Para poder saber si un certificado fué generado con una determinada key, basta con ejecutar este comando con el .key y el .crt
Ambos comandos tienen que devolver el mismo hash.
Si difieren es que no se utilizo ese key para generar el crt.
Cuando en un entorno de producción se tienen muchos servidores web con certificados SSL y no somos ordenados y no disponemos de una agenda que nos indique cuando caducan, lo mejor es realizar un pequeño script que chequee estas caducidades y nos reporte un email.
En el caso que planteo, he indicado como fecha de aviso dos meses de antelación.
Primero debemos crear un fichero de texto en el que añadiremos los servidores:
Con este contenido (un servidor por línea)
Si cuando Rkhunter nos envía los reportes diarios nos aparece este Warning y sí con el comando prelink /usr/bin/elinks no se soluciona, tenemos que ejecutar un par de instrucciones.
Si has actualizado el sistema con YUM seguramente tengas este problema. Si no es el caso tendrías que revisar el sistema.
Primero ejecutamos el comando prelink con el parámetro -a (chequeo de todos los ficheros) y -u (undo: revierte los binarios y librerias a su estado original)
En mi caso el fichero que se ejecuta el script se llama rkhunter1.sh
Por defecto rkhunter compara con sh1sum los hash de los ficheros y se comparan con el fichero /var/lib/rkhunter/db/rkhunter.dat
Habría que revisar el dato obtenido de ejecutar sha1sum:
con
Para limitar las aplicaciones que un usuario puede utilizar, si lo hemos metido en una jaula chroot, deberemos modificar el contenido de la variable PATH en su .bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
PATH=$HOME/apps
export PATH
Creamos el directorio
Añadimos las aplicaciones a las que queramos dar acceso
Por último protegemos el fichero .bash_profile y resto de .bash, o bien cambiando los permisos y propietarios o bien haciéndolo inmutables.
O bien haciendolo inmutable:
Una forma de enjaular a un usuario en su /home cuando se conecta vía ssh, es anular el comando cd.
Esto tiene el inconveniente que se le impide moverse desde la consola por carpetas. Sólo se le permite interactuar en su /home.
Para ello editamos su .bash_profile