[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Este apêndice retrata resumidamente os pontos de outras seções neste manual em
um checklist no formato. A idéia é disponibilizar um sumário para a pessoa que
já leu o manual buscar uma informação rapidamente. Existem outros checklists
bons disponíveis, incluindo o Securing
Linux Step by Step
de Kurt Seifried e CERT's Unix Security
Checklist
.
FIXME: Isso é baseado na versão 1.4 do manual e talvez precise de atualização.
Limite o acesso físico e as capacidade de inicialização
Ative a senha de BIOS
Desative a inicialização por floppy/cdrom/...
Configure uma senha para o LILO ou GRUB (/etc/lilo.conf
ou
/boot/grub/menu.lst
, respectivamente); verifique se o arquivo de
configuração do LILO ou GRUB está protegido contra gravação.
Não permita a inicialização MBR pelo disquete sobrescrevendo a MBR (talvez não?)
Particionamento
Separe os dados de escrita do usuário, dados que não são do sistema, e dados que são trocados rapidamente em tempo de execução para suas próprias partições
Configure as opções de mount nosuid,noexec,nodev em
/etc/fstab
na partições ext2 como /tmp
.
Higiene de senhas e segurança no login
Configure uma senha segura para o super-usuário
Ative o MD5 e o shadow de senha
Instale e use o PAM
Adicione suporte MD5 para o PAM e tenha certeza que (falando de forma
generalizada) as entradas nos arquivos em /etc/pam.d/
que garantem
acesso à máquina tenham o segundo campo configurado como requisite
ou required.
Modifique o /etc/pam.d/login
para permite somente logins locais
para o super-usuário.
Também marque tty:s autorizado em /etc/security/access.conf
e
geralmente configure este arquivo para limitar ao máximo possível o login do
super-usuário.
Adicione o módulo pam_limits.so se você deseja configurar os limites por usuários
Modifique /etc/pam.d/passwd
: configure o tamanho mínimo para as
senhas (6 caracteres talvez) e ative o MD5
Adicione o grupo wheel para /etc/group
se desejar; adicione a
entrada pam_wheel.so group=wheel para /etc/pam.d/su
Para controles customizados por usuários, utilize o módulo pam_listfile.so
Tenha um arquivo /etc/pam.d/other
e o configure com um grau de
segurança reforçado
Configure limites em /etc/security/limits.conf
(note que
/etc/limits
não é usado se você já estiver usando o PAM)
Aumente a segurança em /etc/login.defs
; também, se você ativar o
MD5 e/ou PAM, tenha certeza de fazer também as alterações correspondentes aqui,
também
Desative o acesso ftp ao super-usuário em /etc/ftpusers
Desative login de rede ao super-usuário; use o su(1)
ou
sudo(1)
. (considere instalar o sudo
)
Usar o PAM para reforçar barreiras adicionais aos logins?
Outras questões de segurança local
Modificações no kernel (veja Configurando características de rede do kernel, Seção 4.17.1)
Patches no Kernel (veja Adicionando patches no kernel, Seção 4.13)
Tighten up log file permissions (/var/log/{last,fail}log
, Apache
logs)
Certifique-se que a verificação SETUID está ativada em
/etc/checksecurity.conf
Considere configurar alguns arquivos de logs como somente append e os arquivo de configuração imutáveis, usando o comando chattr (somente para arquivos ext2)
Configurar a integridade de arquivo (veja Verificando a integridade do sistema de
arquivos, Seção 4.16.3). Instale debsums
Efetuar o log de tudo em uma impressora local?
Gravar suas configurações em um CD inicializável e boof off?
Desativar os módulos do kernel?
Limitar acesso a rede
Instale e configure ssh
(sugiro PermitRootLogin No em
/etc/ssh/sshd_config
, PermitEmptyPasswords No; note outras
sugestões também no texto)
Considere desativar ou excluir in.telnetd
Geralmente, desative serviços desnecessários em /etc/inetd.conf
usando o comando update-inetd --disable
(ou desative
inetd
completamente, ou use o um substituto como
xinetd
ou rlinetd
)
Desative outros serviços de rede desnecessários; mail, ftp, DNS, WWW etc não devem estar sendo executados se você não precisa deles e monitore-os regularmente.
Para aqueles serviços que você precisa, não use os programas mais comuns, procure por versões mais seguras distribuídas com o Debian (ou de outras fontes). Seja lá o que você for parar de executar, tenha certeza que você entende os riscos.
Configure jaula chroot
para usuários externos e daemons.
Configure firewall e tcpwrappers (i.e. hosts_access(5)
); note o
truque para /etc/hosts.deny
no texto.
Se você executa o ftp, configure seu servidor ftpd sempre para executar enjaulado para o diretório home dos usuários
Se você executa X, desative a autenticação xhost e use-o com ssh
;
melhor ainda, se puder desative o X (adicione -nolisten tcp para a linha de
comando do X e desligue o XDMCP no /etc/X11/xdm/xdm-config
configurando requestPort para 0)
Desative acesso externo para as impressoras
Use tunelamento para qualquer sessão IMAP ou POP através do SSL ou
ssh
; instale stuneel se você quer fornecer este serviços para
usuários de mail externos
Configure um host de log e configure as outras máquinas para enviar logs para
esse host (/etc/syslog.conf
)
Torne seguro o BIND, Sendmail, e outros daemons complexos (execute-os com uma
jaulachroot
; execute como um pseudo-usuário não root)
Instale o snort ou uma ferramenta similar para log.
Faça sem NIS ou RPC se puder (desative portmap).
Políticas de segurança
Eduque os usuários sobre os porquês e comos de suas políticas. Quando você proíbe algo que está disponível regularmente em outros sistemas, forneça uma documentação que explique como obter resultados similares através de outros meios mais seguros.
Proíba o uso de protocolos que utilizam senhas em texto plano
(telnet
, rsh
e similares; ftp, imap, http, ...).
Proíba programas que usam SVGAlib.
Use cotas de disco.
Mantenha-se informado sobre questões relacionadas à segurança
Inscreva-se em listas de discussão sobre segurança
Configure apt
para atualização de segurança -- adicione no arquivo
/etc/apt/sources.list
uma entrada (ou entradas) para
http://security.debian.org/debian-security
Também lembre-se de executar periodicamente os comandos apt-get update ;
apt-get upgrade
(talvez instalar como um job no cron
?) como
explicado em Executar uma
atualização de segurança, Seção 4.2.
[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Securing Debian Manual
v3.1,mailto:jfs@debian.org