Feeds:
Entrades
Comentaris

Posts Tagged ‘SysAdmin’

 Globus 40 aniversariUn 9 de setembre de fa 40 anys, arribà a Barcelona  una curiositat de la natura, un element digne d’estudi, una joieta vaja!

Nascut a vesprades, de mida, pes i formes normals amb una aparença afortunada (segons la mare… clar!) començava l’aventura d’aquell jove xicotet. Amb actitud tranquil·la i satisfeta creixia al costat del seu germà i germana menors, als quals manegava a plaer ja que el seu físic li ho permetia: Passaven els anys a la granja on vivien tots, un lloc carregat de natura, bitxos, animals, espai per correr i jugar.  Entre guixos mèdics, venes i punts quirúrgics empenyien dies, setmanes, mesos i anys en tranquil·litat, tret dels crits, càstigs i rabietes adolescents altrament normals per l’edat.

Transcorre la infància i adolescència al camp, en plena natura, anar a escola a un poblet on a la classe més gran hi havia 25  alumnes  trobo que va ser el gran encert dels meus pares. Allà varem aprendre a correr sense por, a jugar sense ansies ni intimidacions, a observar la natura cada dia en obrir la finestra; Allà vam saber el que és el fred o quedar-se aïllats més de 7 dies a causa d’una nevada (en aquesta vaig fer els meus primers slaloms), les excursions amb bici per les muntanyes de la zona o les que fèiem en moto…  Allà vaig créixer, allà em varen formar en els valors que ara vists amb distancia, no son pitjors dels que he vist a altres bandes; Allà va ser on m’ensenyaren que la curiositat per aprendre altres coses no  és dolenta. Va ser allà on em vaig fer un home!

Tanta era la meva devoció al camp que vaig creure que m’aniria bé passar-me 2 anys internat en un cole dedicat a formar persones de camp i fidels creients d’un dogma sectari Católico-Romà que va ser clau per a la meva incipient rebel·lia, tan personal com política, això i els 4 mesos que em vaig passar a França; Que tot sigui dit… per a un noi de 16 anys era un altre mon.

Vaig passar de ser un noi de “corral” a ser un revolucionari exaltat. Era capaç de discutir l’existència de la trinitat amb el mateix papa o la necessitat d’agafar les armes i muntar una guerrilla per desfer-nos de jou capitalista atentant contra tot allò que consideràvem imperialista, patriarcal, feixista, etc…  D’aquella època conservo els amics i la ideologia, una mica matisada per l’edat i el sentit comú però en el fons tan guerrillera com aleshores. També va ser l’època del descobriment de les drogues, a les quals ara mateix no tinc cap mena d’apreci ja sigui per afartament o simplement perquè no m’aporten res remarcable al llarg del temps. D’aquelles dates recordo les festasses, concerts, festivals, mani-festacions, etc, en les quals algun que altre excés vaig cometre. Però bé, una època que recordo amb gratitud i somriures.  Passada l’etapa “pueblerina” vaig marxar a viure a un altre poble no gaire més gran però capital de comarca. Allà la meva vida canviarà tan políticament com personalment. Abans d’això, i coincidint amb la majoria d’edat vaig passar una temporada a Barcelona amb l’excusa d’estudiar i on l’únic que vaig fer va ser… res! Sortia de dilluns a diumenge i tornava a començar. Va ser allà on vaig descobrir la vida a ciutat, una vida plena de coses insubstancials  buides i solitàries tot i estar rodejat per més de 1 mílio de persones.

20 i pico anys llargs, amo i senyor del meu futur, amb feina estable i l’agradable sensació de poder amb tot, fins i tot amb la recentment iniciada carrera de Sociologia. Ja era hora d’encaminar la meva vida cap a quelcom que m’aportés més que borratxeres i falses felicitats. Vaig començar a implicar-me encara més en la política guerrillera, els caps de setmana no només eren per sortir de festa sino per a militar activament en actes polítics, fer excursions  i viatges a llocs emblemàtics, conèixer i reconèixer altres realitats, etc.

Però just a la cresta… Catapum, un accident em deixa de per vida en cadira de rodes. Tothom em diu que si l’hi hagués passat a ell/ella seria un daltabaix i que no podria sortir-sen… I que voleu que us digui… clar que si que és un daltabaix però de sortir-ne, tothom s’ensurt, no hi ha cap més remei si vols tenir vida pròpia. Allò va suposar tornar altre cop a Barcelona per temes de recuperació i mandangues mentals varies, les quals em deien que seria millor la vida que m’esperava a nivell adaptatiu i d’accessibilitat. Allà vaig comprendre que el que no volia ser era Sociòleg i vaig canviar de carrera (Telecos + Empresarials) l’una amb mes sort que l’altre. Barcelona m’avorria i la veritat és que el que t’incapacita es la mentalitat paternalista del que t’ho facin tot i t’ajudin a tot. Si tu mateix creus que no pots fer una o altra cosa de segur que acabaràs sense fer-les i Barcelona es una ciutat com qualsevol altre, pensades per a gent sense cap diversitat física, sensorial o intelectual. Per tan… que més feia viure a BCN o a Vilafranca, els problemes serien a tot arreu i només jo podia enfrontar-los. Vaig canviar de residència i ciutat, vaig muntar la que seria el primer WISP de l’estat (WirelessInternet Service Provider) avançant-me 4 anys a tots els altres negocis que per altra banda encara aguanten, cosa que el meu no. Encara bo que vaig adquirir coneixements que em permeten dedicar-me a aquest sector encara avui dia.  Vaig canviar la militància política per la militància en plan (Acción Mutante) i en una de les coses en que col·laborava vaig coneixer la que es avui dia mare del meu fill i companya. Ja portem 6 anys junts i no podria estar millor.

Els 3 de Cal Rojo

Ja ho veieu… mitja vida en poc més de 900 paraules. La veritat es que no ha estat malament del tot, no canviaria res del que he viscut i més des de aquell dia en que vaig ser conscient que viure era aprofitar les bones estones, gaudir de les persones i deixar passar els patiments.

Salut i alegria que son 2 dies!

Read Full Post »

SECURIZACIÓN DE UN SERVIDOR LAMP

1. INTRODUCCIÓN.

En este artículo, vamos a hablar de cómo securizar un servidor LAMP (apache+php+mysql). El artículo se complementa con el que escribimos sobresecurización de un servidor Joomla en su momento.

2. ¿POR QUÉ CAEN LOS SERVIDORES LAMP?

Para cualquiera que esté al tanto de los últimos exploits que salen, por ejemplo en milw0rm, resulta obvio que el mayor problema hoy en día de los servidores LAMP es la continua aparición de sql-injection. De hecho, tenemos más o menos uno a la semana sólo para Joomla, por ejemplo éste es el último que ha salido a día de hoy.

Debemos por lo tanto asumir que, sea cual sea el tipo de LAMP que tenemos (tienda online, gestor de contenidos, …), van a aparecer 0-days día tras día y que, seguramente, no vamos a tener tiempo para parchear nuestro servidor con tanta frecuencia. Así pues, es importante SECURIZAR EL SERVIDOR.

Además, los LAMP, y esto incluye el 99% de ellos, grandes empresas incluídas, tienen un problema dediseño muy grave: la aplicación web y el servidor de la base de datos (mysql) comparten servidor. Esto quiere decir que un usuario que consiga inyectar queries en la web va a tener acceso local a nuestro servidor de bases de datos, y muchas veces esto lleva a comprometer totalmente el servidor, robar tarjetas de crédito, etc…

3. REPASO DE LA SECURIZACIÓN DE SERVIDORES LAMP.

Veamos los pasos a tomar para conseguir un LAMP realmente seguro:

3.1. La aplicación web y el servidor de base de datos no deben compartir servidor: esto puede conseguirse facilmente virtualizando los servidores, por ejemplo convmware. Si bien es cierto que consumismos más recursos, la separación de privilegios es esencial para securizar nuestros servidores.

3.2. Securización de mysql: aparte de las medidas que comentábamos en su día, es importante que la aplicación web disponga de un usuario con privilegios limitados, por ejemplo sólo lectura o bien sólo para ejecutar STORED PROCEDURES, que es una forma de controlar las llamadas a nuestra base de datos muy eficiente.

3.3. Securización del apache/php: ya hablamos en su momento de la importancia de tener una sólida configuración del php, para evitar inyecciones de código, LFI, RFI, …

3.4. Instalación de modsecurity: muchos de los problemas que podamos tener debido a la aparición de 0-days no serán explotables, al menos no de una forma fácil, si tenemos este excelente IDS.

3.5. Logs remotos: idealmente, deberemos guardar nuestros logs en un servidor remoto donde podamos examinar y correlar todos los eventos de seguridad. Una solución open source para esto, de la que ya hemos hablado en más de una ocasión, es OSSEC.

3.6. Instalación de un HIDS (Host IDS) que monitorize tanto nuestro servidor web como nuestro servidor de bases de datos. De nuevo, debemos referirnos aOSSEC.

3.7. Backups, plan de contingencias, búsqueda de eventos “raros” en los logs de la aplicación,… Nunca hablamos de estas cosas pero, por supuesto, tienen que hacerse y son críticas.

4. CONCLUSIONES.

En este artículo, hemos dado un repaso al principal problema que hay hoy en día con los servidores LAMP, realmente algo muy a tener en cuenta considerando el número de gestores de contenidos de importantes empresas y tiendas online que usan este tipo de entornos.

5. REFERENCIAS:

Defensive Mysql
Lamp security through virtualization

Via: http://hacking-avanzado.blogspot.com

Read Full Post »

Ara fa 28 anys…

YA SE COMERCIAliZAN LOS ORDE
NADORES DOMESTICOS. — IBM amincía
el lanzamiento de su primera ga.
ma de ordenadores domésticos que
serán comercializados a partir del mes
de octubre y cuyo costo por unidad
será de 1.565 a 6.000 dólares. E! mo
delo de bese comprende un teclado que
puede conectarse a un aparato de
televIsión y dispone de una cápacidad
de 16.384 caracteres.

La Vanguardia (14/08/1981)

http://hemeroteca.lavanguardia.es/preview/1981/08/14/pagina-19/32935813/pdf.html?search=IBM

YA SE COMERCIALIZAN LOS ORDENADORES DOMESTICOS.

— IBM anuncía el lanzamiento de su primera gama de ordenadores domésticos que serán comercializados a partir del mes de octubre y cuyo costo por unidad será de 1.565 a 6.000 dólares.

El modelo de base comprende un teclado que puede conectarse a un aparato de televisión y dispone de una cápacidad de 16.384 caracteres.

Read Full Post »

BotHunter es una herramienta pasiva de supervisión de red, diseñada para reconocer los patrones de comunicación de computadoras infectadas por malware dentro de un perímetro de red.

BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware. BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infección del malware:

  • Exploración del anfitrión.
  • Uso de exploit de ataque.
  • Transferencia del software de control al sistema anfitrión.
  • Diálogo del malware con el servidor C&C, encargado de la coordinación y control del mismo.
  • Propagación del malware atacando otros host de la red.
  • Comunicación con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC).

Después de comparar estas acciones con los patrones de infección que tiene en su base de datos, si coincide, es detectada como infección. Entonces BotHunter realiza un informe detallado con todos los acontecimientos y fuentes que desempeñaron un papel durante el proceso de la infección.

BotHunter es gratuito y está disponible para las plataformas:

  • Windows XP/Vista/2003 Server 32 y 64.
  • Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE.
  • FreeBSD, probado en la versión 7.2.
  • Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.

BotHunter no es solo una herramienta ideal para la detección de ordenadores zombis en redes locales, también sirve para investigar las fases de infección del malware.

Más información y descarga de BotHunter:
http://www.bothunter.net/

Ordenadores zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html

FUENTE:
http://vtroger.blogspot.com/2009/08/detectar-ordenadores-zombis-en-la-red.html

Read Full Post »

En la meva recent historia laboral, una de les meves responsabilitats va ser exercir d’Analista Funcional a una distribuidora de telecomunicacions amb uns greus deficits de gestió interna. La gestió interna era aixi de desastrossa degut a que la multinacional de la qual eren distribuidors ja els hi facilitava les eines del negoci. EN canvi les eines per gestionar tan el capital humà com el KnowHow del negoci estaba basada en la gestió personal del propi empresari i delegats. A mida que l’empresa anava creixent els deficits s’aguditzaven. Una de les tasques que em van encomanar va ser la de instaurar una politica central de gestió del capital humà. Així que vaig decidir reorganitzar el departament i instaurar un ERP com a eina gestionadora.

Aquesta guia, juntament amb d’altres va ajudar moltissim.

Hoja de ruta para implementar un ERP

(Daniel M. Aisemberg – Director de EVALUANDO ERP (www.evaluandoerp.com))

Varias organizaciones mejoraron su productividad, estructura de costos y cultura organizacional al implementar un ERP, es decir una herramienta de planeamiento de recursos empresariales o sistema de gestión empresarial. Sin embargo, también hubo muchas que sub estimaron los riesgos de un proyecto de implementación de software empresarial. Esta nota es una recopilación de trabajos de investigación que estudiaron los puntos clave para maximizar los beneficios del ERP y minimizar los riesgos de su implementación. El propósito de la hoja de ruta es conseguir un proyecto exitoso.

Las organizaciones necesitan integración interna y colaboración externa para aumentar sus chances de sobrevivir en el competitivo mercado global. Los ERP, el software empresarial o las herramientas de planeamiento de recursos empresariales o sistema de gestión, son una de las bases para satisfacer ese requerimiento de mercado y para modelar el futuro de la compañía. Hay varios estudios sobre el ciclo de vida del ERP, aunque cada uno hace una descripción diferente del tema, la mayoría coincide en los elementos claves con un orden similar. De acuerdo a esos estudios el ciclo de vida del ERP puede ser clasificado en 4 etapas:

Las mismas fuentes consignan que los factores comunes que conducen el proceso de implementación del ERP son 4:

  • Gerenciamiento de la información.
  • Procesos de re ingenieria conocidos como BPR (Business Process Reenginering).
  • Gerenciamiento de proyectos (Project Management).
  • Gerenciamiento del Cambio (Change Management).

Gerenciamiento de la información en proyecto ERP

La selección del “vendedor” del ERP es un tema crítico dentro del rubro de gerenciamiento de la información. Hay muchos productos cada uno con su filosofía de negocio. Sin ir más lejos, en el Directorio de Empresas de Evaluando ERP puede encontrar casi 40 productos diferentes con foco en América Latina.

Cada empresa tiene diferentes objetivos al tomar la decisión de implementar un ERP y, sin embargo, le es muy difícil definir los criterios objetivos por los cuáles decidir por un paquete de software, una firma proveedora y un implementador del sistema de gestión.

Una ayuda puede ser la herramienta de Evaluación de Evaluando ERP.

Reingeniería de procesos de negocios (BPR)

La reingeniería de procesos es un abordaje holístico que puede brindar un vínculo entre la estrategia competitiva de una organización con su gente y con los procesos.

Este enlace se mejora usando la tecnología de información y comunicaciones. La diferencia de la reingeniería de procesos de otros abordajes es que BPR cambia radicalmente el modo en que una organización trabaja. Se consiguen importantes mejoras aunque es muy difícil una buena ejecución.

El ERP es un habilitar clave para BPR por su inclusión de “la mejores prácticas” las que, a largo plazo, son estructuradas por los vendedores de ERP mediante la acumulación de conocimiento.

La característica fundamental de BPR puede entenderse con claridad sin se comprara con otra práctica conocida como Total Quality Management (TQM). Mientras la reingeniería de procesos consiste en la implementación de un cambio radical de una sola vez para obtener un gran resultado, el TQM es un proceso de mejora continua que nunca termina.

Aspectos

BPR

TQM

Origen

Estados Unidos

Estados Unidos/ Japón

Objetivos

Mejoras en costos, calidad, servicios. Velocidad, información organizacional

Mejorar la calidad

Motivo de la implementación

Presiones de mercado y medición proactiva

Presiones de mercado

Abordaje para el cambio

Revolucionario/ rápido

Continuo/ Gradual

Estilo de liderazgo

Agresivo, autocrático

Visionario, transformacional

Rol de los empleados

Importante en las etapas finales

Crucial desde el inicio

Implementación

De arriba hacia abajo

De arriba hacia abajo y de abajo hacia arriba

Mediciones

Racionales/ objetivas

Racionales/ objetivas

Lenguaje

Agresivo/ Desafía las obviedades

Cuida las obviedades

Information Technology (IT)

Crucial

Secundaria

Cambios que se requieren

Cultural y estructural

Cultural

Punto de inicio o partida

Borrar lo existente

Procesos existentes

Riesgo

Alto

Moderado

Gerenciamiento de Proyectos

El gerenciamiento de proyectos incluye el planeamiento, organización, dirección, control de las actividades y motivación de lo que se considera el más caro de los recursos de un proyecto: La gente, las personas. Esto significa que se deberá tomar una firme posición para:

Por ejemplo, el uso de un diagrama de Gantt puede ayudar a observar los progresos del proyecto y compartir objetivos en común. Muchos implementadores de ERP usan el diagrama de Gantt como una herramienta de soporte para evaluar los avances.

Elegir el equipo de proyecto y el líder es crítico para el éxito de la función de gerenciamiento y administración. La selección debería basarse en la capacidad de los individuos para manejar los recursos, el tiempo, con una alta motivación y con mente abierta para las tareas que atañen a funciones horizontales.

Gerenciamiento del Cambio (Change Management)

Davenport define a los recursos humanos como uno de los mayores habilitadores de cambios radicales.

Las empresas se construyen y funcionan con personas, y por eso es difícil excluirlas de los cambios organizacionales. Uno de los errores más comunes en los que a menudo caen la compañías es concentrarse mucho en las mediciones “hard” y prestar poca atención a temas no tan fáciles de medir, como por ejemplo, actitudes, valores, sentimientos y puntos de vista.

El cambio organizacional se relaciona con los recursos humanos para aumentar las ganancias y reducir los riesgos de la reingeniería de procesos. El éxito de un proyecto de reingeniería normalmente incluye un programa de cambio para considerar los aspectos de las personas.

La estrategia de recursos humanos consiste en tres aspectos:

  • Cultura: incluye comportamientos, sistemas, procedimientos, políticas y procedimientos.
  • Personas: comprende el poder de auto gestión y personal de soporte para permitir a todos los niveles participar en el cambio.
  • Estructura organizacional: considera el mejor estilo organizacional para maximizar el talento, conocimiento y la utilización de recursos.

Una de las dificultades de los recursos humanos en una implementación de ERP es la brecha entre los que apoyan el cambio y quienes se resisten.

Mientras la reingeniería es descripta con una mala reputación porque se enfoca en los despidos y fuerza los retiros para aumentar las ganancias, no todos los miembros de una empresa aprecian los beneficios de una implementación de ERP.

Resumen de aspectos teóricos

Los factores de la implementación de un ERP que fueron encontrados en diferente material bibliográfico pueden verse solicitando el documento “Hoja de ruta para implementar un ERP”. Los tres riesgos más importantes (técnicos, de negocios y organizacionales) pueden manejarse mediante aptitudes de liderazgo, gerenciamiento de proyecto, administración de recursos y de tiempo. Cada gerente tiene diferentes elementos para planear, ejecutar, monitorear y reforzar el concepto de obtener una implementación de ERP exitosa y un proceso de cambio con el mismo resultado.

Para la literatura, la hoja de ruta puede verse en la figura que se incluyó en el documento “Hoja de ruta para implementar un ERP”. El proceso consiste en 4 pasos y puntos de control en las áreas claves:

  • Re ingeniería de procesos.
  • Gerenciamiento del proyecto.
  • Gerenciamiento del Cambio (Change Management)
  • Administración del sistema de información.

Conclusiones

  • Las aplicaciones de ERP seguirán creciendo y floreciendo, especialmente en la dirección de las tecnologías de movilidad.
  • Hay varios factores críticos para conseguir una implementación exitosa.
  • Sin embargo, el punto de inicio para la implementación de un sistema de gestión empresarial debería comenzar por recordar que hay muchas compañías que no alcanzaron los beneficios que esperaban del ERP. Algunas, incluso, estuvieron cerca de la bancarrota cuando se embarcaron en proyectos faraónicos de implementación y fallaron.
  • Las empresas deberían poner los máximos esfuerzos cuando se lanzan a un proyecto de implementación de software de gestión empresarial. Son necesarios y esenciales el liderazgo y compromiso gerencial para controlar y ganar fieles al proyecto.
  • La obtención de recursos apropiados y del mejor equipo que pueda entender de qué se trata el proyecto es una de las tareas claves y difíciles.
  • Para una estructuración lógica, efectiva y eficiente, no es malo recurrir al asesoramiento de consultores aún cuando sean provistos por los propios fabricantes del software o por sus implementadores.
  • Cada empresa debe tener su estrategia y táctica de proyecto. No hay una solución de aplicación universal.
  • La “Hoja de ruta para implementar un ERP” es un documento con las recomendaciones fundamentales para una implementación exitosa.
  • En la fase más temprana de la preparación, se deberían confirmar las respuestas a las siguientes preguntas:
    • ¿Qué procesos tiene el negocio?
    • ¿Cómo queremos que sean esos procesos?
    • ¿Cómo contribuirá el ERP al proceso de cambio?
    • ¿Cuál será el impacto de implementar un ERP?
    • ¿Cómo reducir el impacto negativo?
    • Mejor y más preparación es clave para ganar más en el proyecto.

www.evaluandoerp.com

Read Full Post »

Quina calor!, això es el que he estat pensant la majoria de la tarda davant l’ordinador. D’aquesta manera no hi ha qui treballi, resulta que he estat tota la tarda intentant solucionar uns problemes de servidor ( el maleit QoS d’un server troncal que s’ha posat a fer el boig i a gestionar cues de clients no existents) i per culpa de la calor no podia concentrar-me, s’enganxaven els braços a la taula el front i l’esquena em xorrejaven, etc…

Que vol dir això?, dons que a partir de dilluns, les tardes me les passaré a la piscina.

piscina

tinc aquest finde per buscar-me la vida per el tema de Internet mòbil. Algun consell?

Read Full Post »

INSTALANDO UN SERVIDOR SSH SECURIZADO

INSTALANDO UN SERVIDOR SSH SECURIZADO

1. INTRODUCCIÓN.

Uno de nuestros clientes nos ha pedido que le instalemos, con urgencia, un servidor de ssh securizado, teniendo en cuenta que va a estar “abierto a internet”, ni siquiera un triste firewall delante. Dicho servidor se usará como “puerta trasera” para acceder a ciertos servicios en caso de caída del firewall. Un poco rebuscado, pero es lo que han decidido … Mientras lo voy preparando, voy a aprovechar para explicar las medidas a adoptar.

Con lo feliz que estaba yo poniendo en producción mi IPS …

2. INSTALANDO EL SERVIDOR.

El servidor dará el servicio VPN para alcanzar ciertos servidores de la empresa. Hay un firewall detrás del servidor, pero no hay nada delante. VPN, en principio, puede considerarse un servicio seguro. Eso sí, el software de vpn es considerablemente más complicado que el de ssh, así que he decidido que voy a poner un servidor de ssh y que, una vez loggeado, root levantará el software de vpn.

Si recordáis, mis temores no son infundados. Hace poco tiempo hubo una vulnerabilidad gravísima que permitía sacar todos los certificados hechos con ciertas versiones del openssl (openssl — predictable random number generator).

Lo primero es elegir el sistema operativo que, por supuesto, NO va a ser windows. Si bien es cierto que los BSD’s son los más seguros que el resto de *nix, también lo es que son un poco latazo de configurar. Y como nosotros queremos que el servidor esté configurado en una tarde (bueno, yo no, pero los que mandan sí), y que podamos arreglar cualquier inconveniente en segundos e instalar software adicional (openvpn), vamos a elegir un RHE5, última versión.

3. DESHABILITAR SERVICIOS.

Lo primero será deshabilitar todos los servicios innecesarios. Aparte de poner IPTABLES es importante que ningún servicio esté escuchando en las interfaces de red, ya que un descuido podría ser fatal. Para ello, miramos los servicios activados con el commando setup y quitamos aquellos que no hacen falta, como gpm, hplip, mcstrans, setroubleshoot, atm, … y también el siempre olvidado portmap.

Después de esto, el único que debería escuchar es ssh. Esto lo comprobamos así:

#netstat -nlp|grep -v 127.0.0.1
tcp 0 0 :::61022 :::* LISTEN 2428/sshd

En caso de una caída o vulnerabilidad de IPTABLES, esto nos salvará de que alguien se conecte a algún servicio “olvidado”, como pudiera ser cups, y nos entre con algún exploit. Conviene recordar que los firewalls sólo ayudan en caso de descuidos. Nada más.

Esta es la lista de servicios que ha quedado tras hacer limpieza:


acpid
apmd
autofs
cpuspeed
crond
haldaemon
hidd
iptables
irqbalance
lm_sensors
mdmonitor
messagebus
microcode_ctl
network
ossec
readahead_early
smartd
snortd
sshd
syslog
sysstat

4. MODIFICAR SSH.

Vamos a hacer que ssh escuche en un puerto por defecto que no sea el 22. Para ello, modificaremos la línea PORT en el fichero /etc/ssh/sshd_config y pondremos uno conveniéntemente elegido, en nuestro caso el 50127. Con esta medida, nos quitamos de encima escaneos automatizados.

Aparte, para que no sepan qué servicio está escuchando en el puerto 50127, vamos a modificar el banner del ssh. Creamos un fichero /etc/ssh/sshd_banner vacío y cambiamos la correspondiente línea en /etc/ssh/sshd_config (buscar Banner). De esta forma, nmap ni se entera del servicio que hay escuchando en el puerto. Podéis comprobarlo con nmap -sV -p0 -p 50127 192.168.1.1. Nota: un día de estos hablaremos de los scanners de vulnerabilidades (nessus, metasploit, nmap, cain&abel, … y su utilidad REAL, no lo que nos venden).

Finalmente, crearemos un usuario, NO root, que será el único que tenga permitido el acceso por ssh: useradd miusuario. Para restringir el acceso a sólo este usuario, añadimos una nueva línea al final del /etc/ssh/sshd_config que ponga AllowUser miusuario, lo cual impide el acceso a root al mismo tiempo que lo abre a nuestro nuevo usuario. Y para permitir que este usuario pueda hacer su root modificamos /etc/group y lo metemos en el grupo wheel. Observar que no le hemos puesto password al usuario. Esto es porque queremos que SOLO se entre con certificado. Nada más.

Para hacer login con nuestro usuario: ssh -p 50127 miusuario@servidor.com -i /path/to/private/key

5. IPTABLES.

Aparte de quitar todos los servicios posibles, vamos a crear nuestro propio firewall con iptables. Lo que haremos es:

– permitir todas las conexiones entrantes al puerto del ssh, el 50127.
– denegar todo lo demás.
– permitir sólo el tráfico desde direcciones ip de España (excelente medidad para evitar sustos).

Nuestras reglas, aparte de un montón de DROPs para cortar ssh desde subredes peligrosas, quedarán básicamente como siguen:

-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp –dport $PUERTO_SSH -m state –state NEW -j ACCEPT
-A INPUT -j DROP

6. CERTIFICADO.

Por supuesto, no entraremos con password y nada más. Vamos a crear un certificado dsa de 1024 bits para el usuario “miusuario”. De esta forma, nadie podrá reventar el password por fuerza bruta. Deberemos guardar una copia del certificado en sitio seguro, y esto incluye un backup convenientemente cifrado en algún lugar apropiado.

Para generar las claves públicas y privadas, hacemos ssh-keygen -t dsa -b 1024. El archivo id_dsa.pub tenemos que copiarlo al home del nuevo usuario que hemos creado y la clave privada será la que usemos para entrar.

7. DETECCIÓN DE INTRUSOS: snort y ossec.

No es el momento de dar detalles de cómo se instalan estas herramientas. Simplemente decir que instalaremos ambos detectores de intrusos, y pondremos ossec a leer los logs de snort y enviar alertas por correo a nuestra cuenta del trabajo.

Al instalar ossec es importante poner la opción respuesta activa a yes, para que cuando alguien intente entrar por fuerza bruta ossec banee su IP.

Dentro del ossec.conf, para evitar que nos fría con falsos positivos, vamos a eliminar todas las reglas excepto las siguientes:


rules_config.xml
pam_rules.xml
sshd_rules.xml
syslog_rules.xml
ids_rules.xml
ossec_rules.xml
attack_rules.xml
local_rules.xml

Es posible que en el futuro tengamos que quitar más, pero de momento lo que hemos quitado es más que suficiente. Notar también como la respuesta activa de ossec se ha activado sola, suponiendo que hayamos elegido active response => yes al instalar ossec..

8. QUITAR PAQUETES INNECESARIOS.

Si nos entran con un 0-day de ssh, nos damos por jod****. Si alguien es capaz de hacer algo así, podemos estar seguros de que no encontrar el rpm de gcc no va a suponer un gran problema. Este paso, en el que tanto se suele insistir, nos lo vamos a saltar.

9. PARTICIONES.

De la misma forma, no necesitamos preocuparnos de cómo está configurada la tabla de particiones. Rotaremos los logs normalmente y punto. No es un apache en el que puede haber una denegación de servicio a base de freir el servidor a peticiones.

10. LYNIS.

Ya hemos hablado de esta herramienta. Lynis chequea defectos de configuración para buscar posibles fallos (p.ej. ficheros setuidados) y da un report al final con las indicaciones que necesitamos. Ejecutarla es tan sencillo como esto:

wget http://www.rootkit.nl/files/lynis-1.2.6.tar.gz
tar xzf lynis-1.2.6.tar.gz
cd lynis-1.2.6
./lynis –check-all -Q

Y al final tenemos nuestro report. En nuestro caso, la lista de sugerencia es bastante inútil:

– [09:52:49] Suggestion: Confirm that freshclam is properly configured and keeps updating the ClamAV database [test:MALW-3286]

No haremos caso, porque nuestro servidor es sólo una pasarela hacia otros servidores, sin discos compartidos ni nada así. De hecho, tener una tarea del cron corriendo y bajándose cosas de un servidor, clamav, e instalándolas es peligroso. Podrían hackear el servidor y, a la vez, usarlo para entrar en el nuestro.

11. CONCLUSION.

En este artículo, hemos visto como se configura un servidor ssh seguro abierto a internet. Los pasos son sencillos y el nivel de seguridad conseguido es bastante alto (la única forma de entrar es con un exploit para ssh, imposible a día de hoy). El servidor puede ser usado para acceder a segmentos de red sensibles desde internet de forma segura, siempre y cuando el sitio desde el que accedemos sea seguro.

Extret de: http://hacking-avanzado.blogspot.com/2009/04/instalando-un-servidor-ssh-securizado.html

Read Full Post »

Older Posts »