Pesquisa de site

As 10 principais verificações de segurança do Red Hat Enterprise Linux 5

Apesar de ultrapassar a marca de meia década desde seu lançamento, o Red Hat Enterprise Linux (RHEL) 5 ainda está em uso generalizado e continuará a ser suportado pela Red Hat até 30 de novembro de 2020. Aprimoramentos de segurança em versões posteriores do RHEL, como o SELinux (Security Enhanced Linux) aprimorado e a segurança da máquina virtual (ou seja, Svirt), garantem uma atualização oportuna, mas as organizações que não conseguem fazer isso ainda podem reforçar o RHEL 5 para uma postura de segurança forte.

A seguir estão 10 verificações de segurança críticas para garantir que sua implantação do RHEL 5 seja adequadamente protegida contra ataques cibernéticos.

As 10 principais verificações de segurança críticas para RHEL 5

1. Monte sistemas de arquivos com diretórios graváveis pelo usuário em partições separadas.

Certifique-se de que os sistemas de arquivos com diretórios graváveis pelo usuário sejam montados em partições separadas durante a instalação inicial. Veja a seguir exemplos de tais diretórios:

  • /Casa
  • /Tmp
  • /var/tmp

2. Use nosuid, nodev e no exec.

Em muitos casos, os hackers usam diretórios de armazenamento temporário, como /tmp, para armazenar e executar programas maliciosos. Alterar as opções de montagem em /etc/fstab para restringir o acesso do usuário em sistemas de arquivos apropriados durante a configuração do sistema pode evitar isso:

  • noexec impede a execução de binários em um sistema de arquivos
  • nosuid impedirá que o bit setuid tenha efeito
  • nodev impede o uso de arquivos de dispositivo no sistema de arquivos

3. Desative a inicialização a partir de mídia removível.

Configurar o BIOS do seu sistema para desabilitar a inicialização a partir de CDs/DVDs/unidades USB impede que softwares maliciosos sejam carregados sub-repticiamente. Além disso, o acesso às configurações do BIOS deve ser protegido por senha.

4. Defina uma senha para o carregador de inicialização GRUB.

O bootloader GRUB deve ser protegido por senha, pois possíveis invasores podem usá-lo para inicializar no modo de usuário único para obter acesso root.

  1. Gerar um hash de senha usando /sbin/grub-md5-crypt
  2. Adicione o hash à primeira linha de /etc/grub.conf: password --md5 passwordhash

Isso impede efetivamente que os usuários entrem no modo de usuário único.

5. Não use o yum-updates padrão.

As atualizações são essenciais para manter seu sistema seguro, mas as versões padrão do yum-updatesd são defeituosas; Em vez disso, aplique atualizações configurando um cron job. Isso pode ser feito através das seguintes etapas:

1. Desative o serviço yum-updatesd: /sbin/chkconfig yum-updatesd off
2. Crie o arquivo yum.cron:

#!/bin/sh
/usr/bin/yum -R 120 -e 0 -d 0 -y atualização yum
/usr/bin/yum -R 10 -e 0 -d 0 -y atualização

Este arquivo deve ser executável e colocado em /etc/cron.daily ou /etc/cron.weekly.

6. Remova o X Windows do sistema.

É provável que você não precise de uma GUI para tarefas gerais de administração do servidor. Portanto, é melhor remover o X Windows para eliminar a possibilidade de ele ser explorado:

  • yum groupremove "X Window System"

7. Certifique-se de que /boot seja somente leitura.

Esta pasta é definida para o modo RW por padrão, apesar de ser usada apenas para ler/carregar módulos e o kernel. Portanto, deve ser definido como somente leitura em /etc/fstab:

  • /dev/sda1 /boot ext2 padrões ro 1 2

8. Restrinja o acesso SSH.

O SSH deve ser restrito ao acesso root e limitado a um subconjunto de usuários. Isso pode ser feito adicionando o seguinte ao /etc/ssh/sshd_config:

PermitRootLogin no
Protocolo 2

O grupo sshusers deve então ser adicionado ao /etc/ssh/sshd_config:

PermitirGrupos sshusers

9. Certifique-se de que os serviços desnecessários estejam desativados.

Use o seguinte comando para desabilitar serviços supérfluos:

  • /sbin/chkconfig nome do serviço desligado

Os seguintes serviços podem ser desativados com segurança se não estiverem em uso:

  • anacron
  • apmd
  • Automáticos
  • avahi-daemon
  • com interface Bluetooth
  • Copos
  • primeira inicialização
  • gpm
  • haldaemon
  • escondido
  • hplip
  • RDSI
  • kdump
  • kudzu
  • mcstrans
  • mdmonitor
  • Ônibus de mensagens
  • microcode_ctl
  • pcscd
  • leitura antecipada_cedida
  • readahead_later
  • rhnsd
  • sesolucionar problemas

10. Configure seu sistema para solicitar a senha de root antes de entrar no modo de usuário único.

Seu sistema deve ser configurado para solicitar a senha de root antes de entrar no modo de usuário único para evitar uma possível exploração (por exemplo, despejo de hashes de senha). Isso pode ser feito adicionando a seguinte linha ao /etc/inittab:

  • su:S:wait:/sbin/sulogin

Procurando uma maneira de verificar se essas verificações de segurança estão em vigor automaticamente, com apenas alguns cliques do mouse? O conjunto de testes orientado por políticas do ScriptRock pode validar se essas verificações de segurança estão em vigor e consistentes em todos os nós do servidor RHEL 5. Faça um test drive hoje por nossa conta.

Fontes

http://www.puschitz.com/SecuringLinux.shtml

Artigos relacionados