Re: Pregunta poco frecuente sobre apt-get y dkpg
El Wed, 08 Oct 2003 12:15:39 -0400
Leonardo Soto <leonardosoto@tutopia.com> escribió:
> El mié, 08-10-2003 a las 05:30, Matias escribió:
> > [...]
> > Piensa que si tienes rootkits muy a menudo en tu sistema, hay algo
> > que está fallando "alevosamente" y por más reinstalaciones que
> > hagas, siempre caerás en la misma situación. Si yo estuviese en tu
> > lugar, y no tengo ningún servicio exclusivo para linux, intentaría
> > cambiarme hacia otro OS (BeOS, FreeBSD, OpenBSD, NetBSD, etc)
>
> No creo que sea _la_ solucion (hey!, cambiar de OS no es
> precisamente facil), si tiene rootkits muy a menudo y no es una
> maquina que pudiera generar mucho interes de crackers (para que se
> tomaran la molestia de usar algun "0-day" contra ella), es porque el
> sistema no ha sido parchado cuando corresponde y/o corre servicios
> inseguros.
>
> EMHO, si es que se puede, mejor que (una vez instalado todo y con
> parches) haga logueo remoto en una maquina segura y deje a snort
> husmeando por la interfaz a internet.
Disculpad por haber dado por sobreentendidas algunas cosas que pueden
no ser tanto. Descontaba el hecho que algún IDS ya estaba funcionando.
Yo mencionaba cambiar de OS, por que usualmente los rootkits se basan
mucho en el OS que estés ejecutando. Y si les pongo Solaris (por decir
algún OS), les estoy molestando un poco y haré que me den un poco más
de tiempo para ver una solución real.
Creo que esto sería algo útil (si no es que el que inició el hilo ya
realizó todo esto):
* Tener el sistema actualizado (parches de seguridad)
* Endurecer el password de root y cambiarlo cada tanto (unos tres o
cuatro días)
* Chequiar la integridad de los ejecutables
* Mantener los mínimos servicios corriendo
* Algún IDS (como Snort) que envíe los logs hacia una cuenta externa.
* Enviar copia de los logs hacia una cuenta externa (como logcheck)
* Tratar de darle a los usuarios del sistema una shell restringida, y
configurar todo para que no puedan salir fácilmente de su HOME (estuve
leyendo que esto es posible, pero todavía no se muy bien como).
* Activar el grupo Wheel
* Crearse un usuario con con gran cantidad de permisos (un root
alternativo, el tan conocido usuario "toor") y tratar de utilizar este
usuario para la administración.
* Tener instalado solamente lo que se utiliza realmente, todas las
cosas que no se utilizan a menudo borrarlas (cuantos menos binarios
raros se tenga uno puede tener más en mente de que es lo que puede
estar mal)
* Tener varias reglas en el Firewall para tratar de evitar/retrasar
los escaneos de puertos, tirar todo lo que sea ICMP (al menos que sea
necesario tenerlo).
* Si no hay ningún usuario que tenga acceso físico a la máquina,
intentar sacar el SUID de mount y programas similares (chmod(1))
* Ver si con el strace se nota algo distinto.
Creo que hay muchas otras cosas que se podrían hacer.
Ah, por cierto, una pregunta a quien inició el hilo: ¿estáis
ejecutando algún server de algún juego? Digo esto porque he visto que
las máquinas que ponen para server de juegos son "brutalmente"
atacadas por todas partes, y muchas veces aprovechan las mismas
vulnerabilidades de estos "servers".
--
Atentamente, yo <Matías>
Nunca hay libertad en una invasión
http://nnss.d7.be
http://savannah.gnu.org/projects/tasklist
Con $ 1867 $ spams desde el 2003-09-22 12:00:00 GMT 000
Reply to: