Segurança em
Servidores Linux:
Norma ISO 27002
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 2
www.4linux.com.br
Apresentação
Cesar Augusto Domingos
-Especialista em projetos de redes corporativas, administração de redes.
-Graduado em Tecnologia de Redes de Computadores pelo IMES;
-Desenvolvimento de soluções para reduções de custos em TI, projetos
de Redes e Treinamentos especializados utilizando Software Livre em
especial em Sistemas Linux para Segurança de Redes como Firewall,
Pen-Test e Seguranças baseadas na norma BS7799;
-Certificado LPIC-2 (Linux Professional Institute Nível 2);
-Gerente da área de Treinamento da empresa 4Linux.
- Um dos autores do livro BS7799 – Da tática a prática em servidores
Linux.
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 3
www.4linux.com.br
Apresentação do Curso
Trata-se de um curso de Segurança Computacional em
softwares, que propõe soluções de controles com a norma
ISO 27002, na sua versão vinculada pela ABNT, como base
de tática. Seu objetivo é exemplificar na prática como buscar
a conformidade contida na norma.
Todavia, o objetivo do curso é ser pontual, dentro do contexto
computacional, tendo como proposta a utilização de
ferramentas FOSS (Free and Open Source Software)
combinadas com o poder dos recursos do Sistema
Operacional Linux, o que possibilitará ao profissional de TI
propor modelos de segurança com ferramentas consagradas
no mundo do software livre.
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 4
www.4linux.com.br
Segurança da Informação
Qual é o bem mais importante de uma empresa?
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 5
www.4linux.com.br
A Norma ISO 27002
Esse é o metódo que podemos adotar para fazer
a segurança da informação.
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 6
www.4linux.com.br
O que é Hardening?
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 7
www.4linux.com.br
Definição de Hardening
Analisando a real tradução da palavra, Hardening significa
Endurecer-se.
Endurecer????
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 8
www.4linux.com.br
Outras definições de Hardening
- Blindagem do Sistema;
- Fortalecimento do Sistema;
- Ajuste Fino;
- Procedimentos de segurança Pós-Instalação;
- Técnicas de segurança Pós-Instalação.
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 9
www.4linux.com.br
Segurança da Informação
Podemos ter um sistema 100%
seguro??
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 10
www.4linux.com.br
3 fatores da segurança
Segurança
Segurança
Segurança
RISCO
RISCO
Risco
Flexibilidade
Flexibilidade
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 11
www.4linux.com.br
HARDENING
Segurança no Sistema de Arquivos
Pontos a serem considerados na Segurança do sistema de
arquivos:
1 – Particionamento:
As boas práticas de instalações aconselham a particonar o
disco e colocar os principais diretórios nestas partições.
Mas o diretório /tmp é um diretório importante?
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 12
www.4linux.com.br
HARDENING
Segurança no Sistema de Arquivos
2 – Opções de montagem:
Algumas opções do comando mount, podem trazer maior
segurança ao Sistema de Arquivos. Exemplos:
- noexec:
/dev/hda5 /tmp ext3 defaults,noexec 0 2
- nosuid:
/dev/hda6 /home ext3 defaults,nosuid 0 2
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 13
Lista de Montagem
www.4linux.com.br
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 14
www.4linux.com.br
HARDENING
Arquivos com permissão de Suid Bit
Mesmo não permitindo que arquivos com permissão
de Suid bit ativados não sejam aceitos nas
partições, fica a seguinte pergunta:
Será que todos os arquivos que tem permissão
de Suid bit por padrão são necessários no meu
servidor?
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 15
www.4linux.com.br
HARDENING
Arquivos com permissão de Suid Bit
- O que deve ser feito?
1 – Fazer um levantamento de todos os arquivos do
sistema que tem permissão de suid bit e deixar isso
registrado em uma lista.
2 – Tirar todas as permissões de suid bit dos arquivos
no sistema.
3 – Colocar permissão de suid bit somente nos
arquivos que realmente são necessários em seu
servidor.
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 16
HARDENING
SUID BIT
SHELL+SUID BIT =
# cp /bin/sh /home/x/sh
# chmod 4755 /home/x/sh
$ ./sh
www.4linux.com.br
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 17
www.4linux.com.br
HARDENING
Gerenciamento de Privilégios
Alguns procedimentos que devem ser levados em
consideração para Gerenciamento de Privilégios:
- Bloquear login do root;
/etc/securetty
- Determinar datas de expiração para contas de
usuários;
chage
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 18
www.4linux.com.br
HARDENING
Gerenciamento de Privilégios
- Remover shells válidas de usuários que não precisam delas
/etc/passwd
Substituir /bin/sh para /bin/false
- Executar um logout após um tempo determinado
/home/usuário/.bashrc
/etc/profile
TMOUT=180
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 19
www.4linux.com.br
HARDENING
Gerenciamento de Privilégios
- Utilizar o PAM.
Algumas funções úteis do PAM para Hardening:
- Limitar horários de login remotos e locais;
- Limitar quantidade de login's por usuário;
- Definir tamanho mínimo de senhas;
- Limitar quais usuários poderão ter acesso de root no sistema;
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 20
www.4linux.com.br
HARDENING
Gerenciamento de Privilégios
- Limitar o Comando da Morte!!!
#:(){ :|:& };:
- Esse é o comando e o PAM pode limita-lo.
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 21
www.4linux.com.br
HARDENING
Procurar por senhas fracas
Quero lhes apresentar um cara chamado
John the Ripper.
- O John é um programa de Brute Force local que pode ser
utilizado por administradores para validar se os usuários
da rede estão utilizando senhas fracas.
Mas ATENÇÃO: Muito cuidado com o John
pois ele pode ser usado contra você!!
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 22
www.4linux.com.br
HARDENING
Root sem acesso remoto
Desabilitar o login do usuário root para acesso remoto por
SSH.
PermitRootLogin no
Troca da porta padrão do ssh.
Port 2345
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 23
www.4linux.com.br
HARDENING
Check-list de serviços ativos
- Será que todos os serviços que foram instalados por
padrão são necessários nesse meu servidor ?
- Será que para o meu servidor de firewall eu preciso
deixar o serviço de e-mail instalado, deixando a porta
25/TCP aberta sem necessidade?
Segurança em Servidores Linux: Norma ISO 27002 – Slide 1- 24
www.4linux.com.br
HARDENING
Check-list de serviços ativos
Para ser feito um Check-list, algumas ferramentas podem ser utilizadas:
- netstat
- nmap
- hping
- losf
No final todos os serviços desnecessários poderem ser desativados ou
removidos.