martes, 17 de marzo de 2009

Tips para Linux que todos deberiamos saber. Parte X

Continua la serie de tips para linux que deberíamos saber, esta vez con parte X.
Si deseas puedes ver las otras partes de la serie:


#46 Haciendo mas seguro SSH

A pesar de que SSH es una forma segura para conectarte a tu servidor, hay unos cambios simples que lo pueden hacer mas seguro aun. Primero, casi seguro que no querrás que las personas se logeen directamente como root, en vez de eso que entren como usuario normal y luego que usen el comando su para cambiar a root. Puedes cambiar esto simplemente en el archivo /etc/ssh/ssh_config y añadir esta linea:

PermitRootLogin  no

Ahora la única forma de obtener privilegios de root es a través de su, lo cual significa que los crackers necesitaran romper dos contraseñas para obtener acceso total. Mientras editas ese archivo , encuentra la linea que dice:

Protocol 2, 1

Y cámbiala por:


Protocol 2

Esto removerá la opcion fallback en el protocolo SSH original, que ahora es considerado muy vulnerable.

#47 Parar las respuestas de ping

Mientras que ping es un comando muy útil para descubrir la topologia de la red, la desventaja es que solo hace eso, y hace que sea fácil a los hackers en la red para apuntar a servidores en uso. Pero le puedes decir a Linux que ignore todos los pings. Hay varias formas de lograr esto, pero la mas fácil es usar sysctl. Para apagar las respuestas de ping:

sysctl -w net.ipv4.icmp_echo_ignore_all=1

Para prenderlas de nuevo:


sysctl -w net.ipv4.icmp_echo_ignore_all=0

#48 Disminuir los rangos de ping

Si deseas mantener la habilidad de responder los pings, pero protegerte de ataques como "ping flood", la forma mas fácil es disminuyendo el rango de pings:


sysctl -w net.ipv4.icmp_echoreply_rate=10

Esto disminuirá el rango de las respuestas que son enviadas a una sola dirección.

#49 Limpiar KDE al salir

En Windows hay varios programas que limpian la cache web, remueve archivos temporales y otras cosas mas al momento que cierras el sistema. Con KDE no necesitas instalar un programa para hacer eso, el script startkde automáticamente ejecutara los scripts que pongas en lugares especiales:

Lo primero es crear un directorio llamado apagado en tu directorio .kde:

mkdir /home/usuario/.kde/apagado

Ahora creas un script con lo que deseas hacer al apagar el sistema. Por ejemplo:

#!/bin/bash
#limpia el directorio temporal
rm -rf ~/tmp/*
#elimina las caches
rm -rf ~/.ee/minis/*
rm -rf ~/.kde/share/cache/http/*
# elimina formularios de konqueror
rm ~/.kde/share/apps/khtml/formcompletions

Asegúrate de que tenga permisos de ejecución:

chmod ug+x ~/.kde/apagado/limpiar.sh

Como se están limpiando archivos sensibles, puedes tener una script de apagado global para todos los usuarios, colocando en tu directorio KDE por defecto, en un subdirectorio llamado apagado. Para saber cual es tu directorio KDE por defecto prueba esto:

kde-config --path exe


#50 Usar SSH sin contraseña

Si estas cansado de ingresar tu contraseña cada vez que ingresas a un servidor podrías ingresar tu contraseña solo cuando ingresas a tu escritorio.
Generar un par de claves en tu escritorio:

ssh-keygen -t dsa -C tu.direccion@email

Ingresa la frase para tu clave. Esto colocara la clave secreta en ~/.ssh/id_dsa y la clave publica en ~/.ssh/id_dsa.pub. Ahora revisa si tienes un agente ssh ejecutándose:

echo $SSH_AGENT_PID

La mayoría de administradores de ventana lo ejecutaran si es que instalado, Si no, arranca uno:

eval $(ssh-agent)

Ahora, dile al agente sobre tu clave:

ssh-add

e introduce tu frase. Necesitaras hacer esto cada vez que te logeas, si estas usando X intenta añadir:

SSH_ASKPASS=ssh-askpass ssh-add

En tu archivo .xsession (necesitaras instalar ssh-askpass.) Ahora para servidor que te logeas, necesitaras creal el directorio ~/.ssh y copiar el archivo ~/.ssh/id_dsa.pub en el servidor como ~/.ssh/authorized_keys. Si inicias el ssh-agent a mano, mátaloriosys cuando sales con:

ssh-agent -k



No hay comentarios: