Daboweb | Seguridad y ayuda informática |

Ronald McCarty ha escrito para Linux Magazine un interesante artículo «Your distro is insecure: Ubuntu» (Tu distro es insegura, Ubuntu) sobre Ubuntu Server (versión 8.10) y su posible falta de seguridad heredada de un proceso de instalación que no es por defecto el adecuado.

Además, dice que esa facilidad de instalación de algunas distribuciones de GNU/Linux que se han implementado estos dos últimos años, buscando llegar a más usuarios y conseguir mayores cuotas de mercado frente a otros sistemas operativos, ha ido en detrimento de la seguridad final del sistema.

El autor se queja de que en el proceso de instalación de Ubuntu en pro de esa facilidad se llevan a cabo incorrectamente una serie de toma decisiones que más adelante podrían traer graves consecuencias para su estabilidad y seguridad y añade que el dicho de «Si se trata de Linux es seguro», no se cumple en todas las ocasiones y una de ellas es esta referida a Ubuntu Server.

En el artículo se dan las pistas necesarias para evitar problemas y realizar una instalación más correcta del sistema poniendo la mirada en cuestiones tan importantes como la identidad, autenticación y autorización.

Acceso a «Your distro is insecure: Ubuntu« | Traductor de Google, Copia la URL, falla automáticamente.

(Nota del editor)

# Estoy de acuerdo con el autor en que en este caso, de seguir esos pasos por defecto, el resultado es una instalación potencialmente insegura y más en una versión servidor, pero no creo que el problema sea esa facilidad de instalación a la que alude, sino de un posible desconocimiento por algunos de como hacerlo correctamente, ya que no es normal que la instalación de un server la haga un usuario sin experiencia.

(Digo posible porque hay muchos administradores de sistemas preparados para poner en producción un servidor web con las medidas necesarias de seguridad desde ese mismo instalador, pero no está de más recalcarlo y explicar como hacerlo correctamente tal y como el autor (perfectamente) explica .Además, en el caso de un servidor web, recomendaría Debian por encima de Ubuntu).

Por David Hernández, Dabo.

Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux. Concretamente la número; 2.6.29.

FAQS o preguntas frecuentes sobre el Kernel Linux.

Descargar Kernel Linux.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Junto a KDE, GNOME es el entorno de escritorio más utilizado en sistemas GNU/Linux. Destaca su facilidad de uso y configuración, además, cuenta con una gran comunidad de usuarios y desarrolladores detrás como Software Libre que es.

Hoy se ha liberado la esperada versión 2.26 con interesantes novedades y mejoradas herramientas para la administración del equipo y su uso habitual, en el post del lanzamiento de esta nueva versión se resumen las mejoras para el usuario más destacables;

• Nueva grabación de discos completa
• Compartición de archivos simple
• Evolution evoluciona su migración desde Windows
• Mejoras en el reproductor multimedia
• Control de volumen integrado con PulseAudio
• Soporte para múltiples monitores y proyectores
• Comunicación casi telepática
• Barra de direcciones de Epiphany
• Integración de lector de huellas
  

Notas de lanzamiento de GNOME 2.26 (En castellano)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

En algunas ocasiones, habréis visto como vía iptables o usando un firewall tipo Shorewall, APF, o los que vienen con un CPanel, Plesk etc, el acceso a los hosts virtuales en Apache a través de vuestro cliente FTP, se ve afectado con continuas caídas o simplemente, al intentar conectar da un “timeout”.

Una de las ventajas de Pure FTPd (entre muchas otras) es que nos permite definir a través de que rango de puertos se tramitaran las conexiones pasivas (de ese modo se conectan la mayoría de los clientes FTP). Como sabéis, el servidor FTP puede estar “escuchando” un puerto y a la espera de recibir conexiones (por ej el 21) y luego, deriva las transferencias hacia otros puertos.

Este hecho, en otros servidores FTP puede provocar muchos dolores de cabeza al administrador del sistema, ya que es muy complicado saber a priori a través de que puertos se realizarán las transferencias de datos y por lo tanto, a la hora de establecer las políticas de acceso al servidor web en el firewall este hecho se revela como un problema.

Por suerte, en Pure FTPd, se pueden definir estos puertos de un modo sencillo para luego incluirlos en vuestro firewall. Dentro de /etc/pure-ftpd/conf, tenéis que crear un fichero con el nombre PassivePortRange (como está, con mayúsculas y minúsculas) caso de que no esté creado.

Abrís vuestro editor de texto favorito para crearlo, en este caso vim;

vim PassivePortRange

y una vez dentro, tendréis que incluir el rango de puerto deseado del modo siguiente;

27750 28000

En este caso he incluido ese rango de puertos pero pueden ser otros (cuidado de que no estén usándose por otro servicio), podéis dar un vistazo a los puertos más comunes y su función o servicio.

Después y una vez definido ese rango de puertos en vuestro firewall, sólo tendréis que reiniciar el PureFTPd para que los cambios se hagan efectivos del siguiente modo;

/etc/init.d/pure-ftpd restart o /etc/init.d/pure-ftpd-ldap restart si está ejecutándose bajo ldap.

Os tendrá que aparecer algo similar a esto;

Restarting ftp server: Running: /usr/sbin/pure-ftpd-ldap-virtualchroot -l ldap:/etc/pure-ftpd/db/ldap.conf (omito algunas opciones) -p 27750:28000 -B

Ese -p 27750:28000 indicará que las transferencias en modo pasivo se harán entre esos puertos (-p passiveportrange) y si esos puertos están bien indicados en el firewall os podréis conectar vía FTP sin problemas.

(Update 5/12/2012)

Buen apunte del amigo Rastreador (vía Twitter) un tip para Amazon:

Añadiría que si ip serv. <> ip publica hay q utilizar pasv_address=ip_publica . En AWS imprescindible

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

A continuación os ofrecemos un listado con las entradas publicadas este pasado mes de Febrero por si alguna no la habéis leido en su momento.

Os recordamos que tenemos habilitado un foro para comentar estas noticias y que para cualquier otra consulta informática, estaremos encantados de intentar echaros una mano en la medida que nos sea posible ya dentro de nuestros foros temáticos.

Publicado en Febrero de 2009;

• Drupal, actualizaciones de seguridad, versiones 6.10 y 5.16
• Servicios web y ataques a las cuenta de usuario ¿tanto cuesta avisar?
• Windows 7 por fuera, Windows Vista por dentro ¿versión o revisión? Nuestro repaso a «7».
• Daboweb en apoyo a forosdelweb.com y maestrosdelweb.com (Actualización, dominios recuperados -;)
• Debian GNU/Linux «Lenny» (versión 5.0), descarga disponible
• Vulnerabilidades en navegador web Apple Safari. Nueva versión 3.2.2 para Windows Vista y XP
• Apple security Update 2009-001 (Mac OS X 10.5.6 y Mac OS X 10.4.11) y Java Update
• Vulnerabilidad crítica en BlackBerry Aplication Web Loader.
• Actualizaciones de Microsoft Febrero 2009
• WordPress 2.7.1, actualización disponible
• Actualización foros SMF, versión 1.1.8 y tutorial de actualización.
• Ataque a phpBB.com y cuentas de usuario de sus foros comprometidas
• Vulnerabilidad en Coppermine, actualización disponible
• Vulnerabilidades en Firefox, actualización versión 3.0.6
• Migrar servidores utilizando el panel de control Plesk
• Postales virtuales con sorpresa

La comunidad de Debian anunció el pasado día 14 de Febrero el lanzamiento de una nueva versión estable de Debian GNU/Linux después de 22 meses de continuado desarrollo y la aportación de miles de usuarios de todo el mundo.

Debian Lenny se ejecuta en 12 arquitecturas diferentes ( Sun SPARC (sparc), HP Alpha (alpha), Motorola/IBM PowerPC (powerpc), Intel IA-32 (i386), IA-64 (ia64), HP PA-RISC (hppa), MIPS (mips, mipsel), ARM (arm, armel), IBM S/390 (s390), y AMD64 de AMD y EM64T de Intel (amd64).

Cuenta con interesantes novedades y mejoras. Aquí las relativas a la seguridad;

Otras mejoras en la seguridad del sistema incluyen: la instalación de las actualizaciones de seguridad disponibles antes del primer reinicio del sistema de instalación, la reducción en el número de binarios con el bit setuid de root habilitado así como del número de puertos abiertos en la instalación estándar. Algunos paquetes de seguridad críticos se han compilado con las características de bastionado de GCC. También se han realizado mejoras específicas en algunas aplicaciones. Por ejemplo, se ha compilado PHP con el parche de bastionado de Suhosin.

Novedades más importantes;

Debian GNU/Linux 5.0 Lenny incluye soporte para la plataforma Orion de Marvell, utilizada en muchos dispositivos de almacenamiento. Entre los dispositivos de almacenamiento soportados se incluyen el QNAP Turbo Station, el HP Media Vault mv2120 y el Buffalo Kurobox Pro. Lenny también incluye soporte para los Netbooks, en particular para los Eee PC de Asus. Lenny incluye las herramienta de compilación desarrolladas para Emdebian, que permiten que puedan realizarse compilaciones cruzadas de los paquetes fuente de Debian y reducir su tamaño para que puedan utilizarse en sistemas ARM.

Debian GNU/Linux 5.0 (Lenny) incluye la nueva adaptación a ARM EABI: Armel. Esta nueva adaptación permite un uso más eficiente tanto de los modernos como de los futuros procesadores ARM. A consecuencia de esto, se da por obsoleta la antigua adaptación de ARM (arm).

Esta versión incluye una gran cantidad de paquetes de programas actualizados como: el entorno de escritorio K Desktop Environment 3.5.10 (KDE), una versión actualizada del entorno de escritorio GNOME 2.22.2, el entorno de escritorio Xfce 4.4.2, LXDE 0.3.2.1, el escritorio GNUstep 7.3, X.Org 7.3, OpenOffice.org 2.4.1, GIMP 2.4.7, Iceweasel 3.0.6 (una versión de Mozilla Firefox que no utiliza la marca registrada), Icedove 2.0.0.19 (una versión de Mozilla Thunderbird que no utiliza la marca registrada), PostgreSQL 8.3.6, MySQL 5.0.51a, la colección de compiladores del GNU (GCC) 4.3.2, el núcleo de Linux versión 2.6.26, Apache 2.2.9, Samba 3.2.5, Python 2.5.2 y 2.4.6, Perl 5.10.0, PHP 5.2.6, Asterisk 1.4.21.2, Emacs 22, Inkscape 0.46, Nagios 3.06, Xen Hypervisor 3.2.1 (con soporte tanto para dom0 como para domU), OpenJDK 6b11 y más de otros 23.000 paquetes de programas listos para usarse (contruídos a partir de 12.000 paquetes fuente).

Toda la información en el anuncio oficial de la versión 5.0.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Hoy es un buen día para toda la comunidad de desarrolladores y usuarios de KDE. Acaban de comunicar el lanzamiento de la versión final y totalmente operativa de KDE 4.2 con el nombre en clave «La respuesta».

El funcionamiento de KDE 4 durante tiempo ha sido cuestionado, en este hilo del foro de GNU/Linux estamos hablando de Gnome y KDE (en el enlace la decisión de Linus de pasar a Gnome) y se esperaba esta actualización con grandes expectativas y desde luego, los cambios que se anuncian no son para tomarlos a la ligera.

A modo de recordatorio del plan de desarrollo de KDE 4x, la fecha de lanzamiento de KDE 4 fue en Enero de 2008, después, la versión 4.1 que vio la luz en Julio de 2008, vino a mejorar algún aspecto de la 4.0 pero la sensación que han tenido muchos usuarios era que no parecía un “producto final”…

¿Qué mejoras aporta KDE 4.2?

La lista de novedades es amplia pero podríamos resumirlo los siguientes aspectos (incluyo también funcionalidades antiguas en KDE que se han potenciado);

La interfaz de escritorio “Plasma” se ha perfeccionado en puntos como la organización, gestión y personalización, se cuenta con nuevos “Applets” que se pueden gestionar ahora en la parte superior de la pantalla, uso rápido de archivos compartidos.

Hay un aumento de la bandeja de sistema (descargas), donde además, las notificaciones y aplicaciones se muestran de un modo unificado. Como siempre, para ahorrar espacio se pueden ocultar iconos de la bandeja de sistema y ocultar el panel automáticamente tal y como lo conocemos en otras ramas de KDE.

KWin se muestra ahora más eficaz en la gestión de las ventanas y los movimientos se han perfeccionado para dotar de una sensación más natural a los ya conocidos o a los buevos como el “cubo” o la “lámpara mágica”. En general, todos los cambios de ventana son más eficientes según informan en la lista de cambios.

PowerDevil mejora la gestión de energía en portátiles y dispositivos móviles. La extracción y creación de archivos es ahora más eficaz y hay nuevas herramientas para las impresoras que permiten manejarlas más fácilmente así como los trabajos de impresión.

Se da soporte a nuevos idiomas tales como; Arabe, el Islandés, Euskera, Hebreo, Rumano, Tayikistán y varios idiomas de la India (India bengalí, gujarati, kannada, maithili, marathi)

Mejoras en navegador web Konqueror y su manejo en general, también en el soporte de gráficos vectoriales, los marcadores son visibles desde el arranque y se introduce un nuevo cuadro de diálogo de búsqueda cuando se navega por la WWW. También el cliente de correo nativo de KDE, Kmail, se ve potenciado.

Como se puede ver, la comunidad de KDE ha hecho un gran esfuerzo con esta nueva versión, en el enlace a la información original del lanzamiento de KDE 4.2, podréis ver también en vídeo estas mejoras y novedades en acción y lo cierto es que invita a probarlo a fondo -;).

Más información en el sitio web de KDE (ENG)..

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Se han reportado por parte de Tobias Klein varias vulnerabilidades en el popular reproductor multimedia para entornos GNU/Linux (principalmente bajo KDE) Amarok.

Estos bugs afectan a versiones anteriores a la 2.0.1.1 y pueden ser aprovechadas por atacantes locales y remotos para comprometer un sistema vulnerable por fallos causados vía errores de corrupción de memoria y desbordamiento de enteros en «»Audible::Tag::readTag()» [src/metadata/audible/audibletag.cpp]» cuando se procesan archivos de audio debidamente manipulados para tal fin.

La solución pasa por actualizar el software a la versión 2.0.1.1 y se recomienda hacerlo a la mayor brevedad posible ya que la vulnerabilidad está catalogada como de «alto riesgo».

Descarga de Amarok 2.0.1.1

(Para Debian se está a la espera de un parche ya que se usa la rama 1.4.x)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux. Concretamente la número; 2.6.28.

FAQS o preguntas frecuentes sobre el Kernel Linux.

Descargar Kernel Linux.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Desde hace unos años, rkhunter se ha convertido para mi en una herramienta imprescindible, puedes usarlo en un servidor web o en tu ordenador personal como una forma más de  asegurarlo. A continuación, os daré algunos detalles sobre sus funciones o uso.

Esta ligera y potente aplicación con licencia GPL, está ideada para detectar puertas traseras en tu sistema o alertar de actividades sospechosas en el mismo.

Se puede lanzar también al programador de tareas (Cron) para que realice una comprobación diaria de la integridad del sistema, además, puede configurarse para que te envíe un mail con el resultado del scan.

Realiza entre otras las siguientes operaciones (consulta la ayuda);

Análisis del disco duro en busca de los rootkits más comunes.

Comparaciones de hashes MD5.

Busca ficheros que son usados habitualmente por rootkits.

Realiza un análisis de ficheros binarios y los que se hayan movidos de su lugar habitual.

Busca cadenas sospechosas en módulos como LKM y KLD.

Módulos de Apache así como su configuración.

Interfaces funcionando en modo promiscuo (posibles sniffers).

Aplicaciones a la “escucha” que usen la librería libcap.

Ficheros que hayan sido borrados recientemente y los ocultos.

Llo más normal es ejecutar un rkhunter -c (check all, análisis completo) pero recordad ejecutar un rkhunter –update al menos semanal para que actualice las firmas de malware y toda su base de datos de detección para estar al día con todas las amenazas que van surgiendo.

Para su correcto funcionamiento, requiere un Shell Bash o Korn y algunos módulos de Perl que encontrarás en la mayoría de las distribuciones seguramente ya instalados.

Rkhunter está disponible para entornos GNU/Linux, Unix, BSD o Solaris.

De todos modos hay que ser un tanto paciente con las alertas que devuelve una vez finalizado el análisis ya que en ocasiones puede dar algún «falso positivo» y hacer sonar la voz de alarma, os recomiendo documentaros bien y buscar información al respecto antes de eliminar cualquier fichero sospechoso.

Para instalarlo, además de poder bajar el código fuente y compilarlo, la forma más sencilla es vía apt-get install rkhunter.

Os recomiendo también ChkRootkit que viene a realizar unas funciones parecidas con mucha efectividad.

Sitio web de Rkhunter | | En SourceForge | En Freshmeat |

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Fedora es una distribución muy adecuada tanto para usuarios que se inician en el mundo de GNU/Linux, como para los que ya llevan un tiempo en él.

Fedora cuenta con el apoyo de una gran e incipiente comunidad de usuarios y tiene detrás a todo un gigante como Red Hat, (que es de donde realmente proviene). Un caso parecido a Ubuntu con Canonical (que ha hecho mucho por GNU/Linux) o a Debian con la gran cantidad de gente que usamos esta veterana distribución que también es la «madre» de muchas otras.

Es por ello, que el lanzamiento de una nueva rama estable como es en este caso la 10, hace que tengamos que ver con interés el movimiento de Fedora. Las novedades no son pocas, he estado dando un vistazo con calma a la amplia lista de cambios que incorpora Fedora 10 y se ve el trabajo que hay detrás por empaquetar una distro muy de acorde con las necesidades actuales de cualquier usuario.

Los cambios más reseñables según se puede ver su web son los siguientes;

Incorporación de SecTool, nuevo sistema de auditorías de seguridad e IDS (sistema de detección de intrusos).
Se ha mejorado tanto el uso así como la configuración y administración de impresoras.
Está disponible la compartición de conexiones Wi-Fi en redes «ad hoc».
Se ha simplificado el almacenamiento de conexiones tanto locales como remotas de virtualización.
El sistema de actualización de paquetes RPM se actualiza a la versión 4.6.
Mejorada la conectividad para Webcams, también el audio sin interrupción.
/usr/local/sbin:/usr/sbin:/sbin se añaden al PATH de usuario.
Mejorado el control remoto vía infrarrojos para interactuar con las aplicaciones que lo soporten.

Más información; Novedades de Fedora 10 (en castellano) | Descarga de Fedora.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Ya se encuentra disponible para su descarga la esperada versión 8.10 de Ubuntu y Kubuntu GNU/Linux en modalidades Desktop y Server.

En estos momentos, dado el gran número de usuarios que están actualizando sus versiones, puede que por momentos no se pueda acceder a la página de descargas.

La lista de novedades es amplia pero lo más importante se puede resumir en; nuevo gestor de conexiones 3G, el navegador Nautilus incorpora pestañas (GNOME), nuevo directorio cifrado privado, mejoras en la gestión de varias tarjetas de vídeo, en la gestión de Java, sesión de usuario invitado, Network Manager, KDE 4.0x para Kubuntu, etc.

Más info y descarga de Ubuntu (GNOME) 8.10 | Kubuntu 8.10 (KDE)

Se han notificado varias vulnerabilidades en Adobe Flash Player 9.0.124.0 y anteriores, tanto para Windows como para Linux, que podrían permitir a un atacante tomar el control de los sistemas afectados.

Como solución al problema desde Adobe recomiendan actualizar cada plataforma a la versión 10.0.12.36. o bien, esperar a primeros de Noviembre que preveen tener disponible una nueva actualización de la versión 9.

Descargar Flash Player.

Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux. Concrétamente la número; 2.6.26.1.

Os invitamos consultar también la Listado de cambios o «Changelog» de esta nueva entrega del Kernel.

Información sobre el Kernel en la Wikipedia.
FAQS o preguntas frecuentes sobre el Kernel Linux.

Descargar Kernel Linux.