Hardening, se adequando as normas ISO 27000
O intuito deste artigo é orientar com um script simples como realizar um simples hardening de servidores baseados em Debian, podendo ser ajustado a outras versões. Lembrando que alguns pontos da ISO citada requerem avaliação por parte do administrador, pois cada servidor rodará vários tipos de serviços, devendo serrem desabilitados manualmente o que pode ser desnecessário
[ Hits: 4.642 ]
Por: Rogerio Domingos de Freitas em 19/10/2021
Script hardening.sh
#!/bin/bash
case $1 in
# restringir partições
start)
mount -o remount,rw,nosuid /usr
mount -o remount,rw,noexec,nosuid /tmp
mount -o remount,rw,noexec,nosuid /var
mount
echo ""
echo ""
echo ""
echo "ATIVAR RESTRICAO NAS PARTICOES"
echo ""
echo ""
echo ""
;;
stop)
mount -o remount,rw,exec /usr
mount -o remount,rw,exec /tmp
mount -o remount,rw,exec /var
mount
echo "DESATIVAR RESTRICOES NAS PARTICOES"
;;
inicio)
$0 start
#backup de arquivos
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#tar -czvf /hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/inittab /etc/profile /etc/fstab /etc/passwd
#Debian 10
tar -czvf /etc/hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/profile /etc/fstab /etc/passwd
echo ""
echo ""
echo ""
echo "Realizado backup dos arquivos que serão alterados"
echo ""
echo ""
echo ""
#Desabilitar ctrl+alt+del
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#sed -e '/shutdown/d' /etc/inittab | tee /etc/inittab
#echo "ca:12345:ctrlaltdel:/sbin/echo "Este recurso foi desabilitado"" >> /etc/inittab
#Debian 10
systemctl mask ctrl-alt-del.target
systemctl daemon-reload
echo ""
echo ""
echo ""
echo "DESABILITAR CTRL+ALT+DEL"
echo ""
echo ""
echo ""
#config do ssh, alterar porta do ssh, a gosto do fregues
sed -e /Port/s/22/1433/g -e /PermitRootLogin/s/yes/no/g /etc/ssh/sshd_config| tee /etc/ssh/sshd_config
cp /etc/hard/issue /etc/issue.net
cp /etc/hard/issue /etc/issue
echo ""
echo ""
echo ""
echo "Configurado ssh"
echo ""
echo ""
echo ""
#Restringir apenas três terminais para acesso
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#sed -e '/respawn/s/4:/#4:/g' -e '/respawn/s/5:/#5:/g' -e '/respawn/s/6:/#6:/g' /etc/inittab | tee /etc/inittab
#Debian 10
echo "NAutoVTs=3" >> /etc/systemd/logind.conf
echo ""
echo ""
echo "RESTRINGIR O USO DE APENAS TRES TERMINAIS"
echo ""
echo ""
echo ""
#Desabilitar Suid bit
chmod -s -R /
chmod +s /usr/bin/passwd
chmod +s /bin/su
echo ""
echo ""
echo ""
echo "Suid bit desativado"
echo ""
echo ""
echo ""
#Limite de inatividade de 5 minutos nos terminais
echo "TMOUT=300" >> /etc/profile
echo ""
echo ""
echo ""
echo "Ativado limite inatividade de 5 minutos"
echo ""
echo ""
echo ""
#Remover shells dos usuários
for USER in $(cat /etc/passwd| cut -f 1 -d ":"| grep -v root| grep -v freitasrdf)
do
usermod -s /bin/false $USER
done
echo ""
echo ""
echo ""
echo "Removidos os shells dos usuarios"
echo ""
echo ""
echo ""
# Não permitir login do root
sed -e '/tty/d' /etc/securetty | tee /etc/securetty
#
echo "Desabilitado login pelo root"
;;
*) echo "erro use $0 {start|stop|inicio}"
exit 0
esac
Arquivo issue:
################# A T E N C A O ################# Você esta tentando logar em um servidor de administração do Departamento de TI. Todas as tentativas e os acessos estão sendo monitorados.
2. Script hardening.sh
Mandrake Firewall - Firewall com interface amigável
IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1
Análise Passiva: Analisando seu tráfego de maneira segura
Instalação e configuração do Snort Inline (modo IPS), Baynard2, Mysql e PulledPork no Debian Squeeze
Sistemas e volumes criptografados e escondidos utilizando o TrueCrypt
Sugestão.
Debian reforçado com CIS (Ansible CIS) => https://github.com/dbernaci/CIS-Debian10-Ansible
Nota: Esta função fará mudanças no sistema que podem quebrar coisas.
Por que dá erro 404 quando eu vou acessar o seu perfil?
https://www.vivaolinux.com.br/~freitasrdf
bacana.
___________________________________________________________
[code]Conhecimento não se Leva para o Túmulo.
https://github.com/MauricioFerrari-NovaTrento [/code]
Satisfied to consider your to be as I would hypothesize I have an equivalent issue, I am comparably befuddled and requiring light on this indistinguishable issue. Need assistance.
https://www.mcdvoice.tips/
Patrocínio
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (2)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
Sistema da Coréia do Norte - Red Star OS (14)
Problemas com o Lutris e o Wine no Slackware 15.0 (1)
redirecionando saida de comando touch para o AWK[RESOLVIDO] (18)
Top 10 do mês
-
Xerxes
1° lugar - 77.984 pts -
Fábio Berbert de Paula
2° lugar - 61.094 pts -
Clodoaldo Santos
3° lugar - 46.849 pts -
Sidnei Serra
4° lugar - 26.707 pts -
Buckminster
5° lugar - 26.063 pts -
Alberto Federman Neto.
6° lugar - 18.769 pts -
Daniel Lara Souza
7° lugar - 18.551 pts -
Mauricio Ferrari
8° lugar - 17.983 pts -
edps
9° lugar - 16.082 pts -
Diego Mendes Rodrigues
10° lugar - 15.918 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
