|
|
- CGIWRAP
CGIWRAP es un gateway que proporciona acceso más seguro de los usuarios a los CGIs disponibles en un servidor de httpd - chrootuid
Permite correr servicios de red con el mínimo nivel de privilegios y con acceso restringido a sistemas de archivo. Los daemons tienen acceso únicamente a su propio directorio, y corren bajo un userid con escasos privilegios. - COPS
Es una colección de programas, que permiten identificar problemas comunes de seguridad y configuración en sistemas UNIX.- Véase también: SATAN
- CPM
Permite verificar si las interfases de red estan corriendo en modo promiscuo. Si normalmente usted no tiene configuradas sus interfases para que corran en modo promiscuo, esto puede ser un indicio de que un intruso esta corriendo un sniffer en su sistema. - crack
Es un programa para descifrado de passwords , diseñado para ayudar a los administradores a asegurarse de que sus usuarios usen passwords adecuados.- Véase también: anlpasswd
- Logdaemon
Incluyen un conjunto de daemons con mejoras en varios aspectos de la seguridad.- rlogin y rsh
Registran el nombre del usuario remoto, así como el nombre del host remoto, con listas de control de acceso de tcp wrappers - login
Incluye soporte a passwords desechables del tipo S/Key y tarjetas SecureNet, control de acceso por usuario/ host /terminal, y registro detallado de login fallidos. - ftp daemon
Incluye soporte a passwords desechables del tipo S/key y tarjetas SecureNet, registro detallado de login fallidos, y registro de transeferencias de FTP anónimo. - rexec daemon
Incluye soporte a passwords desechables del tipo S/key, registro detallado de login fallidos, y bloquea el acceso a la cuenta root .
- Archivo original
- Véase también: tcp wrappers
- rlogin y rsh
- MD5
Es un algoritmo de chequeo de integridad ( message digest )Es una implementación del protocolo de identificación, especificado en el RFC 1321 .
- Véase también: tripwire
- portmapper
Esta implementación previene el robo de información de NIS (YP), NFS, y otra información sensitiva a traves del portmapper . Como una opción, incluye listas de control de acceso del tipo tcp wrappers- Archivo original
- Véase también: rpcbind y securelib
- rpcbind
Esta implementación controla el acceso a NIS (YP), NFS, y a otros servicios basados en RPC. Incluye listas de control de acceso del tipo tcp wrappers- Archivo original
- Véase también: portmapper y securelib
- SATAN
(System Administrator Tool for Analysing Networks)
Es una herramienta que permite identificar problemas comunes de seguridad y configuración en sistemas UNIX.- Archivo original
- Véase también: COPS
- securelib
Este paquete contiene rutinas de remplazo para las llamadas al kernel: accept, recvfrom, recvmsg. Estos remplazos son compatibles con los originales, pero ademas checan la dirección de la máquina que inicio la conexión para asegurarse de que tiene permiso para conectarse. - smrsh
Es un shell restringido que proporciona la habilidad de especificar una lista explícita de programas ejecutables permitidos. Cuando se usa en conjunto con sendmail, limita efectivamente el ambito de programas ejecutables a los especificados en la configuración del smrsh.smrsh se distribuye junto con los fuentes del sendmail.
- Archivo original
- Véase también: sendmail
- syslog
syslogd lee y escribe mensajes del sistema en las bitacoras y/o a los usuarios apropiados, dependiendo de la prioridad del mensaje y de la facilidad del sistema donde se originó.Es recomendable que el syslog registre la mayor cantidad de mensajes del sistema, por lo cual se sugiere un archivo de configuración como este: /etc/syslog.conf .
En el archivo de configuración anterior, loghost especifica un host de respaldo, donde se conserva copia de las bitacoras del resto de los hosts de un site. En caso de perdida de las bitacoras de un host, se puede consultar la copia que se mantiene en loghost .
Es importante que las bitácoras generadas por el syslogd se revisen diáriamente, y en su caso se depuren, ya que en sistemas con mucha actividad, pueden llegar a crecer demasiado. SWATCH es una herramienta que facilita el procesamiento de las bitacoras generadas por syslog.
Los sistemas que no cuentan con una librería de syslog (o tienen una que no funciona) pueden usar la librería surrogate-syslog
- tcp
wrappers
También conocidos como TCPD o LOG_TCP, permite monitorear y definir listas de control de acceso para las conexiones a los servicios de red, entre los que se incluyen SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, y TALK.Si el acceso a un host S dado se quiere restringir con tcp wrappers, es muy recomendable instalar el tcp wrappers en cada host Ci que se encuentre en las listas de control de acceso del host S . Esto es con el proposito de crear una red de equipos seguros en su site.
- tripwire
Tripwire es una herramienta de monitoreo de integridad para sistemas Unix. Utiliza algoritmos de chequeo de integridad ( message digest ) para detectar modificaciones hechas al contenido de archivos, como las que pueden causar un intruso o un virus.
Adicionalmente, es recomendable instalar las siguientes herramientas:
- FTP
- identd
Permite determinar la identidad del usuario de una conexión dada de TCP.Un proceso corriendo en un host A puede solicitar información a un servidor de identd que esta corriendo en un host B, acerca del dueño de una conexión existente entre B y A.
El proceso en el host A puede usar esta información para hacer una auditoría remota de las conexiones o para hacer bloqueo selectivo.
Es una implementación del protocolo de identificación, especificado en el RFC 1413 .
- PGP (Pretty Good Privacy).
- sendmail
- sudo
Permite delegar las funciones de administración mediante la definición de listas de control de acceso a los comandos y programas del sistema.