lunes, 30 de junio de 2014

Manual del Administrador Debian (ebook)

Escrito por dos desarrolladores de Debian — Raphaël Hertzog y Roland Mas — el Manual del Administrador Debian comemzó como una traducción de su versión en francés conocida como Cahier de l'admin Debian (publicada por Eyrolles). Es un recurso imperdible para todos los usuarios de Debian y distros derivadas. Está disponible para todos y además enseña lo esencial a todo aquel interesado en convertirse en todo un Debian Sysamin.

El libro está disponible en varios formatos e idiomas y bajo licencias libres. Por lo que somos libres de descargarlo, usarlo y distribuirlo bajo los mismos términos indicados en las licencias.



miércoles, 25 de junio de 2014

Cómo filtrar el tráfico https en Squid en modo transparente

Squid es un proxy muy potente y aquí hemos trabajado con él. Hoy veremos cómo usar la técnica SSL Bump para poner a Squid "en el medio" interceptando en modo transparente el tráfico "seguro" que va a través del puerto 443 y el protocolo https. Noten que esto no es muy ético y sería buena idea alertar a los usuarios de la red local que esto se está haciendo con fines de auditoría.

Como vimos en un post anterior, podemos crear nuestros propios certificados autofirmados para tratar con https en Apache y otras posibles aplicaciones locales, incluyendo Squid. A los fines de esta guía asumiremos que ya tenemos a Squid trabajando en modo transparente y que solamente estamos trabajando sobre el tráfico https.


martes, 24 de junio de 2014

Disponible Samba 4.1.9

Se encuentra disponible para su descarga Samba 4.1.9, y aunque no trae nuevas características, sí viene con importantes correcciones de seguridad que vienen a hacerle frente a dos problemas mayores. Uno de ellos sería un DoS en el daemon nmbd (NetBIOS name services) debido a un paquete mal formado en versiones anteriores.

Este paquete mal formado provoca que nmbd haga un loop en el CPU y evite futuras ejecuciones de dicho daemon. Otro problema corregido lo es un una vulnerabilidad que puede ser explotada y causar también DoS, sobre-escribiendo memoria en una conexión autenticada al daemon smbd.

Samba es uno de los proyectos que se mantiene en constante actualización y corrección de errores, gracias a una amplia comunidad que trabaja día y noche con esmero.

Pueden descargar esta actualización de seguridad desde su sitio oficial.

Cómo crear Certificados SSL autofirmados para uso local

Como todos sabemos, el tráfico en Internet normalmente no va encriptado o protegido. Por lo que cualquier persona, conociendo las técnicas necesarias, puede interceptar nuestras cosas, y aún si consideramos que mucho de lo que enviamos y recibimos a través de Internet no es de importancia para otros, la existencia de los certificados SSL es debido a la necesidad de proteger nuestra información sensible de ser vistas por otros.

Obviamente, debido a los recientes acontecimientos sobre la NSA, los certificados SSL ahora solo nos dan un falso sentido de la seguridad, pero aún así no podemos dejar de usarlos.

El certificado que vamos a crear lo podemos usar ampliamente en nuestro servidor Web local o en Squid para aplicarle técnicas de filtrado (aunque esto no es muy ético).


sábado, 21 de junio de 2014

OpenIndiana: Instalación paso a paso

OpenIndiana es un sistema operativo libre tipo Unix. Es un fork de OpenSolaris que comenzó a raíz de la compra de Sun Microsystems por parte de Oracle. Su objetivo es continuar con el desarrollo y la distribución del código base de OpenSolaris. El proyecto funciona gracias a la Illumos Foundation. OpenIndiana está enfocada en convertirse en la distribución de OpenSolaris de facto para servidores de producción donde se requieren soluciones de seguridad y errores sin pago.

Además cuenta con un amplio wiki con mucha documentación y podemos descargar el medio de instalación desde su sitio oficial.


jueves, 19 de junio de 2014

UbuntuAIO: Los sabores oficiales de Ubuntu en un solo DVD/USB

Finalmente aparece un proyecto que era necesario. Aunque debió ser desde el mismo Canonical que saliera la iniciativa de tener en un mismo medio de instalación la posibilidad de elegir el escritorio durante el proceso de instalación, como lo hace la gente de openSUSE en su DVD.

El proyecto Ubuntu AIO se originó recientemente en Marzo de este año y tiene como objetivo brindarnos en un solo medio de instalación (DVD o USB) a Ubuntu (con Unity) y sus derivadas oficiales: Ubuntu Gnome, Kubuntu, Xubuntu y Lubuntu). La sola idea es genial para los fans de Ubuntu, los cuales pueden ir a la sección de descargas del blog oficial del proyecto donde se encuentra disponible el más reciente Ubuntu 14.04 LTS de 32 y 64 bits, la 12.04.4 LTS de 32 y 64 bits; otra con soporte EFI, así como otras versiones más antiguas.


http://ubuntuaio.wordpress.com/

Guía Controlador de Dominio Samba4 usando repositorio SerNet (ebook)

Esta es la guía del Controlador de Dominio GNU/Linux con Samba 4 del repositorio SerNet. Este repositorio contiene los rpm's para Red Hat y derivadas de la rama 4.1.x. Todo esto tuvo su origen en el primer post publicado Cómo configurar un Controlador de Dominio con CentOS, Samba4, Kerberos y BIND.

Esta guía, en formato epub, puede utilizarse como referencia para montar servidores en entornos de producción, ya que su resultado es un Controlador de Dominio y Directorio Activo muy estable y funcional.

Espero les sea de gran provecho y utilidad...

Descargar



miércoles, 18 de junio de 2014

Instalación desatendida en sistemas RedHat con Anaconda y Kickstart

Como Sys Admins en ocasiones necesitamos instalar un sistema GNU/Linux en varios equipos, y para ser eficientes, hacemos uso de un servidor de PXE. En adición a esto, cuando se trata de distribuciones derivadas de Red Hat como Scientific Linux, CentOS y Fedora (aunque no obligatoriamente), el asunto mejora aún más debido a que podemos hacer que entre en escena Kickstart.

Kickstart es un método que permite la instalación de un sistema operativo completo sin la intervención humana (desatendido o automatizado), previo a la creación de un fichero de configuración donde se establecen los parámetros a responder a las preguntas que comúnmente hace un proceso de instalación.

A continuación veremos cómo usar Kickstart para hacer una instalación desatendida de CentOS 6 Minimal de 32 o 64 bits.



Vulnerabilidad crítica en BIND garantiza DoS

Se ha anunciado una vulnerabilidad en BIND 9 por la que un usuario remoto podría causar una denegación de servicio.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El problema, con CVE-2014-3859, reside en el tratamiento de las opciones EDNS (Extension Mechanisms for DNS) y que puede permitir a un atacante remoto provocar la caída de named y por tanto la denegación de servicio. La vulnerabilidad afecta tanto a servidores de nombres autoritativos como recursivos que ejecuten las versiones de BIND 9.10.0 y 9.10.0-P1.


domingo, 15 de junio de 2014

Permitir NFS y servicios relacionados a través del Firewall (iptables)

NFS es un servicio que nos permite compartir recursos de nuestro equipo en la red local. Ya lo hemos configurado antes mientras hacíamos la guía del Servidor PXE. Sin embargo, para el mismo consideramos que habríamos de tener tanto el Firewall como SELinux deshabilitados para evitar inconvenientes a los clientes para arrancar correctamente las diferentes distribuciones servidas mediante PXE (y todos los demás servicios que implica, a parte de NFS). 

Ahora pretendamos servir cualquier recurso con NFS pero con el Firewall habilitado. Muchos piensan que solo basta con permitir el paso a través de los puertos 2049 (NFS) y 111 (rpcbind).


viernes, 13 de junio de 2014

12 Inventos que Cambiaron el Mundo: La máquina de escribir

El primer inventor conocido de una máquina de escribir fue un ingeniero inglés, Henry Mill, quien obtuvo una patente para su invento en 1714. El aparato no se manufacturó jamás. No había gran demanda en aquel entonces, ni durante muchos años después,de una máquina que reemplazara a la pluma. Sin embargo, allá por los años del decenio de 1850, la vida avanzaba con mayor rapidez y un inventor tras otro trataron de perfeccionar alguna forma de escritura mecánica. El telégrafo ya se usaba y los operadores podían en192tender las palabras cifradas con mucha mayor prontitud que como podrían escribirlas.

Los empleados de oficinas empleaban la taquigrafía, pero así perdían tiempo en transcribir su trabajo a la escritura ordinaria. En los negocios, en el gobierno y en las oficinas de los periódicos, el pendolista más diestro apenas podía escribir algunas treinta palabras por minuto.


Actualizar de Fedora 19 a Fedora 20 usando YUM

En una entrega anterior vimos cómo actualizar Fedora de la versión 18 a la 19 una versión a otra usando FedUP. Aunque FedUP es el método recomendado por los desarrolladores de Fedora, hacerlo con YUM es más sencillo. Desde un terminal, como root, hacemos lo siguiente:

[fraterneo@rainbow ~]$ su -
Password:
[root@rainbow ~]# yum update -y
[root@rainbow ~]# rpm --import https://fedoraproject.org/static/246110C1.txt
[root@rainbow ~]# yum update yum
[root@rainbow ~]# yum --releasever=20 distro-sync
Aquí comienza el proceso de descarga de unos 1.7 GB (puede variar según las aplicaciones que tengas instaladas).

Al terminar reinicias y ya tienes Fedora 20 con toda tu configuración que tenías con Fedora 19.

jueves, 5 de junio de 2014

¿Cuántos DNS puedo poner en resolv.conf?

Esta pregunta nunca me la había hecho. La realidad es que no más de dos he usado en toda mi vida, y no creo necesario entrar en muchas explicaciones. Sin embargo, es bueno saber que solo 3 direcciones IP serán leídas como servidores de DNS en el fichero /etc/resolv.conf, ya que en más de una ocasión vi un amigo poner hasta 7 direcciones IP de servidores DNS solo "por si acaso alguno falla".

Como nos explica Jordi Prats en su página systemadmin.es, el fichero cabecera /usr/include/resolv.h contiene una línea con un define que determina el valor por omisión para MAXNS, el cual es la cantidad de servidores DNS a seguir.

He podido ver que en Fedora es así y Jordi también comprobó que en otros sistemas como CentOS 5 y 6, Debian 7.2 y FreeBSD 9.2 permanece el mismo valor.

En conclusión, resulta inútil poner más de 3 servidores DNS en resolv.conf.

Fuente:
http://systemadmin.es/2014/06/numero-maximo-de-resolvers-resolv-conf