Archivo

Archive for 29 enero 2010

Lanzamiento del libro GNU/Fácil

Antonio Perpiñan Díaz nos cuenta «Antonio Perpiñan Díaz, de la Fundación Código Libre Dominicana, ha publicado una nueva versión de GNU/Fácil, una guía completa para introducir a los usuarios nuevos a GNU/Linux y en particular a la distribución más usada del momento, Ubuntu. El libro “GNU/Fácil” es una guía completa para nuevos usuarios del entorno gráfico de GNOME. Escrito con la intención de educar y bajo condiciones pedagógicas que se pueden prestar para un primer semestre de nivel básico y medio de la educación formal de jóvenes en los cursos de 6, 7, 8 y los niveles de educación media. El libro puede servir de introducción para los usuarios a los principios, teorías y practicas necesarias para empoderar a los potenciales nuevos usuarios y futuros administradores de sistemas».
Fuente | Barrapunto

Anuncios
Categorías:Linux, Software Libre Etiquetas: , , ,

Instalar y Configurar la herramienta de monitoreo Cacti en Ubuntu 9.10(Karmic)Server

Cacti es una completa solución de graficado en red, diseñada para aprovechar el poder de almacenamiento y la funcionalidad de graficar que poseen las RRDtool. Esta herramienta, desarrollada en PHP, provee un pooler ágil, plantillas de gráficos avanzadas, múltiples métodos para la recopilación de datos, y manejo de usuarios. Tiene una interfaz de usuario fácil de usar, que resulta conveniente para instalaciones del tamaño de una LAN, así como también para redes complejas con cientos de dispositivos.

Características de Cacti

Si desea saber + acerca de cacti marque aquí

Instalar Cacti en  Ubuntu 9.10 (Karmic) Server

Preparando el sistema

Primero usted tiene que asegurarse de tener instalado Ubuntu 9.10 LAMP server y luego instalar los siguientes paquetes.

sudo aptitude install php5 php5-gd php5-mysql

Instalar cacti usando el siguiente comando.

sudo aptitudet install cacti-spine

Esto iniciara la instalación de Cacti y le hará unas preguntas rápidas.

Configurar la opción libphp-adodb selectione OK para Continuar.

Leer más…

SOBRE LA SEGURIDAD DE LOS SERVIDORES DNS Y LA TOPOLOGÍA DE LA RED

Muchas veces, la seguridad no se obtiene teniendo la última versión de cada servicio corriendo en la DMZ, sino manteniendo una topología de red adecuada que minimize el impacto de cualquier 0-day que pueda surgir.

En concreto, vamos a fijarnos en este advisory del que es el DNS más usado, BIND:

BIND 9.5.2-P2 is a SECURITY PATCH for BIND 9.5.2. It addresses two potential cache poisoning vulnerabilities, both of which could allow a validating recursive nameserver to cache data which had not been authenticated or was invalid.

Como podéis leer, la vulnerabilidad es bastante importante (cahe poisoning, que significa que pueden sobreescribir registros del cache del servidor DNS) y requiere atención inmediata. Dicha vulnerabilidad, según explican, ha sido introducida en un parche que corrige vulnerabilidades anteriores.

En este artículo, vamos a repasar una posible forma de disponer los servidores DNS que minimiza el impacto de cualquier vulnerabilidad, en concreto la arriba mencionada.

Antes de empezar, notar que la instalación de un servidor DNS con BIND es totamente trivial. Puede hacerse en una máquina virtual que corra cualquier distribución linux en cuestión de segundos, y luego dicha VM puede copiarse/pegarse en otro servidor que corra, por ejemplo, VMware. El balanceo de las peticiones DNS puede hacerse en el firewall. Así pues, el trabajo para disponer de una buena infraestructura de resolución de nombres no es demasiado grande.

(1) Consultas DNS de la intranet

Todos los clientes de la intranet deben poder resolver peticiones no sólo de servidores internos sino también, por ejemplo en caso de que salgan por HTTP vía proxy, de direccones de internet, como pueda ser http://www.marca.com o http://www.elpais.es.

Deberemos tener un servidor DNS que salga a internet a hacer dichas peticiones, pero que no pueda consultarse desde internet. Es decir, nadie de internet debe poder hacer peticiones a este servidor.

(2) Consultas DNS desde la DMZ

Pueden usar el mismo servidor que la intranet. No hay necesidad de complicarlo más.
Leer más…

Categorías:Linux, Redes, Seguridad Etiquetas: , , , ,

UN REPASO A LA SEGURIDAD DE LOS SERVIDORES LINUX – PARTE I

Vamos a darle un pequeño repaso a algunas medidas de seguridad básicas para un linux y a su aplicación real hoy en día. Como veremos, muchas de las cosas que se venden como “seguridad en servidores linux”, han quedado obsoletas y no sirven para mucho.

Empezaremos por repasar algunos conceptos de los de toda la vida, como la búsqueda de ficheros setuidados y la deshabilitación de servicios innecesarios. Tras esto, le daremos un repaso a la importancia actual de estas medidas de seguridad en un entorno corporativo actual. Finalmente, hablaremos de las nuevas tendencias en seguridad.

(1) Puntos de montaje

Por defecto, FEDORA va a permitir la ejecución de archivos en /tmp/. Esto no es que sea muy grave, pero lo ideal sería montar /tmp en una partición aparte teniendo cuidado de ponerle los permisos adecuados:

/dev/sda4 /tmp ext3 defaults,nodev,noexec,nosuid 1,2

Que le dice a linux que no puedan crearse dispositvos, ni ejecutables ni archivos setuidados. Hoy en día, también hay que decirlo en honor a la verdad, estas cosas han quedado un tanto obsoletas. La seguridad de servidores se centra en las aplicaciones web y las bases de datos, y no en esto.
Leer más…

Categorías:Linux, Redes, Seguridad Etiquetas: , , ,

SEGURIDAD EN HOSTINGS COMPARTIDOS

1. EL PROBLEMA.

Uno de nuestros clientes tiene un servidor alojado en un hosting compartido de una empresa de USA. Su aplicación es el típico LAMP (linux+apache+mysql+php) que uno encuentra hoy en día en todas partes.

Pues bien, el problema es que, debido a un fallo en la validación de uno de los parámetros de entrada, es posible meterles sql-injection … y la web ha caído varias veces.

Y entonces, surge la pregunta, ¿qué puede hacer uno por securizar su aplicación en el caso de un hosting compartido?

2. POSIBLES SOLUCIONES.

Veamos las opciones que uno tendría normalmente y cómo afecta que sea un hosting compartido:

(1)instalar mod_security o Suhosin

Imposible. Mod_security es un módulo de apache y se necesita que la empresa que les alquila el hossting lo meta, lo cual puede resultar en problemas para otros clientes. Por otro lado, suhosin viene como parche para el php, que tampoco podemos aplicar por la misma razón.

(2) Hardening del php.ini

El php.ini que carga el LAMP al arrancar, localizado en /etc/php.ini, no lo podemos tocar, dado que tendría que ser el hosting quien lo haga. Podemos sugerirles que hagan cambios, pero siempre tienen la última palabra. Tenemos las manos atadas.

Leer más…

Categorías:Redes, Seguridad Etiquetas: , , ,

20 cosas que molestan de Ubuntu Karmic

Aunque me guste mucho Ubuntu, está muy lejos de ser una distribución perfecta. Lo demuestra una lista que han publicado en el blog Rocky Hillside en la que se incluyen 20 problemas que molestan al autor del post y que realmente pueden suponer un engorro para los ubunteros.

En dicha lista se incluyen cosas como los muchos problemas de Empathy -no es que me guste mucho este cliente de mensajería instantánea, y desde luego es una de las decisiones más erróneas de Canonical en mi opinión- pero también habla de problemas con la gestión multimedia o con Firefox, un navegador que no está del todo pulido en esta distro. Os recomiendo la lectura -quizá encontréis solución a vuestros problemas con Ubuntu 9.10- aquí.

Categorías:Karmic, Linux, Ubuntu Etiquetas: , ,

SourceForge corta el acceso a Cuba, Irán, Siria, Corea del Norte y Sudán

«SourceForge, la fuente principal de multitud de proyectos de Open Source ha bloqueado el acceso a los países sobre los que EEUU tiene bloqueo (Cuba, Irán, Siria, Corea del Norte y Sudán) saltándose dos de las premisas de este tipo de software que según la definición de Open Source Initiative (OSI) que define el Software de código abierto: No discriminación contra personas o grupos y No discriminación contra campos de actividad. Esto ha sido un paso más de SourceForge ya que desde 2008, aunque se podía acceder y descargar desde estos países, se impedían las contribuciones. Si es un imperativo de las autoridades USA, ¿deberían haber buscado alternativas antes de cortar el acceso? ¿Deberían moverse los proyectos a otro lugar donde no se limite el acceso en función de leyes políticas norteamericanas? ¿Qué opináis?»