SlideShare a Scribd company logo
1 of 26
Download to read offline
Debian 6: Instalação e Hardening
Experiência em missão crítica





Pioneira no ensino de Linux à distância





Parceira de treinamento IBM





Primeira com LPI no Brasil





+ de 30.000 alunos satisfeitos





Reconhecimento internacional





Inovação com Hackerteen e Boteconet





                        www.4linux.com.br   2/
Debian 6: Instalação
   e Hardening




       www.4linux.com.br   3/
No final da palestra

➔ As 05 primeiras perguntas ganharão um botton do
tux.

➔ Sorteio do curso: 457 – Linux Network Servers
Preencham o cupom que está no folheto que vocês receberam
●



na entrada da palestra;
Se você já preencheu, ele já está aqui na urna
●



O ganhador deve estar presente até o quinto sorteio. Se não
●



estiver presente ganhará o sexto sorteado



                          www.4linux.com.br            4/
Oportunidades




●   Apertar parafusos é fácil. Saber qual apertar poucos sabem.
●   Existem poucos profissionais qualificados no mercado.
●   Cada vez mais empresas adotam software livre.




                         www.4linux.com.br                  5/
Instalação e Hardening


Será que basta instalar uma distribuição
     linux para criar um servidor?




               www.4linux.com.br     6/
Antes da Instalação



Planejamento:

● Quais serviços serão instalados?
● Quantos usuários?

● Qual a média de acesso?

● Pensar em redundância!!




                   www.4linux.com.br   7/
Hardening na instalação
●   Particionamento
      /boot
      /
      /home
      /usr
      /var
      /var/log
      /tmp
      swap –> preferencialmente SSD

●Para evitar qualquer problema com tamanho de
partições use LVM!!!
                    www.4linux.com.br     8/
Hardening na instalação

●Implementar RAID para espelhamento
(Redundância!!!)

●   Senha segura para o root/usuário principal

●   Desabilitar na BIOS o que não será utilizado:
      Portas Seriais
       Portas Paralelas
       Floppy Disk


                     www.4linux.com.br           9/
Hardening no Sistema

Os pacotes precisam vir de uma fonte segura:

# vi /etc/apt/sources.list

deb http://ftp.br.debian.org/debian/ squeeze main

Para garantir que a fonte é segura:
# apt-get install debian-keyring



                     www.4linux.com.br       10 /
Hardening no Sistema


Se quiser utilizar o sudo, cuidado!

# aptitude install sudo
# vi /etc/sudoers
usuario ALL=(ALL) ALL

Os demais usuários do sistema não devem ter
acesso ao sudo!!


                  www.4linux.com.br       11 /
Hardening no Sistema

Desabilitar terminais para agilizar boot:

# vi /etc/inittab

1:2345:respawn:/sbin/getty 38400 tty1
 2:23:respawn:/sbin/getty 38400 tty2
 3:23:respawn:/sbin/getty 38400 tty3
 # 4:23:respawn:/sbin/getty 38400 tty4
 # 5:23:respawn:/sbin/getty 38400 tty5
 # 6:23:respawn:/sbin/getty 38400 tty6

                    www.4linux.com.br       12 /
Hardening no Sistema

Ainda no /etc/inittab:

ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

Comentar ou modificar a ação!

Exemplo:
ca:12345:ctrlaltdel:/bin/echo “Você pressionou
Control+Alt+Del”


                    www.4linux.com.br         13 /
Hardening no Sistema




Alteração do uso da swap (se necessário):

# cat /proc/sys/vm/swappiness

# echo 'vm.swappiness = 0' >> /etc/sysctl.conf




                   www.4linux.com.br         14 /
Hardening no Sistema




Verificar serviços de rede com netstat:
# netstat -nltup




                   www.4linux.com.br      15 /
Hardening no Sistema




Remover pacotes desnecessários:

# aptitude remove --purge bsd-mailx exim4 exim4-
base exim4-config exim4-daemon-light mutt
 procmail telnet




                  www.4linux.com.br         16 /
Hardening no Sistema




Apagar pacotes órfãos de sistema:

# aptitude install deborphan
# deborphan | xargs apt-get -y remove --purge




                  www.4linux.com.br         17 /
Hardening no Sistema


Cuidados as opções de montagem do
/etc/fstab:

                        ...
/dev/sda2 /home ext4   defaults,noexec,nodev 0 0
/dev/sda3 /tmp ext4    defaults,noexec,nodev 0 0
                        ...




                  www.4linux.com.br          18 /
Hardening no Sistema




Atribuir logout automático:

# vi /etc/profile
TMOUT=1200
HISTSIZE=100




                    www.4linux.com.br   19 /
Hardening no Sistema
Ao instalar o SSH Server para manutenção
remota:

# vi /etc/ssh/sshd_config

Port 2222
PermitRootLogin no
LoginGraceTime 30
IdleTimeout 15m
Forward X11 no
AllowUsers usuario1 usuario2

                   www.4linux.com.br       20 /
Hardening no Sistema


Limitando o acesso de root:

# vi /etc/securetty
...
tty1
tty2
# tty3
# tty4
# tty5
...
                      www.4linux.com.br   21 /
Hardening no Sistema



Utilize o PAM como seu aliado!

Limitando o uso de memória e cpu dos usuários,
evitamos o famoso forkbomb:

                  :(){ :|: & };:



                  www.4linux.com.br        22 /
Hardening no Sistema
Por padrão, qual o número máximo de processos que
podem ser executados ao mesmo tempo?
root@debian:/# ulimit -u
 unlimited

Qual o tempo máximo de uso de cpu?
root@debian:/# ulimit -t
 unlimited

Qual o tamanho máximo de arquivo que os usuários
podem criar?
root@debian:/# ulimit -f
unlimited
                    www.4linux.com.br          23 /
Hardening no Sistema

Limitando usuários:

# vim /etc/security/limits.conf

<usuario/grupo> <tipo_de_limite> <recurso> <valor_do_limite>

   *               hard             nproc          100
   *               hard             cpu            480
   *               hard             fsize          100000
   *               hard             maxlogins      2
   *               hard             rss            100000

                        www.4linux.com.br                24 /
Hardening no Sistema
Ainda no PAM podemos limitar o acesso dos
usuários por horário:

# vi /etc/pam.d/login
account requisite pam_time.so

# vi /etc/security/time.conf
serviços;ttys;usuários;horario


login;*;root;Al0600-2200
sshd:*:bruna:Wd2100-2400

                             www.4linux.com.br   25 /
Obrigado




           Bruna Griebeler
           bruna@4linux.com.br
            www.4linux.com.br
           www.hackerteen.com
           twitter.com/4LinuxBR

            Tel: 55-11-2125-4747


              www.4linux.com.br    26 /

More Related Content

What's hot

Ubuntu 8.04 LTS 2008
Ubuntu 8.04 LTS 2008Ubuntu 8.04 LTS 2008
Ubuntu 8.04 LTS 2008SergioSouza
 
Como migrar seu ambiente de desenvolvimento para Linux
Como migrar seu ambiente de desenvolvimento para LinuxComo migrar seu ambiente de desenvolvimento para Linux
Como migrar seu ambiente de desenvolvimento para LinuxMarcelo Sabadini
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Palestra Fatec Bs 2009
Palestra Fatec Bs 2009Palestra Fatec Bs 2009
Palestra Fatec Bs 2009Gustavo Lichti
 
Implatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxImplatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxAlvaro Gomes
 
pf: O Filtro de Pacotes do OpenBSD
pf: O Filtro de Pacotes do OpenBSDpf: O Filtro de Pacotes do OpenBSD
pf: O Filtro de Pacotes do OpenBSDVinícius Zavam
 
Linux - Shell e Comandos Básicos
Linux - Shell e Comandos BásicosLinux - Shell e Comandos Básicos
Linux - Shell e Comandos BásicosFrederico Madeira
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
FreeBsd com Alta Disponibilidade
FreeBsd com Alta DisponibilidadeFreeBsd com Alta Disponibilidade
FreeBsd com Alta DisponibilidadeBoteco 4Linux
 
Compartilhamento no samba com permissão de grupo
Compartilhamento no samba com permissão de grupoCompartilhamento no samba com permissão de grupo
Compartilhamento no samba com permissão de grupoCarlos Eduardo
 
Introdução ao Linux - aula 03 e 04
Introdução ao Linux - aula 03 e 04Introdução ao Linux - aula 03 e 04
Introdução ao Linux - aula 03 e 04Renan Aryel
 
Linux comandos gerais e servidores de rede
Linux   comandos gerais e servidores de redeLinux   comandos gerais e servidores de rede
Linux comandos gerais e servidores de redefernandao777
 

What's hot (20)

Hacking Linux
Hacking LinuxHacking Linux
Hacking Linux
 
Servidores linux
Servidores linuxServidores linux
Servidores linux
 
Ubuntu 8.04 LTS 2008
Ubuntu 8.04 LTS 2008Ubuntu 8.04 LTS 2008
Ubuntu 8.04 LTS 2008
 
Como migrar seu ambiente de desenvolvimento para Linux
Como migrar seu ambiente de desenvolvimento para LinuxComo migrar seu ambiente de desenvolvimento para Linux
Como migrar seu ambiente de desenvolvimento para Linux
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
MigraçãO
MigraçãOMigraçãO
MigraçãO
 
Prasix
PrasixPrasix
Prasix
 
Palestra Fatec Bs 2009
Palestra Fatec Bs 2009Palestra Fatec Bs 2009
Palestra Fatec Bs 2009
 
Implatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxImplatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com Linux
 
pf: O Filtro de Pacotes do OpenBSD
pf: O Filtro de Pacotes do OpenBSDpf: O Filtro de Pacotes do OpenBSD
pf: O Filtro de Pacotes do OpenBSD
 
Linux - Shell e Comandos Básicos
Linux - Shell e Comandos BásicosLinux - Shell e Comandos Básicos
Linux - Shell e Comandos Básicos
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Comandos
Comandos Comandos
Comandos
 
Aula de Linux
Aula de LinuxAula de Linux
Aula de Linux
 
Glassfish41 debian76
Glassfish41 debian76Glassfish41 debian76
Glassfish41 debian76
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
FreeBsd com Alta Disponibilidade
FreeBsd com Alta DisponibilidadeFreeBsd com Alta Disponibilidade
FreeBsd com Alta Disponibilidade
 
Compartilhamento no samba com permissão de grupo
Compartilhamento no samba com permissão de grupoCompartilhamento no samba com permissão de grupo
Compartilhamento no samba com permissão de grupo
 
Introdução ao Linux - aula 03 e 04
Introdução ao Linux - aula 03 e 04Introdução ao Linux - aula 03 e 04
Introdução ao Linux - aula 03 e 04
 
Linux comandos gerais e servidores de rede
Linux   comandos gerais e servidores de redeLinux   comandos gerais e servidores de rede
Linux comandos gerais e servidores de rede
 

Similar to Debian 6: Instalação e Hardening

FLISOL 2014 - Banco de dados Firebird rodando em CentOS - Faceca
FLISOL 2014 - Banco de dados Firebird rodando em CentOS - FacecaFLISOL 2014 - Banco de dados Firebird rodando em CentOS - Faceca
FLISOL 2014 - Banco de dados Firebird rodando em CentOS - FacecaMárcio Henrique da Silva
 
Opennebula instalação
Opennebula instalaçãoOpennebula instalação
Opennebula instalaçãoLuís Eduardo
 
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman  - ...Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman  - ...
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...Tchelinux
 
Aula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldapAula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldapRoberto Castro
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLfgsl
 
Instalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutosInstalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutosAlexandre Almeida
 
Slack4security
Slack4securitySlack4security
Slack4securityDaniel
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroAndré Luís Cardoso
 
Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTecla Internet
 
Project HA
Project HAProject HA
Project HAKarpv
 
Hacking Linux: Princípios Básicos de Segurança - Bruna Griebeler
Hacking Linux: Princípios Básicos de Segurança - Bruna GriebelerHacking Linux: Princípios Básicos de Segurança - Bruna Griebeler
Hacking Linux: Princípios Básicos de Segurança - Bruna GriebelerTchelinux
 
Palestra xen-flisol2011
Palestra xen-flisol2011Palestra xen-flisol2011
Palestra xen-flisol2011andreluizfm
 

Similar to Debian 6: Instalação e Hardening (20)

FLISOL 2014 - Banco de dados Firebird rodando em CentOS - Faceca
FLISOL 2014 - Banco de dados Firebird rodando em CentOS - FacecaFLISOL 2014 - Banco de dados Firebird rodando em CentOS - Faceca
FLISOL 2014 - Banco de dados Firebird rodando em CentOS - Faceca
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 
Linux
LinuxLinux
Linux
 
Opennebula instalação
Opennebula instalaçãoOpennebula instalação
Opennebula instalação
 
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman  - ...Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman  - ...
Rodando e instalandosistemas operacionaispela rede - Nasser Othman Rahman - ...
 
Aula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldapAula14 vsftp de-introopenldap
Aula14 vsftp de-introopenldap
 
Squid proxy
Squid proxySquid proxy
Squid proxy
 
I educar-manual-de-instalaao
I educar-manual-de-instalaaoI educar-manual-de-instalaao
I educar-manual-de-instalaao
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
 
Instalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutosInstalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutos
 
Slack4security
Slack4securitySlack4security
Slack4security
 
IntroduçãO Ao Linux
IntroduçãO Ao LinuxIntroduçãO Ao Linux
IntroduçãO Ao Linux
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to hero
 
Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos Linux
 
Project HA
Project HAProject HA
Project HA
 
Tutorial: Instalação do Linaro Ubuntu na Gumstix Overo® Fire COM
Tutorial: Instalação do Linaro Ubuntu na Gumstix Overo® Fire COMTutorial: Instalação do Linaro Ubuntu na Gumstix Overo® Fire COM
Tutorial: Instalação do Linaro Ubuntu na Gumstix Overo® Fire COM
 
Hacking Linux: Princípios Básicos de Segurança - Bruna Griebeler
Hacking Linux: Princípios Básicos de Segurança - Bruna GriebelerHacking Linux: Princípios Básicos de Segurança - Bruna Griebeler
Hacking Linux: Princípios Básicos de Segurança - Bruna Griebeler
 
Palestra xen-flisol2011
Palestra xen-flisol2011Palestra xen-flisol2011
Palestra xen-flisol2011
 
Apostila metasploit
Apostila metasploitApostila metasploit
Apostila metasploit
 

Debian 6: Instalação e Hardening

  • 2. Experiência em missão crítica  Pioneira no ensino de Linux à distância  Parceira de treinamento IBM  Primeira com LPI no Brasil  + de 30.000 alunos satisfeitos  Reconhecimento internacional  Inovação com Hackerteen e Boteconet  www.4linux.com.br 2/
  • 3. Debian 6: Instalação e Hardening www.4linux.com.br 3/
  • 4. No final da palestra ➔ As 05 primeiras perguntas ganharão um botton do tux. ➔ Sorteio do curso: 457 – Linux Network Servers Preencham o cupom que está no folheto que vocês receberam ● na entrada da palestra; Se você já preencheu, ele já está aqui na urna ● O ganhador deve estar presente até o quinto sorteio. Se não ● estiver presente ganhará o sexto sorteado www.4linux.com.br 4/
  • 5. Oportunidades ● Apertar parafusos é fácil. Saber qual apertar poucos sabem. ● Existem poucos profissionais qualificados no mercado. ● Cada vez mais empresas adotam software livre. www.4linux.com.br 5/
  • 6. Instalação e Hardening Será que basta instalar uma distribuição linux para criar um servidor? www.4linux.com.br 6/
  • 7. Antes da Instalação Planejamento: ● Quais serviços serão instalados? ● Quantos usuários? ● Qual a média de acesso? ● Pensar em redundância!! www.4linux.com.br 7/
  • 8. Hardening na instalação ● Particionamento /boot / /home /usr /var /var/log /tmp swap –> preferencialmente SSD ●Para evitar qualquer problema com tamanho de partições use LVM!!! www.4linux.com.br 8/
  • 9. Hardening na instalação ●Implementar RAID para espelhamento (Redundância!!!) ● Senha segura para o root/usuário principal ● Desabilitar na BIOS o que não será utilizado: Portas Seriais Portas Paralelas Floppy Disk www.4linux.com.br 9/
  • 10. Hardening no Sistema Os pacotes precisam vir de uma fonte segura: # vi /etc/apt/sources.list deb http://ftp.br.debian.org/debian/ squeeze main Para garantir que a fonte é segura: # apt-get install debian-keyring www.4linux.com.br 10 /
  • 11. Hardening no Sistema Se quiser utilizar o sudo, cuidado! # aptitude install sudo # vi /etc/sudoers usuario ALL=(ALL) ALL Os demais usuários do sistema não devem ter acesso ao sudo!! www.4linux.com.br 11 /
  • 12. Hardening no Sistema Desabilitar terminais para agilizar boot: # vi /etc/inittab 1:2345:respawn:/sbin/getty 38400 tty1 2:23:respawn:/sbin/getty 38400 tty2 3:23:respawn:/sbin/getty 38400 tty3 # 4:23:respawn:/sbin/getty 38400 tty4 # 5:23:respawn:/sbin/getty 38400 tty5 # 6:23:respawn:/sbin/getty 38400 tty6 www.4linux.com.br 12 /
  • 13. Hardening no Sistema Ainda no /etc/inittab: ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now Comentar ou modificar a ação! Exemplo: ca:12345:ctrlaltdel:/bin/echo “Você pressionou Control+Alt+Del” www.4linux.com.br 13 /
  • 14. Hardening no Sistema Alteração do uso da swap (se necessário): # cat /proc/sys/vm/swappiness # echo 'vm.swappiness = 0' >> /etc/sysctl.conf www.4linux.com.br 14 /
  • 15. Hardening no Sistema Verificar serviços de rede com netstat: # netstat -nltup www.4linux.com.br 15 /
  • 16. Hardening no Sistema Remover pacotes desnecessários: # aptitude remove --purge bsd-mailx exim4 exim4- base exim4-config exim4-daemon-light mutt procmail telnet www.4linux.com.br 16 /
  • 17. Hardening no Sistema Apagar pacotes órfãos de sistema: # aptitude install deborphan # deborphan | xargs apt-get -y remove --purge www.4linux.com.br 17 /
  • 18. Hardening no Sistema Cuidados as opções de montagem do /etc/fstab: ... /dev/sda2 /home ext4 defaults,noexec,nodev 0 0 /dev/sda3 /tmp ext4 defaults,noexec,nodev 0 0 ... www.4linux.com.br 18 /
  • 19. Hardening no Sistema Atribuir logout automático: # vi /etc/profile TMOUT=1200 HISTSIZE=100 www.4linux.com.br 19 /
  • 20. Hardening no Sistema Ao instalar o SSH Server para manutenção remota: # vi /etc/ssh/sshd_config  Port 2222 PermitRootLogin no LoginGraceTime 30 IdleTimeout 15m Forward X11 no AllowUsers usuario1 usuario2 www.4linux.com.br 20 /
  • 21. Hardening no Sistema Limitando o acesso de root: # vi /etc/securetty ... tty1 tty2 # tty3 # tty4 # tty5 ... www.4linux.com.br 21 /
  • 22. Hardening no Sistema Utilize o PAM como seu aliado! Limitando o uso de memória e cpu dos usuários, evitamos o famoso forkbomb: :(){ :|: & };: www.4linux.com.br 22 /
  • 23. Hardening no Sistema Por padrão, qual o número máximo de processos que podem ser executados ao mesmo tempo? root@debian:/# ulimit -u unlimited Qual o tempo máximo de uso de cpu? root@debian:/# ulimit -t unlimited Qual o tamanho máximo de arquivo que os usuários podem criar? root@debian:/# ulimit -f unlimited www.4linux.com.br 23 /
  • 24. Hardening no Sistema Limitando usuários: # vim /etc/security/limits.conf <usuario/grupo> <tipo_de_limite> <recurso> <valor_do_limite> * hard nproc 100 * hard cpu 480 * hard fsize 100000 * hard maxlogins 2 * hard rss 100000 www.4linux.com.br 24 /
  • 25. Hardening no Sistema Ainda no PAM podemos limitar o acesso dos usuários por horário: # vi /etc/pam.d/login account requisite pam_time.so # vi /etc/security/time.conf serviços;ttys;usuários;horario login;*;root;Al0600-2200 sshd:*:bruna:Wd2100-2400 www.4linux.com.br 25 /
  • 26. Obrigado Bruna Griebeler bruna@4linux.com.br www.4linux.com.br www.hackerteen.com twitter.com/4LinuxBR Tel: 55-11-2125-4747 www.4linux.com.br 26 /