L’home dibuixat

hexcompare és una eina per a sistemes Unix (utilitza curses, de forma que hauria de funcionar en qualsevol implementació d'Unix… i m'imagino que també en cygwin) per a comparar fitxers binaris, identificant les diferències existents:

Exemple d'ús de l'eina hexcompare

Damn Vulnerable Linux és una distribució de Linux, directament executable des del DVD, amb un objectiu ben diferent a la resta: ser el màxim de vulnerable possible. Inclou versions obsoletes d'Apache, MySQL, PHP, FTP i SSH, configurades de forma que siguin vulnerables a tota mena d'atacs…

Naturalment no està pensada per a ser utilitzada en entorns productius, sinó com un eina de formació en seguretat informàtica, de forma que puguin provar vulnerabilitats conegudes i tècniques de penetració.

TrueCrypt és una eina per a xifrar la informació emmagatzemada en el disc dur de l'ordinador. És compatible amb Windows, Mac OS X i Linux i ofereix, entre d'altres, aquestes prestacions:

• Creació d'unitats de disc virtuals xifrades. Es crea un fitxer al disc dur i es muta de forma que el sistema el reconegui com una unitat de disc. Tot el seu contingut és automàticament xifrat.
• Possibilitat de xifrar completament una partició de disc o un dispositiu d'emmagatzematge (com les memòries USB).
• Xifrar la partició on es troba Windows, de forma que per inicialitzar l'ordinador calgui introduir una contrasenya.
• El xifrat de la informació és automàtic, en temps real i transparent.
• És dóna suport a l'acceleració per hardware del procés de xifrat (en els processadors moderns).

Aquesta última és una de les novetats més destacables de la versió 7.0 i fa servir les instruccions AES-NI dels processadors Intel Core i5, Core i7 i més moderns.

boot.kernel.org

M'han enviat l'enllaç a boot.kernel.org, que consisteix en una versió de Linux especialment pensada per a ser executada des d'Internet.

Han desenvolupat un diskette, un CD o una imatge per a una memòria USB, que fa el procés bàsic d'inicialització de la màquina per a continuació connectar-se a Internet i realitzar el tot el procés d'inicialització del sistema operatiu a través d'Internet. Això ho fa el programa gpxe.

Inicialitzant gpxe i connectant a Internet

ArpON (Arp handler inspectiON) és un daemon per a la protecció davant atacs de suplantació o d'emmetzinament ARP, tant en xarxes definides de forma estàtica com d'aquelles que han estat configurades dinàmicament via DHCP. Ofereix una millor protecció que no pas l'arpwatch. Per a Linux, Mac OS X i *BSD.

sectool és una eina per a Fedora que es pot utilitzar com una eina d'auditoria de la seguretat i, també i de forma opcional, com un sistema per a la detecció d'intrusions.

sectool en funcionament

Tutorial de com muntar un directori d'un ordinador remot amb autofs i sshfs.

Una relació de pros i contres de les cinc principals distribucions de Linux pensades per a servidors.

1. Debian
   Avantatges
   • Distribució molt estable
   • Control de qualitat remarcable
   • Més de 20.000 paquets a la biblioteca
   • Ha inspirat més de 120 distribucions
   • Dóna suport a més arquitectures que cap altra distribució

   Punts dèbils

   • Tendència conservadora donat el gran nombre d'arquitectures
   • Algunes de les tecnologies més recents encara no estan suportades
   • El ritme de noves versions és molt lent
      
2. CentOS
   Avantatges
   • Estable i de confiança
   • Lliure
   • Cinc anys de garantia d'actualitzacions de seguretat
   • Ràpida publicació de versions i actualitzacions de seguretat
   • Comunitat activa i creixent
   • Àmplia xarxa de servidors mirall

   Punts dèbils

   • Algunes de les tecnologies més recents encara no estan suportades
   • Un bon nombre de paquets són antics
      
3. Ubuntu Server
   Avantatges
   • Fàcil integració amb xarxes existents
   • Diversos cicles de vida a escollir
   • Manteniment de per vida gratuït

   Punts dèbils

   • Menor compatibilitat respecte a Debian
      
4. Slackware
   Avantatges
   • Molt estable
   • Distribució neta i sense bugs
   • Forta adhesió als principis d'Unix
   • Gestió de paquets amb pkgtool i TXZ

   Punts dèbils

   • Nombre de paquets oficialment suportats limitats
   • Conservadora en termes de selecció de paquets, procediment d'actualització complex
      
5. Gentoo
   Avantatges
   • Infraestructura de manteniment de software remarcable
   • Capacitat de personalització i control sense igual
   • Documentació online

   Punts dèbils

   • Inestabilitat del projecte
   • Conflictes en la documentació online

Em despisto uns dies i m'oblido d'executar periòdicament el  yum update per actualitzar l'ordinador que tinc a casa, i quan ho faig descobreixo que fa gairebé una setmana que es va publicar el CentOS 5.5.

Algunes coses que he après per millorar el fitxer /etc/resolv.conf

• Per compilació, només es poden definir 3 servidors de noms.
• Hi ha una opció per fer balanceig de càrrega entre tots els servidors de noms definits (option rotate)
• Es pot fixar el temps màxim d'espera de resposta per una petició

Fent això, el resolv.conf que ha quedat és:

nameserver X.X.X.X
nameserver 8.8.8.8
nameserver 8.8.4.4
option rotate
option timeout:1


La primera IP és el meu servidor de noms, mentre que els altres dos són els servidors de noms que ofereix Google.

lsof és una utilitat per a sistemes Unix nascuda a la Universitat de Purdue per tal de conèixer l'ús de fitxers per part de processos (encara que posteriorment ha evolucionat per tal d'oferir molta més informació).

A Unix Utility You Should Know About: lsof explica, detalladament, les principals funcionalitats que ofereix i la raó per la qual tothom que fa servir sistemes Unix n'hauria de conèixer la seva existència.

Fa cosa d'un mes es va publicar la versió 5.4 de l'OpenSSH. Mirant la relació de novetats, n'hi ha que ràpidament crida l'atenció:

* Added a 'netcat mode' to ssh(1): "ssh –W host:port …" This connects  stdio on the client to a single port forward on the server. This allows, for example, using ssh as a ProxyCommand to route connections via intermediate servers. bz#1618

Un parell d'exemples:

1) Per connectar al servidor de correu des d'una connexió remota que no permet la sortida de tràfic smtp:

$ ssh -p 443 -W gmail-smtp-in.l.google.com:25 xavier@server
xavier@server.acme.org's password:
220 mx.google.com ESMTP a10si9247793bky.86
helo hola
250 mx.google.com at your service
quit
221 2.0.0 closing connection a10si9247793bky.86
$

2) Obrir una connexió telnet contra un switch

$ ssh -p 443 -W 192.168.254.101:23 xavier@server
Trying 192.168.254.101...
Connected to 192.168.254.101.
Escape character is '^]'.

User Name : ^]
telnet> close
$

3) Enviar un fitxer a un servidor remot on el Netcat està escoltant, sense tenir el Netcat a l'ordinador des d'on s'envia el fitxer

cat binary.jpg | ssh -W netcathost:4000 xavier@server

Quina és la diferència entre la nova opció –W i l'opció –L "de tota la vida"? Què amb –W no cal cap aplicació que estigui escoltant a un port a l'ordinador de destinació, ja que obrim una connexió directa a l'STDIO de l'ordinador remot.

Una altra característica important d'aquesta versió de l'OpenSSH: el suport del protocol SSHv1, per defecte, està desactivat! I el servidor sftp permet definiri usuaris en modalitat "només lectura".