Archive for the ‘seguridad’ Category

Herramientas de Seguridad disponibles en Ubuntu

abril 24, 2008

Los repositorios de Ubuntu disponen de muchas herramientas enfocadas a la seguridad, utiles para el mantenimiento de redes, la administración y para la realización de auditorias, test, etc. Entre estas herramientas incluimos, escaners de redes, detección de ataques (ADS), detección de virus, etc.

Aquí os dejo un link, referencia a UbuntuGeek en el cual podremos ver un listado y su explicación de algunas de las herramientas (30) que podemos encontrar en los repositorios de nuestro Ubuntu.

link: http://www.ubuntugeek.com/list-of-security-tools-available-in-ubuntu.html

Anuncios

PDFCrack -> Recuperando contraseñas de los PDF

abril 14, 2008

¿Disponeis de algún fichero PDF con contraseña del cual hais olvidado la contraseña? PDFCrack nos permite solucionar dicho contratiempo. PDFcrack es una herramienta GNU/Linux diseñada para la recuperación de passwords y contenido de ficheros .PDF.

Dicha herramienta es pequeña y se usa en linea de comandos (o terminal) de manera muy sencilla. La aplicación es OpenSource (GPL).

Para mas detalles sobre la aplicación, visitad la web oficial: http://pdfcrack.sourceforge.net/

Instalando en Ubuntu

Para ello abriremos el terminal y teclearemos:

$ sudo apt-get install pdfcrack

Una vez terminado ya podremos usar nuestra nueva herramienta.

Sintaxis de uso:

pdfcrack -f fichero.pdf [opciones]

Dónde Opciones:

-B: Realizar evaluación comparativa y salir
-C [CADENA]: Utiliza los caracteres indicados para la busqueda de la contraseña
-m [INTEGER]: la busqueda para al llegar a la longitud de INTEGER
-n [INTEGER]: no se probarán las contraseñas menores en caracteres que las indicadas en INTEGER
-l [FILE]: Continuar desde el punto guardado en fichero FILE.
-q: Ejecutar silenciosamente
-s: Realiza el crack permutando contraseñas
-u: Trabajar con el “userpassword”
-v: Imprime la version
-w [FILE]: Usa la lista dentro de FILE como fuente de contraseñas para la busqueda.

Para mas opciones o información adicional teclear en el terminal:

$ pdfcrack

Ejemplo:

pdfcrack /directorio/pdfs/mipdf.pdf -n 6 -c abcdefghijklmnopqrstuvxyz -s

INICIADOS – Autologin en Ubuntu

marzo 19, 2008

A muchos de los usuarios noveles que han decido realizar el cambio de Windows a Linux, puede ser que les moleste eso de tener que escribir siempre el nombre de usuario y contraseña. Eso no es así porque sí,ya que en nuestro querido Linux premia la seguridad.

A continuación, para aquellos, que en windows utilizaban un solo usuario, el cual entraba directamente tras encender el equipo,vamos a explicar como configurar nuestro Ubuntu, para no tener que teclear usuario/contraseña cada vez que arranquemos la sesión.

Para ello seguiremos los siguientes pasos:

Nos iremos a: Sistema -> Administración -> Ventana de Entrada

autologin1.jpg

Ello abrirá una ventana, dónde, deberemos seleccionar la pestaña “Seguridad“:

autologin2.jpg

Aquí podremos ver varios campos, de los cuales nos interesa:

Activar entrada automática
(Seleccionar usuario del box)

Tal y como se muestra en la siguiente imágen:

autologin4.jpg

Igualmente, vamos a terminar de informar de las opciones que tenemos a continuación:

autologin3.jpg

Activar entrada temporizada: Ello hace que un usuario, solo pueda entrar, pasado un tiempo (que establecemos nosotros en “pausa antes de entrar”) con la pantalla inactiva.

Seguridad:
Retardo para intento de entrada: x segundos (dónde x es el tiempo que debe pasar, para poder volver a probar a logarse en caso de error)

UID mínimo xxx: Todos los usuarios con un UID menor al especificado quedan excluidos de las opciones autolgin y temporizado.

Permitir entrada local al administrador de sistema: Desde aquí podemos permitir que root se logue en el sistema como root. No recomiendo activarlo para usuarios noveles. Para ello tenemos la orden “sudo”, o en caso que sean necesarios permisos de administración, se os preguntará la contraseña de root.

Permitir entrada remota al administrador: En caso que se active la opción anterior, permitir o no logarse como root desde una sesión remota.

Activar envio de mensajes de depuración al registro de sistema: Esta información es utilizada para buscar problemas y realización de debugers, os recomiendo no activarlo.

Denegar las conexiones TCP al servidor Xserver: Por motivos de seguridad esto debe estar activo, de este modo, se evitan comunicaciones TCP con el servidor X (gráfico).

Solo permitir entrar si el usuario es el propietario de su carpeta personal: Con ello, en caso de tener varios usuarios, solo será posible entrar en las carpetas, si eres el propietario de las mismas, no pudiendo entrar en las carpetas de los demás usuarios.

Permisos: Aquí disponemos de 3 opciones seleccionables, los cuales no voy a explicar, ya que són bastante claros. En caso de dudas, aquí estamos.

SCPONLY – Shell limitada para transferencia segura de ficheros

marzo 3, 2008

Scponly es una Shell alternativa para los administradores de sistemas que desean dar acceso remoto a usuarios para leer y escribir archivos locales sin proporcionar ningún tipo de privilegio de ejecución remota.

Es como decir que se trata de una envoltorio dónde se permite el testeo.

Su uso mas común, es la creación de una cuenta semi-pública al estilo cuenta anónima de ftp. Esto permite a un administrador compartir archivos de la misma forma que una configuración ftp anónima empleando la protección que ofrece ssh. Esto es especialmente útil cuando se realizán conexiones atravesando redes públicas, ya que en las conexiones ftp el formato de transferencia es texto plano.

Instalando scponly

Para ello, abriremos el terminal y teclearemos:

$ sudo apt-get install scponly

Configurando scponly

Primero de todo deberemos editar el fichero /etc/shells para incluir nuestra shell scponly. Para ello deberemos escribir lo siguiente, de nuevo, en un terminal:

$ sudo gedit /etc/shells

Deberemos situarnos en la última línea e introducir la siguiente linea:

$ /usr/bin/scponly

Terminado este punto, ahora deberemos crear un usuario para la shell de scponly. Este permitirá que el usuario pueda utilizar la cuenta SCP para la transferencia de archivos, pero no permitirá el acceso a la shell interactivo. Para ello:

$ sudo useradd -d /home/scponly/ -s /usr/bin/scponly -p [password] [nombre_usuario]

Chroot SFTP – Creando la gabía para las conexiones scponly

En este momento debemos reconfigurar scponlyc para poder activar la jaula. La jaula, nos permite, crear un entorno que simula el sistema operativo “completo” dentro de un directorio, esto hace que el usuario que se conecte parezca que este en el directorio raíz del sistema, con las aplicaciones disponibles que nosotros creamos convenientes, pero que realmente, esta dentro de un directorio /home/user/ que hayamos indicado, manteniendo de este modo, nuestros ficheros del sistema a salvo. Para ello abriremos un terminal y teclearemos:

$ sudo dpkg-reconfigure -plow scponly

Responderemos “Si/Yes“. Ahora debemos indicar que se use la jaula para el usuario scponly mediante el script setup_chroot incluido para ello. En caso de no haber creado el usuario para la conexión, el script lo creará por nosotros.

Por lo que, ahora, en un terminal, teclearemos lo siguiente:

$ cd /usr/share/doc/scponly/setup_chroot
$ sudo gunzip setup_chroot.sh.gz
$ sudo chmod +x setup_chroot.sh
$ sudo ./setup_chroot.sh

Si aceptamos las respuestas por defecto, se usará/configurará el usuario “scponly” y se creara su carpeta de inicio. Al final, deberemos especificar una contraseña para scponly.

NOTAS: scponly tiene un bug que no permite trabajar en la box. Para arreglar dicho problema deberemos crear el dispositivo /dev/null en el directorio chroot (jaula) de scponly (creado por defecto /home/scponly). La forma para realizarlo es:

$ sudo -i
$ cd /home /scponly
$ mkdir /home/scponly/dev
$ mknod -m 666 /home/scponly/dev/ null c 1 3

Terminado esto, para realizar la conexión deberemos realizar desde un terminal/consola:

$ sftp scponly@linuxtest

Sintaxis:

$ sftp [usuario]@[nombre_servidor/Ip_Servidor]

Si aparece el login, habremos terminado con éxito.

Página del proyecto: http://www.blinklist.com/open/open.php?id=202112

Creando un LiveCD de nuestra distro con Remastersys

febrero 20, 2008

RemasterSys es una herramienta que tiene permite hacer copias de seguridad. Puede ser utilizada para realizar una copia de seguridad completa de todo nuestro sistema incluyendo nuestras configuraciones personales, en un liveCD o un liveDVD, tambien puede realizar un liveCD sobre nuestro sistema sin contener datos privados de cara a distribuir con nuestros amigos.

Intalando Remastersys
Para ello necesitaremos editar el fichero sources.list y añadir el repositorio necesario para realizar la instalación. Para ello abriremos el terminal y escribiremos:

$ sudo gedit /etc/apt/sources.list

Nos situaremos en la última linea y añadiremos la siguiente linea:

# Remastersys
deb http://www.remastersys.klikit.org/repository remastersys/

NOTA: Si teneis problemas con el repositorio indicado, provad con el siguiente:

deb http://www.linuxmint.com/repository romeo/

Grabaremos los cambios y cerraremos el editor. Tras ello, de nuevo en el terminal, actualizaremos el indice de repositorios, tecleando:

$ sudo apt-get update

Y una vez terminado realizaremos la instalación del software específico:

$ sudo apt-get install remastersys

Usando Remastersys

Para usar remastersys usaremos la cuenta de root. Su sintaxis es la siguiente:

sudo remastersys backup|clean|dist [cdfs|iso] [fichero.iso]

Ejemplos:

– Si queremos hacer un live CD/DVD que sea una copia de nuestro sistema teclearemos: (siempre en el terminal)

$ sudo remastersys backup

– Si queremos realizar lo mismo, pero queremos que el fichero .iso tenga un nombre específico, escribiremos:

$ sudo remastersys backup nombre_iso.iso

– Si lo que deseamos es limpiar los ficheros temporales creados por remastersys, teclearemos:

$ sudo remastersys clean

– Que lo que queremos hacer es una LiveCD que tome como base nuestro sistema pero que no guarde los datos críticos (cuentas, ficheros, etc) haremos lo siguiente:

$ sudo remastersys dist

– Ahora nos lo hemos pensado mejor, y queremos hacer un liveCD pero que solo contenga el sistema de ficheros tal y como lo tenemos:

$ sudo remastersys dist cdfs

NOTAS:

Por defecto remastersys crea la iso con el nomnbre customdist.iso en el directorio /home/remastersys. Puede ser necesario el CD de Ubuntu durante la preparación de la ISO. La opción “dist” hará que su directorio personal /home/user no sea añadida a la Iso creada. Se recomienda realizar el clean tras la creación de la ISO para limpiar los temporales.

Exploit kernel 2.16.17 – 2.6.24.1

febrero 18, 2008

Hace unos dias comentaban un exploit que afectaba a las versiones Linux con kernel de 2.6.17 a 2.6.24.1.

Imagino que todos lo habreis leido en algun sitio, además nos facilitaban el codigo fuente. Este post es un poco mas de lo mismo, ya que llego un poco tarde (sorry, he estado de viaje) pero quería comentarlo igualmente en el Blog.

Para ver la peligrosidad de este exploit os recomiendo probarlo, palparlo, y vereis de que es capaz. Simplemente es necesario copiar el codigo en un fichero de texto con extensión .c, y luego lo compilemos para conseguir el ejecutable.

Para ello, abriremos un terminal y teclearemos:

$ sudo gedit exploit.c

Aquí pegaremos el codigo que podemos encontrar en el siguiente link y saldremos grabando.

Tras ello abriremos un terminal y teclearemos:

$ sudo gcc -o fichero.c fichero_salida
(dónde fichero salida es el nombre que le queramos dar al ejecutable)

Una vez terminada la compilación, realizaremos la ejecución del ejecutable:

$ ./fichero_salida

Lo que nos dará lo siguiente:

exploit.jpg

Existen dos posibles parches que podemos descargar aquí:

http://git.kernel.org/h=8811930dc74a503415b35c4a79d14fb0b408a361

http://git.kernel.org/h=712a30e63c8066ed84385b12edbfb804f49cbc44

Cluster de alta disponibilidad: Heartbeat2 Xen Cluster con drbd8 y OCFS2

febrero 4, 2008

Este artículo indica como realizar el setup en Ubuntu 7.10 (= para debian) de como preparar un cluster de alta disponibilidad con dos nodos de información redundante. Necesitaremos dos servidores idénticos (en nuestro caso, hemos echo el test con dos servidores virtuales), los cuales serán instalados con Xen hipervisor, y con la misma configuración de los nodos Cluster.

La configuración y archivos de imagenes virtuales Xen se almacenan en el dispositivo drbd. Drbd8 y OCFS2 permite el montaje simultaneo de ambos nodos, que es necesario para realizar la migración de las máquinas virtuales Xen.

Instalación.

1. – OS

Primero deberemos instalar dos máquinas con Ubuntu Server 7.10 Standard.

2. – Particionamiento

En ambos servidores, debemos organizar el disco en tres particiones, usados de la siguiente manera:

/dev/sda1 como /root
/dev/sda2 como swap
/dev/sda3 como drbd8

3. – Configuración de red

Para ello configuraremos nuestra máquina como indicamos a continuación:

Nodo Hostname Dirección IP
Nodo1 Nodo1 192.168.0.128
Nodo2 Nodo2 192.168.0.129

4. – Xen System

Para información adicional vistiad: http://es.wikipedia.org/wiki/Xen

Comenzaremos con la instalación de Xen Hypervisor y arrancaremos con Xen-Kernel. Para realizar la instalación, escribiremos en el terminal lo siguiente:

$ sudo apt-get install ubuntu-xen-server

Responderemos “Yes” a la pregunta de instalar software adicional necesario y una vez terminado reiniciaremos el sistema y arrancaremos con Xen.

5. – OCFS2

Para información adicional: http://oss.oracle.com/projects/ocfs2/

OCFS2 es un Sistema de ficheros en Cluster que permite el acceso simultáneo de multiples nodos. Deberemos definir nuestro dispositivo drbd para acceder a los nodos de la red simultaneamente. Primero configuraremos OCFS2 para proporcionarle información sobre los nodos para disponer de acceso al sistema de ficheros posteriormente. Cada nodo OCFS2 dispone de un sistema de ficheros montado, regularmente escribe un fichero meta-data permitiendo a los otros nodos saber que se encuentra disponible.

Para proceder a su instalación, en la consola, escribiremos las siguientes lineas:

$ sudo apt-get install ocfs2-tools ocfs2console

Una vez terminado procederemos a su configuración.

6. – Configuración

Editaremos el fichero /etc/ocfs2/cluster.conf como indicamos a continuación

$ sudo vim /etc/ocfs2/cluster.conf

Este debe tener el siguiente aspecto:

#/etc/ocfs2/cluster.conf
 node:
 ip_port = 7777
 ip_address = 192.168.0.128
 number = 0
 name = node1
 cluster = ocfs2
 node:
 ip_port = 7777
 ip_address = 192.168.0.129
 number = 1
 name = node2
 cluster = ocfs2
 cluster:
 node_count = 2
 name = ocfs2

Para reconfigurarlo de nuevo realizaremos lo siguiente:

sudo dpkg-reconfigure o2cb
sudo /etc/init.d/o2cb restart
sudo /etc/init.d/ocfs2 restart

7. – drbd8

Para mas información consultar: http://en.wikipedia.org/wiki/Drbd

Drbd8 permite a los recursos drbd ser “maestros” en ambos nodos, lo que permite montarse en lectura-escritura. Vamos a construir un módulo drbd8 y cargarlo en el núcleo. Para ello necesitamos instalar ciertos paquetes, por lo que teclearemos lo siguiente en la consola:

$ sudo apt-get install drbd8-utils drbd8-module-source drbd8-source build-essential linux-headers-xen
$ sudo sudo m-a a-i drbd8-module-source
$ sudo update-modules
$ sudo modprobe drbd

Ello cargará el módulo drbd. Tambien sera creado el archivo de configuración por defecto situado en /etc/drbd.onf

8. – Configuración

Para ello realizaremos la edición del fichero de configuración

$ sudo vim /etc/drbd.conf

Y deberá tener un aspecto como se indica a continuación:

#/etc/drbd.conf
 global {
 usage-count yes;
 }
 common {
 syncer { rate 10M; }
 }
 resource r0 {
 protocol C;
 handlers {
 pri-on-incon-degr "echo o > /proc/sysrq-trigger ; halt -f";
 pri-lost-after-sb "echo o > /proc/sysrq-trigger ; halt -f";
 local-io-error "echo o > /proc/sysrq-trigger ; halt -f";
 outdate-peer "/usr/sbin/drbd-peer-outdater";
 }
 startup {
 }
 disk {
 on-io-error   detach;
 }
 net {
 allow-two-primaries;
 after-sb-0pri disconnect;
 after-sb-1pri disconnect;
 after-sb-2pri disconnect;
 rr-conflict disconnect;
 }
 syncer {
 rate 10M;
 al-extents 257;
 }
 on node1 {
 device     /dev/drbd0;
 disk       /dev/sda3;
 address    192.168.0.128:7788;
 flexible-meta-disk  internal;
 }
 on node2 {
 device    /dev/drbd0;
 disk      /dev/sda3;
 address   192.168.0.129:7788;
 meta-disk internal;
 } }

La opción “Allow-two-primaries” en drbd.conf es la que nos permite montar ambos nodos como maestro. Deberemos copiar el fichero /etc/drbd.conf al nodo2 y reiniciar drbd en ambos nodos. Para el reinicio realizaremos lo siguiente en ambas máquinas:

$ sudo /etc/init.d/drbd restart

Podemos chekear el estado de drbd con el siguiente comando:

$ sudo /etc/init.d/drbd status

Podemos cambiar el recurso a “maestro” mediante el siguiente comando (realizandose en ambos nodos).

$ sudo drbdadm primary r0

y tras ello podriamos chequear de nuevo el estado.Aquí veriamos los recursos en “Maestro”, esto hace que el dispositivo este ahora accesible en /dev/drbd0

9. – El sistema de ficheros.

Ahora es el momento de crear un sistema de ficheros en /dev/drbd0, para ello realizaremos lo siguiente:

$ sudo mkfs.ocfs2 /dev/drbd0

Este puede ser montado en ambos nodos simultaneamente con:

$ sudo mkdir /drbd0
$ sudo mount.ocfs2 /dev/drbd0 /drbd0

Ahora disponemos de un almacenamiento común que se sincroniza con drbd en ambos nodos.

10. – Init script

Debemos asegurarnos que al iniciar el sistema, ambos nodos deben montar el recurso maestro sobre /drbd0 antes de que se arranque Heartbeat y las máquinas Xen.

Para ello editaremos el fichero mountdrbd.sh

$ sudo vim /etc/init.d/mountdrbd.sh

el cual deberá contener las siguientes lineas:

# / Etc / init.d / mountdrbd.sh
 Drbdadm primaria R0
 Mount.ocfs2 / dev/drbd0 / mnt

ahora deberemos darle permisos de ejecución y añadiremos un enlace simbólico. Para ello:

$ sudo chmode +x /etc/init.d/mountdrbd.sh
$ sudo ln -s /etc/init.d/mountdrbd.sh /etc/rc3.d/S99mountdrbd.sh

Nota: este paso puede ser integrado también en Heartbeat añadiendo los recursos adecuados a la configuración.

11. – HeartBeat2

Para mas info, visitar: http://www.linux-ha.org/Heartbeat

Para su instalación teclearemos lo siguiente:

$ sudo apt-get install heartbeat-2 heartbeat-2-gui

Ahora editaremos el fichero de configuración

$ sudo vi /etc/ha.d/ha.cf

Dónde debemos dejarlo así:

#/etc/ha.d/ha.cf
 crm on
 bcast eth0
 node node1 node2

y reiniciaremos el servicio de la siguiente manera:

$ sudo /etc/init.d/heartbeat restart

12. – Configuración HB

La configuración e información de estado de los recursos se almacenan en formato XML dentro del fichero /usr/lib/heartbeat/crm/cib.xml. La sintaxis para su configuración esta muy bien explicada en la web por Alan Robertson disponible en: http://linux-ha.org/HeartbeatTutorials

Este puede editarse directamente o puede manipularse por modulos utilizando la herramienta “cibadmin”. Nosotros utilizaremos esta herramienta, pues facilita considerablemente el trabajo. Los componentes necesarios serán guardados en ficheros XML dentro de /root/cluster.

13. – Inicialización

Editaremos el fichero bootstrap.xml

$ sudo vi /root/cluster/bootstrap.xml

#/root/cluster/bootstrap.xml
[cluster_property_set id="bootstrap"]
 [attributes]
 [nvpair id="bootstrap01" name="transition-idle-timeout" value="60"/]
 [nvpair id="bootstrap02" name="default-resource-stickiness" value="INFINITY"/]
 [nvpair id="bootstrap03" name="default-resource-failure-stickiness" value="-500"/]
 [nvpair id="bootstrap04" name="stonith-enabled" value="true"/]
 [nvpair id="bootstrap05" name="stonith-action" value="reboot"/]
 [nvpair id="bootstrap06" name="symmetric-cluster" value="true"/]
 [nvpair id="bootstrap07" name="no-quorum-policy" value="stop"/]
 [nvpair id="bootstrap08" name="stop-orphan-resources" value="true"/]
 [nvpair id="bootstrap09" name="stop-orphan-actions" value="true"/]
 [nvpair id="bootstrap10" name="is-managed-default" value="true"/]
 [/attributes]
 [/cluster_property_set]

Cargamos este fichero ejecutando el siguiente comando:

$ sudo cibadmin -C crm_config -x /root/cluster/bootstrap.xml

Esto inicializa el cluster con los valores fijados en el fichero xml.

14 – Configuración del dispositivo STONITH

STONITH impide el “Split-brain-situation”, es decir, que corran recursos en ambos nodos de una manera inusual, al mismo tiempo. Stonith comprueba si un nodo esta muerto, que lo este, y en caso de no estarlo, lo mata.

Para mas detalles sobre STONITH visitar: http://www.linux-ha.org/STONITH

Nosotros utilizaremos stonith sobre ssh para reiniciar la máquina con defectos. Para instalar STONITH teclearemos:

$ sudo apt-get install stonith

Ahora seguiremos las indicaciones de este link para generar nuestra llave pública para la autenticación.
http://sial.org/howto/openssh/publickey-auth/

Tras ello probaremos si podemos acceder del nodo1 al nodo2 via ssh sin uso de contraseña y viceversa.

$ sudo ssh -q -x -n -l root “node2” “ls -la”

Esto debería mostrarnos por pantalla la lista de ficheros del nodo2. Ahora configuraremos el dispositivo STONITH como recurso Cluster. Será un recurso cluster especial, “clon”, que se desarollará simultaneamente en todos los nodos.

$ sudo vim /root/cluster/stonith.xml

[clone id=”stonithclone” globally_unique=”false”]
 [instance_attributes id=”stonithclone”]
 [attributes]
 [nvpair id=”stonithclone01” name=”clone_node_max” value=”1"/]
 [/attributes]
 [/instance_attributes]
 [primitive id=”stonithclone” class=”stonith” type=”external/ssh” provider=”heartbeat”]
 [operations]
 [op name=”monitor” interval=”5s” timeout=”20s” prereq=”nothing” id=”stonithclone-op01"/]
 [op name=”start” timeout=”20s” prereq=”nothing” id=”stonithclone-op02"/]
 [/operations]
 [instance_attributes id=”stonithclone”]
 [attributes]
 [nvpair id=”stonithclone01” name=”hostlist” value=”node1,node2"/]
 [/attributes]
 [/instance_attributes]
 [/primitive]
 [/clone]

Cargaremos el fichero de la siguiente manera:

$ sudo cibadmin -C -o resources -x /root/cluster/stonith.xml

15 – Xen como recurso Custer.

Ahora es el momento de añadir un máquina virtual Xen como cluster. Disponemos de una máquina Xen para la visualización llamada vm01. La configuración y los ficheros imagen de vm01 pueden ser encontrados bajo el directorio /drbd0/xen/vm01 como vm01.cfg y vm01-disk0.img respectivamente.

Para editar el fichero XML de configuración, realizaremos lo siguiente:

$ sudo vi /root/cluster/vm01.xml

Y lo dejaremos tal y como se indica a continuación:

[resources]
 [primitive id=”vm01” class=”ocf” type=”Xen” provider=”heartbeat”]
 [operations]
 [op id=”vm01-op01” name=”monitor” interval=”10s” timeout=”60s” prereq=”nothing”/]
 [op id=”vm01-op02” name=”start” timeout=”60s” start_delay=”0”/]
 [op id=”vm01-op03” name=”stop” timeout=”300s”/]
 [/operations]
 [instance_attributes id=”vm01”]
 [attributes]
 [nvpair id=”vm01-attr01” name=”xmfile” value=”/drbd0/xen/vm01/vm01.cfg”/]
 [nvpair id=”vm01-attr02” name=”target_role” value=”started”/]
 [/attributes]
 [/instance_attributes]
 [meta_attributes id=”vm01-meta01”]
 [attributes]
 [nvpair id=”vm01-meta-attr01” name=”allow_migrate” value=”true”/]
 [/attributes]
 [/meta_attributes]
 [/primitive]
 [/resources]

Para cargar este fichero realizaremos:

$ sudo cibadmin -C -o resources -x /root/cluster/vm01.xml

16 – Monitorizando

Para ello utilizaremos la herramienta “crm_mon”, con la cual podemos monitorizar los cluster, incluyendo los nodos y los recursos.

$ sudo crm_mon Refresh in 14s

Disponemos tambien de una aplicación gráfica para ello, pero debemos especificar antes un pass para “hacluster”. Para ello:

$ sudo passwd hacluster
$ sudo hb_gui &

Traducción post de AtulAthavale de UbuntuGeek

fcrackzip: Crackeando ficheros ZIP

enero 29, 2008

Hoy os voy ha hablar de fcrackzip, un crakeador de passwords muy rápido escrito en Assembler.
Este es capaz de crakear archivos zip protegidos con contraseña por fuerza bruta o utilizando ataques basados en diccionarios.

Instalación

Como siempre abriremos un terminal/consola y escribiremos lo siguiente:

$ sudo apt-get install fcrackzip

Una vez terminado ya dispondremos de esta herramienta disponible, en nuestra consola de linux.

Uso de fcrackzip

Su sintaxis es la siguiente:

fcrackzip [-bDBchVvplum2] [–brute-force] [–dictionary] [–benchmark] [–charset characterset] [–help] [–validate] [–verbose] [–init-password string/path] [–length min-max] [–use-unzip] [–method name] [–modulo r/m] file…

Un ejemplo podría ser:

$ fcrackzip -c a -p aaaaaa fichero.zip

Existe otro camino para realizar el crackeo de ficheros. Descargamos el fichero y abrimos una ventana de consola. Realizamos lo siguiente:

$ unzip -l archivo.zip

Con ello veremos el contenido del fichero .zip. Para realizar la extracción realizaremos:

$ unzip archivo.zip ruta/que/aparece/en/fichero/zip/fichero | cat ruta/que/aparece/en/fichero/zip/fichero > fichero

IPBLock – Bloqueando rangos de IPs desde un interface gráfico

enero 11, 2008

IPblock permite a los usuarios avanzados o profesionales con o sin conocimientos básicos en iptables y filtrados, realizar bloqueos basados en el tráfico de red. Estas listas tienen diferentes formatos y estas ordenadas según su categoria: país, programas publicitarios, empresas, etc.

Las características de IPBlock són las siguientes:

Protejer tu privacidad cuando compartes recursos con otros.
Prohibir a clientes no deseados el acceso a nuestros servidores.
Bloquear el acceso a un país o conjunto de redes.
Bloquear direcciones dónde normalmente realizan Spam.

Ipblock es parte de Iplist. Para realizar la descarga de la utilidad abriremos un terminal y teclearemos:

$ wget http://puzzle.dl.sourceforge.net/sourceforge/iplist/iplist_0.14-0feisty1_i386.deb

Requisitos:

Iptlist requiere el uso de un kernel 2.16.14 o superior con la opción CONFIG_NETFILTER_XT_TARGET_NFQUEUE activada (ya sea compilada o mediante la carga del módulo). Tambien són necesarios los paquetes: libnetfilter-queue1 i libnfnetlink1

Continuaremos el proceso tecleando en el terminal:

$ sudo apt-get install libnetfilter-queue1 libnfnetlink1 sun-java6-jre

NOTA: Si estais utilizando Ubuntu Gutsy, debereís instalar el paquete libnfnetlink0 en lugar de libnfnetlink1

Ahora, tras la instalación, procederemos a instalar iplist, descargado anteriormente. Nos situaremos en el directorio dónde realizamos la descarga y lo instalaremos ejecutando dicho paquete .deb o tecleando en el terminal:

$ sudo dpkg -i iplist_0.14-0feisty1_i386.deb

Una vez instalado dispondremos de Ipblock en:

Aplicaciones -> Internet -> IpBlock.

Algunas notas mas:

En la pestaña Lists disponemos de varias reglas por defecto, aquí es posible añadir nuevas reglas de bloqueos. En la pestaña Protection, podremos reiniciar, parar o actualizar nuestro ipblock, ademas de ver las ips que se van bloqueando en tiempo real. La última opcón, Settings, se refiere a configuración, dónde disponemos de opciones para ignorar puertos, guardar registros y configurar el periodo de actualización.

Espero que sea de vuestro agrado. Saludos

Security Notice: OpenSSH vulnerability (USN-566-1)

enero 10, 2008

Un problema de seguridad afecta las siguientes versiones de Ubuntu:

Ubuntu 6.10
Ubuntu 7.04
Ubuntu 7.10

El problema afecta a las correspondientes versiones de xubuntu, edubuntu y kubuntu.

El problema puede ser solucionado actualizando a los siguientes paquetes:

Ubuntu 6.06 LTS:
    openssh-client     1:4.2p1-7ubuntu3.2
Ubuntu 6.10:
    openssh-client     1:4.3p2-5ubuntu1.1
Ubuntu 7.04:
    openssh-client     1:4.3p2-8ubuntu1.1
Ubuntu 7.10:
    openssh-client     1:4.6p1-5ubuntu0.1

No es necesario el reinicio para que los cambios tengan efecto.

Detalles:

Jan Pechanec descubrió que SSH tienen un problema con la generación de cookies el cual podría dar lugar a el acceso de privilegios no deseados cuando se esta conectando a un host remoto.