El Wed, 08 Oct 2003 12:15:39 -0400
Leonardo Soto <[EMAIL PROTECTED]> escribi�:
> El mi�, 08-10-2003 a las 05:30, Matias escribi�:
> > [...]
> > Piensa que si tienes rootkits muy a menudo en tu sistema, hay algo
> > que est� fallando "alevosamente" y por m�s reinstalaciones que
> > hagas, siempre caer�s en la misma situaci�n. Si yo estuviese en tu
> > lugar, y no tengo ning�n servicio exclusivo para linux, intentar�a
> > cambiarme hacia otro OS (BeOS, FreeBSD, OpenBSD, NetBSD, etc)
>
> No creo que sea _la_ solucion (hey!, cambiar de OS no es
> precisamente facil), si tiene rootkits muy a menudo y no es una
> maquina que pudiera generar mucho interes de crackers (para que se
> tomaran la molestia de usar algun "0-day" contra ella), es porque el
> sistema no ha sido parchado cuando corresponde y/o corre servicios
> inseguros.
>
> EMHO, si es que se puede, mejor que (una vez instalado todo y con
> parches) haga logueo remoto en una maquina segura y deje a snort
> husmeando por la interfaz a internet.
Disculpad por haber dado por sobreentendidas algunas cosas que pueden
no ser tanto. Descontaba el hecho que alg�n IDS ya estaba funcionando.
Yo mencionaba cambiar de OS, por que usualmente los rootkits se basan
mucho en el OS que est�s ejecutando. Y si les pongo Solaris (por decir
alg�n OS), les estoy molestando un poco y har� que me den un poco m�s
de tiempo para ver una soluci�n real.
Creo que esto ser�a algo �til (si no es que el que inici� el hilo ya
realiz� todo esto):
* Tener el sistema actualizado (parches de seguridad)
* Endurecer el password de root y cambiarlo cada tanto (unos tres o
cuatro d�as)
* Chequiar la integridad de los ejecutables
* Mantener los m�nimos servicios corriendo
* Alg�n IDS (como Snort) que env�e los logs hacia una cuenta externa.
* Enviar copia de los logs hacia una cuenta externa (como logcheck)
* Tratar de darle a los usuarios del sistema una shell restringida, y
configurar todo para que no puedan salir f�cilmente de su HOME (estuve
leyendo que esto es posible, pero todav�a no se muy bien como).
* Activar el grupo Wheel
* Crearse un usuario con con gran cantidad de permisos (un root
alternativo, el tan conocido usuario "toor") y tratar de utilizar este
usuario para la administraci�n.
* Tener instalado solamente lo que se utiliza realmente, todas las
cosas que no se utilizan a menudo borrarlas (cuantos menos binarios
raros se tenga uno puede tener m�s en mente de que es lo que puede
estar mal)
* Tener varias reglas en el Firewall para tratar de evitar/retrasar
los escaneos de puertos, tirar todo lo que sea ICMP (al menos que sea
necesario tenerlo).
* Si no hay ning�n usuario que tenga acceso f�sico a la m�quina,
intentar sacar el SUID de mount y programas similares (chmod(1))
* Ver si con el strace se nota algo distinto.
Creo que hay muchas otras cosas que se podr�an hacer.
Ah, por cierto, una pregunta a quien inici� el hilo: �est�is
ejecutando alg�n server de alg�n juego? Digo esto porque he visto que
las m�quinas que ponen para server de juegos son "brutalmente"
atacadas por todas partes, y muchas veces aprovechan las mismas
vulnerabilidades de estos "servers".
--
Atentamente, yo <Mat�as>
Nunca hay libertad en una invasi�n
http://nnss.d7.be
http://savannah.gnu.org/projects/tasklist
Con $ 1867 $ spams desde el 2003-09-22 12:00:00 GMT 000
