10.2.08

Melhore a segurança de seu Linux I

Trabalhar com segurança de informação, ou pelo menos pesquisar, estudar e testar muito isso, requer fazer alguns procedimentos para que a máquina não facilite a vida de um possível visitante indesejado. Antes de pensar em ferramentas, precisamos pensar na máquina crua, no post_install().

Primeiro de tudo, independente da distribuição, a maioria dos arquivos base são os mesmos, como fstab, login.defs, securetty… Então, vamos precisar melhorar o que vem de genérico numa instalação, pois você em seu desktop pode não se incomodar em ter alguns padrões no seu linux, mas um sysadmin precisa se preocupar.

Tudo é questão de configuração geral, então estaremos tratando do diretório /etc lógico. Começe pelos seguintes arquivos:

login.defs:

#Permite uma nova tentativa de login em 5 segundos no caso de falha
FAIL_DELAY 5
#Registra também contas de usuário falsas quando há tentativas de login com falhas
LOG_UNKFAIL_ENAB yes
#Registra também logins realizados com sucesso
LOG_OK_LOGINS yes
#Define /var/log/sulog como arquivo que detêm os registros do uso de su
SULOG_FILE /var/log/sulog
#Registra tentativas de mudança de usuário
SYSLOG_SU_ENAB yes

host.conf:

#Procura os nomes primeiro no DNS, depois no arquivo local
order bind, hosts
#Retorna todos os endereços válidos para uma máquina
multi on
#Tenta impedir spoofing de hostname
nospoof on
#Gera mensagem de alerta no caso de spoofing utilizando o syslog
spoofalert on

securetty:

# cp /etc/securetty{,.old}
# >/etc/securetty

#Permite que o root logue apenas uma vez em apenas um terminal
#Se você não quer que o root faça login, comente as linhas abaixo
console
vc/1

shells:

#Habilite somente os shells que você usa
/bin/bash
/bin/sh

#Somente se você usar screen
/bin/screen

Desative o suid em partições home, var, tmp:

fstab:
Utilize as opções abaixo nas respectivas partições:

/var	        nosuid,nodev,noexec
/home           nosuid,nodev
/usr	        nodev

#Exemplo de partição:
/dev/sdb1 /home reiserfs nodev,nosuid,auto 1 2

Retire todos os usuários que não possuem shell válida e são inúteis (como games, irc, list, lp etc).

Você deve impedir reinicalização com ctrl+alt+del (após isso, precisa fazer #init q):

inittab:

#Comentar a linha abaixo:
#a::ctrlaltdel:/sbin/shutdown -t3 -r now

Configure o ntp para sincronizar hora em um dos servidores da RNP (eu os considero muito confiáveis).

Adicione o conteúdo abaixo no /etc/profile:

TMOUT=3600
export TMOUT

ssh/sshd_config:

#Configure uma porta diferente da 22
Port 2130
#Por favor, utilize a versão 2…
Protocol 2
#Define o tempo máximo que o usuário tem para digitar a senha
LoginGraceTime 30
#Não permite que root logue via ssh
PermitRootLogin no
#Não permite senhas em branco
PermitEmptyPasswords no
#Impede que se use a interface gráfica via ssh
X11Forwarding no

Continua no próximo capítulo…

02.25.08

VirtualBox, configurações de rede

Aproveitando o gancho do Hugo Dória com o Instalando o virtualbox no Arch Linux, vamos à parte chata boa.

Começando pela configuração de rede, que depende do que você deseja para sua guest machine. O vbox disponibiliza 3 tipos: Network Address Translation (NAT), Host Inferface (bridge) e Internal Networking (bridge seguro).

Read the rest of this entry »