No hay duda de que Linux es un sistema operativo seguro. Sin embargo, nada es perfecto. Millones de líneas de código se baten a través del núcleo cada segundo y solo se necesita un solo error de programación para abrir una puerta en el sistema operativo. Si esa línea de código se enfrenta a Internet, es una puerta trasera para su servidor..

Los ojos lo tienen

Los parches a menudo se lanzan más rápido y más a menudo para los sistemas Linux que para los productos propietarios. Esto se debe a que cualquiera puede ver el código, y miles de desarrolladores lo hacen regularmente. Este enfoque de 'muchos ojos', que fue avanzado por Linus Torvalds, significa que los problemas como las puertas traseras generalmente se encuentran rápidamente. También significa que los arreglos se lanzan con la misma rapidez.

Ha habido un debate muy intenso en la lista de correo del kernel de Linux recientemente, con los desarrolladores discutiendo si los errores de seguridad que se han solucionado deberían anunciarse y documentarse formalmente. Torvalds cree que hacer una gran canción y bailar sobre parches de seguridad atrae la atención de malhechores como las abejas a la miel. Otros creen que cualquier cosa que no sea la apertura completa va en contra de la filosofía del software libre..

El debate sigue ardiendo, pero mientras que los señores superiores del kernel de Linux están decidiendo qué forma de swing, hay muchas cosas que puede hacer para proteger su sistema, incluso si un servicio con acceso a Internet está comprometido de alguna manera..

Buscando trampas con Tripwire

Tripwire genera sumas de comprobación de todos los binarios esenciales que se ejecutan en su sistema. Cada archivo tiene una suma de comprobación completamente única. Si un solo bit de datos cambia en el archivo, la suma de comprobación que genera será completamente diferente.

Estas sumas de comprobación no se pueden descifrar ni duplicar porque se basan en un método de cifrado probado y comprobado. Usando esta base de datos de sumas de comprobación, Tripwire verificará periódicamente el valor de cada archivo binario en su base de datos. Si algún archivo ha cambiado, el cable se desconecta y se señala una alarma.

Este sistema es increíblemente eficaz, porque lo primero que hace un hacker cuando obtiene acceso a su sistema es reemplazar archivos importantes del sistema con su propia versión. Esto se conoce como 'rootkit', y significa que el pirata informático siempre puede acceder a su sistema, incluso después de localizar y actualizar el problema de seguridad original 'puerta trasera'.

Existen varias herramientas que buscan la firma reveladora de una instalación de rootkit, pero Tripwire realiza estas prácticas al capturar los cambios en el sistema de archivos, es de esperar que incluso antes de que se pueda usar el rootkit. Por este motivo, puede encontrar Tripwire en el repositorio de paquetes de casi todas las distribuciones de Linux que podamos imaginar. Solo buscalo e instala.

La defensa de Tripwire ha tenido tanto éxito que se ha lanzado una compañía propietaria en la parte posterior del producto original de Tripwire; Ambos se llaman confusamente Tripwire. Sin embargo, afortunadamente, la versión de código abierto del software sigue siendo popular, a pesar del hecho de que, como todas las herramientas de seguridad de Linux, requiere un esfuerzo considerable para que funcione..

La mayor parte de ese esfuerzo tiene que ver con la edición de archivos de configuración arcanos. La elección de Ubuntu o Debian puede ayudar con esto, ya que ambas distribuciones incluyen un asistente de configuración rápida al instalar los paquetes. Hemos utilizado Ubuntu Hardy Heron en la siguiente configuración de ejemplo. También proporcionamos los comandos manuales para la configuración si está utilizando una distribución diferente.

Asegúrese de que todo lo que necesita instalarse esté instalado. Si agrega más paquetes después de la instalación de Tripwire, tendrá que pasar por una rutina de reconfiguración bastante complicada. Por este motivo, es más sencillo instalar Tripwire después de haber configurado y configurado el servidor exactamente como lo necesita..