sábado, 30 de julio de 2011

Securizando servidores (IV)

Volvemos a darle al blog tras un pequeño tiempo de inactividad y con un sueño que no es normal en un sabado por la mañana. Pero a lo que vamos.
Como hemos ido viendo, uno de los mayores quebraderos de cabeza a la hora de administrar un servidor es mantener un mínimo de seguridad en él, para evitar muchos intentos de intrusión. Está claro que con las medidas de seguridad que voy comentando no tendremos el servidor blindado al 100% contra todo ataque, pero sí que nos quitaremos de encima a bots y a la gente que busca entrar en servidores sin quebrarse la cabeza.
Hoy traigo un par de aplicaciones, mod_security y fail2ban. Mod_security es parecida a la que comenté en un post anterior, mod_evasive, y tiene un funcionamiento parecido. Es un añadido para el servidor apache que hará de firewall. Hay varias formas de instalarlo, compilandolo o mediante un paquete preconfigurado para la distribución que se use. Los paquetes son mantenidos por la comunidad, por lo que no siempre tiene que estar la última versión disponible o puede que no esté para tu distro. Puedes descargarlo y ver más información desde su página web: modsecurity.org
Fail2ban es otra especie de firewall. Analiza los logs buscando intentos de conexión fallidas para bloquear la IP. Analiza los logs de varios programas: ssh, diversos ftps, apache, etc. Se puede configurar el numero de intentos, el tiempo que la IP va a estar baneada, si quieres que una IP no se banee haga lo que haga, entre otras opciones. Con esta aplicación nos quitamos a los molestos bots que intentan sacar una contraseña por fuerza bruta o por diccionario, ya que al fallar se bloquea la IP atacante. Hace casi 2 años que no se actualiza, pero sigue siendo igual de efectiva. Para instalarlo, tenemos los métodos de siempre, compilarlo o descargar un paquete para nuestra distro favorita. Más info en su web: fail2ban.org
Siento no poner un paso a paso, y una pequeña explicación de la configuración, pero estoy muy perro para hacerlo, ya que no los tengo instalados y puf, solo de pensarlo me canso :P ¡Hasta la próxima, a saber cuando y con qué vuelvo!

martes, 12 de julio de 2011

Securizando servidores (III)

Seguimos con esta tanda de post dedicados a mantener una seguridad básica en nuestro servidor Linux. El lío del kernel del post anterior fue al final de fácil solución: pasando de actualizarlo. Así de sencillo, y luego nos extrañamos de que entre gente no deseada en nuestro servidor, pero cada uno a lo suyo.

Hoy una nota rápida para actualizar el kernel y en la próxima entrega ya pasaremos a ver programas más interesantes. Si nos toca actualizar el kernel a mano, lo que tendremos que tener instalado es el gcc.
Paso 1: Bajar el kernel de www.kernel.org.
Paso 2: Movemos lo descargado a /usr/src
mv linux-* /usr/src
Paso 3: Descomprimir el archivo
tar xivf linux-*
Paso 4: Entramos en la carpeta descomprimida
cd linux-*
Paso 5: Creamos el archivo de configuración para la posterior compilación
make config
Para una configuración por defecto pulsar enter hasta que acabe. (Habrá un método mejor, pero aún no lo conozco :P)

Paso 6: Compilamos el kernel
make
Paso 7: Compilamos los módulos
make modules_install
Paso 8: Instalamos el nuevo kernel
make install
Paso 9: Editamos el grub, en mi caso se añadio sóla la línea, simplemente faltaba por cambiar el orden de ejecución.
        title Fedora (2.6.39.3)
        root (hd0,0)
        kernel /boot/vmlinuz-2.6.39.3 ro root= #mas cosas
        initrd /boot/initramfs-2.6.39.3.img
Conviene copiar las líneas del antiguo kernel y modificarlas a la versión correcta.

En teoría ya debería de funcionar todo correctamente al ser una instalación básica, pero si hay tiempo y ganas, a la hora de crear el config se pueden modificar muchísimas cosas que harán que nuestro servidor sea más estable, aunque puede traer muchos quebraderos de cabeza con los maravillosos kernel panic.

viernes, 8 de julio de 2011

Mac OS X Lion, ¿Tan novedosas son sus novedades?

Vamos a meternos hoy un poco con los de Apple, con el permiso del Sr. Jobs, y es que he estado pensando, cosa rara. Me ha venido a la cabeza que el nuevo sistema operativo de Apple se va a actualizar por internet, y ¡menuda novedad!

O no, ya que el actualizar el sistema operativo sin necesidad de disco ya lo tenia desde hace tiempo Linux, con Ubuntu he pasado de la version 7.04  a 7.10 y sucesivas por medio de Wifi incluso, y con Fedora, Debian... ¿Y con Windows? Pues si se consideran los Service Pack...

Bueno, a lo que iba, que voy a meterme con Apple y no con Windows por una vez, aunque se lo merezca :P. Lo dicho, ahora Apple quiere revolucionar a todo el mundo ofreciendo la instalación por red de un sistema operativo (si no es por soporte físico, es por red) y la gente se maravilla sólo con pensarlo (uohhh, uaahhhh), pero, ¿Porqué Apple puede hacerlo y el resto no? Si nos fijamos en los productos de Apple, siempre han sido pocos modelos en comparación con el resto de la competencia. HP te saca un montón de modelos de PCs al año, Toshiba otros tantos, etc...

Toda esta amalgama* de ordenadores vienen con Windows, o si están perdidos con Linux, pero como los de Apple son más cerrados que nada, sus pocos productos vienen con su sistema operativo, con las ventajas que eso supone. Veamos los casos de actualizaciones de los 3 sistemas operativos:

Windows: Ya viene instalado en el PC y como la mayoría de la gente ni sabe ni quiere saber, les da igual estar desactualizados, caso a parte el que saquen nuevos sistemas operativos cada puf o más. El que quiere actualizarlo porque tiene el XP y el 7 mola mogollón, generalmente no pasa por caja. Y claro, ahí eso de instalar un 7 sin cd/dvd dificl... Y el resto, espera a comprase otro PC para actualizar el Windows. Caso cerrado.

Linux: Hay varios casos aquí también, y al menos para la primera instalación si hace falta tener un soporte físico para instalarlo. O bien es gente que tiene un PC con windows e instalan Linux aparte (o se cepillan el Windows a la primera de cambio como un servidor) o son gente más sensata y se compran el ordenador por piezas (de estos hay también en Windows, pero la mayoría tampoco parasá por caja...) y hay que instalar Linux de alguna forma. Se que hay varias maneras de instalación, pero las que yo conozco sí requieren al menos un pequeño usb para cargar el instalador, aunque el resto se baje de internet. Si ya tienes un Linux instalado, los siguientes sí te los puedes descargar e instalar.

Mac: ¿Y qué les hace a ellos tan especiales? Sencillo, que están más obligados a pasar por caja que los que usan Windows, y muy poca gente le quita el OS a un Mac (dadme tiempo) para meter otra cosa, por lo que teniendo un numero reducido de modelos es viable lanzar una actualización que se descargue en tu sistema operativo antiguo... ¿Sistema operativo antiguo? Anda, ahí está la trampa. La mayoría de usuarios de Mac actualizan el sistema pasando por caja, y con las mejoras que ofrece cada actualización, más razón aún. Por lo que para Mac si es viable tener la posibilidad de actualizarlo mediante sólo red. Se ahorran una pasta en distribución y en materiales y limpio para la saca. Pero como pasa en Linux, necesitamos tener una versión anterior para poder descargarlo, asi que, novedad lo que se dice novedad, no es.

Bueno, tras escribir unas cuantas chorradas insulsas, me despido antes de que alguien me apedree. ¡¡Hasta la próxima, que a saber cuando será!!

* Ni idea de lo que significa, pero queda chulo.