Linux: Host-revisão de segurança

Quando se trabalha em Linux e revisão de segurança do host, três partes de se concentrar em avaliar os mecanismos de segurança incluem olhando para cada uma das seguintes áreas:

  • Prevenção: Instalar atualizações do sistema operacional, senhas seguras, melhorar a permissões de arquivo, configurar uma senha para um gestor de arranque, e usar a criptografia.

  • Detecção: Capturar as mensagens de log e verificar a integridade do arquivo com Tripwire (uma ferramenta que pode detectar alterações em arquivos de sistema).

  • Resposta: Faça backups de rotina e desenvolver procedimentos de resposta a incidentes.

atualizações do sistema operacional

distribuições Linux lançar atualizações em breve. Quando as vulnerabilidades de segurança são encontrados, as distribuições Linux lançar uma atualização para corrigir o problema. Muitas das distribuições oferecem atualizações on-line que você pode ativar e usar para manter seu sistema atualizado. Os detalhes de actualizar o sistema operativo dependem da distribuição.

permissões de arquivo

Proteger arquivos de sistema importantes com posses de arquivos apropriados e permissões de arquivo. Os procedimentos fundamentais na atribuição de posses e permissões do sistema de arquivos são os seguintes:

  • Descobrir quais arquivos contêm informações confidenciais e por quê. Alguns arquivos podem conter dados sensíveis relacionados com o seu trabalho ou negócios, enquanto que muitos outros arquivos são sensíveis porque controlam a configuração do sistema Linux.

  • Manter uma lista atual de usuários autorizados e que eles estão autorizados a fazer no sistema.

  • Configurar senhas, grupos, posses de arquivo e permissões de arquivo para permitir que somente os usuários autorizados para acessar os arquivos.

Esta tabela lista alguns arquivos importantes do sistema em Linux, mostrando a permissão numérica típica configuração para cada arquivo (pode ser ligeiramente diferente, dependendo da distribuição).

Arquivos importantes do sistema e suas permissões
Nome do caminho de arquivoPermissãoDescrição
/boot/grub/menu.lst600arquivo de menu GRUB
/etc/cron.allow400Lista de usuários autorizados a utilizar cronpara enviar trabalhos periódicos
/etc/cron.deny400Lista de usuários que não podem usar o cron para enviar trabalhos periódicos
/ Etc / crontab644trabalhos periódicos de todo o sistema
/etc/hosts.allow644Lista de hosts autorizados a utilizar os serviços de Internet que são startedusing TCP wrappers
/etc/hosts.deny644Lista de hosts negado o acesso a serviços de Internet que arestarted usando TCP wrappers
/etc/logrotate.conf644Arquivo que controla como os arquivos de log girar
/etc/pam.d755Diretório com arquivos de configuração para authenticationModules conectáveis ​​(PAMs)
/ Etc / passwd644arquivo de senha de estilo antigo com informações de conta do usuário, mas notthe senhas
/etc/rc.d755Directório com scripts de inicialização do sistema,
/ Etc / securetty600interfaces de TTY (terminais) a partir do qual o root pode logar
/ Etc / security755arquivos de políticas que controlam o acesso ao sistema
/ Etc / shadow400Arquivo com senhas criptografadas e expirationinformation senha
/etc/shutdown.allow400Os usuários que podem desligar ou reiniciar por pressingCtrl + Alt + Delete
/ Etc / ssh755Diretório com arquivos de configuração para o Secure Shell (SSH)
/ Etc / sysconfig755arquivos de configuração do sistema
/etc/sysctl.conf644parâmetros de configuração do kernel
/etc/syslog.conf644arquivo de configuração para o syslogdservidor que registra mensagens
/etc/udev/udev.conf644arquivo de configuração para udev -o programa que oferece a capacidade de namehot-pluggable dinamicamente dispositivos e criar os arquivos de dispositivos no diretório / dev
/ Etc / vsftpd600arquivo de configuração para o servidor de FTP muito seguro
/etc/vsftpd.ftpusers600Lista de usuários que não estão autorizados a usar o FTP para transferfiles
/etc/xinetd.conf644arquivo de configuração para o xinetdservidor
/etc/xinetd.d755arquivos de configuração do diretório contendo para servicesthat específica do xinetd servidor pode iniciar
/ Var / log755Directory com todos os arquivos de log
/ Var / log / lastlog644Informações sobre todos os logins anteriores
/ var / log / messages644arquivo de log principal mensagem do sistema
/ Var / log / wtmp664Informações sobre logins atuais

Outra verificação importante é olhar para arquivos de programas executáveis ​​que têm o setuid permissão. Se um programa tem setuid permissão e é de propriedade da raiz, o programa é executado com privilégios de root, não importa o que realmente executa o programa. Você pode encontrar tudo setuid programas com o seguinte encontrar comando:

find / -perm 4000 -print

Você pode querer salvar a saída em um arquivo (basta adicionar> nome do arquivo ao comando) e, em seguida, examinar o arquivo para qualquer incomum setuid programas. Por exemplo, uma setuid programa no diretório home do usuário é incomum.

menu