Segurança - Linux

As boas práticas de instalação de um SO Linux, recomendam que coloquemos os principais diretórios do sistema, em partições separadas.
1) Lista com alguns arquivos críticos do sistema, e suas devidas permissões:
Diretório/Arquivos Permissão Comentário
  • /var/log 751 Diretório que contém todos os arquivos de log do sistema
  • /var/log/messages 644 Mensagens do sistema
  • /etc/crontab 600 Arquivo do crontab
  • /etc/syslog.conf 640 Arquivo de configuração do daemon do Syslog
  • /etc/logrotate.conf 640 Rotinas de controle
  • /var/log/wtmp 660 Mostra quem esta logado no momento. Use o comando who
  • /var/log/lastlog 640 Mostra os últimos logs no sistema. Use o comando last
  • /etc/ftpusers 600 Lista de usuários restritos ao FTP
  • /etc/passwd 644 Lista as contas de usuário do sistema
  • /etc/shadow 600 Arquivo com as senhas encriptadas dos usuários do sistema
  • /etc/pam.d 750 Daemon do PAM
  • /etc/hosts.allow 600 Arquivo de controle de acesso
  • /etc/hosts.deny 600 Arquivo de controle de acesso
  • /lilo.conf 600 Arquivo de configuração do Lilo. Boot loader
  • /etc/securetty 600 Interfaces TTY
  • /etc/security 700 Contém as políticas de segurança do sistema
  • /etc/rc.d/init.d 750 Programa de inicializacão (Red Hat)
  • /etc/init.d 750 Programa de inicializacão (Debian)
  • /etc/sysconfig 751 Arquivos de configuração do sistema e rede (Red Hat)
  • /etc/inetd.conf 600 Arquivo de configuracao do daemon da internet
  • /etc/cron.allow 400 Lista dos usuários permitidos para usar o cron
  • /etc/cron.deny 400 Lista dos usuários não permitidos para usar o cron
  • /etc/ssh 750 Arquivos de configuração do SSH
  • /etc/sysctl.conf 400 Opções de performace de Kernel

2) Suid bit
Verificar se esta habilitado: # find / -perm -4000 -ls;
Desabilitar: # chmod -s - -Rv /

3) Acesso remoto:
Atualização e sempre escolher o mais seguro - trocar Telnet por SSH por exemplo já é um grande começo.

4) implementar uma política de segurança maior na máquina.
Arquivos - hosts.deny e hosts.allow

No arquivo hosts.allow coloque: All:All
E no arquivo hosts.allow: servico:

5) Manter um firewall (iptables por exemplo) com regras bem configuradas na máquina e sempre ficar de olho nas notícias do dia-a-dia. Visitar, fóruns e listas de discussão, sempre é bem vindo.

Postar um comentário

Postagens mais visitadas deste blog

MANUAL DE REDAÇÃO DA PRESIDÊNCIA DA REPÚBLICA

Plural de substantivos compostos

Atualidades - 15 de agosto de 2016