Hardening de servidores
Publicado por Leonardo Gomes Duarte em 02/02/2010
[ Hits: 19.838 ]
Blog: http://duarteleo.wordpress.com
Hardening de servidores
Hoje escrevo este texto mais básico sobre hardening de servidores que apenas irá descrever o que é e como funciona. Posteriormente irei escrever algumas práticas de hardening para servidores Linux.
A definição de hardening segundo o site Wikipédia é:
"Hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas - com foco na infra-estrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque."
Este conceito, pelo que é visto, é muito amplo e genérico nos possibilitando o ingresso em diversas áreas da tecnologia. Ao meu ver para se ter um hardening efetivo devemos sempre ter especialistas em cada assunto que é abordado por um servidor específico, como por exemplo um servidor de aplicação web. Neste tipo de servidor temos diversas ferramentas envolvidas desde o sistema operacional até bancos de dados etc.
No ambiente Linux podemos citar por exemplo um S.O. SUSE Linux Enterprise ou RedHat Enterprise, para este item é necessário um especialista para fazer o hardening bem feito, porém "rodando" sobre ele temos ainda, no caso de um servidor de aplicação web um Apache, Tomcat ou Jboss e um software de banco de dados como por exemplo um MySQL, um Oracle, um postgres, e para cada software deste recomendo, por experiência própria, um especialista para realizar o hardening devido a diversos pontos de muita especificidade de cada software citado.
Atualmente é muito difícil e caro achar um profissional que tenha especialidade em todos os ramos e softwares envolvidos em um ambiente tecnológico, isto se não podemos dizer que é impossível. Este fato nos remete a achar que os hardenings efetuados nas empresas atualmente são ineficientes, porém isto não é verdade, todo e qualquer hardening, por mais superficial que seja, é de grande valia.
Vemos muitas empresas que ainda nem começaram o processo e utilizam usuários padrões sem senha, acessos ssh com configuração padrão, sistemas operacionais com serviços desnecessários escutando em portas padrões, nestes casos é fundamental que ao menos um hardening básico e superficial seja efetuado e este pode ser realizado por um profissional com conhecimentos relativamente básicos sobre o ambiente da empresa.
Escreverei em breve algumas técnicas de hardening de servidores Linux.
Att.
Leonardo Gomes Duarte.
Serviços desnecessários rodando no S.O. são um risco
Introdução à prática de informática
Winffi - Conversor de vídeo no Debian Wheezy 7.8
Instalando cvs + cvsd no Ubuntu
Atalhos no teclado para o console
Parabens cara valee pelas palavras ... estarei acompanhado seus topico...
abração
O problema é que hoje em dia o pessoal vende como Hardening, como "segurança em aplicativos(apache/mysql)" que estão rodando, mas esquecem de coisas básicas como por exemplo
- Login de Root no SSH habilitado
- SSH na porta default
- /tmp em servers DEVEM ser colocados em partição diferente com atributo -noexec no fstab(pra evitar execução/compilação de exploits)
- Não instalar COMPILADORES em máquinas de produção(gcc, nem pensar)
- Grupo com acesso ao SU(criar)
- Usuários "system" com Shell válida
...e por aí vai. Acho que o colega Leonardo vai falar mais sobre isso =)
cara adorei seu post
estou começando meu ultimo ano de faculdade ciência da computação e eu ainda estou com duvidas em que fazer meu tcc
lendo sobre o que disse me interessei muito no hardening....
e também estou usando o linux a um ano e estou cada dia me apaixonando mais por ele!
abraçoss vou continuar seguindo seus topicos, nao pare de postar vlw!
É isso ai pessoal, hardening hoje em dia é um assunto muito importante e como vi isto mais aprofundado na minha pós espero poder transmitir isto a nossa comunidade VOL.
Estou com meu tempo um tanto quanto corrigo mas tentarei sempre manter meus assuntos em dia com a comunidade!
Matheus.gnu, pra você que está fazendo seu TCC se tiver interesse em desenvolver este tema terei um enorme prazer em ajuda-lo.
Deem uma olhada depois no meu site ( http://duarteleo.wordpress.com ), estou colocando algumas coisas interessantes por lá também.
Att.
Leonardo Gomes Duarte.
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.088 pts -
Fábio Berbert de Paula
2° lugar - 48.473 pts -
Buckminster
3° lugar - 18.390 pts -
Mauricio Ferrari
4° lugar - 14.585 pts -
Alberto Federman Neto.
5° lugar - 13.312 pts -
Diego Mendes Rodrigues
6° lugar - 12.662 pts -
Daniel Lara Souza
7° lugar - 12.520 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.866 pts -
Andre (pinduvoz)
9° lugar - 10.691 pts -
edps
10° lugar - 10.304 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
