Archivo de la etiqueta: administración de servicios

Otra protección más con iptables y módulo recent

Al hilo de esta entrada, si lo que queremos es controlar, incluso, un posible escaneo de puertos desde una IP, y no solo peticiones abusivas a uno de nuestros servicios que es de lo que trataba la entrada anterior, tenemos: iptables -I INPUT  –m state –state NEW -m recent  –set iptables -I INPUT  –m state… Leer más »

Port Knocking con iptables

Existe software desarrollado, como knockd, que nos permite utilizar una técnica de protección muy interesante: Port Knocking La idea es que, cuando se da una secuencia concreta de conexiones a determinados puertos, se habilita otro, que es nuestro objetivo final. Por ejemplo, tenemos deshabilitado el acceso al servidor SSH y, tras recibir una secuencia de conexión… Leer más »

Más sobre fortificación de SSH

En cuanto ponemos un servicio SSH accesible desde cualquier parte de Internet, los ataques de fuerza bruta y demás se suceden casi al instante (es una licencia, evidentemente, hay un tiempo de «descubrimiento»). Nos llegan desde todo el globo terráqueo por lo que, hablando de protección y suponiendo que nunca accederá un usuario desde determinados… Leer más »

Fortificando el acceso con SSH: 2FA con Google Authenticator

Como comentaba al final de la entrada anterior, quien disponga de un hosting propio al que se conecte con sesiones de trabajo también debería estar interesado en fortificar este acceso utilizando un mecanismo 2FA en el servicio SSH. Google Authenticator es una buena opción, entre otros argumentos, nos centraliza en la misma herramienta el acceso a… Leer más »

Cómo controlar la recepción de peticiones abusivas desde una misma IP

Hace unos meses escribí esta entrada sobre un guión en Python para la detección de peticiones abusivas hacia un servidor web Apache. Me faltó indicar cómo controlarlas y es muy sencillo: iptables -I INPUT –dport 80 -p tcp –syn -m recent –name «CONTROL-WEB» –set iptables -I INPUT -p tcp –dport 80 –syn -m recent –update… Leer más »

Fortificando la autenticación de usuarios en WordPress

Al margen de la elección de contraseña, es una opinión, y cada vez más generalizada, que para aumentar la seguridad en la autenticación de los usuarios, debemos recurrir a sistemas MFA (Multi-Factor Authentication). Estos sistemas consisten en incluir diferentes factores de autenticación (2 o más): uno basado en algo que conocemos (por ejemplo, el clásico… Leer más »

Virtualhost con nombre en Apache y Nagios

RECORDATORIO: Si estás comprobando el funcionamiento de tu sitio web con Nagios y dispones de varios sitios definidos con VirtualHost basados en el nombre debes asegurarte que en la petición se mande el nombre del sitio deseado. Si lo hiciéramos «a mano», la conversación desde el cliente nagios al servidor Apache sería así: telnet nombre_servidor… Leer más »

Autenticación con LDAP en Alfresco

En /opt/alfresco-4.2.f/tomcat/shared/classes/alfresco-global.properties debemos añadir la cadena de conexión del LDAP: authentication.chain=ldap1:ldap,alfrescoNtlm1:alfrescoNtlm Una recomendación es dejar, como última cadena alfrescoNtlm1:alfrescoNtlm para la autenticación nativa de Alfresco*. Después debemos configurar el acceso a nuestro directorio para lo que necesitamos un fichero con los valores de LDAP. Para ello podemos partir de uno existente ejecutando la orden**: sudo… Leer más »

Sistema de archivo remoto accesible mediante SSH

Si queremos compartir o acceder a un directorio de un equipo al que ya accedemos mediante SSH, una buena opción es usar el mismo servicio (ssh) para conseguir este objetivo. Para ello necesitamos: Que el núcleo incluya FUSE. Si no lo está: basta con instalar fuse-source e instalarlo con module-assistant. Que el usuario local pertenezca al grupo fuse.… Leer más »

Benchmark: Diseño de pruebas

Saber cómo se va a comportar un servidor, por ejemplo, un Apache, exige someterlo a una pruebas específicas que nos den una idea de lo que es capaz. Por ejemplo, un objetivo claro es determinar el número de peticiones de servicio por segundo que nuestro servidor es capaz de soportar/atender dentro de ciertas restricciones, como… Leer más »