Versão 1.00 - segunda, 27 de julho de 2020
Copyright © 1999-2020 - Gleydson Mazioli da Silva
O Guia Foca Segurança é protegido pelos termos da licença CC BY-NC-SA. Para detalhes, veja “Licença CC BY-NC-SA”
segunda, 27 de julho de 2020
Resumo
Este guia tem por objetivo ser uma referência ao aprendizado do usuário e um manual de compreensão, configuração e implantação de técnicas de segurança que podem ser utilizadas em ambientes Linux (e outros sistemas operacionais), bem como em seu comportamento no dia a dia. As últimas versões do Guia Foca segurança podem ser encontrados em Página Oficial do Guia Foca Segurança. Novas versões são lançadas com uma frequência mensal e você pode receber avisos de novos lançamentos deste guia preenchendo um formulário na página Web, ou seguindo o perfil oficial do Twitter @guiafoca.
Índice
- 1. Introdução
- 2. Explicações Básicas
- 3. Arquivos e daemons de Log
- 4. Gerenciamento de contas e cuidados para a proteção de senhas
- 5. Firewall iptables
- Introdução
- Versão
- Um resumo da história do iptables
- Características do firewall iptables
- Ficha técnica
- Requerimentos
- Arquivos de logs criados pelo iptables
- Instalação
- Enviando Correções/Contribuindo com o projeto
- O que aconteceu com o ipchains e ipfwadm?
- Tipos de firewalls
- O que proteger?
- O que são regras?
- O que são chains?
- O que são tabelas?
- Habilitando o suporte ao iptables no kernel
- Ligando sua rede interna a Internet
- Manipulando chains
- Adicionando regras - A
- Listando regras - L
- Apagando uma regra - D
- Inserindo uma regra - I
- Substituindo uma regra - R
- Criando um novo chain - N
- Renomeando um chain criado pelo usuário - E
- Listando os nomes de todas as tabelas atuais
- Limpando as regras de um chain - F
- Apagando um chain criado pelo usuário - X
- Zerando contador de bytes dos chains - Z
- Especificando a política padrão de um chain - P
- Outras opções do iptables
- A tabela nat (Network Address Translation) - fazendo nat
- A tabela mangle
- Outros módulos do iptables
- Conferindo de acordo com o estado da conexão
- Limitando o número de vezes que a regra confere
- Proteção contra ping da morte
- Proteção contra syn flood
- Proteção contra IP spoofing
- Especificando múltiplas portas de origem/destino
- Especificando o endereço MAC da interface
- Conferindo com quem criou o pacote
- Conferindo com o conteúdo do pacote
- Conferindo com o tempo de vida do pacote
- Conferindo com números RPC
- Conferindo com tipo de pacote
- Conferindo com o tamanho do pacote
- Caminho percorrido pelos pacotes nas tabelas e chains
- Ping de 192.168.1.1 para 192.168.1.1
- Conexão FTP de 192.168.1.1 para 192.168.1.1
- Conexão FTP de 192.168.1.1 para 192.168.1.4
- Conexão FTP de 200.217.29.67 para a máquina ftp.debian.org.br
- Ping de 192.168.1.4 para 192.168.1.1
- Conexão FTP de 192.168.1.4 para 192.168.1.1
- Conexão FTP de 192.168.1.4 para ftp.debian.org.br
- Conexão FTP de 200.198.129.162 para 200.217.29.167
- Gráfico geral da passagem dos pacotes
- Exemplos de configurações do iptables
- 6. Restrições de acesso, recursos e serviços
- Limitando recursos no bash
- Limitação de recursos usando PAM
- Restrições de acesso a programas/diretórios/arquivos usando grupos
- Dando poderes de root para executar determinados programas
- Restringindo o comando su
- Restrições baseadas em usuário/IP
- Restrições por MAC Address/IP
- Desabilitando serviços não usados no Inetd
- Evitando o uso de
hosts.equive.rhosts - Restringindo o uso do shutdown
- Restringindo o acesso ao sistema de arquivos /proc
- Limitando o uso de espaço em disco (quotas)
- Suporte a senhas ocultas
- Suporte a senhas com algorítmo SHA e md5
- Restrições no hardware do sistema
- 7. Criptografia
- Introdução
- Introdução aos protocolos SSL e TLS
- Introdução a Certificados
- Cadeia de confiança de certificados
- openssl
- Gerenciamento de uma CA e de chaves publicas e privadas
- Gerando uma chave RSA de 2048 bits
- Gerando uma chave PKCS8 de 2048 bits
- Exportando a chave RSA publica para arquivo
- Protegendo a chave privada
- Requisitos para gerenciar uma CA
- Criando uma CA privada
- Criando um certificado de CA
- Assinando um arquivo CRT
- Renovando um Certificado
- Revogando um Certificado
- Revogando uma CA
- Gerando um par de chaves RSA a partir da chave privada
- Extraindo a chave pública a partir da chave privada do certificado
- Extraindo elementos texto do certificado
- Gerando uma chave Pública
- Gerando arquivo binário contendo números aleatórios
- Automatizando preenchimento de dados de certificado
- Usando SNI nos domínios
- Encriptando arquivos grandes
- Especificando níveis de validação no Apache
- Enviando um certificado SSL de cliente para testes
- Verificando uma identidade
- Certificados Auto-Assinados
- Teste de cliente/servidor SSL/TLS com openssl
- Servidor OpenSSL
- Cliente OpenSSL
- Cadeia de Confiança
- Testando protocolos que fazem upgrade para TLS
- Extraindo o certificado remoto do cliente
- Usando formatos diferentes de HandShake de conexão
- Testando o suporte a uma versão específica de protocolo SSL
- Testando o suporte a um conjunto de Ciphers
- Testando servidores que requerem SNI
- Testando reuso de conexão no SSL
- Validação de revogação OCSP
- Testando o suporte a OCSP Stapling
- Verificando a revogação de CRL
- Verificando vulnerabilidade HeartBleed
- Determinando o tamanho de parametros DH
- Certificados com extensões X509 V3
- Alternativas seguras a serviços sem criptografia
- Usando o GPG para Autenticação e Criptografia
- Instalando o PGP
- Criando um par de chaves pública/privada
- Encriptando Dados
- Decriptando dados com o GPG
- Assinando arquivos
- Checando assinaturas
- Extraindo sua chave pública do chaveiro
- Adicionando chaves públicas ao seu chaveiro pessoal
- Listando chaves de seu chaveiro
- Apagando chaves de seu chaveiro
- Mudando sua FraseSenha
- Assinando uma chave digital
- Listando assinaturas digitais
- Recomendações para a assinatura de chaves GPG
- Criptografia de blocos usando DM-Crypt / cryptsetup
- Encriptando um sistema de arquivos com DM-Crypto / cryptsetup
- Desmontando o dispositivo criptografado
- Listando limites e algoritmos suportados
- Avaliando a performance de cada algoritmo
- Opções de encriptação com o DM-Crypt
- Fazendo dump do cabeçalho de dispositivos
- Gerenciamento de chaves
- Backup e Restore de cabeçalho/chaves
- Convertendo automaticamente sistemas para criptografia e desconvertendo
- Convertendo a partição para Criptografica
- Criptografia de arquivos usando ENCFS
- Usando o eCryptfs para encriptar arquivos, montagem automatica do home
- Criptografia usando TrueCrypt/VeraCrypt
- 8. Segurança de Host
- 9. Controle de Acesso
- 10. Segurança de Rede
- 11. Apêndice