Re: Integridad del Sistema
On Sat, Nov 12, 2005 at 02:45:09PM -0300, Leo wrote:
> Hola Lista.
>
> Tengo un Debian Sarge que funciona sin problemas.
>
> Ahora, que podría hacer para asegurarme que el Sistema no tiene
> instalado nada "extraño" como algún keylogger o algo mas complejo?
>
> Se que esto no es tarea fácil, pero si pueden tirarme algunos tips como
> para seguir o procesos a controlar les estaría muy agradecido.
Si tu sistema está bien hay algunas cosas que puedes hacer para
prevenir (ojo, esto no es, por supuesto, una lista exhaustiva):
- Instala logwatch.
- Cierra todos los puertos que no uses. Pon iptables. Desinstala todos
los paquetes que no uses.
- Instala debsums (me lo recomendaron aquí en la lista y nunca di las
gracias, así que, ¡Gracias!). Correlo diario desde cron y mandale los
resultados al administrador.
- Vigila los programas suid. El siguiente comando te da la lista de
todos los ejecutables suid a root en el sistema. Correlo rutinariamente e
investiga cualquier cambio:
find / -type f -perm -a+x,u+s -uid 0
- Vigila los ejecutables que no pertenecen a un paquete:
find / -type f -perm -a+x | while read file;do dpkg -S $file 2>&1 >/dev/null; done
Estos dos comandos van a tardar un rato y consumir bastantes recursos
del sistema, usalos cuando no haya mucha carga.
- Si puedes monta tus filesystems con noexec, excepto aquellos en
donde haya autorización explícita para tener ejecutables, como /,
/usr, quizá /usr/local y /opt. Esto puede causar problemas, por que
algunos programas legítimos pueden desear ejecutar cosas desde
/tmp. Por ejemplo debconf lo hace.
- Monta /usr y /usr/local como solo lectura.
Si otros en la lista tienen más recomendaciones, por favor
mantenganlas en esta hebra. Quizá podamos entre todos construir un
buen documento.
--
Rodrigo Gallardo
Reply to: