Auditoria em sistemas linux - LinuxCon Brazil 2011
-
Upload
luiz-vieira -
Category
Technology
-
view
4.949 -
download
3
Transcript of Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em Sistemas Linux Como saber se suas implementações de segurança funcionam realmente
• Especialista de Testes e Segurança na Cipher;
• CEH (Ethical Hacker);
• CHFI (Forensic Investigator);
• Articulista sobre SegInfo;
• Entusiasta de Software Livre;
• Filósofo e Psicoterapeuta.
http://hackproofing.blogspot.com
• A ISO 27001 - gere segurança na corporação, ou seja, cria um sistema de segurança (SGSI).
• A ISO 27002 - aborda boas práticas de segurança da
informação no ambiente de TI. • Na primeira, os itens devem ser implementados, caso a
empresa queira tornar-se certificada. • Na segunda, nenhum item é obrigatório, mas auxilia na
implementação da primeira.
Auditoria = Exame
• E o que isso tem a ver com servidores Linux?
• Auditoria
• Hardening
• Análise de Vulnerabilidade
• Teste de Invasão
• Perícia Forense
• Planejamento (Pré-auditoria)
• Execução (Auditoria)
• Relatório (Pós-auditoria)
O que é melhor?
• Auditoria Interna
• Auditoria Externa
• Auditoria Articulada
A auditoria de TI abrange ainda outros controles que podem influenciar a segurança de informações:
• Organizacionais;
• De mudanças;
• De operação dos sistemas;
• Sobre banco de dados;
• Sobre microcomputadores;
• Sobre ambientes cliente/servidor.
• Você sabe a diferença?
• E há diferença?
• Firewalls • IDS/IPS • Controle de Logs • Pacotes instalados • Processos sendo executados • Linux File System e sua montagem • Hardware instalado • Usuários existentes • Uso do cron • Permissão de arquivos • Inicialização do sistema
• Através de ferramentas do sistema
• Através de ferramentas automatizadas de terceiros
• Através de análise manual
• Através de testes manuais
• Através da análise de contexto
• Comparando com boas práticas de segurança
• Auditorias em sistemas Linux são feitas utilizando o syslogd
• A configuração está em /etc/syslog.conf
• O formato: Facility.Priority Action to be taken
• Facility – aplicação que gera os logs
• Priority – Emerg, alert, crit, err, warning, notice, info, debug, none
• Action – enviar para arquivo, console, email, outro sistema...
• TARA (Tiger)
• Lynis
• SARA (SATAN)
• Nessus
• OpenVAS
• Firewall Tester
• IDS (Snort & OSSEC)
• OSSIM*
• ESIS**
• Últimos logins ▫ Last
• Último login de todos os usuários (dormant users)
▫ Lastlog
• Últimos logins que falharam (precisa criar o arquivo /var/log/btmp file) ▫ Lastb
• Eventos de segurança
▫ /var/log/secure
• Ferramentas para análise de logs ▫ Swatch – monitoramento em tempo real ▫ Logsentry ▫ Logwatch
http://hackproofing.blogspot.com