Debian – Auditoria

Auditoria e Segurança

Auditar o sistema significa manter registros irrefutáveis de quem acessou o quê e quando.

Análise de logs com journalctl

O Debian utiliza o systemd-journald. Para visualizar logs do sistema:

sudo journalctl -xe

Para monitorar logs de autenticação (SSH):

sudo journalctl -u ssh

Lynis: Auditoria automatizada

O Lynis é uma das ferramentas de auditoria de segurança mais respeitadas no ecossistema Open Source. Ele realiza um escaneamento profundo de segurança, verificando permissões de arquivos, configurações de kernel, pacotes desatualizados, vulnerabilidades, analisa a configuração do sistema e o desempenho do hardening.

• Instalação: sudo apt install lynis
  • Sugestão de pacotes: apt-listbugs debsecan debsums tripwire samhain aide fail2ban menu-l10n (será visto mais adiante)
• Execução: sudo lynis audit system

As recomendações do Lynis devem ser tratadas como um roadmap para o hardening contínuo.

1. Interpretando o Resultado: O que focar primeiro?

Ao final de um scan (lynis audit system), você será bombardeado com informações. Para não se perder, foque na seguinte hierarquia:

• Hardening Index: É uma pontuação numérica. Embora ver o número subir seja satisfatório, não se prenda apenas a ele. Um sistema com índice 80 pode ser menos seguro que um de 65 se o de 80 tiver uma falha crítica de autenticação exposta.
• Warnings (Avisos em Vermelho): São falhas de segurança reais ou configurações extremamente perigosas. Devem ser resolvidas imediatamente.
• Suggestions (Sugestões em Amarelo): São “boas práticas”. Nem todas se aplicam a todos os cenários (ex: desativar USB em um servidor virtualizado é menos prioritário que em um físico).

2. Pontos Cruciais: O que realmente garante a segurança?

Para subir o nível de proteção do seu servidor, foque nestes quatro pilares identificados pelo Lynis:

A. Autenticação e Acesso (Prioridade Máxima)

O Lynis verificará o /etc/ssh/sshd_config. Pontos inegociáveis:

• Desativar login de Root: PermitRootLogin no
• Desativar senhas vazias: PermitEmptyPasswords no
• Protocolo 2: Garantir que versões antigas do SSH não sejam aceitas

B. Proteção do Kernel e Memória

O Lynis sugere parâmetros de sysctl. Os mais importantes evitam ataques de rede comuns:

• Desativar IP Forwarding (se não for um roteador).
• Ativar proteção contra SYN Cookies.
• Ignorar pacotes ICMP (previne descoberta de rede – opcional).

Debian 12 – Edite o arquivo /etc/sysctl.conf: sudo nano /etc/systectl.conf
Debian 13 – Comando para copiar o default e editar: sudo nano /etc/sysctl.d/99-network.conf

# Desativar IP Forwarding (evita que o servidor atue como roteador):
net.ipv4.ip_forward = 0
# Ativar proteção contra SYN Cookies (ajuda contra ataques Flood):
net.ipv4.tcp_syncookies = 1
# Ignorar pacotes ICMP (seu servidor para de responder ao 'ping'):
# net.ipv4.icmp_echo_ignore_all = 1

Aplicação: Para ativar sem reiniciar, rode:

sudo sysctl --system

C. Gerenciamento de Logs e Auditoria

Se você for invadido, precisa saber como aconteceu. O Lynis verifica se o auditd está instalado e configurado. Ter logs centralizados ou imutáveis é um divisor de águas em perícias forenses.

• Relatório Detalhado: O Lynis salva um log detalhado da auditoria em /var/log/lynis-report.dat. Use-o para uma análise mais aprofundada.
• Customização: Você pode criar um arquivo de configuração (/etc/lynis/default.prf) para personalizar as verificações que o Lynis realiza.
• Agendamento: É altamente recomendável agendar auditorias regulares com Lynis (por exemplo, semanalmente ou mensalmente) usando um cronjob.

# Exemplo de cronjob para executar Lynis semanalmente e enviar relatório para e-mail
# Primeiro, instale mailutils para enviar e-mails: sudo apt install mailutils
# Em seguida, edite o crontab: sudo crontab -e
# Adicione a linha:
0 2 * * 0 /usr/sbin/lynis audit system --quick 2>&1 | mail -s "Relatório Semanal Lynis - Servidor Debian" [email protected]
# 0 2 * * 0: Define o horário da execução. Ele rodará todo domingo (o último 0), às 02:00 da manhã (0 minutos, 2 horas).
# /usr/sbin/lynis audit system: Chama o Lynis, uma ferramenta de auditoria de segurança para Linux. O comando audit system faz a varredura completa em busca de vulnerabilidades e configurações incorretas.
# --quick: Esse parâmetro é essencial para automação; ele pula as pausas interativas (o "pressione enter para continuar"), permitindo que o programa rode sozinho do início ao fim.
# 2>&1: Redireciona os erros (stderr) para a saída padrão (stdout). Isso garante que, se algo der errado, a mensagem de erro também apareça no relatório.
# | mail -s "Assunto": O símbolo | (pipe) pega todo o texto gerado pelo Lynis e o envia como corpo de um e-mail. O -s define o assunto da mensagem.
# [email protected]: O destinatário que receberá o relatório. 

3. Plano de Ação: Como aumentar a segurança hoje

Não tente resolver tudo de uma vez. Siga este roteiro:

1. Instale e Rode: lynis audit system
2. Corrija o SSH: É a porta de entrada. Siga as sugestões do Lynis para o arquivo de configuração.
3. Hardening de Kernel: Aplique as sugestões de /etc/sysctl.conf
4. Remova o desnecessário: Desinstale compiladores (gcc) e shells não utilizados de usuários de serviço. O Lynis listará pacotes vulneráveis ou obsoletos.
5. Firewall: Garanta que apenas as portas estritamente necessárias estejam abertas (seja via nftables ou firewalld).

4. Ferramentas de Verificação de Pacotes e Segurança

• apt-listbugs: Verifica o sistema de rastreamento de bugs do Debian antes de instalar ou atualizar um pacote via apt. Ele avisa se houver bugs críticos conhecidos na versão que você está prestes a instalar. Funciona automaticamente sempre que você usa apt install ou apt upgrade. (necessário sudo apt install apt-listbugs)
• debsecan: Analisa o sistema em busca de vulnerabilidades de segurança conhecidas (CVEs) nos pacotes instalados. Ele gera relatórios sobre quais correções de segurança estão faltando no seu host.
  • Para executar: debsecan –suite (ex: debsecan –suite bullseye ou debsecan –suite trixie)
  • Durante a instalação, ele pode perguntar se deve rodar via cron para enviar relatórios diários por e-mail. Você pode reconfigurar com sudo dpkg-reconfigure debsecan.
• debsums: Verifica a integridade dos arquivos instalados a partir de pacotes .deb. Ele compara o MD5 (hash) dos arquivos atuais com os originais para identificar se algo foi modificado ou corrompido.
  • Para executar: sudo debsums -c (lista apenas arquivos que foram alterados/corrompidos).

5. Prevenção e Interface

• fail2ban: Protege o servidor contra ataques de força bruta. Ele monitora logs do sistema (como /var/log/auth.log) em busca de padrões maliciosos, como múltiplas tentativas de login falhas. Quando detecta um comportamento suspeito, ele atualiza as regras do firewall (nftables ou iptables) para banir o endereço IP de origem por um tempo determinado.
  • Instalação: sudo apt install fail2ban
  • Configuração: sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local (Nunca edite o jail.conf diretamente. Use o jail.local)
  • Ative a proteção SSH:
    [sshd]
    enabled = true
    port = ssh
    logpath = %(sshd_log)s
    backend = %(sshd_backend)s
    maxretry = 3
    bantime = 1h
  • Reinicie o serviço: sudo systemctl restart fail2ban
  • Para ver o status: sudo fail2ban-client status
  • Para ver IPs banidos no SSH: sudo fail2ban-client status sshd
• menu-l10n: Não é uma ferramenta de segurança, mas sim um pacote de localização (tradução). Ele fornece as traduções para os menus de aplicativos no sistema, garantindo que as descrições dos programas apareçam no seu idioma. Não possui comandos de execução. Uma vez instalado, as traduções dos menus do sistema são aplicadas automaticamente com base no seu idioma configurado no sistema operacional.

6. Sistemas de Detecção de Intrusão (HIDS)

Estas três ferramentas monitoram mudanças não autorizadas no sistema de arquivos:

• Tripwire: Uma das ferramentas mais clássicas de monitoramento de integridade. Ele cria um banco de dados com a “assinatura” dos arquivos do sistema e alerta se houver qualquer alteração (útil para detectar invasões que alteram binários do sistema).
  SEGUIR OS PASSOS DO VIDEO: https://www.youtube.com/watch?v=PI3Bj65-TOw
• Samhain: Semelhante ao Tripwire, mas focado em ambientes de rede. Oferece monitoramento centralizado, verificando a integridade dos arquivos em vários computadores a partir de um único servidor.
  SEGUIR IS PASSOS DO VIDEO: https://www.youtube.com/watch?v=bJfGrnM_V-A
• AIDE (Advanced Intrusion Detection Environment): Considerada a sucessora moderna e gratuita do Tripwire. Ela verifica mudanças em atributos de arquivos (permissões, datas, conteúdos) para identificar atividades suspeitas.
  SEGUIR OS PASSOS DO VIDEO: https://www.youtube.com/watch?v=A32cpalTinA

Ilustrações

SVG REPO
Disponível em: https://www.svgrepo.com/svg/354912/debian
Acesso em: 04 abr. 2026.

Referências

CUBEPATH.COM – Linux Server Hardening: Complete Guide
Disponível em: https://cubepath.com/docs/server-security/linux-server-hardening-complete-guide
Acesso em: 04 abr. 2026.

CISOFY.COM – Lynis Documentation
Disponível em: https://cisofy.com/lynis/
Acesso em: 04 abr. 2026.

DEBIAN.ORG – Guia de segurança do Debian
Disponível em: https://www.debian.org/doc/manuals/securing-debian-manual/
Acesso em: 04 abr. 2026.

YOUTUBE.COM – How to Install Tripwire on Debian
Disponível em: https://www.youtube.com/watch?v=PI3Bj65-TOw
Acesso em: 04 abr. 2026.

YOUTUBE.COM – IDS Samhain presentation 4 school
Disponível em: https://www.youtube.com/watch?v=bJfGrnM_V-A
Acesso em: 04 abr. 2026.