Ver todos os itens instalados no servidor e proteger o servidor contra malware

Navegue suas respostas
1

Eu tenho um VPS rodando o Ubuntu 12.04 - eu não sou particularmente bem versado em gerenciamento de servidores, mas posso fazer coisas básicas de CL.

Temos alguns terceiros (do odesk) trabalhando em um aplicativo da Web para nós que serão hospedados no VPS como parte da compilação que precisam acessar o servidor via ssh para executar migrações de banco de dados e outras coisas .

Minha principal preocupação é que eu não tenho idéia do que eles estão realmente colocando no servidor, acredito que eles estão apenas colocando itens relativos ao desenvolvimento do aplicativo da web, mas igualmente bem eles poderiam estar instalando malware em segundo plano. / p>

Eu pretendo instalar o ClamAV para verificação de vírus, mas se alguém tiver acesso root, ele pode ser ignorado?

Existe uma prática recomendada para A) proteger o servidor, whist ao mesmo tempo ainda dando acesso a terceiros e B) Existe um comando ou em algum lugar eu posso ver todos os itens instalados, para que eu possa ver o que está realmente lá ?

    
por sam 16.09.2013 / 10:47

3 respostas

4

Eu planejo instalar o ClamAV para verificação de vírus, mas se alguém tiver acesso root pode ser ignorado?

Para procurar por quê? Vírus do Windows? Por que você precisaria disso? Por favor, leia este tópico: Preciso ter 'software antivírus' instalado? sobre a necessidade de um antivírus no Linux. Mas, para verificar se há atividades suspeitas em seu sistema, um detector de kit de raiz parece mais apropriado.

  

O rootkit scanner é uma ferramenta de verificação para garantir que você tenha 99,9% * de ferramentas desagradáveis. Esta ferramenta procura por rootkits, back doors e exploits locais, executando testes como:

     
  • Comparação de hash MD5
    •   
  • Procure os arquivos padrão usados pelos rootkits
    •   
  • Permissões de arquivo incorretas para binários
    •   
  • Procure por strings suspeitas nos módulos LKM e KLD
    •   
  • Procure por arquivos ocultos
    •   
  • Varredura opcional em arquivos de texto simples e binários
    •   

Root kit Hunter é lançado como projeto licenciado GPL e gratuito para todos usarem.

     
  • Não, não é realmente 99,9% .. É apenas outra camada de segurança
    •   

Existe uma prática recomendada para proteger o servidor, enquanto, ao mesmo tempo, ainda dá acesso a terceiros

Não forneça sua senha de administrador. Crie um usuário separado para eles com o que você considera privilégios suficientes. E queixem-se a você caso precisem fazer algo que não podem e depois decidam aceitar ou negar o pedido. Negar isso pode ser apropriado se você puder realizar essa tarefa sozinho.

E quando eles terminarem, bloqueie esse usuário e altere sua senha de administrador. Quando eles precisarem acessar novamente, desbloqueie o usuário.

Existe algum comando ou algum lugar onde eu possa ver todos os itens instalados, para que eu possa ver o que está realmente lá?

Não. Não com métodos à prova de idiotas de qualquer maneira. Se eles usaram o apt-get, eles estão logados. mas não há como registrar um script sendo adicionado ao seu sistema (e eu esperaria que esses scripts se escondessem entre o software que você permite que o odesk instale de qualquer maneira; vamos supor que eles digam para você instalar 10 arquivos e 9 deles são legítimos, e um deles é um usuário do odesk que quer instalar algo indesejado ... como você vai encontrar isso?).

Existe um método melhor: o que você precisa fazer é verificar o tráfego e encontrar em /var/log/ . Se você ver (o que você acredita ser) conexões estranhas, os arquivos de log apontarão para o culpado. Mas isso não é apenas para este caso: verificar regularmente o tráfego é uma tarefa que qualquer administrador deve fazer (o malware só é útil se os resultados dele saírem pela porta, então você precisa jogar o gatekeeper).

    
por Rinzwind 18.09.2013 / 14:32
4

Práticas realmente boas dariam a elas o mínimo de acesso necessário

1) Eles precisam de acesso ssh?

Se eles precisam apenas trabalhar com o banco de dados, então você pode abrir a porta do banco de dados para seu IP ou usar ferramentas de gerenciamento da web, por exemplo. PhpMyAdmin. Eles podem solicitar que certos pacotes sejam instalados em vez de fazê-lo sozinhos. Se eles realmente precisarem de acesso ssh por alguma razão, então você pode usar o SSH Chroot Jails, que dá acesso limitado a alguns recursos no sistema.

2) Como listar todos os programas?

Você pode listar todos os aplicativos instalados instalados pelo gerenciador de pacotes, emitindo o comando sudo dpkg -l , mas como você sabe que eles não apenas colocaram alguns binários no sistema e ignoraram o gerenciador de pacotes? ou cronjobs editados. Você pode usar aplicativos como tripwire e configurá-lo para testar as alterações no sistema.

Isso realmente se resume a um pouco de acesso, como é possivelmente necessário para o terceiro para fazer o trabalho. Se você der a alguém acesso root ao sistema, então, na minha opinião, você só pode confiar nesse sistema tanto quanto confia no administrador que você deu acesso.

    
por stedotmartin 18.09.2013 / 14:11
1

  1. A primeira parte (SSH & amp; anti-virus / malware) é respondida corretamente por Rinzwind & amp; Shutupsquare, então eu evitaria repetir isso. Eu concordo com os pontos de vista deles e os defendi por isso. A resposta de Rinzwind no SSH Resposta do Shutupsqaure em SSH & amp; Antivírus

  2. Quanto à listagem de todos os pacotes instalados localmente e salvos como um arquivo de texto chamado 'pacotes' na sua área de trabalho, faça isso no seu terminal (você não precisa de 'sudo'): dpkg --get-selections > ~/Desktop/packages

Você também deve usar Tripwire se temer que sua equipe (ou alguém) possa ir a uma onda de sabotagem.

    
por TomKat 24.09.2013 / 08:03
Qual é a melhor maneira de atualizar o kernel no 12.04.3? Não é possível compilar o compilador Glasgow Haskell