SlideShare a Scribd company logo
1 of 20
Download to read offline
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!




           1




                       2



           1


     Kiện toàn cho Linux OS
              Trình bày: Mẫn Thắng
  manvanthang@gmail.com | manthang.wordpress.com
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!




               2
                        Nội dung
I. Kiện toàn cho HĐH Linux
II. Vài công cụ tăng cường bảo mật cho Linux
                      2
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!




           3




                       2


           I. Kiện toàn cho Linux
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



                   1. Bảo vệ Boot loader
                   4
# grub-crypt //SHA-512 by default
Password: GrbPwd4SysAd$
Retype password: GrbPwd4SysAd$
                           2

^9^32kwzzX./3WISQ0C
$ cat /etc/grub.conf
..
password --encrypted ^9^32kwzzX./3WISQ0C
..
* Ví dụ trên áp dụng cho GRUB 1, tham khảo thêm cho version 2
   http://www.howtogeek.com/102009/how-to-password-protect-
     ubuntus-boot-loader/
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



      2. Gia cố TCP/IP Stack (1)
         5




                       2
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



      2. Gia cố TCP/IP Stack (2)
         6




                       2
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



              3. 7
                 File & File system (1)

    Gỡ bỏ SUID, GUID của các file không cần thiết được gán các
    bit này
#Tìm các SUID file            2
find / -perm +4000
# Tìm các GUID file
find / -perm +2000
# Kết hợp tìm cả 2
find / ( -perm -4000 -o -perm -2000 ) -print
find / -path -prune -o -type f -perm +6000 -ls
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



               3. 8
                  File & File system (2)

    Phân tách giữa các file của OS và của user. Mount các
    directory sau vào partition riêng:
    /usr, /home, /var, /var/tmp, /tmp
                     2

    Đặt root directory của Apache, FTP ở các partition riêng và
    chỉnh file /etc/fstab với các option:
    noexec, nodev, nosuid
    Ví dụ:
    /dev/sda5 /ftpdata ext3 defaults,nosuid,nodev,noexec 1 2

    Thiết lập disk quotas trên file system
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!




                  9
                   4. User account (1)

    Tìm các account không có password và lock lại nếu cần
# awk -F: '($2 == "") {print}' /etc/shadow
                     2
# passwd -l accountName

    Đảm bảo các non-root account có UID khác 0
    # awk -F: '($3 == "0") {print}' /etc/passwd

    Sử dụng lệnh sudo thay cho login với root account

    Mỗi service chạy dưới quyền của một account riêng, ví dụ:
    apache, mysql, ntp...

    Lock account nếu failure login nhiều lần với faillog
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



                   4. User account (2)
                  10

    Password aging
# chage -l userName
# chage -M 60 -m 7 -W 7 userName
                          2
# vi /etc/login.defs
PASS_MAX_DAYS 30
PASS_MIN_DAYS 1
PASS_WARN_AGE 7

    Buộc dùng “strong password”
# apt-get install libpam-cracklib //Debian-based distro
# vi /etc/pam.d/system-auth
# password required pam_cracklib.so retry=2 minlen=8
  difok=7 dcredit=6 ucredit=5 lcredit=4 ocredit=3
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



                   4. User account (3)
                  11
// fork() bomb code

                        :(){ :|:& };:
   $ cat /etc/security/limits.conf
                           2
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



                 5. Một vài biện pháp khác
                    12

    Dùng các secure protocol: SSH, SCP, rsync, FTPS,
    OpenVPN,..

    Mã hóa data/channel với TrueCrypt, GnuPG, IPsec,
                             2
    SSL/TLS,...

    Loại bỏ các service/port không cần thiết

    Cập nhật kernel, software

    Giam/cách ly các program trong môi trường riêng với chroot

    ...
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!




              13




                          2


II. Vài công cụ tăng cường bảo mật cho Linux
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!




                   14
                             1. Sudo

    Nguy cơ 1?
$ sudo su -
$ sudo passwd root             2





    Nguy cơ 2?
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



                   2. inetd vs. xinetd (1)
                   15

    inetd giải quyết 2 vấn đề: hạn chế về RAM, CPU và kiểm soát
      chặt chẽ hơn việc truy cập từ các host ở ngoài tới service.
                               2
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



          2. inetd vs. xinetd (2)
           16




                       2
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



                   2. inetd vs. xinetd (3)
                    17

    xinetd bổ sung tính năng logging (syslog/file) , access control
     (vd, access_time), chống DoS (max_load, per_source)
$ cat /etc/xinetd.d/imap
                   2




→ single of failure!!
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



                  1. TCP_Wrappers (1)
                  18

    Tăng cường access control cho inetd, xinetd, nhiều service
    khác.
                              2
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!



                  1. TCP_Wrappers (2)
                  19

    Cấu hình đơn giản

                               2
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!




           20




    Cảm ơn các anh chị đã theo dõi!
                2



                        Q&A

More Related Content

What's hot

SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)Security Bootcamp
 
Trần Anh Khoa - Kautilya và Powershell trong kỹ thuật tấn công tiếp cận
Trần Anh Khoa - Kautilya và Powershelltrong kỹ thuật tấn công tiếp cậnTrần Anh Khoa - Kautilya và Powershelltrong kỹ thuật tấn công tiếp cận
Trần Anh Khoa - Kautilya và Powershell trong kỹ thuật tấn công tiếp cậnSecurity Bootcamp
 
SBC 2012 - Database Security (Nguyễn Thanh Tùng)
SBC 2012 - Database Security (Nguyễn Thanh Tùng)SBC 2012 - Database Security (Nguyễn Thanh Tùng)
SBC 2012 - Database Security (Nguyễn Thanh Tùng)Security Bootcamp
 
Hướng nghiên cứu mới cho ngành mật mã nước nhà - TS Hồ Ngọc Duy
Hướng nghiên cứu mới cho ngành mật mã nước nhà - TS Hồ Ngọc DuyHướng nghiên cứu mới cho ngành mật mã nước nhà - TS Hồ Ngọc Duy
Hướng nghiên cứu mới cho ngành mật mã nước nhà - TS Hồ Ngọc DuySecurity Bootcamp
 
SBC 2012 - Một số thuật toán phân lớp và ứng dụng trong IDS (Nguyễn Đình Chiểu)
SBC 2012 - Một số thuật toán phân lớp và ứng dụng trong IDS (Nguyễn Đình Chiểu)SBC 2012 - Một số thuật toán phân lớp và ứng dụng trong IDS (Nguyễn Đình Chiểu)
SBC 2012 - Một số thuật toán phân lớp và ứng dụng trong IDS (Nguyễn Đình Chiểu)Security Bootcamp
 
Khai thác lỗi phần mềm thi chứng chỉ của Microsoft - Phạm Đình Thắng
Khai thác lỗi phần mềm thi chứng chỉ của Microsoft - Phạm Đình ThắngKhai thác lỗi phần mềm thi chứng chỉ của Microsoft - Phạm Đình Thắng
Khai thác lỗi phần mềm thi chứng chỉ của Microsoft - Phạm Đình ThắngSecurity Bootcamp
 
Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp 2013   penetration testing (basic)Security Bootcamp 2013   penetration testing (basic)
Security Bootcamp 2013 penetration testing (basic)Security Bootcamp
 

What's hot (7)

SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)
 
Trần Anh Khoa - Kautilya và Powershell trong kỹ thuật tấn công tiếp cận
Trần Anh Khoa - Kautilya và Powershelltrong kỹ thuật tấn công tiếp cậnTrần Anh Khoa - Kautilya và Powershelltrong kỹ thuật tấn công tiếp cận
Trần Anh Khoa - Kautilya và Powershell trong kỹ thuật tấn công tiếp cận
 
SBC 2012 - Database Security (Nguyễn Thanh Tùng)
SBC 2012 - Database Security (Nguyễn Thanh Tùng)SBC 2012 - Database Security (Nguyễn Thanh Tùng)
SBC 2012 - Database Security (Nguyễn Thanh Tùng)
 
Hướng nghiên cứu mới cho ngành mật mã nước nhà - TS Hồ Ngọc Duy
Hướng nghiên cứu mới cho ngành mật mã nước nhà - TS Hồ Ngọc DuyHướng nghiên cứu mới cho ngành mật mã nước nhà - TS Hồ Ngọc Duy
Hướng nghiên cứu mới cho ngành mật mã nước nhà - TS Hồ Ngọc Duy
 
SBC 2012 - Một số thuật toán phân lớp và ứng dụng trong IDS (Nguyễn Đình Chiểu)
SBC 2012 - Một số thuật toán phân lớp và ứng dụng trong IDS (Nguyễn Đình Chiểu)SBC 2012 - Một số thuật toán phân lớp và ứng dụng trong IDS (Nguyễn Đình Chiểu)
SBC 2012 - Một số thuật toán phân lớp và ứng dụng trong IDS (Nguyễn Đình Chiểu)
 
Khai thác lỗi phần mềm thi chứng chỉ của Microsoft - Phạm Đình Thắng
Khai thác lỗi phần mềm thi chứng chỉ của Microsoft - Phạm Đình ThắngKhai thác lỗi phần mềm thi chứng chỉ của Microsoft - Phạm Đình Thắng
Khai thác lỗi phần mềm thi chứng chỉ của Microsoft - Phạm Đình Thắng
 
Security Bootcamp 2013 penetration testing (basic)
Security Bootcamp 2013   penetration testing (basic)Security Bootcamp 2013   penetration testing (basic)
Security Bootcamp 2013 penetration testing (basic)
 

Similar to SBC 2012 - Linux Hardening (Mẫn Thắng)

Snort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comSnort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comphanleson
 
Chương 2 căn bản cisco ios
Chương 2 căn bản cisco iosChương 2 căn bản cisco ios
Chương 2 căn bản cisco iosnguyenhoangbao
 
Tai lieu quan tri he thong erp oracle
Tai lieu quan tri he thong erp oracleTai lieu quan tri he thong erp oracle
Tai lieu quan tri he thong erp oracleKiet Tran
 
Cài đặt và cấu hình căn bản hệ điều hành.pptx
Cài đặt và cấu hình căn bản hệ điều hành.pptxCài đặt và cấu hình căn bản hệ điều hành.pptx
Cài đặt và cấu hình căn bản hệ điều hành.pptxchamkhe
 
Bao cao thuc tap tuan 1 Athena Tran Dang Khoa
Bao cao thuc tap tuan 1 Athena Tran Dang KhoaBao cao thuc tap tuan 1 Athena Tran Dang Khoa
Bao cao thuc tap tuan 1 Athena Tran Dang KhoaÂu Dương Bình
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Linux thietlaphethongmangubunt-45879
Linux thietlaphethongmangubunt-45879Linux thietlaphethongmangubunt-45879
Linux thietlaphethongmangubunt-45879Son Giap
 
Ac fr ogdyeeau50afg7bcxmtrplolcc9hoeu__6mus7monefoq946imlse7fvjnynphogvjyelfq...
Ac fr ogdyeeau50afg7bcxmtrplolcc9hoeu__6mus7monefoq946imlse7fvjnynphogvjyelfq...Ac fr ogdyeeau50afg7bcxmtrplolcc9hoeu__6mus7monefoq946imlse7fvjnynphogvjyelfq...
Ac fr ogdyeeau50afg7bcxmtrplolcc9hoeu__6mus7monefoq946imlse7fvjnynphogvjyelfq...Vuong Nguyen
 
Giới thiệu docker và ứng dụng trong ci-cd
Giới thiệu docker và ứng dụng trong ci-cdGiới thiệu docker và ứng dụng trong ci-cd
Giới thiệu docker và ứng dụng trong ci-cdGMO-Z.com Vietnam Lab Center
 
Phanmemdangtinaloxowoatv3
Phanmemdangtinaloxowoatv3Phanmemdangtinaloxowoatv3
Phanmemdangtinaloxowoatv3lanchi1323
 
Google chrome os (perfect version)
Google chrome os (perfect version)Google chrome os (perfect version)
Google chrome os (perfect version)En Tj Pj
 
Thu 6 03 bootcamp 2014 - xxe injection - nguyen tang hung
Thu 6   03 bootcamp 2014 - xxe injection - nguyen tang hungThu 6   03 bootcamp 2014 - xxe injection - nguyen tang hung
Thu 6 03 bootcamp 2014 - xxe injection - nguyen tang hungSecurity Bootcamp
 
XXE injection - Nguyễn Tăng Hưng
XXE injection - Nguyễn Tăng HưngXXE injection - Nguyễn Tăng Hưng
XXE injection - Nguyễn Tăng HưngVõ Thái Lâm
 
Bao cao thuc tap tuan2
Bao cao thuc tap tuan2Bao cao thuc tap tuan2
Bao cao thuc tap tuan2duytruyen1993
 
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Lương Kiên
 

Similar to SBC 2012 - Linux Hardening (Mẫn Thắng) (20)

Snort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comSnort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.com
 
Tailieu
TailieuTailieu
Tailieu
 
Chương 2 căn bản cisco ios
Chương 2 căn bản cisco iosChương 2 căn bản cisco ios
Chương 2 căn bản cisco ios
 
Tai lieu quan tri he thong erp oracle
Tai lieu quan tri he thong erp oracleTai lieu quan tri he thong erp oracle
Tai lieu quan tri he thong erp oracle
 
Cài đặt và cấu hình căn bản hệ điều hành.pptx
Cài đặt và cấu hình căn bản hệ điều hành.pptxCài đặt và cấu hình căn bản hệ điều hành.pptx
Cài đặt và cấu hình căn bản hệ điều hành.pptx
 
TỰ HỌC LPI 2
TỰ HỌC LPI 2TỰ HỌC LPI 2
TỰ HỌC LPI 2
 
Bao cao thuc tap tuan 1 Athena Tran Dang Khoa
Bao cao thuc tap tuan 1 Athena Tran Dang KhoaBao cao thuc tap tuan 1 Athena Tran Dang Khoa
Bao cao thuc tap tuan 1 Athena Tran Dang Khoa
 
U boot
U bootU boot
U boot
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
Linux thietlaphethongmangubunt-45879
Linux thietlaphethongmangubunt-45879Linux thietlaphethongmangubunt-45879
Linux thietlaphethongmangubunt-45879
 
Ac fr ogdyeeau50afg7bcxmtrplolcc9hoeu__6mus7monefoq946imlse7fvjnynphogvjyelfq...
Ac fr ogdyeeau50afg7bcxmtrplolcc9hoeu__6mus7monefoq946imlse7fvjnynphogvjyelfq...Ac fr ogdyeeau50afg7bcxmtrplolcc9hoeu__6mus7monefoq946imlse7fvjnynphogvjyelfq...
Ac fr ogdyeeau50afg7bcxmtrplolcc9hoeu__6mus7monefoq946imlse7fvjnynphogvjyelfq...
 
Giới thiệu docker và ứng dụng trong ci-cd
Giới thiệu docker và ứng dụng trong ci-cdGiới thiệu docker và ứng dụng trong ci-cd
Giới thiệu docker và ứng dụng trong ci-cd
 
Phanmemdangtinaloxowoatv3
Phanmemdangtinaloxowoatv3Phanmemdangtinaloxowoatv3
Phanmemdangtinaloxowoatv3
 
Cain & abel
Cain & abelCain & abel
Cain & abel
 
Google chrome os (perfect version)
Google chrome os (perfect version)Google chrome os (perfect version)
Google chrome os (perfect version)
 
Thu 6 03 bootcamp 2014 - xxe injection - nguyen tang hung
Thu 6   03 bootcamp 2014 - xxe injection - nguyen tang hungThu 6   03 bootcamp 2014 - xxe injection - nguyen tang hung
Thu 6 03 bootcamp 2014 - xxe injection - nguyen tang hung
 
XXE injection - Nguyễn Tăng Hưng
XXE injection - Nguyễn Tăng HưngXXE injection - Nguyễn Tăng Hưng
XXE injection - Nguyễn Tăng Hưng
 
Bao cao thuc tap tuan2
Bao cao thuc tap tuan2Bao cao thuc tap tuan2
Bao cao thuc tap tuan2
 
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
 

More from Security Bootcamp

Ransomware is Knocking your Door_Final.pdf
Ransomware is Knocking your Door_Final.pdfRansomware is Knocking your Door_Final.pdf
Ransomware is Knocking your Door_Final.pdfSecurity Bootcamp
 
Hieupc-The role of psychology in enhancing cybersecurity
Hieupc-The role of psychology in enhancing cybersecurityHieupc-The role of psychology in enhancing cybersecurity
Hieupc-The role of psychology in enhancing cybersecuritySecurity Bootcamp
 
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s viewNguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s viewSecurity Bootcamp
 
Sbc 2020 bao gio vn co anm dua vao cong nghe mo
Sbc 2020 bao gio vn co anm dua vao cong nghe moSbc 2020 bao gio vn co anm dua vao cong nghe mo
Sbc 2020 bao gio vn co anm dua vao cong nghe moSecurity Bootcamp
 
Giam sat thu dong thong tin an toan hang hai su dung sdr
Giam sat thu dong thong tin an toan hang hai su dung sdrGiam sat thu dong thong tin an toan hang hai su dung sdr
Giam sat thu dong thong tin an toan hang hai su dung sdrSecurity Bootcamp
 
Insider threat-what-us-do d-want
Insider threat-what-us-do d-wantInsider threat-what-us-do d-want
Insider threat-what-us-do d-wantSecurity Bootcamp
 
Macro malware common techniques - public
Macro malware   common techniques - publicMacro malware   common techniques - public
Macro malware common techniques - publicSecurity Bootcamp
 
Malware detection-using-machine-learning
Malware detection-using-machine-learningMalware detection-using-machine-learning
Malware detection-using-machine-learningSecurity Bootcamp
 
Tim dieu moi trong nhung dieu cu
Tim dieu moi trong nhung dieu cuTim dieu moi trong nhung dieu cu
Tim dieu moi trong nhung dieu cuSecurity Bootcamp
 
Threat detection with 0 cost
Threat detection with 0 costThreat detection with 0 cost
Threat detection with 0 costSecurity Bootcamp
 
GOLDEN TICKET - Hiểm hoa tiềm ẩn trong hệ thống Active Directory
GOLDEN TICKET -  Hiểm hoa tiềm ẩn trong hệ thống Active DirectoryGOLDEN TICKET -  Hiểm hoa tiềm ẩn trong hệ thống Active Directory
GOLDEN TICKET - Hiểm hoa tiềm ẩn trong hệ thống Active DirectorySecurity Bootcamp
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018Security Bootcamp
 
Lannguyen-Detecting Cyber Attacks
Lannguyen-Detecting Cyber AttacksLannguyen-Detecting Cyber Attacks
Lannguyen-Detecting Cyber AttacksSecurity Bootcamp
 
Letrungnghia-gopyluananm2018
Letrungnghia-gopyluananm2018Letrungnghia-gopyluananm2018
Letrungnghia-gopyluananm2018Security Bootcamp
 

More from Security Bootcamp (20)

Ransomware is Knocking your Door_Final.pdf
Ransomware is Knocking your Door_Final.pdfRansomware is Knocking your Door_Final.pdf
Ransomware is Knocking your Door_Final.pdf
 
Hieupc-The role of psychology in enhancing cybersecurity
Hieupc-The role of psychology in enhancing cybersecurityHieupc-The role of psychology in enhancing cybersecurity
Hieupc-The role of psychology in enhancing cybersecurity
 
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s viewNguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
 
Sbc 2020 bao gio vn co anm dua vao cong nghe mo
Sbc 2020 bao gio vn co anm dua vao cong nghe moSbc 2020 bao gio vn co anm dua vao cong nghe mo
Sbc 2020 bao gio vn co anm dua vao cong nghe mo
 
Deception change-the-game
Deception change-the-gameDeception change-the-game
Deception change-the-game
 
Giam sat thu dong thong tin an toan hang hai su dung sdr
Giam sat thu dong thong tin an toan hang hai su dung sdrGiam sat thu dong thong tin an toan hang hai su dung sdr
Giam sat thu dong thong tin an toan hang hai su dung sdr
 
Sbc2019 luong-cyber startup
Sbc2019 luong-cyber startupSbc2019 luong-cyber startup
Sbc2019 luong-cyber startup
 
Insider threat-what-us-do d-want
Insider threat-what-us-do d-wantInsider threat-what-us-do d-want
Insider threat-what-us-do d-want
 
Macro malware common techniques - public
Macro malware   common techniques - publicMacro malware   common techniques - public
Macro malware common techniques - public
 
Malware detection-using-machine-learning
Malware detection-using-machine-learningMalware detection-using-machine-learning
Malware detection-using-machine-learning
 
Tim dieu moi trong nhung dieu cu
Tim dieu moi trong nhung dieu cuTim dieu moi trong nhung dieu cu
Tim dieu moi trong nhung dieu cu
 
Threat detection with 0 cost
Threat detection with 0 costThreat detection with 0 cost
Threat detection with 0 cost
 
Build SOC
Build SOC Build SOC
Build SOC
 
AD red vs blue
AD red vs blueAD red vs blue
AD red vs blue
 
Securitybox
SecurityboxSecuritybox
Securitybox
 
GOLDEN TICKET - Hiểm hoa tiềm ẩn trong hệ thống Active Directory
GOLDEN TICKET -  Hiểm hoa tiềm ẩn trong hệ thống Active DirectoryGOLDEN TICKET -  Hiểm hoa tiềm ẩn trong hệ thống Active Directory
GOLDEN TICKET - Hiểm hoa tiềm ẩn trong hệ thống Active Directory
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
 
Api security-present
Api security-presentApi security-present
Api security-present
 
Lannguyen-Detecting Cyber Attacks
Lannguyen-Detecting Cyber AttacksLannguyen-Detecting Cyber Attacks
Lannguyen-Detecting Cyber Attacks
 
Letrungnghia-gopyluananm2018
Letrungnghia-gopyluananm2018Letrungnghia-gopyluananm2018
Letrungnghia-gopyluananm2018
 

SBC 2012 - Linux Hardening (Mẫn Thắng)

  • 1. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 1 2 1 Kiện toàn cho Linux OS Trình bày: Mẫn Thắng manvanthang@gmail.com | manthang.wordpress.com
  • 2. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 2 Nội dung I. Kiện toàn cho HĐH Linux II. Vài công cụ tăng cường bảo mật cho Linux 2
  • 3. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 3 2 I. Kiện toàn cho Linux
  • 4. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 1. Bảo vệ Boot loader 4 # grub-crypt //SHA-512 by default Password: GrbPwd4SysAd$ Retype password: GrbPwd4SysAd$ 2 ^9^32kwzzX./3WISQ0C $ cat /etc/grub.conf .. password --encrypted ^9^32kwzzX./3WISQ0C .. * Ví dụ trên áp dụng cho GRUB 1, tham khảo thêm cho version 2 http://www.howtogeek.com/102009/how-to-password-protect- ubuntus-boot-loader/
  • 5. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 2. Gia cố TCP/IP Stack (1) 5 2
  • 6. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 2. Gia cố TCP/IP Stack (2) 6 2
  • 7. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 3. 7 File & File system (1)  Gỡ bỏ SUID, GUID của các file không cần thiết được gán các bit này #Tìm các SUID file 2 find / -perm +4000 # Tìm các GUID file find / -perm +2000 # Kết hợp tìm cả 2 find / ( -perm -4000 -o -perm -2000 ) -print find / -path -prune -o -type f -perm +6000 -ls
  • 8. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 3. 8 File & File system (2)  Phân tách giữa các file của OS và của user. Mount các directory sau vào partition riêng: /usr, /home, /var, /var/tmp, /tmp 2  Đặt root directory của Apache, FTP ở các partition riêng và chỉnh file /etc/fstab với các option: noexec, nodev, nosuid Ví dụ: /dev/sda5 /ftpdata ext3 defaults,nosuid,nodev,noexec 1 2  Thiết lập disk quotas trên file system
  • 9. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 9 4. User account (1)  Tìm các account không có password và lock lại nếu cần # awk -F: '($2 == "") {print}' /etc/shadow 2 # passwd -l accountName  Đảm bảo các non-root account có UID khác 0 # awk -F: '($3 == "0") {print}' /etc/passwd  Sử dụng lệnh sudo thay cho login với root account  Mỗi service chạy dưới quyền của một account riêng, ví dụ: apache, mysql, ntp...  Lock account nếu failure login nhiều lần với faillog
  • 10. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 4. User account (2) 10  Password aging # chage -l userName # chage -M 60 -m 7 -W 7 userName 2 # vi /etc/login.defs PASS_MAX_DAYS 30 PASS_MIN_DAYS 1 PASS_WARN_AGE 7  Buộc dùng “strong password” # apt-get install libpam-cracklib //Debian-based distro # vi /etc/pam.d/system-auth # password required pam_cracklib.so retry=2 minlen=8 difok=7 dcredit=6 ucredit=5 lcredit=4 ocredit=3
  • 11. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 4. User account (3) 11 // fork() bomb code :(){ :|:& };:  $ cat /etc/security/limits.conf 2
  • 12. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 5. Một vài biện pháp khác 12  Dùng các secure protocol: SSH, SCP, rsync, FTPS, OpenVPN,..  Mã hóa data/channel với TrueCrypt, GnuPG, IPsec, 2 SSL/TLS,...  Loại bỏ các service/port không cần thiết  Cập nhật kernel, software  Giam/cách ly các program trong môi trường riêng với chroot  ...
  • 13. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 13 2 II. Vài công cụ tăng cường bảo mật cho Linux
  • 14. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 14 1. Sudo  Nguy cơ 1? $ sudo su - $ sudo passwd root 2  Nguy cơ 2?
  • 15. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 2. inetd vs. xinetd (1) 15  inetd giải quyết 2 vấn đề: hạn chế về RAM, CPU và kiểm soát chặt chẽ hơn việc truy cập từ các host ở ngoài tới service. 2
  • 16. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 2. inetd vs. xinetd (2) 16 2
  • 17. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 2. inetd vs. xinetd (3) 17  xinetd bổ sung tính năng logging (syslog/file) , access control (vd, access_time), chống DoS (max_load, per_source) $ cat /etc/xinetd.d/imap 2 → single of failure!!
  • 18. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 1. TCP_Wrappers (1) 18  Tăng cường access control cho inetd, xinetd, nhiều service khác. 2
  • 19. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 1. TCP_Wrappers (2) 19  Cấu hình đơn giản 2
  • 20. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 20 Cảm ơn các anh chị đã theo dõi! 2 Q&A