HARDENING

E agora o que fazer com o sistema instalado? hardening, serão listados alguns passos retirados de sites da internet, porém com alguns passos que conheço:

1* utilize sofwares com criptografia . SSH, PROFTD com SSL

2 *diminua os pacotes, serviços, menos é mais. Utilize um minimal iso, instalações como o debian, centos possuem. Mantenha minimalista, se possível uma instância para cada serviço.

3 * atualização programada

4 * desabilite o login como root

5 * desapegar do X

6 * BACKUPS

7 * utilize firewall para aplicação web.

Existem outras questões, algumas ferramentas;

fail2ban – ótima ferramenta contra ataques de força bruta

knocking – ssh escondido

Modsecurity – mod apache, firewall aplicação, contra XSS, SQL INJECTION.

iptables – tem diversas regras para alguns tipos de ataques, PIN DA MORTE.

iptables persistent – regra firewall, apos boot, ou seja gravar e depois carregar

md5deep – coloque impressao digital nos arquivos, o objetivo e saber se ocorreu alguma modificação.

rkhunter – deterctar rootkits

ssh – ulitize com chave, invés de senhas

HARDENING 2

Apache – evite fingerprint, modifique o arquivo de configuração. Por que evitar? Já ouviu em cve list.

iptables – faça drop, depois abra, exemplo fechar

iptables – P INPUT -j DROP

ssh faco hexadecimal para o o fingerprint, e issu.

Para o php faco o domano php. xss,crfs

Proteja contra uploads de arquivos, evitar um shellcode, caso tenha alguma secao de upload, exemplo de arquivos, existem funções que verificam os metados dos arquivos.

O fingerprint é possível de fazer com diversas ferramentas que talvez o que deseje e o sitema em questao pode funcionar, talvez. Instalação onde alguns programas podem nao vir mais está nos repositorios principais, exemplos:

  • nc
  • -nslookup
  • dig
  • tcpdump excelente ferramenta, scanner

O APACHE

Fingerprint descobrir versao, voce retira na .conf principal sao algumas linhas. Cada versao possui formas diferentes em relacao a criacao de virtualhosts, setar os dominios, neste arquivo voce pode bloquear diretorios, indexacao, indexacao e a possibilidade de ver os arquivos, bloquear arquivos, tem outras formas como .htaccess. Utilizar o modsecurity. Indexar possui no filme do facebook é aquilo. Permissões de arquivos ficou faltando.

O LINUX

Trabalhar com tcpwrapper, host.allow, host.denny, variávesi de ambientes é como .github actions com ftp sei la.

Diversos comandos sao interessantes

  • w
  • who
  • find pode ser utilizado o updatedb, nao rodar em producao é indice
  • grep
  • sed
  • lsof
  • type
  • tar criar cvzf
  • chown
  • chmod

netstat um python socket tambem descobre, pode substituir um nc também

Os editores podem ser subsitituidos, vi, vim, nano, por um cat << EOF >>

Deseja entender de protocolos, faz um nc smtp, ele responde a entradas, não lembro agora hello, sei lá

Servidores web o apache2 liderou continua lider o momento nginx, faz cache, proxy. Quer entender usa netcad, ele vira tudo, servidor vai entender ate cabecalhos que determinados respondem.

dai

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *