Aunque es cierto que en Linux no es necesario instalar antivirus, un equipo Linux mal configurado es hackeable y puede verse afectado por amenazas procedentes de Internet. Principalmente debemos protegernos de dos cosas:
- Virus: término genérico que se refiere a todo tipo de malware o programas maliciosos: virus, gusanos, troyanos, backdoors, spyware, etc. Los virus no son un problema en Linux, son prácticamente inexistentes.
- Accesos no autorizados: los intrusos sí son una amenaza en Linux. Si nuestra máquina Linux contiene tiene errores de configuración o bugs en el software, pueden tener como consecuencia accesos no autorizados a nuestro equipo o nuestra red.
Medidas de seguridad
Para protegernos de virus y accesos no autorizados debemos tomar varias medidas:
- usuarios:
- no hacer login como root
- no ejecutar determinados programas como root (navegar, correo, etc.).
- usar contraseñas fuertes.
- software:
- tener el sistema actualizado: la mayoría de intrusiones se producen como consecuencia de vulnerabilidades conocidas en sistemas no actualizados.
- instalar sólo software obtenido de fuentes fiables.
- redes:
- tener un firewall activado (política por defecto DENEGAR).
- usar sólo protocolos seguros para administración remota (SSH).
- detener los servicios que no sean necesarios. Configurar cuidadosamente los servidores que tengamos y auditar la seguridad de la red con Nessus.
- si tenemos servidores de correo y de archivos, instalaremos antivirus para impedir la
propagación de virus que afectan a ordenadores Windows.
- ClamAV (clamav.net, paquete clamav): antivirus para UNIX.
- SpamAssassin (spamassassin.apache.org, paquete spamassassin): antispam para email.
- utilizar detectores de rootkit:
- Chkrootkit
(Check Rootkit,
chkrootkit.org, paquete chkrootkit):
programa para consola que examina los ficheros de sistema buscando rootkits conocidos. La
mejor manera de emplear chkrootkit es ejecutarlo desde cron, con una
línea como:
0 3 * * * /usr/sbin/chkrootkit
- Rkhunter (Rootkit Hunter, rkhunter.sourceforge.net, paquete rkhunter): herramienta que escanea rootkits, backdoors y exploit locales.
Es muy recomendable leer algún manual bueno de seguridad en redes:
- Seguridad en redes Villalón: es.tldp.org/…/unixsec-2.1-html/
- Seguridad en redes UOC: uoc.edu/masters/esp/web/materiales_libres.html
- Securing Debian: debian.org/doc/manuals/securing-debian-howto/
- Chkrootkit
(Check Rootkit,
chkrootkit.org, paquete chkrootkit):
programa para consola que examina los ficheros de sistema buscando rootkits conocidos. La
mejor manera de emplear chkrootkit es ejecutarlo desde cron, con una
línea como:
- hacer backups.
- monitorizar:
- procesos: top.
- memoria: free.
- uso de discos: df.
- puertos: netstat, nmap.
- tráfico de red: ethereal, snort.
- logs.
- archivos: existen programas que monitorizan los archivos de nuestra máquina. Toman una foto
del sistema creando una base de datos de los archivos que después se utiliza para verificar su
integridad, chequear inconsistencias y comprobar si las modificaciones han sido causadas por un atacante.
- TripWire (tripwire.com, paquete tripwire).
- AIDE (sourceforge.net/projects/aide, Advanced Intrusion Detection Environment, paquete aide).
- Samhain (la-samhna.de/samhain/, paquete samhain).