Un buen punto de partida es utilizar LES (Linux Environment Security).
Descarga e instalación:
# wget http://www.r-fx.ca/downloads/les-current.tar.gz
# tar xvzf les-current.tar.gz
# cd les-*
# ./install.sh
Ejemplo:
# les –secure-bin on
# les –secure-bin off
La ayuda nos da:
-da | –disable-all Disable all options
-ea | –enable-all Enable all options
-sb | –secure-bin Set root only execution of critical binaries
-sp | –secure-path Set root only traversal of critical paths
-sr | –secure-rpmpkg Set immutable on core rpm package binaries
-so | –secure-prof Set immutable on interactive login profiles
-sd | –secure-devel Set access to devel utils for group deva & root
Además, podemos securizar manualmente el archivo “services”:
# chattr +i /etc/services
Añadir lo siguiente al archivo /etc/host.conf
# nano /etc/host.conf
order hosts,bind
nospoof on
Asegurarse que los usuarios que NO pertenecen al grupo Wheel, NO pueden acceder a los comandos scp, rcp, wget, lynx, links:
# chmod 750 /usr/bin/rcp && chmod 750 /usr/bin/wget
# chmod 750 /usr/bin/lynx && chmod 750 /usr/bin/links && chmod 750 /usr/bin/scp
Finalmente, podemos utilizar Bastille-Unix si sabemos lo que estamos haciendo, para dar una vuelta de tuerca más.