Hardening, se adequando as normas ISO 27000
O intuito deste artigo é orientar com um script simples como realizar um simples hardening de servidores baseados em Debian, podendo ser ajustado a outras versões. Lembrando que alguns pontos da ISO citada requerem avaliação por parte do administrador, pois cada servidor rodará vários tipos de serviços, devendo serrem desabilitados manualmente o que pode ser desnecessário
[ Hits: 5.380 ]
Por: Rogerio Domingos de Freitas em 19/10/2021
Script hardening.sh
#!/bin/bash
case $1 in
# restringir partições
start)
mount -o remount,rw,nosuid /usr
mount -o remount,rw,noexec,nosuid /tmp
mount -o remount,rw,noexec,nosuid /var
mount
echo ""
echo ""
echo ""
echo "ATIVAR RESTRICAO NAS PARTICOES"
echo ""
echo ""
echo ""
;;
stop)
mount -o remount,rw,exec /usr
mount -o remount,rw,exec /tmp
mount -o remount,rw,exec /var
mount
echo "DESATIVAR RESTRICOES NAS PARTICOES"
;;
inicio)
$0 start
#backup de arquivos
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#tar -czvf /hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/inittab /etc/profile /etc/fstab /etc/passwd
#Debian 10
tar -czvf /etc/hard/copias.tar /etc/securetty /etc/ssh/sshd_config /etc/profile /etc/fstab /etc/passwd
echo ""
echo ""
echo ""
echo "Realizado backup dos arquivos que serão alterados"
echo ""
echo ""
echo ""
#Desabilitar ctrl+alt+del
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#sed -e '/shutdown/d' /etc/inittab | tee /etc/inittab
#echo "ca:12345:ctrlaltdel:/sbin/echo "Este recurso foi desabilitado"" >> /etc/inittab
#Debian 10
systemctl mask ctrl-alt-del.target
systemctl daemon-reload
echo ""
echo ""
echo ""
echo "DESABILITAR CTRL+ALT+DEL"
echo ""
echo ""
echo ""
#config do ssh, alterar porta do ssh, a gosto do fregues
sed -e /Port/s/22/1433/g -e /PermitRootLogin/s/yes/no/g /etc/ssh/sshd_config| tee /etc/ssh/sshd_config
cp /etc/hard/issue /etc/issue.net
cp /etc/hard/issue /etc/issue
echo ""
echo ""
echo ""
echo "Configurado ssh"
echo ""
echo ""
echo ""
#Restringir apenas três terminais para acesso
#Debian anterior ao 10, onde ainda usava o /etc/inittab, descomentar e comentar as de Debian 10
#sed -e '/respawn/s/4:/#4:/g' -e '/respawn/s/5:/#5:/g' -e '/respawn/s/6:/#6:/g' /etc/inittab | tee /etc/inittab
#Debian 10
echo "NAutoVTs=3" >> /etc/systemd/logind.conf
echo ""
echo ""
echo "RESTRINGIR O USO DE APENAS TRES TERMINAIS"
echo ""
echo ""
echo ""
#Desabilitar Suid bit
chmod -s -R /
chmod +s /usr/bin/passwd
chmod +s /bin/su
echo ""
echo ""
echo ""
echo "Suid bit desativado"
echo ""
echo ""
echo ""
#Limite de inatividade de 5 minutos nos terminais
echo "TMOUT=300" >> /etc/profile
echo ""
echo ""
echo ""
echo "Ativado limite inatividade de 5 minutos"
echo ""
echo ""
echo ""
#Remover shells dos usuários
for USER in $(cat /etc/passwd| cut -f 1 -d ":"| grep -v root| grep -v freitasrdf)
do
usermod -s /bin/false $USER
done
echo ""
echo ""
echo ""
echo "Removidos os shells dos usuarios"
echo ""
echo ""
echo ""
# Não permitir login do root
sed -e '/tty/d' /etc/securetty | tee /etc/securetty
#
echo "Desabilitado login pelo root"
;;
*) echo "erro use $0 {start|stop|inicio}"
exit 0
esac
Arquivo issue:
################# A T E N C A O ################# Você esta tentando logar em um servidor de administração do Departamento de TI. Todas as tentativas e os acessos estão sendo monitorados.
2. Script hardening.sh
Mandrake Firewall - Firewall com interface amigável
Apache2 + PHP5 com ModSecurity no Debian Squeeze
Arpwatch - Detecte em sua rede ataques de Arp Spoofing/Arp Poisoning
Atirando o pau no gato com Metasploit
Desafio: Análise Forense Computacional - Forense em Tráfego de Rede [Resolvido]
Sugestão.
Debian reforçado com CIS (Ansible CIS) => https://github.com/dbernaci/CIS-Debian10-Ansible
Nota: Esta função fará mudanças no sistema que podem quebrar coisas.
Por que dá erro 404 quando eu vou acessar o seu perfil?
https://www.vivaolinux.com.br/~freitasrdf
bacana.
___________________________________________________________
[code]Conhecimento não se Leva para o Túmulo.
https://github.com/MauricioFerrari-NovaTrento [/code]
Satisfied to consider your to be as I would hypothesize I have an equivalent issue, I am comparably befuddled and requiring light on this indistinguishable issue. Need assistance.
https://www.mcdvoice.tips/
Patrocínio
Destaques
Artigos
Comparação entre os escalonadores BFQ e MQ-Deadline (acesso a disco) no Arch e Debian
Conciliando o uso da ZRAM e SWAP em disco na sua máquina
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos
Dicas
Overclocking Permanente para Drastic no Miyoo Mini Plus
Problemas de chaves (/usr/share/keyrings) no Debian
Converter os repositórios Debian para o novo formato com as chaves
Tópicos
como colocar uma prefix no faugus laucher ou wine (9)
aonde eu encontro prefix do mu online ou mu dark epoch, wine, port-pro... (1)
aonde eu encontro prefix do mu online ou mu dark epoch, wine, port-pro... (1)
aonde eu encontro prefix do mu online ou mu dark epoch, wine, port-pro... (1)
Top 10 do mês
-
Xerxes
1° lugar - 59.111 pts -
Fábio Berbert de Paula
2° lugar - 34.124 pts -
Buckminster
3° lugar - 18.174 pts -
Mauricio Ferrari
4° lugar - 13.049 pts -
Alberto Federman Neto.
5° lugar - 11.222 pts -
edps
6° lugar - 10.419 pts -
Daniel Lara Souza
7° lugar - 10.202 pts -
Sidnei Serra
8° lugar - 10.057 pts -
Diego Mendes Rodrigues
9° lugar - 9.314 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 8.646 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
