Asegurar un servidor nuevo

Question

Asegurar un servidor nuevo

SuperJavi 22 ene 2006 10:13

Adicto

435 mensajes
desde sep 2000

Temgp que instalar varios servidores nuevos en Linux para la empresa donde trabajo. Tengo mis propios métodos y programas a usar, pero nunca he pedido opnión a otras personas sobre esto. Así por encima, suelo hacer algo así:

1) COnfigurarlo todo y una vez que funcione, le saco una imagen con Partimage.
2) Usar tripwire y logcheck para ver posibles "cosas raras".
3) Directorios como /var/www (en Debian) en particiones aparte

En máquinas individuales, el IDS y demas va en el router...
Y quisiera preguntar, ¿cómo prevenís/"arregláis" vosotros posibles fallos físicos o ataques contra vuestros servidores?
Gracias a todos.

8 respuestas

Answer 1 · 2006-01-22T11:44:50+00:00

Ferdy 22 ene 2006 12:44

/dev/annoying

4.370 mensajes
desde abr 2003

Página web de Ferdy

PaX + grsec

Saludos.Ferdy

Answer 2 · 2006-01-22T12:53:29+00:00

Según leo... si coges un kernel "reciente", PaX no hace falta, ¿no?

http://www.securiteam.com/unixfocus/5UP0515CUK.html escribió:Vulnerable Systems:
* PaX kernel patch for the Linux kernel 2.6, versions prior to 2004.05.01

Immune Systems:
* PaX kernel patch version 2004.05.01

The denial-of-service condition arises when ASLR is enabled. The bug causes the kernel to enter an infinite loop. Part of the relevant code is presented below:
====================================================
'linux/mm/mmap.c'

if (start_addr != TASK_UNMAPPED_BASE) {

#ifdef CONFIG_PAX_RANDMMAP
if (current->flags & PF_PAX_RANDMMAP)
start_addr = addr =
TASK_UNMAPPED_BASE + mm->delta_mmap;
else
#endif

start_addr = addr = TASK_UNMAPPED_BASE;
goto full_search;
}
return -ENOMEM;
====================================================

Ferdy... ya sabes que yo de "seguridad"... poco. Aquí el experto eres tú

Answer 3 · 2006-01-22T12:56:01+00:00

Esa información es de una vulnerabilidad en PaX

(de experto nada... aprendiz)

Saludos.Ferdy

Answer 4 · 2006-01-22T13:05:31+00:00

Es decir... que en los kernels más recientes PaX no sufre de esa vulnerabilidad

Interesante...

Answer 5 · 2006-01-22T13:11:13+00:00

Si. Pero para tener PaX en el kernel seguirás necesitando parchear.

Saludos.Ferdy

Answer 6 · 2006-01-22T13:19:57+00:00

Question: Si es tan necesario el parche... ¿por qué no lo solucionan directamente sobre kernel final?

Me imagino porque será algo que "sólo se dé en situaciones determinadas" y no sea lo suficientemente genérico como para incluirlo en el final...

Ta lué.

SuperJavi 23 ene 2006 01:31 Adicto **435** mensajes desde **sep 2000** · Answer 7 · 2006-01-23T00:31:29+00:00

Nunca habia escuchado hablar de PaX. ¿Solo parchear y funciona, o hay que hacer algun cambio mas?. He leido que funciona con código "estandar". ¿Te ha dado problemas con algun porgrama en especial?
Gracias Ferdy.

Answer 8 · 2006-01-23T13:50:10+00:00

Parcheas y reconfiguras el kernel para añadir las opciones de PaX que quieras. Personalmente yo no he tenido problemas; pero he leido que algunas aplicaciones si pueden darlos.

Saludos.Ferdy