| Linux Security HOWTO: Una guía básica v0.9.11, 1 May 1998 | ||
|---|---|---|
| <<< Previous | Next >>> | |
Lo primero que tiene que observar es cuando se reinició su máquina. Como Linux es un S.O. robusto y estable, las causas que le obligan a reiniciar el sistema es actualizar el S.O., el hardware o similares. Si su máquina se reinició sin que vd. lo sepa, cabe la posibilidad de un problema. Muchas de los métodos para comprometer la seguridad de su máquina requieren que el intruso reinicie o apague su máquina.
Busque signos del ataque en la caja y por el área del ordenador. Aunque muchos intrusos borran las huellas de su presencia, es una buena idea comprobarlos y observar cualquier discrepancia.
Algunas cosas para comprobar en sus registros (logs):
Registros cortos o incompletos.
Registros con fecha y hora extraños.
Registros con permisos o propietarios incorrectos.
Registro de carga de reinicio del sistema o de otros servicios.
Registros perdidos.
Entradas su o logins desde lugares extraños.
Donde buscar los ficheros de registro, dependerá de su distribución. En RedHat estdrá que mirar en /var/log y comprobar messages, mail.log y otros.
También le puede interesar configurar el guión (script) de rotación de registros o el demonio que mantiene los registros hasta un determinado tamaño para que le de tiempo a examinarlos. Échele un vistazo al paquete logrotate de las distribuciones recientes de RedHat. Otras distribuciones probablemente tendrán procesos similares.
| <<< Previous | Home | Next >>> |
| 3.4 xlock y vlock | 4. Seguridad Local |