1Seguridad y Hardening enServidores LinuxAlex CallejasTechnical Account ManagerNoviembre 2014
Agenda2 Qué queremos proteger? Instalación endurecida Post instalación Administración segura del sistema Control de acceso Servicios seguros Preparandónos para el desastreSeguridad y Hardening en Servidores Linux Alex Callejas
Qué queremos proteger?ConfidencialidadIntegridad3Seguridad y Hardening en Servidores Linux Alex Callejas
Instalación Endurecidadonde todo comienza!4Seguridad y Hardening en Servidores Linux Alex Callejas
Seguridad física y control de acceso 5Si existe acceso físico al equipo, tenemos un punto crítico defallaAcceso al servidor Rack Acceso físico y control de accesoProteger el BIOS/UEFI Prevención de modificaciones Evita el boot no autorizado Deshabilitar periféricos no utilizados Fuentes redundantes RAIDSeguridad y Hardening en Servidores Linux Alex Callejas
Instalación: Mejores prácticas Tipo de instalación Particionamiento Planeación Reduce el tiempo de acceso a datos Facilita la recuperación ante desastres Minimiza los problemas por disponibilidad de espacio en discoSwap 6Minimal/BasicAnalizar el caso de usoSeguridad y Hardening en Servidores Linux Alex Callejas
Instalación: Mejores prácticas Use LVM! /boot kernel, GRUB Sin encripción Contraseña en GRUB/home 7A demandaSólo datos de usuario/var/tmp y /tmp Archivos temporales No se almacenan durante un largo periodoSeguridad y Hardening en Servidores Linux Alex Callejas
Post InstalaciónYa puedo entrar en producción?8Seguridad y Hardening en Servidores Linux Alex Callejas
Actualización del Sistema Actualización completa del sistema Revisión de erratas yum check-update --securityInstalación de erratas 9yum updateyum update --securitySeguridad y Hardening en Servidores Linux Alex Callejas
Prevenir combinación de reinicio[root@server ]# cp -alt-delete.override[root@server ]# vi /etc/init/control-altdelete.override.exec /bin/true[root@server ]#10Seguridad y Hardening en Servidores Linux Alex Callejas
Limitar información sobre el equipo Modificar /etc/banner y /etc/banner.issueEste sistema es para el uso exclusivo de usuariosautorizados, por lo que las personas que loutilicen estarán sujetos al monitoreo de todassus actividades en el mismo. Cualquier personaque utilice este sistema permite expresamente talmonitoreo y debe estar consciente de que si esterevelara una posible actividad ilicita, elpersonal de sistemas proporcionara la evidenciadel monitoreo al personal de seguridad, con elfin de emprender las acciones civiles y/o legalesque correspondan. /etc/motd 11Política de uso de información y del sistemaSeguridad y Hardening en Servidores Linux Alex Callejas
Servicios: Cuáles deben estar activos? Sólo los necesarios! 12ntsysvchkconfigsystemctl# systemctl list-unit-files# systemctl disable httpdSeguridad y Hardening en Servidores Linux Alex Callejas
Servicios: performance y seguridad ps, netstat top, htop, nmon lsof, pgrep systemtap13Seguridad y Hardening en Servidores Linux Alex Callejas
Limitar recursos Limitar el acceso como root a las terminales /etc/securettyForzar el logout de los usuarios .bashrc ó /etc/profile Limitar el acceso a los recursos 14TMOUT 360/etc/security/limits.confSeguridad y Hardening en Servidores Linux Alex Callejas
Administración Segura del SistemaCómo aplica los parches de seguridad?15Seguridad y Hardening en Servidores Linux Alex Callejas
Equipo de Respuesta a Incidentes de Seguridad Infomática CERThttp://www.cert.org.mx/index.html 16Publica información respecto a vulnerabilidades deseguridad y alertas de la misma índoleRealiza investigaciones sobre productos afectados y suscontramedidasPublicación de erratas Severidades Impactos CVE (Common Vulnerabilities and Exposures)Seguridad y Hardening en Servidores Linux Alex Callejas
Red Hat CVE DatabaseImpacto:17 Crítico Importante Moderado BajoSeguridad y Hardening en Servidores Linux Alex Callejas
Erratas Red Hat Security Advisory (RHSA) Red Hat Bug Fix Advisory (RHBA) Red Hat Enhancement Advisory (RHEA)18Seguridad y Hardening en Servidores Linux Alex Callejas
YUM Security plugin - instalación[root@server ]# yum -y install yum-plugin-security[root@server ]# cat /etc/yum/pluginconf.d/security.conf[main]enabled 1[root@server ]#19Seguridad y Hardening en Servidores Linux Alex Callejas
YUM Security plugin – verificación de erratas[root@server ]# yum updateinfoUpdates Information Summary: available4 Security notice(s)2 Important Security notice(s)2 Moderate Security notice(s)7 Bugfix notice(s)4 Enhancement notice(s)updateinfo summary done[root@server ]#20Seguridad y Hardening en Servidores Linux Alex Callejas
YUM Security plugin – verificación de erratas Lista de paquetes[root@server ]# yum updateinfo list Lista de paquetes que solucionan errata[root@server ]# yum updateinfo list --advisory RHSA-2014:1843 Detalle de errata[root@server ]# yum updateinfo RHSA-2014:1843 Verificación de CVE[root@server ]# yum updateinfo list --cve CVE-2014-318521Seguridad y Hardening en Servidores Linux Alex Callejas
Administración de actualizaciones Aplicación actualizaciones La mayor parte de los ataques ocurren con software noactualizado Monitoreo post actualización Administración de cambios Factibilidad22Seguridad y Hardening en Servidores Linux Alex Callejas
Control de accesoTenga el control de la administración del sistema23Seguridad y Hardening en Servidores Linux Alex Callejas
Firewall Sirve como separación entre su red e internet Permite el uso legítimo de la red Previene el tráfico no autorizado al servidor (malicioso) iptables Evaluación Búsqueda de normas existentes Identificar las necesidades de protección Definición de estrategia24Seguridad y Hardening en Servidores Linux Alex Callejas
TCP Wrappers Herramienta que permite o niega el acceso a servicios Utiliza la librería Libwrap Archivos de control: /etc/hosts.allow /etc/hosts.denyUsar en conjunto con firewallsshd: client1.example-rh.com : allowsshd: client1.example-rh.com : deny25Seguridad y Hardening en Servidores Linux Alex Callejas
Control de acceso MAC (Mandatory Access Control) SELinux (Security-Enhanced Linux) Por defecto en RHELhttp://stopdisablingselinux.com/ DAC (Discretionary Access Control) chmod chattrACL 26filesystemSeguridad y Hardening en Servidores Linux Alex Callejas
Control de acceso Permisos especiales Atributos SUID, SGID, sticky bitchattr, lsattrRevisar directorios con permisos especiales[root@server ]# find / -type f -perm 1000 -ls sudo 27sudoshSeguridad y Hardening en Servidores Linux Alex Callejas
Auditoria: Use audit! 28Mecanismo de monitoreo de información relevantepara la seguridad, basado en reglas predefinidasaudit no proporciona ningún nivel de seguridadadicionalLos eventos se almacenan en logsEs útil para la evaluación de violaciones a las políticasde seguridad y las actividades realizadas en el sistemaLos posibles violaciones se pueden evitar con medidaspreventivas conforme al análisis de logsSeguridad y Hardening en Servidores Linux Alex Callejas
Auditoria: Política de login/contraseñaschage/etc/login.defs29PASS MAX DAYS99999PASS MIN DAYS0PASS MIN LEN5PASS WARN AGE7LOGIN RETRIES5LOGIN TIMEOUT60Seguridad y Hardening en Servidores Linux Alex Callejas
Seguridad en el almacenamiento de datos Backup! Estrategia Storage, cinta. Calendarización Software 30BaculaAmandaSeguridad y Hardening en Servidores Linux Alex Callejas
Servicios SegurosPuntos de atención, riesgos y amenazas31Seguridad y Hardening en Servidores Linux Alex Callejas
Servicios – algunos riesgos 32Servicios inseguros Denial of Service (DoS) Distributed Denial of Service (DDoS) Buffer overflow Remote script executionSeguridad y Hardening en Servidores Linux Alex Callejas
Servicios: SSH Mantenerlo actualizado! Restringir el uso Indispensable para SysAdmins/etc/ssh/sshd configPort 22Protocol 2PermitRootLogin noLoginGraceTime 60PermitEmptyPasswords noAllow users tux linusBanner /etc/issue33 Use Llaves! ssh-keygen ssh-copy-idSeguridad y Hardening en Servidores Linux Alex Callejas
Servicios: FTP VSFTP (Very Secure FTP) Alternativas: ProFTP, Pure-ftp, etc. Mantener actualizado! Enjaular (chroot) Analizar caso de uso34 Usuarios Cuota Upload/DownloadSeguridad y Hardening en Servidores Linux Alex Callejas
Servicios: vsftpd Configurar banner Deshabilitar login anónimo write enable YESDelimitar usuarios userlist enable YES userlist file /etc/vsftpd.allowed usersEnjaular usuarios 35anonymous enable NOPermitir que los usuarios suban archivos ftpd banner FTP Serverchroot local user YESSeguridad y Hardening en Servidores Linux Alex Callejas
Servicios: vsftpd Control del acceso Prevenir DoS ls recurse enable NO max clients 200 max per ip 4FTP con SSL 36/etc/ftpusersssl enable YES allow anon ssl NO force local data ssl NO force local logins ssl NO ssl tlsv1 YES ssl sslv2 NO ssl sslv3 NO rsa cert file /etc/vsftpd/vsftpd.pemSeguridad y Hardening en Servidores Linux Alex Callejas
Servicios: web server Mantenerlo actualizado! Agregar soporte a conexiones encriptadas Analizar el uso de modulos de seguridad mod security, mod evasive, mod access, mod authz Analizar el caso de uso Probar las configuraciones antes de aplicar en producción apachectl configtest apachectl gracefullRestringir acceso 37.htaccess y htpasswdSeguridad y Hardening en Servidores Linux Alex Callejas
Syslog centralizado rsyslog rsyslog-gnutls logrotate38Seguridad y Hardening en Servidores Linux Alex Callejas
Tuneame el kernel Evitar SYN ATACK que causa negación de servicio (DoS) Engañar el “OS guessing” en scans /proc/sys/net/ipv4/icmp echo ignore broadcastsDeshabilitar IPV6 39/proc/sys/net/ipv4/icmp echo ignore allIgnorar broadcast /proc/sys/net/ipv4/ip default ttlBloquear ICMP (ping) /proc/sys/net/ipv4/tcp syncookies/proc/sys/net/ipv6/conf/all/disable ipv6Seguridad y Hardening en Servidores Linux Alex Callejas
Preparándonos para el desastrePlanificando contingencias y continuidad40Seguridad y Hardening en Servidores Linux Alex Callejas
BIA - Business Impact Analysis 41¿Cuánto tiempo puede detenerse producción en casode un incidente?¿Cuál es el impacto del tiempo de inactividad en elnegocio?¿Cuáles son los requisitos mínimos para volver a lanormalidad?¿Hay contingencia?En caso de desastre, ¿cuanto es el tiempo minimonecesario para regresar a la normalidad?Seguridad y Hardening en Servidores Linux Alex Callejas
Plan de Contingencia Ciclo de vida PDCA (plan-do-check-act) Análisis de riesgo 42Identificar amenazasPlan Contingencia Plan de respaldo Plan de emergencia Plan de recuperaciónSeguridad y Hardening en Servidores Linux Alex Callejas
DRP – Plan de Recuperación de Desastres43Seguridad y Hardening en Servidores Linux Alex Callejas
DRP – BCP Backup! Capacitación Monitoreo Medios alternos 44kickstart, snapshot, clonezillaSeguridad y Hardening en Servidores Linux Alex Callejas
45Seguridad y Hardening en Servidores Linux Alex Callejas
28 Seguridad y Hardening en Servidores Linux Alex Callejas Auditoria: Use audit! Mecanismo de monitoreo de información relevante para la seguridad, basado en reglas predefinidas audit no proporciona ningún nivel de seguridad adicional Los eventos se almacenan en logs Es útil para la evaluación de violaciones a las políticas de seguridad y las actividades realizadas en el sistema
Case Study: Laser Hardening By Markus A. Ruetering The hardening of materials by laser is a specialized and fast-growing field, as it offers improved wear resistance, . the industry — e.g., oven hardening, flame hardening, and induction hardening — mill - ing, shaping, and grinding are necessary after hardening. Hence, the necessary material
this study is IPv6-only hardening. Any other type of hardening (e.g. DC hardening, web server hardening, database hardening, etc.) are beyond the scope of this study. The services provided by the IPv6-capable servers do not rely on any IPv6 Extension header, or on any multicast traffic.
Thermal Methods of Hardening by Comparison FLAME HARDENING METHOD ADVANTAGES DISADVANTAGES 0,4% C 0,7% (Steel casting) Large parts Wall thickness 15 mm Localized hardening of functional surfaces Low technical complexity Poor reproducibility; Ledeburite hardening at high carbon content INDUCTIVE HARDENING LASER HARDENING Focus on Steel .
FLAME- /INDUCTION HARDENING. Temperature: 850-870 C (1560-1600 F). Cooling: freely in air. Surface hardness: 54-56 HRC. Hardening depth: 41 HRC at a depth of 3.5- 4 mm (0.14-0.16 inch) when flame hardening. Can be increased when induction hardening depend - ing on the coil and the power input. Flame or induction hardening can be done
The three important surface hardening methods from left to right are case hardening, nitriding, and induction-flame-hardening respectively . 4 13FTM22 Surface hardening is carried out at treating temperatures 50 C - 100 C above the material-specific hardening temperature. The heating can be done by flame, induction, laser- or electron beam.
Operating system hardening for a Linux operating system can be automated and needs to be performed in high security environments. Automated hardening is needed in virtual environments with lots of instances. Also, for identical system environments deployment automation is essential. Automatic system hardening is a well-established administration procedure. The purpose of this work was to .
Hardening Guide 9 CHAPTER 1 Introduction Scope of this Guide Below is a brief description of the type of information covered in this hardening guide. Chapter 1: Introduction This section covers hardening basics and prerequisite skills, identifies industry-accepted tools and guidelines, and defines the architectural scope of this document.
since 2012. The third and final year of the strategy provided a good opportunity for us . to take stock of what we as nurses, midwives and care staff have achieved through the strategy and how we have contributed to ensuring high quality, compassionate care. This means not only thinking about this final year, but also reflecting on the last three years as a whole. I have been privileged to .