[AYUDA] servidor sobrecargado...

Gunnar Wolf gwolf en gwolf.org
Lun Jun 14 08:57:29 CDT 2010 

Miguel Guirao dijo [Wed, Jun 09, 2010 at 09:17:03AM -0500]:
> Lo de mover el servicio de SSH a otro puerto es una actividad de contención
> temporal, pero deberías de tomar mejores soluciones como solución
> definitiva.

Te protege perfectamente contra los ataques en automático, que nunca
he visto que hagan un verdadero barrido de puertos. Claro, nunca
contra un ataque dirigido.

> Manten tu sistema actualizado, quita todo aquello que no te sirva,
> especialmente el compilador de C, C++, librerias de Perl u cualquier otro
> lenguaje. Elimina las herramientas de make!! Para evitar que compilen código
> fuente en tu sistema.

Esto... Es cierto muy hasta cierto punto cada vez menos relevante. Sí,
en Linux tenemos una mucho mayor diversidad que en Windows, y
posiblemente lo que compiles en tu computadora no va a funcionar _tal
cual_ en la mía. Sin embargo, la diversidad se ha reducido mucho a lo
largo de los años, y al mismo tiempo, instalar sistemas adicionales es
cada vez más fácil. Si mi único obstáculo para atacar tu Linux es que
no tienes compilador... bueno, instalo esa misma distribución en una
máquina virtual en mi equipo, y fin del cuento. La cantidad de
herramientas del sistema escritas en Perl te harán imposible eliminar
a este lenguaje en casi cualquier instalación usable. Y con el puro
shell, tienes un entorno completamente programable. 

Claro, debes instalar lo menos posible y quitar todo lo que salga
sobrando. Pero no es tan fácil lograrlo.

> Consultar tus logs de manera diaria ayuda mucho!!

Yo uso logwatch y soy feliz ;-) Cada hora revisa mis bitácoras,
elimina los mensajes catalogados como "normales", y me muestra sólo el
comportamiento atípico. Llamémosle un IDS orientado a host, si
quieres, aunque es jalar mucho la posibilidad. Aparte de que con la
configuración que viene en Debian (y derivados), es muy modular, y
casi cualquier mantenedor de paquetes incluye los patrones más comunes
para su servicio.

> Si tu sistema ya fue comprometido con un usuario con nivel de privilegios de
> root, lo mejor es reinstalar el sistema desde un medio seguro, todo esto si
> no logras determinar cual fue el ventor de ataque.

Completamente de acuerdo.


> Por último, cambien el subject del correo cuando ya se cambien a otro tema!!
> Ya me perdi todo el hilo!!!!

También :)

-- 
Gunnar Wolf • gwolf en gwolf.org • (+52-55)5623-0154 / 1451-2244

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/

Más información sobre la lista de distribución Ayuda