On Sat, Nov 12, 2005 at 02:45:09PM -0300, Leo wrote: > Hola Lista. > > Tengo un Debian Sarge que funciona sin problemas. > > Ahora, que podría hacer para asegurarme que el Sistema no tiene > instalado nada "extraño" como algún keylogger o algo mas complejo? > > Se que esto no es tarea fácil, pero si pueden tirarme algunos tips como > para seguir o procesos a controlar les estaría muy agradecido.
Si tu sistema está bien hay algunas cosas que puedes hacer para prevenir (ojo, esto no es, por supuesto, una lista exhaustiva): - Instala logwatch. - Cierra todos los puertos que no uses. Pon iptables. Desinstala todos los paquetes que no uses. - Instala debsums (me lo recomendaron aquí en la lista y nunca di las gracias, así que, ¡Gracias!). Correlo diario desde cron y mandale los resultados al administrador. - Vigila los programas suid. El siguiente comando te da la lista de todos los ejecutables suid a root en el sistema. Correlo rutinariamente e investiga cualquier cambio: find / -type f -perm -a+x,u+s -uid 0 - Vigila los ejecutables que no pertenecen a un paquete: find / -type f -perm -a+x | while read file;do dpkg -S $file 2>&1 >/dev/null; done Estos dos comandos van a tardar un rato y consumir bastantes recursos del sistema, usalos cuando no haya mucha carga. - Si puedes monta tus filesystems con noexec, excepto aquellos en donde haya autorización explícita para tener ejecutables, como /, /usr, quizá /usr/local y /opt. Esto puede causar problemas, por que algunos programas legítimos pueden desear ejecutar cosas desde /tmp. Por ejemplo debconf lo hace. - Monta /usr y /usr/local como solo lectura. Si otros en la lista tienen más recomendaciones, por favor mantenganlas en esta hebra. Quizá podamos entre todos construir un buen documento. -- Rodrigo Gallardo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
