Si et preocupa molt que no et puguin instal.lar un rootkit varies coses: 1.- www.chkrootkit.org 2.- compilar el nucli sense suport a mòduls 3.- www.lids.org (et pot tornar massa psicòpata, aviso)
Pel que fa al sshd, hauries de deshabilitar que root pugui entrar per ssh. Millor entrar com a usuari normal i després fer un 'su'. Aquests "buscadors de forats" intenten entrar com a root. El postfix, sobretot, ben configurat, i pel que fa a l'apache, pel que he pogut veure, els desbordaments aquests van dirigits majoritariament a màquines amb IIS. On Diumenge 24 Octubre 2004 12:06, Albert Cervera Areny wrote: > A Dissabte 23 Octubre 2004 14:02, xavi va escriure: > > Hola a tothom, > > > > M'he estat mirant els logs d'accés al meu servidor i la veritat és que > > m'he assustat bastant, en els últims 3 dies he tingut 22 intents > > d'entrar per sshd, 3 intents d'open relay pel postfix, 4 intents de fer > > desvordar el buffer d'apache... i els intents que no tinc conciència > > perque n'hi sé que és pot probar de fer-ho per allí... > > > > Mai havia cregut en la paranoia de la seguretat però ara m'ha agafat > > certa por, sempre em deia a mi mateix: a qui l'hi interessa entrar al meu > > servidor?? que hi tinc de valor?? que hem poden agafar?? be, doncs canvi > > de pensament: el tema es que van a per tots!!! > > Has de tenir en compte (per tal de rebaixar el nivell de paranoia) que el > més probable no és que hi hagi algú intentant entrar a la teva màquina, > sinó que hi ha gent que utilitza programes que cerquen per internet > servidors amb vulnerabilitats conegudes (el típic cas és l'apache), de > forma que el programa ha trobat el teu servidor, ha provat els atacs i ha > continuat rastrejant... > > > Questions que hem roden pel cap: > > > > 0. Que pot passar si algú acconsegueix entrar > > Si són persones que utilitzen aquests programes, no sé fins a quin punt > seran capaces d'instal·lar un root kit (es fan root de la teva màquina > sense que tu mai ho descobreixis). Com comentava el Jordi, enviar spam > també és bastant típic. Hi ha sistemes que rastregen cercant open relays i > quan en troben algun comencen a enviar com a animals (ho dic per > experiència). > > > 1. Quines eines es poden usar per a veure si ha entrat algú, per > > monotoritzar els accessos... > > Per monitoritzar accessos la comanda 'last', però com et deia si algu > aconsegueix entrar i instal·lar un rootkit, aquest eliminarà les entrades > necessàries i semblarà com si no hagués entrat mai. Una vegada més, com diu > el Jordi el millor és tenir el sistema al dia i una bona contrasenya. Si > tens l'ssh, pots mirar en el fitxer de configuració del daemon que no > estiguis permetent l'accés de root ni dels usuaris del sistema, tipus > backup etc. Pots configurar que només puguin entrar els usuaris d'una > llista donada de forma molt simple, és una opció recomanable. > > > 2. Tinc un router amb protocol NAT i tots els ports tancats exepte els > > que uso, ssh, smtp, imaps. Necessito posar un firewall software al > > server?? iptables ?? > > No és una mala opció, però només si pots predir per exemple des de quines > màquines et connectaràs. Si el servidor IMAP el fas servir sempre des d'una > màquina determinada, pots filtrar per aquella IP, sinó no crec que puguis > fer gaire cosa més. Hi ha persones que opten per obrir el servidor SSH en > un port diferent del 22. Algun port on no hi hagi assignat cap protocol > "stàndard" de forma que és possible que els programes de rastreig ho passin > per alt. Però l'SMTP no el pots canviar pas i l'IMAP dependrà de com el > facis servir. > > > moltes gràcies a tots, > > salutacions. xavier bosch > > > > > > > > -- > > Linux Registered User #348368 -- :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: Jaume Sabater :: administrador de sistemes :: [EMAIL PROTECTED] argus.net TECNOLOGIA CREATIVA "creant en la web des de 1995" www.argus.net | tel: 932 92 41 00 | fax: 932 92 42 25 | [EMAIL PROTECTED] Avgda. Marquès de Comillas, 13 (Poble Espanyol) | 08038 | Barcelona
