On Fri, 14 Oct 2005 02:36:57 +0200 (CEST) "Carlos E. R." <robin1.listas@tiscali.es> wrote: robin1.listas> > Alguien sabe si existen RPM para SuSe 9.0 y/o Suse 9.2 de estas dos robin1.listas> > aplicaciones ??? robin1.listas> robin1.listas> No las conozco. Me lo temía. :-( robin1.listas> > Y puestos a pedir, un antivirus RESIDENTE para Suse robin1.listas> robin1.listas> No existe eso de residente en linux, ni en unix. Eso es un concepto de robin1.listas> msdos, que no tenía multitarea. Cosas de la edad. Dicho de otra manera. Un proceso en memoria que detecte y/o intercepte código vírico que entre en el sistema robin1.listas> > o "algo" para robin1.listas> > monitorizar un determinado directorio del sistema, para ser más exactos robin1.listas> > el directorio /tmp robin1.listas> robin1.listas> ¿Para que? Me parece que ya habia dado muchas pistas. :-) Para evitar inyecciones SQL en el sistema. Hasta ahora las intrusiones de este tipo que había visto no habían afectado al sistema de forma estricta. Añadían administradores a una determinada aplicación y/o conseguían variar el contenido de alguna página. Normalmente esta incidencia solo se producía en determinado tipo de aplicaciones escritas en PHP con una deficiente programación, y cito a PHP-Nuke solo a título de ejmplo, pero hay más, aunque no tan populares. Sin embargo este fin de semana pasado me encontré con algo nuevo, o al menos era nuevo para para mi. La inyección consiguió colocar un backdoor linux ("r0nin" llamado también PsychoPhobia Backdoor) en el sistema. Los daños fueron relativamente limitados dado que este "bicho" usa Telnet para comunicarse y, por suerte, en ese sistema, por cuestiones de prudencia, Telnet no estaba habilitado. Hay más bichos parecidos, algunos usan SSH en lugar de Telnet, cogen permisos del usuario "nobody" y se instalan en /tmp y a partir de ahí lanzan los procesos que se les indique o invitan a sus primos mediante "wget". También pueden cambiar de usuario y por ejemplo lanzar procesos de "spam" al servidor de correo mediante el usuario "wwwrun". robin1.listas> > Y puestos a pedir algo más, puedo poner el shell del usuario nobody a robin1.listas> > /bin/false sin que eso perjudique el sistema ???? robin1.listas> robin1.listas> Ambas cosas no, porque si lo perjudicarás. Hay algunas cosas que los robin1.listas> scripts del sistema corren bajo ese usuario: me viene a la cabeza robin1.listas> updatedb. Cuando se quiere que algo se ejecute sin privilegios, se hace robin1.listas> con ese usuario precisamente. Lo que si puedes hacer es evitar que gente robin1.listas> de fuera lo use por red, pero eso creo que está así por defecto. El problema es que, quien escoge el usuario necesita privilegios de ejecución aunque solo sea en el directorio "/tmp". :-) Por eso pensaba en "algo" para interceptar o, mal menor, limitar los privilegios en ese directorio. -- Salutacions - Saludos, Josep M. Queralt