Restricción de acceso como root



En ocasiones el causante de los problemas en el sistema es la mala utilizacion del propio administrador. Es importante que el root tenga su propia cuenta de usuario al igual que el resto de las personas que utilizan el ordenador .
Y cuando tenga que realizar tareas de administración puede pasar a root ejecutando el comando su.

En principio y como medida de seguridad, solo se debe poder acceder a la cuenta root desde la consola. Como ya se ha comentado, si se necesita hacer un acceso remoto a la cuenta root, entrar primero con cuenta de usuario y luego ejecutar el comando su para pasar a root.

De igual forma es interesante no incluir en la variable PATH el camino actual y asi forzar a que se introduzca delante del ejecutable los caracteres ./ o bien lanzarlo con sh.

Es muy importante que la password del root no viaje por la red en texto plano. Debe hacerlo de forma cifrada. Evitar el uso de ordenes -r- (rlogin, rcp, rsh,...) y utilizar las ordenes ssh o scp, en las que la contraseña viaja encriptada , lo cual permite que sea mas dificil de descubrir.

Se puede utilizar la orden sudo para permitir a ciertos usuarios realizar tareas de administración. Para ello hay que especificar en el archivo de configuración /etc/sudoers que usuarios están permitidos y que acciones pueden llevar a cabo. El sistema mantiene un registro de todas las actividades realizadas por esos usuarios autorizados.

Los intentos quedan registrados en el archivo de logs /var/log/messages. De esta forma un posible atacante tendría que conocer el nombre de un usuario del sistema, conocer su clave y también conocer la clave del root, y añadiría dificultades para obtener privilegios remotos en el sistema.

No utilizar las ordenes rlogin/rsh/rcp como root. Pueden ser objeto de diversos tipos de ataques y es peligroso ejecutarlas como root. No crear nunca un archivo .rhosts para root.

En el archivo /etc/securetty se especifican aquellas terminales (ttyn | vc/n) desde las que se puede conectar el root como tal. Se puede limitar la conexión de root, como tal, desde las terminales que se deseen.

Si el root debe conectarse desde un lugar diferente de la consola y esta limitado desde /etc/securetty, debera conectarse como usuario y luego ejecutar la orden su.

Estos son algunos simples consejos pero muy utiles que les serviran para mejorar aun mas su seguriadad e incluso salvarlos de ustedes mismo si son nuevos en este gran sistema operativo.

Nmap







Enlace descarga

http://nmap.org/download.html

Sinceramente podria hacerlo yo al manual agregandole imagenes para que entiendan mejor pero como ando medio atareado con la facultad decidi tomar este manual hecho por Dark-Tux que me parece muy explicativo y muy entendible.

Información importante a la hora del hack sobre determinados hosts,redes o
grupos de hosts. Este programa creado por Fyodor (fyodor @insecure.org) se ha
ganado mucho adeptos debido a su versatilidad y facilidad de manejo , ademas
de poder utilizar varios protocolos como el udp y el tcp.

Este Programa posee multiples opciones que pueden ser
combinadas entre si aun sin importar el orden en que se pases estas opciones en
la linea de comandos.


uso de nmap: nmap [Tipo de Scan] [Opciones] victima(s) o
red_victima

Tipo de Barrido o Scan


----------------------

-sT conexion tcp ,este tipo de scan deja ver tu ip.

-sS tcp SYN(stealth) o oculto, solo root lo puede
ejecutar.

-sF, -sX,-sN Stealth FIN,Xmas, o Scan Nulo (solo trabaja
contra UNIX) este tipo de scan se le llama nulo porque intenta molestar lo menos
posible al "inetd" o demonio de servicios para evitar caer en el log del
sistema, ademas existen muchos host con firewall que poseen filtrado para
paquetes del tipo SYN por lo que quedariamos automaticamente grabados en el log
del sistema , para esos casos es necesario utilizar el sF,sX,sN o el Xmas en vez
de el sS.


-sP ping "scan".Este es utilizado solo para saber si
determinado(s) host(s) están en ese momento vivos o conectados, normalmente esto
lo realiza nmap enviado paquetes a el puerto 80 de un host pero si este tiene un
filtrado de ese puerto podrás ser detectado de todas formas puedes utilizar esta
opción en combinación con -PI para cambiar ese puerto 80 por uno mucho mayor
preferiblemente .


-sU Escte es un Scan de Puertos abiertos con protocolo
UDP, solo root puede ajecutarlo.


-b ftp "bounce attack" utlizado para ver si se puede
utilizar un host para pasar una conexión ftp a través de el y no hacer el ftp a
otro host desde tu maquina directamente.


Nota : 1) si no se le suminstra ningun tipo de scan se
asume por defecto sT.


2) Además de lo Anterioren el uso de los tipos -sS,Xmas
y sF se permite el flag -f para utilizar pequeños fragmentos en el scan para
hacerlos menos detectables aun.

Opciones (no son Requeridas en algunos casos y pueden ser
combinadas)


--------

-f Utiliza pequeños paquetes fragmentados para el
SYN , Xmas , FIN o barrido nulo.


-P0 No hace "ping" al host en cuestion , necesario
para el scan o "barrido" a www.microsoft.com y otros con sistemas de deteccion
de ataques sensibles asi como los .gov .mil etc.)


-PT Utiliza el Ping de tcp para determinar si un host
esta conectado para el caso de -sT y -sP esta opcion aunque no es
suministrada va implicita en el metodo.



-PT21 Utiliza el Ping tcp para hacer prueba de coneccion
a el puerto 21 o a cualquier otro especificado despues del -PT ejm: -PT110 .


-PI Utiliza paquetes icmp para determinar que hosts
estan conectados y es especial si deseas hacer un scan a travez de un firewall.


-PB Hace la misma funcion que el barrido (scan) TCP
y ICMP, se le puede especificar un puerto destino despues de la "B".


-PS Utiliza el TCP SYN sweep en lugar de el valor por
defecto que es el ack sweep utilizado en el Ping TCP.


-O Utiliza el TCP/IP "fingerprinting" para determinar
que Sistema operativo esta corriendo un host remoto.


-p o puertos: ejm: '-p 23' solo
intenta hacer conexión con el(los) host(s) en el puerto especificado para
extraer de allí la información necesaria para la operación de scan. Otros
ejemplos '-p 20-100,31330-' hace un barrido entre los puertos 20-30 y
entre 31330-65535. por defecto el barrido es entre los puertos 1 y el 1024
mas los que parezcan en el /etc/services.


-Dhost1,host2,ME,host3[,...] Esta opcion hace parecer
al host victima que el scan esta siendo realizado por
host1,host2,ME(significa nuestro propio host) ,host3 y cuantos unos quiera , por
lo cual la victima detectara que el scan proviene de todos esos host y no podra
determinar a ciencia cierta quien es el que en realidad esta haciendo el scan,
el uso de esta opcion con unos 15 hosts puede ocasionar un Denial of Service en
un Host que este Utilizando un Firewall con "Packets Forwarding" o reenvio de
paquetes y reglas simples de filtrado ,haciendo con que dicho hosts pierda
conexion con internet.


-F Barrido Rapido a "Fast Scan" solo examina los
puertos que estan en el /etc/services.



-I Toma informacion de quien es el dueño del
proceso que se esta ejecutando pero solo se puede ejecutar con el -sT por lo
cual deja una traza enorme en el log de la victima por ello debe evitar
utilizar esta opcion.


-n no hace converciones DNS rpara hacer el -sP mas
rapido.


-R Intenta Convertir utilizando DNS(o sea del ip te
muestra el hostname ejm: le das 127.0.0.1 y te muestra que s
localhost.localdomain.



-o guarda el mismo resultado mostrado por
pantalla en un archivo en formato entendible para los humanos.



-m lo mismo que lo anterior pero la
salida es en un formato de maquina.


-i Lee el(los) ip(s) de la(s)
victima(s) desde un archivo.



-g Indica que puerto local se
utilizara para enviar los paquetes para el scan.


-S Si quieres especificar un IP para que sea la
fuente del scan, ideal para hacer "Scan Spoofing" o encubrir tu scan.


-v Verbose. Muestra mas Informacion.



-h Muestar la ayuda. Tambien puedes Visitar http://www.insecure.org/nmap/


-V Imprime la version de nmap y sale.


-e . Enviar los paquetes atravez
de esta interface en tu host pueder ser eth0,ppp0,ppp1 etc.


Los host pueden ser especificados con la direccion de
internet(IP), con el nombre como por ejemplo : www.microsoft.com o con el nombre
o ip del host y la mascara que es opcional por ejemplo : www.insecure.org/24 en
donde /24 para una red de tipo C significa todos los ips de esa red, o tambien
192.32.4.1/24 tendria el mismo efecto, para redes tipo "B" utilice /16 , el
/32 hace el scan de un solo host.

Ejemplos :


supongamos que la victima tiene este ip :
200.12.23.34


para hacer un scan simple de este host basta con hacer
esto:


$nmap 200.12.23.34


de esta forma el resultado en pantalla sera una lista de
los puertos en este host que estan abiertos o esperando conexion(listen).


si deseo determinar si ciertos puertos estan disponibles
en la victima entonces hacemos esto.


$nmap -p 21,23,110,143 200.12.23.34


de esta manera estaremos haciendo el barrido o scan para
los puertos de interes en este caso el 21,23,110 y 143.



si esta vez quiero determinar que SO esta corriendo la
victima la opcion es hacer esto :


#nmap -sS -O 200.12.23.34


notese que estoy utilizando la opcion -sS para evitar ser detectado al hacer el
scan, pero tambien puede funcionar de esta forma pero seras automaticamente
registrado en log del sistema victima :


#nmap -O 200.12.23.34 notese que siempre para utilizar esta opcion de dbe ser root.


para determinar si la victima es vulnerable al "bounce
attack" entonces lo utilizamos asi:


$nmap -b 200.12.23.34


o de esta forma si el host tiene sensibles mecanismos de
deteccion de intrusos.


$nmap -P0 -b 200.12.23.34


Estos son solo unos pocos ejemplos pero la combinacion de
las opciones con los tipos de scan te daran muchos mas usos dependiendo de la
aplicacion asi que a practicar con nmap.



Ahora si deseo realizar un scan muy suave para no ser
detectado por algun firewall utilizo estas opciones con el -f ya que algunos
firewall poseen metodos para detectar este tipo de scan.



#nmap -sF -f -p 21 23 110 143 200.12.23.34

Escaneo de puertos

Los servicios TCP/IP, como la Web o Ftp, permanecen a la escucha de un
puerto determinado.
La función de un escaneador de puertos consiste en escanear un rango determinado de direcciones IP en busca de servicios a la escucha en algún puerto.
En una gran red puede ser posible que existan servicios ilegales escuchando en algún puerto poco frecuente, de manera que algún trabajador utilice la red corporativa para montar su propio servidor Web o servidor de ficheros, sin pagar a un proveedor de servicios, tambien puede darse el caso que dicha persona infecte un sistema de archivo o elimine dicho sistema lo cual seria muy riesgoso para la corporacion.

Para detectar este tipo de abusos, que pueden llegar a comprometer
seriamente la seguridad o ser el resultado de un ataque previo, conviene
correr de vez en cuando un escaneador de puertos como nmap.

Rootkit o Encubridor



¿Que es un rootkit/encubridor?

Herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programa ,pueden apliar la
informacion en el siguiente enlace

wikipedia rootkit

http://es.wikipedia.org/wiki/Rootkit



¿Como saber si tienes un rootkit ?

sudo apt-get -y install chkrootkit

sudo chkrootkit

Este programa revisal que los siguientes rootkit no esten instalados en tu pc

* lrk3, lrk4, lrk5, lrk6 (and variants)
* Solaris rootkit
* FreeBSD rootkit
* t0rn (and variants)
* Ambient’s Rootkit (ARK)
* Ramen Worm
* rh[67]-shaper
* RSHA
* Romanian rootkit
* RK17
* Lion Worm
* Adore Worm
* LPD Worm
* kenny-rk
* Adore LKM
* ShitC Worm
* Omega Worm
* Wormkit Worm
* Maniac-RK
* dsc-rootkit
* Ducoci rootkit
* x.c Worm
* RST.b trojan
* duarawkz
* knark LKM
* Monkit
* Hidrootkit
* Bobkit
* Pizdakit
* t0rn v8.0
* Showtee
* Optickit
* T.R.K
* MithRa’s Rootkit
* George
* SucKIT
* Scalper
* Slapper A, B, C and D
* OpenBSD rk v1
* Illogic rootkit
* SK rootkit
* sebek LKM
* Romanian rootkit
* LOC rootkit
* shv4 rootkit
* Aquatica rootkit
* ZK rootkit
* 55808.A Worm
* TC2 Worm
* Volc rootkit
* Gold2 rootkit
* Anonoying rootkit
* Shkit rootkit
* AjaKit rootkit
* zaRwT rootkit
* Madalin rootkit
* Fu rootkit
* Kenga3 rootkit
* ESRK rootkit
* rootedoor rootkit
* Enye LKM
* Lupper.Worm
* shv5


Vía phyx

http://phyx.wordpress.com/2008/10/29/chkrootkit-comprueba-la-presiencia-de-rootkits/

Rootkit





¿Que es un rootkit/encubridor?

Herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programa ,pueden apliar la
informacion en el siguiente enlace

wikipedia rootkit

http://es.wikipedia.org/wiki/Rootkit


Esta entrada es a modo informativa de donde se puede descargar para los que deseen conocer
el funcionamiento de estos programas


¿Donde descargarlo ?

La siguiente web es en ingles

http://www.rootkit.com/index.php

Distro sorprendente: Ubuntu

Es una distribucion GNU/Linux que ofrece un sistema operativo predominantemente enfocado a computadores personales, aunque también proporciona soporte para servidores . Es una de las más importantes distribuciones de GNU/Linux a nivel mundial. Se basa en Debian GNU/Linux y concentra su objetivo en la facilidad y libertad de uso, la fluida instalación y los lanzamientos regulares . El principal patrocinador es Canonical Ltd., una empresa privada fundada y financiada por el empresario por el empresario sudafricano Mark Shuttleworth.

El nombre de la distribución proviene del concepto zulu y xhosa de ubuntu, que significa "humanidad hacia otros" o "yo soy porque nosotros somos". Ubuntu es un movimiento sudafricano encabezado por el obispo Desmond Tutu, quien ganó el Premio Nobel de la Paz en 1984 por sus luchas en contra del Apartheid en Sudafrica. El sudafricano Mark Shuttlrwork, mecenas del proyecto, se encontraba muy familiarizado con la corriente. Tras ver similitudes entre los ideales de los proyectos GNU, Debian y en general con el movimiento del software libre, decidió aprovechar la ocasión para difundir los ideales de Ubuntu. El eslogan de la distribución –“Linux para seres humanos” (en inglés "Linux for Human Beings")– resume una de sus metas principales: hacer de Linux un sistema operativo más accesible y fácil de usar.

La versión más reciente -8.04- fue lanzada para pre-órdenes desde su web el 21 de abril del 2008, para ser entregadas en aproximadamente 3 semanas despues de su salida.

Pueden Conseguirlo en el siguiente enlace

Documentos: Ubuntu



"Una parte importante de un sistema operativo es su documentacion, los manuales tecnicos que describen la operacion y uso de sus programas. Como parte de sus esfuerzos para crear un sistema operativo libre de gran calidad, el Proyecto Debian esta esforzandose en proporcionar a todos sus usuarios documentacion adecuada y accesible de manera sencilla."

Si lo desean pueden ingresar en el siguiente enlace:

Distro sorprendente: Gentoo



Es una distribucion GNU/Linux p BSD orientada a usuarios con cierta experiencia en estos sistemas operativos , fue fundada por Daniel Robbins, basada en la inactiva distribucion llamada Enoch Linux. En el año 2002, ésta última pasó a denominarse Gentoo Linux.

El nombre Gentoo proviene del nombre en ingles del pinguino papua.

Pueden Conseguirlo en el siguiente enlace

Documentacion: Gentoo


"Una parte importante de un sistema operativo es su documentacion, los manuales tecnicos que describen la operacion y uso de sus programas. Como parte de sus esfuerzos para crear un sistema operativo libre de gran calidad, el Proyecto Debian esta esforzandose en proporcionar a todos sus usuarios documentacion adecuada y accesible de manera sencilla."

Si lo desean pueden ingresar en el siguiente enlace:

Distro sorprendente: RedHat


Es la compañía responsable de la creación y mantenimiento de una distribucion del sistema operativo GNU/Linux que lleva el mismo nombre:Red Hat Enterprise Linux, y de otra más,Fedora.

Red Hat es famoso en todo el mundo por los diferentes esfuerzos orientados a apoyar el movimiento del sofware libre. No sólo trabajan en el desarrollo de una de las distribuciones más populares de Linux, sino también en la comercialización de diferentes productos y servicios basados en software de código abierto.

Programadores empleados de Red Hat han desarrollado múltiples paquetes de software libre, los cuales han beneficiado a toda la comunidad. Algunas de las contribuciones más notables han sido la creación de un sistema de empaquetación de software (RPM), y varias utilidades para la administración y configuración de equipos, como sndconfig o mouseconfig.

Pueden Conseguirlo en el siguiente enlace

Documentacion: Red Hat




"Una parte importante de un sistema operativo es su documentacion, los manuales tecnicos que describen la operacion y uso de sus programas. Como parte de sus esfuerzos para crear un sistema operativo libre de gran calidad, el Proyecto Debian esta esforzandose en proporcionar a todos sus usuarios documentacion adecuada y accesible de manera sencilla."

Si lo desean pueden ingresar en el siguiente enlace:

Distro sorprendente: Debian




El Proyecto Debian es un sistema operativo libre. Este sistema operativo se llama Debian GNU/Linux, o simplemente Debian para acortar.

Los sistemas Debian actualmente usan el núcleo de Linux.

Sin embargo, se está trabajando para ofrecer Debian con otros núcleos, en especial con el Hurd. El Hurd es una colección de servidores que se ejecutan sobre un micronúcleo (como Mach) para implementar las distintas funcionalidades. El Hurd es software libre producido por el proyecto GNU.

Una gran parte de las herramientas básicas que completan el sistema operativo, vienen del proyecto GNU; de ahí los nombres: GNU/Linux y GNU/Hurd. Estas herramientas también son libres.

Desde luego, lo que la gente quiere es el software de aplicación: herramientas que los ayuden a realizar lo que necesiten hacer, desde editar documentos, ejecutar aplicaciones de negocios hasta divertirse con juegos y escribir más software. Debian viene con más de 18733 paquetes. (software empaquetado en un formato amigable para una instalación sencilla en su máquina)

Es un poco como una torre. En la base está el núcleo. Encima se encuentran todas las herramientas básicas. Después está todo el software que usted ejecuta en su computadora. En la cima de la torre se encuentra Debian — organizando y encajando todo cuidadosamente para que todo el sistema trabaje junto.

Pueden Conseguirlo en el siguiente enlace

Para ver los paquetes que posee pueden pasar por el siguiente enlace

Documentacion: Debian




"Una parte importante de un sistema operativo es su documentacion, los manuales tecnicos que describen la operacion y uso de sus programas. Como parte de sus esfuerzos para crear un sistema operativo libre de gran calidad, el Proyecto Debian esta esforzandose en proporcionar a todos sus usuarios documentacion adecuada y accesible de manera sencilla."

Si lo desean pueden ingresar en el siguiente enlace:

Distro sorprendente: BackTrack




La pagina oficial esta en el idioma Ingles para los que deseen visitarla.

http://www.remote-exploit.org/

Es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática.
Deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX.
WHAX es la evolución del Whoppix,(WhiteHat Knoppix) el cual pasó a basarse en SLAX en lugar de en Knoppix.
Incluye larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless.
Para los que desean descargarlo pueden pasar por aca

BackTrack
Otra que está creciendo mucho es Samurai, orientada a pen test web:
http://samurai.inguardians.com/

Y también tenés SUMO Linux, un DVD que te permite bootear en
cualquiear de estas dos distros y otras más:

http://sumolinux.suntzudata.com/



Distro Bien Argento: Tuquito


La web oficial esta en idioma español para los que desen visitarla pueden pasar por el siguiente enlace

www.tuquito.org.ar

Es una distribucion del s.o GNU/Linuxoriginaria de Argentina y basada enDebian,que implementa la tecnología LiveCD , esto permite al usuario tener en su pc un sistema completo en cuestión de minutos, con todo el software y hardware configurados y listo para usar, sin necesidad de modificar en absoluto su pc, ganando tiempo a la hora de realizar tareas concretas, en su última versión incluye un software que permite al usuario guardar, en una memoria USB , los cambios realizados.

El uso de Tuquito no requiere de ningun nivel de experiencias, esta destinado a todos tipo de usuarios. También puede instalarse en su pc mediante dos tipos de instalación Completa o Básica, teniendo todo configurado y listo en su rígido en un tiempo mínimo.

Si desean pueden descargarlo del siguiente enlace