[LUG.ro] Backup con rsync

Gustavo Guillermo Pérez lugro@lugro.org.ar
Wed, 23 Feb 2005 15:08:49 +0000


El Martes, 22 de Febrero de 2005 17:18, Sebastián D. Criado escribió:
> Pero, ahora imaginemos esta situación.
> Alguien hace una intrusion al servidor y borra algunos archivos.
> Si se hace rsync con la opción --delete, cuando se haga el próximo backup,
> estos archivos se borraran del backup, con lo cual, los perdiste. Si no
> usamos --delete, el backup crecería tanto que nos ocupara el disco.
>
> Como les parece que se puede solucionar esto?
> Por supuesto que usando rsync

Bien, interesante, yo soy maniático de la seguridad y siempre me peleo con 
esto en los servidores que entrego, para evitar un intruso que por lo general 
usan wget, sh (y la verdad es muy poco probable que alguien haga la maldad de 
borrar un backup con rsync a menos que sea compañero de trabajo) hago cosas 
como estas:
Borro tar o lo renombro, borro gzip o lo renombro, hago que empiezen con 
letras que no tienen nada que ver, wget también porque es con lo que se 
descargan los troyanos en linux, y respecto a rsync, rsync es OpenSource así 
que se puede modificar el código fuente por supuesto donde las opciones 
--delete --delete-excluded  --delete-after las renombres, no en la función 
usage(); (quien sabe como se llame en rsync) que es la que enseña el listado 
de opciones, sino en la función o array de argumentos de esa manera solo uno 
sabe como se usa la opción borrar y cualquier intruso simplemente 
desconocería el comando, o se puede agregar un stub, una función que no hace 
nada solo para simular que se hizo, que es preferible a avisar que no se 
borró nada.

En el archivo de rsync, el "options.c" en la estructura poptOption hay una 
línea de tantas como esta:

 {"delete",           0,  POPT_ARG_NONE,   &delete_mode, 0, 0, 0 },

cambiarla por ejemplo por:

 {"borrar",           0,  POPT_ARG_NONE,   &delete_mode, 0, 0, 0 },

y compilar, con eso se tiene un binario especial, y poniéndole la fecha 
similar a los demás binarios debería ser suficiente para que nadie sospeche, 
eso acá con unos amigos lo hacemos siempre, incluso con wget, para pelear con 
intrusos, y ver los troyanos que bajan e instalan en el sistema linux.


Saludos.
-- 
Gustavo Guillermo Pérez
Compunauta uLinux
www.ulinux.tk