Ir para o conteúdo

Ubuntu Server 20.04 - Ajustes pós instalação

Banner

Nesta parte do site foram agrupadas várias dicas e procedimentos que podem ser executados após a instalação do sistema operacional Ubuntu Linux. O objetivo destes documentos é fornecer os meios necessários para aumentar o nível de protção oferecido pelo sistema operacional.

📚 Atualizando o source.list e os pacotes instalados 📘

Após a instalação do sistema operacional a primeira customização que realizaremos será ajustar o conteúdo do arquivo sources.list. Neste arquivo definimos a origem dos pacote que instalaremos no sistema, ou seja a partir de onde os arquivos .deb serão obtidos/baixados. Além de definir a origem dos pacotes definimos os grupos de pacotes que poderão ser utilizados.

Para tal, devemos seguir o procedimento descrito 👉Aqui👈.

📚 Desativando serviços desnecessários 📘

Há alguns serviços que são instalados por padrão no Ubuntu 20.04 mas que, geralmente, não são necessários em uma maquina virtual. Para desativa-los siga os links abaixo:

📌 Desativando o Snap no Ubuntu 20.04

📌 Desativando o Multipathing no Ubuntu 20.04

📌 Desativando o LXD no Ubuntu 20.04

📚 Desativando o systemd-resolved

O próximo serviço a ser desativado é o systemd-resolved, desativando-o estaremos automaticamente ativando o processo de resolução de nomes clássico.

Para desativar o systemd-resolved devemos seguir o procedimento descrito 👉 aqui 👈.

Em seguida devemos ajustar o arquivo /etc/host.conf. Após os ajustes, este arquivo deve conter as seguintes linhas:

Configurações
order hosts,bind
multi on

O próximo passo é ajustar o conteúdo do arquivo hostname

Comando
sudo nano /etc/hostname

E podemos alterar o seu conteúdo para corresponder ao FQDN do host

Configurações
luisrodrigoog.github.io

Para aplicar este ajuste sem a necessidade de um reboot podemos utilizar o comando abaixo:

Comando
sudo hostname luisrodrigoog.github.io

Com isto finalizamos os ajustes no processo de resolução de nomes. E podemos iniciar o próximo passo.

📚 Open SSH

O OpenSSH é um dos principais daemons utilizados para fornecer acesso remoto aos sistemas baseados em Linux. Utilizemos o conteúdo da URL abaixo para realizar a instalação e os ajustes necessários neste daemon.

📗 SSH: Hardening Básico

📚 Configurando o Firewall (iptables)

Todo host deveria ter um firewall habilitado, mesmo que este contenha apenas algumas regras bem simples. Nos sistemas derivados do Ubuntu e do Debian o processo de configuração é relativamente simples e não requer mais do que alguns minutos.

Para habilitar um conjunto básico de regras no firewall do host siga os passos descritos na URL abaixo:

📗 Configurando o Firewall básico no Linux

📚 Sysctl

O sysctl é um utilitário que permite ajustar alguns dos atributos do kernel de sistemas Unix-like, como o Linux. Podemos utiliza-lo, inclusive para habilitar algumas configurações de segurança. Seguindo a URL teremos acesso à uma página contendo alguns dos ajustes que podem ser realizados.

📗 Realizando um hardening básico no sysctl

📚 NTP

Atualmente como quase todos os equipamentos conectados a uma nuvem, é fundamental manter a marca de tempo (timestamp) sincronizada. A partir timestamp e do timezone podemos determinar a data e a hora de um sistema. Para auxiliar o processo de sincronização da 'hora' foi criado o protocolo NTP e baseado neste foram criados servidores de hora distribuídos pelo mundo. No Brasil, o nic.BR fornece alguns servidores que podemos utilizar. Para realizar a configuração do cliente de NTP siga os passos descritos na URL abaixo:

📗 Configurando o Chrony como cliente de NTP no Ubuntu

📚 Desativando o rotate dos registros de acesso

O Ubuntu Linux e outros sistemas, geralmente, rotacionam, mensalmente, os arquivos de logs relacionados às tentativas de acesso ao sistema. Com este processo perdemos informações que podem ser úteis em caso de uma auditoria, ou quando, simplesmente, desejamos verificar quem acessou o host recentemente.

Lembrando que, dependendo do serviço instalado e da forma como realizamos a atualização do sistema, podemos ficar algum tempo sem acessa-lo via terminal. Logo, pode ser interessante manter as informações sobre os acessos guardadas por mais tempo. Para inibir o rotate destes logs siga os passos descritos na URL abaixo:

📗 Desativado o rotate do registro das tentativas de login

📚 Usando um servidor centralizado de log

Todo sistema operacional moderno, ou seja os atuais, possuem uma estrutura interna para registro das ações e eventos que ocorrem durante a sua execução e em decorrência da interação com os usuários. As mensagens geradas e registradas são comumente chamadas de logs e por default são armazenadas localmente nos hosts.

Dependendo a função/finalidade do host, pode ser interessante realizar o envio dos seus logs para um servidor centralizado. Um dos motivos de se utilizar um servidor centralizado é evitar que logs sejam perdidos em caso de crash da maquina ou caso um craker invada a maquina e tente apagar os seus rastros. Além disto, utilizar um servidor de log centralizado facilita o processo de análise de incidentes, assim como o processo de backup dos mesmos.

Para configurar o envio das mensagens de log de uma maquina que utilizar o Ubuntu ou o Debian Linux, siga os passos descritos na URL abaixo:

📗 Enviando as mensagens de log para um servidor Centralizado

📚 Habilitando o envio de e-mails

Durante o processo de uso de servidores baseados no Linux acabamos nos deparando com a necessidade de realizar o envio de mensagens utilizando a estrutura de e-mail. Geralmente, criamos scripts e utilizamos programas cujas saídas precisam ser analisadas, mas nem sempre os executamos manualmente, muitos dos nossos scripts são executados pela cron do sistema.

Nestes casos, precisamos que a saída nos seja enviada de alguma forma. Então, é ai que entra o serviço de e-mail. Podemos configurar alguns serviços para que, em situações específicas, eles possam enviar alertas e as suas saídas para uma determinada conta de e-mail. Mas, para que as mensagens possam ser enviadas precisamos que um servidor de smtp esta instalado e configurado em nossa maquina. Para realizar a configuração básica do postifix (daemons que implementa o serviço de smtp) siga os passos descritos na URL abaixo:

📗 Configurando o envio de e-mails com o postfix

📚 Instalando e configurando o RKhunter e o chkrootkit

Em uma maquina rodando o Ubuntu ou o Debian Linux, as ferramentas rkhunter e chrootkit serão utilizadas para monitorar e notificar modificações que ocorrem nos principais arquivos utilizados pelo sistema operacional. Assim como, podem ser utilizadas na detecção de alguns malwares. Para instalar e configurar estas ferramentas sigas os passos descritos na URL abaix^:

📗 Instalando o Rkhunter e o Chkrootkit no Ubuntu8 20.04

Com isto finalizamos o nosso roteiro de ajustes. Espero que tenham gostado que lhes seja util.

Até a próxima pessoal.



Banner

Última atualização: 2 de novembro de 2020

Comentários