Introdução à Segurança Linux
Aula 1 de 6
Princípios de Segurança
- Least Privilege: menor privilégio possível para cada tarefa
- Defense in Depth: múltiplas camadas de proteção
- Fail Safe: estado padrão é negar acesso
- Minimize Attack Surface: remova serviços, pacotes e portas desnecessários
CIS Benchmarks
Os CIS Benchmarks são guias de hardening amplamente adotados. Cada benchmark cobre centenas de regras categorizadas por nível:
| Nível | Descrição |
|---|---|
| Level 1 | Regras essenciais sem impacto operacional |
| Level 2 | Regras avançadas (podem quebrar compatibilidade) |
# Ferramentas de auditoria CIS
apt install cis-audit
# ou use OpenSCAP
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis \
--results results.xml /usr/share/scap/scap-rhel8.xml
Hardening Inicial
# Atualizar pacotes
apt update && apt upgrade -y
# Remover pacotes desnecessários
apt purge telnet rsh-server talk nis
# Desabilitar serviços não usados
systemctl disable --now cups avahi-daemon bluetooth
# Configurar GRUB com senha
grub-mkpasswd-pbkdf2
# Adicione ao /etc/grub.d/40_custom e execute update-grub
Linha de Defesa
Usuário → Firewall (nftables) → TCP Wrappers → PAM → SELinux/AppArmor → Kernel
Cada camada é uma barreira. Um atacante precisa romper todas para comprometer o sistema.
Segurança não é produto — é processo. Hardening é o primeiro passo, mas monitoramento contínuo é igualmente importante.