Un buen punto de partida es utilizar LES (Linux Environment Security).
# wget http://www.r-fx.ca/downloads/les-current.tar.gz # tar xvzf les-current.tar.gz # cd les-* # ./install.sh
Ejemplo:
# les --secure-bin on # les --secure-bin off
La ayuda nos da:
-da | --disable-all Disable all options -ea | --enable-all Enable all options -sb | --secure-bin Set root only execution of critical binaries -sp | --secure-path Set root only traversal of critical paths -sr | --secure-rpmpkg Set immutable on core rpm package binaries -so | --secure-prof Set immutable on interactive login profiles -sd | --secure-devel Set access to devel utils for group deva & root
Además, podemos securizar manualmente el archivo “services”:
# chattr +i /etc/services
Añadir lo siguiente al archivo /etc/host.conf
# nano /etc/host.conf order hosts,bind nospoof on
Asegurarse que los usuarios que NO pertenecen al grupo Wheel, NO pueden acceder a los comandos scp, rcp, wget, lynx, links:
# chmod 750 /usr/bin/rcp && chmod 750 /usr/bin/wget # chmod 750 /usr/bin/lynx && chmod 750 /usr/bin/links && chmod 750 /usr/bin/scp
Finalmente, podemos utilizar Bastille-Unix si sabemos lo que estamos haciendo, para dar una vuelta de tuerca más.