● Principais interesses:
● Linux e Certificações
● Segurança
● Zabbix
● Drupal

@alessssilva
AgendaAgenda
● Hardening da Instalação
● Mecanismos de proteção
● Controle de acessos
● Fortalecendo serviços
● Soluções de segurança para Linux
● Planejamento do ambiente seguro
● Hardening de Kernel
● Monitoramento
● Planos de Contingência e Recuperação de Desastres
● Certificações em Segurança para Linux

@alessssilva
Disponibilidade
O que queremos proteger?O que queremos proteger?
Confidencialidade Integridade

@alessssilva
Segurança na Instalação

@alessssilva
InstalaçãoInstalação
● Se existe acesso físico à máquina, a segurança é inexistente!
● Acesso ao servidor
– Rack
– Segurança física e controle de acesso
● Fonte redundante
● No-break
● Desabilitar periféricos não usados no setup
● Senha no setup
● Implementar RAID para redundância
– Preferencialmente por hardware (performance)

@alessssilva
● Escolha sua distribuição!
– Confiabilidade
– Suporte
– Atualização
– Estabilidade

@alessssilva
● Qual a fonte da imagem ISO?
– Instalação Minimal/Netinstall
● Particionamento dos discos
– Planejamento do particionamento
● Diminui o tempo de acesso aos dados
● Facilita a recuperação de desastres
● Minimiza problemas de indisponibilidade por espaço em disco
● Swap
– Prefira não usar. Se não tiver escolha, usar SSD!

@alessssilva
● Particionamento dos discos
– Para garantir extensibilidade, use LVM!
root@myserver [~]# df -h
Sist. Arq. Tam Usad Disp Uso% Montado em
/dev/sda5 7,8G 1,1G 6,4G 14% /
/dev/sda8 383G 82G 282G 23% /home
/dev/sda6 4,9G 139M 4,5G 3% /tmp
/dev/sda3 25G 7,6G 16G 34% /usr
/dev/sda2 30G 4,5G 24G 17% /var
/dev/sda1 996M 51M 894M 6% /boot
tmpfs 1009M 0 1009M 0% /dev/shm
/dev/sdb1 459G 360G 76G 83% /backup

@alessssilva
● Instale apenas os pacotes necessários
● Pacotes do sistema precisam vir de fonte segura

@alessssilva
● Proteja o gerenciador de boot (Grub) com senha

@alessssilva
Segurança no Acesso à RedeSegurança no Acesso à Rede
● Retirar a máquina da rede
● Identificar os serviços com suporte
● Alterar a configuração do sistema de modo que apenas os
serviços necessários estejam ativos
– Dependência
● Reinicializar o sistema
● Verificar se serviços desnecessários estão sendo executados
● Retornar a máquina à rede e verificar a conectividade

@alessssilva
Fortalecimento pós-instalação

@alessssilva
Configurações Pós-instalaçãoConfigurações Pós-instalação
INITTAB
● Controlando terminais
– 1:2345:respawn:/sbin/getty 38400 tty1
● Alterando comportamento
– ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
● Definir o RunLevel default

@alessssilva
Ativando e desativando serviçosAtivando e desativando serviços
● Debian
– rcconf
– chkconfig
● Red Hat
– ntsysv
– chkconfig
root@thinktoy:/home/alessandro# chkconfig --list apache2
apache2 0:off 1:off 2:on 3:on 4:on 5:on 6:off

@alessssilva
HTOP ( Hisham's Top) – Criado por um brasileiro
● netstat
● ps
● top, htop, nmon
● lsof, pgrep
NMON

@alessssilva
root@myserver [~]# netstat -tnap
Conexões Internet Ativas (servidores e estabelecidas)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:40001 0.0.0.0:* OUÇA 6041/java
tcp 0 0 0.0.0.0:1 0.0.0.0:* OUÇA 4904/portsentry
tcp 0 0 0.0.0.0:993 0.0.0.0:* OUÇA 4332/dovecot
tcp 0 0 0.0.0.0:10050 0.0.0.0:* OUÇA 4017/zabbix_agentd
tcp 0 0 0.0.0.0:80 0.0.0.0:* OUÇA 2412/httpd
tcp 0 0 0.0.0.0:995 0.0.0.0:* OUÇA 4332/dovecot
root@myserver [~]# netstat -napu
Conexões Internet Ativas (servidores e estabelecidas)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 184.172.190.78:53 0.0.0.0:* 3561/named
udp 0 0 184.172.190.79:53 0.0.0.0:* 3561/named
udp 0 0 184.172.190.80:53 0.0.0.0:* 3561/named
TCP
UDP

@alessssilva
Limitando os recursosLimitando os recursos
● Limitando o acesso root aos terminais
– /etc/securetty
● Forçar logout para o usuário
– .bashrc ou /etc/profile
● TMOUT=360
● Limitando o acesso aos recursos
– /etc/security/limits.conf
– Evite o forkbomb
● :(){ :|: &};:

@alessssilva
Limitando os recursosLimitando os recursos
● Máximo de processos executados simultaneamente
● Tempo máximo de utilização da CPU
● Máximo de arquivos que podem ser criados pelo usuário
root@thinktoy:/home/alessandro# ulimit -u
46601
root@thinktoy:/home/alessandro# ulimit -t
Unlimited
root@thinktoy:/home/alessandro# ulimit -f
unlimited

@alessssilva
Firewalls e FiltrosFirewalls e Filtros
● Servir como separação entre sua rede e a Internet
● Permitir o uso legítimo da rede
● Impedir tráfego indevido ao servidor (malicioso)
● Iptables
– Avaliação
– Busca de regras existentes
● # iptables -nL
– Identificação das necessidades de proteção
– Definição da estratégia

@alessssilva
Ferramenta de administração do Firewall no Red Hat

@alessssilva
● Endian
● Smoothwall
● BrasilFW
● Vyatta
● ClearOS
● Untangle
● PFSense (Free BSD)

@alessssilva
● Utilização de Proxy
– Performance
– Controle de acesso
● Autenticação e autorização
● Filtro de conteúdo (por página, por usuário...)
● Relatórios de acessos com SARG

@alessssilva
TCP WrappersTCP Wrappers
● TCP Wrapers
– Ferramenta para autorizar ou negar acesso aos serviços.
– Utiliza a biblioteca Libwrap
– Para fins de controle utiliza os arquivos:
● /etc/hosts.allow
● /etc/hosts.deny
– Pode ser utilizada em conjunto com firewall

@alessssilva
Controle de AcessosControle de Acessos
● MAC (Mandatory Access Control)
– SELINUX (Security-Enhanced Linux)
– Padrão no Red Hat Enterprise Linux
● DAC (Discricionary Access Control)
– Chmod
– Chattr
● ACL (Access Control List)
– Filesystem

@alessssilva
● Permissões
● Permissões especiais
– SUID, SGID e Stick bit
● Atributos
– chattr, lsattr
● Revisão nos controles de acesso
● SUDO
root@thinktoy:/home/alessandro# find / -type d -perm -1000 -ls
6422529 4 drwxrwxrwt 20 root root 4096 Jun 13 12:20 /tmp
6438915 4 drwxrwxrwt 2 root root 4096 Jun 13 12:19 /tmp/.ICE-unix
Controle de AcessosControle de Acessos

@alessssilva
AuditoriaAuditoria
● Visualizando os últimos comandos
– apt-get install Acct
– lastcomm
● Registrando todos os comandos
– apt-get install snoopy
– tail -f /var/log/auth
root@thinktoy:~# lastcomm root
ls root pts/2 0.00 secs Sat Jun 22 13:30
cat root pts/2 0.00 secs Sat Jun 22 13:30
bash F root pts/2 0.00 secs Sat Jun 22 13:30
ifconfig root pts/2 0.00 secs Sat Jun 22 13:29
apt-get root pts/2 2.03 secs Sat Jun 22 13:29
dpkg root pts/2 0.00 secs Sat Jun 22 13:29

@alessssilva
AuditoriaAuditoria
Política de senhas
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
LOGIN_RETRIES 5
LOGIN_TIMEOUT 60
LOGIN_TIMEOUT 60
/etc/login.defs
Última mudança de senha : Mar 16, 2013
Senha expira : nunca
Senha inativa : nunca
Conta expira : nunca
Número mínimo de dias entre troca de senhas : 0
Número máximo de dias entre troca de senhas : 99999
Número de dias de avisos antes da expiração da senha : 7
root@thinktoy:/home/alessandro# chage -l alessandro

@alessssilva
AuditoriaAuditoria
root@espiritolivre [~]# who
root pts/0 2013-06-29 12:53 (186.241.100.67)
root pts/1 2013-06-29 12:08 (200.97.200.182)
root@espiritolivre [~]# last
root pts/0 186.241.219.201 Sat Jun 29 12:53 still logged in
root pts/1 200.97.237.48 Sat Jun 29 12:08 still logged in
root pts/0 146.164.2.145 Wed Jun 26 10:37 - 11:45 (01:07)
root pts/0 173.193.65.163 Tue Jun 25 16:23 - 16:26 (00:03)
Who
Last

@alessssilva
Segurança no Armazenamento de DadosSegurança no Armazenamento de Dados
● OpenSSL
● GPG
– Útil para validar a autenticidade e integridade dos pacotes
● Criptografia do Filesystem
– Um notebook do EB foi esquecido em um taxi com informações
confidenciais. E agora?
puppy# gpg --verify gnupg-1.2.4.tar.bz2.sig
gpg: Signature made Wed 24 Dec 2003 07:24:58 EST using DSA key ID 57548DCD
gpg: Good signature from "Werner Koch (gnupg sig) <dd9jn@gnu.org>"
gpg: checking the trustdb
gpg: no ultimately trusted keys found
gpg: WARNING: This key is not certified with a trusted signature!
There is no indication that the signature belongs to the owner.
Fingerprint: 6BD9 050F D8FC 941B 4341 2DCC 68B7 AB89 5754 8DCD

@alessssilva
Segurança no Armazenamento de DadosSegurança no Armazenamento de Dados
● Backup
● Estratégia de backup
– Storage, fita …
– Rotina de backup
– Software para backup
● Bacula
● Amanda

@alessssilva
Autenticação de usuários e gruposAutenticação de usuários e grupos
● PAM
● OpenLDAP
● Politica de controle de acesso
– Existe processo para desabilitar um usuário desligado da empresa?
● Política de senhas
– Senhas seguras com letras, números e caracteres especiais
– Evitar senhas do tipo: empresa@2013, 123qwe, 123456, etc.
– Senhas conhecidas por constarem em wordlists
● Engenharia social

@alessssilva
Serviços – Alguns dos riscosServiços – Alguns dos riscos
● Serviços inseguros
– Denial of Service Attack (DoS)
– Distributed Denial of Service Attack (DDoS)
– Script Vunerability Attacks
– Buffer Overflow Attacks

@alessssilva
Serviços – SSHServiços – SSH
● Manter atualizado!
● Acesso remoto ao shell dos servidores
● Tráfego criptografado
● Faz tunelamento com segurança
● Autenticação por senha ou certificado
● Indispensável para SysAdmins Linux

@alessssilva
● /etc/ssh/sshd_config
● USE CHAVES!!!
Port 22
Protocol 2
PermitRootLogin yes
LoginGraceTime 60
PermitEmptyPasswords no
Allow users tux linus
Banner /etc/issue

@alessssilva
● Banner de boas-vindas
– /etc/issue e /etc/issue.net
root@APPTDO43SPOAS:~# cat /etc/issue.net
Debian GNU/Linux 6.0
● Configure no SSH
– /etc/ssh/sshd_config
Banner /etc/issue
● Conceito deve ser aplicado a outros serviços

@alessssilva
FTP - VSFTPDFTP - VSFTPD
● VSFTPD (Very Secure FTP Daemon)
● Existem várias soluções
– ProFTPD, Pure-Ftpd, etc.
● Performance
● Estabilidade
● Amplamente utilizado
● Manter atualizado!
● Enjaular (CHROOT)

@alessssilva
● ftpd_banner=FTP Server
– Esconder banner
● anonymous_enable=NO
– Desabilita o login anônimo
● write_enable=YES
– Permite que o usuário grave informações
● userlist_enable=YES
– userlist_file=/etc/vsftpd.allowed_users
● chroot_local_user=YES
– Enjaule usuários

@alessssilva
● Controle de acesso
– /etc/ftpusers
● Prevenindo ataques de DoS
– ls_recurse_enable=NO
– max_clients=200
– max_per_ip=4
● FTP com SSL

@alessssilva
Web ServerWeb Server
● Manter o software atualizado!
● Adicionar suporte a conexões criptografadas
● Observar os módulos de segurança disponíveis
– Mod_security, mod_evasive, mod_access, mod_authz
● Ajuste das configurações adequadamente
● Diretórios restritos
– .htaccess e htpasswd
● Testar as configurações antes de aplicar em produção
– apachectl configtest
– apachectl graceful!

@alessssilva
Syslog CentralizadoSyslog Centralizado
SysAdmin
E-mail
Servidor de Syslog

@alessssilva
Tunando o KernelTunando o Kernel
● /proc/sys/net/ipv4/tcp_syncookies
– Tenta evitar SYN ATACK que causa uma negação de serviço
● /proc/sys/net/ipv4/ip_default_ttl
– Engana o “OS guessing” em scans
● /proc/sys/net/ipv4/icmp_echo_ignore_all
– Bloqueio de pacotes ICMP
● /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
– Ignora mensagens enviadas para brodcast
● /proc/sys/net/ipv6/conf/all/disable_ipv6
– Desabilita IPV6

@alessssilva
Software de apoio a HardeningSoftware de apoio a Hardening
● Fortalecimento da instalação
– Bastile
– Harden

@alessssilva
Gestão de AtualizaçõesGestão de Atualizações
● Aplicar atualizações
– A maior parte dos ataques bem-sucedidos ocorrem em softwares não
atualizados
● Monitoramento após a aplicação
● Gestão de mudanças
● Viabilidade

@alessssilva
Monitoramento da InfraestruturaMonitoramento da Infraestrutura
● Possíveis Modelos
- Versões enterprise e community
- Tudo incluído
● Open Source de verdade
● Sem add-ons proprietários
● Sem versões enterprise ou demo

@alessssilva
MonitoramentoMonitoramento
Notificações
Controle
Centralizado
Configuração
Status
Checagens
Monitoração SNMP
Monitoração com agente
Monitoração com ping e porta
Dispositivos monitorados
Dispositivos de rede
Servidores com
Agente Zabbix
Servidores sem
Agente Zabbix

@alessssilva
Soluções de Segurança para LinuxSoluções de Segurança para Linux
● TCPDUMP
● Wireshark
● Ngrep
● Ethereal
● Snort
● Tripwire
● Aide
● Netcat
● Nmap
● John the Ripper
● OpenVAS
● CHKRootkit
● OpenVPN
● Backtrack Linux

@alessssilva
BIA - Business Impact AnalisysBIA - Business Impact Analisys
● Quanto tempo pode ficar parado em caso de um incidente?
● Qual o impacto da indisponibilidade no negócio?
● Quais os requisitos mínimos para retorno a normalidade?
● Há contingência?
● Em caso de um desastre, qual o tempo necessário para
retorno a normalidade?

@alessssilva
Planejamento do ambientePlanejamento do ambiente
● Quais serviços serão hospedados?
● Qual os níveis de acesso?
● Quantos usuários terão acesso?
– Quantos simultâneos?
● Qual a criticidade do servidor?

@alessssilva
PCO – Plano de ContingênciaPCO – Plano de Contingência
● Quais os componentes mínimos para manutenção dos
serviços do servidor até o retorno a normalidade?
● Contingência não significa 100% de funcionamento
– 100% significa redundância!
● Contingência pode ser “não fazer nada”
● Contingência pode ser ...

@alessssilva
PRD – Plano de Recuperação de DesastresPRD – Plano de Recuperação de Desastres
● Aplicado ao componente
● Construir ou não um kernel personalizado?
● Kickstart
● Clonezilla

@alessssilva
Especialista em Segurança - LinuxEspecialista em Segurança - Linux
LPIC-2LPIC-1 LPIC-3
Provas 101 e 102 Provas 201 e 202 Prova 301 (core)
LPIC-3
(Especialização)
Security Speciaslist
Certificação LPICertificação LPI
Prova 303

@alessssilva
Certificação em Segurança - LinuxCertificação em Segurança - Linux
RHCSA
RHCERHCE
RHCSARHCSA
RH429RH429
RH423RH423
RH333RH333
Network Services
Directory Services
SELINUX
Certificação Red HatCertificação Red Hat

@alessssilva
ReferênciasReferências
● Hardening Linux – Packet Publisher
● Segurança para Linux, Mc Grall Hill
● Backtrack Linux – Auditora de teste de invasão, CM
● Guia de Segurança do RHEL
● Palestra: Certificação em Linux: O que é e como se certificar
● Palestra: Monitoramento de Infraestrutura com Zabbix

@alessssilva
Obrigado!Obrigado!
Alessandro Silva
E-mail: contato@alessandrosilva.info
Facebook: http://alessandrosillva.info/facebook
Twitter: http://alessandrosilva.info/twitter
Linkedin: http://alessandrosilva.info/linkedin

Seguranca em Servidores Linux

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Seguranca em Servidores Linux

Similar to Seguranca em Servidores Linux (20)

Seguranca em Servidores Linux