Si se que es lo primero que se deberia leer, hay un excelente documento en debian.org que habla de la seguridad, con cosas tan locas como compilar kernel sin soporte para modulos (para evitar rootkits), atributos de filesystems y cosas que jamas habia oido siquiera nombrar y otras que no tenia idea de como hacer… pero encontre algo que ya sabia.<\/p>\n
En cierta forma es conveniente que \/tmp y \/var\/tmp sean montadas como particiones a parte y que se les agregue la opcion noexec y nosuid, en especial noexec, esto evita un monton de ataques que se han popularizado via cgi (php principalmente, como nota he de decir que he visto algunos interesantes en perl que no tienen problema para ejecutarse aun con el noexec, pero esa es otra historia y vale la pena contarla en otro momento).<\/p>\n
En fin que en la documentaci\u00f3n justo mencionan un detalle que habia notado cuando se hace apt-get dist-upgrade y dpkg intenta hacer preconfigure requiere que \/tmp sea executable y permita la execusi\u00f3n de los scripts de preconfiguraci\u00f3n y postconfiguraci\u00f3n.<\/p>\n
Asi que pues, todo se soluciona montando a fuerzas \/tmp en otras palabras.<\/p>\n
\nmount -o remount,exec \/tmp
\napt-get update && apt-get dist-upgrade
\nmount -o remount,noexec \/tmp\n<\/p><\/blockquote>\n\u00bfY por que no hacerlo un script?<\/p>\n
Asi que update.sh
\n[code=’Bash’]
\n#!bin\/bash
\nmount -o remount,exec \/tmp
\napt-get update && apt-get dist-upgrade
\nmount -o remount,noexec \/tmp
\n[\/code]<\/p>\nSi realmente sencillo, pero realmente util, me evita problemas y andar haciendo dpkg-reconfigure y otros hacks a mano para mantener saludables nuestros sistemas.<\/p>\n
Pain is a thing of the mind. The mind can be controlled.
\n– Spock, \u00abOperation — Annihilate!\u00bb stardate 3287.2<\/p>\n","protected":false},"excerpt":{"rendered":"Si se que es lo primero que se deberia leer, hay un excelente documento en debian.org que habla de la seguridad, con cosas tan locas como compilar kernel sin soporte para modulos (para evitar rootkits), atributos de filesystems y cosas … Sigue leyendo