Hardening, se adequando as normas ISO 27000
O intuito deste artigo é orientar com um script simples como realizar um simples hardening de servidores baseados em Debian, podendo ser ajustado a outras versões. Lembrando que alguns pontos da ISO citada requerem avaliação por parte do administrador, pois cada servidor rodará vários tipos de serviços, devendo serrem desabilitados manualmente o que pode ser desnecessário
[ Hits: 5.213 ]
Por: Rogerio Domingos de Freitas em 19/10/2021
Script hardening.sh
#!/bin/bash
case $1 in
# restringir partições
start)
mount -o remount,rw,nosuid /usr
mount -o remount,rw,noexec,nosuid /tmp
mount -o remount,rw,noexec,nosuid /var
mount
echo ""
echo ""
echo ""
echo "ATIVAR RESTRICAO NAS PARTICOES"
echo ""
echo ""
echo ""
;;
stop)
mount -o remount,rw,exec /usr
mount -o remount,rw,exec /tmp
mount -o remount,rw,exec /var
mount
echo "DESATIVAR RESTRICOES NAS PARTICOES"
;;
inicio)
$0 start
#backup de arquivos
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#tar -czvf /hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/inittab /etc/profile /etc/fstab /etc/passwd
#Debian 10
tar -czvf /etc/hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/profile /etc/fstab /etc/passwd
echo ""
echo ""
echo ""
echo "Realizado backup dos arquivos que serão alterados"
echo ""
echo ""
echo ""
#Desabilitar ctrl+alt+del
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#sed -e '/shutdown/d' /etc/inittab | tee /etc/inittab
#echo "ca:12345:ctrlaltdel:/sbin/echo "Este recurso foi desabilitado"" >> /etc/inittab
#Debian 10
systemctl mask ctrl-alt-del.target
systemctl daemon-reload
echo ""
echo ""
echo ""
echo "DESABILITAR CTRL+ALT+DEL"
echo ""
echo ""
echo ""
#config do ssh, alterar porta do ssh, a gosto do fregues
sed -e /Port/s/22/1433/g -e /PermitRootLogin/s/yes/no/g /etc/ssh/sshd_config| tee /etc/ssh/sshd_config
cp /etc/hard/issue /etc/issue.net
cp /etc/hard/issue /etc/issue
echo ""
echo ""
echo ""
echo "Configurado ssh"
echo ""
echo ""
echo ""
#Restringir apenas três terminais para acesso
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#sed -e '/respawn/s/4:/#4:/g' -e '/respawn/s/5:/#5:/g' -e '/respawn/s/6:/#6:/g' /etc/inittab | tee /etc/inittab
#Debian 10
echo "NAutoVTs=3" >> /etc/systemd/logind.conf
echo ""
echo ""
echo "RESTRINGIR O USO DE APENAS TRES TERMINAIS"
echo ""
echo ""
echo ""
#Desabilitar Suid bit
chmod -s -R /
chmod +s /usr/bin/passwd
chmod +s /bin/su
echo ""
echo ""
echo ""
echo "Suid bit desativado"
echo ""
echo ""
echo ""
#Limite de inatividade de 5 minutos nos terminais
echo "TMOUT=300" >> /etc/profile
echo ""
echo ""
echo ""
echo "Ativado limite inatividade de 5 minutos"
echo ""
echo ""
echo ""
#Remover shells dos usuários
for USER in $(cat /etc/passwd| cut -f 1 -d ":"| grep -v root| grep -v freitasrdf)
do
usermod -s /bin/false $USER
done
echo ""
echo ""
echo ""
echo "Removidos os shells dos usuarios"
echo ""
echo ""
echo ""
# Não permitir login do root
sed -e '/tty/d' /etc/securetty | tee /etc/securetty
#
echo "Desabilitado login pelo root"
;;
*) echo "erro use $0 {start|stop|inicio}"
exit 0
esac
Arquivo issue:
################# A T E N C A O ################# Você esta tentando logar em um servidor de administração do Departamento de TI. Todas as tentativas e os acessos estão sendo monitorados.
2. Script hardening.sh
Mandrake Firewall - Firewall com interface amigável
VPN entre servidores CentOS 6 e Windows 7
Ferramenta Forense de Análise de Rede (NFAT) - Xplico
Instalando Bind9 + chroot no Debian
Notificação Fail2ban pelo Telegram
Escondendo banners de serviços
Sugestão.
Debian reforçado com CIS (Ansible CIS) => https://github.com/dbernaci/CIS-Debian10-Ansible
Nota: Esta função fará mudanças no sistema que podem quebrar coisas.
Por que dá erro 404 quando eu vou acessar o seu perfil?
https://www.vivaolinux.com.br/~freitasrdf
bacana.
___________________________________________________________
[code]Conhecimento não se Leva para o Túmulo.
https://github.com/MauricioFerrari-NovaTrento [/code]
Satisfied to consider your to be as I would hypothesize I have an equivalent issue, I am comparably befuddled and requiring light on this indistinguishable issue. Need assistance.
https://www.mcdvoice.tips/
Patrocínio
Destaques
Artigos
Automatizando digitação de códigos 2FA no browser
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Dicas
Como converter imagens PNG/JPEG para SVG em linha de comando
Fez porcaria no teu repositório Git? Aprenda a restaurar uma versão anterior do seu código!
Restaurando Fontes de Download do Hydra no Linux
Atualizando "na marra" o YT-DLP quando começa a dar erro de downloads
Como instalar o WPS com interface e corretor ortográfico em PT-BR no Arch Linux
Tópicos
[AJUDA] Problemas ao atualizar BIOS da Gigabyte B550M K rev. 1.1 — “RO... (5)
Impossível ativar audio 5.1 (1)
Inicializaçao lenta (alguns processos rodando) Debian 11 Bullseye [RES... (2)
Top 10 do mês
-
Xerxes
1° lugar - 65.312 pts -
Fábio Berbert de Paula
2° lugar - 47.024 pts -
Buckminster
3° lugar - 19.162 pts -
Mauricio Ferrari
4° lugar - 15.243 pts -
Alberto Federman Neto.
5° lugar - 13.021 pts -
Diego Mendes Rodrigues
6° lugar - 12.051 pts -
edps
7° lugar - 11.391 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.151 pts -
Daniel Lara Souza
9° lugar - 11.247 pts -
Andre (pinduvoz)
10° lugar - 9.045 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
