Browsing This

Melhore a segurança de seu Linux I

Posted in outubro 2nd, 2008

Trabalhar com segurança de informação, ou pelo menos pesquisar, estudar e testar muito isso, requer fazer alguns procedimentos para que a máquina não facilite a vida de um possível visitante indesejado. Antes de pensar em ferramentas, precisamos pensar na máquina crua, no post_install().

Primeiro de tudo, independente da distribuição, a maioria dos arquivos base são os mesmos, como fstab, login.defs, securetty… Então, vamos precisar melhorar o que vem de genérico numa instalação, pois você em seu desktop pode não se incomodar em ter alguns padrões no seu linux, mas um sysadmin precisa se preocupar.

Tudo é questão de configuração geral, então estaremos tratando do diretório /etc lógico. Começe pelos seguintes arquivos:

login.defs:

#Permite uma nova tentativa de login em 5 segundos no caso de falha
FAIL_DELAY 5
#Registra também contas de usuário falsas quando há tentativas de login com falhas
LOG_UNKFAIL_ENAB yes
#Registra também logins realizados com sucesso
LOG_OK_LOGINS yes
#Define /var/log/sulog como arquivo que detêm os registros do uso de su
SULOG_FILE /var/log/sulog
#Registra tentativas de mudança de usuário
SYSLOG_SU_ENAB yes

host.conf:

#Procura os nomes primeiro no DNS, depois no arquivo local
order bind, hosts
#Retorna todos os endereços válidos para uma máquina
multi on
#Tenta impedir spoofing de hostname
nospoof on
#Gera mensagem de alerta no caso de spoofing utilizando o syslog
spoofalert on

securetty:

# cp /etc/securetty{,.old}
# >/etc/securetty

#Permite que o root logue apenas uma vez em apenas um terminal
#Se você não quer que o root faça login, comente as linhas abaixo
console
vc/1

shells:

#Habilite somente os shells que você usa
/bin/bash
/bin/sh
#Somente se você usar screen
/bin/screen

Desative o suid em partições home, var, tmp:

fstab:
Utilize as opções abaixo nas respectivas partições:

/var	        nosuid,nodev,noexec
/home           nosuid,nodev
/usr	        nodev

#Exemplo de partição:
/dev/sdb1 /home reiserfs nodev,nosuid,auto 1 2

Retire todos os usuários que não possuem shell válida e são inúteis (como games, irc, list, lp etc).

Você deve impedir reinicalização com ctrl+alt+del (após isso, precisa fazer #init q):

inittab:

#Comentar a linha abaixo:
#a::ctrlaltdel:/sbin/shutdown -t3 -r now

Configure o ntp para sincronizar hora em um dos servidores da RNP (eu os considero muito confiáveis).

Adicione o conteúdo abaixo no /etc/profile:

TMOUT=3600
export TMOUT

ssh/sshd_config:

#Configure uma porta diferente da 22
Port 2130
#Por favor, utilize a versão 2…
Protocol 2
#Define o tempo máximo que o usuário tem para digitar a senha
LoginGraceTime 30
#Não permite que root logue via ssh
PermitRootLogin no
#Não permite senhas em branco
PermitEmptyPasswords no
#Impede que se use a interface gráfica via ssh
X11Forwarding no

Continua no próximo capítulo…

(11 Comments)

11 Users Commented In " Melhore a segurança de seu Linux I "

Subscribes to this post Comment RSS or TrackBack URL

Sérgio Berlotto

says,

10-3-2008 at 10:31:33 from 200.213.60.130

Parabéns Even !
Otimas dicas…
Principalmente para usuários que não conhecem este tipo de conffiguracao do sistema, ou nem estavam ligados nisto ! hehehe

Infelizmente, no mundo da informatica, temos que fazer como fazemos em nossas casas: ficar presos, nos trancafiar, viver dentro de grades e arames farpados ! E os bandidos estão soltos por ai …
:-/
Parabéns !

crimeboy

says,

10-4-2008 at 12:36:27 from 189.105.9.111

eu li td, sensacional

Tarcísio

says,

10-4-2008 at 14:45:25 from 189.13.61.228

Excelentes dicas, fundamentais para que administra servires Linux.

Ricardo Ferreira

says,

10-4-2008 at 17:59:41 from 201.92.184.1

Ótimo. Gostei pra caramba.
Pena que o user básico fica sem saber dessas coisas. Seria interessante se alguém implementasse uma interface para essas configs mais avançadas…
Espero ansioso pelo próximo capítulo!!!!

CSAT

says,

10-5-2008 at 18:49:40 from 189.60.245.41

Muito bom. Houve no passado uma revista só de segurança da informação que tinha por objetivos fornecer essas “dicas”. É difícil achar na internet esses assuntos mostrados aqui de forma direta e objetiva.
Parabéns.

joseguilherme

says,

10-5-2008 at 19:15:08 from 189.46.251.208

É difícil achar esse tipo de conteúdo em português e bem direto ao ponto como você fez.

Muito bom.

oo_junior

says,

11-17-2008 at 13:53:53 from 200.184.168.125

“Trabalhar com segurança de informação, ou pelo menos pesquisar, estudar e testar muito isso, requer fazer alguns procedimentos para que a máquina não facilite a vida de um possível visitante indesejado.”

Aff…

Isso tudo é pra PARECER que sabe alguma coisa ou vc relamente se engana?

Jeferson Lopes

says,

12-2-2008 at 21:15:19 from 201.27.66.91

Bons conselhos! Pena que muitos não os sigam!

Trackback & Pingback

Melhore a segurança de sua instalação de Linux

love this post,

10-4-2008 at 12:03:08 from 201.91.75.133

Melhore a segurança de sua instalação de Linux | Abiyaa

love this post,

10-4-2008 at 18:20:54 from 189.38.90.16

Post-install no Linux visando segurança @ Even me... | postroll

love this post,

10-23-2008 at 16:11:59 from 209.62.88.210

Leave Your Reply Below

Sticky note: Please double check your comments before submit Please Note: The comment moderation maybe active so there is no need to resubmit your comment

Even me. . .

Browsing This

Melhore a segurança de seu Linux I

11 Users Commented In " Melhore a segurança de seu Linux I "

Trackback & Pingback

Leave Your Reply Below

About The Site

Posts Recentes

Comentários Recentes

Blogroll

FireStats

Admin