Linux - Mitigação e Detecção

Objetivo

Transformar achados técnicos em hardening contínuo: prevenção de elevação, detecção precoce e resposta orientada por evidência.

Checklist Prático de Mitigação

1. Revisar sudoers, grupos privilegiados e contas de serviço.
2. Remover superfícies de elevação não essenciais (SUID/SGID/capabilities).
3. Proteger scripts e unidades privilegiadas contra escrita indevida.
4. Fortalecer SSH: autenticação, política de acesso e bastion quando aplicável.

Checklist Prático de Detecção

1. Alertar mudanças em sudoers, cron, systemd e arquivos críticos.
2. Correlacionar comandos administrativos fora do baseline.
3. Monitorar anomalias de autenticação e movimentação lateral.
4. Executar reteste periódico para validar eficácia das correções.

Comandos de Verificação

# SSH e autenticação
sshd -T | grep -E "permitrootlogin|passwordauthentication|pubkeyauthentication"

# Privilégios locais
sudo -l -U $(whoami)
find / -perm -4000 -type f 2>/dev/null | head -n 120
getcap -r / 2>/dev/null | head -n 120

# Logs e auditoria
journalctl -p warning -n 150 --no-pager
ausearch -m USER_CMD,USER_AUTH -ts recent 2>/dev/null | head

Critério de Fechamento

• Cada achado tem owner, prazo, evidência de correção e risco residual.
• Teste de revalidação não reproduz o vetor original.
• Controles de detecção geram evento útil para SOC/IR.