TIGER, comprueba tu seguridad local.

 

Presentamos una herramienta que se usa tanto en auditorías de seguridad como para detectar posibles intrusiones que hayamos tenido y estén comprometiendo el sistema. Podemos tener un log de las comprobaciones o hacer que nos cree un fichero .html para verlo con el navegador de forma mucho más cómoda.

 

Al ejecutar TIGER empezará a lanzar una serie de diagnósticos planos muy completos,  que nos informarán de la situación de cuentas, ficheros y servicios, comprobando permisos en usuarios, contraseñas, grupos, configuraciones de servicios, procesos y un larguísimo etcetera…  tenemos que tener criterio para saber cual está bien configurada y cual no de acuerdo a las funciones de la máquina.

Con esto recalco que algún dato no tiene porque estar mal aunque nos la muestre así, si no que nos advierte para comprobarlo en caso de ser necesario.

 

Si lo ejecutamos de esta forma creará un fichero .html que podremos ver directamente en nuestro navegador.

tiger -H -l /var/www/
-l ##Ruta donde crearlo
-H ##formato html

Entre las entradas más destacadas en un servidor Debian sin apenas instalar nada, tenemos estas de ejemplo:

# Performing check of passwd files...
# Checking entries from /etc/passwd.
</PRE><LI><B><I>WARN</I></B> <A HREF="#pass014w">[pass014w]</A>Login (alumno) is disabled, but has a valid shell. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#pass014w">[pass014w]</A>Login (backup) is disabled, but has a valid shell. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#pass014w">[pass014w]</A>Login (mail) is disabled, but has a valid shell. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#pass014w">[pass014w]</A>Login (nobody) is disabled, but has a valid shell. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#pass014w">[pass014w]</A>Login (proxy) is disabled, but has a valid shell. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#pass014w">[pass014w]</A>Login (root) is disabled, but has a valid shell. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#pass015w">[pass015w]</A>Login ID sshd does not have a valid shell
(/usr/sbin/nologin). <PRE>
# Performing check of anonymous FTP...
# Performing checks of mail aliases...
# Checking aliases from /etc/aliases.
# Checking for known intrusion signs...
# Testing for promiscuous interfaces with /bin/ip
# Testing for backdoors in inetd.conf
# Performing check of files in system mail spool...
# Performing check for rookits...
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
# Performing system specific checks...
# Performing checks for Linux/2...
# Checking for single user-mode password...
# Checking for vulnerabilities in inittab configuration...
</PRE><LI><B><I>FAIL</I></B> <A HREF="#lin007w">[lin007w]</A>Normal users can reboot the system through ctrl+alt+del in
runlevels 12345 <PRE>
# Checking OS release...
# Checking installed packages vs Debian Security Advisories...

 

# Checking installed files against packages...
</PRE><LI><B><I>WARN</I></B> <A HREF="#lin001w">[lin001w]</A>File `/lib/init/rw/.ramfs' does not belong to any package. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#lin001w">[lin001w]</A>File `/lib/modules/2.6.32-5-686/modules.dep.bin' does not
belong to any package. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#lin001w">[lin001w]</A>File `/lib/modules/2.6.32-5-686/modules.symbols.bin' does
not belong to any package. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#lin001w">[lin001w]</A>File `/lib/modules/2.6.32-5-686/modules.softdep' does not
belong to any package. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#lin001w">[lin001w]</A>File `/lib/modules/2.6.32-5-686/modules.alias' does not
belong to any package. <PRE>
</PRE><LI><B><I>WARN</I></B> <A HREF="#lin001w">[lin001w]</A>File `/lib/modules/2.6.32-5-686/modules.symbols' does not
belong to any package. <PRE>
# Checking sshd_config configuration files...
</PRE><LI><B><I>WARN</I></B> <A HREF="#ssh004w">[ssh004w]</A>The PasswordAuthentication directive in
/etc/ssh/sshd_config is set to the unapproved defult value: yes. <PRE>
# Checking unusual file names...
# Looking for unusual device files...
# Checking symbolic links...

 

Tiger clasifica por gravedad los errores que encuentra en 6 categorías, que son (de mayor a menor gravedad )
–ALERT–, –FAIL–, –WARN–; –ERROR– y –CONFIG–

Alert y fail indican fallos de seguridad importantes en nuestro sistema que pueden llevar a intrusiones, los mensajes tipo warn son más corrientes y menos graves. Error y config indican posibles problemas en la configuración o uso del programa.

 

Tiene un  Tigercron para programar revisiones periódicas, con esta herramienta sería fácil al  crear el fichero hacer un scripts que nos mande una alerta si no coincide con una plantilla que hayamos creado y nos notifique lo que se diferencia. Esto por pensar en algo las opciones son bastantes.

Página principal: nongnu.org/Tiger.

 

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.