Spiga

‘ seguridad ’ category archive

Viñeta de Dilbert sobre la última y más jugosa Vulnerabilidad de Debian.

May 16, 08 by admin

Para los que no lo sepán hace unos escasos dos dias se puso de manifiesto una vulnerabilidad para Debian y todos sus hijos (Ubuntu) de openSSL, por la cual la función random que generaba la clave para SSL por ejemplo la que usamos para autenticarnos para las autorized_keys de SSH no era del todo “aleatoria”. . . [ampliar info]
En fin que me ha hecho mucha gracia esta viñeta de Dilbert que es lo que vengo a enseñaros.

Fortificar Conexiones SSH

November 02, 07 by admin

Unas cuantas cosas a tener en cuenta si tenemos servicio ssh.

    • Optimizar el archivo de configuración: sshd_config
      Port: Lo ideal sería cambiarlo ya que lo normal es que los ataques lo hagan al puerto por defecto que es el 22
      Protocol: Utilizar solo el protocolo 2 ya que el 1 tiene vulnerabilidades.
      PermitRootLogin: Quizas lo más importante, desabilitar el acceso SSH al usuario Root.
      MaxAuthTries Limitar el numero de intentos antes de que se cierre la conexión 2 sería una buena opción.
      MaxStartups: Sería el número de conexiones desde una misma IP, nunca dar más de las que vayamos a poder utilizar. Si a esa maquina solo vas a entrar tú.. para que ser débiles en ese aspecto.
      AllowUsers: Permitir solo al o a los usuarios que vayamos a utilizar para SSH y si siempre va a ser desde la misma ip utilizar usuario@ip, el (denis@192.168.1.*)
      Otra cosa importante sería que ninguno de los usuarios que tengan acceso al sistema mediante SSH tengan la misma clave que el usuario root, ya que si esta la consiguieran, por ejemplo mediante fuerza bruta, estaría vendido todo nuestro sistema.

mini HowTo Conexiones SSH con RSA o DSA y ssh-agent

October 22, 07 by admin

Para todo aquel que no lo sepa la unión de RSA o DSA con ssh-agent nos da la posibilidad de poder entrar a nuestras maquinas con ssh sin necesidad de poner el password. Esto es especiamete interesante para sistemas de backup.

Pues bien lo primero que debemos hacer es generar nuestra clave en nuestra maquina cliente, mejor que lo hagamos con el usuario root, para evitar cualquier suplantacion humanoide en nuestro terminal. Para ello escribimos, si hemos elejido dsa:
ssh-keygen -t dsa

Luego nos toca copiar la clave pública que nos ha generado al servidor:
ssh-copy-id -i id_dsa.pub usuario@servidor

Ahora le hacemos un ssh usuario@servidor para que nos pida la clave dsa, la introducimos y ahora solo nos queda configurar ssh-agent para no tener que escribirla cada vez que entremos. Para ello tecleamos:

ssh-add ~/.ssh/id_dsa

Con esto ya estaria configurado nuestra conexión SSH para no tener que escribir la clave cada vez que entremos.

Más Información y HOwTo de verdad.