Re: sobre seguretat
Si et preocupa molt que no et puguin instal.lar un rootkit varies coses:
1.- www.chkrootkit.org
2.- compilar el nucli sense suport a mòduls
3.- www.lids.org (et pot tornar massa psicòpata, aviso)
Pel que fa al sshd, hauries de deshabilitar que root pugui entrar per ssh.
Millor entrar com a usuari normal i després fer un 'su'. Aquests "buscadors
de forats" intenten entrar com a root. El postfix, sobretot, ben configurat,
i pel que fa a l'apache, pel que he pogut veure, els desbordaments aquests
van dirigits majoritariament a màquines amb IIS.
On Diumenge 24 Octubre 2004 12:06, Albert Cervera Areny wrote:
> A Dissabte 23 Octubre 2004 14:02, xavi va escriure:
> > Hola a tothom,
> >
> > M'he estat mirant els logs d'accés al meu servidor i la veritat és que
> > m'he assustat bastant, en els últims 3 dies he tingut 22 intents
> > d'entrar per sshd, 3 intents d'open relay pel postfix, 4 intents de fer
> > desvordar el buffer d'apache... i els intents que no tinc conciència
> > perque n'hi sé que és pot probar de fer-ho per allí...
> >
> > Mai havia cregut en la paranoia de la seguretat però ara m'ha agafat
> > certa por, sempre em deia a mi mateix: a qui l'hi interessa entrar al meu
> > servidor?? que hi tinc de valor?? que hem poden agafar?? be, doncs canvi
> > de pensament: el tema es que van a per tots!!!
>
> Has de tenir en compte (per tal de rebaixar el nivell de paranoia) que el
> més probable no és que hi hagi algú intentant entrar a la teva màquina,
> sinó que hi ha gent que utilitza programes que cerquen per internet
> servidors amb vulnerabilitats conegudes (el típic cas és l'apache), de
> forma que el programa ha trobat el teu servidor, ha provat els atacs i ha
> continuat rastrejant...
>
> > Questions que hem roden pel cap:
> >
> > 0. Que pot passar si algú acconsegueix entrar
>
> Si són persones que utilitzen aquests programes, no sé fins a quin punt
> seran capaces d'instal·lar un root kit (es fan root de la teva màquina
> sense que tu mai ho descobreixis). Com comentava el Jordi, enviar spam
> també és bastant típic. Hi ha sistemes que rastregen cercant open relays i
> quan en troben algun comencen a enviar com a animals (ho dic per
> experiència).
>
> > 1. Quines eines es poden usar per a veure si ha entrat algú, per
> > monotoritzar els accessos...
>
> Per monitoritzar accessos la comanda 'last', però com et deia si algu
> aconsegueix entrar i instal·lar un rootkit, aquest eliminarà les entrades
> necessàries i semblarà com si no hagués entrat mai. Una vegada més, com diu
> el Jordi el millor és tenir el sistema al dia i una bona contrasenya. Si
> tens l'ssh, pots mirar en el fitxer de configuració del daemon que no
> estiguis permetent l'accés de root ni dels usuaris del sistema, tipus
> backup etc. Pots configurar que només puguin entrar els usuaris d'una
> llista donada de forma molt simple, és una opció recomanable.
>
> > 2. Tinc un router amb protocol NAT i tots els ports tancats exepte els
> > que uso, ssh, smtp, imaps. Necessito posar un firewall software al
> > server?? iptables ??
>
> No és una mala opció, però només si pots predir per exemple des de quines
> màquines et connectaràs. Si el servidor IMAP el fas servir sempre des d'una
> màquina determinada, pots filtrar per aquella IP, sinó no crec que puguis
> fer gaire cosa més. Hi ha persones que opten per obrir el servidor SSH en
> un port diferent del 22. Algun port on no hi hagi assignat cap protocol
> "stàndard" de forma que és possible que els programes de rastreig ho passin
> per alt. Però l'SMTP no el pots canviar pas i l'IMAP dependrà de com el
> facis servir.
>
> > moltes gràcies a tots,
> > salutacions. xavier bosch
> >
> >
> >
> > --
> > Linux Registered User #348368
--
:: :: :: :: :: :: :: :: :: :: :: :: :: :: :: ::
:: Jaume Sabater
:: administrador de sistemes
:: jaume@argus.net
argus.net TECNOLOGIA CREATIVA
"creant en la web des de 1995"
www.argus.net | tel: 932 92 41 00 | fax: 932 92 42 25 | info@argus.net
Avgda. Marquès de Comillas, 13 (Poble Espanyol) | 08038 | Barcelona
Reply to: