Segurança · 5 min read · Jan 08, 2026

Segurando o Servidor CentOS com Bastille e PSAD

Este artigo mostra como proteger um servidor CentOS usando psad, Bastille e algumas outras configurações. psad é uma ferramenta que ajuda a detectar varreduras de portas e outros tráfegos suspeitos, e o programa de endurecimento Bastille bloqueia um sistema operacional, configurando proativamente o sistema para aumentar a segurança e diminuir sua suscetibilidade a compromissos.

Criar uma conta adicional para Administração de Sistemas

O comando “adduser” criará uma conta.

adduser service

O comando “passwd” definirá a senha para a conta “service”.

passwd service

Criando um diretório para downloads.

Isso criará um diretório para baixar os RPMs e outros arquivos.

mkdir /downloads  
cd /downloads

Instalando o PSAD

psad é uma coleção de três daemons de sistema leves (dois daemons principais e um daemon auxiliar) que rodam em máquinas Linux e analisam mensagens de log do Netfilter para detectar varreduras de portas e outros tráfegos suspeitos. Mais informações podem ser encontradas aqui.

wget http://www.cipherdyne.com/psad/download/psad-2.4.6.tar.gz  
tar xfz psad-2.4.6.tar.gz  
cd psad-2.4.6  
./install.pl

Instalando o Bastille

O programa de Endurecimento Bastille “bloqueia” um sistema operacional, configurando proativamente o sistema para aumentar a segurança e diminuir sua suscetibilidade a compromissos. O Bastille também pode avaliar o estado atual de endurecimento de um sistema, relatando de forma granular sobre cada uma das configurações de segurança com as quais trabalha. Mais informações podem ser encontradas aqui.

wget https://downloads.sourceforge.net/project/bastille-linux/bastille-linux/3.2.1/Bastille-3.2.1-0.1.noarch.rpm  
  
rpm -ivh Bastille-3.2.1-0.1.noarch.rpm

Executando o Bastille

Isso iniciará o prompt interativo.

/usr/sbin/bastille -c

Resposta do prompt interativo

Essas configurações são recomendações para a instalação do Perfect Setup. Pode haver certos valores que podem precisar ser alterados se outros softwares ou pacotes tiverem sido instalados.

accept  
  
  

Você gostaria de definir permissões mais restritivas nas utilidades de administração? -> SIM  
  
  

Você gostaria de desativar o status SUID para mount/umount? -> SIM  
Você gostaria de desativar o status SUID para ping? -> SIM  
Você gostaria de desativar o status SUID para at? -> SIM  
Você gostaria de desativar as ferramentas r? -> SIM  
Você gostaria de desativar o status SUID para usernetctl? -> SIM  
Você gostaria de desativar o status SUID para traceroute? -> SIM  
O Bastille deve desativar protocolos r em texto claro que usam autenticação baseada em IP? -> SIM  
Você gostaria de impor o envelhecimento de senhas? -> SIM  
Você quer definir o umask padrão? -> SIM   
Qual umask você gostaria de definir para os usuários no sistema? -> 007  
Devemos proibir o login root nos tty's 1-6? -> NÃO  
O Bastille deve perguntar a você sobre contas extras para excluir? -> NÃO  
Você gostaria de proteger por senha o prompt do GRUB? -> NÃO  
Você gostaria de desativar o reboot CTRL-ALT-DELETE? -> SIM  
Você gostaria de proteger por senha o modo de usuário único? -> NÃO  
Você gostaria de definir um padrão de negação nos TCP Wrappers e xinetd? -> NÃO  
Você gostaria de exibir mensagens de "Uso Autorizado" no momento do login? -> SIM  
Quem é responsável por conceder autorização para usar esta máquina? -> NOME DA SUA EMPRESA  
Você gostaria de colocar limites no uso de recursos do sistema? -> SIM  
  
  

Devemos restringir o acesso ao console a um pequeno grupo de contas de usuário? -> SIM  
Quais contas devem ser capazes de fazer login no console? -> root  
Você gostaria de configurar a contabilidade de processos? -> NÃO  
  
  

Você gostaria de desativar acpid e/ou apmd? -> SIM  
Você gostaria de desativar os serviços PCMCIA? -> SIM  
Você gostaria de desativar GPM? -> SIM  
Você gostaria de desativar o script HP OfficeJet (hpoj) nesta máquina? -> SIM  
Você gostaria de desativar o script ISDN nesta máquina? -> SIM  
Você gostaria de desativar a execução do kudzu na inicialização? -> SIM  
Você quer impedir que o sendmail seja executado em modo daemon? -> SIM  
Você gostaria de desativar o named, pelo menos por enquanto? -> NÃO  
Você gostaria de desativar o servidor web Apache? -> NÃO  
Você gostaria de vincular o servidor Web para escutar apenas o localhost? -> NÃO  
Você gostaria de vincular o servidor web a uma interface particular? -> NÃO  
  
  

Você gostaria de desativar o seguimento de links simbólicos? -> SIM  
Você gostaria de desativar a impressão? -> SIM  
Você gostaria de instalar scripts TMPDIR/TMP? -> NÃO  
Você gostaria de executar o script de filtragem de pacotes? -> SIM  
  
  

Você precisa das opções avançadas de rede? -> NÃO  
Servidores DNS: [0.0.0.0/0] -> DEIXAR PADRÃO  
Interfaces públicas: -> eth+  
Serviços TCP a auditar: -> telnet ftp imap pop3 finger sunrpc exec login linuxconf ssh  
Serviços UDP a auditar: -> 31337  
Serviços ICMP a auditar: -> EM BRANCO  
Nomes de serviços TCP ou números de porta a permitir em interfaces públicas: -> 21 22 25 53 80 110 111 143 443 631 953 993 995 3306  
Nomes de serviços UDP ou números de porta a permitir em interfaces públicas: -> EM BRANCO  
Forçar modo passivo? -> SIM  
Serviços TCP a bloquear: -> 2049 2065:2090 6000:6020 7100  
Serviços UDP a bloquear: -> 2049 6770  
Tipos ICMP permitidos: -> destination-unreachable echo-reply time-exceeded  
Habilitar verificação de endereço de origem? -> SIM  
Método de rejeição: -> NEGAR  
Interfaces para consultas DHCP: -> EM BRANCO  
Servidores NTP para consultar: -> EM BRANCO  
Tipos ICMP a desautorizar na saída: -> destination-unreachable time-exceeded  
O Bastille deve executar o firewall e habilitá-lo na inicialização? -> SIM  
Você gostaria de configurar o psad? -> SIM  
Intervalo de verificação do psad: -> 15  
Limite de varredura de faixa de portas: -> 1  
Habilitar persistência de varredura? -> NÃO  
Tempo limite de varredura: -> 3600  
Mostrar todas as assinaturas de varredura? -> NÃO  
Níveis de Perigo: -> 5 50 1000 5000 10000  
Endereços de email: -> root@localhost  
Nível de perigo do alerta por email: -> 1  
Alertar sobre todos os novos pacotes? -> SIM  
Habilitar bloqueio automático de IPs de varredura? -> NÃO  
O Bastille deve habilitar o psad na inicialização? -> SIM  
Você terminou de responder às perguntas, ou seja, podemos fazer as alterações? -> SIM

Editar Configuração do SSH

Isso dará um passo extra para proteger o SSH. As seguintes configurações irão:

  • garantir que o SSHv2 seja usado
  • o usuário root não pode fazer login diretamente via SSH
  • contas sem senhas não serão permitidas para fazer login
  • uma mensagem de login será exibida.
vi /etc/ssh/sshd_config

Edite as seguintes linhas e remova o comentário. Não se esqueça de salvar e sair.

#Protocol 2,1 -> Protocol 2  
#PermitRootLogin yes -> PermitRootLogin no  
#PermitEmptyPasswords no -> PermitEmptyPasswords no  
#Banner /some/path -> Banner /etc/issue

Reiniciar o sistema

Por favor, reinicie o sistema como uma verificação final. Certifique-se de que tudo inicie corretamente.

reboot
Share: X/Twitter LinkedIn
#Segurança

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.