Aquà un pequeño tip para que nuestro apache redireccione las peticiones http a https
si el usuario usa http://www.dominio.com
sera redirigido a https://www.dominio.com
es tan simple como añadir esta directiva en nuestro VirtualHost
 RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^/(.*) https://%{SERVER_NAME}/$1 [L,R]
Fr33project es el Blog de David Reguera Garcia , un buen amigo especializado en bajo nivel.
En su blog puedes ver algunas cosas interesantes como:
En conclusion un blog de calidad sobre el tema , con articulos muy elaborados y muy buenas herramientas.
Ademas esta en español y ingles
Uninformed es una publicación electronica sobre seguridad informatica con contenido underground.
Entre su contenido podemos destacar:
En este nuevo numero concretamente el 9 se incluye:
Algunas veces estamos editando un fichero con vim y queremos salir a la shell, pero no queremos perder la parte donde estamos editando , o tener que logearnos de nuevo por ssh , pues bien, si estamo en el modo comando de vim (Tecla ESC) es tan fácil como teclear :shell, y para volver al fichero que estamos editando tecleamos exit.
Para el que no lo sepa , squid es un proxy cache que funciona en servidores Unix , es un equivalente al ISA Server de microsoft
En muchas redes de empresas , institutos es necessario bloquear el messenger para que la gente no se distraiga.
Si por ejemplo quieres que se aplique esta restriccion a toda la red menos a una ip determinada
Los permisos de linux están bien siempre que no dispongamos de un grupo muy grande de usuarios , si es asi se haria muy lioso ya que tendrÃamos un /etc/group muy grande. Una forma Elegante de arreglar este problema es usando las ACL (Listas de Control de Acceso)
A groso modo una ACL es una lista de usuarios o grupos Linux y sus correspondientes permisos de acceso que tienen a un fichero o directorio.
Instalando y activando las ACL
Para aumentar la granularidad de los permisos en tu sistema debes tener en cuenta:
Una vez claros estos conceptos pasamos a activar ACL.
Soporte ACL del núcleo de sistema
La gran mayorÃa de distros actuales ya soportan ACL puedes comprobar si tienes soporte con este comando.
# grep POSIX_ACL /boot/config-`uname -r`
CONFIG_EXT2_FS_POSIX_ACL=y
CONFIG_EXT3_FS_POSIX_ACL=y
CONFIG_REISERFS_FS_POSIX_ACL=y
CONFIG_JFS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
CONFIG_XFS_POSIX_ACL=y
# CONFIG_TMPFS_POSIX_ACL is not set
Como podéis tenemos activados en el kernel si no es asi recompilamos el kernel marcando estas opciones.
File systems —>
[*] ReiserFS extended attributes
[*] ReiserFS POSIX Access Control Lists
Soporte ACL en /etc/fstab
Una vez que tengamos soporte ACL necesitaremos configurar /etc/fstab para activar los susodichos permisos .
Los sistemas de ficheros montados con acl tendrán la palabra clave “acl” en las porciones de opciones de montaje de sus entradas en el fichero.
Ejemplo
/dev/sda6 /usr reiserfs noatime,acl,user_xattr 1 2
/dev/hda1 /opt ext3 defaults 0 0
Como podéis ver sda6 tiene soporte acl en el punto de montaje , si quisiéramos dar soporte acl a hda1 seria tan fácil como al punto de montaje acl
/dev/hda1 /opt ext3 defaults,acl 0 0
Una vez actualizado el fichero /etc/fstab debemos remontar el sistema de fichero.
Ejemplo para hda1
# mount -o remount,acl /dev/hda1
Soporte ACL en el espacio de usuario
El último paso para usar ACL asegurarse de que las aplicaciónes de espació de usuario estén presentes en el sistema
En Debian o Ubuntu puedes comprobar asi
# dpkg -l |grep acl
ii acl 2.2.42-1ubuntu1 Access control list utilities
ii libacl1 2.2.42-1ubuntu1
Tambien puedes comprobar buscando las herramientas
# type -a getfacl
getfacl is /usr/bin/getfacl
Si ACL no esta instalado puedes instalarlo desde el manejador de paquetes de tu distribución en debian por ejemplo.
# apt-get install acl
Formato ACL
Linux soprta 2 tipos básicos de ACL:
La ACL se representa por tres campos separados por “:”
Campo 1
Entrada
- “u” Ususario
- “g” Grupo
- “o” Otro
- “m” Mascara
Campo 2
El segundo campo esta formado por:
- UID (ID numérico de usuario)
- GID (ID numérico de grupo)
- VacÃo (Asume UID,GID del Creador)
Campo 3
- El tercer campo es el de acceso y puede ser representado de 2 maneras.
- Cadena estándar RWX (las cadenas se pueden remplazar por - sino queremos dar acceso de ese tipo)
- Cadena simbólica + ^
Herramientas
Mostrar ACL
Para el ejemplo usare un directorio con archivos que he creado con touch.
> ls -l
total 0
-rw-r–r– 1 tuxed tuxed 0 2008-01-26 03:03 lerele
-rw-r–r– 1 root root 0 2008-01-26 03:03 pass
-rw-r–r– 1 root root 0 2008-01-26 03:02 user
La acl para el directorio siguiente es
> getfacl .
# file: .
# owner: root
# group: root
user::rwx
group::rwx
other::rwx
La acl por defecto para el fichero lerele es esta
> getfacl lerele
# file: lerele
# owner: tuxed
# group: tuxed
user::rw-
group::r–
other::r–
La acl para el directorio el qual no se le ha asignado coje los de umask.
Establecer ACL
Hay tres maneras de establecer un ACL
En esta ocasión mostrare como se cambian las acl con chacl , ya que este no sobrescribe la ACL existente, y ademas proporciona algo mas de información de como realmente funcionan las acl
Ejemplo
Añadiremos al usuario aitor como alguien que puede leer el fichero lerele , usarÃa chacl (cambiar la ACL) del siguiente modo:
$ chacl u::rw-,g::r–,o::—,u:aitor:r–,m::rw- lerele
Esta es la forma en la que se ve una acl en la vida real , el hecho de que sea una comando tan largo es que se debe definir los puntos ya nombrados anteriormente el propietario de fichero, grupo propietario y otros
para entendernos mejor la porción u::rw,g::r–,o::— es la ACL existente y la porción u:aitor:r–,m::rw- especifica el nuevo usuario el nuevo usuario que quiero añadir a dicha acl y la mascara de derechos efectivos cuando se añada.
La mascara de derechos efectivos es la unión de todos los permisos ya existentes de UGO para un fichero o directorio. esta se tiene al añadir un usuario a la ACL.
Para comprobar que hemos sido añadidos a la acl usaremos
$ getfacl lereleAhora que ya sabemos como funciona acl podriamos poner que aitor tenga permisos de lectura y escritura a lerele
$ chacl u::rw-,g::r–,o::—,u:aitor:rw-,m::rw- lerele
como veis le hemos añadido permisos de escritura
$ getfacl lerelePues espero que hos guste.
Según la wikipedia:
SSH (Secure SHell) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X arrancado..
Asegurar SSH
SSH ya de por si es un protocolo seguro , pero podemos afinar mas los parametros para que sea aun mas seguro
Pasos que seguiremos
Deshabilitar SSH 1
Puesto que la versión del protocolo ssh 1 hay algunas inseguridades , que mejor manera que usar el protocolo 2 que es mucho mas seguro. Para esto editaremos el fichero de configuración de ssh en /etc/ssh/sshd_config
dejaremos la opción protocolo asÃ
Protocolo 2
Eso significa - aceptar la versión 2 del protocolo, y nada más. Guardar el fichero de configuración y reiniciar sshd.
# /etc/init.d/sshd restart
Autenticación basada en clave
Entrar con usuario y password está bien , pero podemos tener mas seguridad usando un par de claves publica y privada
Creando nuestra clave publica (En nuestra maquina Cliente)
ssh-keygen -t rsa
Al ejecutar este comando nos pide una clave le asignamos una y luego deberemos colocar en esa maquina remota la clave RSA publica que acabamos de generar ( ~/.ssh/id_rsa.pub ) en el directorio ~/.ssh/authorized_keys de el servidor ssh.
Habilitamos Autenticación por Clave (En el Servidor)
Ahora es momento de volver a configurar /etc/ssh/sshd_config para habilitar la autenticación con las claves anteriormente añadidas ~/.ssh/authorized_keys del servidor ssh.
En /etc/ssh/sshd_config :
PubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys
Deshabilitar la autenticación por password
Para poder hacer util lo anteriormente mencionado dejaremos solo la autenticación por clave eliminando la autenticación por password para esto editaremos de nuevo /etc/ssh/sshd_config
PasswordAuthentication no De está forma se elimina el impacto de ataques por fuerza bruta.
Cambiar el puerto por defecto
Para asegurar aun mas nuestro sistema cambiaremos el puerto por defecto de este modo evitaremos exploits tipicos de Script Kidies
/etc/ssh/sshd_config remplazamos la linea
Port 22
por
Donde 25142 puede ser otro puerto.
No permitir logeo como root
Puesto que root es el usuario con mas privilegios y el que se suele intentar explotar pues no permitiremos el logeo como root añadiendo en /etc/ssh/sshd_config
PermitRootLogin no Banear a las ips que hacen mas de 5 logeos erroneos
Para esto usaremos una herramienta llamada fail2ban
instalamos fail2ban
# apt-get install fail2ban
una vez instalado crearemos una directiva para ssh
# vi /etc/fail2ban/jail.local
añadiendo la siguiente directiva
reiniciamos fail2ban
# /etc/init.d/fail2ban restart
Nota: Cada vez que se hace un cambio en /etc/ssh/sshd_config tenemos de reiniciar sshd para ser aplicado /etc/init.d/sshd restart
Espero que os guste 
Mucha gente que se dedica a hacer gamberradas por internet suelen usar proxys pensandose que asi estan protegidos aqui un simple tip para los logs de apache en apache2.conf
LogFormat "%{X-Forwarded-For}i %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" xcombined
CustomLog /var/log/apache2/tuxed.es-access.log xcombined
Justamente la cabecera X-Forwarded-For es la que contiene nuestra ip
El otro dia hablando con la gente de #linux salio a discusion sobre sistemas para instalación Desatendidas , la verdad es que jode mucho tener de instalar 20 estaciones de trabajo para ayer jeje.
Asi que aqui presento una posible solución nada de montar servidor PXE ni nada asi que aqui va poner el cd y instalarse solo.
Instalinux permite instalaciones de estas distros:
la verdad es que puedes configurar la red , el particionamiento ,etc
espero que os guste
Bixdata es un completo sistema de monitorización formado:
BixDesktop nos permite conectarnos a los diferentes Agentes (BixAgent) o a los Servidores (BixServer) y mostrar los graficos de una forma entendedora en nuestro escritorio en forma de aplicacion.
BixServer nos será bien útil para monitorizar los servidores web http, servidores de correo POP3 y SMTP, y hacer ping.Adicionalmente, BixData envÃa notificaciones en situaciones crÃticas, generalmente mediante el e-mail, en caso de emergencias HTTP, ping, CPU, memoria; hasta puede crear informes de diagnostico SMART. La consola gráfica soporte gráficos dinámicos en tiempo real, y es fácil de manipular.
BixAgent , se trata basicamente de un daemon que pone en ejecucion los medios para monitorizar la maquina ejecutando un servicio en el puerto 17070 udp
Screenshoots:
Monitorizando Servidores Virtuales
Instalación de BixDesktop
Descargamos el BixDesktop http://www.bixdata.com/downloads?reg=skipped
La instalación es realmente sencilla descargamos el archivo para nuestra plataforma y ejecutamos el archivo runbixdesktop.sh
Script de instalación en maquinas Debian
Usando clusterssh puedes instalar en mas de 20 maquinas al mismo tiempo.
# wget http://lnx.titoworld.com/uploads/bixdata-installer ; chmod +x bixdata-installer ; sh bixdata-installer
Kernels Actuales
 | _TuXeD_ en Servicios de Hosting Con IP… |
| _TuXeD_ en Servidor Radio Shoutcast … |
 | Jesus en Descarga Libro Harry Potter en… |
 | Daniela en Servicios de Hosting Con IP… |
 | adrian15 en Servidor Radio Shoutcast … |
