Re: sobre seguretat
A Dissabte 23 Octubre 2004 14:02, xavi va escriure:
> Hola a tothom,
>
> M'he estat mirant els logs d'accés al meu servidor i la veritat és que
> m'he assustat bastant, en els últims 3 dies he tingut 22 intents d'entrar
> per sshd, 3 intents d'open relay pel postfix, 4 intents de fer desvordar
> el buffer d'apache... i els intents que no tinc conciència perque n'hi sé
> que és pot probar de fer-ho per allí...
>
> Mai havia cregut en la paranoia de la seguretat però ara m'ha agafat certa
> por, sempre em deia a mi mateix: a qui l'hi interessa entrar al meu
> servidor?? que hi tinc de valor?? que hem poden agafar?? be, doncs canvi
> de pensament: el tema es que van a per tots!!!
Has de tenir en compte (per tal de rebaixar el nivell de paranoia) que el més
probable no és que hi hagi algú intentant entrar a la teva màquina, sinó que
hi ha gent que utilitza programes que cerquen per internet servidors amb
vulnerabilitats conegudes (el típic cas és l'apache), de forma que el
programa ha trobat el teu servidor, ha provat els atacs i ha continuat
rastrejant...
>
> Questions que hem roden pel cap:
>
> 0. Que pot passar si algú acconsegueix entrar
Si són persones que utilitzen aquests programes, no sé fins a quin punt seran
capaces d'instal·lar un root kit (es fan root de la teva màquina sense que tu
mai ho descobreixis). Com comentava el Jordi, enviar spam també és bastant
típic. Hi ha sistemes que rastregen cercant open relays i quan en troben
algun comencen a enviar com a animals (ho dic per experiència).
>
> 1. Quines eines es poden usar per a veure si ha entrat algú, per
> monotoritzar els accessos...
Per monitoritzar accessos la comanda 'last', però com et deia si algu
aconsegueix entrar i instal·lar un rootkit, aquest eliminarà les entrades
necessàries i semblarà com si no hagués entrat mai. Una vegada més, com diu
el Jordi el millor és tenir el sistema al dia i una bona contrasenya. Si tens
l'ssh, pots mirar en el fitxer de configuració del daemon que no estiguis
permetent l'accés de root ni dels usuaris del sistema, tipus backup etc. Pots
configurar que només puguin entrar els usuaris d'una llista donada de forma
molt simple, és una opció recomanable.
>
> 2. Tinc un router amb protocol NAT i tots els ports tancats exepte els que
> uso, ssh, smtp, imaps. Necessito posar un firewall software al server??
> iptables ??
No és una mala opció, però només si pots predir per exemple des de quines
màquines et connectaràs. Si el servidor IMAP el fas servir sempre des d'una
màquina determinada, pots filtrar per aquella IP, sinó no crec que puguis fer
gaire cosa més. Hi ha persones que opten per obrir el servidor SSH en un port
diferent del 22. Algun port on no hi hagi assignat cap protocol "stàndard" de
forma que és possible que els programes de rastreig ho passin per alt. Però
l'SMTP no el pots canviar pas i l'IMAP dependrà de com el facis servir.
>
> moltes gràcies a tots,
> salutacions. xavier bosch
>
>
>
> --
> Linux Registered User #348368
Reply to: