Re: sobre seguretat

To: debian-user-catalan@lists.debian.org
Subject: Re: sobre seguretat
From: Albert Cervera Areny <albertca@hotpop.com>
Date: Sun, 24 Oct 2004 12:06:53 +0200
Message-id: <[🔎] 200410241206.54466.albertca@hotpop.com>
In-reply-to: <[🔎] 1316.147.83.38.57.1098532937.squirrel@e-topia.ath.cx>
References: <[🔎] 1316.147.83.38.57.1098532937.squirrel@e-topia.ath.cx>

A Dissabte 23 Octubre 2004 14:02, xavi va escriure:
> Hola a tothom,
>
> M'he estat mirant els logs d'accés al meu servidor i la veritat és que
> m'he assustat  bastant, en els últims 3 dies he tingut 22 intents d'entrar
> per sshd, 3 intents d'open relay pel postfix, 4 intents de fer desvordar
> el buffer d'apache... i els intents que no tinc conciència perque n'hi sé
> que és pot probar de fer-ho per allí...
>
> Mai havia cregut en la paranoia de la seguretat però ara m'ha agafat certa
> por, sempre em deia a mi mateix: a qui l'hi interessa entrar al meu
> servidor?? que hi tinc de valor?? que hem poden agafar?? be, doncs canvi
> de pensament: el tema es que van a per tots!!!

Has de tenir en compte (per tal de rebaixar el nivell de paranoia) que el més 
probable no és que hi hagi algú intentant entrar a la teva màquina, sinó que 
hi ha gent que utilitza programes que cerquen per internet servidors amb 
vulnerabilitats conegudes (el típic cas és l'apache), de forma que el 
programa ha trobat el teu servidor, ha provat els atacs i ha continuat 
rastrejant... 
>
> Questions que hem roden pel cap:
>
> 0. Que pot passar si algú acconsegueix entrar

Si són persones que utilitzen aquests programes, no sé fins a quin punt seran 
capaces d'instal·lar un root kit (es fan root de la teva màquina sense que tu 
mai ho descobreixis). Com comentava el Jordi, enviar spam també és bastant 
típic. Hi ha sistemes que rastregen cercant open relays i quan en troben 
algun comencen a enviar com a animals (ho dic per experiència).
>
> 1. Quines eines es poden usar per a veure si ha entrat algú, per
> monotoritzar els accessos...

Per monitoritzar accessos la comanda 'last', però com et deia si algu 
aconsegueix entrar i instal·lar un rootkit, aquest eliminarà les entrades 
necessàries i semblarà com si no hagués entrat mai. Una vegada més, com diu 
el Jordi el millor és tenir el sistema al dia i una bona contrasenya. Si tens 
l'ssh, pots mirar en el fitxer de configuració del daemon que no estiguis 
permetent l'accés de root ni dels usuaris del sistema, tipus backup etc. Pots 
configurar que només puguin entrar els usuaris d'una llista donada de forma 
molt simple, és una opció recomanable.

>
> 2. Tinc un router amb protocol NAT i tots els ports tancats exepte els que
> uso, ssh, smtp, imaps. Necessito posar un firewall software al server??
> iptables ??

No és una mala opció, però només si pots predir per exemple des de quines 
màquines et connectaràs. Si el servidor IMAP el fas servir sempre des d'una 
màquina determinada, pots filtrar per aquella IP, sinó no crec que puguis fer 
gaire cosa més. Hi ha persones que opten per obrir el servidor SSH en un port 
diferent del 22. Algun port on no hi hagi assignat cap protocol "stàndard" de 
forma que és possible que els programes de rastreig ho passin per alt. Però 
l'SMTP no el pots canviar pas i l'IMAP dependrà de com el facis servir.

>
> moltes gràcies a tots,
> salutacions. xavier bosch
>
>
>
> --
> Linux Registered User #348368

Reply to:

Follow-Ups:
- Re: sobre seguretat
  - From: Jaume Sabater <jaume@argus.es>

References:
- sobre seguretat
  - From: "xavi" <xavi@e-topia.ath.cx>

Prev by Date: Muntar una xarxa casolana amb un switch i un mòdem de cable.
Next by Date: flash no funciona
Previous by thread: Re: sobre seguretat
Next by thread: Re: sobre seguretat
Index(es):
- Date
- Thread