Hardening de servidores Linux

Bom dia caro leitores,

Na sub-categoria hardening, irei postar dicas, experiências e o que aprendi na minha pós em gestão de segurança da informação sobre hardening de servidores ( para ser mais específico – servidores Linux ).

A definição de hardening segundo o site Wikipedia é:
“Hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas – com foco na infra-estrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque. “

Este conceito, pelo que é visto, é muito amplo e genérico nos possibilitando o ingresso em diversas áreas da tecnologia. Ao meu ver para se ter um hardening efetivo devemos sempre ter especialistas em cada assunto que é abordado por um servidor específico, como por exemplo um servidor de aplicação web. Neste tipo de servidor temos diversas ferramentas envolvidas desde o sistema operacional até bancos de dados, etc.

No ambiente Linux podemos citar por exemplo um S.O. Suse Linux Enterprise ou RedHat Enterprise, para este item é necessário um especialista para fazer o hardening bem feito, porém “rodando” sobre ele temos ainda, no caso de um servidor de aplicação web um apache, tomcat ou jboss e um software de banco de dados como por exemplo um mysql, um Oracle, um postgres, e para cada software deste recomendo, por experiência própria, um especialista para realizar o hardening devido a diversos pontos de muita especificidade de cada software citado.

Atualmente é muito difícil e caro achar um profissional que tenha especialidade em todos os ramos e softwares envolvidos em um ambiente tecnológico, isto se não podemos dizer que é impossível. Este fato nos remete a achar que os hardenings efetuados nas empresas atualmente são ineficientes, porém isto não é verdade, todo e qualquer hardening, por mais superficial que seja é de grande valia. Vemos muitas empresas que ainda nem começaram o processo e utilizam usuários padrões sem senha, acessos sshs com configuração padrão, sistemas operacionais com serviços desnecessários escutando em portas padrões, nestes casos é fundamental que ao menos um hardening básico e superficial seja efetuado e este pode ser realizado por um profissional com conhecimentos relativamente básicos sobre o ambiente da empresa.

Abordarei aqui hardenings básicos e avançados para S.O. Linux. Acompanhem!

Att.

Leonardo Gomes Duarte

Problemas com o Kerberos antigo

Olá pessoal,

bom dia,

hoje resolvi deixar aqui uma experiência que tive a algum tempo com o servidor kerberos. Estava revirando minhas anotações para ver se achava alguma coisa interessante e vi este problema que demorei pra descubrir o que era e até hoje me lembro o quanto sofri..rs

Bom, pra você que não tem o costume de atualizar as versões dos softwares do seu S.O. Linux de produção fica a dica que todo mundo dá mas 90% dos profissionais não segue, sempre mantenha o seu ambiente de produção atualizado!!! É claro que antes de atualizar softwares críticos você deve executar testes em um ambiente de homologação para ver se tudo vai continuar como era antes, para que caso ocorro algum problema você possa resolve-lo com mais calma antes de fazer uma cagada no ambiente de produção e ficar sob pressão para resolver. 🙂

Bom, a questão é… Na época que tive o problema, minha rede inteira parou de autenticar, e o que eu via nos arquivos de log era apenas a seguinte mensagem:

“LDAP connection is lost, it might due to slow network or overtaxed direcotry server, please check LDAP settings and the integrity of LDAP server. If LDAP setting is already disabled, you shouldnt use User/group name via proxy authorization for User Identification. From now on, daemon will keep running and default back to IP identification until LDAP server is back to live”

Depois de muita análise do problema e suor descobri que o kerberos na versão krb5-server-1.4.3-19.10.3 tem um problema com o tamanho do arquivo de log (kdc.log).. Quando este tamanho excede 2Gb o kerberos para e você fica doido.
Bom a saída então foi apenas limpar o arquivo de log com o comando echo > /var/log/kdc.log e pronto. Simples né?! Porém para chegar até esta solução foi um caos…rs Acredito que a última coisa que qualquer profissional iria pensar em uma situação destas era que o arquivo de log estava muito grande.rs

Bom é isto.

Um grande abraço a todos!

Att.

Leonardo Gomes Duarte.

Olá a todos!

Sejam bem vindos ao meu blog.
Pretendo incluir aqui algumas experiências vividas profissionalmente e pessoalmente e compartilhar conhecimento.
Atualmente sou administrador de rede Sênior em uma rede de médio/grande porte cujo ambiente de servidores é 95% formado por servidores com S.O. Linux. Dentro deste ambiente, aprendi e continuo aprendendo a cada dia ( acho que este é o mal de todos que trabalham com tecnologia ).
Atualmente detenho a certificação LPIC-1 e estou estudando para obtenção do nível 2 e 3 com as especializações em alta-disponibilidade e virtualização, e segurança, os estudos estão meio vagarosos devido eu ter acabado de concluir uma pós-graduação em segurança da informação e estar focado no desenvolvimento da monografia.
Posteriormente à carreira LPI pretendo prestar as provas para RHCE e depois disto vamos ver algumas certificações na área de segurança.
Bom, tenho 22 anos e um caminho enorme pela frente ainda e pretendo, com este blog, expor ao mundo a minha trajetória, ajudando quem tem objetivos que eu já concluí e obtendo ajuda de quem tinha os mesmos objetivos que eu e já concluiu.

Quando tiverem alguma dúvida em relação a ambientes linux, procurem este site, pois caso eu não saiba sanar a dúvida terei imenso prazer em pesquisar, estudar e ajuda-los, não porque sou muito gente boa (risos) mas porque estarei aprendendo e me aperfeiçoando desta forma(risos).

Bom, a princípio é isto!

Um grande abraço a todos!