[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Integridad del Sistema



On Sat, Nov 12, 2005 at 02:45:09PM -0300, Leo wrote:
> Hola Lista.
> 
> Tengo un Debian Sarge que funciona sin problemas.
> 
> Ahora, que podría hacer para asegurarme que el Sistema no tiene 
> instalado nada "extraño" como algún keylogger o algo mas complejo?
> 
> Se que esto no es tarea fácil, pero si pueden tirarme algunos tips como 
> para seguir o procesos a controlar les estaría muy agradecido.

Si tu sistema está bien hay algunas cosas que puedes hacer para
prevenir (ojo, esto no es, por supuesto, una lista exhaustiva):

- Instala logwatch.
- Cierra todos los puertos que no uses. Pon iptables. Desinstala todos
los paquetes que no uses.
- Instala debsums (me lo recomendaron aquí en la lista y nunca di las
gracias, así que, ¡Gracias!). Correlo diario desde cron y mandale los
resultados al administrador.
- Vigila los programas suid. El siguiente comando te da la lista de
todos los ejecutables suid a root en el sistema. Correlo rutinariamente e
investiga cualquier cambio:

 find / -type f -perm -a+x,u+s -uid 0

- Vigila los ejecutables que no pertenecen a un paquete:

 find / -type f -perm -a+x | while read file;do dpkg -S $file 2>&1 >/dev/null; done

Estos dos comandos van a tardar un rato y consumir bastantes recursos
del sistema, usalos cuando no haya mucha carga.

- Si puedes monta tus filesystems con noexec, excepto aquellos en
donde haya autorización explícita para tener ejecutables, como /,
/usr, quizá /usr/local y /opt. Esto puede causar problemas, por que
algunos programas legítimos pueden desear ejecutar cosas desde
/tmp. Por ejemplo debconf lo hace.

- Monta /usr y /usr/local como solo lectura.

Si otros en la lista tienen más recomendaciones, por favor
mantenganlas en esta hebra. Quizá podamos entre todos construir un
buen documento.

-- 
Rodrigo Gallardo



Reply to: