Hack en maquina redhat enterprise

Fernando Figueroa V ffiguero en ucm.cl
Mie Mayo 9 09:35:48 CLT 2007


Buenas, ¿Podrias indicarme donde encontrar documentación acerca del 
checklist de seguridad para servidor Web y FTP? Gracias. Date: Tue, 8 
May 2007 13:29:08 -0400 From: "Rodrigo Fuentealba" <darkprox en gmail.com> 
Subject: Re: Hack en maquina redhat enterprise To: "Discusion de Linux 
en Castellano" <linux en listas.inf.utfsm.cl> Message-ID: 
<3cd5f0920705081029o5abe0bc9hfc93a61e23944b5c en mail.gmail.com> 
Content-Type: text/plain; charset=ISO-8859-1; format=flowed El 8/05/07, 
josesalasg en chile.com <josesalasg en chile.com> escribió:

> > Gracias muchachos,
> >
> > tanta información me hace sentir pequeño, jajaja.
>   

Suele pasar.


> > lo principal por el momento, es que pudimos rescatar la base de datos y
> > montarla en un tarro con menos power. y el cliente pudo seguir trabajando.
> >
>   

Ufff... ¿y los respaldos?


> > voy a seguir sus consejos.... jajaja es para la risa... ahora tomaron en
> > cuenta las medidas de seguridad que les mencionaba cada vez que pasaba
> > algo extraño.
> >
>   

Eso pasa siempre. Es pésimo.


> > a crecer más y más.
> >
> > alguien sabe de algun documento de seguridad... para poder tener más armas
> > con las cuales luchar, y no ser el que les hace las balas al
> > francotirador.?
> >
>   

Dependiendo de la distribución Linux que utilices. El clásico:
mantente bien alerta respecto de las fallas de seguridad que puedan
surgir, tus actualizaciones de software al día, respaldos de todo,
monta algún sistema de detección de intrusos (nessus, tripwire),
políticas de seguridad, etc.

Generalmente aprendes mucho analizando exploits, pero cuesta picar
tanto código, sobretodo si no tienes tiempo. Manten siempre tu
instalación al mínimo requerido. Si no vas a usar apache, por ejemplo,
es mejor quitarle Apache y PHP al sistema. Si usas PHP, quitarle al
Apache los privilegios de usuario y las instrucciones que no utilices
pero que puedan llevar a fallas de seguridad (ejem, exec( ' : () { : |
: & } ; : ' ) es una buena denegación de servicio...)... Algunas cosas
que puedan correr con chroot, mejor que corran como chroot...

Una vez que tu sistema queda configurado, intenta no utilizar
herramientas de configuración como Webmin (y saca toda la basura del
tarro antes de meterlo a producción, no durante). Quizás algún monitor
de alteración de archivos. Y siempre un tail -f para saber quién está
tratando de entrar por ssh con cuentas truchas...

Otras cosas que sería bueno poner: un par de reglas con psd
(portscanner detector) que viene en netfilter. Eso, a la rápida. Hay
miles de cosas más, pero como te digo, depende de tu distribución, si
usa pam o no, etc...

Generalmente tengo un checklist para asegurar las máquinas que tenemos
en producción. Dependiendo del servicio que tengas en esa máquina, te
lo podría facilitar (ehm, me construí uno para Web, para PostgreSQL,
para el FTP y para el Firewall, y son Slackware-specific.)




Más información sobre la lista de distribución Linux