Trabalhar com segurança de informação, ou pelo menos pesquisar, estudar e testar muito isso, requer fazer alguns procedimentos para que a máquina não facilite a vida de um possÃvel visitante indesejado. Antes de pensar em ferramentas, precisamos pensar na máquina crua, no post_install().
Primeiro de tudo, independente da distribuição, a maioria dos arquivos base são os mesmos, como fstab, login.defs, securetty… Então, vamos precisar melhorar o que vem de genérico numa instalação, pois você em seu desktop pode não se incomodar em ter alguns padrões no seu linux, mas um sysadmin precisa se preocupar.
Tudo é questão de configuração geral, então estaremos tratando do diretório /etc lógico. Começe pelos seguintes arquivos:
login.defs:
#Permite uma nova tentativa de login em 5 segundos no caso de falha
FAIL_DELAY 5
#Registra também contas de usuário falsas quando há tentativas de login com falhas
LOG_UNKFAIL_ENAB yes
#Registra também logins realizados com sucesso
LOG_OK_LOGINS yes
#Define /var/log/sulog como arquivo que detêm os registros do uso de su
SULOG_FILE /var/log/sulog
#Registra tentativas de mudança de usuário
SYSLOG_SU_ENAB yes
host.conf:
#Procura os nomes primeiro no DNS, depois no arquivo local
order bind, hosts
#Retorna todos os endereços válidos para uma máquina
multi on
#Tenta impedir spoofing de hostname
nospoof on
#Gera mensagem de alerta no caso de spoofing utilizando o syslog
spoofalert on
securetty:
# cp /etc/securetty{,.old}
# >/etc/securetty
#Permite que o root logue apenas uma vez em apenas um terminal
#Se você não quer que o root faça login, comente as linhas abaixo
console
vc/1
shells:
#Habilite somente os shells que você usa
/bin/bash
/bin/sh
#Somente se você usar screen
/bin/screen
Desative o suid em partições home, var, tmp:
fstab:
Utilize as opções abaixo nas respectivas partições:
/var nosuid,nodev,noexec /home nosuid,nodev /usr nodev
#Exemplo de partição:
/dev/sdb1 /home reiserfs nodev,nosuid,auto 1 2
Retire todos os usuários que não possuem shell válida e são inúteis (como games, irc, list, lp etc).
Você deve impedir reinicalização com ctrl+alt+del (após isso, precisa fazer #init q):
inittab:
#Comentar a linha abaixo:
#a::ctrlaltdel:/sbin/shutdown -t3 -r now
Configure o ntp para sincronizar hora em um dos servidores da RNP (eu os considero muito confiáveis).
Adicione o conteúdo abaixo no /etc/profile:
TMOUT=3600
export TMOUT
ssh/sshd_config:
#Configure uma porta diferente da 22
Port 2130
#Por favor, utilize a versão 2…
Protocol 2
#Define o tempo máximo que o usuário tem para digitar a senha
LoginGraceTime 30
#Não permite que root logue via ssh
PermitRootLogin no
#Não permite senhas em branco
PermitEmptyPasswords no
#Impede que se use a interface gráfica via ssh
X11Forwarding no
Continua no próximo capÃtulo…
em 
em 
em 
Parabéns Even !
Otimas dicas…
Principalmente para usuários que não conhecem este tipo de conffiguracao do sistema, ou nem estavam ligados nisto ! hehehe
Infelizmente, no mundo da informatica, temos que fazer como fazemos em nossas casas: ficar presos, nos trancafiar, viver dentro de grades e arames farpados ! E os bandidos estão soltos por ai …
:-/
Parabéns !
[...] por Kessia Pinheiro (kessiapinheiroΘgmail·com) – referência [...]
eu li td, sensacional
Excelentes dicas, fundamentais para que administra servires Linux.
Ótimo. Gostei pra caramba.
Pena que o user básico fica sem saber dessas coisas. Seria interessante se alguém implementasse uma interface para essas configs mais avançadas…
Espero ansioso pelo próximo capÃtulo!!!!
[...] por Kessia Pinheiro (kessiapinheiroΘgmail·com) – referência [...]
Muito bom. Houve no passado uma revista só de segurança da informação que tinha por objetivos fornecer essas “dicas”. É difÃcil achar na internet esses assuntos mostrados aqui de forma direta e objetiva.
Parabéns.
É difÃcil achar esse tipo de conteúdo em português e bem direto ao ponto como você fez.
Muito bom.
[...] Even me… @ Melhore a segurança de seu Linux I [...]
“Trabalhar com segurança de informação, ou pelo menos pesquisar, estudar e testar muito isso, requer fazer alguns procedimentos para que a máquina não facilite a vida de um possÃvel visitante indesejado.”
Aff…
Isso tudo é pra PARECER que sabe alguma coisa ou vc relamente se engana?
Bons conselhos! Pena que muitos não os sigam!