Hardening, se adequando as normas ISO 27000
O intuito deste artigo é orientar com um script simples como realizar um simples hardening de servidores baseados em Debian, podendo ser ajustado a outras versões. Lembrando que alguns pontos da ISO citada requerem avaliação por parte do administrador, pois cada servidor rodará vários tipos de serviços, devendo serrem desabilitados manualmente o que pode ser desnecessário
[ Hits: 5.545 ]
Por: Rogerio Domingos de Freitas em 19/10/2021
Script hardening.sh
#!/bin/bash
case $1 in
# restringir partições
start)
mount -o remount,rw,nosuid /usr
mount -o remount,rw,noexec,nosuid /tmp
mount -o remount,rw,noexec,nosuid /var
mount
echo ""
echo ""
echo ""
echo "ATIVAR RESTRICAO NAS PARTICOES"
echo ""
echo ""
echo ""
;;
stop)
mount -o remount,rw,exec /usr
mount -o remount,rw,exec /tmp
mount -o remount,rw,exec /var
mount
echo "DESATIVAR RESTRICOES NAS PARTICOES"
;;
inicio)
$0 start
#backup de arquivos
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#tar -czvf /hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/inittab /etc/profile /etc/fstab /etc/passwd
#Debian 10
tar -czvf /etc/hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/profile /etc/fstab /etc/passwd
echo ""
echo ""
echo ""
echo "Realizado backup dos arquivos que serão alterados"
echo ""
echo ""
echo ""
#Desabilitar ctrl+alt+del
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#sed -e '/shutdown/d' /etc/inittab | tee /etc/inittab
#echo "ca:12345:ctrlaltdel:/sbin/echo "Este recurso foi desabilitado"" >> /etc/inittab
#Debian 10
systemctl mask ctrl-alt-del.target
systemctl daemon-reload
echo ""
echo ""
echo ""
echo "DESABILITAR CTRL+ALT+DEL"
echo ""
echo ""
echo ""
#config do ssh, alterar porta do ssh, a gosto do fregues
sed -e /Port/s/22/1433/g -e /PermitRootLogin/s/yes/no/g /etc/ssh/sshd_config| tee /etc/ssh/sshd_config
cp /etc/hard/issue /etc/issue.net
cp /etc/hard/issue /etc/issue
echo ""
echo ""
echo ""
echo "Configurado ssh"
echo ""
echo ""
echo ""
#Restringir apenas três terminais para acesso
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#sed -e '/respawn/s/4:/#4:/g' -e '/respawn/s/5:/#5:/g' -e '/respawn/s/6:/#6:/g' /etc/inittab | tee /etc/inittab
#Debian 10
echo "NAutoVTs=3" >> /etc/systemd/logind.conf
echo ""
echo ""
echo "RESTRINGIR O USO DE APENAS TRES TERMINAIS"
echo ""
echo ""
echo ""
#Desabilitar Suid bit
chmod -s -R /
chmod +s /usr/bin/passwd
chmod +s /bin/su
echo ""
echo ""
echo ""
echo "Suid bit desativado"
echo ""
echo ""
echo ""
#Limite de inatividade de 5 minutos nos terminais
echo "TMOUT=300" >> /etc/profile
echo ""
echo ""
echo ""
echo "Ativado limite inatividade de 5 minutos"
echo ""
echo ""
echo ""
#Remover shells dos usuários
for USER in $(cat /etc/passwd| cut -f 1 -d ":"| grep -v root| grep -v freitasrdf)
do
usermod -s /bin/false $USER
done
echo ""
echo ""
echo ""
echo "Removidos os shells dos usuarios"
echo ""
echo ""
echo ""
# Não permitir login do root
sed -e '/tty/d' /etc/securetty | tee /etc/securetty
#
echo "Desabilitado login pelo root"
;;
*) echo "erro use $0 {start|stop|inicio}"
exit 0
esac
Arquivo issue:
################# A T E N C A O ################# Você esta tentando logar em um servidor de administração do Departamento de TI. Todas as tentativas e os acessos estão sendo monitorados.
2. Script hardening.sh
Mandrake Firewall - Firewall com interface amigável
Snort avançado: Projetando um perímetro seguro
Tor no BackTrack 5 - Instalação, configuração e utilização
OUTGUESS: Oculte mensagens em fotos
John The Ripper - Teste de Quebra de Senhas
Sugestão.
Debian reforçado com CIS (Ansible CIS) => https://github.com/dbernaci/CIS-Debian10-Ansible
Nota: Esta função fará mudanças no sistema que podem quebrar coisas.
Por que dá erro 404 quando eu vou acessar o seu perfil?
https://www.vivaolinux.com.br/~freitasrdf
bacana.
___________________________________________________________
[code]Conhecimento não se Leva para o Túmulo.
https://github.com/MauricioFerrari-NovaTrento [/code]
Satisfied to consider your to be as I would hypothesize I have an equivalent issue, I am comparably befuddled and requiring light on this indistinguishable issue. Need assistance.
https://www.mcdvoice.tips/
Patrocínio
Destaques
Artigos
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Linux em 2025: Segurança prática para o usuário
Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado
Dicas
Como usar Gpaste no ambiente Cinnamon
Atualizando o Fedora 42 para 43
Como saber se o seu e-mail já teve a senha vazada?
Tópicos
É normal não gostar de KDE? (13)
VOL já não é mais como antes? (8)
E aí? O Warsaw já está funcionando no Debian 13? [RESOLVIDO] (15)
Secure boot, artigo interessante, nada técnico. (4)
copiar library para diretorio /usr/share/..... su com Falha na a... (1)
Top 10 do mês
-
Xerxes
1° lugar - 117.343 pts -
Fábio Berbert de Paula
2° lugar - 87.344 pts -
Alberto Federman Neto.
3° lugar - 25.394 pts -
Mauricio Ferrari
4° lugar - 24.797 pts -
edps
5° lugar - 23.294 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 22.282 pts -
Buckminster
7° lugar - 21.285 pts -
Daniel Lara Souza
8° lugar - 20.252 pts -
Andre (pinduvoz)
9° lugar - 18.710 pts -
Diego Mendes Rodrigues
10° lugar - 16.687 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
