jul 18 2013

Sobre mi Demo en ConectaCon. Seguridad y Optimización en servidores GLAMP (PDF, 12 páginas)

ConectaCon Jaén 2013Lo primero, os pido disculpas a todos los que me habéis escrito durante este tiempo para ver si publicaba (de una vez;) esta entrada. Como ya os comenté, tuve la suerte de poder estar en ConectaCon (Jaén) junto a grandes profesionales y amigos.

Allí hablé de (IN)Seguridad y Optimización en servidores GLAMP (GNU/Linux, Apache, MySQL, PHP). Aunque también mencioné otros escenarios que incluyo en el PDF. (Rel, en DragonJar TV).

Sobre el título “original” de mi demo -:P, ya os dije que fue cosa de Oreixa, compañero de batallas en APACHEctl. Parece una frase hecha pero en serio, las sensaciones no pudieron ser mejores y espero estar allí en 2014 porque al final, lo del nivel humano cuenta (de eso había y mucho).

Sobre el evento, Lorenzo en Security By Default ya publicó su impresión personal. Por la parte que me toca, puse cara a gente que seguía a diario y reforzar la amistad con otros en momentos en los que “siempre te falta tiempo”. Además de ver ponencias y demos de gran interés en campos que “no son lo mío” y reforzar otros conocimientos en un ambiente genial y trato inmejorable.

ConectaCon Jaén 2013

Al igual que en el PDF, incluyo la foto de grupo, si hacéis click en ella, veréis el resto.

Al final, este post se alargó porque he querido incluir material publicado tanto por mi como otros (y cuestiones que en mi demo fueron imposibles de abarcar debido al tiempo), además de proponer otras alternativas o herramientas complementarias y dejaros una información lo más actualizada posible. Muchas gracias “a todos por todo”, si con estas líneas y lo que vayáis leyendo en el PDF hay material que os pueda ayudar, me daré más que por satisfecho. Tomadlo como un punto de partida e insisto, lo que hagáis, antes de pasarlo a producción probadlo ¡ Un fuerte abrazo a todos !

Descarga –>  ConectaConGLAMP. PDF, 12 páginas, 1,1 MB.

 

Tags: , , , , , , , , , ,


dic 03 2012

Hackers & Developers nº 1. Descarga disponible

Después del éxito del número “0”, (cerca de 23.000 descargas) mis amigas de Hackers & Developers vuelven con fuerza (cumpliendo con las fechas, no como el que escribe / suscribe ;) y tenemos ya para descargar el nº 1 de su más que recomendable Magazine con estos contenidos:

Este mes en Hackers & Developers…

Pásate a GNU/Linux con Arch Linux: Parte I     (pág 3)
Guifi.net: la red abierta libre y neutral      (pág 10)
La importancia del shell, vi y regex           (pág 14)
Los impresionantes archivos .PO – l10n de GNOME (pág 19)
Google Maps API: Primeros Pasos         (pág 25)
THREE.JS ¿va a hacer todo eso por mi         (pág 32)
Arquitectos y diseñadores, los roles opcionales (pág 36)
Programador: Si. Diseñador: ¡Ni de riesgos!    (pág 42)
PSeInt: Una invitación para empezar a programar (pág 44)
¿Qué son los Namespaces?             (pág 48)
Manual de MVC: (1) FrontController         (pág 54)
U! – Respondiendo a los lectores         (pág 63)

Descarga del número 1 y más info.

Mi más sincera enhorabuena a todo el equipazo (sólo recordar que está, cómo no podía ser de otro modo nuestra “Euge” de DebianHackers ;). Esperamos con ganas el número 2 !! (y quizás hago un pedido en vuestra “store” para la espera entre número y número ;D).

Tags: , , , ,


ago 06 2012

DaboBlog Podcast, “Kernel Panic” Especial Fluxbox

tuxipod.jpgEn esta ocasión, vamos con un episodio especial sobre Fluxbox con Debish, compañero de DebianHackers, autor del blog Debianeando y al que también le le podéis seguir en su Twitter (Debianeando) o en Identi.ca (Debish). Hay vida más allá de GNOME, KDE, XFCE, Unity, etc, también otras formas de ordenar vuestras aplicaciones, gestionar y aprovechar de una forma más eficiente cada milímetro de vuestro escritorio, de eso trata este podcast.

Desde aquí, tengo que darle las gracias por lo bien que lo ha preparado y la paciencia cuando quieres explicar algo que se entiende mejor de forma escrita. Hablo de los textos que acompañan al audio en esta segunda grabación (hubo una fallida hace unos meses) en la que no hemos tenido ningún problema ;).

Tal y como digo en el podcast, es muy importante si queréis conocer e ir probando las opciones comentadas en este especial, visitar los enlaces que ha preparado Debish y leer el texto que se ve más abajo a modo de toma de contacto con los ficheros de configuración que se citan en el audio.

Estamos en plena fase grabación del podcast 37 (falta “Manzanas”) y sobre mediados de mes lo publicaré para espaciarlo de este especial Fluxbox. Así que…buen verano y nos volvemos a escuchar pronto !

Contenidos incluidos; Duración 1,31 h

(Por David Hernández, Dabo y Debish)

> Kernel Panic “Especial Fluxbox”

En Twitter; Dabo y Debianeando. (Debajo del audio, texto de apoyo y links).

Leer el resto de;”DaboBlog Podcast, “Kernel Panic” Especial Fluxbox”


oct 15 2011

De seguridad en WordPress. plugins recomendados, configuraciones de Apache y nmap

# Introducción y enlaces recomendados para su lectura.

Rel: Febrero 2014 –> Webcast y vídeo con Oreixa. Ataques e (IN) Seguridad en WordPress.

Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título “Hardening WordPress” (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de “System Admin”, escribió un artículo “Configuración segura de Apache para WordPress“, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap). (Añado) En Security Art Work también están con una interesante entrega.

En el caso de Jordi, fue a raíz de un post muy interesante de Chema Alonso (de “El lado del mal”) en el que realizaba un ataque de este tipo, con algún tip más (por ejemplo el típico error del listado de directorios en Apache y entrar “hasta la cocina”). También añado esta entrada de Samuel Aguilera sobre WordPress y Mod Security.

Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de “El Arca de la alianza” ya que en alguna ocasión me lo había comentado, y era algo en “pendiente” desde que grabé con él un podcast sobre “Iniciación a la seguridad informática”. (y a ver si retomas la publicación bandido;).

Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.

Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors “off”) para que no revele el “path” o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).

# 25 Plugins para dotar a WordPress de más seguridad.

#Actualizado, al final están los nuevos, gracias por vuestras sugerencias ;)

 Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.

Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o “trackbacks” ya que no es muy difícil ver “falsos positivos” y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en “Ajustes-Comentarios”). Web del plugin

Automatic Updater: Muy interesante, podéis olvidaros de darle al botón de “actualizar” tanto a nuevas versiones de WordPress como a temas y plugins. Eso sí, ojo con las personalizaciones de plugins y temas. Web del plugin

Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los “pingbacks” o “trackbacks”. Web del plugin.

WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.

WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.

Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador “Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon”. Web del plugin.

WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.

Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en “cola” de aprobación, a los usuarios con correos o IPs que puedan estar marcados como “spammers” por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.

Además del comentado “Stop Spammer Registrations”, que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;

Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.

Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del “Really Simple” para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.

WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.

Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de “login”, se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa “lista negra”. Web del plugin.

AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación “HTTP Basic” o una más segura “HTTP Digest Authentication”. Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.

Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.

Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo “index.php” en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como “Windows Live Writer” o “”Really Simple Discovery”” o remover informaciones de error en el login. Web del plugin. (Actualizado, ahora de Acunetix, nuevas funciones e interesante la opción “Live Traffic”, sustituido porAcunetix WP Security“)

Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / “Base 64″, etc. Web del plugin

WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; “Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding“. Web del plugin.

WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta ” WP Generator META” del “core” de WP. Web del plugin.

AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.

Mutex; (tal y como publican en Security By Default) “Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión”. Web del plugin.

WordPress Firewall 2; Otro de esos que no pueden faltar y que bloquea múltiples peticiones potencialmente peligrosas para tu blog. Web del plugin.

Añado:

Wordfence: Todo lo que he visto me ha gustado, el monitor para ver el tipo de tráfico, ataques de fuerza bruta, el escaneo y comparación de versiones de ficheros de WordPress, etc. Web del plugin.

Better WP Security: Un todo terreno y gran post en Security By Default sobre él.

Sucuri Security. Otro más con interesantes funcionalidades tanto para bloquear ciertos ataques y prevenirlos, además de tener un mayor control sobre tu instalación. Web del plugin.

Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre “Web Site Defender“, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !

Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la “seguridad total” es sólo eso, un concepto, estas acciones os ayudarán a estar “un poco más tranquilos”, saludos ;).

Tags: , , , , , , , , , ,


sep 09 2011

“Seguridad Por Niveles”, el libro. Descarga gratuita en PDF (700 pag).

Cuando el amigo Alejandro Corletti te envía un e-mail, ya sabes que es sinónimo de buen material. Tanto aquí como en Daboweb, más de una vez nos hemos hecho eco de sus trabajos y el que hoy os recomiendo, es sencillamente impresionante. En este caso con un prólogo y presentación firmado por Arturo Ribagorda Garnacho y Jorge Ramió Aguirre.

En el libro “Seguridad por niveles” (Con licencia Copyleft) se da un excelente repaso a lo que alguien interesado en redes o seguridad informática puede necesitar, desde las capas más bajas del sistema (Modelos OSI, DARPA, etc) a las más altas, desgranando el protocolo TCP-IP, pasando por el análisis de tráfico de red (algo que hace muy bien nuestro gran colaborador y redactor de Daboweb Alfon de “Seguridad y Redes“) con herramientas como Wireshark, tcpdump, etc además de introducirnos en el mundo de los “sniffers”. Hablando de estos temas, puedes ver el gran trabajo que está realizando Alfon en Daboweb desde este enlace con su sagaAnálisis de capturas de Red“.

En el libro también se habla también de; ARP, ICMP, IGMP, DHCP, IPV6, DNS, Telnet, FTP, SSH, SMTP, SSL-TLS, los Honey Pots, Criptografía, PKI, etc, además de cómo se pueden detectar vulnerabilidades en estos protocolos así como los procesos por los cuales se pueden ver comprometidos (ARP o DNS Spoof).

Hay un capítulo dedicado a los IDS (Sistemas de detección de intrusiones) y no podían faltar en un libro como este herramientas Open Source tan populares y efectivas como Snort, Nikto, OpenSSH, Netcat, Nmap, Iptables y un largo etc.

Al final del libro podrás encontrarte con capítulos en los que se habla de auditorías de seguridad, la familia ISO 27000 (sistema de gestión de la seguridad de la información), IPsec o lo que es un Plan de Continuidad de Negocio.

En definitiva, una guía bajo mi punto de vista que resume muchos aspectos imprescindibles para aficionados y profesionales tanto de la gestión de sistemas, redes o seguridad desde la base hasta niveles más altos en cuestiones técnicas.

Muchas gracias Alejandro una vez más por tu aportación a la comunidad, la forma de distribuir tu libro y tu profesionalidad -;).

Acceso a la información sobre el libro en darfe.es

Descarga directa del libro en PDF (709 páginas, 22 mb).

 

Tags: , , , , , , , , , ,


ago 02 2011

Descarga gratuita en PDF del libro “Open Source Security Tools” (ENG).

Si bien es cierto que el libro data del año 2004, muchos de los artículos siguen siendo de gran utilidad para gente interesada en cuestiones de seguridad informática. De hecho y como se puede ver en Amazon, está a la venta por un precio de 34$.

El libro (600 páginas) está escrito por Tony Howlett y Publicado by Prentice Hall y forma parte de; “Bruce Perens’ Open Source Series“.

Entre muchos otros, se tratan tema como;

  • Instalar un firewall open source usando Ipchains, Iptables, Turtle firewall, o Smoothwall
  • Escaneo de puertos y testeo de vulnerabilidades.
  • Uso de Nmap, Nlog, Nmap para Windows, Nessus y NessusWX
  • Uso de sniffers y sistemas de detección de intrusos, (Tcpdump, Ethereal, Windump, Snort™, y Snort™ para Windows)
  • Análisis y “tracking” de datos con Swatch, ACID y NCC
  • Comunicaciones cifradas con PGP, GnuPG, SSH y Free S/WAN

Visto en Debian Admin. Descarga (yo lo he hecho desde el programa de afiliación de “Ubuntu Geek”, así se llevan algo)

Requiere dejar datos de registro, de todos modos, hay más formas de bajarlo con una simple búsqueda en Google).

También te puede interesar otro libro; Linux® Quick Fix Notebook- Free 696 Page eBook

  • Build Linux file/print servers and networks from scratch
  • Troubleshoot Linux and interpret system error messages
  • Control every step of the boot process
  • Create, manage, secure, and track user accounts
  • Install, configure, and test Linux-based wireless networks
  • Protect your network with Linux iptables firewalls
  • Set up Web, email, DNS, DHCP, and FTP servers

Ya sabes, lecturas técnicas recomendables para este veranito que al menos en Gijón, no acaba de llegar -;)

Tags: , , , , , , , , , , ,


jul 07 2011

Cómo activar el modo “fullscreen” o pantalla completa (también llamado “zen mode”) en WordPress 3.2

Category: Software | CMS,Tutoriales | Guías,Webmasterdabo @ 9:10 am

Esta entrada no tendría mucha lógica si unos cuantos colegas que usan WordPress, no me he hubiesen hecho llegar la pregunta sobre cómo activar el modo “pantalla completa” en WordPress 3.2.

También está siendo llamado “zen mode” en alusión a este post sobre WP 3.2, (ENG) que llevó la firma de Matt Mullenweg creador de WordPress, allí hacía una especial mención a la escritura sin distracciones en modo “fullscreen” (así se se llama el botón para activarlo).

Es muy sencillo hacerlo y sinceramente, es una de las características que más me está gustando de WordPress 3.2 aunque las distracciones no creo que vengan tanto de la pantalla, sino más bien de Twitter, los RSS y Facebook o Google + (para quienes uséis esas dos redes sociales, no es mi caso ya que no me veo también actualizando perfiles allí, entonces, entre mis trabajos de consultoría, los que llevo a cabo en APACHEctl , el podcast que saldrá por cierto en breve el episodio 29, más la participación en los blogs y comunidades que ves en el sidebar (mis otras webs) apaga y vámonos ;D.

Cómo activar el modo “pantalla completa” en WordPress 3.2

# 1º; Cambias la pestaña dentro del editor gráfico (si lo tienes activado en tu perfil) de modo Visual a HTML.

# 2º Haces click en el botón que ves debajo donde pone “fullscreen” (pantalla completa en Inglés) y el cambio se hará efectivo.

Acto seguido, verás una limpia y bonita pantalla blanca con el título y el texto que estás escribiendo, si acercas el ratón a la zona superior, saldrán los controles para añadir una imagen, insertar un enlace, cambiar la alineación, edición de texto, etc, o salir del modo “pantalla completa” tal y como puedes ver en la captura inferior.

Captura wordpress 3.2

Pincha para ampliar

Por cierto, en la entrada que le dediqué en Daboweb al lanzamiento de esta versión junto a sus novedades y con el poco tiempo que lo había probado, ya dije que notaba una mayor ligereza y rapidez en la carga (se nota más en el panel de admin),

Unas cuantas actualizaciones y post después me reafirmo, se nota el trabajo con el código, gracias y enhorabuena a toda la comunidad que está detrás del desarrollo de WordPress. Ahora a seguir escribiendo, compartiendo y “mucho zen” para todos -;).

 

Tags: , , , , , ,


jul 04 2011

Actualizar galerías Coppermine de la versión 1.4x a la 1.5x (posibles problemas y algún consejo)

Category: Software | CMS,Tutoriales | Guías,Webmasterdabo @ 1:40 pm

Como muchos sabéis, Coppermine es un sistema de gestión de galerías fotográficas Open Source muy utilizado y con opciones muy interesantes, más en la rama 1.5x, (podéis ver un ejemplo en mis galerías de DaviHM o Fotos de Gijón). Con la llegada de la rama 1.5x, han venido como digo mejoras notables en la gestión de las galerías, así como de las opciones disponibles. Unas más visibles y otras no tanto a nivel de “core” del CMS.

Este es un post que hacía mucho tiempo tenía ganas de publicar y por falta de tiempo no había podido hacerlo, ayer estuve instalando y actualizando las galerías de un cliente y fui recopilando los pasos a seguir o los problemas que me encontré con el update.

Realmente, hay mucha documentación en la web del proyecto y un foro de ayuda en castellano, pero si seguís estos pasos no tenéis que tener problemas a la hora de pasar a la rama estable 1.5x.

El proceso de actualización viene a ser “el de siempre”, esto es;

Hacéis una copia de seguridad de la base de datos ya que escribe más cambios de los habituales que cuando se hacía la actualización de la rama 1.4x. También de toda la galería.

Dejáis la carpeta “albums” tal y como está (ahí están las fotos subidas, miniaturas, etc). Es decir, cuando subáis los nuevos ficheros no la sustituyáis ojo !.

Dentro de /include está el fichero “config.inc.php“, ahí están los datos de conexión del CMS a la base de datos (como wp-config en WordPress por ej). No lo sustituyáis.

Una vez subidos los nuevos ficheros, si accedéis a vuestra galería os podéis encontrar un con un “bonito/puñetero”; “fatal error”,bien eso se solventa ejecutando vuestrodominio/update.php

(Ahí se escribirán todos los cambios en la base de datos necesarios para que funcione perfectamente la nueva rama de Coppermine). Después borrad install.php y update.php.

Ahora, otras consideraciones y problemas que podéis tener.

Es importante que desde el menú “config” (vuestrodominio/admin.php) vayáis a la opción “Check versions” (http://www.vuestrodominio/versioncheck.php) y ahí comparar las versiones instaladas y ver si falta algo.

Es más que posible que ese “Check versions” os informe que dentro de “albums” falten algunos ficheros (directorio “edit” por ejemplo), subid vía FTP buscando dentro de la nueva versión descargada (por ej 1.5.12) dentro de “albums” el directorio “edit” al directorio “albums” que tenéis subido y que recuerdo, no hay que sustituir en la actualización.

Una vez hecho todo esto, es más que posible que cuando queráis ver una imagen al pinchar en una miniatura, os pida un password para hacerlo. Esto es por la configuración de “grupos” y los permisos para los “visitantes”.

Tenéis que ir a http://www.vuestrositio/groupmgr.php (o hacer click en groups o grupos según el idioma) y ahí en “Guest” (invitados) poner los siguientes permisos para ver las imágenes en “Access level” o “nivel de acceso”;

 

Los temas anteriores (de la rama 1.4x) en principio deberían funcionar (os saldrán mal maquetadas o colocadas las opciones cuando estéis logeados como “admin” a la galería pero los visitantes lo verán bien). De todos modos, en Coppermine dan los consejos y pistas necesarias para que sean compatibles con la rama 1.5x.

Espero que os sea de utilidad y que os ahorre algún dolor de cabeza. No obstante como en cualquier tutorial de este tipo, siempre aconsejo ir a la documentación oficial (ES). Saludos ;).

Tags: , , ,


mar 16 2011

DaboBlog Podcast. “Kernel Panic” especial Amazon EC2 con Ricardo Galli (Menéame, UIB) y Raúl Naveiras

tuxipod.jpgHola amigos, como sabéis, no hace mucho tiempo hicimos un “Kernel Panic” especial SysAdmin dedicado a la administración o gestión de un servidor y proyecto web. Creo que es un audio “imprescindible” para coger bien la onda de este. Ese podcast tuvo mucha pegada y por daros un datos, se coló en el Top 2010 de ivoox.com en tecnología. Este fue el post de Ricardo en su blog sobre su experiencia con ese especial e impresiones.

Es muy recomendable leer esta entrada de Ricardo sobre cómo migró Menéame hacia Amazon que es un poco la base de dónde viene todo esto. Actualización, Junio 2014, sobre AWS y escalabilidad (Hangount), muy recomendable.

En esta ocasión, tal y como digo con toda la sinceridad en el audio, se juntan el profesor (Ricardo) y mi “maestro” (Raúl Naveiras). Dos personas muy cercanas a mi y que por diferentes motivos me han marcado mucho en lo personal y profesional e imagino que (además de otros factores) por Raúl, que fue quien me empezó a enseñar algo de sistemas hace años, apachectl.com entre otros proyectos es una realidad…

El blog de Ricardo (@gallir) ; http://gallir.wordpress.com, el blog de Raúl (@rnaveiras) ;  http://raulnaveiras.es. Muchas gracias a ambos por la participación -;).

Especial SysAdmin y Servidores Web, en “Kernel Panic” con Ricardo Galli  y Raúl Naveiras.

Como muchos os daréis cuenta, yo aquí sí que actúo de “mediador”, entre lo que se dice y vosotros, la audiencia. Creo que se entiende todo bastante bien y hemos hecho todos un esfuerzo para que así sea. Si una vez escuchado este audio te surgen dudas, estaremos todos muy al tanto de vuestros comentarios.

Leer el resto de;”DaboBlog Podcast. “Kernel Panic” especial Amazon EC2 con Ricardo Galli (Menéame, UIB) y Raúl Naveiras”

Tags: , , , , , ,


oct 16 2010

Bloqueo de ataques de fuerza bruta en servidores GNU/Linux con BFD

Lo primero que os recomiendo antes de empezar a leer esta entrada, es dar un vistazo (los asiduos a DaboBlog ya lo conoceréis) a este post sobre el resumen de mi participación junto a Oreixa en el pasado EFIMP (Eset Foro Internet Meeting Point) de Gijón en el que hablo de diferentes tipos de ataques web y control del tráfico en nuestro servidor GNU/Linux con herramientas como Mod Evasive, Apache Status, Mod Security, Medusa, Whatweb, Pentbox, APF Firewall, etc.

Más que nada lo digo porque cuando hablamos de ataques de fuerza bruta, solemos dar prioridad (obviamente) a servicios como ssh con soluciones como fail2ban o DenyHosts tal y como reseño en esa entrada pero ¿qué pasa por ejemplo con el FTP u otros tan sensibles como el correo?

Ahí es donde entra en escena BFD, una herramienta más de los creadores de APF Firewall (que por cierto, su trabajo es impresionante, mirad la lista, tengo que probar LSM, Linux Socket Monitor)

¿Qué es y cómo actúa BFD?

BFD es una aplicación creada por Ryan MacDonald con licencia GPL que una vez instalada, se ejecuta por defecto cada 3 minutos en el cron, buscando en logs relevantes del sistema (/var/log/secure, /var/log/auth.log, /var/log/messages, esto puede variar según la distro) rastros de posibles huellas de ataques de fuerza bruta (fallos de autenticación) en servicios como courier, cpanel, exim, proftpd , pure-ftpd, sshd, etc.

¿Cómo actúa? una vez que localiza el ataque (por defecto el valor que viene en su configuración es “TRIG=”15″, 15 intentos) ejecuta un comando del sistema para bloquear el host que lo ha provocado (por defecto usa el bloqueo de APF Firewall, asumiento, erróneamente a mi modo de ver, que se tiene instalado APF, este es el comando (BAN_COMMAND=”/etc/apf/apf -d $ATTACK_HOST {bfd.$MOD}”)

Aspectos a tener en cuenta. (Probado en Debian Lenny)

Pero en ese valor, (BAN_COMMAND=) podéis usar comandos de iptables, Shorewall, etc, u otro del tipo BAN_COMMAND=”route add -host $ATTACK_HOST reject”. Eso queda a vuestra elección y depende de qué tengáis instalado en el servidor web.

En el fichero de configuración principal que está en; /usr/local/bfd/conf.bfd también se puede definir además de los intentos de bloqueo, comando para rechazar el host atacante y el resto de opciones, que se envíe un e-mail (EMAIL_ADDRESS=”aquí el mail”) avisando del ataque y posterior bloqueo.

Su instalación es muy sencilla, una vez descargado con tipear un ./install.sh es suficiente pero en mi caso, me daba este error en el cron; Error: bad minute; while reading /etc/cron.d/bfd . No era el tiempo de ejecución sino que ahí también va un valor referido al email que hay que rellenar al igual que en /usr/local/bfd/conf.bfd;

MAILTO=aquí el mail, por defecto vacío
SHELL=/bin/bash
*/3 * * * * root /usr/local/sbin/bfd -q

Por lo que además de incluir el mail en la configuración principal; /usr/local/bfd/conf.bfd, también deberéis tener en cuenta este campo a rellenar en el cron; /etc/cron.d/bfd.

Para ver que funciona correctamente, hablando del cron, os recomiendo tener una consola con el siguiente comando;

tail -f /var/log/syslog | grep -i bfd

Y si todo va bien y no os sale el error de “bad minute”, se debería ver cada 3 minutos esto;

Oct 16 21:24:01 server /USR/SBIN/CRON[5017]: (root) CMD (/usr/local/sbin/bfd -q)

Oct 16 21:27:01 server /USR/SBIN/CRON[5468]: (root) CMD (/usr/local/sbin/bfd -q)

Oct 16 21:30:01 server /USR/SBIN/CRON[5468]: (root) CMD (/usr/local/sbin/bfd -q)

También en /var/log hay un fichero que se crea referido a BFD (/var/log/bfd_log).

Lo último que os recomiendo, es que miréis bien tanto la documentación sobre BFD (Brute Force Detection) y como estamos viendo, leer tranquilamente los valores incluidos en el fichero de configuración principal (/usr/local/bfd/conf.bfd).

Este concretamente “syslog auth log path” puede variar, ya que por defecto incluye /var/log/secure y en Debian por ejemplo es /var/log/auth.log. A este tipo de detalles me refiero con mirar bien cada valor.

Además de todo esto, no paséis por alto comprobar las reglas (en /usr/local/bfd/rules) que incluye por defecto para las aplicaciones a proteger, borrando las que no tengáis en el sistema, o cambiando el valor “TRIG” para el bloqueo independiente deseado para cada servicio.

Si se escribe sin ningún parametro bfd en el prompt del sistema, veréis esto;

-s|–standard …….. run standard with output

-q|–quiet ……….. run quiet with output hidden

-a|–attackpool …… list all addresses that have attacked this host

Por defecto si os fijáis en la entrada del cron, se ejecuta con la opción “-q”, para ver la lista de IPs que han sido bloqueadas se usa el parámetro “-a”. Para comprobar su funcionamiento podéis usar Medusa con este comando para atacar una cuenta FTP;

medusa -h ip-host-a-atacar -u usuario_ftp -P passwords.txt -e ns -M ftp

Asumiendo que desde el directorio que estáis tipeando el comando, tenéis una lista de passwords llamada passwords.txt. (Podéis usar esta del proyecto Openwall aunque hay muchas y muy variadas).

Suerte con la instalación y espero que esta entrada os sea de ayuda para que deis menos vueltas que las que he dado yo para configurarlo, ciertamente no es que sea complicado, pero sí un poco farragoso por las conf que trae por defecto.

Tags: , , , , , , , , , , , , , , , ,


jun 19 2010

“Hacking mindmap” (Mapa mental sobre el Hacking). Alucinante !!

Esta es una de esas joyas que te encuentras un día navegando por la red. Los más asiduos al blog o al podcast, ya sabéis que “por culpa” de Diego, me he hecho todo un adicto a los mapas mentales, para crearlos, uso en Debian “Freemind” (disponible también para Mac y Windows).

Pues bien, estaba preparando mi charla-demo para el Fimp del 3 de Julio y me he encontrado con este alucinante y más que completo mapa mental sobre el Hacking en casi todas sus variantes posibles (decir todas sería muy atrevido).

Es todo un compendio de técnicas, aplicaciones, organizaciones, eventos y un largo etc, sobre el mundo de la seguridad informática o el hacking que… tanto monta, monta tanto.

Se puede exportar en varios formatos, aunque alguno requiere una cuenta premium (como el .mm de Feemind), por mi parte, ya lo tengo en rtf y en PDF, lo podéis ajustar a un A4, A3, A2, etc y tendrá un lugar preferente impreso en papel para cuando necesite consultar algo, en la pared frente a la que tecleo.

Espero que disfrutéis tanto como yo con este descubrimiento, felicidades a su autor y gracias por el currazo -;).

Acceso a; Hacking Mindmap.

Tags: , , , , , , , ,


may 13 2010

(Virtualizando) Tutorial de instalación de FreeBSD 8, por OvErCloCK (PDF).

Category: Tutoriales | Guías,Unixdabo @ 10:44 pm

Bueno, lo primero que he de decir es que lamento haber tardado tanto en sacar a la luz este material tan interesante que el amigo OvErCloCK, lector y participante habitual de este blog, me hizo llegar hace unos días.

Dicho esto, os dejo con este tutorial en el que pasoa paso, podréis ver el método para instalar una distro de Unix tan mítica y robusta como es FreeBSD en su última versión estable, la 8.

Como bien dice su autor, está hecho en WMware Fussion 3 pero los pasos a seguir son prácticamente iguales en otros sistemas como puede ser VirtualBox (por cierto, en esta última, Open Source, ya podéis virtualizar Mac OS X en un PC-;).

Sin más, os dejo con la introducción y un enlace a la descarga en PDF del tutorial. Muchas gracias OvErCloCK !! tanto por la parte que me toca por la de toda la comunidad de colegas que giramos y nos encontramos en una misma órbita gracias al podcast como bien dices;D. (Twitter de Xavi @clockibcn )

Instalación de FreeBSD 8

Antes de nada, me he animado y queria ofrecer este pequeño aporte y dedicarselo a Forat, Dabo, n1mh, y en fin todas esas personas que hacen el podcast, y ayudan día a día de una manera o otra, a muchisima gente. Soy OvErCloCK clocki o clock (tengo donde elegir de nick jajaja) aquí en Dabo y DebianHackers lo hago como clock, aunque me llamo Xavi vivo en Barcelona y creo que hace tiempo ya hice algún comentario en los post de Forat como Xavi y no por el apódo.

Así que hable con Dabo (gracias bro) que le parecía junto a unas sugerencias.

Yo vengo usando FreeBSD desde su versión 7.2 tanto a nivel de servidor como a nivel de escritorio, y sé que existe PC-BSD pero a veces -como es mi caso- solo necesito FreeBSD y quiero hacerlo todo yo. Yo ahora mismo me pondré a virtualizarla en mi MacBook, uso Fusion 3, por lo tanto debería funcionar sin más problemas en VirtualBox, VMware, etc.

La idea es la de bajar la FreeBSD instalar el entorno Gnome, instalar Firefox, instalar OpenOffice. Yo uso plataforma de 64 bits así que desde la propia web me he bajado la versión AMD64 quien necesite o quiera la version de 32 bits habrá que bajar el i386, me he bajado solo la iso del primer disco, y he usado Toast para hacer una unidad virtual, y así me ahorro de ir grabando en un cd.

Descarga de; Tutorial de instalación de FreeBSD (PDF).589 kb, 21 páginas.

Tags: , , , , , , ,


Página siguiente »