Plesk, seguridad, Proxmox, cloud, Manuales, tips, Servidores, scripts bash, sysadmin, Linux, Centos, Ubuntu, MySQL,
Un buen punto de partida es utilizar LES (Linux Environment Security).
Descarga e instalación:
# wget http://www.r-fx.ca/downloads/les-current.tar.gz
# tar xvzf les-current.tar.gz
# cd les-*
# ./install.sh
Ejemplo:
# les –secure-bin on
# les –secure-bin off
La ayuda nos da:
Continuar leyendo «Securizar el entorno del servidor Linux con LES (Linux Environment Security)»
Buenas como todos sabeis hay un colectivo de gente que se dedica a explotar exploits de scripts estilo php-nuke pos bla bla que lo que hace es colarte en tu directorio /tmp del server un script muy chulo que o se te logea como root o te hace mil putadas bien la mejor manera de evitar esto es hacer que nada se pueda ejecutar desde ese directorio aparte de configurar bien tu firewall y tener una vigilancia constante como es lógico
Como ROOT haceis estos pasos:
cd /dev
dd if=/dev/zero of=tmpMnt bs=1024 count=100000
/sbin/mke2fs /dev/tmpMnt
(Contestad y a la pregunta que os hace)
cp -R /tmp/ /tmp_backup
mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp
chmod 0777 /tmp
cp -R /tmp_backup/* /tmp/
rm -rf /tmp_backup
Ahora hay que modificar el /etc/fstab para hacer que el /dev/tmpMnt se monte al reiniciar el server. Es añadir esta linea:
/dev/tmpMnt /tmp ext2 loop,rw,nosuid,noexec 0 0
(OJO: los espacios de esta linea son tabuladores).
Reiniciad los servicios como por ejemplo postgresql , mysql, el clamantivirus, etc… para que se recreen bien los sockets y locks en el dir tmp si es ahi donde los creaban.
Para probarlo cread un shell en el /tmp e intentad ejecurtarlo. Ejemplo:
pegad esto dentro:
#!/bin/sh
echo prueba
lo guardais como en /tmp/test.sh y le haceis un chmod 0755 e intentad ejecutarlo desde dentro del /tmp, y os ha de dar esto:
[root@server tmp]# ./test.sh
bash: ./test.sh: bad interpreter: Permission denied
chapucillas que tb funciona y es bueno tenerlas.
Una formna rápida si no te quieres liar mucho con el asunto es anulando el acceso a wget linx y derivados, si no los usas y al compilador de C.
Para lo primero tienes una forma facil de hacerlo, cambiales el nombre wget ->wlee pr ejemplo y no lo encontrarán.
O chmod -ax cuando no lo utilizes con lo que anulas el acceso a ejecutar.
Es mas facil, mas rápido y menos dolores de cabeza que el poner tmp en noexec.
o bien:
Te creas un archivo de texto pones esto
chmod 000 /usr/bin/wget
chmod 000 /usr/bin/lynx
chmod 000 /usr/bin/*cc*
chmod 000 /usr/sbin/*cc*
Y luego le das permisos de ejecucion, nadie podra utilizar el wget ni el lynx ni compilar, puedes añadir todos los que quieras.
Despues creas el mismo (con otro nombre, por ejemplo abrir)
y le pones
chmod 755 /usr/bin/wget
chmod 755 /usr/bin/lynx
chmod 755 /usr/bin/*cc*
chmod 755 /usr/sbin/*cc
Tambien le das permisos de ejecucion, asi cuando quieras compilar o descargar algo solo tu podras dar esos permisos.
Espero que os guste amigos sysadmins
Bueno bueno bueno, feliz año 2012 y tal y cual…. aquí os copypasteo un .htaccess para que podais evitar a los pequeños lamers que intentan joder y escanear vuestras webs o aplicaciones webs. Ponerlo bajo vuestra responsabilidad y siempre guardar el .htaccess original antes de agregar lineas
BlueProximity es una aplicación que nos ofrece otra manera de protección a nuestro PC. El programa detecta la presencia de un dispositivo bluetooth (En mi caso mi teléfono móvil) y cuando nos alejamos bloquea el sistema automáticamente para volverlo a dejarlo operativo cuando nos acercamos al mismo.
Sin duda es una aplicación que aparte de aportar un poco mas de seguridad a tu sistema, no te dejará pasar desapercibido frente a tus compañeros o amigos 😀
Creo que ahora se encuentra en los repositorios oficiales
$ sudo aptitude install blueproximity
o podeis descargar el .deb
# yum install blueproximity
o podeis descargar el paquete RPM
Asegúrate de tener los paquetes necesarios antes de instalarlo
bluez-utils
python-gtk2
python-glade2
python-configobj
python-bluez
gnome-bluetooth
bluez-gnome