xpanel, lxde, linux, fbpanel opensuse, linux, instalacion gtk3, gnome, ambienti grafici PS3, mandos, Play Station, Linux edubuntu, ubuntu, linux fedora, linux, discapacitados visuales fuduntu, fedora, ubuntu, linux, distribuciones inkscape, grafica, linux, editor tux, tuz, iconos, mascota, linux artistx, distro, linux, artistas, graficos

Está claro que una gran proporción de los usarios de ArchLinux y derivadas a la hora de instalar paquetes o actualizar su distro prefieren utilizar pacman o yaourt desde la consola, sin embargo también a muchos les resulta interesante contar con una GUI que les facilite leer de manera simple información sobre los paquetes instalados o los disponibles para su sistema e instalar, desinstalar o actualizar.

 

PacmanXG4, todavía en versión beta pero sin que a mí me diera errores, nos proporciona estas funciones y cuenta con dos características muy interesantes:

 

1) No depende de GTK ni QT, solo de X11 y por tanto funciona en cualquier entorno de escritorio.


2) Nos permite leer las News sobre las actualizaciones lo que nos evita cometer errores al actualizar si prestamos atención.

pacmanxg4
Instalación:
Se instala desde AUR con:

yaourt -S pacmanxg4-bin

Requiere como mínimo:


a) Tener instalados: xorg-server xf86-video-vesa xorg-xinit

sudo pacman -S xorg-server xf86-video-vesa xorg-xinit

b) Tener habilitado el repositorio [ archlinuxfr ] en /etc/pacman.conf
c) Tener instalado libxrender:

sudo pacman -S libxrender

d) Agregar en /home/usuario/.xinitrc la siguiente línea:

/opt/pacmanxg4/pacmanxg

Los items a) y b) se da por sobre entendido que se encuentran cumplidos y por tanto los explicito solamenente por una cuestión técnica.

Les muestro algunas capturas para que vean como es la interfaz:
Nos pide la contraseña

Aquí elegimos que tarea queremos realizar

Administración de paquetes. Con click derecho sobre un paquete aparecen las opciones: instalar, desinstalar, etc.

Ventana para las tareas

Mirando el /var/log/pacman.log

Ventana de configuraciones, elegí idioma español

Viendo las News sobre Arch

Información sobre el proyecto

Para los que prefieren seguir usando solamente la consola un recordatorio de los principales comandos de Pacman y Yaourt que nunca está de mas:
Comandos principales de pacman:

* pacman -Sy –> Sincroniza la base de datos con los repositorios.
* pacman -Syy –> Sincroniza la base de datos con los repositorios y responde afirmativamente cualquier pregunta.
* pacman -Syu –> Sincroniza la base de datos con los repositorios y actualiza el sistema.
* pacman -Syuw –> Sincroniza la base de datos con los repositorios y descarga los paquetes para actualizar el sistema sin instalarlos.
* pacman -Su –> Actualiza el sistema completo.
* pacman -S –> Instala un paquete.
* pacman -R –> Desinstala un paquete.
* pacman -Rc –> Desinstala un paquete y los que dependen del mismo.
* pacman -Rs –> Desinstala un paquete junto a las dependencias no utilizadas por otros paquetes.
* pacman -Rcs –> Desinstala un paquete, los que dependen del mismo y las dependencias no utilizadas por otros paquetes.
* pacman -Ss –> Permite buscar a un paquete específico.
* pacman -Sw –> Descarga el paquete pero no lo instala.
* pacman -Si –> Muestra información sobre un paquete no instalado.
* pacman -Qi –> Muestra información sobre un paquete ya instalado.
* pacman -Se –> Instala solamente las dependencias del paquete.
* pacman -Ql –> Muestra todos los archivos pertenecientes al paquete.
* pacman -Qu –> Muestra los paquetes del sistema que pueden ser actualizados, pero no los instala.
* pacman -Q –> Muestra una lista de todos los paquetes instalados en el sistema.
* pacman -Qo –> Muestra a cual paquete pertenece un archivo en especial.
* pacman -Sc –> Borra todos los paquetes antiguos guardados en la caché de pacman.
* pacman -Scc –> Borra todos los paquetes guardados en la cache de pacman ubicado en /var/cache/pacman/pkg.
* pacman -U –> Instala un paquete guardado en una carpeta local.
* El agregado de -y a cualquiera de las órdenes ocasiona que cualquier pregunta del sistema se responda afirmativamente
* El agregado de -f a las órdenes de instalar, desinstalar o actualizar fuerza la acción sin importar conflictos. Puede romper el sistema. No usar si no sabe lo que hace.


Comandos principales de yaourt:

* yaourt < expresión de búsqueda > –> Busca e instala
* yaourt -Sy –> Sincroniza la base de datos con los repositorios.
* yaourt -Su --aur –> Sincroniza los paquetes instalados desde AUR ( no actualiza los instalados desde pacman )
* yaourt -Su –> Actualiza el sistema completo.
* yaourt -Syua –> Actualiza el sistema, incluyendo los paquetes de AUR
* yaourt -Syua --devel –> Sincroniza la base de datos, actualiza paquetes, actualiza buscando en AUR y los que están en desarrollo.
* yaourt -S paquete –> Instala un paquete.
* yaourt -R paquete –> Desinstala un paquete.
* yaourt -Rs paquete –> Desinstala un paquete junto a las dependencias no utilizadas por otros paquetes.
* yaourt -Ss paquete –> Permite buscar a un paquete específico
* yaourt -Sw paquete –> Descarga el paquete pero no lo instala
* yaourt -Si paquete –> Muestra información sobre un paquete no instalado
* yaourt -Qi paquete –> Muestra información sobre un paquete ya instalado
* yaourt -Se paquete –> Instala solamente las dependencias del paquete.
* yaourt -Ql paquete –> Muestra todos los archivos pertenecientes al paquete.
* yaourt -Qu –> Muestra los paquetes del sistema que pueden ser actualizados, pero no los instala.
* yaourt -Q –> Muestra una lista de todos los paquetes instalados en el sistema.
* yaourt -Qo /ruta/del/archivo –> Muestra a cual paquete pertenece un archivo en especial.
* yaourt -Sc –> Borra todos los paquetes antiguos guardados en la caché de pacman.
* yaourt -Scc –> Borra todos los paquetes guardados en la cache de pacman ubicado en /var/cache/pacman/pkg.
* yaourt -A –> Instala un paquete guardado en una carpeta local.
* yaourt -Sb paquete –> Compila el paquete desde el código fuente
* yaourt -C –> Comprueba, edita, fusiona o elimina archivos *.pac*
* yaourt -G paquete –> Descarga un PKGBUILD (soporta paquetes separados)
* yaourt -Sb --export <directorio> <paquete> –> Crea y exporta paquetes, con sus fuentes a un directorio
* yaourt -B –> Realiza una copia de seguridad («backup») de la base de datos
* yaourt -Q --backupfile <archivo> –> Consulta el archivo backup


Como dije al principio del post, sé que la gran mayoría de los archers prefiere trabajar con la consola pero inclusive a mí, que llevo casi diez años usando ArchLinux, de vez en cuando me gusta ver una ventanita con algunas opciones , botoncitos y esas cositas.
Gracias por la atención. Como siempre se aceptan las sugerencias, opiniones y correcciones que crean pertinentes.

Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog:

0

Red Hat ha anunciado nuevas actualizaciones en las tecnologías y roadmap para OpenStack, tanto en su versión empresarial como de la comunidad, que incluyen un adelanto de su solución empresarial Red Hat OpenStack dentro de un programa para Early Adopter y la disponibilidad de RDO, una distribución de OpenStack apoyada por la comunidad que se ejecuta sobre Red Hat Enterprise Linux, Fedora y sus derivados.

 

Además, Red Hat también ha anunciado OpenStack Red Hat Cloud Infrastructure Partner Network, un ecosistema global partners de tecnología y servicios para contribuir a acelerar la adopción de soluciones de infraestructura cloud de Red Hat.

En agosto de 2012, Red Hat anunció la disponibilidad de la versión preliminar de su distribución Red Hat OpenStack, basada en el framework OpenStack para la construcción y gestión de clouds de Infraestructura como Servicio (IaaS) privadas, públicas e híbridas.

 

Con ello, Red Hat daba el primer paso en sus planes de distribución de OpenStack empresarial con el reconocido soporte comercial de Red Hat, un ecosistema de hardware y proveedores de aplicaciones certificado y liderazgo en la distribución de cloud open source para organizaciones de todo el mundo que requieren soluciones empresariales con calidad y soporte empresariales.

openstack
La preview de Red Hat Openstack se basaba en la versión de la comunidad Essex. El programa de Early Adopter de Red Hat OpenStack se basa en la versión de la comunidad Folsom, de la que Red Hat es el segundo mayor contribuidor empresarial. En la versión más reciente de la comunidad OpenStack.org, Grizzly, Red Hat se ha convertido en el principal contribuidor corporativo de código.

 

Red Hat OpenStack proporciona los cimientos para que las organizaciones puedan construir una cloud IaaS privada o pública para sus cargas de trabajo. Red Hat OpenStack permite a los clientes aprovechar las tecnologías OpenStack, mientras mantiene la seguridad, la estabilidad y las capacidades empresariales de una plataforma basada en Red Hat Enterprise Linux.

 

RDO es una distribución de OpenStack apoyada por la comunidad y disponible libremente que se ejecuta sobre Red Hat Enterprise Linux, Fedora y sus derivados. Proporciona una experiencia de OpenStack pura, con la última versión estable de OpenStack.org, compactada, integrada y fácil de desplegar en plataformas de Red Hat. La comunidad en openstack.redhat.com ofrece la oportunidad de interactuar con otros usuarios de OpenStack en plataformas de Red Hat, para compartir conocimientos y ampliar capacidades.


RDO proporciona los componentes principales de OpenStack -Nova, Glance, Keystone, Cinder, Quantum, Swift y Horizon – así como los proyectos de incubación Heat, para la orquestación de aplicaciones cloud, y Ceilometer, para el control y medición de los recursos. La instalación es fácil con la herramienta desarrollada por Red Hat, PackStack.


Además de proporcionar un conjunto de paquetes de software, RDO es también un lugar para que los usuarios de la plataforma de cloud computing en sistemas operativos de Red Hat puedan obtener ayuda y comparar notas sobre la ejecución de OpenStack. Los usuarios de Red Hat Enterprise Linux y sus derivados tienen ahora un lugar donde pueden obtener los paquetes oficiales de la última versión del software liberado por el proyecto OpenStack.

Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog:

0

Openbox permite al usuario disponer de un menú raíz sobre su escritorio al pulsar el botón derecho del ratón, y permite configurar el modo en el que las ventanas son gestionadas.

 

Cuando una ventana es minimizada se vuelve invisible y puede volver a verse utilizando la combinación de teclas ALT+Tab o a través del menú Desktop, disponible en el menú raíz.

 

Buscando en Internet alguna lista de los mejores temas para Openbox, me di cuenta de que nadie se había dignado a hacerla.

 

Así que me puse a buscar en DevianArt y Box-Look y encontre algunos bastante interesantes.

 

Mantienen casi siempre el mismo menu y Owl es el mas nuevo de los 3. 

1. Lime Night:

2. Elementary Dark:

3. shiki-dark-night:

4. Oxygen:

5. T-dark-2:

6. Dumetella:

7. Aldabra:

8. Universal:

9. Dark-Star:

10. Azel:

11. BlackOrange:

12. Playbill Blue & Red:

13. DoYouLikeIt:

14. WoW:

15. Still Dark:

16. Aurora Mix
 
17. Remix
 
18. Owl Rmx

Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog:

0
Como lo he subrayado anteriormente, Bastille-Linux constituye una formidable herramienta pedagógica. Tanto las propias preguntas como los comentarios son bien precisos. Cuando las cosas no son lo suficientemente claras, se dispone de una gran diversidad de recursos para encontrar la respuesta correcta. La mejor manera de aprender sobre un determinado tema, consiste en usar únicamente el módulo deseado.

Para ello bastará con hacer una copia de respaldo del archivo que contiene las preguntas y editar el archivo Questions.txt.

 

Cada módulo empieza con la palabra clave FILE... sólo resta conservar lo que deseamos realmente nos interesa.

/root/Bastille >> cp Questions.txt Questions.txt-orig
/root/Bastille >> emacs Questions.txt BackEnd.pl &
/root/Bastille >> ./InteractiveBastille

Obviamente las medidas tomadas por Bastille-Linux no son suficientes para garantizar la seguridad de nuestro sistema:

bastille logo

  1. ningún sistema es 100% seguro;
  2. son indispensables otras medidas para completar las sugeridas por la Bastille-Linux.
Entre las medidas indispensables que se pueden agregar podemos pensar inmediatamente en un analizador de archivos log (portsentry, snort, snplog, etc ...), en un parche de www.openwall.com para el kernel (pila no ejecutable, restriciones sobre los directorios /tmp y /proc, etc...).

 

El camino para proteger un sistema es arduo e interminable. Se debe estar continuamente al tanto sobre los agujeros de seguridad (a través de listas de correos como la bugtraq del sitio securityfocus, por ejemplo).

 

Conclusión.

Bastille-Linux ayuda a proteger una distribución Linux con mala reputación en el ámbito de la seguridad. Puede que digas: ¿por qué entonces no elegir otra?. Es verdad, pero Red Hat (o Mandrake ya que las diferencias son mínimas) posee ciertas características agradables. El objetivo del presente artículo no es el promover (o denigrar) a una determinada distribución. Después de todo, la libertad de elección es una de las fortalezas del software libre.

 

De hecho, este artículo posee diversos cometidos. Ante todo, mostrar la preocupación permanente de un administrador de sistemas que vive con el temor de ver su red destruida por algunos hackers inescrupulosos. Por otra parte, esta herramienta les permitirá hacer una profunda visita a la configuración del sistema. Bajo esta óptica, resulta ser un medio excelente, tanto para los neófitos como para los usuarios avanzados, para explorar y descubrir los rincones ocultos de la configuración de un sistema Linux.

 

Las dos premisas fundamentales son el minimalismo y la profundidad. Cuanto menos servicios existan en nuestra máquina menor serán los agujeros de seguridad. Para cada uno de estos servicios, muchas protecciones valen más que una sola...pero esto es un arma de doble filo pues una protección mal configurada (or la conjunción de muchas de ellas) se pueden volver en nuestra contra.

 

Por último, señalemos que la próxima versión de este programa se llamará BUS (Bastille Unix Security). Se tratará de una juiciosa combinación entre Bastille-Linux y Msec (Mandrake Security Proyect) el cual se denominará pronto Usec (Unix Security Project).

 

Un completo tutorial sobre Bastille-Linux en esta página.

bastille_logo guida

Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog:

0
Logging - Acceso al sistema
syslog es uno de los servicios más importantes para detectar si una máquina ha sido intervenida. Este demonio registra ciertos sucesos que tienen lugar en el sistema. Se puede optar por limitar la cantidad de información almacenada.

 

Cabe destacar que si se elige un número mínimo de servicios, cualquier anomalía en los archivos /var/log se puede detectar fácilmente debido al pequeño volumen de información guardada. En cambio, si el sistema posee muchos servicios inútiles los archivos /var/log se vuelven inmensos y por lo tanto difíciles de analizar (en este caso es necesario recurrir a guiones dedicados).

 

Este módulo agrega nuevos controles al archivo /etc/syslog.conf.

bastille logo

  • Would you like to add additional logging? - ¿Desea añadir un acceso adicional al sistema? [Y]

  • Bastille-Linux crea un archivo /var/log/kernel para almacenar los mensajes del kernel y los errores graves (los mensajes provenientes del cortafuegos pertenecen a la primera categoría). Determinadas informaciones se envían a 2 terminales (TTY 7 y TTY8). Un nuevo archivo /var/log/loginlog registra los usuarios que se conectan al sistema.
  • Do you have a remote logging host? - ¿Dispone de acceso a un host remoto? [N]
    Salvo que posea otra máquina hacia la que envía sus mensajes, la respuesta debe ser negativa.
  • Would you like to set up process accounting? - ¿Desea activar la contabilidad de procesos? [N]

  • En Linux, es posible registrar los comandos que han sido ejecutados, cuándo y por quién. Si bien es útil para seguir de cerca las actividades de un hacker hace que el archivo log rápidamente se vuelva enorme. En pocas palabras, su uso consume espacio de disco y tiempo de CPU. Conviene desactivar esta opción a menos que realmente resulte necesario.
MiscellaneousDaemons - Otros demonios.
Siempre preocupados por la minimización, este módulo sólo activa los servidores que realmente se necesitan al iniciar el sistema. Por defecto, se desactivan casi todos los servicios inútiles. Se puede volver a activar un servicio mediante el comando chkconfig.

bastille maxresdefault

Servicios.

apmd
Se usa para controlar las baterias de las computadoras portátiles.

NFS y samba
Para administrar sistemas de archivos compartidos ... si bien son muy útiles en redes heterogéneas son origen de enormes agujeros de seguridad.

atd
Todo lo que se puede hacer por intermedio de atd se puede hacer mediante cron.

servicios PCMCIA
Si se tiene un dispositivo PCMCIA, lo que es frecuente en portátiles pero mucho más raro en estaciones de trabajo.

dhcpd
Servidor para proporcionar direcciones IP temporales. Este tipo de servicio lo proporciona un Proveedor de Servicios de Internet (ISP) o se usa en una red local.

gpm
Se usa en modo consola (texto) para manejar el ratón. A menos que se trabaje a menudo en modo consola este servicio no sirve para nada.

servidor de noticias
Pocas personas necesitan de un servidor de noticias en sus máquinas. En general, es tarea del ISP.

routed
Así como el servidor de noticias es tarea del ISP, él es tarea de su DNS.

NIS
Servicio muy práctico en una red local...¡pero origen de muchos problemas desde el punto de vista de la seguridad!

snmpd
Servidor destinado a la administración de una red (estadísticas, gestión de usuarios,...)

sendmail
No es necesario ejecutarlo como demonio para permitir el envío y recepción de correo. Además, si recibe su correo de su ISP por POP o IMAP, sendmail carece de utilidad y como programa posee un gran historial de fallos...

bastille secured

Sendmail.
Como hemos mencionado previamente, sendmail es un servicio que gestiona correo. Su historia esta plagada de agujeros de seguridad provocados por la diversidad de tareas que tiene un servidor de correo y los privilegios necesarios para llevarlas a cabo (resolución de nombres, información para syslog, etc...). Además de sus vulnerabilidades, sendmail permite obtener información de un usuario específico de un servidor determinado. Por ejemplo, el comando sendmail EXPN y VRFY permiten saber a una persona si existe una cuenta de usuario concreta.

 

Como hemos dicho, no es necesario ejecutar sendmail como demonio para enviar y recibir correo. Para un uso individual sendmail no sirve verdaderamente para nada ya que es suficiente con utilizar un cliente de correo cualquiera (netscape, rmail, pine, mutt, etc...) para enviar correo. Para recibirlo, bastará con activar sendmail a intervalos regulares para poder verificar el contenido de nuestra casilla de correos.

 

  • Do you want to leave sendmail running in daemon mode? - ¿Desea que sendmail permanezca ejectuándose como demonio? [Y]

  • Como hemos visto en la mayoría de los casos carece de utilidad y es sumamente peligroso por lo tanto es conveniente desactivarlo.
  • Would you like to run sendmail via cron to process the queue? - ¿Desea que sendmail gestione a través de cron la cola de espera de los mensajes? [N]
  • Si se contesta afirmativamente, sendmail verificará la cola de mensajes cada 15 minutos. Es posible modificar este parámetro desde el archivo /etc/sysconfig/sendmail.
  • Would you like to disable the VRFY and EXPN sendmail commands? - ¿Desea desactivar los comandos VRFY y EXPN de sendmail? [Y]

  • Estos comandos proporcionan información útiles tanto a hackers como spammers.
 
RemoteAcces - Acceso remoto.

A menudo resulta útil poder conectarse a una máquina sin estar físicamente próxima a ella. Hemos visto que los comandos r permiten hacer esto de una manera insegura.

 

Bastille-Linux sugiere descargar ssh. Se trata de un programa que cifra los datos (y por lo tanto las contraseñas) que circulan a través de una conexión.

 

Se puede usar un programa donde el tamaño de la clave de sesión no supere los 128 bits (N.T: este límite varía de acuerdo a las leyes propias de cada país). Expliquemos qué es una clave de sesión. Se trata de la clave que servirá para cifrar los datos. Esta clave se construye paso a paso por el cliente y el servidor y resulta de un protocolo de intercambio de claves (Diffie-Hellman en la mayoría de los casos).  El principio consiste en construir una clave con una parte de la clave de cada uno de los participantes. Esta clave de sesión se usa para cifrar los datos en base a un algoritmo simétrico (es decir, se usa la misma clave tanto para cifrar como para descifrar datos). Así DES, que sirve para cifrar las contraseñas en Unix, es un algoritmo simétrico que posee una clave de 56 bits.

 

Ahora bien, una clave de 128 bits ¿es suficiente para garantizar la confidencialidad y seguridad de una transacción?: ¡SÍ!. Aún cuando actualmente DES no se considere "muy segura", los mejores ataques no están al alcance de todo el mundo. Por otra parte, es un error común creer que una clave de tamaño 2k es dos veces más difícil de romper que otra de tamaño k. De hecho, la dificultad se incrementa mucho más rápido que el tamaño de la clave. Para una clave de tamaño k, existen 2^k claves posibles (y por lo tanto 2^2k para una clave de tamaño 2k). Por lo tanto, al duplicar el tamaño de una clave estamos agregando¡  claves posibles! Cuando uno comprueba la verdadera dificultad que implica romper a DES (56 bits) uno espera que las claves de sesión de 128 bits ofrezcan una seguridad inviolable (suponiendo que el algoritmo de cifrado/descifrado no contenga agujeros de seguridad).  Desde el punto de vista de un atacante, el aumentar este límite hace que la dificultad pase de un nivel imposible a otro "aún más imposible".

 

Cuatro programas diferentes que proporcionan servicios parecidos:

  • ssh 1.2.x : un sistema cliente-servidor para establecer conexiones cifradas;
  • ssh 2.x : idéntico al anterior pero con menos fallos y más posibilidades;
  • OpenSSH : una versión similar a la anterior pero bajo licencia BSD;
  • ssf : como ssh, pero adaptado a la legislación francesa

    Los restantes módulos están relacionados con servicios. La política que se toma para ellos puede parecer sorprendente: se empieza por restringir los privilegios y se termina por detenerlos. Contrariamente a lo que podría pensarse, estas dos medidas no son contradictorias. En efecto, estos servicios se pueden reactivar en cualquier momento, ya sea accidentalmente o por algún intruso...con lo cual resulta conveniente restringir sus privilegios.

    bastille1
  • DNS.
    Un DNS (Domain Name Server) pemite vincular una dirección IP con el nombre de una máquina y viceversa. Por ejemplo, la dirección 198.186.203.36 corresponde a www.bastille-linux.org. La función principal de este servidor se denomina BIND (to bind significa, entre otras cosas, vincular). Últimamente, se ha descubierto un ataque de tipo DoS contra BIND. Se lo puede evitar, dando acceso DNS a un grupo reducido de directorios (antes de ejecutar un comando o guión , se puede cambiar el directorio raíz - por defecto / - mediante el comando chroot).

    Agreguemos algunas observaciones técnicas antes de detallar el comportamiento de Bastille-Linux. El demonio asociado a este servicio se denomina named. Su configuración proviene del archivo   /etc/named.conf.

    • Would you like to chroot named and set it to run as a non-root user? - ¿Desea cambiar el directorio raíz de named y ejecutarlo como un usuario normal? [N]
      Para hacer todo esto, Bastille-Linux crea un nuevo usuario denominado dns que no posee intérprete de comandos sino únicamente su propio directorio   /home/dns.  En el interior se reconstruye la arquitectura de un sistema clásico agregando los directorios usuales (/usr, /etc, /var, etc ...). A continuación, se copian los archivos de configuración y bibliotecas que necesita el demonio. Son necesarias otras pequeñas modificaciones (para syslog por ejemplo ver el guión DNS.pm). Ahora el DNS tiene su propio entorno :)
    • Would you like to deactivate named, at least for now? - ¿Desea desactivar momentáneamente a named? [Y]
      La mayoría de las personas no necesitan poseer un servidor de nombre en sus máquinas ya que el ISP les brinda dicho servicio. El COMO-DNS describe la instalación de un caché para la resolución de nombres pero aún así puede ser origen de problemas.
     
  • Apache
    Apache es el servidor web más utilizado de Internet. Un servidor de este tipo es útil en dos casos:
    1. para albergar un sitio web: en este caso es necesaria una dirección IP fija. Los ISP (Proveedores de Servicios de Internet) tienen esta clase de direcciones lo cual no es el caso de sus clientes.
    2. para probar nuestras propias páginas web: en este caso bastará con activar el servidor (/etc/rc.d/init.d/httpd start) en el momento apropiado.
    El archivo para configurar este demonio se encuentra en /etc/httpd/conf.
    • Would you like to deactivate the Apache web server? - ¿Desea desactivar el servidor web Apache? [Y]

    • Puesto que no siempre se lo necesita y en aras de la minimización lo desactivamos.
    • Would you like to bind the web server to listen only to the localhost? - ¿Desea vincular al servidor web para que "escuche" solamente al localhost? [N]
      Es posible vincular al demonio httpd a una dirección específica. Aquí, Bastille-Linux propone conectarlo a la dirección del localhost 127.0.0.1. Esto permite tener en ejecución un servidor en una máquina para probar nuestras propias páginas web.
      Se podrán acceder a ellas desde la dirección:

       

    • http://localhost/ (o http://localhost/raynal para acceder a nuestras páginas web personales)

    •  

      Es decir Apache usa la interfaz loopback (lo) para funcionar.

    •  

    • Would you like to bind the web server to a particular interface? - ¿Desea vincular al servidor web con una interfaz particular? [N]

    • Al responder aquí afirmativamente anula la respuesta precedente. Hemos dicho que queríamos usar el servidor web con el loopback ... y esta pregunta permite precisar otra interfaz (Ethernet, por ejemplo) mediante una dirección IP que le es asociada.
    • Would you like to deactivate the following of symbolic links? - ¿Desea desactivar el seguimiento de enlaces simbólicos? [Y]

    • Es imperativo responder afirmativamente. De la misma manera que el DNS funciona en un espacio restringido, no se debe permitir a Apache salir de su universo (es decir, /home/httpd). Por ejemplo, si uno de los usuarios posee, en su directorio para el servidor web, un enlace al directorio raíz /, todo el mundo puede acceder a todos los archivos...en particular a los archivos de configuración del tipo passwd entre otros.
    • Would you like to deactivate server-side includes? - ¿Desea desactivar los "server-side includes"? [Y]

    • Como dice Jay Beale: si no sabe de qué se trata es porque no lo necesita. Baste con saber que se puede configurar para que los usuarios puedan ejecutar cualquier programa en el servidor (y sí...tiemblen amigos administradores ...sería un pesadilla para ustedes ;-)
    • Would you like to disable CGI scripts, at least for now? - ¿Desea momentáneamente desactivar los guiones CGI? [Y]
    • bastille5
      Escribir un guión CGI (Common Gateway Interface) no es extremadamente difícil pero se necesitan tomar ciertas precauciones (sobrecargar la pila, por ejemplo, genera archivos core en el servidor). Gran cantidad de métodos actuales para atacar a un sistema explotan los errores cometidos en estos guiones.
    • Would you like to disable indexes? - ¿Desea deshabilitar los archivos índex¿ [N]
      Ante la ausencia de un archivo index.html en un directorio, Apache lista todos los archivos que contiene. Esto es menos grave que permitir la lectura de los enlaces simbólicos. No obstante imaginen que un determinado directorio contenga datos importantes.
    Un servidor, como cualquier otro servidor, puede ser una invitación a visitar nuestra máquina y, quizás, a dañarla si encuentra incorrectamente configurada. Esto puede resultar bastante molesto en algunos casos. Supongamos por ejemplo, el caso de un banco, si se pueden leer los nombres de sus clientes (y quizás sus contraseñas)...visiten la página www.kitetoa.com, que no se van a arrepentir ;-) (N.T: desgraciadamente está solamente en francés)
  • Printing – Imprimir.
    Una única pregunta: ¿imprimirá con su máquina?. Si la respuesta es negativa Bastille-Linux desactiva el demonio lpd y elimina el bit SUID de lpr y lprm. =============
  • FTP.
    Desde el punto de vista de la seguridad, FTP puede ser el origen de diversos problemas . Por ejemplo, al iniciar una conexión las contraseñas circulan en texto plano. Lo mismo sucede con los datos, lo cual es peligroso si los datos son confidenciales (datos médicos, financieros...)

    Por otra parte, últimamente se han encontrado algunos agujeros de seguridad en wu-ftpd. Recordemos, que no es en absoluto necesario tener el servidor ejecutándose para hacer transferencias via FTP.

    El archivo que controla el acceso al servidor FTP es /etc/ftpacces.

    • Would you like to disable user privileges on the FTP daemon? - ¿Desea eliminar los privilegios de los usuarios para el demonio FTP? [N]
      Uno de los inconvenientes del FTP es que permite conexiones anónimas. Otro, es que permite "subir" archivos (es decir, enviar archivos al servidor). Numerosos ataques se aprovechan de estas vulnerabilidades. Por otra parte algunos problemas provienen del hecho de que las transacciones no son seguras (es decir, los datos no son cifrados).
    • Would you like to disable anonymous download? - ¿Desea anular las descargas anónimas? [N]
      Esto impide las conexiones al servidor del tipo anonymous.
    • bastille_logo guida
  • Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog:

    0
    BootSecurity - Seguridad en el arranque.
    La opciones propuestas por este módulo abarcan la seguridad física de una máquina. Este módulo corrige los agujeros de seguridad de versiones previas que permitían a cualquier persona acceder físicamente a la consola y adquirir privilegios de (i.e. superusuario). En efecto, era suficiente ejecutar LILO en modo monousuario, (LILO: linux single) para encontrarse con un gentil intérprete de comandos perteneciente al root ;-P

     

    Obviamente esto no basta. Para proteger físicamente a una computadora se debe proteger la BIOS con una contraseña, el disco duro debe ser el único dispositivo de arranque, el gabinete debe estar asegurado para evitar que alguien agregue su propio disco duro... Este es por supuesto un comportamiento paranoico que no necesita aplicarse sin que exista una muy buena razón.

     

    Desde el punto de vista del programa, algunas medidas elementales brindan un compromiso razonable con las mencionadas anteriormente:

    bastille logo

     

    • Would you like to password-protect the LILO prompt? - ¿Desea proteger a LILO mediante una contraseña? [N]

    • Al contestar "Yes" (SÍ) evita que gente desautorizada acceda al sistema tras el arranque.
    • Would you like to reduce the LILO delay time to zero? - ¿Desea reducir a cero el tiempo de espera de LILO? [N]

    • De esta manera nadie puede ingresar parámetros en tiempo de arranque. Si nuestra computadora posee diversos sistemas operativos no debe responderse en forma afirmativa pues el único SO que arrancará será el elegido por defecto.
    • Do you ever boot Linux from the hard drive? - ¿Siempre arranca Linux desde el disco duro? [Y]

    • Si respondió YES (SÍ) a algunas de las preguntas previas y tiene instalado LILO en su sistema, debe responder también aquí YES (SÍ) para que se graben las modificaciones al disco.
    • Would you like to write the LILO changes to a boot floppy? - ¿Desea guardar los cambios hechos a LILO en un disquete de arranque? [N]

    • Debe responder afirmativamente si dispone de un disquete de arranque para emergencias o bien si es el modo elegido para arrancar Linux.
    • Would you like to disable CTRL-ALT-DELETE rebooting? - ¿Desea desactivar la secuencia CTRL-ALT-DELETE para reiniciar el sistema? [N]

    • El objetivo es evitar que alguien reinicie la máquina. Sin embargo, esto es inútil a menos que también se encuentre protegido el suministro de energía eléctrica ;-)
    • Would you like to password protect single-user mode? - ¿Desea proteger el modo monousuario mediante una contraseña? [Y]

    • Como hemos visto al principio de este módulo, resulta ser una muy buena idea evitar que cualquier persona adquiera privilegios de superusuario.
    • bastille2
    SecureInetd - Seguridad Inetd.
    El propósito de este módulo es restringir y desactivar servicios superfluos. Los hackers fácilmente pueden encontrar agujeros de seguridad en cualquier servicio privilegiado, por lo tanto se deben restringir tanto los servicios como sus privilegios.

     

    Por ejemplo, un error en el DNS de RedHat 6.0 permite adquirir privilegios de superusuario en forma remota. Desactivando este servicio o reduciendo sus privilegios nos protegerá de este inconveniente.

     

    Algunos protocolos, como los comandos r ya mencionados pero también el ftp o el telnet resultan ser muy vulnerables. Otros permiten al atacante obtener información (finger o identd por ejemplo) de las cuentas de una máquina, etc. Muchos de estos servicios están administrados por tcp_wrapper  que permite controlar al que accede a un determinado servicio (por intermedio del archivo /etc/hosts.{allow, deny}). Una vez que el wrapper decide si el cliente puede acceder al servicio solicitado, envía la solicitud al correspondiente servidor.

     

    Esta parte continúa siendo un tanto rígida y debería reveerse completamente en futuras versiones.

    • Would you like to modify inetd.conf and /etc/hosts.allow to optimize use of Wrappers? - ¿Desea modificar inetd.conf y /etc/hosts.allow para optimizar el uso de Wrappers? [Y]

    • Bastille-Linux instala estos dos archivos. Puede resultar interesante hecharles un vistazo para pasarles parámetros más precisos en función a nuestras necesidades.
    • Would you like to set sshd to accept connections only from a small list of IP addresses? - ¿Desea autorizar el acceso a sshd solamente a un número limitado de direcciones IP? [N]

    • sshd es un demonio que permite conectarse de modo seguro (intercambio de claves, cifrado de contraseñas y datos,...) Permite reemplazar totalmente a telnet, rlogin, rsh, rcp y ftp. Cabe destacar un versión equivalente de ssh bajo la licencia BSD: OpenSSH. Volveremos sobre este asunto posteriormente.
    • Would you like to make "Authorized Use" banners? - ¿Desea instalar mensajes con la leyenda "Uso autorizado"? [Y]

    • Toda persona que intente conectarse a nuestra máquina verá un mensaje de advertencia que le preguntará si está autorizado para conectarse a través de este servicio. Este mensaje se encuentra en el archivo /etc/motd.

    Antes de proseguir, recordemos que una red se basa en un modelo cliente-servidor. Por lo tanto, para cada servicio hay que saber si se está del lado del cliente o del lado del servidor. Por ejemplo, el no hacer funcionar el servidor web no nos impide navegar por Internet ya que el navegador juega el rol del cliente.


    DisableUserTools - Deshabilitar las herramientas de los usuarios
    Este módulo es breve pero absolutamente indispensable para un servidor. En general, un hacker ingresa a una máquina mediante una cuenta de usuario normal. A continuación recompila algunos programas del sistema a fin de poder explotar sus puntos débiles. Este módulo desactiva al compilador C para todos los usuarios salvo para el superusuario.

     

    Por lo tanto, si una máquina es únicamente un servidor donde nadie necesita compilar hay que eliminar el compilador.

    bastille4

    ConfigureMiscPAM - Configuración de PAM
    La finalidad de este módulo consiste en disminuir los riesgos de ataques tipo 'Denegación de servicios' estos ataques cuelgan al sistema sobrecargándolo (por ejemplo: llenando una partición con archivos core, ejecutando pings mortales, etc)

    PAM significa "Pluggable Authentification Module". Se trata de una biblioteca que permite al administrador del sistema elegir el modo en que autentica cada aplicación a sus usuarios, los permisos que tienen, los recursos a los que pueden acceder, etc.

    • Would you like to put limits on system resource usage? - ¿Desea imponer limitaciones al uso de recursos del sistema? [Y]

    • El archivo /etc/security/limits.conf contiene los límites impuestos al sistema. Bastille-Linux los modifica de la siguiente manera:
      • a la cantidad de archivos core la acota a 0 ;
      • cada usuario puede ejecutar a los sumo 150 procesos ;
      • el máximo tamaño de un archivo se limita a 40 Mb.
    • Se pueden modificar cada uno de estos valores directamente desde el archivo de configuración.
    • Should we restrict console access to a small group of user accounts? - ¿Se debe restringir el acceso a la consola a un pequeño grupo de cuentas de usuario? [N]
      En RedHat 6.0/6.1, los usuarios que se conectan inicialmente desde la consola se benefician con ciertos privilegios como el poder montar el CD-ROM. Es posible restringir el acceso a la consola a un grupo de usuario de confianza. Esta pregunta permite precisar dichos usuarios si se opta por este tipo de política.
    • bastille-2

    Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog:

    0

    Archivo