La verdad es que yo no sigo mucho las p�ginas de Linux en Espa�ol, y no se si
esto se aplica o no, pero me parece que ser�a bueno agregar estos cosejos a una
p�gina con FAQs y similares. Me acuerdo que una vez alguien de la lista me
pidi� permiso para incluir un mensaje mio de m�dulos en el FAQ, pero al final
no se que pas�. Este es otro de esos mensajes que ser�a bueno poner por ah� (al
igual que la parte 1).
�Qui�n de aqu� mantiene ese tipo de p�ginas? Lo que pasa es que yo he visto
bastantes p�ginas en ingl�s, pero no muchas en Espa�ol, y cuando uno se topa
con mensajes con "contenido" es bueno guardarlos para referencia futura en algo
m�s accesible que los archivos de la lista.
Unas notillas;
* JImmy M. Fern�ndez. ([EMAIL PROTECTED]) said:
> 1-. Empezare por recomendar que si se tiene un servidor (en un ambiente de
> poca confianza) lo primero que hay que hacer es deshabilitar la
> inicializacion del sistema desde el "diskette", eso lo hacemos yendonos al
> BIOS del sistema y modificando la seccion "boot" que debe estar en alguna
> parte del menu (una solucion drastica es remover la unidad, digo drastica
> porque de necesitarse habria que volver a instalarla).
Adem�s hay que ponerle password al bios, para que alguien no venga despu�s y
cambie los setings y bootee. Tambi�n es bueno no dejar que booteen de CD.
Hablando de dr�stico ...
> 2-. Otro consejito es el de "DESHABILITAR LOS BOTONES DE "RESET Y
> APAGADO", a veces abundan los "atlantes", no vaya a ser que apaguen el
> servidor porque "pense que estaba apagado".
Mejor dejar el servidor en lugar seguro si es posible.
> 3-. Deshabilitar el Ctrl-Alt-Del para reiniciar la maquina, eso se hace
> editando el archivo /etc/inittab y comentamos la linea respectiva para
> que quede asi.
>
> Cambiemos la seccion:
> # Trap CTRL-ALT-DELETE
> #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
He visto un par de formas diferentes. La mejor es la que te pide el password de
root para ejecutar el booteo al presionar C-A-D. Tambi�n hay otras que chequean
si root est� logoneado en la consola, y si es as� entonces si bootea.
La �nica desventaja con hacer esto (restringir C-A-D) es que en el caso de una
emergencia en la que hay que bajar la m�quina, si no se puede C-A-D lo que
queda es apagarla y es mejor el C-A-D porque normalmente, como ejecuta
shutdown, el proceso de bajar el sistema si se ejecuta (Y se sincroniza el
cach� con el disco, etc), que a veces es importante. Claro que si se hubiera
usado un sistema de archivos bas�do en vit�coras (como le dicen!) no habr�a
problema, solo preguntenle a los viejos usuarios de JFS.
> 4-. Siguiendo, es buena idea ponerle una clave al inicio del sistema en
Esto es _muy_ importante.
> 8-. Si es estrictamente necesario que los usuarios tengan una
> "shell" entonces hay que restrinjirlos, eso se hace en "bash" asignando al
> usuario una "shell" como /bin/rbash (es lo mismo que usar bash -r), tiene
> la desventaja de que los procesos hijos de esa sesion no seran
> restrinjidos, en otras palabras, la jaula se abre con solo cambiar el
> shell en uso(hay que sehabilitar el comando "chsh" aunque no ayude mucho),
> o simplemente escribiendo "bash" (la shell no restrinjida), etc,etc,etc,
> lo mejor en este caso es recompilar bash restrinjido y deshabilitar
> cualquier otro "shell", aunque tampoco eso ofrece mayores garantias, hay
> sin embargo otra posibilidad que discutire proximamente.
Hay ciertos shells por ah� que son _muy_ restringidos, ahorita no me acuerdo de
cual es el mejor, pero depende de las necesidades, creo que en freshmeat o
appwatch hay varios.
> 9-. Enjaular el ftp, si se usa proftpd eso es trivial, si usamos wu_ftpd
Mejor no usar ftp.
Saludos,
Nacho
--
GPG Public Key: http://www.igso.net/isolis.gpg
PGP signature
