Seguridad en Debian

Si se que es lo primero que se deberia leer, hay un excelente documento en debian.org que habla de la seguridad, con cosas tan locas como compilar kernel sin soporte para modulos (para evitar rootkits), atributos de filesystems y cosas que jamas habia oido siquiera nombrar y otras que no tenia idea de como hacer… pero encontre algo que ya sabia.

En cierta forma es conveniente que /tmp y /var/tmp sean montadas como particiones a parte y que se les agregue la opcion noexec y nosuid, en especial noexec, esto evita un monton de ataques que se han popularizado via cgi (php principalmente, como nota he de decir que he visto algunos interesantes en perl que no tienen problema para ejecutarse aun con el noexec, pero esa es otra historia y vale la pena contarla en otro momento).

En fin que en la documentación justo mencionan un detalle que habia notado cuando se hace apt-get dist-upgrade y dpkg intenta hacer preconfigure requiere que /tmp sea executable y permita la execusión de los scripts de preconfiguración y postconfiguración.

Asi que pues, todo se soluciona montando a fuerzas /tmp en otras palabras.

mount -o remount,exec /tmp
apt-get update && apt-get dist-upgrade
mount -o remount,noexec /tmp

¿Y por que no hacerlo un script?

Asi que update.sh
[code=’Bash’]
#!bin/bash
mount -o remount,exec /tmp
apt-get update && apt-get dist-upgrade
mount -o remount,noexec /tmp
[/code]

Si realmente sencillo, pero realmente util, me evita problemas y andar haciendo dpkg-reconfigure y otros hacks a mano para mantener saludables nuestros sistemas.

Pain is a thing of the mind. The mind can be controlled.
– Spock, «Operation — Annihilate!» stardate 3287.2

Esta entrada fue publicada en Sin categoría. Guarda el enlace permanente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.