#FISL 12: #Hardening de servidores #Linux e #Backup com software livre

Resovi juntar neste post as duas palestras que assisti da Marta Vuelma. Os slides estão lá pra quem quiser conferir. Ela é bastante didática, e embora as palestras não tenham acrescentado muito ao que eu já sabia, foi interessante rever e revisar alguns conceitos.

A palestra sobre Hardening de servidores abordou os pontos importantes a considerar na segurança de um servidor, que listo a seguir.
  • Instalação - garantir que as fontes dos pacotes sejam confiáveis, e checar chave GPG.
  • Fazer imagem do sistema de arquivos para detectar alterações posteriores (rootkits, etc), checando com ferramentas como tripwire e aide. Nestes tempos de ataques pra todo lado, ferramentas desse tipo são essenciais. Já usei o aide e recomendo.
  • Logs remotos com rsyslog - mesmo que um intruso comprometa/apague os logs locais, você ainda terá informação pra analisar.
  • Checar serviços com nmap para verificar se não há nenhuma porta ativa indevidamente. Isso é básico, né pessoal ?
  • Organizar o sistema de arquivos de modo a restringir operações de gravação em pontos de montagem como /bin, /sbin, etc. Essa foi nova pra mim, nunca pensei nesse nível de segurança, mas é uma idéia bem interessante para sistemas mais visados. Vai dar mais trabalho na hora de atualizar, mas faz parte.
  • Checar arquivos SUID, SGID e sem dono. Isso também é básico, né ?
  • Utilizar ferramentas de conformidade como Bastille. Já testei ele e achei bem legal também.
  • Usar firewall, se possível de camada 7 (patch L7-filter para o netfilter). Firewall em cada servidor ? É segurança "de verdade".
  • Colocar serviços críticos "enjaulados" com chroot. Não lembro em que palestra vi que isso não será mais necessário na próxima versão do Debian ou Ubuntu. Vai ter algum recurso que vai ajudar nisso, mas não tô lembrando. Foi mal.
  • Monitorar login no servidor - incluir no .bashrc envio de e-mail automático a cada login do root. Achei esta sacada ótima, e já vou providenciar nos meus servidores. Dá pra pensar em várias outras idéias legais quando o root logar.
  • Utilizar ferramentas de monitoramento como Nagios, Shinken ou Zabbix. Mais um da série "Isso é básico, né ?".
A palestra sobre Backup citou ferramentas conhecidas, algumas bem velhinhas e outras nem tanto. Vamos a elas.
  • Dump - confesso, confesso. Vergonhosamente eu não conhecia esta ferramenta, que segundo ela é uma das mais antigas no mundo *nix. Faz backup de arquivos e até de devices, inclusive incremental, e preserva permissões, data/hora e dono.
  • rsync - a conhecida ferramenta de sincronização de pastas pode ser uma poderosa ferramenta de backup, especialmente no que se refere a desempenho, já que tem a capacidade de transferir apenas os dados modificados (eu disse dados, não arquivos).
  • Bacula - solução poderosíssima, de nível corporativo mesmo, traz uma série de conceitos importantes para a definição de uma política de backup, como jobs, volumes, mídias, agendas, etc. E ainda faz o gerenciamento da execução dos backups. Utilizamos esta solução há alguns anos e, apesar de alguns problemas, a ferramenta funciona bem. Recomendo.
  • A Marta citou ainda ferramentas como Amanda, Mondo Rescue, Star e algumas comerciais, mas sem dar detalhes.
Ela se concentrou no bacula, que é a solução que mais conhece, e destacou uma série de pontos positivos da solução: backup do Exchange 2003/2007, Expresso, Xen e VMware.

Ela deu a entender que a ferramenta faz backup desses ambientes "a quente", mas preciso investigar melhor isso, pois nas conversas que tive com o Heitor Farias (especialista na solução) me pareceu que este suporte ainda não estaria disponível.

De todo modo, não deixa de ser interessante saber que eles estão caminhando na direção de suportar as soluções de mercado.

Quer ter mais dicas essenciais pra administrar melhor seu backup? Clique AQUI.

SAIBA MAIS...
O erro #1 que sysadmins cometem ao fazer backup de seus servidores virtuais
Unitrends Free - 1 TB de backup gratuito pra suas máquinas virtuais VMware e Hyper-V
Veeam Endpoint Backup - ferramenta gratuita para backup de estações e servidores físicos e virtuais
4 ferramentas gratuitas para backup de VMware (inclusive ESXi gratuito) e Microsoft Hyper-V
Onde obter entre 100 GB e 10 TB gratuitamente na nuvem (atualizado!)
Alternativas de #backup para ambientes virtualizados
Backup múltiplo automágico com Dropbox, Skydrive e Google Drive
#Backup gratuito do seu ambiente virtual com o #Veeam Backup Free Edition
#FISL 13: Tape's not dead
O problema da deduplicação
Veeam oferece soluções para ambiente VMWare ESX
FISL 9: Backup prático, porque precisamos evoluir!
Back In Time simplifica backup do Linux
Faça backup dos seus dados na nuvem
Sincronize suas pastas e computadores com simplicidade
Restore: backup multiplataforma com software livre
Backup online
Wuala une backup online e rede social
Veeam SureBackup faz verificação automática de backups no #VMware
Backup simplificado de GPOs

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!