Linux Hardening Tipy & Triky Jakub Suchý Red Hat Certified Engineer
Obsah přednášky Situace bezpečnosti dříve a dnes Základy hardeningu Zabezpečení sítě Patching policy Diskuse
Situace dříve a dnes Minulost hacking je prestiž (Binary Division, Czert) Dnes bezpečnost je o businessu Bezpečnost je denním chlebem všech administrátorů Bruteforce na SSH stovky denně Stačí tedy dobrá hesla? Ne!
Situace dříve a dnes Hacker kropič: jeden exploit rozesetý na 1000 adres, snad se někdo chytí Hacker snipper: má cíl, zkusí vše, aby ho dostal
To, že nejsem paranoidní neznamená, že po mě nejdou
Já nemám nic zajímavého, po mě nepůjdou
Pro koho jsem zajímavý Pro botnet Pro warez Pro konkurenci Pro své zaměstnance Je zajímavé získat prestiž malá firma vs. banka
Zabezpečení systému Úvodní hardening a zabezpečení Testování Politika aktualizací a změn Udržování bezpečnosti a stability je nekončící, průběžný proces.
Základy hardeningu Q: Kdy začít se zabezpečováním serveru? a) Před instalací b) Po instalaci c) Po spuštění služeb
Základy hardeningu Q: Kdy začít se zabezpečováním serveru? a) Před instalací b) Po instalaci c) Po spuštění služeb
Základy hardeningu Před instalací Myslet na bezpečnost vždy nikdy nekončící proces Nepřipojovat server před provedením úprav
Rozdělení disků Rozdělit a nastavit parametry: / /home nosuid, nodev /var/log nodev, nosuid, noexec /tmp nodev, nosuid, noexec /usr - nodev
Co/kdo je největším nebezpečím systému?
Uživatelské účty Je možné přihlásit se na root? Založte uživatele admin Přístup pouze ze skupiny wheel auth required pam_wheel.so use_uid do /etc/pam.d/su Největším nebezpečím systému je administrátor
Uživatelské účty Stále nejběžnější způsob průniku John The Ripper crackuje hesla Rainbow tables
Základy hardeningu Omezit SUID bity find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; Timeout root TMOUT=900 do /root/.bashrc
Zabezpečení sítě Minimalizujte: počet adres počet portů počet protokolů
IPv6 Budoucnost síťování? Po instalaci zapnuto! SSH, Apache, Bind, Xinetd podporují Firewall defaultně vypnutý v RHEL5 install ipv6 /bin/true do /etc/modprobe.d/ipv6
Nepotřebné služby Poslouchající služby: netstat -tanp grep LISTEN Je třeba kontrolovat zvenku! nmap -ss -O 1.2.3.4
Nepotřebné služby Odstranit: rpm -e <balíček> Vypnout: chkconfig <služba> off
Synchronizace času Proč? Souslednost událostí! Co se stalo a kdy Instalujte ntp!
Patching policy Proces postupu aktualizací systému Mluvíme o aktualizacích a testování funkčnosti Je policy důležitá?
Důležitost policy 1 server - ano! 150 serverů - ano! 150 000 serverů - ano
Kde získám aktualizace? Red Hat Updates Všechny bezpečnostní problémy v Red Hatu jsou opraveny do 72 hodin od nahlášení http://rhn.redhat.com -> Errata Na servery z up2date/yum: up2date -u yum update
Proces aktualizace
Proces aktualizace Nejenom technický proces Kdo, kdy, jak provádí updates
Red Hat Satellite Server Výrazná pomoc s celým workflow Dedikovaný Red Hat Network Řešení pro management, provisioning a monitoring serverů Doporučujeme od 50 serverů výše
Red Hat Satellite Server Management aktualizace skupin serverů Provisioning automatická instalace serverů Monitoring výkon a funkčnost serverů
Prakticky nmap na server ukázka výstupu Nessus scanner
Děkuji za pozornost Otázky? Jakub Suchý Red Hat Certified Engineer jakub.suchy@enlogit.cz