Archivo
Lanzamiento del libro GNU/Fácil
Instalar y Configurar la herramienta de monitoreo Cacti en Ubuntu 9.10(Karmic)Server
Cacti es una completa solución de graficado en red, diseñada para aprovechar el poder de almacenamiento y la funcionalidad de graficar que poseen las RRDtool. Esta herramienta, desarrollada en PHP, provee un pooler ágil, plantillas de gráficos avanzadas, múltiples métodos para la recopilación de datos, y manejo de usuarios. Tiene una interfaz de usuario fácil de usar, que resulta conveniente para instalaciones del tamaño de una LAN, así como también para redes complejas con cientos de dispositivos.
Características de Cacti
Si desea saber + acerca de cacti marque aquí
Instalar Cacti en Ubuntu 9.10 (Karmic) Server
Preparando el sistema
Primero usted tiene que asegurarse de tener instalado Ubuntu 9.10 LAMP server y luego instalar los siguientes paquetes.
sudo aptitude install php5 php5-gd php5-mysql
Instalar cacti usando el siguiente comando.
sudo aptitudet install cacti-spine
Esto iniciara la instalación de Cacti y le hará unas preguntas rápidas.
Configurar la opción libphp-adodb selectione OK para Continuar.
SOBRE LA SEGURIDAD DE LOS SERVIDORES DNS Y LA TOPOLOGÍA DE LA RED
Muchas veces, la seguridad no se obtiene teniendo la última versión de cada servicio corriendo en la DMZ, sino manteniendo una topología de red adecuada que minimize el impacto de cualquier 0-day que pueda surgir.
En concreto, vamos a fijarnos en este advisory del que es el DNS más usado, BIND:
BIND 9.5.2-P2 is a SECURITY PATCH for BIND 9.5.2. It addresses two potential cache poisoning vulnerabilities, both of which could allow a validating recursive nameserver to cache data which had not been authenticated or was invalid.
Como podéis leer, la vulnerabilidad es bastante importante (cahe poisoning, que significa que pueden sobreescribir registros del cache del servidor DNS) y requiere atención inmediata. Dicha vulnerabilidad, según explican, ha sido introducida en un parche que corrige vulnerabilidades anteriores.
En este artículo, vamos a repasar una posible forma de disponer los servidores DNS que minimiza el impacto de cualquier vulnerabilidad, en concreto la arriba mencionada.
Antes de empezar, notar que la instalación de un servidor DNS con BIND es totamente trivial. Puede hacerse en una máquina virtual que corra cualquier distribución linux en cuestión de segundos, y luego dicha VM puede copiarse/pegarse en otro servidor que corra, por ejemplo, VMware. El balanceo de las peticiones DNS puede hacerse en el firewall. Así pues, el trabajo para disponer de una buena infraestructura de resolución de nombres no es demasiado grande.
(1) Consultas DNS de la intranet
Todos los clientes de la intranet deben poder resolver peticiones no sólo de servidores internos sino también, por ejemplo en caso de que salgan por HTTP vía proxy, de direccones de internet, como pueda ser http://www.marca.com o http://www.elpais.es.
Deberemos tener un servidor DNS que salga a internet a hacer dichas peticiones, pero que no pueda consultarse desde internet. Es decir, nadie de internet debe poder hacer peticiones a este servidor.
(2) Consultas DNS desde la DMZ
Pueden usar el mismo servidor que la intranet. No hay necesidad de complicarlo más.
Leer más…
UN REPASO A LA SEGURIDAD DE LOS SERVIDORES LINUX – PARTE I
Vamos a darle un pequeño repaso a algunas medidas de seguridad básicas para un linux y a su aplicación real hoy en día. Como veremos, muchas de las cosas que se venden como «seguridad en servidores linux», han quedado obsoletas y no sirven para mucho.
Empezaremos por repasar algunos conceptos de los de toda la vida, como la búsqueda de ficheros setuidados y la deshabilitación de servicios innecesarios. Tras esto, le daremos un repaso a la importancia actual de estas medidas de seguridad en un entorno corporativo actual. Finalmente, hablaremos de las nuevas tendencias en seguridad.
(1) Puntos de montaje
Por defecto, FEDORA va a permitir la ejecución de archivos en /tmp/. Esto no es que sea muy grave, pero lo ideal sería montar /tmp en una partición aparte teniendo cuidado de ponerle los permisos adecuados:
/dev/sda4 /tmp ext3 defaults,nodev,noexec,nosuid 1,2
Que le dice a linux que no puedan crearse dispositvos, ni ejecutables ni archivos setuidados. Hoy en día, también hay que decirlo en honor a la verdad, estas cosas han quedado un tanto obsoletas. La seguridad de servidores se centra en las aplicaciones web y las bases de datos, y no en esto.
Leer más…
SEGURIDAD EN HOSTINGS COMPARTIDOS
1. EL PROBLEMA.
Uno de nuestros clientes tiene un servidor alojado en un hosting compartido de una empresa de USA. Su aplicación es el típico LAMP (linux+apache+mysql+php) que uno encuentra hoy en día en todas partes.
Pues bien, el problema es que, debido a un fallo en la validación de uno de los parámetros de entrada, es posible meterles sql-injection … y la web ha caído varias veces.
Y entonces, surge la pregunta, ¿qué puede hacer uno por securizar su aplicación en el caso de un hosting compartido?
2. POSIBLES SOLUCIONES.
Veamos las opciones que uno tendría normalmente y cómo afecta que sea un hosting compartido:
(1)instalar mod_security o Suhosin
Imposible. Mod_security es un módulo de apache y se necesita que la empresa que les alquila el hossting lo meta, lo cual puede resultar en problemas para otros clientes. Por otro lado, suhosin viene como parche para el php, que tampoco podemos aplicar por la misma razón.
(2) Hardening del php.ini
El php.ini que carga el LAMP al arrancar, localizado en /etc/php.ini, no lo podemos tocar, dado que tendría que ser el hosting quien lo haga. Podemos sugerirles que hagan cambios, pero siempre tienen la última palabra. Tenemos las manos atadas.
20 cosas que molestan de Ubuntu Karmic
Aunque me guste mucho Ubuntu, está muy lejos de ser una distribución perfecta. Lo demuestra una lista que han publicado en el blog Rocky Hillside en la que se incluyen 20 problemas que molestan al autor del post y que realmente pueden suponer un engorro para los ubunteros.
En dicha lista se incluyen cosas como los muchos problemas de Empathy -no es que me guste mucho este cliente de mensajería instantánea, y desde luego es una de las decisiones más erróneas de Canonical en mi opinión- pero también habla de problemas con la gestión multimedia o con Firefox, un navegador que no está del todo pulido en esta distro. Os recomiendo la lectura -quizá encontréis solución a vuestros problemas con Ubuntu 9.10- aquí.
SourceForge corta el acceso a Cuba, Irán, Siria, Corea del Norte y Sudán
«SourceForge, la fuente principal de multitud de proyectos de Open Source ha bloqueado el acceso a los países sobre los que EEUU tiene bloqueo (Cuba, Irán, Siria, Corea del Norte y Sudán) saltándose dos de las premisas de este tipo de software que según la definición de Open Source Initiative (OSI) que define el Software de código abierto: No discriminación contra personas o grupos y No discriminación contra campos de actividad. Esto ha sido un paso más de SourceForge ya que desde 2008, aunque se podía acceder y descargar desde estos países, se impedían las contribuciones. Si es un imperativo de las autoridades USA, ¿deberían haber buscado alternativas antes de cortar el acceso? ¿Deberían moverse los proyectos a otro lugar donde no se limite el acceso en función de leyes políticas norteamericanas? ¿Qué opináis?»
(Torificando redes)Anonimato con Tor, Privoxy y Squid
Tor (The Onion Router) es una implementación libre de un sistema de encaminamiento llamado onion routing que permite a sus usuarios comunicarse en Internet de manera anónima. Originado en el US Naval Research Laboratory y hasta noviembre de 2005 patrocinado por la Electronic Frontier Foundation, Tor es desarrollado por Roger Dingledine y Nick Mathewson junto con otros desarrolladores.
Tor provee un canal de comunicación anónimo y está diseñado para ser resistente a ataques de análisis de tráfico (traffic analysis). Por lo tanto, usando Tor es posible realizar una conexión a un equipo sin que este o ningún otro tenga posibilidad de conocer el número de IP de origen de la conexión.
Tor es usualmente combinado con Privoxy para acceder a páginas web de forma anónima y segura. Privoxy es un proxy HTTP diseñado para proteger la privacidad en la navegación de internet. La interfaz de Tor es un proxy SOCKS (usualmente en el puerto 9050).
En este manual les daré dos variantes para integrarlo a SQUID, la 1ra es la básica y la 2da es para cuando el squid es hijo de otro proxy.
Para las dos variantes instalaremos los paquetes correspondientes: tor, privoxy y squid, yo realicé esta instalación en Ubuntu 9.10 Karmic Koala y en los repos de esta versión ya no se encontraba el paquete tor, por lo que agregué los repos del server oficial de tor, no les explicaré la instalación con las fuentes para no alargar el manual, al que le interese mejor de esta forma lo pueden ver en las documentacion del sitio oficial.
Agregar en el sources.list
$sudo nano /etc/apt/sources.list
Esta línea
deb http://deb.torproject.org/torproject.org karmic main
Agregar las llaves de los repositorios
$ gpg --keyserver keys.gnupg.net --recv 886DDD89 $ gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add - $ sudo apt-get update
Actualizar el listado de paquetes
$sudo aptitude update
Instalar los siguientes paquetes
$sudo aptitude install tor privoxy squid
Luego de realizado estos pasos iremos a la 1ra variante.
Variante #1 (Básica)
Configurar el archivo de configuración del privoxy agregando la línea que le pongo + abajo:
$sudo nano /etc/privoxy/config
#fijar esta linea
forward-socks4a / localhost:9050 .
No olvidar el pto. final (es importante)
Leer más…
Mitnick: «En mi época, ‘hackeábamos’ por diversión. Hoy, por dinero»
En El País, Rosa Jiménez Cano cuenta El ‘hacker’ pionero alerta sobre la información personal depositada en las redes sociales:
«Encarcelado e incomunicado durante cinco años, Kevin Mitnick fue condenado, tras varias detenciones por parte del FBI, por su sucesiva afición a entrar en sitios donde supuestamente no debería. […] La polémica sobre lo que le motivó a traspasar tantas barreras sigue presente más de 30 años después. Sin rubor, ataja el tema: «Me metí porque era mi pasión, quería saber, conocer, ir más allá. En mi época, hackeábamos por diversión. Hoy es por dinero. Antes de mí, no se consideraba ni delito, no estaba tipificado. Las leyes se hicieron conmigo». Los aplausos de los campuseros se escucharon en todo el recinto».
Fuente | Barrapunto
Videotutoriales de Gimp en castellano
La diseñadora venezolana María “Tatica” Leando, que algunos podréis conocer por sus contribuciones a Fedora y por su presencia en Planet Fedora, está publicando en su blog una serie de videotutoriales sobre el editor de imágenes Gimp.
En los dos primeros números publicados nos enseñaba las herramientas básicas de selección, pero a partir del tercero ha cambiado el enfoque centrándose en ofrecer pequeños trucos: cómo realizar un blanqueamiento dental y cómo suavizar la piel. En teoría, si el proyecto va bien, todavía quedan 96 más, así que puede ser una forma interesante de aprender sobre este editor en sesiones de unos pocos minutos.
Podéis suscribiros a los videotutoriales mediante su feed RSS o acceder a los mismos desde su cuenta en blip.tv o en su blog. Sé que existen muchos videotutoriales por Internet, pero suelen estar todos en inglés. ¿Conocéis alguna iniciativa similar en castellano?
Fuente | Barrapunto
Translate Blog
Suscripciones
Sigueme en
Nos siguen desde:
Donde estoy:
Command Line 
Comentarios recientes