Gnu/Linux‎ > ‎

Restricciones y Seguridad

Habilitar usuario root para conexiones por SSH

publicado a la‎(s)‎ 29 abr. 2016 11:49 por Juan Jose Ramirez Lama   [ actualizado el 21 jul. 2016 12:38 ]

Abre una terminal y como root edita el siguiente archivo:
# nano /etc/ssh/sshd_config
También puede que sea este (depende de la distribución)
# nano /etc/ssh/sshd_conf

Luego busca la linea PermitRootLogin y déjala de esta forma:
PermitRootLogin yes
Luego reinicia ssh y ya podrás logearte como root sin problemas.
# /etc/init.d/ssh restart

Recuerdo que esto es muy poco seguro, por lo que recomiendo hacerlo solo para el momento y luego volver a dejarlo desactivado.

Protege tu servidor SSH de ataques de fuerza bruta

publicado a la‎(s)‎ 13 oct. 2015 10:05 por Juan Jose Ramirez Lama

Si tienes un servidor SSH corriendo y alguna vez os habrás parado a mirar los logs, habrás visto una gran cantidad de intentos de acceso no autorizados. 


Si estudian más detenidamente los logs veras que la mayoría de veces son ataques basados en diccionarios o similares, por tanto a no ser que nuestros passwords sean muy débiles es difícil que consigan acceder a nuestra máquina. Pero para que arriesgarnos...vamos a ver como protegernos de estos seres malignos e indeseables que intentan entrar en nuestro sistema.

Hay varios programas/scripts que sirven para proteger nuestro servidor SSH de ataques de fuerza bruta, como por ejemplo:

Después de probarlos , me quedo con Denyhosts, ya que es sencillo de instalar/configurar, apenas consume recursos y cumple su cometido de sobra. Vamos a ver como instalarnos Denyhosts en nuestra Ubuntu.


En Feisty Fawn (en Edgy creo que también) Denyhosts viene incluido en los repositorios, así que su instalación es tan sencillo como:

# apt-get install denyhosts

Una vez instalado debemos crear un par de archivos (si es que no existen ya), para ello nuestro colega touch nos será útil:

# touch /etc/hosts.allow
# touch /etc/hosts.deny

Con esto ya tenemos instalado denyhosts y con la configuración por defecto, para arrancarlo y pararlo manualmente haremos lo siguiente:

# /etc/init.d/denyhosts start
# /etc/init.d/denyhosts stop

La configuración de denyhosts se guarda en /etc/denyhosts.conf, vamos a ver algunas de las directivas que podemos modificar desde este archivo: 

  • DENY_THRESHOLD_INVALID: Número de intentos fallidos (con un usuario que no exista) necesarios para banear esa IP.
  • DENY_THRESHOLD_VALID: Número de intentos fallidos (con un usuario existente) necesarios para banear esa IP.
  • DENY_THRESHOLD_ROOT: Número de intentos fallidos (intentando entrar como root) necesarios para banear esa IP.
  • BLOCK_SERVICE = sshd/ALL/etc... : Esta directiva indica los servicios que bloqueará a los usuarios baneados.
  • DAEMON_LOG = /var/log/denyhosts : Indica el archivo en el que se guardará el log de denyhosts.

Estas son las directivas más utilizadas, aunque tiene muchas más, dentro del propio archivo /etc/denyhosts.conf viene comentado para que sirve cada una, por tanto no me alargaré más en explicarlas todas. Otro de los consejos que os daría para evitar el 90% de los intentos de acceso es cambiar el puerto en el que tenemos corriendo el servidor de ssh por uno más alto (por encima del 1024 a ser posible), eso lo hacemos modificando la directiva port en el archivo /etc/ssh/sshd_config. Para terminar os aconsejaría que no permitas logearse por ssh como root, esto se desactiva en el mismo archivo etc/ssh/archivo sshd_config mediante la directiva "PermitRootLogin no"


Con todo esto tendremos algo más seguro (en informática pocas veces se esta seguro de algo un 100%) nuestro servidor SSH.

“Obtener” contraseñas de Windows

publicado a la‎(s)‎ 13 oct. 2015 10:02 por Juan Jose Ramirez Lama

Ophcrack [ http://ophcrack.sourceforge.net/ ] es un Live CD basado en Ubuntu para comprobar la fragilidad del archivo SAM de Window$, o lo que es lo mismo, para obtener la contraseña de cualquier usuario.

Tan fácil como introducir el CD en el lector y reiniciar. Ophcrack accederá a la partición Window$, copiará el archivo SAM, lo descomprimirá y comenzará el descifrado.

Ophcrack es una herramienta para obtener las contraseñas de Windows basada en las tablas Rainbow. Es una implementación muy eficiente de las tablas rainbow hecha por los inventores de este método. Viene con una Interfaz Gráfica de Usuario GTK+ y corre bajo Windows, Mac OS X (CPU Intel) y también en Linux. 

Ophcrack 2.3.4 - 2007-02-19

Soporte para Vista
Bkhive 1.1.0
Samdump2 1.1.0
Soporte para obtener hashes LM con caracteres alemanes
Facilidad de cambiar las tablas en el LiveCD

Características

  • » Corre bajo Windows, Linux y Mac OS X (intel).
  • » Rompe hashes LM y NTLM.
  • » Tablas libres disponibles para hashes LM alfanuméricos.
  • » Carga hashes desde SAM local y SAM remota.
  • » Carga hashes desde SAM encriptadas recuperadas desde una partición Windows, incluyendo Vista.

Ophcrack LiveCD 1.1.4 - 2007-02-19

El LiveCD de Ophcrack contiene un sistema Linux completo (SLAX), ophcrack para Linux y las tablas Rainbow para contraseñas alfanuméricas.

El liveCD obtiene las contraseñas automáticamente, sin necesidad de una instalación y sin la necesidad de conocer la contraseña de administrador (solo es necesario arrancar desde el CD).

La versión 1.1.4 crackea el archivo SAM de Windows Vista

Protege tus datos con Truecrypt

publicado a la‎(s)‎ 13 oct. 2015 10:02 por Juan Jose Ramirez Lama

TrueCrypt es un software de código libre y gratuito para cifrar y ocultar en el ordenador datos que el usuario considere reservados empleando para ello diferentes algoritmos de cifrado como AESBlowfishCAST5SerpentTriple DES, y Twofish o una combinación de los mismos.


Con Truecrypt podremos por ejemplo encriptar toda una particion del disco duro, una llave USB o guardar los datos en un fichero oculto y cifrado que podra ser leido como si fuera una particion mas de nuestro sistema de ficheros. La encriptacion es automatica, en tiempo real (on-the-fly) y se realiza de manera transparente al usuario.


Truecrypt es software libre y se encuentra disponible para Windows Vista/XP, Mac OS X y Linux.


INSTALACION:

Primero nos descargamos el .tar.gz que contiene el programa y lo descomprimimos. Contiene un .deb que instalamos
haciendo doble click.

Truecrypt



Alternativamente para instalarlo también podemos ejecutar:

# apt-get install truecrypt


una vez que lo tenemos instalado, tenemos que crear el fichero que almacenara el sistema virtual de ficheros
que vamos a usar para encriptar nuestros datos. Por ejemplo en este caso voy a crear un fichero de 2 GB que luego utilizare como folder para almacenar mis documentos privados.

Para crear el fichero ejecutamos:

$ truecrypt -c


Aqui el ejemplo de session:

$ /media/hda1# truecrypt -c


Seleccionamos como tipo 1) Normal

Volume type:
1) Normal
2) Hidden
Select [1]: 1

Ahora le indicamos el nombre que queremos para el fichero. Por ejemplo yo lo he llamado “pc.tc”

Enter file or device path for new volume: pc.tc

Elegimos el sistema de ficheros. Yo elegi 1) FAT.

Filesystem:
1) FAT
2) None
Select [1]: 1


Introducimos el tamaño que queremos para el folder raiz (sistema de ficheros) que almacenara el contenido. Pon lo que quieras. Yo elegi 2 Gigabites (2G) puedes especificar un tamaño tambien en Kilobytes (1024 Kb p.ej) o Megabytes (50 M). Si vas a guardar mucha informacion, elige G (Gigabytes)

Enter volume size (bytes - size/sizeK/sizeM/sizeG): 2G


Como algoritmo de Hash. Pulsa intro para seleccionar el de defecto.

Hash algorithm:
1) RIPEMD-160
2) SHA-1
3) Whirlpool
Select [1]:

Como algoritmo de encriptacion. Pulsa intro para seleccionar el de defecto.

Encryption algorithm:
1) AES
2) Blowfish
3) CAST5
4) Serpent
5) Triple DES
6) Twofish
7) AES-Twofish
8 ) AES-Twofish-Serpent
9) Serpent-AES
10) Serpent-Twofish-AES
11) Twofish-Serpent
Select [1]:


Ahora escribe la contraseña (y no la olvides) pues la necesitaras cada vez que quieras acceder
al contenido de este fichero tras montarlo.

Enter password for new volume 'pc.tc':
Re-enter password:


Te pide una ruta para un Keyfile. no vamos a usar. Asi que pulsa intro.

Enter keyfile path [none]:

TrueCrypt will now collect random data.


Te pregunta si dispones de un raton conectado a tu Pc. respondele que si (con y)

Is your mouse connected directly to computer where TrueCrypt is running? [Y/n]: y

Ahora mueve el raton por la pantalla para que capte algunos datos aleatoriamente. Cuando
llegue al 100% habra terminado.

Please move the mouse randomly until the required amount of data is captured...
Mouse data captured: 100%

Comienza a crearse el fichero. Como lo cree de 2 Gigas, cuando alcanza ese tamaño muestra el
siguiente mensaje.

Done: 2048.00 MB Speed: 10.68 MB/s Left: 0:00:00
Volume created.

Perfecto, ya tenemos el fichero creado, vamos a crear un directorio y montarlo en el para poder
acceder.

Creamos como root por ejemplo la carpeta /media/tc

# mkdir /media/tc

Ahora desde la ruta donde esta el fichero pc.tc ejecutamos el comando:

$ truecrypt -u pc.tc /media/tc

Te pide la contraseña, pon la que indicaste en el paso anterior.

Perfecto, se nos crea un icono en el escritorio y podemos acceder a ese sistema de ficheros encriptado como si fuera una carpeta mas de nuestro sistema operativo. Puedes crear o mover nuevos ficheros a esa unidad. Cuando la desmontemos estaran encriptados.

Para desmontar la unidad

$ truecrypt -d
y con esto queda protegida y oculta. Cada vez que quieras acceder a ella tendras que introducir el comando de montaje:

$ truecrypt -u pc.tc /media/tc

Ah por cierto no borres el fichero pc.tc (o el que hayas creado) te cargarias todos los ficheros
o carpetas que hayas creado virtualmente en su interior como sistema de ficheros.

La principal utilidad de Truecrypt es montar llaves usb, el paso seria identico pero formateando y creando el sistema de ficheros en la llave usb. Asi podrias tener un sistema protegido y portable.

Activar cuenta de root (NO RECOMENDADO)

publicado a la‎(s)‎ 13 oct. 2015 9:59 por Juan Jose Ramirez Lama

Este post no se si recomendarlo o no… cada quién sabe lo que hace cada uno en su computador.

  

En la mayoría de las distribuciones basadas en Debian la cuenta de root siempre ha estado desactivada.


¿Qué tiene util activar la cuenta root?, principalmente que cuando entras en el bash (sudo bash) sigues con las variables del usuario anterior, con lo cual no tienes acceso a muchas opciones root, por lo que para iniciarte como root podrías entrar como, su root, o su - que es la forma correcta de entrar. 


Usaremos el siguiente trozo de código para comprobar la pass del root, y ver si esta activada o no:

# contrasena_root=`cat /etc/shadow | grep -e “^root:.*” | cut -d : -f 2`
# echo $contrasena_root
!

Todo esto ejecutado desde root por supuesto, si no no tendríamos permisos para leer el archivo.


Si vemos que aparece un ! podemos cambiarla para usar una contraseña, y lo vamos a hacer con nuestra propia contraseña, para ello repetimos el mismo comando de antes sustituyendo la palabra root por nuestro user o poniendo ${USERNAME} que es la variable de entorno que nos devuelve la cuenta en la que estamos ahora (ojo si hacemos esos, recuerda escapar los caracteres):

# contrasena_root=`cat /etc/shadow | grep -e “^juaramir:.*” | cut -d : -f 2`
# echo $contrasena_root 

$12$CjTByfcp$****BtGrHLiopeXAYfTtN4.



Vale ahora que ya la tenemos, podemos editar el archivo shadow y copiar ese trozo de números sin sentido “aparente” 

# nano /etc/shadow

Y copiar con mucho cuidado la contraseña, en el segundo campo, separado por : — :
root:12$CjTByfcp$****BtGrHLiopeXAYfTtN4.:13825:0:99999:7:::

Bien, pues ya esta, cerramos, guardamos y ya nos dejará loguearnos como root utilizando su -


Como matar procesos

publicado a la‎(s)‎ 13 oct. 2015 9:53 por Juan Jose Ramirez Lama

A veces me ha pasado que me pongo a ver un video y me da un error y le doy a cerrar y me aparece la ventanita de forzar cierre, ahí todo bien pero hay ocasiones en las que el audio sigue sonando, el motivo es porque el programa no se ha cerrado 100% y ¿cómo lo matamos ahora?


La formula no es tan complicada, para el ejemplo cerraremos amarok, pero cabe destacar que sirve para cualquier programa.


Forma 1:

Bueno primero vemos los procesos levantados:


$ ps aux|grep amarok


y nos arrojara algo parecido a esto:

juaramir  7616 4.4 2.8 146952 44720 ? Sl 11:17 3:25 amarokapp

juaramir  7648 0.0 0.1 3940 2428 ? S 11:18 0:00 ruby /usr/share/apps/amarok/scripts/score_default/score_default.rb

juaramir  9661 0.0 0.0 3020 768 pts/3 R+ 12:35 0:00 grep amarok


Nota: ps aux por si solo nos arroja todos los procesos levantados en el sistema y | grep nombre_aplicacion le decimos que busque los procesos que contenga este nombre.


ahora que tenemos identificado los procesos levantados por amarok debemos hacer:


$ kill -9 7616 # 7616 es el codigo de la aplicacion, si quisieramos matar mas de uno se separa el codigo con un espacio.

Forma 2:

$killall amarok #cumple la misma funcion que la anterior.


Forma 3:

teclear alt+control+f2

escribir en el recuadro xkill

y hacer click en la ventana que desean matar.


espero les halla sido de utilidad.

SystemRescueCd

publicado a la‎(s)‎ 13 oct. 2015 9:52 por Juan Jose Ramirez Lama

SystemRescueCd es un sistema Gnu/linux arrancable desde cdrom que sirve para reparar tu sistema y recuperar tus datos despues de un fallo. También intenta proporcionar una manera fácil de realizar tareas administrativas en tu ordenador, como crear y editar particiones en el disco duro. Contiene muchas utilidades de sistema (parted, partimage, fstools, …) y herramientas básicas (editores, midnight commander, herramientas de red). El objetivo es que sea muy fácil de usar: sencillamente arranca desde cdrom y puedes hacer todo. El kernel del sistema soporta los sistemas de archivos mas importantes (ext2/ext3, reiserfs, reiser4, xfs, jfs, vfat, ntfs, iso9660), y los de red (samba y nfs).

sysresccd011640x480oq2 SystemRescueCd 1.0.2

Estas son las principales herramientas del sistema:

  • GNU Parted es la mejor herramienta para editar las particiones de tu disco duro en Linux.
  • GParted es un clon de Partition Magic para Linux.
  • Partimage es un clon de Ghost/Drive-image para Linux
  • Herramientas de los sistemas de ficheros (e2fsprogs, reiserfsprogs, reiser4progs, xfsprogs, jfsutils, ntfsprogs, dosfstools): te permiten formatear, redimensionar, eliminar errores de una partición existente de tu disco duro.
  • Sfdisk te permite hacer un backup y restaurar tu tabla de particiones

Puedes mirar en la página de herramientas para mas detalles.

Pueden encontrar la lista de cambios de la última versión aquí

Pueden descargar la imagen iso de SystemRescueCD 1.0.4 desde la página de descargas del proyecto

Lockdown Editor (Pessulus), editor de restricciones

publicado a la‎(s)‎ 13 oct. 2015 9:51 por Juan Jose Ramirez Lama

Lockdown Editor (Pessulus) es un editor de restricciones para el entorno GNOME. La idea principal es que el administrador del equipo pueda gestionar las funciones del escritorio a las que no puede acceder un usuario convencional, muy útil en el caso de cibercafés o en cualquier máquina que esté compartida por muchos usuarios.


panel-lockdown


De una sola vez, Pessulus le permite al usuario restringir el uso de la impresora, líneas de comandos, guardar archivos en el disco duro, miniaplicaciones del panel, forzar la salida de aplicaciones, funciones del navegador web Epiphany…


Para los usuarios de Ubuntu, puede instalarse directamente desde el menú de Añadir y quitar, sólo hay que buscar el paquete (se llama pessulus) y marcarlo para aplicar su instalación, o desde la terminal como explico ahora.


Para instalarlo abrimos una terminal y tecleamos:

# apt-get install pessulus

Cómo desbloquear el depósito de claves de inicio

publicado a la‎(s)‎ 13 oct. 2015 9:49 por Juan Jose Ramirez Lama

Para aquellos que estén hartos de insertar la contraseña para desbloquear el depósito de claves de inicio.
Para que esta molesta aunque útil (desde el punto de vista de la seguridad) ventana deje de acosarnos, sólo hay que hacer lo siguiente:

Ir a Sistema → Preferencias → Conexiones de Red → Editar la red inalámbrica a la que solemos conectarnos y marcar "Disponible para todos los usuarios" (abajo del todo).

VNC

publicado a la‎(s)‎ 27 feb. 2015 18:43 por Juan Jose Ramirez Lama   [ actualizado el 14 oct. 2015 4:36 ]

Para permitir acceso a nuestro computador usamos Vino, que ya viene instalado en Ubuntu, sólo vamos a Aplicaciones -> Preferencias -> Compartición Escritorio y configuramos el acceso a nuestro gusto.



Para acceder a un host remoto tenemos que instalar xvnc4viewer



$ sudo apt-get install xvnc4viewer 


Luego en la misma consola tecleamos:

$ vncviewer


y nos pedirá el host (ip o dominio del equipo que vamos a manejar) y contraseña.

1-10 of 13