¿Qué tan útil es rkhunter?

Navega tus respuestas
6

Tengo un software cortafuegos implementado en mi servidor y he cerrado todos los puertos innecesarios. Tengo contraseñas seguras y valido los comentarios de los usuarios en mi sitio web.

Con estas cosas ya implementadas, ¿recomienda que use rkhunter para ayudar a detectar rootkits? ¿O sería innecesario?

    
pregunta Hope4You 10.09.2012 - 20:36
fuente

2 respuestas

8

Respuestas rápidas
Las respuestas más rápidas son: "defensa en profundidad" y "plan para el fracaso"

Tienes protecciones en su lugar, pero ¿qué pasa si fallan? ¿Qué sucede si un atacante encuentra una manera de usar un método que no anticipó? Desde estas perspectivas, entonces, sí, rkhunter es necesario.

Pero luego empiezas a preguntar: "¿cuándo dejar de agregar más protección?"

Respuestas correctas
Hay un cálculo que debe realizar sobre cuáles son los riesgos y qué tan probables son, cuáles son los costos si se realizan esos riesgos y los costos de mitigar esos riesgos. Cada pieza de protección que instale debe mantenerse y actualizarse, lo cual es un costo. Si esos costos son más bajos que los costos de tener un incidente, entonces vale la pena. Si no, estás gastando más de lo que estás protegiendo. Este cálculo rápido es cómo determina, "¿es necesario?"

Otras opciones
Puede haber otras consideraciones más importantes, dependiendo de su situación. ¿Explotación florestal? Copias de seguridad? Cifrado? ¿Facilidad de volar el servidor y reconstruir a partir del bien conocido? ¿Firewalls de aplicaciones web? ¿Diseño seguro de aplicaciones web (aparte de entradas)? Obtener una buena revisión por parte de un tercero de su entorno completo podría resaltar los componentes importantes de más .

Espero que estas ideas ayuden.

    
respondido por el schroeder 10.09.2012 - 20:55
fuente
5

Sí, debería usar rkhunter (o similar) y también otras herramientas de seguridad: la cantidad de tiempo y esfuerzo depende del valor del servicio, pero además de un firewall, lo recomendaría (como configuración básica):

  • algún método para identificar los parches de seguridad requeridos (una solución automatizada puede parecer mucho más esfuerzo), pero incluso para un sitio web de bajo valor, debería revisar al menos una vez por semana.

  • protección adicional para el acceso ssh: por supuesto, ha deshabilitado el acceso ssh root y el acceso restringido solo a un grupo con nombre, pero aún así es una buena idea usar el puerto o fail2ban para reducir el ruido

  • un comprobador de interferencias de archivos: si alguna vez lo piratean, esto es vital para que su sistema vuelva a estar en línea y sea seguro

  • un detector de rootkits

  • copias de seguridad regulares, y pruébelas para asegurarse de que puede volver a un sistema en funcionamiento

respondido por el symcbean 11.09.2012 - 12:49
fuente

Lea otras preguntas en las etiquetas

¿Qué hace para proteger los datos en una Macbook en caso de robo / pérdida del dispositivo? ¿Qué caracteres peligrosos deben filtrarse de las entradas del usuario antes de usarlos en una consulta SQL de DB2?