Adicional a todo lo que han mencionado podrias colocar dentro del archivo .bash_profile una alerta cuando alguien entra como root el sistema te enviara un email de forma inmediata -- Saludos
César Martinez Mora Ingeniero de Sistemas Servicom Enviado desde mi mobile Samsung galaxy jean paul cesari <[email protected]> escribió: > >he leido muchos correos quisiera dejar algunos tips para que no >pierdan el camino. > > >1.- nunca volverse loco por algo asi, mientras mas aprendan mas >paranoicos seran es mejor aprender a controlar eso desde ya. > >2.- siempre que instalen un server deben firmar los archivos con >tripware o aide, antes de colocarlo en producción. > >al revisar la firmas de los archivos con tu base de datos del software > >si modifican un binario aparece de inmediato identificado. > >3.- el comando ps siempre es el primer comando que se modifica, les >recomiendo siempre mirar con lsoft -i no confien el el ps ya que es >comun que lo modifiquen. > >4.- usar rkhunter, nose su severidad en el funcionamiento, pero algo >que me gustan son mails que envía. > >5.- si detectas una ip con conexión extraña usa iptables y dropeala de > >forma permanente. > >6.- en los logs busca la palabra wget para buscar las descargas de sus > >scripts , una ves que tengas la url del script descargalo, puedes >revisar que hace siempre se aprende. > >7.- si te gusta todo esto te recomiendo que instales snort. > > >Salu2 > >jp > > > > > >Quoting David González Romero <[email protected]>: > >> Exacto no por defecto. Y sobre todo si puedes explotar sudo sería >genial. >> De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el >puerto >> cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y >> reiniciar. >> >> Saludos, >> David >> >> >> El 30 de diciembre de 2013, 17:05, "Ernesto Pérez Estévez, Ing." < >> [email protected]> escribió: >> >>> On 12/29/2013 12:24 PM, Miguel González wrote: >>> > >>> >> 4. A menos que lo necesites. Desabilita ssh desde el mismo server >>> > >>> > No he entendido bien que quieres decir, deshabilitar el servicio >de SSH >>> > por completo? Y como accedes a tu servidor? A no ser que este >servidor >>> > este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde >fuera. >>> > >>> > Otra cosa, deshabilita el acceso root al SSH en el sshd_config y >es >>> > recomendable utilizar claves RSA para loguearte en vez de usando >>> password. >>> > >>> >>> por eso indicó a menos que se requiriera.. pero aún cuando se >requiera >>> puedes endurecer el acceso permitiendo solamente a un grupo selecto >y >>> pequeño de usuarios hacer ssh, evitando hagan ssh como root, o >>> permitiendo solamente accesos como root con sistema de clave >>> publica/privada... bloqueando por IP los accesos (desde firewall) o >>> muchas variantes más. pero no por defecto >>> >>> >>> -- >>> >>> Ernesto Pérez >>> +593 9 9924 6504 >>> _______________________________________________ >>> CentOS-es mailing list >>> [email protected] >>> http://lists.centos.org/mailman/listinfo/centos-es >>> >> _______________________________________________ >> CentOS-es mailing list >> [email protected] >> http://lists.centos.org/mailman/listinfo/centos-es >> >> >> > > > >Saluda >ATTE >JEAN PAUL CESARI V. > > > > >_______________________________________________ >CentOS-es mailing list >[email protected] >http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list [email protected] http://lists.centos.org/mailman/listinfo/centos-es
