Os profissionais que apoiam o projeto Debian lançaram o Hardening Goals, um wikipédia focada em auxiliar administradores a melhorarem o hardening(segurança) dos seus servidores baseados nesta distribuição.
Vale ressaltar que este “projeto” é aberto, onde qualquer um poderá participar com dicas e/ou sugestões de segurança.
Um dos pontos que sempre abordo dentro das empresas que trabalho é quanto a utilização de um framework MAC, seja ele o SELinux, AppArmor, Tomoyo ou SMACK. A sua implementação aumenta e muito a segurança de ambientes Linux, já que uma série de de vulnerabilidades são mitigas, e essa é uma dica/recomendação bem importante passada por esse grupo de trabalho.
Acontece que os administradores Linux, pelo menos aqui no Brasil, não são familiarizados com este tipo implementação de segurança – para vcs terem uma ideia, há pouco tempo que a RedHat disponibilizou um treinamento focado em SELinux em SP- sendo assim, dores de cabeça e um suporte um pouco mais demorado são as justificativas mais empregadas para não adoção destes recursos.
Quantos de vcs já acessaram um servidor RedHat ou CentOS e constataram que o selinux estava configurado em modo disabled ?
Nos casos que ele, o SELinux, está em modo enforcing é comum encontrarmos problemas de não funcionamento de algum deamon ou acesso a algum diretório, isso tudo devido a falta de experiência em administrar um ambiente com este nível de segurança.
Quem aí já não perdeu um tempo reconfigurado o SELinux para deixar o Varnish fazer o bind na porta 80 ao invés da 6081 ?
Resumindo, as dicas passadas por este grupo de trabalho/estudos são pertinentes, mas os administradores Linux precisam aumentar o seu leque de conhecimento para que possam colocá-las em prática e de forma correta.
Sobre o grsecurity
Por um acaso alguém já o implementou, e com sucesso, em um ambiente virtualizado ou em cloud, por exemplo, rodando na Amazon ? Pergunto isso, pois tive problemas há alguns meses …