Este es el primer tip de varios que pretendo publicar de cosas que debemos hacer o aprender para evitar que penosos hechos de seguridad o descuido hagan que pasemos malos ratos.
La gran mayoría de veces estos hackers no lo son en realidad y mas bien son lamers que a través de descuidos obtienen acceso a tu dominio, server, etc. Siendo lamers mucho conocimiento o experiencia técnica no tienen.
A mi personalmente me disgustan mucho los paneles de control, no solamente tienen un costo que no lo valen si no que además son una puerta a diversos huecos de seguridad, y en el caso de los lamers que tengan acceso a tu server es muy sencillo realizar cambios a través de este.
Mi recomendaciones vendrían por:
- No utilizar un panel de control y si es imprescindible, estar 100% seguros que la versión instalada es la última estable.
- En todo caso siempre un conocimiento básico de administración *unix es importantísimo.
- Debemos saber reconocer los procesos que están corriendo para poder notar alguno extraño en caso nuestro server este "raro".
- Debemos tener conocimientos básicos de iptables (o pf en caso de unix) en caso no tengamos un firewall y nuestro server este sufriendo ataques.
- Debemos saber como correr un software de reconocimiento de rootkits.
- No tengamos el user root habilitado para logueos, utilizamos un user sin privilegios para el logueo y de ser necesario ejecutemos comandos como root a través de un sudo.
- Cambiemos los passwords de root cada cierto tiempo.
- Etc, etc.
Digamos que uno de estos lamers ha tomado nuestro server porque descubrió que nuestro password era "cristalab". Logro entrar y nos cambió de password de root. Si esto sucede estamos en problemas si no hemos agregado nuestro ssh_key en los authorized_keys del server.
Esto es importante ya que nos permitiría loguearnos al server sin necesidad de saber el password de este.
Digamos que el server de llama "clab" y nuestro maquina "lap":
- lap> ssh-keygen -t rsa
No ingresemos un passphrase.
- lap> ssh user@clab mkdir -p .ssh
- user@clab's password: xxxxx
- lap> cat .ssh/id_rsa.pub | ssh user/clab 'cat >> .ssh/authorized_keys'
- user@clab's password: xxxxx
Eso es todo
Ahora cuando hagamos:
- lap> ssh user@clab
Vamos a poder ingresar y por ende volver a cambiar el password de root sin problemas.
Esto de la seguridad es importantísimo. Igual de importante que los backups diría yo.
Espero les ayude!
¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.
Por fernando el 18 de Febrero de 2009
"tengo mi desktop con linux instalado y me olvide la clave, le puedo generar el key para loguearme sin saber el password?"
La respuesta es no... pero siendo tu desktop (es decir que tienes acceso a el) lo que puedes hacer es insertar el disco de instalación y bootear en single-mode.
Cuando hayas entrado en single-mode ahi le cambias el password y ya.
Por Otaku RzO el 18 de Febrero de 2009
Justo hace unos días se daño uno de los servers donde tenía un site y de milagro la semana anterior le hice un backup y pude reponer todo. Nunca están demás estos detalles y en algún momentos nos salvarán de muchas.
Por Zguillez el 18 de Febrero de 2009
Por M@U el 18 de Febrero de 2009
Por renesilva el 18 de Febrero de 2009
Por shadowblade el 18 de Febrero de 2009
Por jpcw el 18 de Febrero de 2009
Por fredybg el 18 de Febrero de 2009
Por El Alecs el 18 de Febrero de 2009
Por eveevans el 18 de Febrero de 2009
muy bueno >
Por fernando el 18 de Febrero de 2009
Olvide ponerlo en el artículo pero
[B]JAMAS INSTALEN UN SERVER CON ENTORNO GRAFICO COMO KDE, GNOME, ETC[B] consume memoria de más y agrega temas de seguridad pesados.
Lamentablemente en cuanto a seguridad se refiere no debemos darle prioridad a la comodidad.
Por Sisco el 18 de Febrero de 2009
Gracias por el aporte.
Por Raxiro el 18 de Febrero de 2009
Si bien, lo mejor me parece que es que un cliente no tenga acceso al servidor mas que para chequear mails y ver el sitio, si tenemos muchos clientes, no podemos realizar todos lo que se necesitan nuestros clientes.
Ahora, si el server es para uso propio, me parece la mejor opción lo que dice Fernando, además es mucho rápido,lindo,seguro y mejor manejar la consola que una interfaz gráfica o panel de control.
saludos
Por asche el 18 de Febrero de 2009
bye
Por fernando el 18 de Febrero de 2009
Por kon el 18 de Febrero de 2009
Por Diego Samuel el 18 de Febrero de 2009
1. la llave que debes crear en vez de ser rsa debe ser dsa, ya que las llaves asimetricas rsa son viejas y fáciles de romper, de resto el procedimiento es igual.
2. Es mejor colocar un passphase, si es una llave dsa este te permite que tenga espacios, lo que te da mayor seguridad si te intentan romper la llave.
3. una cosa que colocaria también como recomendación es por medio de iptables evitar que tu maquina conteste ping, eso evitara que cualquier portscan basado en ping funcione
Suerte y sigue así
Por fernando el 18 de Febrero de 2009
Gracias!
Por danyrik el 19 de Febrero de 2009
Por yo el 19 de Febrero de 2009
me dais envidia jeje
yo esk no me entero de la mita, ya me gustaria
Me encanta esta web, to lo k he leido he flipao de verdad, teneis un puñao de conocimientos de codigo y de to k yo lo flipo
Por Matias el 17 de Marzo de 2009
http://events.ccc.de/congress/2008/wiki/How_To_Survive
Saludos