SlideShare una empresa de Scribd logo

Hardening de Servidores Linux Oscar Gonzalez

Oscar Gonzalez
Oscar Gonzalez

El documento describe los pasos para realizar el hardening de servidores Linux. Incluye proteger el servidor físicamente, proteger la red perimetral mediante firewalls y VPN, fortalecer el entorno LAMP y SSH, establecer logging y monitoreo, y realizar auditorías periódicas para verificar la seguridad. El objetivo del hardening es eliminar vulnerabilidades y restringir el acceso a través de la aplicación del principio de privilegios mínimos.

1 de 15
Descargar para leer sin conexión
HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux
HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux IANUX SALTALUG IT & Security Solutions Comunidad de Software Libre http://ianux.com UID0 http://saltalug.org.ar Security Conference http://uid0.com.ar Oscar Gonzalez Sr. IT Specialist http://ar.linkedin.com/in/gonzalezrenato/ Debian Consultant Argentina http://www.debian.org/consultants/#AR oscar.gonzalez@ianux.com.ar
HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux Agenda: • Introducción al Hardening • Protección física • Protección Perimetral • Protección de la capa de aplicación • Fortificación Entorno LAMP (Mysql PHP Apache) • Fortificación SSH • Logging, File Integrity, Particionado • Monitoreo y Backups • Auditoria para Hardening
HARDENING DE SERVIDORES LINUX Introducción al Hardening “Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando “fallos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de desarrollar y implementar procedimientos de consolidación para asegurar sus recursos críticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fácil implementación y auditoría. 1. Defensa en profundidad Procedimientos, concienciación y políticas Seguridad del perímetro Seguridad en la red interna Seguridad a nivel de servidor Seguridad en la aplicación 2. Mínimo privilegio posible 3. Mínimo punto de exposición 4. Gestión de riesgos
Protección Física HARDENING DE SERVIDORES LINUX El lugar donde este colocado el servidor es sumamente importante para su estabilidad. El servidor necesita estar protegido contra distintos factores externos que pueden alterar el funcionamiento de la red. 1. La protección contra la electricidad estática y el calor. 2. La protección contra los ruidos eléctricos, los altibajos de tensión y los cortes de corriente. 3. Protección contra suciedad 4. Seguridad contra incendios y agua 5. Protección contra robo y destrucción 6. Protección acceso al mantenimiento del servidor 7. Bios: upgraded - password protected – turn off all device non used
Protección Perimetral HARDENING DE SERVIDORES LINUX Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 1. Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente. 2. Rechazar conexiones a servicios comprometidos. 3. Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos. 4. Proporcionar un único punto de interconexión con el exterior. 5. Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet. 6. Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet. 7. Auditar el tráfico entre el exterior y el interior. 8. Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos. Firewall, Routers, VPN, IDS, DMZ, Subredes, Switchs ,Monitoreo de la RED
HARDENING DE SERVIDORES LINUX Protección de la capa Aplicación Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 0. Grub, Lilo - password protected 1. turn off all USB ports 2. Jaulas con chroot 3. Permisos especiales, atributos y ACL 4. Elevación de privilegios con sudo 5. Limitación de recursos 6. Port-Knocking 7. Actualizaciones/upgrades de forma estable en Debian 8. HIDS Host-based Intrusion Detection System 9. Hardenizar cada uno de los servicios “Ejemplos de diferentes configuraciones desde terminal”
Fortificación Entorno LAMP HARDENING DE SERVIDORES LINUX Algunos Tips 1. MySQL Dirección de escucha Carga de ficheros locales Renombrar el usuario root comprobar existencia de usuarios anonimos Controlar los privilegios de los usuarios mysql_secure_installation 2. PHP expose_php display_errors open_basedir disable_functions Deshabilitar RFI Suhosin 3. Apache Configuraciones globales Deshabilitar informacion ofrecida por el servidor Configuraciones por contexto mod_security HTTPS “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Fortificación SSH 1. Introducción a SSH Funcionamiento del protocolo la primera conexion Configuración del servicio Archivos del servicio Directivas básicas Autenticación con contraseña Clave pública y clave privada 2. Aplicaciones con SSH Copia segura con SCP FTP seguro con SFTP SSHFS: El sistema de archivos de SSH X11 forwarding con SSH Fail2ban 3. SSH: tunneling Tuneles TCP/IP con port forwarding mediante SSH SOCKS con SSH : Habilitando y utilizando SOCKS “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Logging, File Integrity, Particionado Logging 1. Rsyslogd Clasificaciones de mensajes. Facility y severity Configuracion de rsyslogd 2. Rotacion de logs Ficheros de configuracion de logrotate Output channels y logrotate 3. Logging remoto o centralizado File Integrity AFICK AIDE Osiris Samhain Tripwire Particionado opciones de montaje Encriptacion de discos “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Monitoreo y Backups Monitoreo 1. Nagios 2. Monit 3. Custom Scripts Backups 1. Bacula 2. Custom Scripts “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Auditoría para Hardening Tools 1. lynis 2. Bastile linux “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Temas System Tools Boot and services Kernel Memory and processes Users, Groups and Authentication Shells File systems Storage NFS Software: name services Ports and packages Networking Printers and Spools Software: e-mail and messaging Software: firewalls Software: webserver SSH Support SNMP Support Databases LDAP Services Software: PHP Squid Support Logging and files Insecure services Banners and identification Scheduled tasks Accounting Time and Synchronization Cryptography Virtualization Security frameworks Software: file integrity Software: Malware scanners System Tools Home directories Kernel Hardening Hardening
HARDENING DE SERVIDORES LINUX Dudas? | Preguntas?
HARDENING DE SERVIDORES LINUX Gracias por su tiempo!!! Espero que les haya servido Hasta la próxima ....

Recomendados

Siber Güvenlik ve Etik Hacking Sunu - 11
Siber Güvenlik ve Etik Hacking Sunu - 11Siber Güvenlik ve Etik Hacking Sunu - 11
Siber Güvenlik ve Etik Hacking Sunu - 11
Murat KARA
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
 
Intrusion Detection System using Snort
Intrusion Detection System using Snort Intrusion Detection System using Snort
Intrusion Detection System using Snort
webhostingguy
 
03 keamanan password
03 keamanan password03 keamanan password
03 keamanan password
Setia Juli Irzal Ismail
 
Cyber Kill Chain Deck for General Audience
Cyber Kill Chain Deck for General AudienceCyber Kill Chain Deck for General Audience
Cyber Kill Chain Deck for General Audience
Tom K
 
Kablosuz Ağlar ve Güvenlik Riskleri
Kablosuz Ağlar ve Güvenlik RiskleriKablosuz Ağlar ve Güvenlik Riskleri
Kablosuz Ağlar ve Güvenlik Riskleri
BGA Cyber Security
 
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
NetEnrich, Inc.
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Nur Yesilyurt
 

Recomendados

Siber Güvenlik ve Etik Hacking Sunu - 11
Siber Güvenlik ve Etik Hacking Sunu - 11Siber Güvenlik ve Etik Hacking Sunu - 11
Siber Güvenlik ve Etik Hacking Sunu - 11
Murat KARA
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
 
Intrusion Detection System using Snort
Intrusion Detection System using Snort Intrusion Detection System using Snort
Intrusion Detection System using Snort
webhostingguy
 
03 keamanan password
03 keamanan password03 keamanan password
03 keamanan password
Setia Juli Irzal Ismail
 
Cyber Kill Chain Deck for General Audience
Cyber Kill Chain Deck for General AudienceCyber Kill Chain Deck for General Audience
Cyber Kill Chain Deck for General Audience
Tom K
 
Kablosuz Ağlar ve Güvenlik Riskleri
Kablosuz Ağlar ve Güvenlik RiskleriKablosuz Ağlar ve Güvenlik Riskleri
Kablosuz Ağlar ve Güvenlik Riskleri
BGA Cyber Security
 
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
NetEnrich, Inc.
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Nur Yesilyurt
 
Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
Turkhackteam Blue Team
 
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin AtlatılmasıMobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
BGA Cyber Security
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
 
Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum Dokümanı
Kurtuluş Karasu
 
Temel ağ bilgisi
Temel ağ bilgisiTemel ağ bilgisi
Temel ağ bilgisi
Begüm Erol
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
BGA Cyber Security
 
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beau Bullock
 
Siber Güvenlik ve Etik Hacking Sunu - 12
Siber Güvenlik ve Etik Hacking Sunu - 12Siber Güvenlik ve Etik Hacking Sunu - 12
Siber Güvenlik ve Etik Hacking Sunu - 12
Murat KARA
 
05 wireless
05 wireless05 wireless
05 wireless
Setia Juli Irzal Ismail
 
Offensive Security basics part 1
Offensive Security basics part 1Offensive Security basics part 1
Offensive Security basics part 1
wharpreet
 
Ağ Temelleri - Caner Köroğlu
Ağ Temelleri - Caner KöroğluAğ Temelleri - Caner Köroğlu
Ağ Temelleri - Caner Köroğlu
Mehmet Caner Köroğlu
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)
LJ PROJECTS
 
Introducción a Kali Linux
Introducción a Kali LinuxIntroducción a Kali Linux
Introducción a Kali Linux
Francisco Medina
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
BGA Cyber Security
 
Alphorm.com Formation FortiManager : Installation et configuration
Alphorm.com Formation FortiManager : Installation et configurationAlphorm.com Formation FortiManager : Installation et configuration
Alphorm.com Formation FortiManager : Installation et configuration
Alphorm
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3
Shawn Croswell
 
Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9
Murat KARA
 
Building Better Backdoors with WMI - DerbyCon 2017
Building Better Backdoors with WMI - DerbyCon 2017Building Better Backdoors with WMI - DerbyCon 2017
Building Better Backdoors with WMI - DerbyCon 2017
Alexander Polce Leary
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
BGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
BGA Cyber Security
 
Hardening De Servidores GNU/Linux
Hardening De Servidores GNU/LinuxHardening De Servidores GNU/Linux
Hardening De Servidores GNU/Linux
Avanet
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
Jose Manuel Acosta
 

Más contenido relacionado

La actualidad más candente

Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
Turkhackteam Blue Team
 
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beau Bullock
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
BGA Cyber Security
 
Alphorm.com Formation FortiManager : Installation et configuration
Alphorm.com Formation FortiManager : Installation et configurationAlphorm.com Formation FortiManager : Installation et configuration
Alphorm.com Formation FortiManager : Installation et configuration
Alphorm
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3
Shawn Croswell
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
BGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
BGA Cyber Security
 

La actualidad más candente (20)

Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
 
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin AtlatılmasıMobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
 
Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum Dokümanı
 
Temel ağ bilgisi
Temel ağ bilgisiTemel ağ bilgisi
Temel ağ bilgisi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
 
Siber Güvenlik ve Etik Hacking Sunu - 12
Siber Güvenlik ve Etik Hacking Sunu - 12Siber Güvenlik ve Etik Hacking Sunu - 12
Siber Güvenlik ve Etik Hacking Sunu - 12
 
05 wireless
05 wireless05 wireless
05 wireless
 
Offensive Security basics part 1
Offensive Security basics part 1Offensive Security basics part 1
Offensive Security basics part 1
 
Ağ Temelleri - Caner Köroğlu
Ağ Temelleri - Caner KöroğluAğ Temelleri - Caner Köroğlu
Ağ Temelleri - Caner Köroğlu
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)
 
Introducción a Kali Linux
Introducción a Kali LinuxIntroducción a Kali Linux
Introducción a Kali Linux
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Alphorm.com Formation FortiManager : Installation et configuration
Alphorm.com Formation FortiManager : Installation et configurationAlphorm.com Formation FortiManager : Installation et configuration
Alphorm.com Formation FortiManager : Installation et configuration
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3
 
Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9
 
Building Better Backdoors with WMI - DerbyCon 2017
Building Better Backdoors with WMI - DerbyCon 2017Building Better Backdoors with WMI - DerbyCon 2017
Building Better Backdoors with WMI - DerbyCon 2017
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 

Destacado

Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
RootedCON
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
Esteban Saavedra
 

Destacado (10)

Hardening De Servidores GNU/Linux
Hardening De Servidores GNU/LinuxHardening De Servidores GNU/Linux
Hardening De Servidores GNU/Linux
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
 
Índice Libro "macOS Hacking" de 0xWord
Índice Libro "macOS Hacking" de 0xWordÍndice Libro "macOS Hacking" de 0xWord
Índice Libro "macOS Hacking" de 0xWord
 
Capitulo I: Blog
Capitulo I: BlogCapitulo I: Blog
Capitulo I: Blog
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
 

Similar a Hardening de Servidores Linux Oscar Gonzalez

Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de red
Carlitos Alvarado
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
squall01
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
guest96dedf4
 
Vc4 nm73 eq4-ssh
Vc4 nm73 eq4-sshVc4 nm73 eq4-ssh
Vc4 nm73 eq4-ssh
17oswaldo
 
VC4NM73 EQ4-SSH
VC4NM73 EQ4-SSHVC4NM73 EQ4-SSH
VC4NM73 EQ4-SSH
luigiHdz
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
srkamote
 

Similar a Hardening de Servidores Linux Oscar Gonzalez (20)

Clase 03
Clase 03Clase 03
Clase 03
 
Clase 03
Clase 03Clase 03
Clase 03
 
Ud7 Redes seguras
Ud7 Redes segurasUd7 Redes seguras
Ud7 Redes seguras
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
¿Qué es un firewall ?
¿Qué es un firewall ?¿Qué es un firewall ?
¿Qué es un firewall ?
 
Integración de sistemas y Firewalls
Integración de sistemas y FirewallsIntegración de sistemas y Firewalls
Integración de sistemas y Firewalls
 
Aplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación FinalAplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación Final
 
Redes del Computador — UNIDAD III: Seguridad de las redes
Redes del Computador — UNIDAD III: Seguridad de las redesRedes del Computador — UNIDAD III: Seguridad de las redes
Redes del Computador — UNIDAD III: Seguridad de las redes
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría Buitrago
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redes
 
Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de red
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-campos
 
Vc4 nm73 eq4-ssh
Vc4 nm73 eq4-sshVc4 nm73 eq4-ssh
Vc4 nm73 eq4-ssh
 
VC4NM73 EQ4-SSH
VC4NM73 EQ4-SSHVC4NM73 EQ4-SSH
VC4NM73 EQ4-SSH
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 

Hardening de Servidores Linux Oscar Gonzalez

  • 1. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux
  • 2. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux IANUX SALTALUG IT & Security Solutions Comunidad de Software Libre http://ianux.com UID0 http://saltalug.org.ar Security Conference http://uid0.com.ar Oscar Gonzalez Sr. IT Specialist http://ar.linkedin.com/in/gonzalezrenato/ Debian Consultant Argentina http://www.debian.org/consultants/#AR oscar.gonzalez@ianux.com.ar
  • 3. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux Agenda: • Introducción al Hardening • Protección física • Protección Perimetral • Protección de la capa de aplicación • Fortificación Entorno LAMP (Mysql PHP Apache) • Fortificación SSH • Logging, File Integrity, Particionado • Monitoreo y Backups • Auditoria para Hardening
  • 4. HARDENING DE SERVIDORES LINUX Introducción al Hardening “Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando “fallos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de desarrollar y implementar procedimientos de consolidación para asegurar sus recursos críticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fácil implementación y auditoría. 1. Defensa en profundidad Procedimientos, concienciación y políticas Seguridad del perímetro Seguridad en la red interna Seguridad a nivel de servidor Seguridad en la aplicación 2. Mínimo privilegio posible 3. Mínimo punto de exposición 4. Gestión de riesgos
  • 5. Protección Física HARDENING DE SERVIDORES LINUX El lugar donde este colocado el servidor es sumamente importante para su estabilidad. El servidor necesita estar protegido contra distintos factores externos que pueden alterar el funcionamiento de la red. 1. La protección contra la electricidad estática y el calor. 2. La protección contra los ruidos eléctricos, los altibajos de tensión y los cortes de corriente. 3. Protección contra suciedad 4. Seguridad contra incendios y agua 5. Protección contra robo y destrucción 6. Protección acceso al mantenimiento del servidor 7. Bios: upgraded - password protected – turn off all device non used
  • 6. Protección Perimetral HARDENING DE SERVIDORES LINUX Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 1. Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente. 2. Rechazar conexiones a servicios comprometidos. 3. Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos. 4. Proporcionar un único punto de interconexión con el exterior. 5. Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet. 6. Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet. 7. Auditar el tráfico entre el exterior y el interior. 8. Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos. Firewall, Routers, VPN, IDS, DMZ, Subredes, Switchs ,Monitoreo de la RED
  • 7. HARDENING DE SERVIDORES LINUX Protección de la capa Aplicación Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 0. Grub, Lilo - password protected 1. turn off all USB ports 2. Jaulas con chroot 3. Permisos especiales, atributos y ACL 4. Elevación de privilegios con sudo 5. Limitación de recursos 6. Port-Knocking 7. Actualizaciones/upgrades de forma estable en Debian 8. HIDS Host-based Intrusion Detection System 9. Hardenizar cada uno de los servicios “Ejemplos de diferentes configuraciones desde terminal”
  • 8. Fortificación Entorno LAMP HARDENING DE SERVIDORES LINUX Algunos Tips 1. MySQL Dirección de escucha Carga de ficheros locales Renombrar el usuario root comprobar existencia de usuarios anonimos Controlar los privilegios de los usuarios mysql_secure_installation 2. PHP expose_php display_errors open_basedir disable_functions Deshabilitar RFI Suhosin 3. Apache Configuraciones globales Deshabilitar informacion ofrecida por el servidor Configuraciones por contexto mod_security HTTPS “Ejemplos de diferentes configuraciones desde terminal”
  • 9. HARDENING DE SERVIDORES LINUX Fortificación SSH 1. Introducción a SSH Funcionamiento del protocolo la primera conexion Configuración del servicio Archivos del servicio Directivas básicas Autenticación con contraseña Clave pública y clave privada 2. Aplicaciones con SSH Copia segura con SCP FTP seguro con SFTP SSHFS: El sistema de archivos de SSH X11 forwarding con SSH Fail2ban 3. SSH: tunneling Tuneles TCP/IP con port forwarding mediante SSH SOCKS con SSH : Habilitando y utilizando SOCKS “Ejemplos de diferentes configuraciones desde terminal”
  • 10. HARDENING DE SERVIDORES LINUX Logging, File Integrity, Particionado Logging 1. Rsyslogd Clasificaciones de mensajes. Facility y severity Configuracion de rsyslogd 2. Rotacion de logs Ficheros de configuracion de logrotate Output channels y logrotate 3. Logging remoto o centralizado File Integrity AFICK AIDE Osiris Samhain Tripwire Particionado opciones de montaje Encriptacion de discos “Ejemplos de diferentes configuraciones desde terminal”
  • 11. HARDENING DE SERVIDORES LINUX Monitoreo y Backups Monitoreo 1. Nagios 2. Monit 3. Custom Scripts Backups 1. Bacula 2. Custom Scripts “Ejemplos de diferentes configuraciones desde terminal”
  • 12. HARDENING DE SERVIDORES LINUX Auditoría para Hardening Tools 1. lynis 2. Bastile linux “Ejemplos de diferentes configuraciones desde terminal”
  • 13. HARDENING DE SERVIDORES LINUX Temas System Tools Boot and services Kernel Memory and processes Users, Groups and Authentication Shells File systems Storage NFS Software: name services Ports and packages Networking Printers and Spools Software: e-mail and messaging Software: firewalls Software: webserver SSH Support SNMP Support Databases LDAP Services Software: PHP Squid Support Logging and files Insecure services Banners and identification Scheduled tasks Accounting Time and Synchronization Cryptography Virtualization Security frameworks Software: file integrity Software: Malware scanners System Tools Home directories Kernel Hardening Hardening
  • 14. HARDENING DE SERVIDORES LINUX Dudas? | Preguntas?
  • 15. HARDENING DE SERVIDORES LINUX Gracias por su tiempo!!! Espero que les haya servido Hasta la próxima ....