Tiger crea informes sobre la seguridad de nuestro sistema
Tiger es un conjunto de más de 40 modulos con tests especificos para auditar nuestro sistema frente a posibles fallos de seguridad. Su objetivo principal es detectar modos de comprometer a root en nuestro sistema concreto. Aparte de crear algunos archivos nuevos con informes Tiger no cambia nada en el sistema, simplemente aconseja sobre que riesgos podemos estar sufriendo y deja los posibles arreglos al usuario. En cualquier caso permite tomar conciencia rápidamente de posibles errores o fallos en la administración de nuestros sistemas y a menudo nos indica como podemos solucionarlos.
Instalar:
# apt-get install tiger
* Si necesitamos auditar sistemas mixtos con otros sistemas operativos aparte de linux instalaremos asimismo el paquete tiger-otheros
Uso: (desde un terminal root)
# tiger
El programa empezará a realizar tests de seguridad, se tomará generosamente su tiempo y si no se le molesta acabará, digamos media hora despues, con una línea de tipo: «un informe de seguridad se ha escrito en /var/log/tiger/security.report.nombre_del_ordenador.fecha-hora_del_informe»
- Si no necesitamos correr todas las comprobaciones de seguridad podemos indicar específicamente que módulos debe de realizar y se saltará el resto, con lo que se gana bastante tiempo, de todas maneras la primera vez merece la pena dejarle que haga todos los tests (comportamiento por defecto)
- El informe de seguridad se escribe por defecto en /var/log/tiger, si queremos que lo escriba en otro directorio usamos: # tiger -l otrodirectorio
Una vez creado el informe podemos leerlo con less, more o nuestro editor favorito:
$ less /var/log/tiger/security.report.mipc.090707-13:30
Interpretación del informe:
Para conseguir interpretar los errores que encontraremos tenemos 3 opciones principalmente, la primera decirle que inserte los comentarios para todos y cada uno de los errores encontrado directamente en el informe con la opción tiger -e, (Esto hace el informe mucho más pesado de leer, ya que repite explicaciones si hay errores duplicados), la segunda crear un archivo aparte más condensado con las explicaciones (no repetidas) con tiger -E y la tercera preguntar sólo por los casos que nos interesen más con otro programa que viene en el paquete llamado tigexp. Para usarlo necesitamos saber el código de referencia de los fallos de seguridad estudiados por tiger. Cada anotación en el informe de seguridad lleva su correspondiente código entre corchetes [] basta con escribirlo después de tigexp y nos dará una breve explicación (en ingles) sobre el problema y algunas cosas que podemos hacer al respecto
Por ejemplo si en el informe hay una línea que ponga: --WARN-- [inet003w] The port for service … etc, podríamos escribir el comando
#tigexp inet003w
que nos devuelve una breve explicacion en inglés:
"The indicated port number is assigned to other service, this indicates either a misconfiguration in the services database, or a possible sign of an intrusion. This should be checked and corrected. If is not apparent why it is likethis, the system should be checked for other signs of intrusion"
Tiger clasifica por gravedad los errores que encuentra en 6 categorías, que son (de mayor a menor gravedad )
–ALERT–, –FAIL–, –WARN–; –ERROR– y –CONFIG–
- Alert y fail indican fallos de seguridad importantes en nuestro sistema que pueden llevar a intrusiones, los mensajes tipo warn son más corrientes y menos graves. Error y config indican posibles problemas en la configuración o uso del programa.
Esto permite usar grep directamente para filtrar los resultados del informe y echar un vistazo rápido
(por ejemplo $ less /var/log/tiger/security.report.mipc.090707-13:30 |grep ALERT )
Es importante que antes de seguir ciegamente las sugerencias del programa entendamos que estamos haciendo, especialmente si somos novatos o podemos tener problemas posteriormente. No todas las sugerencias son adecuadas a todos los tipos de usuarios y sistemas (algunas presuponen cierta habilidad del administrador para manejar el sistema posteriormente y si nuestro nivel es bajo pueden ser incluso contraproducentes). El programa en cualquier caso suele dar buenas pistas que nos permiten tener un punto de partida para investigar más a fondo por nuestra cuenta.
Fuente: http://www.esdebian.org