Os profissionais que apoiam o projeto Debian lançaram o Hardening Goals, um wikipédia focada em auxiliar administradores a melhorarem o hardening(segurança) dos seus servidores baseados nesta distribuição.

Vale ressaltar que este “projeto” é aberto, onde qualquer um poderá participar com dicas e/ou sugestões de segurança.

Um dos pontos que sempre abordo dentro das empresas que trabalho é quanto a utilização de um framework MAC, seja ele o SELinuxAppArmor, Tomoyo ou SMACK. A sua implementação aumenta e muito a segurança de ambientes Linux, já que uma série de de vulnerabilidades são mitigas, e essa é uma dica/recomendação bem importante passada por esse grupo de trabalho.

Acontece que os administradores Linux, pelo menos aqui no Brasil, não são familiarizados com este tipo implementação de segurança – para vcs terem uma ideia, há pouco tempo que a RedHat disponibilizou um treinamento focado em SELinux em SP- sendo assim, dores de cabeça e um suporte um pouco mais demorado são as justificativas mais empregadas para não adoção destes recursos.

Quantos de vcs já acessaram um servidor RedHat ou CentOS e constataram que o selinux estava configurado em modo disabled ?

Nos casos que ele, o SELinux, está em modo enforcing é comum encontrarmos problemas de não funcionamento de algum deamon ou acesso a algum diretório, isso tudo devido a falta de experiência em administrar um ambiente com este nível de segurança.

Quem aí já não perdeu um tempo reconfigurado o SELinux para deixar o Varnish fazer o bind na porta 80 ao invés da 6081 ?

Resumindo, as dicas passadas por este grupo de trabalho/estudos são pertinentes, mas os administradores Linux precisam aumentar o seu leque de conhecimento para que possam colocá-las em prática e de forma correta.

Sobre o grsecurity

Por um acaso alguém já o implementou, e com sucesso, em um ambiente virtualizado ou em cloud, por exemplo, rodando na Amazon ? Pergunto isso, pois tive problemas  há alguns meses …