Após vasculhar um pouco na internet procurando sobre como fazer hardening em servidores linux, encontrei varias dicas que achei interessantes e salvei em um arquivo de texto que estou compartilhando logo abaixo.
-São procedimentos e boas praticas.
####################################################
############Hardening Basico.#######################
####################################################
####################################################
Definir senha na BIOS
Deixar o boot apenas pelo HD.
####################################################
####################################################
Atualizar o sistema.
#apt-get update
#apt-get upgrade
####################################################
####################################################
# Restringir acesso ao diretório /tmp.
Criar uma partição separada para o /tmp
Editar arquivo /etc/fstab
Deixar o /tmp como noexec,nosuid. ex.
/dev/sdb7 /tmp ext3 noexec,nosuid,rw 0 2
####################################################
####################################################
# Criar partição separada para o diretorio /var
####################################################
####################################################
# Bloquear logon de usuários do sistema.
/usr/sbin/usermod -L daemon
/usr/sbin/usermod -L bin
/usr/sbin/usermod -L sys
/usr/sbin/usermod -L games
/usr/sbin/usermod -L man
/usr/sbin/usermod -L lp
/usr/sbin/usermod -L mail
/usr/sbin/usermod -L news
/usr/sbin/usermod -L uucp
/usr/sbin/usermod -L proxy
/usr/sbin/usermod -L www-data
/usr/sbin/usermod -L backup
/usr/sbin/usermod -L list
/usr/sbin/usermod -L irc
/usr/sbin/usermod -L gnats
/usr/sbin/usermod -L nobody
/usr/sbin/usermod -L libuuid
####################################################
####################################################
#Procura por usuarios com senhas em branco.
# awk -F: '($2 == "") {print}' /etc/shadow
####################################################
####################################################
#Procura usuario com ID de root.
# awk -F: '($3 == "0") {print}' /etc/passwd
#Tem que aparecer apenas o root como o exemplo abaixo.
root:x:0:0:root:/root:/bin/bash
####################################################
####################################################
#Bloquear acesso a shell de usuarios do sistema.
Edite o arquivo /etc/passwd
onde for:
proxy:x:13:13:proxy:/bin:/bin/sh
altere para:
proxy:x:13:13:proxy:/bin:/bin/null
Faça isso com todos os usuarios que não precisam de shell.
#####################################################
#####################################################
# Restringir o uso do comando su.
editar arquivo /etc/pam.d/su
descomentar a linha
# auth require pam_wheel.so
Com esta alteração apenas usuario membros do grupo root podem usar o su.
Para adicionar um usuario ao grupo root use o comando:
# usermod -G root fernando
Neste exemplo coloco o usuario fernando como root.
####################################################
####################################################
# Desativar reboot pelo ctrl+alt+del.
editar o arquivo /etc/inittab, comentar a seguite linha:
#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
####################################################
####################################################
# Restringir acesso ao diretório /etc/.
#chmod -fR o-w /etc/*
retira de terceiros a permissão de escrita sobre todos os arquivos no diretório corrente /etc.
####################################################
####################################################
#Configurações no ssh. Edite o arquivo /etc/ssh/sshd.config
# insira esta linha para permitir que apenas o usuario fernando faça logon por ssh.
allowusers fernando
# Alterar a porta padrão do ssh para uma porta alta.
Port 5568
# Forçar uso do protocolo 2.
Protocol 2
# Logar as conexões por ssh no sistema.
SyslogFacility AUTH
LogLevel INFO
# Bloquear o acesso do root por ssh.
PermitRootLogin no
# Alterar o banner de login.
Descomentar linha:
#Banner /etc/issue.net
# restarte o serviço do ssh.
/etc/init.d/ssh restart
Edite o arquivo /etc/issue.net
###########################################################
##################### A T E N C A O #######################
## ##
## Esse sistema destina-se apenas a pessoas autorizadas. ##
## ##
## Todas atividades sao logadas e verificas regularmente ##
## ##
###################### W A R N I N G ######################
## ##
## This computer system is only for authorized users. ##
## ##
## All activity is logged and regulary checked. ##
## ##
###########################################################
###########################################################
###########################################################
Banner logon local
Editar arquivo /etc/issue e colocar a mesma mensagem acima /\
###########################################################
###########################################################
Banner apos fazer o logon.
Editar arquivo /etc/motd
######################################################
## Bem vindo / Welcome ##
## Sistema monitorado / System monitored. ##
######################################################
###########################################################
###########################################################
# Bloquear o login como root no sistema.
cp /etc/securetty /etc/securetty.bpk
echo ¨null¨ > /etc/securetty
###########################################################
###########################################################
# Definir um timeout para desconectar automaticamente sessões inativas.
edite o arquivo /etc/bash.bashrc
coloque no final do arquivo:
TMOUT=1800
readonly TMOUT
export TMOUT
Salva e faça logon novamente, apos 1800 segundos=30min de inatividade a sessão será automaticamente desconectada.
###########################################################
Nenhum comentário:
Postar um comentário