Oscar's Blog

Blog de Oscar Valenzuela - GNU con Linux, Free Software, Android, Hacking

CenTOS: asegurando nuestra partición /TMP

12 Mar 2013


La partición /TMP generalmente es usada por todos los servicios de neustro servidor como repositorio de información, para variables de sesión y cosas por el estilo. El tipico error de muchos es que por otros problemas de seguridad permiten a atacantes usando servicios tipo web ejecutar comandos o escribir en dicha patición, y por tal, ejecutar scripts que finalmente terminan por vulnerar todo el sistema y entregar acceso a los atacantes. A continuación veremos como asegurar dicha partición, para evitar ataques y sus consecuencias:

Read More

CenTOS: Endureciendo (Hardening) SSHD

12 Mar 2013


La idea general, es “endurecer” la seguridad de nuestra configuración SSH, por lo que seré muy breve, pero la idea es en general seguir los pasos y tendremos un SSH configurado aún más seguro:

Paso 1: Primero que todo, debes crear un usuario regular (no root), ya que se deshabilitará el acceso como root. En este caso creamos el usuario admin:

adduser admin && passwd admin

Paso 2: Respalda tu actual configuración sshd_config:

mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Paso 3: Crea un nuevo archivo de configuración para sshd:

nano -w /etc/ssh/sshd_config

Paso 3.1: Pega el siguiente contenido directamente en tu archivo:

## Cambia este puerto, por ejemplo 8022 (muy recomendable)
Port 22
## Configura la dirección donde escuchará el demonio ssh. por defecto=0.0.0.0
#ListenAddress 192.168.0.1
## Acepta solo ssh versión 2
Protocol 2
## Deshabilita el acceso como root, en adelante necesitarás ingresar como un usuario normal y desde esa sesión ingresar “su -” para convertirse en root:
PermitRootLogin no
##
UsePrivilegeSeparation yes
##
AllowTcpForwarding no
## Disables X11Forwarding
X11Forwarding no
## Verifica los usuarios y sus directorios personales, que no sean editables por cualquier usuario:
StrictModes yes
## Esta opción especifica que el archivo rhost o shosts no será utilizado para autenticación:
IgnoreRhosts yes
##
HostbasedAuthentication no
## Esta opción especifica si sshd puede utilizar rhost para autenticación:
RhostsRSAAuthentication no
## Le agrega un mensaje al usuario, una especie de banner:
Banner /etc/motd
## Habilita o desactiva el servidor sftp
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
## Agregamos los usuarios que pueden ingresar por ssh (ver paso 1)
AllowUsers admin
Control + X para guardar

Paso 4: Verificamos las configuraciones que se han realizado en el nuevo archivo:
nano -w /etc/ssh/sshd_config
RECUERDA QUE SE RECOMIENDA CAMBIAR EL PUERTO. ( Ejemplo Puerto 8022 )

Paso 5: Agregamos un texto pulento al archivo MOTD (/etc/motd)
echo “Private system, please log off.” > /etc/motd

Paso 6: Reiniciamos el demonio SSHD

service sshd restart

Paso 7: Iniciamos un NUEVO CLIENTE, y probamos conectarnos. (OJO!!! NO CIERRES EL ACTUAL EN CASO DE PROBLEMAS)

ssh 192.168.0.1 -ladmin -P8022 # o el puerto que hayas elegido

Si todo fue bien, entonces ya puedes usar ssh 😉

Read More

UPDATE: Borrar historial de GNOME Shell con script bash

09 Mar 2013


En momentos de ocio, hice este script para eliminar el historial de GNOME Shell. Está en bash y Zenity para la interacción.

Read More