Uno de los errores más comunes que cometen los administradores de sistemas novatos es no cerrarle el acceso por SSH al root del sistema operativo – debido a que muchos desconocen su utilización – esto genera por supuesto un grave fallo en la seguridad de nuestro sistema, así que vamos a cerrarle el paso a cualquier extraño que intente aprovecharse de nuestro descuido. Para hacer esto, vamos a editar el archivo sshd_config, según la distribución que utilice este podría estar ubicado en /etc/ssh o directamente en /etc , todo esto por supuesto con privilegios de administrador o directo desde el root

En el archivo ya mencionado, nos vamos al final y colocamos la siguiente línea

PermitRootLogin no

Adicionalmente, podemos crear una lista de usuarios permitidos, esto es mejor que crear una lista de usuarios no permitidos, ya que generalmente son pocos los usuarios que van a tener acceso por esta vía

AllowUsers usuario1 usuario2

Siendo por supuesto usuario1 y usuario2, nombres de usuario válidos en nuestro sistema, si necesitamos agregar más usuarios, basta con dejar un espacio y escribir el siguiente nombre de usuario. Por último, vamos a reducir la cantidad de intentos de inicio de sesión, muchos recomiendan a 5 intentos, yo soy un poco más estricto y recomiendo a 3

MaxAuthTries 3

Finalmente, cerramos el archivo y reiniciamos el servidor SHH con la siguiente línea

/etc/rc.d/sshd restart

Algunas distribuciones podría cambiar un poco ese último comando, pruebe con este otro también

/etc/init.d/sshd restart

IMPORTANTE: Algunos blogs y sitios de seguridad informática por error mencionan que hay que editar el archivo ssh_config, esto es un error ya que ese archivo es para el cliente, no el servidor, no lo olvide, el archivo a editar es sshd_config.

Vinton Cerf, considerado el padre de la Internet ha hecho un llamado global a hacer un cambio inmediato y masivo hacia el protocolo IPv6 por la escasez de direcciones IPv4 que ya se empieza a experimentar. Cerf menciona que el esquema actual de direcciones se agotará a finales del 2010 o inicios del 2011, por lo que la migración hacia IPv6 sería con el fin de no detener el crecimiento de la red.

El Vicepresidente de Google y Presidente de la ICANN hace un recordatorio de la existencia de un número casi ilimitado de direcciones en el protocolo IPv6 gracias al direccionamiento de 128 bits, además de un soporte mejorado para extensiones, capacidades de autenticación, integridad y confidencialidad en los datos.

Atención a todos aquellos administradores que hacen uso de Bind en modo maestro, pues según indican en el Internet Systems Consortium (ISC), se trata de una vulnerabilidad que provoca malformaciones en mensajes de actualización que pueden utilizarse para que un servidor caiga. Dicha vulnerabilidad afecta a los sistemas con las versiones 9.4.3-P3, 9.5.1-P3, y BIND 9.6.1-P1. Más detalles sobre esto y como resolverlo se encuentra en el ISC Security Advisory.

Esto no es por supuesto un truco de “hacking” (noten las comillas), sino más bien una forma de hacerlo en emergencias, sobretodo para aquellos que suelen ser muy olvidadizos y renuentes. Para poder cambiar la contraseña de root, cuando la hemos olvidado se hace lo siguiente:

1. Reiniciemos el equipo y esperemos a que aparezca el menú de GRUB
2. Hay que ubicarse en el nombre de nuestra distribución, sobre todo si tenemos dos sistemas operativos cargando y Linux no es el que esta por defecto.
3. En la línea de comandos de GRUB escribimos init=/bin/bash o init=/bin/sh (o el interprete de comandos que se tenga en uso) y demos Enter.
4. Dejemos que cargue el sistema, y nos enfrentaremos a una ventana de consola con la leyenda none (esto podría variar entre distribuciones). Tecleamos passwd root, comando que nos pedira una nueva contraseña, se la alimentamos y la repetimos cuando nos la pida, ¡y listo! Ahora reinicia el equipo para poder entrar en modo normal.

Espero que esto les ayude cuando estén en aprietos.

Para los administradores de sistemas novatos, puede ser un gran dolor en el trasero el investigar a fondo los problemas inherentes a una red, sobre todo cuando el problema viene desde afuera, sin embargo, no deja de ser su responsabilidad el corregir los problemas que se presenten. Por eso es de entenderse que muchos administradores terminen volviendose locos cuando su red esta siendo utilizada y manipulada por terceros (spyware, troyanos y demáses) o cuando de forma extraña la conexión a Internet se muere el enlace con el proveedor no indica problemas, o con cualquier otro problema similar. La guía de los idiotas para el análisis de redes, es un manual algo viejito pero que no ha perdido vigencia y que les ayudará a comprender los fundamentos del filtrado, captura y análisis de paquetes, con un apartado especial para el protocolo ARP.

Y el recurso del día es una herramienta muy sencilla e intuitiva.

Para los administradores de sistemas y webmasters es muy necesario el saber manejar mod_rewrite, sin embargo, para aquellos que están apenas empezando en esto, siempre existen herramientas como htaccess Editor que permiten en unos cuantos clicks obtener un archivo .htaccess decente, útil también para aquellos experimentados que siempre andan a las carreras.

IMPORTANTE: La distribución preferida por Licencia Creativa es openSUSE, pero debería funcionar de forma similar en cualquier distribución

Es posible cambiar algunas opciones en GRUB sin dañar el MBR o la FAT (según donde esté), también existe un pequeño problema en openSUSE 11.1 que corrompe cualquiera de esos dos últimos su cambias de partición de arranque desde YAST (y es lo que me motivo a hacer este artículo). Ahora, si tu te diste a la tarea de tener dos sistemas operativos corriendo en tu PC, sabrás que ahora al encenderla tienes que seleccionar entre ambos y quizá te aparezca una tercera o cuarta opción más, tal como la imagen que sigue.

En el ejemplo que ya mencionamos, tenemos 4 opciones diferentes que se enumeran desde cero (es importante que lo recordemos). Primero iniciemos sesión con el usuario root (usuarios de Ubuntu y demás juguetitos no tienen que hacer esto)

Abramos una ventana de consola y vayamos al directorio /boot/grub, para los no muy entendidos, tecleemos cd /boot/grub

Con nuestro editor favorito (en mi caso es pico), abramos el archivo menu.lst, por ejemplo:

Si eres usuario de Ubuntu y similares

Veremos algo como lo que se muestra a continuación

Lo primero que vamos a hacer es, elegir el sistema operativo por default, si recordamos la numeración inicial en nuestro ejemplo, dijimos que empezamos de cero, por lo que si quiero que sea Linux el sistema por defecto, debo poner en cero el valor default, en caso contrario, Windows ocupa la posición número dos, por lo que es ese valor el que hay que colocar en default.

Enseguida, podemos manipular el valor timeuot que nos dice la cantidad de segundos que el equipo esperará a que se haga un cambio de sistema operativo, recordemos que si no hacemos acción alguna, quien entre es el que este seleccionado en el valor default. Cambiemos esto si los 8 segundos que nos da no son suficientes para nuestra vida diaria.

Después de eso, veremos una serie de secciones que empiezan con title, cada sección es una entrada en GRUB y en nuestro ejemplo tendríamos 4 secciones diferentes, si queremos que al arrancar el sistema diga algo diferentes a Windows, Linux, y etc. Entonces cambiaremos sólo esos valores.

Una vez finalizados lo cambios, guardemos el archivo (Ctrl + S, Ctrl + O o cualquier combinación de teclas que use tu editor de texto favorito) y reiniciemos para ver los cambios.

Entre administradores de sistemas sabemos lo complejo que es cuando tu servidor ha sido catalogado como peligroso y ha pasado a formar parte de las dichosas listas negras de Internet, una de las razones por las que generalmente nos pasa esto es por olvidar bloquear el puerto 25 (SMTP) para el resto los equipos de nuestra red, y al no hacerlo, cualquier equipo infectado dentro de nuestra red podría estar siendo usando el puerto 25 para actividades no muy gratas (SPAM). Lo que vamos a hacer, es agregar dos simples reglas usando las iptables

Primero aceptamos todo el tráfico SMTP hacia nuestro servidor:

iptables -A FORWARD -s la_ip_de_nuestro_equipo/24 -i ethX -p tcp --dport 25 -j ACCEPT

Luego, rechazamos las conexiones del resto hacia servidores SMTP de fuera a través de nuestro equipo:

iptables -A FORWARD -s 0/0 -i ethX -p tcp --dport 25 -j DROP

Dejando en claro, ethX es la interface de red de nuestro equipo, la que tiene salida hacia el exterior, no la que tiene salida hacia la red local. Ahora, si usamos postfix, lo último que hay que hacer es desactivar el relayhost, abrimos nuestro archivo main.cf dentro de /etc/postfix (puede estar en otro lado según tu distribución) y borremos lo que tengamos escrito en la línea relayhost, debe quedar así

relayhost=

¡Listo! Sólo basta ejecutar postfix reload para que lo último tenga efecto. Espero les haya servido este pequeño truco.

To all pioneers