Re: Seguridad "en casa" y ¿que hacemos con lpd?
Hola void,
On Fri, Nov 03, 2000 at 09:59:27AM +0100, void@bio.est.unileon.es wrote:
> ...
> Volvemos a lo de siempre , en mi modesta opinión los usuarios ya tienen
> madre, y no será por documentación... Soy partidario de facilitar la vida
> en la medida de lo posible a los usuarios novele.. pero... debe pagar el
> precio toda la comunidad ? :))
> ¿Les esta haciendo un favor cuando fomentas falsas sensaciones de
> seguridad y la casi total despreocupación por lo que su sistema ha
> instalado, y por lo que hace al arrancar ?
Solo recomiendo hacer el riesgo tan pequeño como sea posible
> que hubieras tenido el paquete corregido al dia siguiente en
> security.debian.org, un apt-get update && apt-get -y upgrade en un cron
> con las pretinentes líneas en el /etc/sources.list..
>
> deb http://security.debian.org/debian-security potato/updates main \
> contrib non-free
> deb http://security.debian.org/debian-non-US potato/non-US main \
> contrib non-free
Los usuarios noveles (algunos compañeros de trabajo) no actualizan con apt
(el peor caso posible)
Entre que alguien, supongamos malvado (peor caso posible) descubre el fallo
y se hace público porque algún amiguete "se va de la lengua" (y esto no es
el peor caso posible) ¿cuanto tiempo puede pasar?
Cuando el exploit es público la actualización es hiperrápida es correcto,
¿Pero y el tiempo que no fué público? Esto es lo que plantea Jay en su
artículo, leelo es bueno
> Cero lo que se dice cero...
Vale lo dejo como:
cero servicios, (cero servicios = cero riesgo por culpa de los servicios)
> >
> > Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos
> > preparados ;-)
> >
> Nunca se está preparado para lo peor, para lo casí peor...
Se puede hacer todo lo posible...
>
> Es una alternativa para un pc casero, es cierto
> >
Para cerrar todos los puertos en Potato puedes hacer:
COMO ASEGURAR (CERO SERVICIOS):
lsof -ni | grep -v "\->" # Muestra puertos escuchando
update-rc.d -f inetd remove # Desactivo inetd
dpkg --remove nfs-common # Desinstalar nfs-common
dpkg --remove nfs-kernel-server # Desinstalar nfs-kernel-server
update-rc.d -f portmap remove # Desactivo portmap
Editar gdm/kdm/xdm para arrancar las X con la opción "-nolisten tcp"
ejemplo (gdm):
---8<---
0=/usr/bin/X11/X vt7 -bpp 16 -nolisten tcp
--->8---
telinit 1 # Cambiamos a modo monousuario
telinit 2 # Volvemos al runlevel normal activando cambios
Me falta el tema de lpr, pero creo que es factible usar el filtro de impresión
así, sin necesidad de tener lpr instalado:
cat archivo | /etc/magicfilter/... > /dev/lp0
Hasta el lunes no lo puedo probar, en casa tengo la impresora averiada :-(
En concreto no se que pasará si intentas imprimir dos cosas a la vez...
> O un paquetito de los muchos existentes para cerrar bajo tutela el kiosco
> casi a cal y canto con ipchains o netfilter ??
>
Un cortafuegos es complicarle la vida demasiado a los usuarios caseros (yo
llevo dos años complicandomela, pero yo no cuento ;-)
>
> Debian es su concpeto es bastante mas espartana que los sombreros :))
Y Debian cada vez mejora más... (la uso desde hamm)
> ...
> Lo dicho , un saludo y suerte :))
>
Gracias por tu interes ;-)
> Por cierto , busca en freshmeat gibraltar , es una debian modificada y
> optimizaeda para correr en sistemas que hacen de router con la mayor parte
> del sistema de archivos en sólo lectura y evidentemente muy capadita de
> servicios.
>
Gracias otra vez ;-) ;-)
Saludos,
--
-------------------------------------------------
Manel Marin e-mail: manel3@apdo.com
Linux Powered (Debian 2.2 potato) kernel 2.2.17
Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petición de drivers para Linux es la nº 33126
(Pasate por http://www.libranet.com/petition.html ;-)
Reply to: