http://revistalinux.net/articulos/seguridad-basica-en-servidores-linux/
Basado en él, continuo con las notas basicas a recordar:
****Buscar archivos SetUID***
find / -perm /6000 -type f -ls
Se puede cambiar con "chmod -s" sobre los archivos deseados.
***Buscar archivos world-writable (modificables por cualquier usuario)***
find / -perm -o=w ! -type l -ls
Se suelen ver archivo de /dev o /tmp es lo normal.
***Indicio de intrusiones en el sistema***
Lo primero revisar de vez en cuando los sucesos del sistema:
Aplicaciones > Herramientas del sistema > Sucesos del sistema
Se puede configurar para ver diferentes logs de /var/log, yo actualmente tengo:
-auth.log
-boot ----> no sule estar por defecto. Para ello creamos el archivo /etc/default/bootlogd
y ponemos dentro:
BOOTLOGD_ENABLE=Yes
-kern.log
-messages
-rkhunter.log
-syslog
-Xorg.0.log
Siquereis añadir alguno ----> Archivo > Abrir y seleccionais el archivo de log que querais.
Tambien puede indicar intrusiones, encontrar archivos que carecen de dueño o no pertenecen a ningún grupo, se encuentran con:
find / -nouser -o -nogroup
***Buscando Rootkits***
#aptitude install rkhunter
Actualizar:
#rkhunter --update
Analizar:
#rkhunter -c -sk
o
#rkhunter --checkall
Resultado en /var/log/rkhunter.log
Tambien se puede usar chkrootkit:
#aptitude install chrootkit
Se utiliza como orden sin argumentos:
#chrootkit
Hasta la proxima:
[JJ]
