Quando fazemos um hardening de servidor, é muito util que tenhamos um checklist de passos que devemos executar para que não deixemos nossos sistemas vulneráveis. Isso evita esquecimento de determinada configuração e ajuda no planejamento da construção de ferramentas automatizadas. No Linux, gosto de criar RPM para esta tarefa, criando um RPM de baseline para Servidor WEB, Servidor MySQL, Sistema Básico, Servidor de Virtualização, entre outros.
Mas o mais importante além da leitura do guia, é saber interpreta-lo, não adianta aplicar uma correção que irá parar o nosso sistema, geralmente os baselines generalizam, cabe a você decidir o que é interessante de ser implantado e fazer o seu próprio baseline e checklist.
De qualquer forma aqui vai alguns dos checklists que costumo usar para hardening.
When we do a server's hardening, is very useful to have a checklist of steps that we must run to not let our systems vulnerable. This avoids oblivion of particular configuration and help planning the construction of automated tools. In Linux, I like to create RPM for this task, creating a baseline for RPM Web Server, MySQL Server, Base System, server virtualization, among others.
But the most important addition to reading the guide, is how we interpret it, not apply a fix that will stop our system, usually the baselines widespread, it is up to you decide what is interesting to be fixed and make your own baseline and checklist.
Anyway, here there are some of the checklists that i usually use for hardening.
NIST (Special Publications)
Guide to Computer Security Log Management (SP800-92)
Guide to Secure Web Services (SP800-95)
NSA (Security Configuration Guides)
Guide to the Secure Configuration of Red Hat Enterprise Linux 5
Microsoft Baseline Security Analyzer
Voce pode encontrar mais guias:
You can find more guides:
SEI Publications
Sans - Security Consensus Operational Readliness Evaluation
OWASP Project
Marcos Aurélio
0 comentários:
Postar um comentário