CheckList de Segurança Linux

Voltar

autoria: Hugo Cisneiros

Limite o numero de programas que necessitem SUID root no seu sistema.
Programas SUID root são programas que quando rodam, rodam no nível de root (Deus no mundo do UNIX). Algumas vezes e’ preciso mas muitas vezes não. Os programas SUID root podem fazer qualquer coisa que o root pode tendo um alto nível de responsabilidade a nível de seguranca. As vezes eles fazem, as vezes não e quando não fazem, usuários podem as vezes pegar o root para fazer coisas que nem pode imaginar. Aqui e’ onde entram os exploits. Um exploit e’ um programa ou script que vai pegar o SUID root para fazer muita coisa ruim. (Dar shells de root, pegar arquivos de senhas, ler mails de outras pessoas, deletar arquivos).

Rodando programas com privilegio mínimo no acesso.
Como foi dito antes, alguns programas não precisam de root para rodá-los , mas precisam de um alto acesso para o usuario normal. Aqui e’ onde comeca a idéia do privilegio mínimo de acesso. Por exemplo, a LP (linha de impressora) possui comandos que precisam de alto acesso para o usuário normal (para acessar a impressora), mas não precisa rodá-los como root. Então, uma pequena coisa a fazer e’ criar um usuário (/bin/true como shell) e um grupo chamado lp e fazer com que qualquer usuário possa rodar qualquer dos comandos de LP e fazer tudo com os comandos LP que tiverem como owner e grupo o lp. Isto fará com que o lp possa fazer seu trabalho (administre as impressoras). Então se o usuário lp estiver compromissado, o invasor realmente não vai dar um passo de root no seu sistema. Agora paraalguns programas que são SUID root, crie um usuário e um grupo para o programa. Entretanto, algumas pessoas se enro lam quando botam a maioria desses programas SUID no mesmo usuário e grupo. Isto e’ ruim! Realmente ruim!. O que você precisa fazer e’ botar todo o pro grama que inicie como root para usuário de privilegio mínimo.

Desabilitando serviços que você não precisa ou não usa.
Se você não usa rpc.mountd, rpc.nfsd ou outros daemons parecidos, não rode-os. Simplesmente kill -9 nele e va nos scripts em /etc/rc.d e comente-os. Isto aumentara a memória, CPU e e’ um meio de se prevenir de invasores que tentam obter informações sobre seu sistema e, claro, pegar root nele. Tenha sempre os mais recentes /lib’s.
Os arquivos em /lib’s são códigos share, quando um programa precisa de uma certa peca do codigo, ele simplesmente vai e pega este código (assumindo que este não esta compilado no código). A vantagem não seria outra; Programas são compilados menores, se uma peca do código lib esta desaparecida, vc pode simplesmente fazer um upgrade.
Desvantagens; o código desaparecido em /lib vai afetar alguns programas e se um invasor por suas maos no lib’s, vc realmente estará com dificuldades.
A melhor coisa a fazer corretamente os upgrades para as lib’s e checar o tamanho e data freqüentemente nas alterações.

Encriptando nas conexões.
O pacote Sniffing e’ simplesmente o melhor meio para pegar passwords. O sniffer se acomoda em uma maquina, em uma subrede não encriptada e o rendimento será centenas de passwords. Nao somente dos computadores locais, mas também de outras redes de computadores. Agora você pode dizer para você mesmo, “Mas eu tenho Firewall na minha
rede, então estou seguro”. “Besteira”. Um estudo recente mostrou que uma parte dos sniffers atacam por trás dos firewalls. (O “bom lado”). Veja alguns programas seguros da lista de pacotes de encriptacao fora daqui.

Instale wrappers para /bin/login e outros programas.
Wrappers são programas pequenos mas muito eficientes que filtram o que esta sendo enviado para o programa. O login wrapper “remove todas as instancias de varias variáveis do ambiente” e o wrapper do sendmail faz mais ou menos o mesmo.

Mantenha seu Kernel na ultima versão estável.
Esta dica realmente e’ aplicada a pessoas que possuem usuários no seu sistema. Kernels antigos possuem seus bugs conhecidos por qualquer pessoa e as vezes são muito instáveis. Veja o ldt-exploit.c. Kernels 2.0.X tendem a serem mais rápidos que os 1.2.X e, e’ claro, mais estaveis.
Quando estiver configurando seu kernel somente compile no código o que você precisar.
Quantas razoes vem em mente: O Kernel vai ficar mais rápido (menos códigos para rodar), você vai ter mais memória, ficara mais estável e partes não necessárias poderão ser usadas por um invasor para obter acesso em outras maquinas.

Deixe o pessoal do lado de fora saber o mínimo possível sobre seu sistema.
Um simples finger para o sistema da vitima pode revelar muitas coisas sobre seu sistema; Quantas usuários, quando o admin esta dentro, ver o que ele esta fazendo, quem ele e’, quem usa o sistema e informações pessoais que podem ajudar um invasor a conseguir senhas de usuários. Você pode usar um po tente finger daemon e limitar quem pode conectar ao seu sistema e exibir o mínimo possível sobre seu sistema.

Escolha boas senhas.
Simplesmente ponha, senhas ruins e’ a chave para penetrar em seu siste ma. Se você instalar o shadow em uma Box, você pode escolher para filtrar senhas ruins, tipo login: kewl, password: kewl, esta senha já não seria aceita, e isto e’ uma boa idéia.
Sempre que você tiver uma pequena quantidade de pessoas no seu sistema, e eles são amigos, algum usuário não convidado pode obter root e fazer um `rm -rf /’.

Se você puder, limite quem pode conectar ao seu Linux.
Se possível, bloqueie o acesso telnet de fora da subrede. Certamente que seja mais seguro e você vai ter a sorte de não ter seu sistema danifica do por estranhos.


Programas para segurança

A importância dos programas e’ a ordem. E melhor você instalá-los antes que alguém,
clicando um botão, pode transformar seu sistema numa tragedia.
Use seu melhor julgamento.

Shadow In A Box
As ultimas versões do Slackware já possuem suporte ao Shadow Passwording dentro. Mas este esta desatualizado. O mesmo que não tê-lo !. Então, criei um link para o local onde ele se encontra. Procure pelo shadow pois os atualizados nunca ficam com o mesmo nome e com isso o link não funcionaria.

The NetKit’s
É um pacote que possui vários programas destinados a segurança do sistema. Mas não rode os serviços que você não vai utilizar!

Tcp Wrappers
Alguns dos daemons que vem junto com algumas distribuicoes do Linux não são muito boas em fazer log, e alguns daemons não fazem nenhum log. Então, este e’ o Tcp Wrappers. Antes que qualquer aplicativo TCP possa conectar, este pode ser processado pelo Tcp Wrappers para checar se a pessoa que esta chamando esta banida de conexao. (via /etc/hosts.allow e /etc/hosts.deny). Ele e’ muito bom se você deseja limitar quem pode conectar nos seus sites. Ele roda na maioria dos sistemas Linux.

Crack 5.0a
Apenas porque possui seus passwords shadowed, não quer dizer que alguns usuários não podem Pegá-los. Se você forçar os usuários a escolherem boas senhas, as chances de alguém pegar seu arquivo de senhas shadow e conseguir algumas senhas para acesso no sistema diminuem bastante. Crack 5.0a fixa este problema crackeando seus passwords com dicionários e exibe informações sobre senhas encontradas no arquivo passwd.

Tripwire
Bom, se alguém invade seu sistema e você não tem idéia de quais arquivos foram modificados ou instalados cavalos de troia! bom, se você tiver o Tripwire instalado, configurado corretamente, e tem um arquivo de configuração atua lizado, você poderá saber. Tripwire scaneia o sistema e checa os tamanhos, datas e outras coisas sobre os arquivos exibindo todos os arquivos que tiveram algumas de suas características alteradas.

COPS 1.04
Este pacote vem do famoso Dan Farmem e tem algumas utilidades. Ele contem alguns programas de segurança e também alguns script para ajudar você a proteger seu sistema. Nao deixe de ver.

Secure Shell Home Page Secure shell daemon.
Grande utilitário para enciptacao de conexões. Util para evitar que hackers observem suas conexões. Provem de autenticação, faz segurança em conexões de xwindows ( MUITO LEGAL !) e em alguns casos faz segurança em conexões telnet e muito mais.

qmail Okay
Neste caso temos apenas duas palavras a dizer: SENDMAIL SUCKS! Ele e lento, cheio de bugs e falhas de segurança, melhor, não tem senso de segurança e eh um pedaco de merda. Qmail eh um programa menor, mais rápido e muito mais seguro que o sendmail e não possui nenhum dos problemas de segurança que o sendmail possui. Qmail pode fazer tudo o que o sendmail pode fazer, exceto dar acesso root :) e não requer um PHd para configurar.

Fefe’s finger daemon
Um simples e pratico finger deamon que eh tudo o que você precisa. As opcoes mais legais são: Não necessita de root para rodar, não revela muito sobre o usuário (ultimo acesso, mail, shell), não permite finger no sistema, faz log total e previne certos tipos de ataques de usuários locais.

Sendmail
Por segurança, não pegue isto. Delete sendmail e instale o Qmail. Mas se você insiste, aqui tem um link para a última versão do sendmail.

xinetd
Um programa para substituir pelo famoso inetd. Inetd observa portas e inicializa programas quando alguém conecta em alguma das portas. Xinetd oferece mais mais controle e configuração sobre suas portas do que o inetd e eh mais seguro também.

lsof
Lista todos os arquivos abertos no seu Linux. Bom para prevenir algum tipo de ataque. Este programa vai dizer a você se alguma coisa esta rodando um sniffer e ele vai logar tudo sobre o invasor em seus arquivos de log.

pidentd 2.5.1
Outro inetd daemon que eh mais configurável e seguro que o simples inetd do Linux.

rhosts.dodgy
Este script vai checar o seu .rhosts por ‘+ +’ e outras coisas que nunca poderiam estar nele. Eh escrito em perl e eh facilmente configurado. Ponha ele em seu contrab e ele fará a checagem a cada 15 minutos.

ICMPinfo 1.11
Idem ao TCP Dump, exceto que as palavras trabalham com pacotes ICMP (Ping). Este programa detecta qualquer tipo de pacote ICMP enviado a você.

TCP Dump Mostra a você uma grande quantidade de informações sobre todas as suas conexões via TCP. Isto serve para administradores de sistema. Rode-o durante um ataque e o atacante será exibido e logado.

Voltar

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s