Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
html
2 - Arquivos de senhas
1 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Exercícios com atribuição de permissão de su para poucos usuários, controle de recursos, CPU, memória, etc.
Referências:
http://2020ok.com/books/8/securing-optimizing-linux-rh-edition-v1-3-41208.htm
E-Books Free
*** www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s03.html#seg-pam
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s07.html
*** www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/ch4.en.html#s4.9
*** geocities.yahoo.com.br/cesarakg/protegendo_seu_linux.html
*** www.revistadolinux.com.br/ed/021/assinantes/seguranca.php3
*** www.linuxbsd.com.br/phpLinuxBSD/modules/man/LinuxFoca/foca_linux_intermediario/ch-etc.htm
*** www.cbpf.br/~sun/pdf/pam.pdf
Debian Security
Fazer com sessões de shell iniciadas por usuários ou grupo de usuários tenham restrições quanto ao uso de recursos da
máquina como:
Como exemplo limitaremos o uso de recursos de sessões abertas pelo ssh, sessões remotas.
Exemplos:
1 - Limitar número máximo de processos para 6 e quantidade de logins para 2 de todos os usuários.
* hard maxlogins 2
É importante frisar que nenhuma restrição pode ser aplicada ao usuário root.
*** www.newsforge.com/article.pl?sid=04/09/20/1556223
Exercícios:
1 - Configurar o PAM de modo a permitir que apenas alguns usuários possam se tornar root.
2 - Configurar o PAM para os serviços IMAP e POP - (www.faqs.org/docs/securing/chap23sec189.html)
3 - Controlar o acesso ao servidor, via SSH, em determinados dias e horários apenas.
2 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
4 - Configurar os limites do servidor, estabelecendo o número máximo de processos, conexões simultâneas, número de
conexões dos usuários, ftp users, tempo de conexão, falhas de autenticação, etc.
5 - Através do link : www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/ch4.en.html#s4.9.8, faça uma
comparação com as configurações padrões dos servidores Linux, instalação default.
6 - Instalar o Módulo do de configuração do PAM para o WEBMIN (www.webmin.com)
3 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Introdução
Utilização das ferramentas: satan, saint, nessus, nmap, queso, strobe, tcp_scan, udp_scan e netcat
Varredura com NMAP: granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/ferramentas.varredura.html
Exemplos de utilização
4.3 - Monitoração das atividades de Rede: Pacotes iptraf, trafshow, netdiag, iplog (TCP/IP traffic logger)
Utilização do IPLOG:
4 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Exemplos de utilização:
Exemplos: www.cartel-securite.fr/pbiondi/scapy.html
Test the robustness of a network stack with invalid packets:
sr(IP(dst="172.16.1.1", ihl=2, options="b$2$", version=3)/ICMP())
Protocol scan:
sr(IP(dst="172.16.1.28", proto=(1,254)))
ARP ping:
srp(Ether(dst="ff:ff:ff:ff:ff:ff")/ARP(pdst="172.16.1.1/24"))
ACK scan:
sr(IP(dst="172.16.1.28")/TCP(dport=(1,1024), flags="A"))
Passive OS fingerprinting:
sniff(prn=prnp0f)
Active OS fingerprinting:
nmap_fp("172.16.1.232")
Reporting:
report_ports("192.168.2.34", (20,30))
5 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
dsniff : Password sniffer, permite verificar senhas nos seguintes serviços: FTP, Telnet, SMTP, HTTP, POP, poppass,
NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS,
IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer,
Microsoft SMB, Oracle SQL*Net, Sybase e protocolos SQL Microsoft.
dsniff -m -c -i fxp0: Captura pacotes na interface de rede fxp0 e detecta automaticamente o protocolo usado.
Procura por vulnerabilidades (500+) em aplicações WEB bem como serviços (RPC, FTPD IMAPD, POP3 e Linuxconf)
no endereço IP especificado.
nss -s 192.168.0.1
* Boa ferramenta para testar a segurança de WEB site. Disponível para Unix e Windows
http://packetstormsecurity.org/UNIX/scanners/nss/
Controle de usuários, chroot, shells permitidos, hosts, modificação de atributos execução de comandos, criação de
diretórios, etc.
http://www.linorg.cirp.usp.br/solhre/chap29sec295.html
http://www.openssh.org
Exercícios
6 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
7 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
www.cs.tut.fi/~rammer/aide.html
sourceforge.net/projects/aide
www.cs.tut.fi/%7Erammer/aide/manual.html
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s07.html
Identifica riscos de segurança em sistema Unix. Verifica se o arquivo de senhas (/etc/passwd) está vazio, se existem
arquivos com permissão de escrita para todos, se o servidor de FTP anônimo está mal configurado, dentre outros.
Disponível em:www.fish.com/cops/
www.nongnu.org/tiger/
Verificação de Segurança local: Permissões,em arquivos de senha, NFS, Sendmail, portas de rede, etc.
Verifica vulnerabilidades de segurança em sistemas Unix. É muito parecido com o COPS porém possui mais recursos.
Utilização : /usr/sbin/tiger
Resultados : Diretório /var/log/tiger
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s09.html
*** www.rnp.br/newsgen/9711/seguranca.html
www.revista.unicamp.br/infotec/artigos/frank3.html#2
8 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Ferramenta harden-tools
9 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Exemplo de utilização
$> nc -v website.com 80 # digite no prompt GET / HTTP/1.0 ou HEAD /HTTP/1.0 para adquirir informações do WEB
server.
No FreeBSD : /usr/ports/sysutils/socket
Pode-se criar uma conexão TCP em determinada porta e epserar troca de dados nesta conexão:
No cliente colocar : telnet localhost 2345 e passar os dados. O cliente vai mostrar dados recebidos.
2 - Pode-se executar um determinado comando ou programa ao se conectar numa determinada porta TCP:
Colocar no cliente: telnet localhost 2345 , isso vai mostrar a mensagem "Funciona legal" e fechar a conexão.
10 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s08.html
Logs de arquivos relacionados a segurança: Apache, auth.log, e-mails, syslog, sulog, messages, etc.
Softwares para segurança, o diretorio /usr/ports/security.
Instalação do FAKEBO.
Instalação do chkrootkit e verificação do FAKEBO.
Níveis de segurança do FreeBSD.
Antivírus clamav. Instalação e utilização.
Firewall IPTABLES, IPFW e PF.
Criação de regras e utilização.
Firewall para o Linux : Iptables
www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch15s08.html
Firewall para o FreeBSD : IPFW e PF
granito2.cirp.usp.br/Handbook.FAQ.FreeBSD/handbook/firewalls.html
www.rnp.br/newsgen/9901/ipfw-bsd.html
Ferramentas para FreeBSD: sockstat, systat, fstat, ifstat, netstat, nfsstat, ps, iostat, pstat e vmstat . Instalação e
utilização.
Ferramentas para o Linux :dstat, ifstat (para Kernel 2.6), systat (sar, iostat e mpstat). Instalação e utilização.
11 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Software HAKTEK
São sistemas e ferramentas para a detecção de intrusão, invasão e comprometimento de um servidor. Detecta pacotes
que podem estar trafegando na rede e causando danos.
SNORT: www.snort.org
12 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Exercícios
1 - Instalar os programas socket, netcat e dfstat e verificar suas funcionalidades.
2 - Utilizar o comando socket para criar uma conexão e verificar através do nmap ou nmapfe a situação das portas TCP. Verificar também com o
comando lsof.
3 - Utilizar o comando netcat para trabalhar como cliente e servidor. Verificar com um port scanner a presença do netcat.
5 - Utilizar os comandos do pacote netdiag para fazer os diagnósticos na rede, nas conexões TCP, situação da rede, tráfego de dados, etc.
6 - Utilizar os comandos nmap e lsof para verificar as conexões TCP, portas em utilização e arquivos que estão sendo usados por determinados
processos.
7 - Utilizar o software chkrootkit para examinar as conexões de rede, rootkits suspeitos, possíveis programas infectados por rootkits, etc.
9 - O que significa uma placa de rede trabalhando em modo Promíscuo ? Como fazer para que ela saia do modo Promíscuo ?
13 - Fazer varredura de portas com o NMAP e o STROBE (componente do netdiag) na própria máquina e em mais uma máquina.
15 - Verificar as portas abertas e protegê-las. Usar os programas lsof, netstat, sockstat e nmap.
16 - Usar o /etc/inetd.conf e /etc/init.d/ para ver a lista de Daemons que podem ser inicializados. Fazer adaptações de modo a se colocar novos
serviços.
17 - Usar o comando lsof para verificar serviços de rede/processos e arquivos usados por cada processo, etc.
18 - Verificar os arquivos de log od Servidor Web Apache e procurar por suspeitas de ataques CGI, execução de programas executáveis, etc.
Usar o programa NESSUS para verificação mais detalhada e diversificada das vulnerabilidades existentes.
19 - Elabore um esquema de bloqueio de conexões ao seu servidor Debian Linux. Deve-se aceitar conexões SSH e FTP de poucos usuários e
endereços IP.
20 - Um servidor Linux foi considerado HACKEADO e está comprometido. Os dados dos usuários devem ser preservados e o HACKER deve ser
identificado.
O servidor Linux não permite que o usuário root se conecte. A senha foi trocada.
Alguns comandos (ps, df, pwd e ls) foram removidos e não há como verificar suas funcionalidades.
Há uma denúncia de que o servidor está fazendo SCAN de portas em outro servidor, de outra Rede.
Não é possível reinstalar o Sistema Operacional todo, tem que fazer o Backup antes. Como fazer o Backup nesta situação ?
Que ferramentas são necessárias para se descobrir as vulnerabilidades e o causador deste transtorno ?
Como recuperar os arquivos apagados (ps, df, pwd e ls) ?
O que é necessário para que todo o servidor seja reestabelecido e seu funcionamento normalizado ?
21 - Na verificação de certos pacotes e serviços instalados num Unix, o que deve ser considerado em relação a possíveis vulnerabilidades dos
serviços disponibilizados ? Como manter o servidor em funcionamento próximo do ideal ?
22 - Como estabelecer limites para os usuários dum S.O. Unix ? Quais tipos de limites julga necessários ?
23 - Como fazer para verificar constantemente a integridade dos arquivos e diretórios do Unix ?
24 - Como proteger o Kernel de um S.O. Unix, evitar a instalaçao de Rootkits ? Elabore um esquema de proteção.
25 - Como fazer um teste das possíveis vulnerabilidades que um S.O. Unix pode apresentar ? Quais ferramentas e metodologia você utilizaria ?
Justifique.
13 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
14 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Referências Bibliográficas:
www.onlinux.com.br/dicas/lnag/
www.linuxsecurity.com
www.underlinux.com.br
www.unixsecurity.com
www.unixsecurity.com.br
www.linorg.cirp.usp.br/Seguranca.Linux/
ftp://www.linorg.cirp.usp.br/LNAG/
ftp://www.linorg.cirp.usp.br/Seguranca/
www.linorg.cirp.usp.br/Debian.refs/
ftp://www.linorg.cirp.usp.br/pub1/
http://www.linorg.cirp.usp.br/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/
Artigos e Revistas
Artigo Linux Security Tips: ftp://linorg.cirp.usp.br/pub/Livros/sharma.html
RNP - Rede Nacional de Pesquisa e Ensino: Artigos publicados
Revista do Gestor de Segurança de Informação: Security Review
Revistas e Livros, Hackerismo, etc:www.linuxmall.com.br/index.php?product_id=2171
*** Securing and Hardening Linux Production Systems: www.puschitz.com/SecuringLinux.shtml
Revistas sobre Segurança: www.infosyssec.com/infosyssec/secmag1.htm
Best Hacking Download Sections on the Net: www.infosyssec.net/infosyssec/tools2.htm
Artigos Segurança em Linux: ftp://linorg.cirp.usp.br/pub/Livros/Artigos_Livros_etc_Seguranca_LINUX.html
IT Magazines and Newspapers: www.infosyssec.org/infosyssec/compmagonline.htm
YoLinux: Internet Server Security and Configuration Tutorial: yolinux.com/TUTORIALS/LinuxTutorialInternetSecurity.html
YoLinux: List of Linux Security and Hacker Software Tools: yolinux.com/TUTORIALS/LinuxSecurityTools.html
Segurança em Unix/Redes
ftp://linorg.cirp.usp.br/Seguranca/
Manual de Segurança do Linux Debian
Segurança em Servidores
Network Security
Intrusion Detection
Lista Security - UNICAMP
www.securityfocus.com
www.securitytracker.com
ACME Security
SANS www.sans.org
Security Focus www.securityfocus.org
*** NIC BR www.nic.br
*** NIC BR Security Officer www.nic.br/seguranca/index.html
Check list em Segurança de Servidores: seg-adm-redes.pdf seg-adm-chklist.pdf
CAIS www.rnp.br/cais
Protegendo o FreeBSD:granito2.cirp.usp.br/Handbook.FAQ.FreeBSD/handbook/securing-freebsd.html
Detecção de Intrusão Checklist: www.cert.org/tech_tips/intruder_detection_checklist.html
Network Security Tools: www.insecure.org/tools.html
Cartilha de Segurança: cartilha.cert.br
Antispam.br: www.antispam.br
*** A Taste of Computer Security: www.kernelthread.com/publications/security/index.html
*** Unix vs. Microsoft Windows : www.kernelthread.com/publications/security/uw.html
*** Segurança de serviços e uso de ferramentas: http://www.linuxjournal.com/taxonomy/term/7
*** Packet Storm Security:http://packetstormsecurity.org
15 de 16 11/2/2009 16:45
Segurança em Sistemas Operacionais Unix/Linux http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Artigos do autor
Qual Unix usar ? Como escolher ? Sistema Operacional FreeBSD
Autor : MSc.Eng. Ali Faiez Taha / Electronic Mail : aftaha ARROBA cirp.usp.br / SCSUPOR - CIRP
16 de 16 11/2/2009 16:45