Securizando el sistema – Parte II

Publicado: febrero 23, 2014 en Seguridad, System
Etiquetas:, , , ,

malwareEn el artículo anterior, vimos cómo instalar un detector de rootkits. Dado que el malware se distribuye, sobre todo, mediante el correo y, además, es posible que necesitemos escanear diferentes archivos,  vamos a instalar un antivirus y un filtro antispam.

El antivirus que vamos a instalar es ClamAV, el cual está integrado en diferentes clientes de correo. Además, podríamos utilizarlo, también, para filtrar los correos electrónicos de nuestro servidor de correo, en caso de tener alguno alguno instalado. Exim, por ejemplo, está compilado en ArchLinux con soporte para filtrar los correos con ClamAV y Spamassassin.

Procedamos con la instalación:

sudo pacman -Syu clamav
# GUI para clamav
# primero, las dependencias:
wget https://aur.archlinux.org/packages/pe/perl-text-csv/perl-text-csv.tar.gz
tar -xvf perl-text-csv
cd perl-text-csv
makepkg -si
cd ..
rm -r perl-text-csv*
# El paquete
wget https://aur.archlinux.org/packages/cl/clamtk/clamtk.tar.gz
tar -xvf clamtk.tar.gz
cd clamtk
makepkg -si
cd ..
rm -r clamtk*

Clamav dispone de dos demonios:

  • Freshclam: Para actualizar automáticamente la base de datos.
  • Clamav: El antivirus. No chequea automáticamente el sistema, pero ha de estar levantado para funcionar.

Editamos los archivos de configuración /etc/clamav/clamd.conf y /etc/clamav/freshclam.conf y eliminamos la línea Example, de cada archivo.

Actualizamos la base de datos y levantamos los demonios:

sudo freshclam -v
sudo systemctl enable clamd.service freshclamd.service
sudo start fclamd.service freshclamd.service

A veces, mientras freshclam está actualizando la base de datos, clamd falla al iniciarse. Para asegurarnos que se inicia, creamos el directorio /usr/lib/systemd/system/clamd.service.d/ y, dentro de él, el archivo clamd.conf, con el siguiente contenido:

[Service]
RestartSec=60
Restart = on-failure

clamtk

Instalamos el antispam:

sudo pacman -Syu bogofilter

Ahora, en los clientes de correo, creamos los filtros necesarios para clamAV y bogofilter. Están integrados en Evolution y Kmail y otros, incorporando asistentes de configuración. Un plugin para escanear los archivos descargados con Firefox, lo tenemos aquí.

Disponemos de una alternativa muy buena para los spams: spamassassin. Puede funcionar en modo demonio o ejecutando un binario y también suele estar integrado en los clientes se correo. Para el caso de Thunderbird, disponemos de un plugin, que mostrará, con diferentes colores los mensajes puedan ser spam. Pasemos a instalarlo:

sudo pacman -Syu spamassassin
sudo /usr/bin/vendor_perl/sa-update
sudo systemctl enable spamassassin.service
sudo systemctl start spamassassin.service

Para configurar el filtro antispam en Evolution, basta ir a Editar->Preferencias->Opciones de correo->Spam y activarlo allí:

evolution-spam

En Kmail, disponemos de un asistente para el filtro antispam y, otro, para el antivirus. Están en Herramientas.

kmail-spam

En el caso de que tengamos aplicaciones web instaladas, no está demás pasar el antivirus, si no a todo el sistema, al menos, a los directorios donde están alojadas, de manera periódica.

Con esto, junto con la detección de rootkits, disponemos de una protección contra el malware. Por supuesto, no quiere decir que sea la panacea, pero añadimos una protección extra a nuestro sistema. En el próximo artículo, veremos algunas herramientas para proteger nuestra red.

Anuncios
comentarios
  1. dmacias dice:

    Buen post, lo leere tranquilo.
    Nunca pense poner un antivirus a GNU/Linux, vere que hago

    El proximo articulo de securizar nuestra red si que imagino tendra cosas interesantes, porque todo lo malo que nos pueda venir llega por ahí 😉

    Un saludo

    • Archuser dice:

      Además de clamav, yo estoy utilizando otro, f-prot, no es libre pero, para Linux, las actualizaciones de firmas son gratuitas. Como utilizo wine y algunas aplicaciones de MS, me viene bien.

      En cuánto termine unas pruebas, subo cómo utilizarlo. Algunas herramientas de pentesting disparan las alertas de troyanos. Con clamav también, pero, éste que comento, tiene la opción de desinfectar, no solo “ponerlo en cuarentena”.

      Si tienes herramientas de este tipo, se pueden añadir “exlude” a la hora de ejectuarlos, para que no salten las hacktools.

      Aparte, para el correo viene bien, mucho spam con regalitos para Android, algunos de ellos, capaces de infectar sistemas Linux que estén en la misma red. Igual con algunas apps de Android.

  2. […] Securizando el sistema – Parte II febrero 23, 2014 […]

  3. userarch dice:

    el link “cómo detectar rootkits” arroja:
    Servidor no encontrado
    Firefox no puede encontrar el servidor en http://www.archeando.http.
    Excelente articulo, muchas gracias por compartirlo.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s