Instalar LSM - Linux Socket Monitor (Centos)

LSM (Linux Socket Monitor) es un monitor que realiza un seguimiento de los sockets de red en Unix, y comprueba que no hayan modificado desde la ultima base de comparacion.

Basicamente es un comprobador de puertos que te avisa cuando han cambiado, esto es muy util para saber si se nos mete algun troyano u otro tipo de script que este emitiendo por los puertos sin permiso.



Para instalarlo y configurarlo vamos a seguir estos pasos:



1. Entramos en el SSH del servidor y creamos una carpeta con los siguientes comandos:

mkdir descargas
cd descargas



2. Ahora descargamos el LSM y lo instalamos:

wget http://www.rfxn.com/downloads/lsm-current.tar.gz
tar -xzf lsm-current.tar.gz
cd lsm-0.6/
./install.sh



3. Comprobamos que nos de un resultado como este:

.: LSM installed
Install path:    /usr/local/lsm
Config path:     /usr/local/lsm/conf.lsm
Executable path: /usr/local/sbin/lsm
LSM version 0.6
Copyright (C) 2004, R-fx Networks
          2004, Ryan MacDonald
This program may be freely redistributed under the terms of the GNU GPL

generated base comparison files



4. Ahora vamos a configurar el LSM para que nos envie las alertas al correo electronico: Β (pueden usar algun editor de texto o directamente desde shell)

vi /usr/local/lsm/conf.lsm

Buscamos la siguiente fila y editamos USER y SUB(si modifican SUB no se olviden de ponerΒ $HOSTNAME para que nos avise de que servidor es la alerta enviada):

USER="TU_CORREO@DOMINIO.COM"        # Alert email addresses
SUB="!!Alerta LSM!! en $HOSTNAME"   # Subject of email alerts



5. Ejecutamos la accion que queremos hacer:

–Generar la Base de Comparacion:

/usr/local/sbin/lsm -g


–Comprobar los Sockets actuales con los de la Base de Comparacion:

/usr/local/sbin/lsm -c


–Eliminar los archivos de la Base de Comparacion:

/usr/local/sbin/lsm -d



Fuente1: R-fx Networks

Fuente2: blackonsole