Luego de experimentar un poco, e ir adquiriendo algunos conocimientos básicos, querremos 'segurizar' un poco mas el servidor, ya que si lo ponemos en 'producción' no sería grato tener que lidiar con los 'chicos malos' a cada rato.

Uno de los pasos es el chkrootkit.

Este es un archivo que se ejecuta periódicamente en el servidor para verificar la 'sanidad' del mismo.
periódicamente, no significa que lo tenga que hacer uno, sino que un proceso denominado 'cron' ejecuta en días y horas prefijados este archivo, llamado desde otro denominado crontab.

Pero primero hemos de obtener la última versión disponible del chkrootkit. Para ello, vía FTP, bajamos de, por ejemplo, ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

# cd /var
# mkdir midir
# ftp://ftp.pangeia.com.br/pub/seg/pac/
# ftp ftp.pangeia.com.br
Connected to ftp.pangeia.com.br.
220 spliff FTP server (PFTP 0.13) ready.
Name (ftp.pangeia.com.br:root): anonymous
331 Guest login ok, send ident as password.
Password:tu@email.com
230 Guest login ok, access restrictions apply.
Remote system type is Windows_NT.
ftp> cd /pub/seg/pac
250 CWD command successful.
ftp> get chkrootkit.tar.gz

Una vez descargado, salimos del FTP con exit, y en el directorio /var/midir procedemos a extraerlo. Para ello, como el archivo fue comprimido ( por eso la extensión .gz ) y archivado como tar ( Tape ARchive ), utilizamos el comando tar de la siguiente forma:

# tar -xvzf chkrootkit.tar.gz

Por supuesto, si algo no cuadra, con el comando man tar, obtenemos la ayuda correspondiente.
Esto extrae los archivos al directorio /var/midir/chkrootkit y nos permite entonces compilarlo para poder ejecutarlo. Luego hacemos:

# make sense

Lo que nos da el archivo como ejecutable ( igualmente, no está mal leer el README que acompaña al chkrootkit ).
Este archivo debe ejecutarse como root por lo que usualmente lo corremos ( a ver si funciona ) así:

# ./chkrootkit

Si le agregamos -h detrás, nos indicará las opciones posibles de ejecutarse.

Pero para no volvernos locos y hacer esto día a día, ponemos en el crontab ( el Scheduler o Agenda de FreeBSD ) una línea para que corra solo.
Entonces, editamos el crontab y le agregamos la línea siguiente final:

# ee /etc/crontab

#minute hour mday month wday     who     command
#
*    /5     *     *     *     *     root     /usr/libexec/atrun
0     5     *     *     *     root     cd /var/midir/chkrootkit/chkrootkit-0.46a; ./chkrootkit -q 2>&1 | mail -s "Reporte Scaneo mwg1" tu@email.com

Cuidado, va todo en una sola línea; el email es donde uno desea recibir el reporte, y en este caso le indicamos que corra al minuto '0', de la hora '5' de todos (*) los días en todos (*) los meses, todos (*) los días de la semana, por medio de 'root', cambiando al directorio /var/midir/chkrootkit/chkrootkit-0.46a ( utilizar acá el directorio creado por el comando tar ), y lo hacemos correr en forma 'silenciosa' ( sufijo -q ) en la línea de comando.
Como siempre, man crontab despeja dudas.

Si en algún caso recibimos un mail con asunto 'Reporte Scaneo mwg1' con algo distinto de 'fxp0 is not promisc' -cuidado que fxp0 es mi placa de red, puede ser dc0 también u otro acorde la placa-, iniciemos una búsqueda URGENTE en la Web del 'troyano' o 'intruso' que ha atacado al servidor, el cual es indicado por el chkrootkit.

Como dije antes, esto es para empezar. No se queden con acá solamente, investiguen; hay sitios excelentes con gente infinitamente mas capacitada que lo que yo seré jamás, que dan muy buenos consejos y ayuda.

Algunos links:

Manuales en línea del FreeBSD en inglés  http://www.freebsd.org/cgi/man.cgi
Cómo 'asegurar' un FreeBSD http://geodsoft.com/howto/harden/OpenBSD/services.htm
Los Howto de FreeBSD http://freebsdhowtos.com/

Y es siempre conveniente suscribirse a alguna lista de correo donde podamos pedir ayuda y recibir buenos consejos.

Realizado por Andrés Gallo ( agallo@gesell.com.ar ) / Copyright © 2003-2004-2005 Cooperativa Telefónica de Villa Gesell Ltda.
Última modificación: 18 de Diciembre de 2005