El Jueves 17 Enero 2008, Sebastian Antunez Noguera escribió:
> Estimados, tengo el siguiente problema.
>
> Tengo 4 servidores en un data center con CenTos 5.1 y tienen habilitado
> Ambiente Grafico (Gnome). Necesito saber como poder configurar los
> escritorios para que los desarrolladores puedan a traves de sus estaciones
> de trabajo con Fedora acceder a los CenTos desde su maquina y ver el
> entorno grafico de estos servidores CenTos.
>
> A la vez, necesito saber si existe algun cliente que pueda tomar estos
> escritorios (CenTos) pero desde M$ Windows ya que dos Desarrolladores usan
> XP por un tema de una aplicacion que solo corre en M$
>
> Gracias nuevamente por su ayuda
>
> SAN
Usa FreeNX.
From [EMAIL PROTECTED] Fri Jan 18 00:20:18 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Jan 18 00:23:36 2008
Subject: Guerra santa de nuevo PARA LOS DETRACTORES DE MYSQL
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
David Aravena <[EMAIL PROTECTED]> wrote:
> Como se explican los detractores de MySQL que SUN la halla comprado en
> US 1.000 millones??????
Se le llama "cosas inefables" ;-)
--
Abad Mayor Horst H. von Brand User #22616 counter.li.org
Monasterio de Las Corrientes
From [EMAIL PROTECTED] Fri Jan 18 00:26:17 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Jan 18 00:29:35 2008
Subject: Guerra santa de nuevo PARA LOS DETRACTORES DE MYSQL
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
David Aravena <[EMAIL PROTECTED]> wrote:
> > !Lo que sucede es que los de MySQL son unos vendidos!
> Justamente en esa dirección era el sentido de este post .... paso a
> paso vemos que grandes conglomerados de gente que "piensa y crea" (me
> refiero a ideas tan revolucionarias como la de el software libre por
> su puesto) termina vendiendose al mejor postor....
Dame solo /un/ ejemplo de alguien de real estatura en codigo abierto que
haya dejado el codigo abierto "vendiendose al mejor postor".
> en fÃn por lo menos
> queda el consuleo que la "gran mayorÃa sigue fiel a sus principios
> originales"..
Creo que seria util que leyeran
<http://www.onlamp.com/pub/a/onlamp/2006/01/12/no_oss_community.html>. Da
un analisis bastante lucido de las ventajas "para negocio" del codigo
abierto.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Fri Jan 18 00:34:21 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Jan 18 00:37:42 2008
Subject: Guerra santa de nuevo PARA LOS DETRACTORES DE MYSQL
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
David Aravena <[EMAIL PROTECTED]> wrote:
[...]
> > Piensa que MySQL AB existÃa como empresa para ofrecer servicios
> > basados en MySQL; y que la versión comunitaria de MySQL es la que se
> > ofrece en todas las distribuciones. Ocurre lo mismo con Command
> > Prompt/EnterpriseDB+PostgreSQL, Sensio+Symfony, Novell+SuSE,
> > RedHat+RHEL, Canonical+Ubuntu.
> No me sorprenderÃa que productos como Ubuntu terminen de la misma forma
No "terminen", Ubuntu /es/ un producto comercial. Tratan de emular el
(fallido) modelo de negocio inicial de Red Hat, SUSE, Mandrake, Conectiva,
y tantos mas: "Bajelo gratis aca, o se lo ofrecemoslo con contrato de
mantencion"... en lo personal no le veo viabilidad a eso.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Fri Jan 18 00:40:41 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Jan 18 00:43:59 2008
Subject: Ethical Hacking, aspectos a considerar.
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Asdtaker <[EMAIL PROTECTED]> wrote:
> Estimados, alguien tiene idea de los aspecto de debiese considerar a la hora
> de realizar un escaneo de vulnerabilidades a mi sitio web?
Problemas de inyeccion de SQL (e idioteces afines).
> Por ahora considero estos ITEMs:
>
> - Ingenieria Social: informacion disponible en la web.
No... ve primero que significa el termino: Es engan~ar a algun incauto para
que haga lo que no debe. No hay tal incauto en un sitio web...
> - Archivos por defecto: todo aquello que viene con la instalacion en bruto
> del server web.
Obviamente hay que revisarlo todo. Lo mas sano es volar todo lo que no se
requiere.
> - Extensiones por defecto: analizar el impacto de soportar distintas
> extensiones.
El minimo necesario...
> - Sesiones: comprobar validez de sesiones, etc.
Como, exactamente?
> - Manejo de errores: de aplicacion y servidor.
Siempre es un buen punto.
> - SQL Injection.
Mira <http://www.dwheeler.com/secure-programs> para una vision completa
(aunque no orientada a web).
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Fri Jan 18 00:43:06 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Jan 18 00:46:25 2008
Subject: Ethical Hacking, aspectos a considerar.
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Asdtaker <[EMAIL PROTECTED]> wrote:
> 2008/1/17 Lenin Hernández <[EMAIL PROTECTED]>:
> > Si das mas información sobre tu 'sitio web' tal vez obtengas mejor ayuda'
> mmm, perdon a los fragiles de vista: W2k (todo al dia), IIS, ASP, mucho JS,
> sql server 2k.
OK, parte por botar la bazofia, es /imposible/ construir algo que sea
medianamente seguro sobre esa base. Determinado experimentalmente miles de
veces.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Fri Jan 18 00:55:32 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Jan 18 00:58:49 2008
Subject: Ethical Hacking, aspectos a considerar.
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Lenin Hernández <[EMAIL PROTECTED]> wrote:
[...]
> > A que exactamente te refieres? algún ejemplo de lo que llamas 'directiva' o
> > 'parametros'?
> Ok asumiendo que usas apache y no Cherokee ni lighttpd, Webrick o
> cualquier otro... Segun tus necesidades particulares buscando
> seguridad podrias:
> - reducir el tiempo de espera (tiemeout)
[...]
> - si no tienes mucho trafico reducir el numero de peticiones a aceptar
> asi como el tiempo q debe transcurrir para otra peticion
Esa clase de medidas reduce (no elimina!) la ventana de posibles
vulnerabilidades.
> - usuario y grupo propio y exclusivo para apache
En Windows?!
> - tal vez esconder la info del server vercion y modulos cargados
> - tal vez modificar o personalizar los mensajes de error del web
> server(error 403, 404 etc...)
"Security through obscurity, isn't" [No sacas nada con pintarlo de rosado
para que no lo reconozcan como elefante por lo gris si te enfrentas a quien
dispara a cuanta cosa grande se le pone delante... o (peor aun), quien se
entero de tu "truquito" por algun medio. Por lo demas, /esta/ clase de
trucos son tan faciles de llevar a cabo y tan "obviamente seguros" (y por
tanto tan populares) que a lo mas detienen al script kiddie promedio unos
pocos minutos. Para perspectiva, date una vueltecita por las cosas que
puede hacer nmap sin demasiado esfuerzo, y consulta por alli por "passive
fingerprinting"...]
> - instalar modulos de apache que te harian la vida mas bonita como
> mod_evasive (evita ataques de denegacion de servicio), mod_security
> etc...
Si no los necesitas...
> - restriccion de ip o rangos de ip etc..
> - no permitir la ejecucion de cji's
Esa clase de cosas hay que cortarlas si no las requieres, obvio; si las
requieres, las requieres...
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Fri Jan 18 01:00:48 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Jan 18 01:04:07 2008
Subject: implementacion Twiki
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
juan carlos mardones <[EMAIL PROTECTED]> wrote:
> Hola a todos, necesito implementar un Twiki donde trabajo, si alguien
> conoce de Twiki y tiene buena experiencia con el, favor contactarse
> conmigo para ver si llegamos a un acuerdo de trabajo.
En RHEL (y CentOS) el Wiki es MoinMoin <http://moinmoin.wikiwikiweb.de>. Es
lo que usan en sus sitios publicos al efecto tambien.
Twiki tiene una historia de seguridad mas bien deplorable...
En todo caso, exactamente que quieres montar? Tal vez lo que buscas
realmente es Trac, o algo del corte de Review Board, o WebSVN, o...
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Fri Jan 18 01:03:12 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Fri Jan 18 01:06:33 2008
Subject: Licencia MySQL [ Era: Re: Guerra santa de nuevo ]
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
> El 17/01/08, Moises Alberto Lindo Gutarra <[EMAIL PROTECTED]>
> >MySQL hace mucho tiempo ya no era software libre, revisen
> > el tipo de licencia que tenia
> GPL para proyectos comunitarios; no-GPL para proyectos empresariales.
> Parecido a como funcionaba la licencia de Qt...
No. Se distribuye bajo GPL (lo que significa que ciertos usos estan
vedados), o puedes pagar y usarlo bajo una licencia "normal".
> (hace menos de una semana, no le achunté a una en lo que es licencias,
> asà que me di el trabajo de leer todas las de Slackware).
Va otra semana mas ;-)
> > por eso hace mucho tiempo hemos migrado a PostgreSQL
> > y nos va de maravillas.
> Yo no migré porque uno era libre y otro no. PostgreSQL funciona de
> maravillas (cosa que MySQL no hace) y punto.
Buen punto.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Fri Jan 18 01:17:35 2008
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Fri Jan 18 01:20:47 2008
Subject: Ethical Hacking, aspectos a considerar.
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
El 18/01/08, Horst H. von Brand <[EMAIL PROTECTED]> escribió:
> Lenin Hernández <[EMAIL PROTECTED]> wrote:
>
> [...]
> > - si no tienes mucho trafico reducir el numero de peticiones
> > a aceptar asi como el tiempo q debe transcurrir para otra
> > peticion
>
> Esa clase de medidas reduce (no elimina!) la ventana de posibles
> vulnerabilidades.
Y aumenta la posibilidad de denegaciones de servicio pues es más fácil
saturarte de peticiones, a mi parecer.
> > - usuario y grupo propio y exclusivo para apache
>
> En Windows?!
NT sí; IUSR_NOMBREDELAMAQUINA, generalmente. PostgreSQL también tiene
su usuario y grupo propio cuando se instala ahí.
> > - tal vez esconder la info del server vercion y modulos cargados
> > - tal vez modificar o personalizar los mensajes de error del web
> > server(error 403, 404 etc...)
>
> "Security through obscurity, isn't" [No sacas nada con pintarlo de rosado
> para que no lo reconozcan como elefante por lo gris si te enfrentas a quien
> dispara a cuanta cosa grande se le pone delante... o (peor aun), quien se
> entero de tu "truquito" por algun medio. Por lo demas, /esta/ clase de
> trucos son tan faciles de llevar a cabo y tan "obviamente seguros" (y por
> tanto tan populares) que a lo mas detienen al script kiddie promedio unos
> pocos minutos. Para perspectiva, date una vueltecita por las cosas que
> puede hacer nmap sin demasiado esfuerzo, y consulta por alli por "passive
> fingerprinting"...]
>
Seguridad por oscuridad no es seguridad, pero mientras detenga un
tiempo más al posible victimario, igual sirve. Si voy arrancando de un
sicario que me quiere matar y puedo tirarle sillazos para que
tropiece, puedo escaparme.
> > - instalar modulos de apache que te harian la vida mas bonita como
> > mod_evasive (evita ataques de denegacion de servicio), mod_security
> > etc...
>
> Si no los necesitas...
mod_security es bonito pero a veces se torna complejo de configurar
(sobretodo con varios sitios y varios requerimientos); úsalo con
precaución.
mod_evasive lo he probado y parece bueno, pero evalúa primero el
historial de seguridad.
> > - restriccion de ip o rangos de ip etc..
> > - no permitir la ejecucion de cji's
>
> Esa clase de cosas hay que cortarlas si no las requieres, obvio; si las
> requieres, las requieres...
Intenta no requerirlas a toda costa. Muchas cosas que puedes hacer a
través de un CGI también puedes hacerlas con funciones de PHP como
módulo de apache (si le quitas las funciones peligrosas como popen y
exec, y lo configuras bien...).
Saludos,
--
Rodrigo Fuentealba
