Instalar LSM - Linux Socket Monitor (Centos)
LSM (Linux Socket Monitor) es un monitor que realiza un seguimiento de los sockets de red en Unix, y comprueba que no hayan modificado desde la ultima base de comparacion.
Basicamente es un comprobador de puertos que te avisa cuando han cambiado, esto es muy util para saber si se nos mete algun troyano u otro tipo de script que este emitiendo por los puertos sin permiso.
Para instalarlo y configurarlo vamos a seguir estos pasos:
1. Entramos en el SSH del servidor y creamos una carpeta con los siguientes comandos:
mkdir descargas cd descargas
2. Ahora descargamos el LSM y lo instalamos:
wget http://www.rfxn.com/downloads/lsm-current.tar.gz tar -xzf lsm-current.tar.gz cd lsm-0.6/ ./install.sh
3. Comprobamos que nos de un resultado como este:
.: LSM installed Install path: /usr/local/lsm Config path: /usr/local/lsm/conf.lsm Executable path: /usr/local/sbin/lsm LSM version 0.6 Copyright (C) 2004, R-fx Networks 2004, Ryan MacDonald This program may be freely redistributed under the terms of the GNU GPL generated base comparison files
4. Ahora vamos a configurar el LSM para que nos envie las alertas al correo electronico: Β (pueden usar algun editor de texto o directamente desde shell)
vi /usr/local/lsm/conf.lsm
Buscamos la siguiente fila y editamos USER y SUB(si modifican SUB no se olviden de ponerΒ $HOSTNAME para que nos avise de que servidor es la alerta enviada):
USER="TU_CORREO@DOMINIO.COM" # Alert email addresses SUB="!!Alerta LSM!! en $HOSTNAME" # Subject of email alerts
5. Ejecutamos la accion que queremos hacer:
βGenerar la Base de Comparacion:
/usr/local/sbin/lsm -g
βComprobar los Sockets actuales con los de la Base de Comparacion:
/usr/local/sbin/lsm -c
βEliminar los archivos de la Base de Comparacion:
/usr/local/sbin/lsm -d
Fuente1: R-fx Networks
Fuente2: blackonsole