Acceso seguro a tu servidor Linux [SSH]

29 08 2011

Bien, varios de uds o pagan por un hosting con un OS propio.. alquilan un servidor, o tienen uno en su casa, o en su empresa. Varios tambien aun tienen un teclado y un monitor conectados al servidor, para poder configurar las cosas que sean necesarias, o modificar aplicaciones del sistema. Incluso varios ya usan acceso por ssh, pero lo hacen en cierta forma, insegura, mas alla que ssh es encriptado.. seguro.. etc.

Lo ideal es acceder sin la necesidad de enviar o usar un password, pero ya llegaremos a eso. Primero una basica de configuracion para los que no saben como implementarlo.

En nuestro servidor antes que nada tenemos que tener instalado el servicio SSH, lo instalamos en Ubuntu Server con:

  • sudo apt-get install openssh-server

Una vez instalado, ya queda configurado con los parametros por defecto; que a efectos de un caso “nuevo” nos viene genial. Ahora podemos conectarnos desde otra computadora (si tenemos ubuntu tenemos que instalar “openssh-client“. Para conectarnos lo hacemos con el siguiente comando:

  • ssh usuario@direccionIPremota

Bien, ahora que ya tenemos instalado el servidor ssh y funcionando, y que ya estmos conectados a el, podemos modificarlo para tener un poco mas de seguridad.

Lee el resto de esta entrada »





Home Server FAIL

9 08 2011

Ok, cual es la primer regla de todo server?

BACKUPS, BACKUPS, BACKUPS !!!

Por si no lo entendieron, tienen que hacer backups, de todo, todo el tiempo. Shit happens, asi que tienen que estar preparados para lo inminente.

Si, tu servidor va a morir en algun momento…Es una cuenta regresiva, y es mas que claro que cuando pase, va a ser irreparable. Al menos para el grado de conocimiento que tengas, o el grado de esfuerzo estes dispuesto a darle.

 

Asi que.. a volver a empezar..

Por lo menos ahora todos los progresos, avances y proyectos van a quedar regisrados aca, asi como en el server local… Ya iremos viendo.

Por lo pronto ya esta recien instalado Ubuntu Server y actualizado… De a poco iremos instalando los servicios y demas..






Home Server, que opcion es mas eficiente?

2 08 2011

Imagen por Rudolf Schuba en LifeHacker

Desde hace ya un tiempo que mantengo un servidor(mini) en mi casa, a efectos de hostearme un wordpress, wikipedia, torrent_server, etc. Tambien ha servido como servidor de prueba para varios amigos de php, html, css, y otras opciones que no tenían donde probarlas en un sistema aparte del “ideal” (localhost, :P).

Pero en estos días tratando de mejorar las especificaciones de hardware del servidor, para tratar de hacerle la vida mas fácil a los clientes del mismo, empece a calcular costos vs. rendimiento de las múltiples opciones (eficiencia y costo).

Se me ocurrió medir el consumo del servidor actual, por lo que primero tenemos que informarnos, al menos del consumo máximo de cada dispositivo.

Al tener relativamente escasos conocimientos de electrónica, puedo tener algunos errores, en caso de que los tenga, son libres de corregirme, siempre estoy abierto a criticas constructivas.

Lee el resto de esta entrada »





Montar un disco en red en Ubuntu 11.04

2 08 2011

Bien, en Windows XP para mapear un disco en red (map a network drive), usualmente basta con saber la IP del host y la carpeta que esta compartida. Simplemente vamos a “Ejecutar” y le damos por ejemplo: “\\192.168.1.100\CarpetaCompartida”. A lo que nos muestra la carpeta normalmente, o en caso de tener permisos de usuarios nos pedira el usuario y contrasena.

Luego de tener la carpeta a la vista, le damos click-derecho>propiedades y seleccionamos “Montar disco en red” (o una opcion similar, no me acuerdo de memoria). A veces nos sirve ir nivel hacia arriba (de carpetas), ya que lo que vemos es el interior de la carpeta compartida, y no la carpeta en si.

En Windows 7 es similar, simplemente que en vez de ir a “Inicio>Ejecutar”, abrimos un explorador de archivos (abrimos una carpteta cualquiera) y en la barra de direccion (borde superior) le escribimos la direccion completa de la carpeta compartida con el mismo formato que en XP.

Ubuntu Senary Drive icon by Milos Mirkovic

Ubuntu Senary Drive icon by Milos Mirkovic

En Ubuntu no la tenemos tan “facil” como un click-derecho, pero si mas simple. Ya que una vez configurado, funcionara por siempre.

Para empezar, para poder manejarnos con “archivos en red” o “discos en red” necesitaremos un par de programas: en principio solo smbfs.

Tenemos que modificar el archivo /etc/fstab para decirle donde esta el disco y donde lo queremos montar.

Tambien vamos a tener que decirle las credenciales (usuario y contrasena) si es que es un disco compartido con permisos de usuario.

Este es el formato que use yo en Ubuntu 10.10 y 10.04, y me funciono de maravilla:

//X.X.X.X/carpeta /  media/carpeta_local  smbfs noauto,credentials=/home/usuario/nombre.smbcredentials

Las xxx, son el ip del servidor, junto con la carpeta compartida (la ruta completa. Luego la carpeta local (que tenemos que crear previamente).  Con las credenciales, tenemos el dilema que estan en texto plano, por lo que cualquier otro por ahi podria leerlas.. algo que probablemente no queremos.

Para obviar esto le tenemos que cambiar los permisos al archivo, lo bajamos de 755 a 600. (sudo chmod 600 nombre.smbcredentials).

El otro detalle que yo use, fue el “noauto”, que va a hacer que no intente montarlo al inicio del sistema, ya que probablemente no tengamos activa la red en el sistema; por lo que solo generaria un log de error.

Al ya tenerlo en el fstab, lo bueno es que ahora podemos montar el disco simplemente con el comando: “mount /media/carpeta_local”.

Espero que les haya servido, a continuacion les dejo unos links de referencia y que me ayudaron bastante en el proceso.

Reference:

https://wiki.ubuntu.com/MountWindowsSharesPermanently

http://www.automaticable.com/2008-01-18/how-to-mount-a-network-drive-in-ubuntu/

http://ubuntuforums.org/showthread.php?t=1403522

http://ubuntuforums.org/showthread.php?t=249889

http://ubuntuforums.org/showthread.php?t=1169149

http://linuxblog.darkduck.com/2011/05/fighting-with-ubuntu-1104-unity.html

http://ubuntuguide.org/wiki/Ubuntu_Edgy#How_to_mount_network_folders_on_boot-up.2C_and_allow_all_users_to_read.2Fwrite





Prevencion de ataques DOS y Fuerza Bruta usando Fail2ban

1 03 2011

Tener que lidiar con ataques DOS y de fuerza bruta puede ser un desafio bastante duro. Normalmente puedes ajustar manualmente tu firewall para que bloquee una direccion IP determinada, pero porque no automatizar el proceso? que pasa si un programa puede monitorear las autenticaciones de tu sistema, y otros archivos de registro (logs) por actividades sospechosas ? En estos logs hay una cantidad increible de informacion sobre intentos fallidos de ingreso, y cuantas veces una ip se conecta a tu servidor web. Usando esta informacion un programa puede ajustar automaticamente tu firewall para bloquear las direcciones IP ofensoras. Fail2ban hace exactamente eso. El prorgama monitorea automaticamente los archivos de registro o “logs” de muchos programas, y claro, sobre todo Apache y SSH.

Aqui tienen la direccion oficial: Fail2ban

Ya les daremos un poco mas de informacion sobre este tremendo programa y como usarlo.

[UPDATE]

WOW !  Es increible el resultado que dio este programa !

El las primeras 24hs. ya tiene resultados totalmente positivos. Todo lo que veo por ahora (o en los que reviso.. ) son solo entradas de CRON, no mas “posible break-in attempts” o intentos infructuosos de logeo.

Voy a ver si les posteo un poco mas sobre como configurarlo para que todos puedan tener un poco mas de seguridad en sus sistemas..