Según un referente en la materia (?), Ángel Freire, y con quién coincido: Es mejor controlar qué servicios se brindan y dónde escuchan, que desconocerlos y a causa de eso cargar reglas mediante iptables a nuestro querido net filter.

Pero algo se escapa, qué pasa con los ataques por fuerza bruta a servicios vitales como SSH? Bien, a continuación mi solución.

Una vez que decidimos qué servicios brindaremos, tenemos que ver que escuchen donde realmente lo queremos.

~ # netstat -an | grep LISTEN
tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1978          0.0.0.0:*               LISTEN

Aquí vemos varios servicios, cada uno de ellos escuchando en distintas interfaces y no por casualidad. Las bases de datos (3306, MySQL y 1978, TokyoTyrant) escuchando en loopback, localhost o como le quieran decir y por otro lado los servicios públicos (8000, 80, 25 y 22) escuchando tanto en loopback como el resto de las interfaces

Si tuviésemos todo a la bartola, necesitaríamos bloquear, por ejemplo, el acceso a MySQL y Tokyo con unas reglas de iptables. No es más lindo así?

Bien, es más lindo así ahora, qué pasa con el puerto 22 de SSH? Necesitamos que escuche en las interfaces externas, si no no tendría sentido que exista, pero al hacerlo está suceptible a los inescrupulosos intentos de cientos y miles de idiotas por hacerse del control de nuestros servidores.

Un buen día me harté de ver miles y miles de ráfagas de intentos de autenticación a mi SSH, gestionados por scripts, con usuarios básicos o clásicos de sistemas Unix.

¿La solución? Usar net filter (mediante reglas de iptables) cuando se lo necesita:

#!/bin/bash
# Borramos todas las reglas existentes
iptables -F

# Permitimos la comunicación desde nuestra casa
iptables -A INPUT  -i eth0 -s DNS_DE_MI_CASA -d IP_DE_MI_SERVIDOR -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -s IP_DE_MI_SERVIDOR -d DNS_DE_MI_CASA -p tcp --sport 22 -j ACCEPT

# Permitimos la comunidación desde nuestro trabajo
iptables -A INPUT  -i eth0 -s DNS_DE_MI_TRABAJO -d IP_DE_MI_SERVIDOR -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -s IP_DE_MI_SERVIDOR -d DNS_DE_MI_TRABAJO -p tcp --sport 22 -j ACCEPT

# Denegamos el resto de accesos
iptables -A INPUT  -i eth0 -s 0/0 -d IP_DE_MI_SERVIDOR -p tcp --dport 22 -j DROP

Con un script como ese, sólo permitimos que al puerto 22 lleguen peticiones de nuestros dominios dinámicos Lo cual es muy cómodo, aunque en el caso de tener IPs dinámica, tendrán que ejecutar este script, sea mediante cron u otro método, para que las mismas sean actualizadas con las reglas de iptables.

En fin, hasta la próxima!

$ gvim ~/.bashrc

y luego agreamos algo como

alias lsa='ls -lha''

lsa va a ser el nombre del comando al que llamaremos desde la terminal. Lo seguido del igual, y entrecomillado, es lo que se va a ejecutar

Es obvio que tanto un intermedio como un neófito de GNU/Linux puede compilar desde las fuentes aunque seguramente utilice algún gestor de paquetes, pero no que la media de novatos logre hacer andar (configurar correctamente) los programas que instale. Por eso voy a ir paso a paso por el camino de instalar y configurar la fórmula antes mencionada.

Primero vamos a instalar los servicios (web y de base de datos, respectivamente):

$ sudo aptitude install lighttpd
$ sudo aptitude install mysql-server

Terminada la instalación de MySQL, se nos solicitará que ingresemos una clave para el usuario root mediante una caja de diálogo de ncurses

Ahora vamos por el intérprete de PHP:

$ sudo aptitude install php5-cgi

En este momento, si nada grave ocurrió, tenemos andando a lighttpd y MySQL en nuestra PC. Pero hay que meter mano en unos archivos para que PHP funcione con ellos

Abrimos el archivo de configuración de PHP ...

$ sudo gedit /etc/php5/cgi/php.ini

... y descomentamos la línea que dice "cgi.fix_pathinfo=0" y cambiamos ese 0 por un 1. quedando

cgi.fix_pathinfo=1

y guardamos.

Ahora tenemos que activar en lighttpd su módulo de FastCGI y configurar el intérprete de PHP, para lo cual...

$ sudo gedit /etc/lighttpd/lighttpd.conf

y buscamos la línea que diga "server.modules", ahí agregamos "mod_fastcgi", quedando algo como:

server.modules              = (
            "mod_access",
            "mod_alias",
            "mod_accesslog",
            "mod_compress",
            "mod_fastcgi",
#           "mod_rewrite",
#           "mod_redirect",
#           "mod_status",
#           "mod_evhost",
#           "mod_usertrack",
#           "mod_rrdtool",
#           "mod_webdav",
#           "mod_expire",
#           "mod_flv_streaming",
#           "mod_evasive"
 )

Antes de cerrar el archivo, vamos a la opción "server.document-root" y cambiamos el /var/www/ por

server.document-root       = "/home/TU_NOMBRE_DE_USUARIO/webs/"

así podemos trabajar tranquilamente en nuestro propio home sin lidiar con permisos de root a la hora de crear o modificar los archivos que vamos a hospedar Y ahora sí, guarden los cambios y listo.

Ahora nos queda la siguiente linea de comandos

$ sudo cp /etc/lighttpd/conf-available/10-fastcgi.conf /etc/lighttpd/conf-enabled/

con la que copiaremos la configuración por defecto que trae lighttpd para operar con PHP. Si somos experimentados en el tema, podemos "enchular" (jaja) esas opciones... pero por ahora no es necesario

Seguro te lo estabas preguntando... y es ahora! vamos a reiniciar lighttpd para que tome los cambios:

$ sudo /etc/init.d/lighttpd restart

Sí señores, ya está "todo" andando Para probarlo créen un "prueba.php" cuyo contenido sea como el siguiente y a navegar se ha dicho!

<?
phpinfo();
?>

Aclaración: dije que "ya está "todo" andando" porque legalmente está todo regio, pero seguramente nos hará falta el soporte de las GD y MySQL para PHP, como quizás otras librerías. Por eso debemos hace un...

$ sudo aptitude install php5-gd php5-mysql

... y volver a reiniciar lighttpd

$ sudo /etc/init.d/lighttpd restart

para que los cambios sean efectuados.

Para consultar el resto de librerías disponibles, y que quizás debamos instalar según nuestras necesidades, basta con

$ sudo aptitude search php5

Descargo: Al momento de escribir este artículo en los repositorios del Ubuntu Gutsy Gibbon se encuentran los siguientes paquetes: lighttpd 1.4.18-1ubuntu1; php5-cgi 5.2.3-1ubuntu6.2; mysql-server 5.0.45-1ubuntu3.1.

Ahora sí, hasta la próxima!

Me encantó lo bien que emula al aparato de Sony, pero a los minutos me irritó tener que poner y sacar los CDs de mi lectora por lo que empecé a buscarle la vuelta como para poder ejecutar grandiosos títulos como "Collin McRae Rally 2" o "Legend" desde el disco rígido de la PC.

Así que vayamos al grano:

$ sudo cdrdao scanbus

Con eso obtenemos la dirección, en el sistema, de nuestras lectoras de CDs. Nos devolverá algo similar a "ATAPI:0,1,0 SONY , DVD RW DW-D26A , JYS3".

Ahora, con ese dato, procedemos a extrar el contenido del disco para generar el .bin y .toc

$ cdrdao read-cd --read-raw --device ATAPI:0,1,0 --datafile NOMBRE_DEL_JUEGO.bin NOMBRE_DEL_JUEGO.toc

A esta altura tenemos el .bin (con el contenido crudo del CD leido) y el .toc (la tabla de contenido del .bin). Para poder usar esta imagen con el pSX necesitamos un archivo .cue (cumple la misma función que el .toc pero utiliza otro formato).

$ toc2cue NOMBRE_DEL_JUEGO.toc NOMBRE_DEL_JUEGO.cue

Y voilá! Más linda que nunca!, tenemos una imagen idéntica a la del CD que podemos usar directamente, mediante el .cue, con el pSX o a modo de back-up para grabarla en un CD-R en caso de pérdida o rotura del original

Un saludo para todos!

Después de ver la Beta de Gutsy no me aguanté más su inestabilidad ni, en comparación, la fealdad del 7.04 así que dispuesto a no seguir esperando bajé la RC del 7.10. En estos instantes la estoy instalando. Espero que me tome el /home y que tanto movimiento de datos de sus frutos

Un saludo a Pichu!