Pequeños consejos de seguridad en instalaciones de Linux

Muy interesante tu artículo.

Voy a poner en práctica tu consejo sobre cómo montar /tmp en un fichero. No sabía que se podía hacer eso :)

Un saludo
Alvaro

Hola.

Hay un pequeño error aquí:

Una vez tenemos bien el fstab, pasamos a usar /tmp en lugar de /temp. Para eso editamos el fstab y lo dejamos como:

/tmp_partition /temp ext2 loop,noexec,nosuid,rw 0 2
(te has olvidado de cambiar temp por tmp)

Tendría que ser así:

/tmp_partition /tmp ext2 loop,noexec,nosuid,rw 0 2

Saludos NoP y gracias por el artículo.

Las preguntas nunca son indiscretas. Las respuestas sí lo son a veces.

... solo un apunte, si necesitas safe_mode off o globas_register a on para alguna aplicacion en concreto, y sabes que esa aplicacion está bien hecha y que el acceso a ese directorio lo controlas tú, por ejemplo gallery o vhcs , hay una directiva que te permite sobreescribir la conf de php (evidentemente por seguridad no funciona en .htaccess). Sería php_admin_flag:

php_admin_flag safe_mode off
php_admin_flag register_global on

Esto te permite dejar el server con safe_mode y register_globals a nivel de server, y desactivarlos donde necesites/quieras. Reitero que NO funciona en .htacess por seguridad, tiene que ir en la conf de apache.

Una consulta, cuando dices o sugieres que es útil seguir esos pequeños consejos se seguridad "para nuevas instalaciones como para sistemas ya en producción", te refieres exactamente a eso no es así, me refiero a que dichas recomendaciones son SOLO aplicables a equipos de producción o equipos de trabajo que utilizan AWStats y no a una MDK de escritorio con el servicio WEB y FTP habilitado?.... ¿o encuentras que de todas maneras es útil tener un único /tmp seguro en una MDK tipo escritorio?

AH!!!!! lo simpático es que cuando leí la tira de "Bilo y Nano" no entendí el chiste :-S y ni siquiera me llamó la atención averiguar que era ese dichoso "AWStats"... y solo hubiese bastado con aplicar un "AWStats" en google. :-P

...menosmal q no era un wnmaster jejejejeje ;-)

Salu2 y gracias de antemano!!!

Recientemente he posteado en mi weblog acerca de cómo utilizar php sin global vars ó con 'global_vars = Off'.

Lo más cómodo es habilitar las variables globales, o hacerlo solo para unas páginas, ó para un <Location> ó para un <Direcory>, es también un error.

En mi opinión, si un software sobre php aún exige eso, debe reescribirse, y si es un proyecto de software libre o me espero a que lo implementen... a mi mismo me toco aprender a trabajar en php sin las variables globales activadas. No pensaba hacer rebajas en la seguridad, además, lo bonito es aprender, el reto.

En cuanto al resto de la receta de NoP, anda, pásala a un fichero descargable de pdf, html, ...venga, tonto, que te va a gustar 8-)

--

El hombre es la medida de todas las cosas

Protágoras

Hace un tiempo imparti una conferencia sobre Seguridad en Linux en mi LUG juto a Mark Fowles.

Las "diapositivas" (en HTML + StarOffice) las teneis aqui

Las cifras sobre intentos de hacking corresponden a anyos atras. Hoy en dia, son aun peores.

Salut,
Sinner

Hola... no se que le pasa a mi maquina... no puedo leer el doc. Uso firefox y me dice que no puede encontrar el dominio.
Podes postear alguna direccion alternativa? Gracias

eduardo

Si no conseguimos la página no tiene sentido, a mi parecer, mantener este post en los Books (ya que no podemos ni leer el HOWTO :( )

Saludos y gracias