Linux: Host-revisão de segurança
Quando se trabalha em Linux e revisão de segurança do host, três partes de se concentrar em avaliar os mecanismos de segurança incluem olhando para cada uma das seguintes áreas:
Prevenção: Instalar atualizações do sistema operacional, senhas seguras, melhorar a permissões de arquivo, configurar uma senha para um gestor de arranque, e usar a criptografia.
Detecção: Capturar as mensagens de log e verificar a integridade do arquivo com Tripwire (uma ferramenta que pode detectar alterações em arquivos de sistema).
Resposta: Faça backups de rotina e desenvolver procedimentos de resposta a incidentes.
atualizações do sistema operacional
distribuições Linux lançar atualizações em breve. Quando as vulnerabilidades de segurança são encontrados, as distribuições Linux lançar uma atualização para corrigir o problema. Muitas das distribuições oferecem atualizações on-line que você pode ativar e usar para manter seu sistema atualizado. Os detalhes de actualizar o sistema operativo dependem da distribuição.
permissões de arquivo
Proteger arquivos de sistema importantes com posses de arquivos apropriados e permissões de arquivo. Os procedimentos fundamentais na atribuição de posses e permissões do sistema de arquivos são os seguintes:
Descobrir quais arquivos contêm informações confidenciais e por quê. Alguns arquivos podem conter dados sensíveis relacionados com o seu trabalho ou negócios, enquanto que muitos outros arquivos são sensíveis porque controlam a configuração do sistema Linux.
Manter uma lista atual de usuários autorizados e que eles estão autorizados a fazer no sistema.
Configurar senhas, grupos, posses de arquivo e permissões de arquivo para permitir que somente os usuários autorizados para acessar os arquivos.
Esta tabela lista alguns arquivos importantes do sistema em Linux, mostrando a permissão numérica típica configuração para cada arquivo (pode ser ligeiramente diferente, dependendo da distribuição).
| Nome do caminho de arquivo | Permissão | Descrição |
|---|---|---|
| /boot/grub/menu.lst | 600 | arquivo de menu GRUB |
| /etc/cron.allow | 400 | Lista de usuários autorizados a utilizar cronpara enviar trabalhos periódicos |
| /etc/cron.deny | 400 | Lista de usuários que não podem usar o cron para enviar trabalhos periódicos |
| / Etc / crontab | 644 | trabalhos periódicos de todo o sistema |
| /etc/hosts.allow | 644 | Lista de hosts autorizados a utilizar os serviços de Internet que são startedusing TCP wrappers |
| /etc/hosts.deny | 644 | Lista de hosts negado o acesso a serviços de Internet que arestarted usando TCP wrappers |
| /etc/logrotate.conf | 644 | Arquivo que controla como os arquivos de log girar |
| /etc/pam.d | 755 | Diretório com arquivos de configuração para authenticationModules conectáveis (PAMs) |
| / Etc / passwd | 644 | arquivo de senha de estilo antigo com informações de conta do usuário, mas notthe senhas |
| /etc/rc.d | 755 | Directório com scripts de inicialização do sistema, |
| / Etc / securetty | 600 | interfaces de TTY (terminais) a partir do qual o root pode logar |
| / Etc / security | 755 | arquivos de políticas que controlam o acesso ao sistema |
| / Etc / shadow | 400 | Arquivo com senhas criptografadas e expirationinformation senha |
| /etc/shutdown.allow | 400 | Os usuários que podem desligar ou reiniciar por pressingCtrl + Alt + Delete |
| / Etc / ssh | 755 | Diretório com arquivos de configuração para o Secure Shell (SSH) |
| / Etc / sysconfig | 755 | arquivos de configuração do sistema |
| /etc/sysctl.conf | 644 | parâmetros de configuração do kernel |
| /etc/syslog.conf | 644 | arquivo de configuração para o syslogdservidor que registra mensagens |
| /etc/udev/udev.conf | 644 | arquivo de configuração para udev -o programa que oferece a capacidade de namehot-pluggable dinamicamente dispositivos e criar os arquivos de dispositivos no diretório / dev |
| / Etc / vsftpd | 600 | arquivo de configuração para o servidor de FTP muito seguro |
| /etc/vsftpd.ftpusers | 600 | Lista de usuários que não estão autorizados a usar o FTP para transferfiles |
| /etc/xinetd.conf | 644 | arquivo de configuração para o xinetdservidor |
| /etc/xinetd.d | 755 | arquivos de configuração do diretório contendo para servicesthat específica do xinetd servidor pode iniciar |
| / Var / log | 755 | Directory com todos os arquivos de log |
| / Var / log / lastlog | 644 | Informações sobre todos os logins anteriores |
| / var / log / messages | 644 | arquivo de log principal mensagem do sistema |
| / Var / log / wtmp | 664 | Informações sobre logins atuais |
Outra verificação importante é olhar para arquivos de programas executáveis que têm o setuid permissão. Se um programa tem setuid permissão e é de propriedade da raiz, o programa é executado com privilégios de root, não importa o que realmente executa o programa. Você pode encontrar tudo setuid programas com o seguinte encontrar comando:
find / -perm 4000 -print
Você pode querer salvar a saída em um arquivo (basta adicionar> nome do arquivo ao comando) e, em seguida, examinar o arquivo para qualquer incomum setuid programas. Por exemplo, uma setuid programa no diretório home do usuário é incomum.