Hardening Linux
Fábio Costa
[email protected]
AGENDA
Hardening 1:
Definição
Importante
Checklist
Hardening 2:
Serviços e Aplicações
Hardening 3:
Controle de log e Auditoria
DEFINIÇÕES
Processo de fortificação do sistema operacional aplicando
técnicas específicas de controles
Efeito de blindagem do sistema
Exemplos:
– Aplicar e manter patches atualizados, tanto do sistema
operacional quanto das aplicações.
– Revisar e modificar as permissões dos sistemas de
arquivos, em especial no que diz respeito a escrita e
execução.
– Reforçar a segurança do login, impondo uma política de
senhas fortes.
IMPORTANTE
ISO 17799 e ISO 27002
– Controle de Acesso (Lógico e Físico)
– Políticas
– Gestão da continuidade de negócio
– Gerenciamento de Riscos
Instalação e Hardening
A instalação padrão de qualquer sistema
operacional não é recomendável seja qual for a
finalidade do servidor.
Administradores de sistema tem por obrigação
melhorar a segurança ativando controles nativos
ou implementando-os.
Esse processo é classicamente denominado
Hardening.
O Linux nos possibilita implementar vários
“Controles Técnicos”.
Antes da Instalação
Planejamento:
Documentação
Quais serviços serão instalados?
Quantos Usuários?
Qual a média de acesso?
Senha segura para root/usuário principal
Pensar em redundância!!!
Hardening Físico: Instalação
Desabilitar a inicialização a partir de dispositivos como
disquete, cdrom, drive usb e rede
– Impedir que pessoas indesejadas tente iniciar o
sistema a partir de um disco especial de boot
– Proteger contra mudanças nas características da BIOS
Reinicializar a máquina e mudar a sequência de boot para Hard Drive
ONLY
Incluir uma senha para a BIOS
Hardening Físico: Instalação
Particionamento:
/boot
/home
/usr
/var
/var/log
/tmp
swap
Para evitar qualquer problema com tamanho de partições use LVM
Controle sobre Sistema de
Arquivos
Eis as principais opções
– defaults: permite alguns parâmetros (Depende da distribuição e do
tipo de FS)
– noquota: não ajustar quotas para usuários
– nosuid: não permitir SUID/SGID
– nodev: não permitir acesso a dispositivos especiais ou de caractere
– noexec: não permitir a execução de nenhum binário
– quota: permitir uso de quotas por usuário
– ro: permitir para somente-leitura
– rw: permitir para leitura-escrita
– suid: permitir acessos SUID/SGID
Controle sobre Sistema de
Arquivos
Ponto de
Montagem
nosuid
noexec
noatime
/boot
X
----
----
/
----
----
----
/home
X
X
/usr
X
----
----
/tmp
X
X
----
/var
X
X
----
/var/log
X
X
X
Controle sobre Sistema de
Arquivos
$ sudo vim /etc/fstab
/dev/hda1
/dev/hda3
/dev/hda4
/dev/hda5
/dev/hda6
/dev/hda7
/dev/hda8
/boot
ext4
/
ext4
/home ext4
/usr
ext4
/tmp
ext4
/var
ext4
/var/log ext4
defaults,nosuid
defaults
defaults,nosuid,noexec
defaults,nosuid
defaults,nosuid,noexec
defaults,nosuid,noexec
defaults,nosuid,noexec,noatime
Hardening no Sistema
Os pacotes precisam vir de uma fonte
segura:
# vim /etc/apt/sources.list
deb http://ftp.br.debian.org/debian/ squeeze main
Para garantir que a fonte é segura:
# apt-get install debian-keyring
Hardening no Sistema
Escolha cuidadosamente os pacotes que deverão ser
instalados e desinstalados
– Exemplo:
Lynx – cliente http/ftp que possibilita transferência de malwares
Wget – cliente http/ftp que possibilita transferência de malwares
Netcat (nc) – canivete suíço que possibilita transferência de
malwares ou até mesmo criar backdoors
Hping – montador de pacotes – que possibilita criar backdoors via
rawsocket
Remoção de Programas e
Serviços Desnecessários
Primeiramente, deve-se fazer uma pesquisa por todos
os pacotes e suas versões instalados no sistema,
fazendo uma lista para ser melhor analisado.
No Debian:
$ sudo dpkg -l | awk '{print $2, $3}' | sed '1,5d' > /root/pacotes
$ sudo cat /root/pacotes
No Red Hat:
rpm -qa
Protegendo o GRUB
Arquivo de Configuração do GRUB é /boot/grub/grub.cfg mas é aconselhável a sua
modificação e compilação através de seus módulos.
Incluir/alterar a variável timeout=0 no arquivo /etc/default/grub , para não mostrar
menu.
$ sudo vim /etc/default/grub
Gerar hash da senha SHA512 por meio do comando:
#grub-mkpasswd-pbkdf2
Enter password:
Reenter password:
Your PBKDF2 is
grub.pbkdf2.sha512.10000.706A070CD168B759801D2790C6D48D5C3842
B9165CF08600918CD9A496B6BFF9CD9BB8F7C99DEC431DF3AD0D4667
09ECE041FC00C5C1B58F00A879E0322959B7.6FC5058001DFFC1CD6B35
F9A5DA66ED6C8745E4999E064E712C9BF302E8F2547CD0B591C33A34
0F229FD79D2252E23CFC41410C9A3300537E54C9CE6F7008100
Protegendo o GRUB
Adicionando o código de proteção abaixo no final do arquivo /etc/grub.d/00_header
Código:
cat << EOF
set superusers="testuser"
password_pbkdf2 testuser
grub.pbkdf2.sha512.10000.706A070CD168B759801D2790C6D48D5C3842B9165
CF08600918CD9A496B6BFF9CD9BB8F7C99DEC431DF3AD0D466709ECE041FC
00C5C1B58F00A879E0322959B7.6FC5058001DFFC1CD6B35F9A5DA66ED6C87
45E4999E064E712C9BF302E8F2547CD0B591C33A340F229FD79D2252E23CF
C41410C9A3300537E54C9CE6F7008100
EOF
Onde: testuser e o usuário que pode editar o arquivo e grub.pbkdf2.sha512... e a
senha do testuser;
Execute agora:
$ sudo update-grub
Dessa forma o arquivo /boot/grub/grub.cfg será recompilado e terá adicionado a proteção
Desabilitar Ctrl-Alt-Delete
Sabemos que pressionando Ctrl-Alt-Delete
reiniciamos o sistema então devemos prevenir que
a máquina seja reinicializada.
Abra e edite o seguinte arquivo:
$ sudo vim /etc/inittab
ca:12345:ctrlaltdel:/sbin/shutdown-t1-a-rnow
Comentar ou modificara ação:
ca:12345:ctrlaltdel:/bin/echo“Control+Alt+Del desativado”
Bloquear login do root nos
terminais de texto
Edite o arquivo /etc/securetty e procure a seção
Virtual consoles.
#tty1
#tty2
#tty3
#tty4
#tty5
...
Bloquear o Terminal
A variável TMOUT do ambiente BASH é que
controla em quanto tempo o terminal será
deslogado em caso de desuso. Não vem
definida por padrão em sistemas Linux.
Podemos setá-la provisoria e manualmente:
$ TMOUT=15
Ou, definitivamente, inserido-a ao final do
arquivo /etc/profile
Bloquear o Terminal
vlock é um programa para bloquear uma ou
mais sessões no console do Linux.
$ vlock
Bloquear todas os terminais
$ vlock -a
Controles de Sudo
Com o sudo, pode-se definir que comandos cada
usuário comum pode executar como se fosse root
# apt-get install sudo
O arquivo de configuração do sudo é /etc/sudoers
(readonly) utilize visudo para editar.
Exemplo de configuração:
teste ALL=/sbin/ifconfig, /sbin/iptables
Define que o usuário teste pode executar os comandos
ifconfig e iptables, sendo solicitada a senha de root
Controles de Sudo
Exemplo de configuração:
teste ALL=NOPASSWD: /bin/reboot, /bin/halt
Define que o usuário teste pode executar os comandos
reboot e halt, sem que seja solicitada a senha de root
Exemplo de configuração:
teste ALL=/sbin/passwd [A-Z]*,!/usr/bin/passwd root
Define que o usuário teste pode alterar a senha de
qualquer usuário cujo login estiver no intervalo de A-Z,
exceto a senha de root
Controle de Sudo
Cuidado com o SUBSHELL
- less
- vim
- more
- etc
Exemplo:
$ sudo vim /etc/services
(tecle esc e digite)
:!bash
Controle de Sudo
Edite o arquivo /etc/sudoers.d/teste
teste ALL = (root) NOPASSWD: sudoedit /etc/services
Tente fazer o subshell
$ sudoedit /etc/services
(tecle esc e digite novamente)
:!bash
Limite de Recursos
:(){ :|:& };:
Limite de Recursos
Por padrão, qual o número máximo de processos que podem
ser executados ao mesmo tempo?
$ sudo ulimit -u
unlimited
Qual o tempo máximo de uso de cpu?
$ sudo ulimit-t
unlimited
Qual o tamanho máximo de arquivo que os usuários podem
criar?
$ sudo ulimit-f
unlimited
Limite de Recursos
Limitando por usuário
$ sudo vim /etc/security/limits.conf
<usuario/grupo> <tipo_de_limite> <recurso> <valor_do_limite>
* hard nproc 100
* soft nproc 70
* hard cpu 480
* hard fsize 100000
* hard maxlogins 2
* hard rss 100000
Bastille Hardening
É um programa de Hardening para S.O, que configura-o de forma
proativa para aumentar a segurança e diminuir sua suscetibilidade
à comprometimentos.
modo hardening padrão, questiona de forma interativa, explicando
cada tópico questionado, construindo uma política baseada nas
respostas do administrador.modo hardening padrão, questiona de
forma interativa, explicando cada tópico questionado, construindo
uma política baseada nas respostas do administrado.
Suporte para Linux, Mac OS X e HP-UX
Modo automático ou manual
Bastille Hardening
Terminal:
$ sudo bastille -c
Grafico:
$ sudo bastille -x
Recomendação
OBRIGADO!!!
?