Re: sobre seguretat
Hola Xavier,
el que comentes és un dels problemes més grans en quant a concienciació dels
usuaris en matèria de seguretat. La gent sol pensar que només s'ataca a les
grans organitzacions o empreses. Tú fas una de les preguntes clau: "que hi tinc
de valor?"; bé, el que la gent no veu és que per a realitzar els atacs als
vertaders objectius, s'utilitzen màquines "plataforma" com puga ser la teua o la
meua. Així intenten entrar per a llançar l'atac des d'una màquina aliena (la
nostra) i ocultar millor les seues pases.
En quan a les preguntes:
0 -> Depen molt dels motius de la intrusió, però normalment instalaran un
"rootkit" per a ocultar els seus processos i fitxers. A més, si els interessa
poden buscar els teus certificats i contrasenyes que els donen accés a altres
sistemes. També hi ha una part jurídica, i és que si fan alguna cosa dolenta des
del teu ordinador i la investigació de l'incident arriba fins a tú, hauràs de
demostrar que no eres tú el responsable.
1 -> Eines, et pots possar un IDS com snort o prelude i revisar periòdicament
les alertes. A més, hi ha una ferramenta que es diu chkrootkit per a detectar
"rootkits". També es convenient revisar els logs buscant coses extranyes
(nombres hexadecimals que no haurien de ser[1], valors d'eixida de programes[2],
etc), això es pot automatitzar fins cert punt amb ferramentes com swatch,
logcheck, log-analysis...
2 -> No cal, a no ser que vullgues fer un filtrat adicional per característiques
dels paquets (IP, TTL, TOS...). Amb el NAT hi ha prou.
Una última recomanació, realitzar actualitzacions freqüents i estar al corrent
dels "bugs" de les aplicacions que utilitzes.
Vinga, que no siga res!
Jose
[1] Missatges com "[Servidor TAL] Fitxer 5a0.0.80420fe.bffffdb0... no trobat"
indiquen que algú ha estat intentant explotar un "format string".
[2] Un missatge prou habitual als desbordaments de buffer que no han acabat de
funcionar és "exited with signal 11". Això vol dir que s'ha produït una violació
de segment, així que hem de investigar un poc les raons.
"xavi" <xavi@e-topia.ath.cx> va escriure:
> Hola a tothom,
>
> M'he estat mirant els logs d'accés al meu servidor i la veritat és que
> m'he assustat bastant, en els últims 3 dies he tingut 22 intents d'entrar
> per sshd, 3 intents d'open relay pel postfix, 4 intents de fer desvordar
> el buffer d'apache... i els intents que no tinc conciència perque n'hi sé
> que és pot probar de fer-ho per allí...
>
> Mai havia cregut en la paranoia de la seguretat però ara m'ha agafat certa
> por, sempre em deia a mi mateix: a qui l'hi interessa entrar al meu
> servidor?? que hi tinc de valor?? que hem poden agafar?? be, doncs canvi
> de pensament: el tema es que van a per tots!!!
>
> Questions que hem roden pel cap:
>
> 0. Que pot passar si algú acconsegueix entrar
>
> 1. Quines eines es poden usar per a veure si ha entrat algú, per
> monotoritzar els accessos...
>
> 2. Tinc un router amb protocol NAT i tots els ports tancats exepte els que
> uso, ssh, smtp, imaps. Necessito posar un firewall software al server??
> iptables ??
>
> moltes gràcies a tots,
> salutacions. xavier bosch
>
>
>
> --
> Linux Registered User #348368
>
>
> --
> To UNSUBSCRIBE, email to debian-user-catalan-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: