Se abbiamo un server piccolo o grande che sia, è necessario periodicamente fare dei test di sicurezza per vedere che il sistema non sia stato compromesso in qualche modo. In questo post volevo darvi qualche dritta. Assumiamo che, ad esempio, siate in un altra città e accedete via remoto (ssh).

Se vogliamo una lista dei programmi installati da comparare periodicamente per vedere se c’è qualcosa che non va basta digitare

dpkg –get-selections > lista.txt

e verrà salvata nel file lista.txt che sarà apribile o scaricabile in qualsiasi momento.

Per avere, invece, una lista di utenti abilitati nel server basta fare

cat /etc/passwd

qui si vede tutto, dagli utenti di sistema alle varie homes

Per vedere gli ultimi comandi eseguiti da qualsiasi utente digitare

w

in basso a destra c’è l’ultimo comando lanciato.

Per vedere il traffico di rete date un

sudo tcpdump -anvi eth0 not port 22

questo comando monitorizza tutto il traffico sulla eth0 (quella che va su internet) escludendo i pacchetti che generate voi via ssh. La v sta per un output di tipo “verbose”.

Per vedere se qualcuno ha fatto un attacco con qualche rootkit basta installare il programma chkrootkit e fare una scansione col comando

sudo chkrootkit

Per quanto riguarda la protezione sugli attacchi a bruteforce via ssh basta installare e configurare denyhosts.