B.2. Checklist de configuração

Este apêndice retrata resumidamente os pontos de outras seções neste manual em um checklist no formato. A idéia é disponibilizar um sumário para a pessoa que já leu o manual buscar uma informação rapidamente. Existem outros checklists bons disponíveis, incluindo o http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html de Kurt Seifried e http://www.cert.org/tech_tips/usc20_full.html.

FIXME: Isso é baseado na versão 1.4 do manual e talvez precise de atualização.

Limite o acesso físico e as capacidade de inicialização
- Enable a password in the BIOS.
- Disable floppy/cdrom/... booting in the system's BIOS.
- Configure uma senha para o LILO ou GRUB (/etc/lilo.conf ou /boot/grub/menu.lst, respectivamente); verifique se o arquivo de configuração do LILO ou GRUB está protegido contra gravação.
Particionamento
- Separe os dados de escrita do usuário, dados que não são do sistema, e dados que são trocados rapidamente em tempo de execução para suas próprias partições
- Set nosuid,noexec,nodev mount options in /etc/fstab on ext2/3 partitions that should not hold binaries such as /home or /tmp.
Higiene de senhas e segurança no login
- Configure uma senha segura para o super-usuário
- Instale e use o PAM
  Adicione suporte MD5 para o PAM e tenha certeza que (falando de forma generalizada) as entradas nos arquivos em /etc/pam.d/ que garantem acesso à máquina tenham o segundo campo configurado como requisite ou required.
  Modifique o /etc/pam.d/login para permite somente logins locais para o super-usuário.
  Também marque tty:s autorizado em /etc/security/access.conf e geralmente configure este arquivo para limitar ao máximo possível o login do super-usuário.
  Adicione o módulo pam_limits.so se você deseja configurar os limites por usuários
  Modifique /etc/pam.d/passwd: configure o tamanho mínimo para as senhas (6 caracteres talvez) e ative o MD5
  Adicione o grupo wheel para /etc/group se desejar; adicione a entrada pam_wheel.so group=wheel para /etc/pam.d/su
  Para controles customizados por usuários, utilize o módulo pam_listfile.so
  Tenha um arquivo /etc/pam.d/other e o configure com um grau de segurança reforçado
- Configure limites em /etc/security/limits.conf (note que /etc/limits não é usado se você já estiver usando o PAM)
- Aumente a segurança em /etc/login.defs; também, se você ativar o MD5 e/ou PAM, tenha certeza de fazer também as alterações correspondentes aqui, também
- Tighten up /etc/pam.d/login
- Desative o acesso ftp ao super-usuário em /etc/ftpusers
- Disable network root login; use su(1) or sudo(1). (consider installing sudo)
- Usar o PAM para reforçar barreiras adicionais aos logins?
Outras questões de segurança local
- Modificações no kernel (veja Seção 4.18.1, “Configurando características de rede do kernel”)
- Patches no Kernel (veja Seção 4.14, “Adicionando patches no kernel”)
- Tighten up log file permissions (/var/log/{last,fail}log, Apache logs)
- Certifique-se que a verificação SETUID está ativada em /etc/checksecurity.conf
- Considere configurar alguns arquivos de logs como somente append e os arquivo de configuração imutáveis, usando o comando chattr (somente para arquivos ext2)
- Configurar a integridade de arquivo (veja Seção 4.17.3, “Verificando a integridade do sistema de arquivos”). Instale debsums
- Efetuar o log de tudo em uma impressora local?
- Gravar suas configurações em um CD inicializável e boof off?
- Desativar os módulos do kernel?
Limitar acesso a rede
- Instale e configure ssh (sugiro PermitRootLogin No em /etc/ssh/sshd_config, PermitEmptyPasswords No; note outras sugestões também no texto)
- Disable or remove in.telnetd, if installed
- Geralmente, desative serviços desnecessários em /etc/inetd.conf usando o comando update-inetd --disable (ou desative inetd completamente, ou use o um substituto como xinetd ou rlinetd)
- Disable other gratuitous network services; ftp, DNS, WWW etc should not be running if you do not need them and monitor them regularly. In most cases mail should be running but configured for local delivery only.
- Para aqueles serviços que você precisa, não use os programas mais comuns, procure por versões mais seguras distribuídas com o Debian (ou de outras fontes). Seja lá o que você for parar de executar, tenha certeza que você entende os riscos.
- Configure jaula chroot para usuários externos e daemons.
- Configure firewall and tcpwrappers (i.e. hosts_access(5)); note trick for /etc/hosts.deny in text.
- Se você executa o ftp, configure seu servidor ftpd sempre para executar enjaulado para o diretório home dos usuários
- Se você executa X, desative a autenticação xhost e use-o com ssh; melhor ainda, se puder desative o X (adicione -nolisten tcp para a linha de comando do X e desligue o XDMCP no /etc/X11/xdm/xdm-config configurando requestPort para 0)
- Desative acesso externo para as impressoras
- Use tunelamento para qualquer sessão IMAP ou POP através do SSL ou ssh; instale stuneel se você quer fornecer este serviços para usuários de mail externos
- Configure um host de log e configure as outras máquinas para enviar logs para esse host (/etc/syslog.conf)
- Torne seguro o BIND, Sendmail, e outros daemons complexos (execute-os com uma jaulachroot; execute como um pseudo-usuário não root)
- Install tiger or a similar network intrusion detection tool.
- Install snort or a similar network intrusion detection tool.v
- Faça sem NIS ou RPC se puder (desative portmap).
Políticas de segurança
- Eduque os usuários sobre os porquês e comos de suas políticas. Quando você proíbe algo que está disponível regularmente em outros sistemas, forneça uma documentação que explique como obter resultados similares através de outros meios mais seguros.
- Proíba o uso de protocolos que utilizam senhas em texto plano (telnet, rsh e similares; ftp, imap, http, ...).
- Proíba programas que usam SVGAlib.
- Use cotas de disco.
Mantenha-se informado sobre questões relacionadas à segurança
- Inscreva-se em listas de discussão sobre segurança
- Configure apt para atualização de segurança -- adicione no arquivo /etc/apt/sources.list uma entrada (ou entradas) para http://security.debian.org/debian-security
- Também lembre-se de executar periodicamente os comandos apt-get update ; apt-get upgrade (talvez instalar como um job no cron?) como explicado em Seção 4.2, “Executar uma atualização de segurança”.