- Configurar Tripwire nada más instalar el sistema y guardar sus
resultados en un medio fiable; cada cierto tiempo, ejecutar Tripwire para
comparar sus resultados con los iniciales.
- Chequear periódicamente los logs en busca de actividades
sospechosas.
- Utilizar órdenes como ps, netstat o last para
detectar cualquier evento fuera de lo normal en el sistema, pero no confiar
ciegamente en los resultados que se nos muestran en pantalla: seamos paranoicos.
- Comprobar periódicamente la integridad de ficheros importantes de
nuestro sistema, como /etc/passwd, /etc/exports, /etc/syslog.conf, /etc/aliases o ficheros de arranque.
- Comprobar también elementos como los permisos o el propietario de los
ficheros que se encuentran en los directorios de usuarios.
© 2002 Antonio Villalón Huerta