El día 15 de febrero de 2010 05:36, Alejandro Vargas <[email protected]> escribió: > El día 13 de febrero de 2010 17:14, Edgardo Marti > <[email protected]> escribió: > >> Estaria bueno que hablemos de otro tipo de consideraciones de >> seguridad... la seguridad informatica no son solo actualizaciones. > > Otra cosa que se me ocurre: evitar crear usuarios en el sistema sin necesidad. > > Por ejemplo, en el mail usar una tabla de usaurios virtuales. En el > ftp, lo mismo (proftpd lo permite). En samba, si no hay más remedio > que crear usuarios, asegurarse de que no tengan password válida en el > sistema, que no tengan un shell válido (yo uso /bin/false), y si es > posible que el home apunte al /tmp. > > Si por algún motivo hubiera que compartir via ftp o via samba un > directorio que sea parte del árbol del servidor web, oner filtros para > impedir que los usuarios creen o modifiquen archivos que comiencen con > "." (para evitar que toquen el .htaccess y el .ftpaccess) y meter en > el .htaccess la opción de desactivar el intérprete php. En Samba se > pueden poner configuraciones para ocultar archivos por su nombre. El > ftp es mejor que los usuarios (virtuales) tengan un home específico y > que el servidor ftp haga un chroot a ese home.
Encontré un articulo interesante sobre seguridad [1] para usar SHA-512 en vez de MD5 en /etc/shadow. Esto evita que un atacante que se haga con el archivo pueda encontrar el password correspondiente. Como sabemos, MD5 es bastante fragil hoy en dia. [1] http://www.codigounix.com.ar/?p=1799 by Facundo de la Cruz @_tty0 -- Pablo Daniel Quiroga | @blitux http://blitux.tumblr.com
