#FISL 12: #Hardening de servidores #Linux e #Backup com software livre

Resovi juntar neste post as duas palestras que assisti da Marta Vuelma. Os slides estão lá pra quem quiser conferir. Ela é bastante didática, e embora as palestras não tenham acrescentado muito ao que eu já sabia, foi interessante rever e revisar alguns conceitos.

A palestra sobre Hardening de servidores abordou os pontos importantes a considerar na segurança de um servidor, que listo a seguir.

  • Instalação - garantir que as fontes dos pacotes sejam confiáveis, e checar chave GPG.
  • Fazer imagem do sistema de arquivos para detectar alterações posteriores (rootkits, etc), checando com ferramentas como tripwire e aide. Nestes tempos de ataques pra todo lado, ferramentas desse tipo são essenciais. Já usei o aide e recomendo.
  • Logs remotos com rsyslog - mesmo que um intruso comprometa/apague os logs locais, você ainda terá informação pra analisar.
  • Checar serviços com nmap para verificar se não há nenhuma porta ativa indevidamente. Isso é básico, né pessoal ?
  • Organizar o sistema de arquivos de modo a restringir operações de gravação em pontos de montagem como /bin, /sbin, etc. Essa foi nova pra mim, nunca pensei nesse nível de segurança, mas é uma idéia bem interessante para sistemas mais visados. Vai dar mais trabalho na hora de atualizar, mas faz parte.
  • Checar arquivos SUID, SGID e sem dono. Isso também é básico, né ?
  • Utilizar ferramentas de conformidade como Bastille. Já testei ele e achei bem legal também.
  • Usar firewall, se possível de camada 7 (patch L7-filter para o netfilter). Firewall em cada servidor ? É segurança "de verdade".
  • Colocar serviços críticos "enjaulados" com chroot. Não lembro em que palestra vi que isso não será mais necessário na próxima versão do Debian ou Ubuntu. Vai ter algum recurso que vai ajudar nisso, mas não tô lembrando. Foi mal.
  • Monitorar login no servidor - incluir no .bashrc envio de e-mail automático a cada login do root. Achei esta sacada ótima, e já vou providenciar nos meus servidores. Dá pra pensar em várias outras idéias legais quando o root logar.
  • Utilizar ferramentas de monitoramento como Nagios, Shinken ou Zabbix. Mais um da série "Isso é básico, né ?".

A palestra sobre Backup citou ferramentas conhecidas, algumas bem velhinhas e outras nem tanto. Vamos a elas.

  • Dump - confesso, confesso. Vergonhosamente eu não conhecia esta ferramenta, que segundo ela é uma das mais antigas no mundo *nix. Faz backup de arquivos e até de devices, inclusive incremental, e preserva permissões, data/hora e dono.
  • rsync - a conhecida ferramenta de sincronização de pastas pode ser uma poderosa ferramenta de backup, especialmente no que se refere a desempenho, já que tem a capacidade de transferir apenas os dados modificados (eu disse dados, não arquivos).
  • Bacula - solução poderosíssima, de nível corporativo mesmo, traz uma série de conceitos importantes para a definição de uma política de backup, como jobs, volumes, mídias, agendas, etc. E ainda faz o gerenciamento da execução dos backups. Utilizamos esta solução há alguns anos e, apesar de alguns problemas, a ferramenta funciona bem. Recomendo.
  • A Marta citou ainda ferramentas como Amanda, Mondo Rescue, Star e algumas comerciais, mas sem dar detalhes.

Ela se concentrou no bacula, que é a solução que mais conhece, e destacou uma série de pontos positivos da solução: backup do Exchange 2003/2007, Expresso, Xen e VMware. Ela deu a entender que a ferramenta faz backup desses ambientes "a quente", mas preciso investigar melhor isso, pois nas conversas que tive com o Heitor Farias (especialista na solução) me pareceu que este suporte ainda não estaria disponível. De todo modo, não deixa de ser interessante saber que eles estão caminhando na direção de suportar as soluções de mercado.

Siga-nos no Twitter! ou Buzz
Receba os textos via e-mail ou RSS!
Confira outros textos sobre o tema!

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!