O documento apresenta um curso sobre segurança em servidores Linux ministrado por Paulo Renato Lopes Seixas. A ementa inclui tópicos como hardening de servidores, segurança de usuários, permissões de arquivos e proteção de serviços como SSH e Apache. Além disso, há detalhes sobre a estrutura do treinamento e demonstrações práticas de varredura de portas e hosts usando ferramentas como Nmap e Hping.
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
Segurança dos seus servidores Linux
1. Como está a segurança dos seus
servidores Linux ?
Instrutor: Paulo Renato Lopes Seixas
Agosto/2014
2. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
APRESENTAÇÃO
- Paulo Renato Lopes Seixas é Arquiteto de Soluções em TI, responsável pelo planejamento,
elaboração e implantação de projetos de infraestrutura de TI com foco em soluções de virtualização
VMware, segurança da informação, sistemas operacionais (Windows e GNU/Linux - com foco neste
último). Atualmente é sócio proprietário na EXA Soluções em TI.
- Tem experiência em ministrar cursos de GNU/Linux, Penetration Test, Hardening de Servidores,
Wireless Security, Virtualização VMware e Gestão de Serviços em TI. É certificado em GNU/Linux
LPIC-1, LPIC-2, LPIC-303 Security, Novell CLA 11, Novell DCTS e VMware VCP4-DCV.
- Possui graduação em Sistemas de Informação pela Universidade Estadual de Goiás e Pós-
Graduação em Gerenciamento de Projetos pela Fundação Getúlio Vargas - FGV (em andamento).
- Mais informações visite o site abaixo:
http://about.me/paulorenato
3. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
O que é segurança da informação ?;
A Tríade da segurança da informação;
Os três fatores da segurança;
O que é hardening ?;
Verificar pacotes desnecessários ;
Verificar usuários ;
Segurança aplicada ao terminal;
Montagem de dispositivos com segurança;
Segurança nas permissões de arquivos;
Gerenciamento de Privilégios;
EMENTA
SEGURANÇA EM SERVIDORES LINUX
4. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
Procurar por senhas fracas;
Como tornar a conexão SSH mais seguro;
Serviços ativos: Como verificá-los;
Protegendo seu servidor WEB
Instalação do Apache;
Instalação do PHP /Suhosin com o apache;
O que é o Ambiente chroot?;
Instalação e configuração do Apache no ambiente chroot;
Instalação e configuração do PHP /Suhosin no ambiente
chroot;
Validação e funcionamento do Apache e PHP /Suhosin
no ambiente chroot;
EMENTA
SEGURANÇA EM SERVIDORES LINUX
5. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
Treinamento Online em tempo real com o instrutor;
Acesso ao ambiente de ensino – EAD com acesso ao
fórum, aulas gravadas;
Virtual Box ou VMware Player para executar a
máquina virtual;
S.O CentOS 7.0;
www.distrowatch.com
ESTRUTURA DO TREINAMENTO
SEGURANÇA EM SERVIDORES LINUX
6. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
Verificar serviços ativos;
PRÁTICA
SEGURANÇA EM SERVIDORES LINUX
7. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
PRÁTICA
SEGURANÇA EM SERVIDORES LINUX
- PING SCAN ( -sP )
MÁQUINA
DESATIVADA
MAQUINA
ATIVA
8. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
PRÁTICA
SEGURANÇA EM SERVIDORES LINUX
- TCP CONNECT() SCAN ( -sT )
PORTA
FECHADA
PORTA
ABERTA
9. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
PRÁTICA
SEGURANÇA EM SERVIDORES LINUX
- Verificar hosts
# iptables -A INPUT -p icmp -j DROP
$ ping vitimalocal.com.br
PING localhost (127.0.0.1) 56(84) bytes of data.
--- localhost ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms
# hping --icmp vitimalocal.com.br
HPING localhost (lo 127.0.0.1): icmp mode set, 28 headers + 0
data bytes
--- localhost hping statistic ---
2 packets transmitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
ambos foram bloqueados
10. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
PRÁTICA
SEGURANÇA EM SERVIDORES LINUX
- Verificar hosts
# hping --syn vitimalocal.com.br
HPING localhost (lo 127.0.0.1): S set, 40 headers + 0 data bytes
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=0 win=0
rtt=11.1ms
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=1 win=0
rtt=0.4 ms
len=40 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=2 win=0
rtt=0.4 ms
--- localhost hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.4/4.0/11.1 ms
--syn → ultrapassou o filtro
11. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
PRÁTICA
SEGURANÇA EM SERVIDORES LINUX
- Verificar portas
$ nc vitimalocal.com.br 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 I-secure.local ESMTP Postfix
quit
# hping --syn vitimalocal.com.br -p 25
HPING localhost (lo 127.0.0.1): S set, 40 headers + 0 data bytes
len=44 ip=127.0.0.1 ttl=64 DF id=0 sport=25 flags=SA seq=0
win=32767 rtt=3.1 ms
--- localhost hping statistic ---
1 packets tramitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.6/1.9/3.1 ms
12. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
PRÁTICA
SEGURANÇA EM SERVIDORES LINUX
- Verificar portas
# iptables -A INPUT -p tcp --dport 25 -j REJECT
# hping --syn vitimalocal.com.br -p 25
ICMP Port Unreachable from ip=192.168.0.230 name=UNKNOWN
ICMP Port Unreachable from ip=192.168.0.230 name=UNKNOWN
ICMP Port Unreachable from ip=192.168.0.230 name=UNKNOWN
ICMP Port Unreachable from ip=192.168.0.230 name=UNKNOWN
ICMP Port Unreachable from ip=192.168.0.230 name=UNKNOWN
13. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
DÚVIDAS ?
SEGURANÇA EM SERVIDORES LINUX
14. Avenida Presidente Vargas, 962 / 1001
Centro – Rio de Janeiro
Cep.: 20.071-001 - RJ
E-mail: treinamento@linuxsolutions.com.br
OBRIGADO !
SEGURANÇA EM SERVIDORES LINUX
Paulo Renato Lopes Seixas about.me/paulorenato