HARDENING CONCEITO Segundo o dicionário de inglês Michaelis hardening significa significa endurecimento . Mas, o conceito que utilizaremos será mais amplo. Hardening segundo segundo
o conceito da revista Infra Magazine Magazine hardening ou ou blindagem de sistemas, consiste na utilização de tcnicas para prover mais segurança a servidores que disponibilizam serviços e!ternos e"ou internos como por e!emplo serviços de #eb e at mesmo banco de dados.
$ardening uma tcnica de blindagem de sistemas que envolve um processo de mapeamento das ameaças, mitigação dos riscos e e!ecução das atividades corretivas com foco na infraestrutura computacional. % caracterizado por medidas e aç&es que visam proteger um determinado sistema de invasores. Segurança requer plane'amento, atualização e monitoramento permanente tanto de ferramentas quanto dos profissionais envolvidos.
PRINCIPIOS FUNDAMENTAIS DA SEGURANÇA (ara se aplicar o fortalecimento de servidores são necessários a utilização de alguns princ)pios cruciais para manter a segurança dos equipamentos. São eles* •
Minimizar os riscos + maneira mais segura para se evitar riscos * remover todas as funcionalidades necessárias e garantir um controle r)gido tudo que for instalado no equipamento servidor -!emplo* instalação padrão que possui serviços e usuários não utilizados.
•
Deesa em !roundidade (arte da proposta de utilizar camadas de tecnologia, pol)ticas e processos para proteger os sistemas, ou se'a, o administrador nunca deve confiar confiar em um nico tipo de tecnologia /nica camada0 para defender seus ativos -!emplo*
•
"i#i$%ncia 1ão fazer nada uma das maiores ameaças a segurança dos seus equipamentos. 1ão importa o quão seguros seus computadores estão nesse momento, pois, o ambiente, os requisitos e as configuraç&es mudam com o passar do tempo. % dever do administrador
incluir em suas atividades regulares de segurança o monitoramento dos sistemas /as atividades compostas do monitoramento compreendem* checagem de logs, auditoria de usuários, grupos, arquivos, procurar vulnerabilidades e outros.0.
HARDENING & P'ANE(AMENTO • • • • •
2uais serviços serão instalados3 2ual a disponibilidade necessária3 2ual a carga que devo suportar3 2uem deve ter acesso3 - se algo der errado3
HARDENING & "ANTAGENS • • • • • • • •
Mapear ameaças -vitar falhas no sistema Monitorar ob'etos maliciosos no sistema (roteger o root de acessos indevidos 4imitar o acesso dos usuários +tivar somente serviços indispensáveis no sistema +plicar controles e outros.
T)CNICAS DE HARDNING HARDENING & PRINC*PIOS +,SICOS • •
•
• •
$abilitar se dispon)vel criptografia M56 e a senha sombra / Shadow password 0 7adastrar a senha do superusuário / root- com no m)nimo 8 caracteres e comple!a /maisculas, minsculas, numricos e caracteres especiais /9,:,;,< e outros0 7riar um usuário adicional com os mesmos pr=requisitos de senha do root para garantir a segurança e evitar o acesso não autorizado ao sistema >ptar por instalaç&es min)mas ou customizadas e instalar somente os pacotes necessários ?emover todos os pacotes indese'ados como por e!emplo* @=#indo#s /gnome, Ade e outros0, pacotes de impressão e ferramentas de impressão, ferramentas de escritBrio
• •
/4ibre>ffice0, 'ogos, ferramentas #eb e outros 5esabilitar login remoto do root /serviços de ssh, ftp e outros0 Manter o sistema sempre atualizado.
O+S./ Sempre que for instalar um sistema operacional mantenha o equipamento desconectado da internet ou de qualquer rede conectada a internet. -ssa recomendação se dá pelo fato de muitas distribuiç&es terem mtodos de instalação antigos que dei!am seu sistema vulnerável e nesse momento que um atacante oportunista pode invadir seu sistema antes de concluir as atualizaç&es e os patches de correção. PROTEGENDO O CARREGADOR DE +OOT GRU+ >s carregadores de boot são responsáveis pelo controle das imagens do Cernel que são iniciadas quando o sistema iniciado ou reiniciado. Muitos usuários tem o hábito de manter versão antigas do Cernel o que pode comprometer o funcionamento do sistema caso um atacante descubra tal vulnerabilidade. > D?EF /carregador de boot0 bastante inseguro, principalmente, se o atacante obter acesso ao equipamento f)sico e reiniciar o sistema em modo monousuário / single-user 0 e obter acesso privilegiado de superusuário /root0. (ara minimizar esse problema podemos criar uma criptografada no D?EF para impedir esses acessos indevidos que se utiliza da fragilidade desse carregador de boot conforme o procedimento abai!o* GH amos gerar a senha do D?EF com o comando grub=mCpass#d=pbCdfJ 5igite a senha e confirme novamente para gerar a senha. > resultado será uma tela como a seguinte
JH 7opiar o resultado do arquivo
DESA+I'ITAR SER"IÇOS N0O ESSENCIAIS DO SISTEMA 7one!&es Seguras e +dministração ?emota (rotegendo +rquivos e Sistemas de +rquivos
-ntendendo e Monitorando 4ogs Etilizando Kerramentas para Leste de Segurança = 4nis
