Jugando alrededor con PAM. Como se dijo en el articulo phrack 56 PAM , lo agradable con PAM es que "usted está limitado únicamente por lo que pueda pensar" es verdad, imagine la raíz del inicio de sesión únicamente posible con revisión de impresión o eyescan o cryptocard (porque yo aqui hago una conjunción OR y no AND).

Iniciación de sesión fascista. Yo diria que que todo lo que nosotros hemos hablado acerca de login es "un sueve inicio de sesión". si usted quiere ejecutar una sesión real, tome una impresora con papel fanfold y registre todo lo complicado para imprimir sobre el.Los sonidos divertidos, son confiables y no pueden ser removidos.

CD distribution. This idea is very easy to realize and offers pretty good security. Create a hardened Debian distribution, with proper firewall rules. Turn it into a boot-able ISO image, and burn it on a CDROM. Now you have a read-only distribution, with about 600 MB space for services. Just make sure all data that should get written is done over the network. It is impossible for intruders to get read/write access on this system, and any changes an intruder does make can be disabled with a reboot of the system.

El Switch de capacidad del modulo apagado. Cuando desconecta el uso de modulos del núcleo en un tiempo compilado del núcleo, muchos núcleo se basan en puertas traseras imposibles para poder implementarlas, ya que muchos de ellos estan basados en la instalación de modulos modificados del núcleo.

Entrando a través del cable serial (contribuido por Gaby Schilders). Dado que que los servidores aun tienen puertos en serie, imagínese tener una máquina de registro de bitácoras desconectada de su red en la mitad con un puerto serial multiplexor (antiquisimo o algo similar). Ahora todos sus servidores registrando a sus puertos seriales. Con sólo escritura. la máquina de registo únicamente acepta texto plano como entrada sobre sus puertos seriales y únicamente escribe en un archivo de registro. Enganche un cd/dvd writer. Cuando el registro del archivo está cerca de 600 MB lo copia al cd-rom. Ahora si pudieran hacer quemadoras con auto-cambiadores ... No copia tan dura como la impreosra, pero que puede manejar largos volúmenes y los cd no toman mucho espacio de almacenamiento.

Change file attributes using chattr (taken from the Tips-HOWTO, written by Jim Dennis). After a clean install and initial configuration, use the chattr program with the +i attribute to make files unmodifiable (the file cannot be deleted, renamed, linked or written to). Consider setting this attribute on all the files in /bin, /sbin/, /usr/bin, /usr/sbin, /usr/lib and the kernel files in root. You can also make a copy of all files in /etc/, using tar or the like, and mark the archive as immutable.

La razón para todo es limitar el daño que usted pueda ocasionar cuando se registyra como root. Usted no podra sobreescribir archivos con un desviado operador de redirecciones, usted no podra hacer del sitema algo inusual con un desviado espacio dentro de un comando rm -fr (usted puede permancer haciendo lo suficiente con los daños de sus datos - pero sus binarios y librerías estarán seguros).

Ésta también emplea una variedad de seguridad y rechazo de servicios de cualquier imposible explosión o algo de mayor dificultad (ya que muchos de ellos confian en sobre copiar archivos a través de las acciones de algun programa SUIDque no suministra arbitrariamente una interfase de comandos)

El único inconveniente de este es cuando se construye y se hace su make install sobre varias clases de sistemas binarios. Sobre la otra mano también previene la instalación desde los archivos sobre escritos. Cuando usted olvida leer el Makefile y chattr -i los archivos que pueden ser sobre escritos fallan con el make (y los directorios para los cuales usted necesita para añadir archivos), usted solo use el comando chattr y regrese. Usted también puede tener la oportuinidad de mover sus viejos bins, libs o lo que sea dentro de un old/directory o puede renombrar, marcar o lo que sea.

Note que esto lo previene de hacer una actualización de los paquetes de su sistema. Dado que los archivos que ellos suministran no pueden ser sobre escritos, y usted debe tener un mecanismo para desactivar la bandera de inmutable sobre todos los binarios antes de un apt-get update.

Play with UTP cabling in a way that you cut 2 or 4 wires and make the cable one-way traffic only. Then use UDP packets to send information to the destination machine which can act as a secure log server or a credit card storage system.