Após vasculhar um pouco na internet procurando sobre como fazer hardening em servidores linux, encontrei varias dicas que achei interessantes e salvei em um arquivo de texto que estou compartilhando logo abaixo.
-São procedimentos e boas praticas.
####################################################
############Hardening Basico.#######################
####################################################
####################################################
Definir senha na BIOS
Deixar o boot apenas pelo HD.
####################################################
####################################################
Atualizar o sistema.
#apt-get update
#apt-get upgrade
####################################################
####################################################
# Restringir acesso ao diretório /tmp.
Criar uma partição separada para o /tmp
Editar arquivo /etc/fstab
Deixar o /tmp como noexec,nosuid. ex.
/dev/sdb7 /tmp ext3 noexec,nosuid,rw 0 2
####################################################
####################################################
# Criar partição separada para o diretorio /var
####################################################
####################################################
# Bloquear logon de usuários do sistema.
/usr/sbin/usermod -L daemon
/usr/sbin/usermod -L bin
/usr/sbin/usermod -L sys
/usr/sbin/usermod -L games
/usr/sbin/usermod -L man
/usr/sbin/usermod -L lp
/usr/sbin/usermod -L mail
/usr/sbin/usermod -L news
/usr/sbin/usermod -L uucp
/usr/sbin/usermod -L proxy
/usr/sbin/usermod -L www-data
/usr/sbin/usermod -L backup
/usr/sbin/usermod -L list
/usr/sbin/usermod -L irc
/usr/sbin/usermod -L gnats
/usr/sbin/usermod -L nobody
/usr/sbin/usermod -L libuuid
####################################################
####################################################
#Procura por usuarios com senhas em branco.
# awk -F: '($2 == "") {print}' /etc/shadow
####################################################
####################################################
#Procura usuario com ID de root.
# awk -F: '($3 == "0") {print}' /etc/passwd
#Tem que aparecer apenas o root como o exemplo abaixo.
root:x:0:0:root:/root:/bin/bash
####################################################
####################################################
#Bloquear acesso a shell de usuarios do sistema.
Edite o arquivo /etc/passwd
onde for:
proxy:x:13:13:proxy:/bin:/bin/sh
altere para:
proxy:x:13:13:proxy:/bin:/bin/null
Faça isso com todos os usuarios que não precisam de shell.
#####################################################
#####################################################
# Restringir o uso do comando su.
editar arquivo /etc/pam.d/su
descomentar a linha
# auth require pam_wheel.so
Com esta alteração apenas usuario membros do grupo root podem usar o su.
Para adicionar um usuario ao grupo root use o comando:
# usermod -G root fernando
Neste exemplo coloco o usuario fernando como root.
####################################################
####################################################
# Desativar reboot pelo ctrl+alt+del.
editar o arquivo /etc/inittab, comentar a seguite linha:
#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
####################################################
####################################################
# Restringir acesso ao diretório /etc/.
#chmod -fR o-w /etc/*
retira de terceiros a permissão de escrita sobre todos os arquivos no diretório corrente /etc.
####################################################
####################################################
#Configurações no ssh. Edite o arquivo /etc/ssh/sshd.config
# insira esta linha para permitir que apenas o usuario fernando faça logon por ssh.
allowusers fernando
# Alterar a porta padrão do ssh para uma porta alta.
Port 5568
# Forçar uso do protocolo 2.
Protocol 2
# Logar as conexões por ssh no sistema.
SyslogFacility AUTH
LogLevel INFO
# Bloquear o acesso do root por ssh.
PermitRootLogin no
# Alterar o banner de login.
Descomentar linha:
#Banner /etc/issue.net
# restarte o serviço do ssh.
/etc/init.d/ssh restart
Edite o arquivo /etc/issue.net
###########################################################
##################### A T E N C A O #######################
## ##
## Esse sistema destina-se apenas a pessoas autorizadas. ##
## ##
## Todas atividades sao logadas e verificas regularmente ##
## ##
###################### W A R N I N G ######################
## ##
## This computer system is only for authorized users. ##
## ##
## All activity is logged and regulary checked. ##
## ##
###########################################################
###########################################################
###########################################################
Banner logon local
Editar arquivo /etc/issue e colocar a mesma mensagem acima /\
###########################################################
###########################################################
Banner apos fazer o logon.
Editar arquivo /etc/motd
######################################################
## Bem vindo / Welcome ##
## Sistema monitorado / System monitored. ##
######################################################
###########################################################
###########################################################
# Bloquear o login como root no sistema.
cp /etc/securetty /etc/securetty.bpk
echo ¨null¨ > /etc/securetty
###########################################################
###########################################################
# Definir um timeout para desconectar automaticamente sessões inativas.
edite o arquivo /etc/bash.bashrc
coloque no final do arquivo:
TMOUT=1800
readonly TMOUT
export TMOUT
Salva e faça logon novamente, apos 1800 segundos=30min de inatividade a sessão será automaticamente desconectada.
###########################################################
terça-feira, 17 de maio de 2011
Instalando impressora HP LASERJET 1010 em estações XP x86
Temos uma impressora Laserjet 1010 instalada em uma estação com Windows 7 Professional x64 e existe dificuldade em imprimir a partir de uma estação com Windows XP x86. Mesmo tentando disponibilizar o driver x86 nos drivers adicionais da máquina host, não foi possível instalar a impressora. Segue abaixo os passos realizados:
- primeiramente instale a impressora na estação XP x86 como local, a hp disponibiliza o driver em: http://h20000.www2.hp.com/bizsupport/TechSupport/SoftwareDescription.jsp?lang=en&cc=us&prodTypeId=18972&prodSeriesId=306505&prodNameId=306507&swEnvOID=228&swLang=8&mode=2&taskId=135&swItem=lj-14154-2
- após instalada a impressora como local, clicar com o botão direito na impressora, propriedades, ir na aba PORTAS
- clique em adicionar porta, local port, nova porta
- no nome dessa nova porta, você coloca o endereço unc do compartilhamento da impressora (instalada no win7 x64) ex: \\financeiro\hplaserjet1010
- pronto, estará funcionando, fiz esse procedimento pois o suporte da hp para a impressora acredito que já era, mas pdoe ser utilizado em outras situações também.
Fonte:
http://troubleshootinguy.blogspot.com/2011/05/instalando-impressora-hp-laserjet-1010.html
- primeiramente instale a impressora na estação XP x86 como local, a hp disponibiliza o driver em: http://h20000.www2.hp.com/bizsupport/TechSupport/SoftwareDescription.jsp?lang=en&cc=us&prodTypeId=18972&prodSeriesId=306505&prodNameId=306507&swEnvOID=228&swLang=8&mode=2&taskId=135&swItem=lj-14154-2
- após instalada a impressora como local, clicar com o botão direito na impressora, propriedades, ir na aba PORTAS
- clique em adicionar porta, local port, nova porta
- no nome dessa nova porta, você coloca o endereço unc do compartilhamento da impressora (instalada no win7 x64) ex: \\financeiro\hplaserjet1010
- pronto, estará funcionando, fiz esse procedimento pois o suporte da hp para a impressora acredito que já era, mas pdoe ser utilizado em outras situações também.
Fonte:
http://troubleshootinguy.blogspot.com/2011/05/instalando-impressora-hp-laserjet-1010.html
Servidor 2003 mudando horário sozinho.
Normalmente quando o usuário nos relata que está com dificuldades de horário em uma máquina Windows num domínio, abrimos o prompt do dos e digitamos net time certo? Certo, o Windows retorna uma mensagem parecida com essa:
c:\windows> net time
" A hora atual em \\SERVIDOR é 17/05/2011 13:00
Comando concluído com êxito. "
Com o comando net time /set /y o horário da estação é configurada conforme o horário em \\SERVIDOR, porém e se o SERVIDOR em questão está com horário errado? De onde ele está buscando hora e data?
Como já sabemos que a estação busca o horário no \\SERVIDOR, conectamos nele, abrimos um prompt e digitamos net time /querysntp. O comando aponta de onde o servidor sincroniza hora e data, podendo ser um ip da rede ou até mesmo externo.
Caso queira alterar o apontamento do servidor SNTP, faça o seguinte:
Em pouco tempo seu ambiente estará com o horário atualizado, para forçar a atualizaçao, dentro do prompt digite:
net time /set /y
Tutorial pego no blog parceiro:
http://troubleshootinguy.blogspot.com/
c:\windows> net time
" A hora atual em \\SERVIDOR é 17/05/2011 13:00
Comando concluído com êxito. "
Com o comando net time /set /y o horário da estação é configurada conforme o horário em \\SERVIDOR, porém e se o SERVIDOR em questão está com horário errado? De onde ele está buscando hora e data?
Como já sabemos que a estação busca o horário no \\SERVIDOR, conectamos nele, abrimos um prompt e digitamos net time /querysntp. O comando aponta de onde o servidor sincroniza hora e data, podendo ser um ip da rede ou até mesmo externo.
Caso queira alterar o apontamento do servidor SNTP, faça o seguinte:
net time /setsntp:192.168.1.1 (põe o ip do servidor sntp interno ou externo)
net stop w32time
net start w32time
Em pouco tempo seu ambiente estará com o horário atualizado, para forçar a atualizaçao, dentro do prompt digite:
net time /set /y
Tutorial pego no blog parceiro:
http://troubleshootinguy.blogspot.com/
Assinar:
Postagens (Atom)