Creo que una parte importante cuando adquirimos un deco en este caso linux, es la SEGURIDAD, para evitar o por lo menos intentar ponerlo lo mas dificil posible, el acceso a nuestro receptor, o en caso que hubieran podido entrar, pues poder ver que lo hallan hecho, es una cosa que esta un poco olvidada, pero tambien es importante tenerla en cuenta, realmente con estos consejos no vas a evitar al 100% esto, pero por lo menos reduciras el numero de porcentaje de riesgo, ya que esta a la orden del dia, el robar lineas de sharing, etc.. etc..
Para ello voy a dar unos consejillos practicos que como dije no lo van a evitar 100% pero por lo menos reduciremos algo el riesgo:
1) Cambiar todas las pass por defecto que lleve el receptor
2) En caso de sharing limitar una linea a una ip o a un host
3) Si hacemos sharing externo no poner los puertos mas usuales o que vienen por defecto en las camd, y limitar el puerto que pongamos por ejemplo utilizando iptables-netfilter a las ip y host con quien estemos haciendo sharing.
aqui un pequeño manual:
http://www.gmteam.es/f45/bloquear-host-ip-de-peer-sharing-con-iptable-y-netfilter-8114/
4) Cuando compartimos por sharing no hacerlo con cualquiera, ser un poco cuidadosos y solo compartir con gente fiable.
5) Ver que puertos tenemos abiertos en nuestro receptor para asi saber nuestra vulnerabilidad, por ejemplo lo podemos saber poniendo por telnet el comando:
6) hacer una copia del archivo
xferlog_enable=YES
#
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/vsftpd.log--->o la carpeta donde queramos que se cree
#
Asi de vez en cuando podeis ver el log y ver que ips se estan conectando:
8) Comprobar nuestras vulnerabilidades en nuestros puertos:
en este caso con nmap en ubuntu escaneado con el comando:
de esta manera me aseguro de escanear todos los puertos y no solo los de por defecto y me arroja este log:
root@gogy-Aspire-5920G:~# nmap -sSU -O -p- -v --osscan-guess host_amigo
Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-13 16:27 CEST
Initiating Ping Scan at 16:27
Scanning xxxxxxxxxxx [4 ports]
Completed Ping Scan at 16:27, 0.06s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 16:27
Completed Parallel DNS resolution of 1 host. at 16:27, 0.08s elapsed
Initiating SYN Stealth Scan at 16:27
Scanning xxxxxxxx) [65535 ports]
Discovered open port 23/tcp on xxxxxxxxxxxx
Discovered open port 21/tcp on xxxxxxxxxxxx
Discovered open port 80/tcp on xxxxxxxxxxx
Discovered open port 22/tcp on xxxxxxxxxxxxx
Increasing send delay for xxxxxxxx from 0 to 5 due to 449 out of 1495 dropped probes since last increase.
SYN Stealth Scan Timing: About 3.09% done; ETC: 16:44 (0:16:12 remaining)
SYN Stealth Scan Timing: About 11.58% done; ETC: 16:36 (0:07:46 remaining)
SYN Stealth Scan Timing: About 17.57% done; ETC: 16:36 (0:07:07 remaining)
Discovered open port 14015/tcp on xxxxxxxxxxx
SYN Stealth Scan Timing: About 25.78% done; ETC: 16:35 (0:05:48 remaining)
SYN Stealth Scan Timing: About 34.26% done; ETC: 16:34 (0:04:50 remaining)
Discovered open port 30005/tcp on xxxxxxxxxxx
SYN Stealth Scan Timing: About 42.76% done; ETC: 16:34 (0:04:02 remaining)
SYN Stealth Scan Timing: About 48.94% done; ETC: 16:34 (0:03:40 remaining)
Discovered open port 34000/tcp on xxxxxxxxx
SYN Stealth Scan Timing: About 57.44% done; ETC: 16:34 (0:02:59 remaining)
SYN Stealth Scan Timing: About 65.92% done; ETC: 16:34 (0:02:20 remaining)
SYN Stealth Scan Timing: About 74.43% done; ETC: 16:34 (0:01:43 remaining)
SYN Stealth Scan Timing: About 80.60% done; ETC: 16:34 (0:01:20 remaining)
Discovered open port 34001/tcp on xxxxxxxxxxx
Discovered open port 44401/tcp on xxxxxxxx
SYN Stealth Scan Timing: About 89.10% done; ETC: 16:34 (0:00:44 remaining)
Completed SYN Stealth Scan at 16:34, 400.40s elapsed (65535 total ports)
aparecen los puertos abiertos y señalados en negritas puertos seguramente utilizados para sharing..
a partir de ahi pues seria comprobar vulnerabilidades para esos puertos....o limitarlos a una ip o un host como dijimos en el punto 3 con iptables.
Pues estos 8 puntos serian unas nociones basicas por lo menos para ponerlo algo mas dificil..
Para ello voy a dar unos consejillos practicos que como dije no lo van a evitar 100% pero por lo menos reduciremos algo el riesgo:
1) Cambiar todas las pass por defecto que lleve el receptor
2) En caso de sharing limitar una linea a una ip o a un host
3) Si hacemos sharing externo no poner los puertos mas usuales o que vienen por defecto en las camd, y limitar el puerto que pongamos por ejemplo utilizando iptables-netfilter a las ip y host con quien estemos haciendo sharing.
aqui un pequeño manual:
http://www.gmteam.es/f45/bloquear-host-ip-de-peer-sharing-con-iptable-y-netfilter-8114/
4) Cuando compartimos por sharing no hacerlo con cualquiera, ser un poco cuidadosos y solo compartir con gente fiable.
5) Ver que puertos tenemos abiertos en nuestro receptor para asi saber nuestra vulnerabilidad, por ejemplo lo podemos saber poniendo por telnet el comando:
Código:
netstat -tul6) hacer una copia del archivo
/etc/password que es donde se guardan las contraseñas del receptor y comprobar cada cierto tiempo que sigue siendo el mismo.
7) Activar en el vsftpd la creacion del vsftpd.log, para ello vamos a /etc/vsftpd.config y poneis:
# Activate logging of uploads/downloads.7) Activar en el vsftpd la creacion del vsftpd.log, para ello vamos a /etc/vsftpd.config y poneis:
xferlog_enable=YES
#
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/vsftpd.log--->o la carpeta donde queramos que se cree
#
Asi de vez en cuando podeis ver el log y ver que ips se estan conectando:
Código:
Mon Oct 8 10:03:18 2012 [pid 1386] CONNECT: Client "192.168.1.34"
Mon Oct 8 10:03:18 2012 [pid 1385] [root] OK LOGIN: Client "192.168.1.34"
Mon Oct 8 10:04:01 2012 [pid 1387] [root] OK DOWNLOAD: Client "192.168.1.34", "/var/log/vsftpd.log", 142 bytes, 3.44Kbyte/sec
Mon Oct 8 10:30:25 2012 [pid 1387] [root] OK DOWNLOAD: Client "192.168.1.34", "/etc/vsftpd.conf", 4116 bytes, 174.16Kbyte/sec8) Comprobar nuestras vulnerabilidades en nuestros puertos:
en este caso con nmap en ubuntu escaneado con el comando:
Código:
nmap -sSU -O -p- -v --osscan-guess host_amigode esta manera me aseguro de escanear todos los puertos y no solo los de por defecto y me arroja este log:
root@gogy-Aspire-5920G:~# nmap -sSU -O -p- -v --osscan-guess host_amigo
Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-13 16:27 CEST
Initiating Ping Scan at 16:27
Scanning xxxxxxxxxxx [4 ports]
Completed Ping Scan at 16:27, 0.06s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 16:27
Completed Parallel DNS resolution of 1 host. at 16:27, 0.08s elapsed
Initiating SYN Stealth Scan at 16:27
Scanning xxxxxxxx) [65535 ports]
Discovered open port 23/tcp on xxxxxxxxxxxx
Discovered open port 21/tcp on xxxxxxxxxxxx
Discovered open port 80/tcp on xxxxxxxxxxx
Discovered open port 22/tcp on xxxxxxxxxxxxx
Increasing send delay for xxxxxxxx from 0 to 5 due to 449 out of 1495 dropped probes since last increase.
SYN Stealth Scan Timing: About 3.09% done; ETC: 16:44 (0:16:12 remaining)
SYN Stealth Scan Timing: About 11.58% done; ETC: 16:36 (0:07:46 remaining)
SYN Stealth Scan Timing: About 17.57% done; ETC: 16:36 (0:07:07 remaining)
Discovered open port 14015/tcp on xxxxxxxxxxx
SYN Stealth Scan Timing: About 25.78% done; ETC: 16:35 (0:05:48 remaining)
SYN Stealth Scan Timing: About 34.26% done; ETC: 16:34 (0:04:50 remaining)
Discovered open port 30005/tcp on xxxxxxxxxxx
SYN Stealth Scan Timing: About 42.76% done; ETC: 16:34 (0:04:02 remaining)
SYN Stealth Scan Timing: About 48.94% done; ETC: 16:34 (0:03:40 remaining)
Discovered open port 34000/tcp on xxxxxxxxx
SYN Stealth Scan Timing: About 57.44% done; ETC: 16:34 (0:02:59 remaining)
SYN Stealth Scan Timing: About 65.92% done; ETC: 16:34 (0:02:20 remaining)
SYN Stealth Scan Timing: About 74.43% done; ETC: 16:34 (0:01:43 remaining)
SYN Stealth Scan Timing: About 80.60% done; ETC: 16:34 (0:01:20 remaining)
Discovered open port 34001/tcp on xxxxxxxxxxx
Discovered open port 44401/tcp on xxxxxxxx
SYN Stealth Scan Timing: About 89.10% done; ETC: 16:34 (0:00:44 remaining)
Completed SYN Stealth Scan at 16:34, 400.40s elapsed (65535 total ports)
aparecen los puertos abiertos y señalados en negritas puertos seguramente utilizados para sharing..
a partir de ahi pues seria comprobar vulnerabilidades para esos puertos....o limitarlos a una ip o un host como dijimos en el punto 3 con iptables.
Pues estos 8 puntos serian unas nociones basicas por lo menos para ponerlo algo mas dificil..
