Product SiteDocumentation Site

Guia de segurança do Debian 3.19

Guia de segurança do Debian

Javier Fernández-Sanguino Peña

Nota Legal

Copyright © 2017 | SPI inc. | This material may only be distributed subject to the terms and conditions set forth in the GNU Free Documentation License (GFDL), V1.2 or later (the latest version is presently available at http://www.gnu.org/licenses/fdl.txt).

Resumo

Este documento descreve a segurança no sistema Debian. Iniciando com o processo de tornar mais seguro e fortalecer a instalação padrão da distribuição Debian GNU/Linux. Ele também cobre algumas das tarefas mais comuns para configurar um ambiente de rede seguro usando a Debian GNU/Linux, oferece informações adicionais sobre as ferramentas de segurança disponíveis e fala sobre como a segurança é fornecida na Debian pelo time de segurança
1. Introdução
1.1. Autores
1.2. Where to get the manual (and available formats)
1.3. Notas de organização/Retorno
1.4. Conhecimento necessário
1.5. Coisas que precisam ser escritas (FIXME/TODO)
1.6. Créditos e Agradecimentos!
2. Antes de você iniciar
2.1. Para que finalidade você quer este sistema?
2.2. Esteja ciente dos problemas gerais de segurança
2.3. Como o Debian controla a segurança do sistema?
3. Antes e durante a instalação
3.1. Escolha uma senha para a BIOS
3.2. Particionando o sistema
3.2.1. Escolha um esquema de partição inteligente
3.2.2. Escolhendo o sistema de arquivos apropriado
3.3. Não conecte-se a internet até estar pronto
3.4. Configure a senha do root
3.5. Rode o mínimo de serviços necessários
3.5.1. Desabilitando daemons de serviço
3.5.2. Desabilitando o inetd ou seus serviços
3.6. Instale o mínimo de software necessário
3.6.1. Removendo Perl
3.7. Leia as listas de segurança do Debian (security mailing lists)
4. Após a instalação
4.1. Inscreva-se na lista de discussão "Anúncios de Segurança do Debian"
4.2. Executar uma atualização de segurança
4.2.1. Security update of libraries
4.2.2. Security update of the kernel
4.3. Altere a BIOS (de novo)
4.4. Configurar a senha do LILO ou GRUB
4.5. Disable root prompt on the initramfs
4.6. Remover o aviso de root do kernel
4.7. Restringindo o acesso de login no console
4.8. Restringindo reinicializações do sistema através da console
4.9. Restricting the use of the Magic SysRq key
4.10. Montando partições do jeito certo
4.10.1. Setting /tmp noexec
4.10.2. Definindo o /usr como somente-leitura
4.11. Fornecendo acesso seguro ao usuário
4.11.1. Autenticação do Usuário: PAM
4.11.2. Password security in PAM
4.11.3. User access control in PAM
4.11.4. User limits in PAM
4.11.5. Control of su in PAM
4.11.6. Temporary directories in PAM
4.11.7. Configuration for undefined PAM applications
4.11.8. Limiting resource usage: the limits.conf file
4.11.9. Ações de login do usuário: edite o /etc/login.defs
4.11.10. User login actions: edit /etc/pam.d/login
4.11.11. Restricting ftp: editing /etc/ftpusers
4.11.12. Usando su
4.11.13. Usando o sudo
4.11.14. Desativação de acesso administrativo remoto
4.11.15. Restringindo acessos de usuários
4.11.16. Auditoria do usuário
4.11.17. Revisando perfis de usuários
4.11.18. Ajustando a umask dos usuários
4.11.19. Limitando o que os usuários podem ver/acessar
4.11.20. Gerando senhas de usuários
4.11.21. Verificando senhas de usuários
4.11.22. Logout de usuários ociosos
4.12. Usando os tcpwrappers
4.13. A importância dos logs e alertas
4.13.1. Using and customizing logcheck
4.13.2. Configurando para onde os alertas são enviados
4.13.3. Usando um servidor de logs
4.13.4. Permissões dos arquivos de log
4.14. Adicionando patches no kernel
4.15. Protegendo-se contra estouros de buffer
4.15.1. Patches de kernel para proteção contra estouros de buffer
4.15.2. Testando problemas de estouro em programas
4.16. Transferência segura de arquivos
4.17. File system limits and control
4.17.1. Usando quotas
4.17.2. The ext2 filesystem specific attributes (chattr/lsattr)
4.17.3. Verificando a integridade do sistema de arquivos
4.17.4. Configurando verificação de setuid
4.18. Tornando o acesso a rede mais seguro
4.18.1. Configurando características de rede do kernel
4.18.2. Configuring syncookies
4.18.3. Tornando a rede segura em tempo de inicialização
4.18.4. Configurando características do firewall
4.18.5. Desativando assuntos relacionados a weak-end de máquinas
4.18.6. Protegendo-se contra ataques ARP
4.19. Fazendo um snapshot do sistema
4.20. Outras recomendações
4.20.1. Não use programas que dependem da svgalib
5. Tornando os serviços em execução do seu sistema mais seguros
5.1. Tornando o ssh mais seguro
5.1.1. Executando o ssh em uma jaula chroot
5.1.2. Clientes do ssh
5.1.3. Desativando transferências de arquivos
5.1.4. Restricing access to file transfer only
5.2. Tornando o Squid mais seguro
5.3. Tornando o FTP mais seguro
5.4. Tornando o acesso ao sistema X Window mais seguro
5.4.1. Verifique seu gerenciador de tela
5.5. Tornando o servidor de impressão mais seguro (sobre o lpd e lprng)
5.6. Tornando o serviço de e-mails seguro
5.6.1. Configurando um programa de e-mails nulo
5.6.2. Fornecendo acesso seguro às caixas de mensagens
5.6.3. Recebendo mensagens de forma segura
5.7. Tornando o BIND mais seguro
5.7.1. Configuração do Bind para evitar má utilização
5.7.2. Alterando o usuário do BIND
5.7.3. Executando o servidor de nomes em uma jaula chroot
5.8. Tornando o Apache mais seguro
5.8.1. Proibindo a publicação de conteúdo dos usuários
5.8.2. Permissões de arquivos de log
5.8.3. Arquivos da Web Publicados
5.9. Tornando o finger mais seguro
5.10. Paranóia geral do chroot e suid
5.10.1. Criando automaticamente ambientes chroots
5.11. Paranóia geral sobre senhas em texto puro
5.12. Desativando o NIS
5.13. Tornando serviços RPC mais seguros
5.13.1. Desativando completamente os serviços RPC
5.13.2. Limitando o acesso a serviços RPC
5.14. Adicionando capacidades de firewall
5.14.1. Fazendo um firewall no sistema local
5.14.2. Usando um firewall para proteger outros sistemas
5.14.3. Setting up a firewall
6. Fortalecimento automático de sistemas Debian
6.1. Harden
6.2. Bastille Linux
7. Infraestrutura do Debian Security
7.1. O time Debian Security
7.2. Debian Security Advisories
7.2.1. Referências sobre vulnerabilidades
7.2.2. Compatibilidade CVE
7.3. Security Tracker
7.4. Infraestrutura da segurança Debian
7.4.1. Guia dos desenvolvedores de atualizações de seguranaça
7.5. Assinatura de pacote no Debian
7.5.1. O esquema proposto para checagem de assinatura dos pacotes
7.5.2. Secure apt
7.5.3. Per distribution release check
7.5.4. Release check of non Debian sources
7.5.5. Esquema alternativo de assinatura per-package
8. Ferramentas de segurança no Debian
8.1. Ferramentas de verificação remota de vulnerabilidades
8.2. Ferramentas de varredura de rede
8.3. Auditoria Interna
8.4. Auditoria de código fonte
8.5. Redes Privadas Virtuais (VPN)
8.5.1. Tunelamento ponto a ponto
8.6. Infra-estrutura de Chave Pública (PKI)
8.7. Infra-estrutura SSL
8.8. Ferramentas Anti-vírus
8.9. Agentes GPG
9. Developer's Best Practices for OS Security
9.1. Best practices for security review and design
9.2. Creating users and groups for software daemons
10. Antes do comprometimento do sistema
10.1. Keep your system secure
10.1.1. Tracking security vulnerabilities
10.1.2. Atualizando continuamente o sistema
10.1.3. Evite usar versões instáveis
10.1.4. Security support for the testing branch
10.1.5. Atualizações automáticas no sistema Debian GNU/Linux
10.2. Faça verificações de integridade periódicas
10.3. Configure um sistema de Detecção de Intrusão
10.3.1. Detecção de intrusão baseada em rede
10.3.2. Detecção de intrusão baseada em host
10.4. Evitando os rootkits
10.4.1. Loadable Kernel Modules (LKM)
10.4.2. Detectando rootkits
10.5. Idéias Geniais/Paranóicas — o que você pode fazer
10.5.1. Construindo um honeypot
11. Depois do comprometimento do sistema (resposta a incidentes)
11.1. Comportamento comum
11.2. Efetuando backup do sistema
11.3. Contate seu CERT local
11.4. Análise forense
11.5. Analysis of malware
12. Questões feitas com freqüência (FAQ)
12.1. Tornando o sistema operacional Debian mais seguro
12.1.1. A Debian é mais segura que X?
12.1.2. Meu sistema é vulnerável! (Você tem certeza?)
12.2. Programas específicos
12.2.1. proftpd is vulnerable to a Denial of Service attack.
12.2.2. After installing portsentry, there are a lot of ports open.
12.3. Questões relacionadas ao time de segurança da Debian
A. Revision History
B. Appendix
B.1. Passo-a-passo do processo de fortalecimento
B.2. Checklist de configuração
B.3. Configurando um IDS stand-alone
B.4. Configurando uma ponte firewall
B.4.1. Uma ponte fornecendo capacidades de NAT e firewall
B.4.2. Uma ponte fornecendo capacidades de firewall
B.4.3. Regras básicas do IPtables
B.5. Exemplo de script para alterar a instalação padrão do Bind.
B.6. Atualização de segurança protegida por um firewall
B.7. Chroot environment for SSH
B.7.1. Chrooting the ssh users
B.7.2. Chrooting the ssh server
B.7.3. Chroot environment for Apache
B.7.4. Veja também