El blog de Carlos Andrade Sánchez

• Peticiones solo al DNS
  • iptables -A INPUT -p udp –sport 53 -j ACCEPT
  • iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
• Log SSH using IPTables:
  • iptables -I INPUT -j LOG -m state –state NEW -p tcp –dport 22

Bastaria con poner

iptables -A INPUT -p udp --dport 53 -m string --string "MX" -j DROP

Ha aparecido la sexta actualización de Leopard 10.5.6 HT3194

Productos afectados

Mail, Mac OS X 10.5, iCal 3.x, MobileMe Push/Syncing, iChat, AirPort, Safari

¿Qué novedades hay en esta actualización?

• Mejora la fiabilidad de la sincronización de la agenda con iPhone y otros dispositivos y aplicaciones.

• Aumenta la fiabilidad de las conexiones AirPort, incluyendo mejoras en la itinerancia de redes inalámbricas de gran tamaño con sistemas Mac basados en Intel.

• Aumenta la fiabilidad de la sincronización de archivos en un directorio principal portátil.
• Soluciona un problema en Mac OS X 10.5.4 y 10.5.5, en el que los usuarios administrados no pueden ver las impresoras que utilizan el PPD genérico.
• Ahora los ordenadores de los clientes que utilizan las preferencias de ByHost basado en UUID respetan la configuración del Salvapantallas.

• Aborda un problema que podría provocar que saliera una alerta de cifrado en la ventana del chat.
• Al poner tu estado de iChat en “invisible” mediante AppleScript ya se cierra la sesión en iChat.
• Resuelve un problema que consiste en que al pegar texto de un documento de Microsoft Office, se inserta una imagen en vez de texto.

• Incluye mejoras generales en el rendimiento de juegos.
  
• Incluye mejoras gráficas para iChat, Cover Flow, Aperture e iTunes.
• Incluye la reparación de posibles problemas de distorsión de gráficos con ciertas tarjetas gráficas ATI.
  

• Incluye reparaciones generales de rendimiento y fiabilidad.
• Aumenta la precisión de Connection Doctor.
• Soluciona un problema que podría provocar que los mensajes identificados como correo basura se queden en la bandeja de entrada.
• Soluciona un problema que podría provocar que Mail añada un carácter a la extensión del archivo de un adjunto.
• Aborda un problema que podría impedir que Mail se cierre.
• Aumenta la fiabilidad al imprimir adjuntos en PDF.

• Los contactos, calendarios y marcadores de un Mac se sincronizan automáticamente un minuto después de haber hecho el cambio en el ordenador, en otro dispositivo o en Internet, en me.com

• Aumenta el rendimiento de Servicio de archivos de Apple, especialmente cuando se utiliza un directorio principal alojado en un servidor AFP. Importante: si utilizas Mac OS X 10.5.6 (cliente) para conectarse a un servidor basado en Mac OS X Server 10.4, te recomendamos encarecidamente que actualices el servidor a la versión Mac OS X Server 10.4.11.
• Aumenta el rendimiento y la fiabilidad de las conexiones TCP.
• Aumenta el rendimiento y la fiabilidad de las tarjetas AT&T 3G.
• Actualiza el comando del terminal ssh para aumentar la compatibilidad con más servidores ssh.

• Mejora la impresión del conjunto de aplicaciones de Adobe CS3.
• Mejora la impresión de las impresoras Canon y Brother basadas en USB.

• Aborda un problema en el que una cuenta con control parental no puede acceder a iTunes Store.
• Incluye reparaciones generales relativas a límites de tiempo.
• Resuelve un problema que impedía añadir sitios Web permitidos desde Safari arrastrando y soltando.

• Soluciona problemas que podrían provocar que apareciera en Time Machine el mensaje “No se encontró el volumen de copia de seguridad”.
• Mejora la fiabilidad de Time Machine con Time Capsule.

• Mejora la compatibilidad con servidores proxy Web.
  
  

• Incluye mejoras de seguridad de Mac OS X. Si deseas más información, consulta este sitio Web.
• Soluciona imprecisiones con Calculator cuando el idioma de Mac OS X está definido en Alemán o Suizo Alemán.
• Aumenta la fiabilidad y el rendimiento de Chess.
• Aumenta el rendimiento y la fiabilidad de DVD Player.
• Incluye soporte de formato RAW de cámara digital para más cámaras.
• Incluye mejoras de rendimiento de iCal.
• Soluciona un problema al ejecutar la acción automatizada Nuevos eventos de iCal como un applet.
• Añade un panel de Preferencias del sistema de trackpad para Mac portátiles.
• Mejora la compatibilidad con tarjetas inteligentes como la Tarjeta de Acceso Común del Departamento de Defensa de Estados Unidos.
• Actualiza los datos de zona horaria y las reglas de horario de verano para varios países.

Important: La información sobre los productos no fabricados por Apple se proporciona sólo con fines informativos y no implica ninguna recomendación o aprobación por parte de Apple. Póngase en contacto con el proveedor para obtener información adicional.

  Seguir leyendo »

Podemos leer en http://www.linux-os.com.ar/linuxos/seguridad-en-ssh-iptables-denyhosts-sudoers%E2%80%A6/

Si se fijan en los logs generados por ssh, verán la cantidad de intentos de ataques que sufre este servicio. Existen gusanos que lanzan ataques remotos con intención de loguearse como root en nuestros sistemas y así instalar otros rootkits o hacerse con el control del mismo.

Lo primero para mantener nuestra maquina protegida, será hacer un script de IPTABLES personalizado para nuestro sistema, con política por defecto DROP.Una vez tengamos restringidos los accesos con IPTABLES, añadiremos nuestro usuario al grupo sudoers, así evitamos tener que estar logeados como root para tareas de administración. Para ello editamos (como root) el archivo.$ nano /etc/sudoersbuscamos la linea:root ALL=(ALL) ALLa la que añadimos abajo el nombre de usuario que le permitiremos hacer sudo:usuario ALL=(ALL) ALLConviene decir que es diferente hacer su o hacer sudo. Su es para convertirse en root, y sudo es para ejecutar un comando como root.También restringiremos el login de root desde ssh y el puerto editando el archivo /etc/ssh/sshd.config:$ sudo nano /etc/ssh/sshd.configy cambiamos las siguientes lineas:PermitRootLogin YesPort 22PorPermitRootLogin NoPort 2222Como hemos cambiado el puerto usado por ssh, tenemos que añadir una regla en nuestro script iptables (insisto, con política por defecto DROP):$ sudo nano /etc/init.d/firewall.shAñadiendo lo siguiente:#Permitimos el acceso ssh al puerto especificado en /etc/ssh/sshd.configiptables -A INPUT -p tcp --dport 2222 -j ACCEPTiptables -A OUTPUT -p tcp --sport 2222 -j ACCEPTBueno, ahora instalaremos una aplicación que revisa los logs de ssh en busca de ip’s que intente loguearse como root mediante ataques de fuerza bruta. Después de varios intentos fallidos (se puede configurar) denyhosts rechazará y baneará las ip’s atacantes.$ sudo apt-get install denyhostsy lo paramos para posteriormente configurarlo:$ /etc/init.d/denyhosts stopeditamos las siguientes variables a nuestro gusto:$ sudo nano /etc/denyhosts.conf* DENY_THRESHOLD_INVALID: Número de intentos fallidos (con un usuario que no exista) necesarios para banear esa IP.* DENY_THRESHOLD_VALID: Número de intentos fallidos (con un usuario existente) necesarios para banear esa IP.* DENY_THRESHOLD_ROOT: Número de intentos fallidos (intentando entrar como root) necesarios para banear esa IP.* BLOCK_SERVICE = sshd/ALL/etc… : Servicios que bloqueados a usuarios baneados.* DAEMON_LOG = /var/log/denyhosts : Ubicación del log de denyhosts.y lo volvemos a iniciar:$ /etc/init.d/denyhosts startAhora tendremos nuestro acceso ssh bastante protegido de ataques, recordad que tener una contraseña compuesta por letras, números y algún carácter especial ayuda mucho a la seguridad de nuestro sistema.Fuente: http://www.thewilfamily.com/search/seguridad/Mas info aquí y aquí:Mas info también aquí y aquí.

Se puede leer en wikipedia Firewall con iptables 

Para generar este script con iptables, se deben seguir los siguientes pasos:

1. Se crea un archivo de texto con un editor de texto plano cualquiera, como ser vi, emacs o nano, entre muchísimos otros. A este archivo se lo llama, por ejemplo, iptables_ipt
2. Se le da permiso de ejecución mediante el comando chmod u+x o también chmod 777 iptables_ipt.
3. Se ejecuta desde la línea de comandos ./iptables_ipt

#!/bin/bash

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW ! -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth1 -o eth1 -j REJECT
iptables -P INPUT DROP
iptables -P FORWARD DROP
echo "Firewall Activado"

Para este ejemplo, eth0 es la puerta local, y eth1 es la puerta de enlace a Internet. Puede además agregarse bloqueo de puertos específicos, como por ejemplo:

iptables -A INPUT -p tcp --dport 25 -j DROP # smtp filtrado 

# Corroboramos con nmap los puertos y nos dirá algo parecido 

$sudo nmap -sT "nuestra IP"

 * 22/tcp   filtered  ssh *
 * 25/tcp   filtered  smtp *

Filtrado de puertos

Para filtrar un puerto específico, como el 22 ó 443, el código recomendable sería el siguiente:

sudo iptables -t filter -I INPUT -p tcp --dport 22 -j DROP
sudo iptables -t filter -I INPUT -p tcp --dport 443 -j DROP

Si se desea cerrar el puerto SSH completamente y que no sea filtrado:

 sudo /etc/init.d/sshd stop

Si se desea acitvar de nuevo el puerto SSH para conexiones remotas:

 sudo /etc/init.d/sshd start

Podemos leer en Instalando y configurando iptables en centos

Entramos en materia, iptables es un firewall tipico de instalaciones linux:

1.- Instalacion usando yum:

yum install iptables

2.- Crear un archivo de texto de configuracion (usando nano o vim):

nano /etc/sysconfig/iptables

# By default drop all incoming and forwarded traffic
# Allow all outgoing traffic
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

# Puerto 80 http para los diferentes servicios web que podamos tener
-A INPUT -p udp –dport 80 -j ACCEPT

# Allow incoming SSH (el 22 es el puerto por default)
-A INPUT -p tcp –dport 22  -j ACCEPT

# Allow ping
-A INPUT -p icmp –icmp-type ping -j ACCEPT

# Allow local traffic
-A INPUT -i lo -j ACCEPT

# Allow ping
-A INPUT -p icmp –icmp-type ping -j ACCEPT

COMMIT
Guardamos el archivo y debemos reiniciar iptables:

service iptables restart

Aparecera:

Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: filter [ OK ]
Unloading iptables modules: [ OK ]
Applying iptables firewall rules: [ OK ]

Chequeo general:iptables -L

Podemos leer en Configuracion de un servidor DNS en centos

BIND:

Usando yum para instalar bind:

yum -y install bind bind-libs caching-nameserver bind-chroot

chkconfig named on

service named start

Ahora editamos el fichero /var/named/chroot/etc/named.conf para añadir los reenviadores (servidores DNS externos, por ejemplo los de opendns.com), se agregan dentro de la sección options:

forwarders {
IP1 del DNS que usemos;
IP2 del DNS que usemos;
};

OJO: se debe borrar todo lo demas, solo dejar las lineas anteriores. Este archivo al modificarlo y resetear el servicio bind se actualiza el otro ubicado en /etc/chrootg…..-nameserver.conf
Estos DNS son los de nuestro ISP o los de openDNS

Por último, editamos el fichero /etc/resolv.conf para decirle a la máquina que se consulte a sí misma y lo dejamos así:

search localdomain
nameserver 127.0.0.1

A todas las maquinas cliente le debemos editar el archivo resolv.conf si queremos que consulte a nuestro propio DNS.

Para configurar la zona:

If you have installed the bind-chroot package, the BIND service will run in the /var/named/chroot environment. All configuration files will be moved there. As such, named.conf will be located in /var/named/chroot/etc/named.conf, and so on.

If you have installed the caching-nameserver package, the default configuration file is /etc/named.caching-nameserver.conf. To override this default configuration, you can create your own custom configuration file in /etc/named.conf. BIND will use the /etc/named.conf custom file instead of the default configuration file after you restart.

Nameserver Types

There are four primary nameserver configuration types:

master

Stores original and authoritative zone records for a namespace, and answers queries about the namespace from other nameservers.

slave

Answers queries from other nameservers concerning namespaces for which it is considered an authority. However, slave nameservers get their namespace information from master nameservers.

caching-only

Offers name-to-IP resolution services, but is not authoritative for any zones. Answers for all resolutions are cached in memory for a fixed period of time, which is specified by the retrieved zone record.

forwarding

Forwards requests to a specific list of nameservers for name resolution. If none of the specified nameservers can perform the resolution, the resolution fails.

A nameserver may be one or more of these types. For example, a nameserver can be a master for some zones, a slave for others, and only offer forwarding resolutions for others.

zone “example.com” {   

        type slave;   

        file “example.com.zone”;   

        masters { 192.168.0.1; }; 

};

Reiniciamos el servicio de DNS:

service named restart

Otra forma:

En primer lugar tendremos que instalar varios paquetes:

caching-nameserver-x.y.z

bind-utils-xx.xx-x

bind-xx.xx-x

Montamos el cd con la distribución en /mnt/cdrom:

mount /mnt/cdrom

e instalamos estos paquetes:

rpm -Uvh /mnt/cdrom/rutaacceso/bind-xx.xx-x

rpm -Uvh /mnt/cdrom/rutaacceso/caching-nameserver-x.y.z

rpm -Uvh /mnt/cdrom/rutaacceso/bind-utils-xx.xx-x

yum -y install bind bind-libs caching-nameserver bind-chroot

El paquete bind contiene todo el sistema de resolución de nombres. El paquete caching-nameserver contiene los datos necesarios para que nuestro servidor DNS sea un servidor válido para internet, va a actuar como servidor DNS para toda la red local. Por último el paquete bind-utils contiene varias utilidades para consultas y actualizaciones dinámicas.

/etc/named.conf

El fichero named.conf contiene todos los dominios que va a albergar nuestro servidor DNS. Si el sistema está recién instalado deberá contener, entre otras cosas:

options {

directory “/var/named”;

};

Indica que el resto de ficheros de configuración se encuentran en el directorio /var/named

zone “.” {

  type hint;

  file “root.cache”;

};

Este trozo de configuración indica al sistema de nombres de dominio que consulte a los servidores raíz de internet para resolver cualquier nombre que no sea local. De esta forma nuestro servidor actúa como servidor de internet.

Ahora vamos a configurar nuestra zona:

zone “centro.ies” in {

  type master;

  file “centro.ies”;

  allow-update{

    127.0.0.1;

    192.168.1.1;

  };

};

Zone indica el nombre del dominio que estamos configurando, el resto son sus detalles. Type master indica que es el servidor principal de la zona. Si fuera un servidor secundario tendríamos que poner “type slave”.

La línea file indica qué fichero contiene los datos de la zona. Este fichero se debe encontrar en el directorio /var/named.

Por último, allow-update indica desde qué equipos se pueden realizar actualizaciones dinámicas, en nuestro caso sólo el mismo puede realizarlas. Si fuera un servidor secundario tendremos que poner la dirección del servidor principal.

En estos ficheros tendremos que poner direcciones IP y no nombres porque el sistema de resolución aun no está activo.

Configuración de la zona

Ahora tenemos que introducir una configuración inicial de la zona. No necesitamos introducir todos los equipos porque habilitaremos, mediante DHCP, el sistema de actualización dinámica, de forma que cuando un equipo se conecta se le asigna una dirección IP y un nombre y la correspondiente actualización de la zona.

Hechas estas consideraciones pasamos a descibir el fichero /var/named/centro.ies, que deber ser similar al siguiente:

$TTL    604800

@    IN   SOA  ns1.centro.ies. root.ns1.centro.ies. (

                        2002111502 ; serial

                        86400 ; refresh

                        7200 ; retry

                        2592000 ; expire

                        172800 ; default_ttl

                        )

@               IN      NS      ns1.centro.ies.

@               IN      MX      5       ns1.centro.ies.

ns1             IN      A       192.168.1.1

www.centro.ies.         IN      CNAME   ns1.centro.ies.

correo                  IN      CNAME   ns1.centro.ies.         

secretaria              IN      A       192.168.1.2

router                  IN      A       192.168.1.254

Los parámetro numéricos los dejaremos tal y como están, salvo quizás el número de serie que indica que es la segunda modificación (02) del día 15/11/2003 (20031105).

El resto de los parámetros:

@ equivale al dominio, centro.ies en este caso.

SOA significa start of autority e indica el nombre del equipo (ns1.centro.ies) y la dirección de correo de administrador (root.centro.ies), sustituyendo la cásica @ por un “.”.

@ IN NS ns1.centro.ies. indica que el servidor de nombres del dominio es ns1.centro.ies. (IN= internet NS=name server).

@ IN MX 5 ns1.centro.ies. indica que el servidor de correo electrónico del dominio es ns1.centro.ies. (MX=Mail eXchanger)

ns1 IN A 192.168.1.1 esta línea asigna la dirección IP al nombrede máquina. (A=address).

www.centro.ies. IN CNAME ns1.centro.ies.

correo IN CNAME ns1.centro.ies. estas líneas asignan dos alias a nuestro servidor principal, es decir ns1.centro.ies se llam también www.centro.ies y correo.cento.ies.

Nota importante: Podemos observar como algunos nombres acaban en punto. El punto indica un nombre completo; si no tiene punto el sistema le añade automáticamente el nombre del dominio. Por ejemplo correo es equivalente a correo.centro.ies. Sim embargo si ponemos correo.cento.ies (sin punto final) en realidad lo que estamos poniendo es correo.centro.ies.cento.ies. Esta es la causa más frecuente de errores a la hora de configurar el servicio DNS.

Las dos últimas líneas son dos nuevos registros de asignación de direcciones a nombres de máquina.

Verificación del DNS

Una vez configurado el servicio de nombres vamos a ponerlo en marcha y comprobar si tiene algún error o funciona correctamente.

El registro de incidencias anota en el fichero /var/log/messages el estado de inicio del sistema de nombres. Lo más cómodo es abrir una nueva consola y ejecutar:

tail -f /var/log/messages

para ir viendo las incidencia en el momento en que ocurren.

Ahora reiniciamos el servicio:

/etc/init.d/named restart

y comprobamos en la consola qué ha sucedido. Si todo es correcto, enhorabuena, en caso contrarío tendremos que volver a editar los ficheros de configuración, corregir los errores y volver a reiniciar el servicio.

Cuando tengamos el servicio en funcionamiento comprobaremos si la resolución la realiza correctamente. Ejecutamos:

nslookup ns1.centro.ies

nslookup www.centro.ies

y en ambos casos nos debe responder con la dirección IP del servidor Linux.

Se ha anuciado la release wp 2.6.5. Se ha saltado la 2.6.4 por no crear confusion con la hackeada.

Más sobre lo que se ha anunciado en este enlace de westi

Re: Conexant High Definition audio for Windows XP Pro x64

Here is what I found and what worked for my hp pavilion dv9205us (dv9000 family) notebook with Windows XP x64 Professional installed.I had been looking for around a month for a driver.I currently have XP x64 SP2 installed, however I don’t believe it makes a difference; anyways:NOTE: Experienced users, please forgive me for the amount of detail and skip over what you already know. I have read other posts, where if you are a power user, you know what people are talking about, however for beginners I have seen posts that mention things such as ‘I don’t know what your talking about’ etc.; hence the detail.I downloaded the following file from the HP site: ftp://ftp.hp.com/pub/softpaq/sp35001-35500/sp35271.exeI ran it and it extracts by default to: c:\swsetup\SP35271 (If need be, you should be able to search the hp web site for SP35271)Once you select Next it runs this scan for the Hardware and mine failed with the following error with an OK option:Error - Driver Installation Failed Could not find the MEDIA device for this driver.I selected OK.I opened Device Manager (Right-click on My Computer > Manage > select Device Manager from the left pane)Beneath a section labeled Other devices; which has a question mark in from of that nameI double-clicked on the entry: Audio Device on High Definition Audio BusWent to the Driver tab and selected Update Driver.The ‘Hardware Update Wizard’ dialog appears, select ‘Install from a list or specific location (Advanced)’ > NextSelect ‘Don’t search. I will choose the driver to install’ > NextFor the Hardware Type select ‘Show All Devices’ (it takes longer to scroll down to Sound, video and game controllers) > NextSelect ‘Have Disk’, on the ‘Install From Disk’ panel, browse to where you extracted the files to; which by default is: c:\swsetup\SP35271 and select OKOn the Select the device driver you want to install for this hardware panel, beneath Model, it should list: Conexant High Definition Audio-Venice 5045Select it > Next, it should display a ‘Update Driver Warning’ panel, select Yes to continue installing this driver.It should then install the software for the driver, once it is done you should have sound!I Thank God for helping me get this figured out, and that is the truth!

WordPress spam-words blacklist.

Located in your Options/Discussion (wp-admin/options-discussions.php) admin panel, the WordPress Spam-Words Blacklist (a.k.a. the Comment Moderation Box) gives bloggers a chance to moderate comments that contain any of the words specified in the list. All such comments are not published, not deleted, but rather relocated to the “moderation” queue for further investigation. This is good, because there are legitimate reasons why someone would want to include the word “sex” in a comment.