Linux Hardening Tipy & Triky. Jakub Suchý Red Hat Certified Engineer

Linux Hardening Tipy & Triky Jakub Suchý

Red Hat Certified Engineer

Obsah přednášky ●

Situace bezpečnosti dříve a dnes

●

Základy hardeningu

●

Zabezpečení sítě

●

Patching policy

●

Diskuse

Linux Hardening, Jakub Suchý

26.3.2009

Situace dříve a dnes ●

●

●

Minulost – hacking je prestiž (Binary Division, Czert) Dnes – bezpečnost je o businessu Bezpečnost je denním chlebem všech administrátorů

●

Bruteforce na SSH – stovky denně

●

Stačí tedy dobrá hesla? Ne!


26.3.2009

Situace dříve a dnes ●

●

Hacker kropič: jeden exploit rozesetý na 1000 adres, snad se někdo chytí Hacker snipper: má cíl, zkusí vše, aby ho dostal


26.3.2009

To, že nejsem paranoidní neznamená, že po mě nejdou


26.3.2009

Já nemám nic zajímavého, po mě nepůjdou


26.3.2009

Pro koho jsem zajímavý ●

Pro botnet

●

Pro warez

●

Pro konkurenci

●

Pro své zaměstnance

●

Je zajímavé získat prestiž malá firma vs. banka


26.3.2009

Zabezpečení systému ●

Úvodní hardening a zabezpečení

●

Testování

●

Politika aktualizací a změn

●

Udržování bezpečnosti a stability je nekončící, průběžný proces.


26.3.2009

Základy hardeningu ●

Q: Kdy začít se zabezpečováním serveru? a) Před instalací b) Po instalaci c) Po spuštění služeb


26.3.2009


Q: Kdy začít se zabezpečováním serveru? a) Před instalací b) Po instalaci c) Po spuštění služeb


26.3.2009


●

●

Před instalací Myslet na bezpečnost → vždy → nikdy nekončící proces Nepřipojovat server před provedením úprav


26.3.2009

Rozdělení disků ●

Rozdělit a nastavit parametry: / /home – nosuid, nodev /var/log – nodev, nosuid, noexec /tmp – nodev, nosuid, noexec /usr - nodev


26.3.2009

Co/kdo je největším nebezpečím systému?


26.3.2009

Uživatelské účty ●

Je možné přihlásit se na root?

●

Založte uživatele admin

●

Přístup pouze ze skupiny wheel

●

●

„auth required pam_wheel.so use_uid“ do /etc/pam.d/su Největším nebezpečím systému je administrátor


26.3.2009

Uživatelské účty ●

Stále nejběžnější způsob průniku

●

John The Ripper crackuje hesla

●

Rainbow tables


26.3.2009


Omezit SUID bity

find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; ●

Timeout root „TMOUT=900“ do /root/.bashrc


26.3.2009

Zabezpečení sítě ●

Minimalizujte: ● počet adres ● počet portů ● počet protokolů


26.3.2009

IPv6 ●

Budoucnost síťování?

●

Po instalaci zapnuto!

●

SSH, Apache, Bind, Xinetd – podporují

●

Firewall defaultně vypnutý v RHEL5

●

„install ipv6 /bin/true“ do /etc/modprobe.d/ipv6


26.3.2009

Nepotřebné služby ●

Poslouchající služby: netstat -tanp | grep LISTEN

●

Je třeba kontrolovat zvenku!

●

nmap -sS -O 1.2.3.4


26.3.2009

Nepotřebné služby ●

Odstranit: rpm -e

●

Vypnout: chkconfig <služba> off


26.3.2009

Synchronizace času ●

Proč? Souslednost událostí!

●

Co se stalo a kdy

●

Instalujte ntp!


26.3.2009

Patching policy ●

Proces postupu aktualizací systému

●

Mluvíme o aktualizacích a testování funkčnosti

●

Je policy důležitá?


26.3.2009

Důležitost policy ●

1 server - ano!

●

150 serverů - ano!

●

150 000 serverů - ano


26.3.2009

Kde získám aktualizace? ●

●

●

●

Red Hat Updates Všechny bezpečnostní problémy v Red Hatu jsou opraveny do 72 hodin od nahlášení http://rhn.redhat.com -> Errata Na servery z up2date/yum: up2date -u yum update


26.3.2009

Proces aktualizace


26.3.2009

Proces aktualizace ●

Nejenom technický proces

●

Kdo, kdy, jak provádí updates


26.3.2009

Red Hat Satellite Server ●

Výrazná pomoc s celým workflow

●

Dedikovaný Red Hat Network

●

●

Řešení pro management, provisioning a monitoring serverů Doporučujeme od 50 serverů výše


26.3.2009

Red Hat Satellite Server ●

Management – aktualizace skupin serverů

●

Provisioning – automatická instalace serverů

●

Monitoring – výkon a funkčnost serverů


26.3.2009

Prakticky ●

nmap na server – ukázka výstupu

●

Nessus scanner


26.3.2009

Děkuji za pozornost Otázky? Jakub Suchý

Red Hat Certified Engineer [email protected]


26.3.2009

Linux Hardening Tipy & Triky. Jakub Suchý Red Hat Certified Engineer

Recommend Documents