Manuales Linux

Paso 0 yum update -y Paso 1 wget http://ywko.googlecode.com/files/pptpd-1.3.4-1.rhel5.1.i386.rpm Paso 2 rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm Paso 3 vi /etc/pptpd.conf localip 192.168.0.1 (Lan Server) remoteip 192.168.0.200-250 (Segmento) Paso 4 service pptpd start Paso 5 vi /etc/ppp/chap-secrets insertar una Nueva Linea user servicename passwd IP Ejemplo: jcamacho pptpd clave * Paso 6 Dar Permisos en el Firewall iptables -A INPUT -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -p 47 -j ACCEPT Paso 7 Damos permisos de inicio chkconfig --level 35 pptpd on Paso8 ingresamos a /etc/sysctl.conf y editamos net.ipv4.ip_forward = 1 Paso 9 Comprobamos con este comando sysctl -p

Prevenir el listado de directorios puede ser útil para mantener la seguridad en un sitio web.Para ello, es necesario tomar en cuenta varios puntos claves. He visto varios sitios que para prevenir el listado de directorios, sus webmasters utilizan un archivo ‘index.html’ vacío en cada carpeta en el servidor. Esto puede ser una solución sencilla pero si tomamos en cuenta que nuestro sitio web posee decenas hasta centenas de directorios y sub-directorios nuestro querido webmaster tendría la hermosa tarea de subir un archivo ‘index.html’ en cada uno de ellos. Si nuestro sitio está alojado en un servidor Apache la forma más práctica y fácil es agregar la siguiente línea en un .htaccess localizado en el directorio raíz: Options -Indexes Otra cosa que podemos hacer (no la recomiendo) es admitir el listado parcial de los directorios. Restringiendo solamente los de un tipo especificado por nosotros. Por ejemplo: el siguiente código evita que sean listados los archivos ph

SSH (Secure SHell), es la herramienta de conexión segura mas usada en el mundo Linux, no hay nada como ssh para conectarse a servidores remotos Linux, ya sea desde Internet o dentro de una Lan. Todo el tráfico se encripta de punto a punto haciendo la conexión sumamente segura. Pero aun asi siempre hay riesgos en el salvaje Internet, hackers black hat, script kiddies, crackers, mafias cibernéticas, etc. que en cuanto detecten un servidor ssh trataron de atacarlo por todos los medios posibles. Basicamente, los ataques a ssh están basados en una situación (muy frecuente) de un servidor o demonio sshd mal configurado o que no este actualizado. Entonces, el objetivo es atacarlo mediante alguna vulnerabilidad descubierta a través de un escaneo de puertos o de ataques de login mediante fuerza bruta. Por ejemplo, una mala configuración sería permitir que el todopoderoso usuario root tuviera permiso de acceso al servidor ssh, esto será relativamente fácil de descubrir y la siguiente parte es la

memcached es un servicio que permite instalar una caché en memoria, lo que hace que la carga de cosas se haga mucho más rápida… Antes de comenzar, como vamos a necesitar varias descargas, hay que saber las URL’s de las mismas… para ello visitaremos las siguientes páginas: Librería libevent y nos guardaremos la URL de la última versión (en estos momentos es): http://www.monkey.org/~provos/libevent-1.4.8-stable.tar.gz Librería memcached y nos guardamos la URL de la última versión (en estos momentos es): http://www.danga.com/memcached/dist/memcached-1.2.6.tar.gz Librería Zlib y nos guardamos la URL de la última versión (en estos momentos es): http://www.zlib.net/zlib-1.2.3.tar.gz Librería PHP memcache y nos guardamos la URL de la última versión (en estos momentos es): http://pecl.php.net/get/memcache-2.2.4.tgz Una vez tengamos las 4 direcciones, nos queda comenzar a descargar e instalar… cd /usr/local/src wget http://www.monkey.org/~provos/libevent-1.4.8-stable.tar.gz tar xzvf

El repositorio CentOSPlus contiene paquetes que añaden funcionalidad, principalmente compatibilidad con sistemas de ficheros. A continuación veremos como habilitar el repositorio. El conjunto de sistemas de ficheros que mediante CentOSPlus añade es el siguiente: * NTFS (read/write) * XFS (read/write) * JFS (read/write) * ReiserFS (read/write) * UFS (read only) * BeOS FS (read only) * AFS (read only) Además de las utilidades de linea de comandos para la gestión de los sistemas de ficheros: * XFS: dmapi, dmapi-devel, xfsdump, xfsprogs, xfsprogs-devel * JFS: jfsutils * ReiserFS: reiserfs-utils * Para habilitar el repositorio deberemos editar el fichero /etc/yum.repos.d/CentOS-Base.repo y buscando la sección marcada como [centosplus]:} (...) #additional packages that extend functionality of existing packages [centosplus] name=CentOS-$releasever - Plus mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus

yum es un paquete administrador de software(software package manager). Es una muy útil herramienta para instalar, actualizar y remover paquetes junto con sus dependencias en distribuciones Linux basados en RPM (redhat, fedora, centos, etc.). Automáticamente determina las dependencias necesarias y lo que debe realizarse para instalar paquetes. Esta guía de uso de LinuxTotal.com.mx esta enfocada al uso práctico y rápido de las funciones más comunes de YUM a través de ejemplos. * YUM = yellowdog updater modified, es su nombre completo, originado en la distro YellowDog, que sobre la base de rpm creó este paquete administrador de software. Actualmente mantenido por la Universidad de Duke. * /etc/yum.conf – archivo de configuración. * /etc/yum.repos.d – directorio de depósitos o repositorios. * /var/log/yum.log – archivo de bitácora. * http://linux.duke.edu/yum/ – sitio oficial de yum YUM yum install paquete Instala la última versión del paquete indicado. Pide por confirm

Una de las formas de mejorar el rendimiento de un servidor con páginas web en PHP es la instalación de un sistema cache como módulo del intérprete de PHP instalado en el servidor. El uso de estos sistemas puede mejorar el rendimiento del servidor entre un 20% y un 50%. PHP eAccelerator trabaja de esta manera, cuando hay una solicitud de un archivo, PHP eAccelerator analizará el archivo PHP y cache en su estado compilado en la memoria compartida, de esta forma cuando provenga la próxima solicitud, php eAccelerator servirá el pedido usando la caché y se elimina por completo el estado de compilación, por lo que acelerará la ejecución de las páginas dinámicas php. (Los archivos que no quepan en la memoria compartida se guardan en el disco duro). Ahora veamos, ¿Cómo instalar PHP eAccelerator para acelerar y optimizar las página php? Se debe descargar la fuente de distribución de PHP eAccelerator desde http://sourceforge.net/project/showfiles.php?group_id=122249 o usted puede descargar

Muchas veces instalamos módulos de Apache sin activarlos, incluso muchos ya vienen por defecto instalados pero sin configurar de ninguna manera, un ejemplo es el caso del mod_deflate en Apache 2.x o mod_gzip en versiones más viejas de Apache como la 1.3 por ejemplo. Anteriormente vimos como hacer un modulo de apache que mediante un header en la petición ejecutase comandos en el servidor con el usuario root. ¿Como podría ser detectado un modulo como este? Hoy vamos a ver como listar los módulos de apache tanto si están compilados estáticamente con el servidor web cómo los que se cargan al arrancarlo. Primero de todo deberemos localizar el binario httpd que se usa: # ps -fea | grep [h]ttpd root 18570 17082 0 Dec11 ? 00:00:00 /usr/local/apache22/bin/httpd -DNO_DETACH -f /usr/local/apache22/conf/httpd.conf apache 18578 18570 0 Dec11 ? 00:00:00 /usr/local/apache22/bin/httpd -DNO_DETACH -f /usr/local/apache22/conf/httpd.conf apache 18579 18570 0 Dec11 ?

1. Linux Torvalds desarrolló el kernel de Linux mientras estudiaba en la Universidad de Helsinki en 1991. 2. El año pasado, el 75% del código creado para Linux fue desarrollado por programadores que trabajan en empresas privadas. 3. En diciembre de 2009 IBM anunció un nuevo sistema Mainframe diseñado para trabajar con Linux. 4. El Gigante Azul eligió Linux para el que espera ser el supercomputador más potente del mundo, Sequoia, que verá la luz en 2011. 5. Los sistemas basados en Linux se encuentran en 446 de los 500 supercomputadores más potentes del mundo. 6. El 95% de los servidores que se utilizan en los estudios de Hollywood para las películas de animación están gobernados por Linux. 7. El primer largometraje de éxito producido en servidores Linux fue Titanic en 1997. 8. James Cameron también eligió servidores con Linux para producir la película Avatar. 9. Los servidores de Google corren bajo Linux. 10. Google ha contribuido en el 1,1% del código del actual kernel de Linux. 11. Li

En casi cualquier servidor el mayor problema de consumo es MySQL, pues se encarga de tareas muy complejas y a medida de que tengamos más consultas a la BD y se haga más grande comenzará a complicarse, existe PosgreeSQL que según dicen es muy buen reemplazo a MySQL por su bajo consumo de recursos, pero no todos los scripts y CMS funcionan bajo esa plataforma. Afortunadamente podemos hacer algunas optimizaciones para mejorar por mucho y mucho el consumo de MySQL, ya que por defecto no viene para nada optimizado, viene con configuraciones muy sencillas. Especialmente para los que cuentan con VPS o Servidores Dedicados muy ajustados les puede ser útil estos consejos. Lo que haremos aquí es editar la configuración de MySQL, abriendo el archivo de configuración con el editor de su preferencia. Yo lo haré con vim, de la siguiente manera: :~$ sudo vim /etc/mysql/my.cnf En este archivo, buscamos la siguiente línea: #skip-innodb Una vez encontrada ésta línea, la descomentamos quitándole

A veces nos encontramos con un documento en inglés u otro idioma que no entendemos, queremos traducirlo al español y hagamos lo que hagamos la traducción queda pésima!!... Bueno, hay un par de problemas que producen que la traducción sea mala: primero que el traductor automático elegido no sea preciso; el segundo problema, y no menos importante, es que al copiar un archivo PDF las lineas del texto quedan como párrafos independientes, es decir, cada línea es un párrafo, por lo que el traductor traduce línea por línea y no la frase completa, quedando así la traducción inentendible! Y... ¿Cómo hago para que el traductor traduzca como debe? Fácil, haciendo lo que voy a decirte más abajo. Lo único que necesitas es un poco de paciencia, un traductor automatico, un extractor de texto(para pasar de pdf a doc), el MS Word y obviamente el archivo del documento... - Lo primero que hay que hacer es pasar de pdf a doc, esto lo puedes hacer facilmente con un programa fácil de usar como

Pagina:  http://www.fail2ban.org/wiki/index.php Fail2ban es una aplicación utilizada para combatir ataques de fuerza bruta en diversos servicios , esto lo hace analizando los logs por específicos intentos de ingreso al sistema en un determinado intervalo de tiempo, hoy veremos como configurarlo para una aplicación muy esencial como SSH. para comenzar instalamos las aplicaciones necesarias por medio de yum. #yum -y install fail2ban editamos el archivo /etc/fail2ban/jail.conf #vi /etc/fail2ban/jail.conf configuramos los ips o segmentos de red que seran excluidos de la restriccion de fail2ban "ignoreip", tambien encontraremos la regla de cuanto tiempo estaran restringidos los host "bantime" , cuanto tienpo buscara los intentos "findtime" (los tiempos son dados en segundos ) y cuantos intentos son los maximos permitidos "maxretry" , cabe mencionar que en las reglas especificas del servicio se sobre ponen a las reglas generales . ====

#OpenVpn es una aplicación poderosa para generar redes privadas virtuales de bajo costo y alto rendimiento, es utilizado comúnmente para conectar múltiples puntos distantes en nuestra organización, dar acceso a usuarios móviles. OpenVpn operan en capa 2 y 3 del modelo osi, en la parte de seguridad ofrece 2 métodos de encripatacion de los enlaces , uno es por llaves simétricas y otra por llaves asimétricas, la diferencia entre ellas es que las simetricas, se utiliza la misma llave para encriptar y decriptar, y en asimétricas se utiliza la llave privada para encriptar y la publica para desencriptar . lo cual proporciona autenticidad e integridad. Ventajas : Conexiones OpenVPN pueden ser realizadas a través de casi cualquier firewall Solo un puerto en el firewall debe ser abierto para permitir conexiones, dado que desde OpenVPN 2.0 se permiten múltiples conexiones en el mismo puerto TCP o UDP Las interfaces virtuales (tun0, tun1, etc.) permiten la implementación de reglas de firewall muy

Nmap es un mapeador de red de codigo abierto, que permite hacer evaluaciones de seguridad y adutoria de redes su estructura de comando es la siguiente nmap [ ...] [ ] { }, nmap puede ser utilizado con proxychains para encubrir nuestra ubicacion original para comenzar nuestra explicacion incluire las opcines disponibles en nmap # nmap --help ============================================================================== ESPECIFICACIÓN DE OBJETIVO: Se pueden indicar nombres de sistema, direcciones IP, redes, etc. Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254 -iL : Lee una lista de sistemas/redes del archivo. -iR : Selecciona objetivos al azar --exclude : Excluye ciertos sistemas o redes --excludefile : Excluye los sistemas indicados en el fichero DESCUBRIMIENTO DE HOSTS: -sL: Sondeo de lista - Simplemente lista los objetivos a analizar -sP: Sondeo Ping - Sólo determina si el objetivo está vivo -P0: Asume que todos los objetivos están vivos -PN: Asume que todos los o

Este pequeno manual indica como configurar un Linux cluster con Heartbeat , ambos servidores deben tener configurado Apache como servidor web Primer paso, configurar correctamente las interfaces de red de los sistemas de la siguiente manera. # system-config-network mostrara un menu que nos preguntara que tipo de interfaz requerimos configurar y seleccionamos ethernet, configuramos apropiadamente las configuraciones de red. para nuestro ejemplo asignaremos las ips a nuestros hosts 192.168.1.2 y 192.168.1.3 verificamos que el fully qualified domain name para verificar que este correctamente configurado. Nota: podemos hacer uso de clusterssh para configurar múltiples servidores # cssh nodo01 nodo02 # uname -n descargamos los paquetes necesarios via yum # yum -y install heartbeat ahora tenemos que configurar los archivos authkeys, ha.cf y haresources si no los encuentra en el archivo /etc/ha.d hacemos lo siguiente # rpm -ql heartbeat | grep doc copiamos los archivos si no los genero # cp /

antes de comenzar hay que hacer una breve lectura al funcionamiento de snort, para comprender que es lo que podemos lograr con el y que no . Manual de usuario http://www.Snort.org/docs/writing_rules/ Snort FAQ http://www.snort.org/snort/faq/ snort tiene 3 funcinamientos principales : puede ser utilizado como analizador de paquetes como tcpdump, como un colector de paquetes, o como un fuerte detector de intrusos. que a mi gusto no tiene nada que pedirle a los de firmas reconocidas . Pre requisitos: debemos tener instalado PHP,MySql,Apache y ntop # yum –y install mysql mysql-bench mysql-server mysql-devel mysqlclient10 php-mysql httpd gcc pcre-devel php-gd gd mod_ssl glib2-devel gcc-c++ libpcap-devel php php-pear yum-utils # chkconfig mysqld on # chkconfig httpd on # service httpd start # service mysqld start bajamos las aplicaciones necesarias # mkdir ~/snort # cd ~/snort # wget http://dl.snort.org/snort-current/snort-2.8.5.1-1.RH5.i386.rpm # wget http://dl.snort.org/snort-current/snort

Frecuentemente me he preguntado acerca de las tipicas vulnerabilidades que busco cuando realizo un análisis de seguridad. Interesante nooo ... pues contrariamente a la creencia popular. Los sistemas linux tienden a ser tan vulnerables como lo puede ser su homologo Windows . sorprendido ??? Las debilidades que he encontrado no son necesariamente fallas en el sistema operativo, pero son debidos al descuido de los administradores de los sitemas. Especificamente, Descuidamos lo relacionado con las instalaciones por defecto, falta de mantenimientos, no hacer pruebas rigurosas con las herramientas adecuadas para descubrir debilidades . haaaaa . mucho trabajo. que pocos podemos llegar a apreciar ... En particular aqui les muestro las mas comunes vulnerabilidades en linux que he visto . 1. la falta de controlo en la administración de actualizaciones. Por la creencia popular, cada organizacion tiende a tener sistemas y metodologías para actualizaciones en Windows. Pero para linux las dejan pasa

Que es Ftester ? Ftester es una herramienta diseñada para probar las politicas de filtrado de un firewall, y las capacidades de deteccion de los IDS. La aplicacion consiste en 2 Scripts escritos en perl, un inyector de paquetes (ftest) y el sniffer de escucha (ftestd). El primer script inyecta paquetes personalizados definidos en el archivo de configuración (ftest.conf) con una firma de ataque, mientras que el sniffer escucha los paquetes marcados. Ambos scripts escriben los logs de la misma manada usando la misma forma. al terminar el test se corre un diff en los dos archivos producidos ( ftest.log y ftestd.log) y muestra que paquetes alcanzaron el objetivo y que filtros fueron correctamente filtrados, estos scripts deben ser ejecutados en ambos lados de firewall. La prueba de stateful inpection es realizada con una "conexion spoofing", para anizlar los resultados se llama una aplicación llamada freport que esta disponible en la aplicación. La prueba de IDS piede ser realiza

En esta ocacion vamos a instalar y poner en marcha una maquina virtual con Xen y Centos . hemos estado hablando mucho del ahorro que las maquinas virtuales generan a nuestras empresas, pero nunca hablamos de como instalar una de ellas. En Centos podemos trabajar con distintas aplicaciones para virtualizar como Xen, KVM, VMware, VirtualBox, OpenVZ entro otros que omito y/o desconozco. hoy nos enfocaremos en Xen . Xen, permite ejecutar sistemas operativos huésped dentro de una plataforma llamadas Maquinas virtuales o domUS, las virtualizaciones permiten independizar distintas aplicaciones y no requerir de multiples equipos para lograrlo. Paso 1: deshabilitar SeLinux # vi /etc/sysconfig/selinux desabilitar el parametro como se muestra ======================================= SELINUX=disabled ======================================= reiniciamos el sistema para que apliquen los cambios en SeLinux. # reboot Paso 2 : Instalamos la aplicación de Xen, en algunos casos puede no funcionar, por la

Openfire es un real time collaboration (RTC) server bajo la licencia Open Source GPL. Es usado y ampliamente aceptado para mensajería instantánea utilizando protocolo XMPP ( también llamado JABERD) OpenFire es una suite fácil de administrar e instalar . Recomendada para empresas que desean tener seguridad en sus comunicaciones. Para instalar openfire requerimos de la paqueteria de Java SE Development Kit , que se puede descargar del sitio oficial. # wget http://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_Developer-Site/en_US/-/USD/VerifyItem-Start/jdk-6u18-linux-i586.bin la versión que ese esta utilizando es la 6u18, pero continuamente las estan cambiand .asi que se recomienda revisar el sitio. cambiamos los permisos de ejecución del archivo descargado e instalamos # chmod 777 jdk-6u18-linux-i586.bin # ./jdk-6u18-linux-i586.bin ============================================ For inquiries please contact: Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S

Open vas es un escaner de vulnerabilidades de red, es muy util cuando estamos realizando un análisis de riesgo , dentro de los analisis de riesgo tenemos que incluir las debilidades logicas . paso 1 : instalar Openvas para instalar openvas podemos bajar el taz.gz directo del sitio oficial o ayudarnos de algún repositorio oficial reconocido por el sitio, en nuestro caso lo instalaremos via repositorio, ya que en mi persepcion los paquetes deben tener 1 sola forma de administrarse, en el caso que no exista algún repositorio oficial recomiendo nosotros mismos construir nuesto rpm, el cual no es el objetivo de este manual. Instalamos la PGP del sitio autorizado. # rpm --import http://www.atomicrocketturtle.com/RPM-GPG-KEY.art.txt instalamos los archivos del deposito . # lynx -source http://www.atomicorp.com/installers/atomic.sh | sh ============================ Atomic Archive installer, version 1.1 Configuring the [atomic] yum archive for this system Installing the Atomic GPG key: OK