Proprietrio:
DIT Diretoria de Infra-estrutura Tecnolgica
Outubro de 2012
Histrico de Verso
Verso Data Comentrios
0.9 31/10/2012 Primeira verso para avaliao e aprovao
Distribuio e Publicao
GRT
GSI
GST
DIT
Publicao
1.1 - Objetivo
Estabelecer um padro bsico de hardening e controles de segurana para o ambiente Linux Red
Hat em produo.
1.4 - Aplicabilidade
Este documento se aplica a todos os servidores Linux Red Hat do PRODERJ em produo.
2.1 Introduo
Hardening um processo de mitigao que aplicamos sobre os sistemas operacionais
visando torn-los mais resilientes a tentativas de invaso.
Outras providncias que um processo de hardening pode incluir: limitar o software instalado
quele que se destina funo desejada do sistema; aplicar e manter os patches atualizados, tanto de
sistema operacional quanto de aplicaes; revisar e modificar as permisses dos sistemas de
arquivos, em especial no que diz respeito a escrita e execuo; reforar a segurana do login,
impondo uma poltica de senhas fortes.
Clique em Next.
Na segunda pgina mantenha as selees padro do Base System e escolha, em cada opo
esquerda, apenas os pacotes necessrios para o adequado funcionamento do Servidor.
# cd /etc/yum.repos.d
# wget http://10.14.0.66/repofile/rh6-i386.repo
# wget http://10.14.0.66/repofile/rh6-x64.repo
# yum update
# rhn_register
A interface que ele abre intuitiva, bastando seguir o passo a passo que aparece na tela.
Caso o servidor no esteja com acesso com acesso Internet, solicite, GRT, a criao de um NAT
behind provisrio e incluso do mesmo na regra de servidores Red Hat, atravs do formulrio de
abertura de portas, disponvel na Intranet do PRODERJ.
4.3 Atualizao do SO
Concludo o registro e a configurao do repositrio local, deve-se efetuar uma atualizao dos
pacotes instalados, utilizando o sistema de pacotes do yum.
O yum o gerenciador de pacotes do Red Hat, e usa arquivos .rpm como base. Para atualizar o
sistema, basta usar a opo update do gerenciador de pacotes:
# yum update
# yum list-security
Caso seja relevante obter uma descrio detalhada das vulnerabilidades endereadas pelas
correes, execute o seguinte comando:
# yum info-sec
Com essa abordagem, possvel instalar uma correo especfica e emergencial referenciada por um
CVE (Common Vulnerabilities and Exposures)
# more /etc/sysconfig/clock
ZONE="America/Sao_Paulo"
#vi /etc/ntp.conf
server 10.3.157.109
server 10.10.8.93
server 10.12.44.9
Ilustrao 3: ntp.conf
Para que o NTP seja iniciado de forma automtica execute o seguinte comando:
# chkconfig ntpd on
# ntpq -c pe
Para ter certeza do horrio, v ao site www.ntp.br e veja o horrio que aparece na tela e confronte
contra o comando:
# date
Qui Set 27 09:16:49 BRT 2012
5.1 - SSH
Modifique as configuraes do SSH para permitir acesso usando o protocolo SSHv2 somente.
#PROTOCOL 1,2
para:
PROTOCOL 2
Observao: No Red Hat 6, essa opo j vem implementada por padro. Certifique-se de que assim
seja, dando um grep no arquivo.
A ltima linha restringe o acesso via SSH, liberando apenas os IPs explicitamente listados
Verifique se os servios abaixo esto instalados, caso estejam remova-os utilizando o Yum:
rshd
rlogind
rwhod
telnetd substitudo pelo ssh
ftpd - substitudo pelo dcp
sendmail
identd
Onde:
-G indica os grupos aos quais ele vai pertencer, no exemplo, adm e gsi.
-c o comentrio, usamos como comentrio o nome completo do usurio entre aspas.
prfuta o login de rede do usurio que dever ser idntico ao do AD do PRODERJ, para
facilitar uma futura integrao entre as bases.
# passwd prfuta
Dever ser criada uma senha conforme algoritmo usado pela GSI. Essa senha dever ser informada
ao usurio pela GSI e este dever ser obrigado a troc-lo no primeiro acesso ao servidor.
O comando para forar a troca de senha :
# chage -d 0 prfuta
# passwd
Outras configuraes adicionais podem ser necessrias para maior controle dos acesso do root e
sero detalhadas posteriormente.
vi /etc/ssh/sshd_config
#PermitRootLogin yes
Para:
#PermitRootLogin no
# visudo
Esse comando abrir uma interface no estilo do editor vi onde voc dever procurar a linha
destacada na figura abaixo: