Knowledgebase
Directrices de seguridad planes Linux
Posted by Intermty on 08 May 2009 03:43 PM

Asegurando su sitio: (Planes Unix)
"la fuerza de una cadena es la de su eslabón mas debil"

Permisos:
Muchos programas usan el servidor web para subir archivos modulos y otras cosas, para que el servidor pueda escribir en una carpeta que no le pertenece las instrucciones del programa suelen guiar en la dirección de modificar los permisos de la carpeta relajandolos para tener permisos de escritura, eso provoca la inseguridad del sitio.
Solución: una vez haya realizado las acciones pertinentes cambie los permisos de sus carpetas

777 es tu enemigo.
El dar a una carpeta permisos 777 significa que:
Propietario puede leer escribir y ejecutar
Grupo puede lee escribir y ejecutar
Cualquier usuario puede leer escribir y ejecutar

En este escenario podemos ver que cualquier usuario que este en el servidor, vecino o simplemente un usuario usando el web puede escribir ahi ­ sus scripts, y por ello ejecutarlos y comprometer el sitio.

Solución;
Igual que la anterior: Una vez haya realizado las acciones pertinentes cambie los permisos de sus carpetas


Y como lo hacen?
La conducta tí­pica de los atacantes es la siguiente: buscan en motores de búsqueda por cadenas que ellos saben que tienen los programas vulnerables, una vez localizados se registran en el portal o usan la utilidad x o el complemento y para subir sus archivos, una vez dentro, ya la hicieron, tienen acceso a la información del sitio y si además los archivos de configuración tienen permisos incorrectos, los pueden leer consiguiendo así­ datos privados de acceso, datos para enviar smtp etc.

Solución: Obvio, mantener la aplicación actualizada a la ultima versión y nunca bajar la guardia, es tí­pico que un administrador instale una aplicación y no la toque en años es cuestión de tiempo el ser hackeado,

Ok, pero eso a mí­ en que me afecta?
Recordemos hace años cuando internet era un sitio pacifico y tranquilo y el riesgo era que un hacker dejara un inocente mensaje en nuestro sitio recomendando que aumentáramos la seguridad o cambiar la pagina principal por la de ayuda a una ONG, créame ya no es así­, ahora hay redes de hackers sumamente peligrosos que usan su sitio como trampolí­n para simular paginas de bancos y obtener datos de tarjeta con desfalcos millonarios, no lo olvide es su sitio son sus datos y es usted el responsable de su contenido.


Solución: Pensar luego hacer, usar la técnica de si no lo uso no lo pongo, tener en el sitio lo necesario y nada más, pensar dos veces antes de instalar complementos o programas de dudosa o no tan dudosa procedencia, realizar búsquedas en internet por si tal o cual versión de programa o complemento es vulnerable, recuerde que tener la capacidad de escribir un complemento que funcione no implica que el que lo escribe tenga los conocimientos para ademas hacerlo bien y seguro, todos los grupos de creadores de software tienen foros con información de como asegurar su sitio,

Sea Lógico.
Le da mantenimiento a su carro? déselo también a su sitio web, la cosas se hacen viejas y recuerde un año informático son 10 normales, hablar de cosas de hace 5 años que eran actuales ahora son prehistóricas, informáticamente hablando.

Epilogo.
Estas son unas pequeñas directrices de como asegurar su sitio, pero las que realmente me preocupan son las que no se me ocurren, un sitio inseguro es una bomba de tiempo, recordemos la ley de Murphy:

Si existe la posibilidad de que varias cosas vayan mal, la que cause mas perjuicios sera la única que vaya mal.
Y ahí­ va la mí­a:
Murphy era un optimista.

Saludos cordiales.
Equipo Intermty.
Autor Luis Oleart , reservados todos los derechos, prohibida su reproducción total o parcial sin mencionar el autor y link al sitio www.intermty.com.

(311 vote(s))
This article was helpful
This article was not helpful

Comments (0)
Post a new comment
 
 
Full Name:
Email:
Comments:
Help Desk Software by Kayako Fusion