Error Prelink Rkhunter

Si cuando Rkhunter nos envía los reportes diarios nos aparece este Warning y sí con el comando prelink /usr/bin/elinks no se soluciona, tenemos que ejecutar un par de instrucciones.

Si has actualizado el sistema con YUM seguramente tengas este problema. Si no es el caso tendrías que revisar el sistema.

Primero ejecutamos el comando prelink con el parámetro -a (chequeo de todos los ficheros) y -u (undo: revierte los binarios y librerias a su estado original)

En mi caso el fichero que se ejecuta el script se llama rkhunter1.sh

Por defecto rkhunter compara con sh1sum los hash de los ficheros y se comparan con el fichero /var/lib/rkhunter/db/rkhunter.dat

Habría que revisar el dato obtenido de ejecutar sha1sum:

con

 

Limitar aplicaciones que un usuario puede utilizar

Para limitar las aplicaciones que un usuario puede utilizar, si lo hemos metido en una jaula chroot, deberemos  modificar el contenido de la variable PATH en su .bash_profile

# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
PATH=$HOME/apps
export PATH

Creamos el directorio

Añadimos las aplicaciones a las que queramos dar acceso

Por último protegemos el fichero .bash_profile y resto de .bash, o bien cambiando los permisos y propietarios o bien haciéndolo inmutables.

O bien haciendolo inmutable:

Anular comando cd

Una forma de enjaular a un usuario en su /home cuando se conecta vía ssh, es anular el comando cd.

Esto tiene el inconveniente que se le impide moverse desde la consola por carpetas. Sólo se le permite interactuar en su /home.

Para ello editamos su .bash_profile

Continue reading

Enjaular usuario en sftp – ssh (Centos 7 y Centos 6)

Vamos a ver el proceso que se necesita seguir para enjaular a un usuario dentro de su home, si se conecta vía sftp. (OJO que sólo funciona a partir de Centos 6. En la mitad del artículo pueden ver como implementarlo en Centos antiguos)

Primero crearemos el usuario

Editamos el /etc/passwd para no permitirle hacer login (se hace sustituyendo /bin/bash por /sbin/nologin)

Continue reading