[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]l-santiago en usa net wrote: > Tengo instalado Linux Red Hat 6.2, con apache, php y postgres. > Pero desde hace algun tiempo alguien ha estado entrando > al servidor utilizando el usuario ftp. Me di cuenta de ello > utilizando el comando last, pero no estaba seguro. Termine > poniendo puras x's en el campo del password. Y despues de > algunos dias el usuario ftp me aparece con las x's cambiadas > y el archivo /etc/inet.conf modificado. > > Por lo cual concluyo que la persona que esta entrando a mi > maquina, además de tener acceso a mi maquina ha logrado > tener acceso al password de root (a pesar de que lo he > estado cambiando cada semana). > > Alguien tiene alguna idea como estan ganando acceso a mi > computadora y cuales podrian ser las primeras medidas > para tratar de aumentar la seguridad de mi maquina? > Si tienes wuftp actualizáte a la versión más reciente (han aparecido algunas vulnerabilidades desde hace algún tiempo que permiten obtener acceso irrestricto a la máquina, léase root). Para darle una checada rápida a tu sistema y fortalecerlo un poco, busca Bastille, es un paquete de scripts que verifica versiones de módulos del sistema, detecta vulnerabilidades y te da sugerencias sobre como fortalecerlo (de hecho te explica el problema y te pregunta si quieres que lo arregle automáticamente). Como todas las herramientas de este tipo, te recomiendo que le hagas un respaldo primero, en general lo más desagradable que podría suceder es que algunas aplicaciones dejaran de correr para tus usuarios con el fortalecimiento (por el cambio de permisos), dependiendo de cómo tengas configurado tu sistema. Por último, bájate el HowTo de ipchains (debe venir en tu cd, si no búscalo en www.linux.org) y búscate una interfaz como gfcc (aunque te recomiendo que aprendas a usar ipchains desde la línea de comandos, no es tan complicado y aprendes mucho más). Una vez que lo tengas, activa una regla que restrinja el acceso de ftp a direcciones válidas (p.e. a tu intranet o local). Si no necesitas el servicio de ftp mejor desactívalo (edita /etc/inetd.conf y comenta con un # la línea del servicio ftp, guarda el archivo y ejecuta: "killall -HUP inetd" para reiniciar los servicios). Si necesitas un servicio de ftp público para todo mundo entonces sí estás en problemas porque no puedes hacer una restricción selectiva (bloquear la dirección de donde se conectan no es buena opción porque aunque la supieras, lo + seguro es que sea dinámica, así que no te puedes pasar toda la vida bloqueando direcciones); en este caso hay que fortalecer bien el sistema (entra a www.securityfocus.com por ahí hay algunos documentos sobre fortalecimiento de sistemas Linux). Aplica lo mismo a todos los servicios que puedas ver desde fuera (bájate nmap, si no, en el directorio extras de LinuxPPP viene un rpm según recuerdo) y ejecuta "nmap -sS localhost" y fíjate en los servicios que puedes ver locales. Aplica lo mismo sustituyendo localhost por la dirección IP de tu máquina en Internet cuando estés conectado (hay servicios que no deberías ver desde fuera, como por ejemplo X, que es el puerto 6000). Cambia tus passwords, revisa los permisos de /etc/shadow, es probable que te los hayan cambiado y revisa si no te han creado alguna cuenta de usuario que no hayas dado de alta tú (de ser así bórrala de inmediato, y antes checa .bash_history del directorio de esa cuenta, si existe, para ver que hizo. Tal como te lo sugirieron en otro correo). Hay muchas más cosas por hacer para elevar la seguridad de tu sistema, pero con eso ya tienes para empezar ... Saludos Omar A. Herrera R. Consultoría en Seguridad de Sistemas --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://pepe.net.mx/reglas.html