Hardening, se adequando as normas ISO 27000
O intuito deste artigo é orientar com um script simples como realizar um simples hardening de servidores baseados em Debian, podendo ser ajustado a outras versões. Lembrando que alguns pontos da ISO citada requerem avaliação por parte do administrador, pois cada servidor rodará vários tipos de serviços, devendo serrem desabilitados manualmente o que pode ser desnecessário
[ Hits: 4.617 ]
Por: Rogerio Domingos de Freitas em 19/10/2021
#!/bin/bash case $1 in # restringir partições start) mount -o remount,rw,nosuid /usr mount -o remount,rw,noexec,nosuid /tmp mount -o remount,rw,noexec,nosuid /var mount echo "" echo "" echo "" echo "ATIVAR RESTRICAO NAS PARTICOES" echo "" echo "" echo "" ;; stop) mount -o remount,rw,exec /usr mount -o remount,rw,exec /tmp mount -o remount,rw,exec /var mount echo "DESATIVAR RESTRICOES NAS PARTICOES" ;; inicio) $0 start #backup de arquivos #Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10 #tar -czvf /hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/inittab /etc/profile /etc/fstab /etc/passwd #Debian 10 tar -czvf /etc/hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/profile /etc/fstab /etc/passwd echo "" echo "" echo "" echo "Realizado backup dos arquivos que serão alterados" echo "" echo "" echo "" #Desabilitar ctrl+alt+del #Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10 #sed -e '/shutdown/d' /etc/inittab | tee /etc/inittab #echo "ca:12345:ctrlaltdel:/sbin/echo "Este recurso foi desabilitado"" >> /etc/inittab #Debian 10 systemctl mask ctrl-alt-del.target systemctl daemon-reload echo "" echo "" echo "" echo "DESABILITAR CTRL+ALT+DEL" echo "" echo "" echo "" #config do ssh, alterar porta do ssh, a gosto do fregues sed -e /Port/s/22/1433/g -e /PermitRootLogin/s/yes/no/g /etc/ssh/sshd_config| tee /etc/ssh/sshd_config cp /etc/hard/issue /etc/issue.net cp /etc/hard/issue /etc/issue echo "" echo "" echo "" echo "Configurado ssh" echo "" echo "" echo "" #Restringir apenas três terminais para acesso #Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10 #sed -e '/respawn/s/4:/#4:/g' -e '/respawn/s/5:/#5:/g' -e '/respawn/s/6:/#6:/g' /etc/inittab | tee /etc/inittab #Debian 10 echo "NAutoVTs=3" >> /etc/systemd/logind.conf echo "" echo "" echo "RESTRINGIR O USO DE APENAS TRES TERMINAIS" echo "" echo "" echo "" #Desabilitar Suid bit chmod -s -R / chmod +s /usr/bin/passwd chmod +s /bin/su echo "" echo "" echo "" echo "Suid bit desativado" echo "" echo "" echo "" #Limite de inatividade de 5 minutos nos terminais echo "TMOUT=300" >> /etc/profile echo "" echo "" echo "" echo "Ativado limite inatividade de 5 minutos" echo "" echo "" echo "" #Remover shells dos usuários for USER in $(cat /etc/passwd| cut -f 1 -d ":"| grep -v root| grep -v freitasrdf) do usermod -s /bin/false $USER done echo "" echo "" echo "" echo "Removidos os shells dos usuarios" echo "" echo "" echo "" # Não permitir login do root sed -e '/tty/d' /etc/securetty | tee /etc/securetty # echo "Desabilitado login pelo root" ;; *) echo "erro use $0 {start|stop|inicio}" exit 0 esac
################# A T E N C A O ################# Você esta tentando logar em um servidor de administração do Departamento de TI. Todas as tentativas e os acessos estão sendo monitorados.
Mandrake Firewall - Firewall com interface amigável
Utilizando o Nmap Scripting Engine (NSE)
Instalando e integrando o amavis e o viruscan no sendmail
Como assinar digitalmente um documento criado no Br/OpenOffice
Logwatch - Enviando relatórios via e-mail
A mitologia da imunidade a vírus no Linux
Qual seu hardware e distribuição estão rodando na sua máquina? (1)
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Rsync copiar permissão em pastas (0)
Criar uma base de reconhecimento de HW no VOL (4)
Como configurar o Openvpn do pfSense para entregar da memsa faixa de I... (0)
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba