Cuando almacenamos o distribuimos archivos siempre es aconsejable hacerlo junto a un hash de los mismos para comprobar rápidamente si el contenido del mismo se mantiene intacto. También puede ser útil para aquellos fanáticos de la seguridad.. ya que tienen una manera rápida y sencilla de comprobar si un binario fue alterado o no

Para esto utilizaremos el programa CFV: http://cfv.sourceforge.net/

El mismo se encuentra en los repositorios de debian, así que su instalación es sencilla: #apt-get install cfv y listo.

Para nuestro ejemplo vamos a ver como crear un archivo SFV de un archivo y luego como verificar la integridad del mismo:

Suponiendo que nuestro archivo es tiger-x86.tar.bz2 y queremos crear el SFV en tiger-x86.tar.bz2.sfv hacemos lo siguiente:
#cfv -C -t sfv -f “tiger-x86.tar.bz2.sfv” tiger-x86.tar.bz2

Y si ahora, lo que queremos es verificar la integridad de tiger-x86.tar.bz2, lo que debemos hacer es colocar los dos archivos en el mismo directorio y ejecutar:
# cfv -T -f tiger-x86.tar.bz2.sfv

y si todo sale bien vamos a recibir algo como esto:
tiger-x86.tar.bz2.sfv: 1 files, 1 OK. 36.663 seconds, 36839.0K/s

Últimamente estamos publicando información mas que nada relacionada con la seguridad de la información, así que por ese motivo creamos este articulo.

En este caso vamos hablar sobre los intentos no autorizados a nuestro servidor sobre el protocolo SSH, estos intentos los podemos chequear mirando el archivo /var/log/auth.log donde podemos encontrar algunas lineas como las que exponemos debajo:

Jun 27 00:09:12 tuX sshd[22946]: (pam_unix) check pass; user unknown

Jun 27 00:09:12 tuX sshd[22946]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=marcos

Jun 27 00:09:13 tuX sshd[22942]: error: PAM: User not known to the underlying authentication module for illegal user marcos from marcos

Jun 27 00:09:13 tuX sshd[22942]: Failed keyboard-interactive/pam for invalid user marcos from 192.168.1.10 port 63156 ssh2

Nosotros utilizaremos en este articulo el script “DenyHostsâ€?, el cual analiza estos intentos y según su configuración comienza a bloquear las direcciones IP’s que cree que nos están atacando.

Read More…

Muchas veces por algún motivo u otro, nos vemos obligados a tratar ciertos archivos con mayor seguridad que otros.

Por eso una de las mejores maneras es crear un sistema de archivos encriptados, los cuales solo pueden ser accedidos con la intrducción de una contraseña.

En este caso vamos a utilizar el sistema ENCFS (http://arg0.net/wiki/encfs), este sistema utliza FUSE (Filesystem in Userspace), debemos  tener en cuenta que este filesystem fue implementado a partir del kernel “2.4.X y 2.6.X”.

Read More…

Shorewall es un frontend amigable de IPTABLES que nos permite configurar un poderoso y robusto firewall entre otras cosas.
En esta guia vamos a ver paso a paso como configurar shorewall en modo firewall para una sola interfaz de red.

1. Instalamos shorewall.
apt-get install shorewall

2. Debemos copiar la configuracion por defecto a nuestra carpeta de configuracion.
cd /usr/share/doc/shorewall/default-config
cp * /etc/shorewall/

3. Ahora vamos a configurar los archivos de interfaces y zonas:
/etc/shorewall/interfaces: Acá vamos asociar las interfaces de nuestro sistema. En nuestro caso una: eth0
El contenido del archivo sería:
net eth0 detect routefilter,dhcp,tcpflags,logmartians,nosmurfs

/etc/shorewall/zones: Acá vamos a definir las zonas que utilizamos para las interfaces. Como solo tenemos una la llamamos net:
El contenido del archivo sería:
net net

/etc/shorewall/policy: Acá vamos a definir las políticas de seguridad para las zonas. Como solo tenemos una y lo que queremos es que se tenga acceso a internet (net) en un solo sentido vamos a poner lo siguiente:
El contenido del archivo sería:
$FW net ACCEPT
net $FW DROP info

/etc/shorewall/rules: Acá vamos a definir las reglas de trafico, estas reglas se superponen a las políticas asi que acá podemos permitir el trafico desde/hacia una zona bloqueada hacia/desde un puerto o rango en particular.
En nuestro caso queremos permitir el acceso al puerto 22.
El contenido del archivo sería:
ACCEPT net $FW tcp 22

4. Por ultimo debemos verificar que esta todo correctamente configurado antes de iniciarlo, para eso debemos hacer:
#shorewall check
y si esta todo bien podemos iniciarlo:
#shorewall start

Si no hay ningun problema ya estamos listos para configurar el inicio automatico de shorewall al bootear el equipo, para eso hay que editar los siguientes archivos:
en /etc/shorewall/shorewall.conf debemos poner:
STARTUP_ENABLED=Yes
y en /etc/default/shorewall:
startup=1

NOTA: si hacemos un cambio en los archivos debemos testearlos con shorewall check y si esta todo bien, reiniciamos el firewall con shorewall restart.

De esta manera tenemos nuestro sistema protegido con un potente y simple firewall.
Si lo desean, también pueden ver nuestro script para checkeo de reglas: http://www.wikipeando.com/index.php/archives/129

Para verificar si nuestro servidor esta autorizado a enviar correo electrónico en nombre de determinado dominio se crearon los denominados registros SPF que es una verificación a nivel DNS que autoriza a determinados IPs a enviar correo electrónico en nombre del propio dominio. Con esta medida se espera combatir el spam.

Su implementación en el sistema DNS de VHCS es sencilla, basta con editar el archivo /etc/vhcs2/bind/parts/db_e.tpl e insertar lo siguiente en la linea 17:

{DMN_NAME}. IN TXT “v=spf1 a mx ip4:{DMN_IP} ~all”

De tal forma que quede algo mas o menos asi:

{DMN_NAME}. A {DMN_IP}
{DMN_NAME}. IN TXT “v=spf1 a mx ip4:{DMN_IP} ~all”
ns IN A {DMN_IP}
mail IN A {DMN_IP}
www CNAME {DMN_NAME}.
ftp CNAME {DMN_NAME}.

Ahora solo queda decirle a VHCS que regenere los archivos de cada dominio y listo.

Como bien sabemos cuando agregamos un dominio nuevo a nuestro sistema VHCS el mismo genera los archivos para apache y bind a partir de unas plantillas situadas en su directorio de configuración, ahora bien… si luego de editarlas queremos regenerar dichas configuraciones basta con hacer lo siguiente:

#Detenemos el demonio:
/etc/init.d/vhcs2_daemon stop

#Actualizamos las tablas en MySQL (podemos usar el phpmyadmin tambien, da igual)
mysql -u root -p
***CLAVE_ROOT_MYSQL***
USE vhcs2
UPDATE `domain` SET `domain_status` = ‘change’ WHERE `domain_status` = ‘ok’;
UPDATE `domain_aliasses` SET `alias_status` = ‘change’ WHERE `alias_status` = ‘ok’;
UPDATE `subdomain` SET `subdomain_status` = ‘change’ WHERE `subdomain_status` = ‘ok’;
quit

#Forzamos la actualización manualmente:
/var/www/vhcs2/engine/vhcs2-rqst-mngr

#Iniciamos el demonio nuevamente:
/etc/init.d/vhcs2_daemon start