A segurança de servidores Linux é um aspecto fundamental para empresas, administradores de sistemas e profissionais de cibersegurança. O hardening é o processo de reforçar a segurança de um sistema operacional, reduzindo a superfície de ataque e minimizando riscos de invasão.
Para garantir um ambiente seguro, não basta apenas configurar firewalls e autenticação de usuários. É necessário auditar, identificar e corrigir vulnerabilidades continuamente. Felizmente, existem ferramentas que automatizam esse processo, oferecendo relatórios detalhados e recomendações de segurança.
Neste artigo do Blog Dolutech, vamos apresentar um guia prático sobre hardening de servidores Linux utilizando ferramentas automatizadas. Exploraremos o Lynis, uma ferramenta de auditoria de segurança, e mostraremos como corrigir os problemas identificados para um ambiente mais seguro.
O que é Hardening de Servidores Linux?
O hardening consiste em aplicar diversas configurações de segurança para minimizar vulnerabilidades no sistema operacional. Entre as práticas mais comuns, destacam-se:
- Restrição de acessos administrativos – Apenas usuários autorizados devem poder acessar o servidor.
- Configuração de firewalls – Controle de tráfego de rede para evitar acessos indesejados.
- Monitoramento contínuo – Registros de atividades suspeitas para resposta a incidentes.
- Criptografia e políticas de senha seguras – Proteção contra ataques de força bruta.
- Atualizações constantes – Manter o sistema e pacotes sempre corrigidos contra falhas de segurança.
Ferramenta de Auditoria: Lynis
O Lynis é uma das melhores ferramentas para auditar a segurança de servidores Linux. Ele analisa a configuração do sistema, detecta vulnerabilidades e sugere correções, facilitando a aplicação de hardening.
Instalando o Lynis
Para instalar o Lynis em distribuições baseadas em Debian e Ubuntu, execute:
sudo apt update
sudo apt install lynis -yEm sistemas baseados em RHEL (CentOS, AlmaLinux, Rocky Linux):
sudo yum install lynis -yCaso sua distribuição não tenha o Lynis nos repositórios, você pode baixá-lo manualmente:
wget https://downloads.cisofy.com/lynis/lynis-latest.tar.gz
tar xzf lynis-latest.tar.gz
cd lynisExecutando uma Auditoria com o Lynis
Agora que o Lynis está instalado, podemos iniciar a auditoria de segurança do servidor:
sudo lynis audit systemA saída do Lynis incluirá informações como:
- Verificações de configuração de kernel
- Políticas de autenticação
- Configurações de firewall
- Gerenciamento de logs e permissões
- Acesso remoto e serviços expostos
- Testes de integridade de arquivos
- Criptografia e segurança de conexões
Ao final, o Lynis fornecerá um relatório detalhado destacando advertências (Warnings) e sugestões de segurança (Suggestions).
O relatório é salvo em:
/var/log/lynis.logAplicando Hardening com Base na Auditoria do Lynis
Agora que identificamos vulnerabilidades com o Lynis, é hora de aplicar correções. A seguir, listamos as correções mais comuns recomendadas pelo Lynis.
Atualização e Manutenção do Sistema
Manter o sistema atualizado é uma das melhores práticas de segurança.
Em Debian/Ubuntu:
sudo apt update && sudo apt upgrade -yEm CentOS/RHEL:
sudo yum update -yPara ativar atualizações automáticas:
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgradesConfiguração de Firewall (UFW e IPTables)
Um firewall controla quais conexões são permitidas.
Para Debian/Ubuntu (UFW):
sudo apt install ufw -y
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enablePara CentOS/RHEL (IPTables):
sudo yum install iptables-services -y
sudo systemctl enable iptables
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -j DROP
sudo service iptables saveProteção contra Ataques de Força Bruta com Fail2Ban
O Fail2Ban bloqueia IPs suspeitos após tentativas repetidas de login.
Instalação no Debian/Ubuntu:
sudo apt install fail2ban -yConfiguração básica (/etc/fail2ban/jail.local):
[sshd]
enabled = true
port = ssh
filter = sshd
maxretry = 5
bantime = 3600Ativação do serviço:
sudo systemctl enable --now fail2banHardening do SSH (Secure Shell)
Por padrão, o SSH permite login com senha e acesso root, o que pode ser perigoso.
Edite o arquivo de configuração do SSH:
sudo nano /etc/ssh/sshd_configMude os seguintes parâmetros:
Port 2222
PermitRootLogin no
PasswordAuthentication noReinicie o serviço SSH:
sudo systemctl restart sshdAtivando SELinux ou AppArmor para Controle de Acesso
- SELinux (CentOS/RHEL):
sudo setenforce 1
sudo nano /etc/selinux/config
SELINUX=enforcingAppArmor (Debian/Ubuntu):
sudo apt install apparmor apparmor-utils -y
sudo aa-enforce /etc/apparmor.d/*Monitoramento e Logging
Habilite logs detalhados para acompanhar atividades suspeitas.
- Últimos logins:
lastTentativas de login falhas:
sudo cat /var/log/auth.log | grep "Failed password"Monitoramento com AuditD:
sudo apt install auditd -y
sudo auditctl -w /etc/passwd -p wa -k passwd_changeConclusão
O hardening de servidores Linux é essencial para proteger sistemas contra ameaças cibernéticas. Utilizando ferramentas como o Lynis, é possível auditar, identificar e corrigir vulnerabilidades automaticamente.
Resumo das Etapas Aplicadas:
- Rodamos uma auditoria com o Lynis
- Corrigimos configurações inseguras de firewall e autenticação
- Protegemos acessos com Fail2Ban
- Fortalecemos o SSH contra ataques
- Ativamos SELinux e AppArmor para controle de acesso
- Monitoramos logs para detecção de intrusões
Se você deseja um servidor Linux mais seguro e resistente a ataques, aplicar hardening com Lynis é a melhor estratégia.
🔗 Mais informações: Lynis no GitHub
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
