Material del taller Introducción al Hardening Linux impartido el 16 de Febrero de 2023 en #HackOn2023, la 5ª edición de la conferencia HackOn.
En este taller se muestra la importancia de la securización de entornos Linux, y se introduce a los asistentes en el desarrollo de tests de bastionado con la herramienta Lynis y scripts de hardening con la herramienta de automatización Ansible.
Las diapositivas utilizadas como hilo conductor del taller se encuentran en hardening_linux_hackon2023.pdf.
- Presentación de los ponentes
- Introducción al bastionado de sistemas y por qué es importante
- Arquitectura del laboratorio preparado, consistente en una máquina virtual vulnerable en la que se ejecutarán los tests y que será bastionada
- Puntos de control que se van a verificar y bastionar: el propio sistema operativo Linux, y los servicios
ssh
yapache
. - Desarrollo de los tests de hardening, incluyendo distintos ejemplos, y ejecución de los mismos
- Desarrollo de los scripts de hardening y ejecución de los mismos para bastionar los puntos de control
- Ejecución de los tests de nuevo para comprobar que se han resuelto los aspectos que daban error previamente
- Presentación de una posible solución desarrollada por los autores
- 3 scripts de Lynis preparados para que desarrollen tests que comprueben el estado del hardening.
- Dichos scripts, con las soluciones incluidas, se pueden encontrar en el directorio lynisHackOn/include/ bajo los nombres
tests_apache
,tests_linux
ytests_ssh
.
- Dichos scripts, con las soluciones incluidas, se pueden encontrar en el directorio lynisHackOn/include/ bajo los nombres
- 3 ficheros de tasks de Ansible preparados para que desarrollen los pasos que modifiquen las configuraciones y solucionen los problemas de seguridad.
- Dichos ficheros, con las soluciones incluidas, se pueden encontrar en el directorio ansibleScripts/hardeningScripts/ bajo los nombres
apache.yml
,linux.yml
yssh.yml
. Estos ficheros se ejecutan desde el Playbook de Ansible, denominadoansibleHardening.yml
.
- Dichos ficheros, con las soluciones incluidas, se pueden encontrar en el directorio ansibleScripts/hardeningScripts/ bajo los nombres
- 1 máquina virtual Ubuntu 22.04 LTS en formato OVA (VirtualBox) con Ansible instalado y servicios vulnerables sin hardenizar.
Para ello, es necesario situarse en el directorio en el que se encuentra el ejecutable de Lynis, proporcionado en este mismo repositorio, y lanzarlo:
cd lynisHackOn
./lynis audit system
Para ello, es necesario situarse en el directorio en el que se encuentra el Playbook de Ansible ansibleHardening.yml
y ejecutar el comando ansible-playbook
:
cd ansibleScripts
ansible-playbook ansibleHardening.yml --check # Check mode, don't make changes
ansible-playbook ansibleHardening.yml # Normal mode
- Repositorio Hardening a Server, con un playbook de Ansible ejecutado desde GitHub Actions.
- Javier Sánchez -
@Javi_sanchez04
- Alejandro Bermejo -
@R00tedSec