| Linux Security HOWTO: Una guía básica v0.9.11, 1 May 1998 | ||
|---|---|---|
| <<< Previous | Next >>> | |
Una forma cómoda de detectar ataques locales (y también de red) en sus sistema es ejecutar un programa que verifique la integridad como Tripwire. Tripwire ejecuta varios cheksums de todos los binarios importantes y ficheros de configuración y los compara con una base de datos con valores de referencia aceptados como buenos. Así se detecta cualquier cambio en los ficheros.
Es buena idea instalar tripwire en un disquete y protegerlo físicamente. De esta forma no se puede alterar tripwire o modificar su base de datos. Una vez que tripwire se ha configurado, es buena idea ejecutarlo como parte de de los deberes habituales de administración para ver si algo ha cambiado.
Incluso puede añadir una entrada a crontab para ejecutar tripwire desde su disquete todas las noches y enviar por correo los resultados y verlos por la mañana, Algo como esto:
# set mailto
MAILTO=kevin
# run tripwire
15 05 * * * root /usr/local/adm/tcheck/tripwire
|
le enviará por correo un informe cada mañana a las 5:15am. Tripwire puede ser un "don divino" para detectar intrusos antes de que tenga otro tipo de noticias de ellos. Como son muchos los ficheros que se modifican en su sistema, debería tener cuidado con lo que es la actividad de un cracker y lo que es la activiadad normal del sistema.
| <<< Previous | Home | Next >>> |
| 5.2 Permisos de ficheros | 5.4 Caballos de Troya |