Re: Seguridad en casa y ?que hacemos con lpd?
* [20001108 21:08] [EMAIL PROTECTED] ([EMAIL PROTECTED]) decia: Si, creo que con pppconfig tambien me las preguntaba, pero en realidad yo quería saber si es indispensable que se haga esto, o si se puede evitar sin perjudicar la conexion. Supongo que no debe haber problemas si lo elimino o aumento el intervalo de tiempo... Es que sino llena mucho el log de ppp. Hola si mal no recuerdo eso solo se loguea si tenes activado el debug en el pppd, si no tenes intencion de debuguearlo no actives la opcion, o mejor dicho solo activala cuando realmente necesites la informacion que te brinda. Saludos -- Daniel H. Perez a veces Tango [EMAIL PROTECTED] Fui lo que crei, soy lo que esta pasando (Charly Garcia) Debian GNU/Linux 2.2 (2.2.17) Usuario Reg. N. 85920 GnuPG Public Key 0x98ECB388
Re: Seguridad en casa y ¿que hacemos con lpd?
Si, creo que con pppconfig tambien me las preguntaba, pero en realidad yo quería saber si es indispensable que se haga esto, o si se puede evitar sin perjudicar la conexion. Supongo que no debe haber problemas si lo elimino o aumento el intervalo de tiempo... Es que sino llena mucho el log de ppp. El Tue, Nov 07, 2000 at 10:54:23AM -0300, [EMAIL PROTECTED] dijo: El ppp loguea cada 30 segundos algo así como un acknowledge contra el que está comentado, supongo que debe ser para avisar que todavía está activo en caso de que no se transfieran datos... Es necesario esto? Mira las opciones lcp-echo-interval en /etc/ppp/options -- Ugo Enrico Albarello López de Mesa A proud Debian GNU/Linux 2.2 user http://members.xoom.com/ugo_linux -- Unsubscribe? mail -s unsubscribe [EMAIL PROTECTED] /dev/null
Re: Seguridad en casa y ¿que hacemos con lpd?
Manel: ¿Que utilizas para registrar los intentos de acceso y los escaneos? Otras: (nada que ver con el tema) Cómo hago para cambiar el log del ppp para que vaya a otro file y no al syslog.log? Existe un ppp-connect-errors, pero está vacio. Me fije en el syslog.conf, pero no encuentro nada parecido a ppp o pppd. Hay algún archivo de configuración del ppp donde ver? El ppp loguea cada 30 segundos algo así como un acknowledge contra el que está comentado, supongo que debe ser para avisar que todavía está activo en caso de que no se transfieran datos... Es necesario esto?
Re: Seguridad en casa y ¿que hacemos con lpd?
El Tue, Nov 07, 2000 at 10:54:23AM -0300, [EMAIL PROTECTED] dijo: Manel: ¿Que utilizas para registrar los intentos de acceso y los escaneos? snort es una opción Otras: (nada que ver con el tema) Cómo hago para cambiar el log del ppp para que vaya a otro file y no al syslog.log? Existe un ppp-connect-errors, pero está vacio. Me fije en el syslog.conf, pero no encuentro nada parecido a ppp o pppd. Hay algún archivo de configuración del ppp donde ver? Yo agregué esto a /etc/syslog.conf: local2.*-/var/log/ppp.log y por fin logré que 'plog' trabajara como en slink. El ppp loguea cada 30 segundos algo así como un acknowledge contra el que está comentado, supongo que debe ser para avisar que todavía está activo en caso de que no se transfieran datos... Es necesario esto? Mira las opciones lcp-echo-interval en /etc/ppp/options -- Ugo Enrico Albarello López de Mesa A proud Debian GNU/Linux 2.2 user http://members.xoom.com/ugo_linux
Re: Seguridad en casa y ¿que hacemos con lpd?
Hola David, On Fri, Nov 03, 2000 at 06:38:23PM +0100, Hue-Bond wrote: El jueves 02 de noviembre de 2000 a la(s) 23:15:13 +0100, Manel Marin contaba: cero servicios (cero servicios = cero riesgo) No tienes en cuenta los bugs del núcleo :^). A ver, según http://www.debian.org/security/ Denial of service 07 Jun 1999 (¿12 veces el mismo dia?) Y un bloqueo por spoof a finales del 97 principios de 98 Pero tienes razón también existe el riesgo, el más gordo que recuerdo fué el fallo total de ipchains en ataques con reescritura de cabeceras por fragmentos Recortes de mi chuleta teoria-fragmentos: Los kernel 2.2.10 (y anteriores supongo) tienen un bug que permite saltarse todas las reglas del cortafuegos y acceder a los servicios internos mediante una sofisticada técnica de reescritura de cabeceras mediante fragmentos El bug del kernel 2.2.10 debe enseñarnos a no confiar ciegamente en el cortafuegos, hay que asegurar la máquina todo lo posible, contando con el peor caso posible -una perdida completa de blindaje- El bug del 2.2.10 El 27/Julio/1999 se envió a BUGTRAQ y puedes leer la descripción en ftp://ftp.rustcorp.com/ipchains/ipchains-patch-2.2.desc (en inglés) Esto no afectó a Debian estable... MAS INFO: Security-HOWTO, IPChains-HOWTO. Vale lo añado a la chuleta ;-) Saludos, -- - Manel Marin e-mail: [EMAIL PROTECTED] Linux Powered (Debian 2.2 potato) kernel 2.2.17 Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3 - Mi petición de drivers para Linux es la nº 33126 (Pasate por http://www.libranet.com/petition.html ;-)
Re: Seguridad en casa y ¿que hacemos con lpd?
Hola void, On Fri, Nov 03, 2000 at 09:59:27AM +0100, [EMAIL PROTECTED] wrote: ... Volvemos a lo de siempre , en mi modesta opinión los usuarios ya tienen madre, y no será por documentación... Soy partidario de facilitar la vida en la medida de lo posible a los usuarios novele.. pero... debe pagar el precio toda la comunidad ? :)) ¿Les esta haciendo un favor cuando fomentas falsas sensaciones de seguridad y la casi total despreocupación por lo que su sistema ha instalado, y por lo que hace al arrancar ? Solo recomiendo hacer el riesgo tan pequeño como sea posible que hubieras tenido el paquete corregido al dia siguiente en security.debian.org, un apt-get update apt-get -y upgrade en un cron con las pretinentes líneas en el /etc/sources.list.. deb http://security.debian.org/debian-security potato/updates main \ contrib non-free deb http://security.debian.org/debian-non-US potato/non-US main \ contrib non-free Los usuarios noveles (algunos compañeros de trabajo) no actualizan con apt (el peor caso posible) Entre que alguien, supongamos malvado (peor caso posible) descubre el fallo y se hace público porque algún amiguete se va de la lengua (y esto no es el peor caso posible) ¿cuanto tiempo puede pasar? Cuando el exploit es público la actualización es hiperrápida es correcto, ¿Pero y el tiempo que no fué público? Esto es lo que plantea Jay en su artículo, leelo es bueno Cero lo que se dice cero... Vale lo dejo como: cero servicios, (cero servicios = cero riesgo por culpa de los servicios) Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos preparados ;-) Nunca se está preparado para lo peor, para lo casí peor... Se puede hacer todo lo posible... Es una alternativa para un pc casero, es cierto Para cerrar todos los puertos en Potato puedes hacer: COMO ASEGURAR (CERO SERVICIOS): lsof -ni | grep -v \-# Muestra puertos escuchando update-rc.d -f inetd remove # Desactivo inetd dpkg --remove nfs-common# Desinstalar nfs-common dpkg --remove nfs-kernel-server # Desinstalar nfs-kernel-server update-rc.d -f portmap remove # Desactivo portmap Editar gdm/kdm/xdm para arrancar las X con la opción -nolisten tcp ejemplo (gdm): ---8--- 0=/usr/bin/X11/X vt7 -bpp 16 -nolisten tcp ---8--- telinit 1 # Cambiamos a modo monousuario telinit 2 # Volvemos al runlevel normal activando cambios Me falta el tema de lpr, pero creo que es factible usar el filtro de impresión así, sin necesidad de tener lpr instalado: cat archivo | /etc/magicfilter/... /dev/lp0 Hasta el lunes no lo puedo probar, en casa tengo la impresora averiada :-( En concreto no se que pasará si intentas imprimir dos cosas a la vez... O un paquetito de los muchos existentes para cerrar bajo tutela el kiosco casi a cal y canto con ipchains o netfilter ?? Un cortafuegos es complicarle la vida demasiado a los usuarios caseros (yo llevo dos años complicandomela, pero yo no cuento ;-) Debian es su concpeto es bastante mas espartana que los sombreros :)) Y Debian cada vez mejora más... (la uso desde hamm) ... Lo dicho , un saludo y suerte :)) Gracias por tu interes ;-) Por cierto , busca en freshmeat gibraltar , es una debian modificada y optimizaeda para correr en sistemas que hacen de router con la mayor parte del sistema de archivos en sólo lectura y evidentemente muy capadita de servicios. Gracias otra vez ;-) ;-) Saludos, -- - Manel Marin e-mail: [EMAIL PROTECTED] Linux Powered (Debian 2.2 potato) kernel 2.2.17 Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3 - Mi petición de drivers para Linux es la nº 33126 (Pasate por http://www.libranet.com/petition.html ;-)
Re: Seguridad en casa y ¿que hacemos con lpd?
On Thu, 2 Nov 2000, Manel Marin wrote: Hola a todos, ¿Que opinais de lo que sigue? ¿Me podeis ayudar con los *POR HACER*? S-en-casa: (0.02) (potato) SEGURIDAD: Porque asegurar una instalación Debian en casa Cambios: 0.01 1.11.00 primera versión 0.02 2.11.00 retoques *POR HACER* ¿Que hacemos con el demonio de impresión lpd? ¿Se puede imprimir sin lpr? ¿Quizás usando el filtro y enviando a /dev/lp0 directamente? ¿Hay algo como el endurecedor de seguridad bastille para Debian? PORQUE: Si no instalas ningún servicio expresamente al acabar de instalar Potato tienes 16 servicios activos (más o menos) Si bien es cierto no está por encima de otras distribuciones que están pensadas para instalar en un pc de sobremesa, se supone que éstas si deberian capar servicios, ya que no instalan en algunos caso ni gcc ni librerias de desarrollo, que sigan quitando cosas utiles , o simplemnte curiosas :)) Si conoces poco de Linux y lo instalas todo tendrás muchos más... Los servicios de Debian son muy seguros, y las configuraciones por defecto bastante seguras, pero aún así existe un riesgo... Bueno , pero proteger a los usuarios de sus decisiones es complicado , desconozco si el problema que planteas se da en todos los escenarios, pero evidentemente si alguien elige una instalación de servidor es porque se supone que quiere dar servicios. no ?. ¿ Pasa esto que nos cuentas con la instalación en la que no se elige esta opción?. Si es asi seria planteable que debconfig dijera algo , en otro caso... RIESGO DE SEGURIDAD DE SERVICIOS ABIERTOS: Riesgo es la posibilidad de un daño Antes o después alguien puede descubrir un fallo de seguridad en alguno de los servicios que ni sabes que tienes abiertos Antes o después alguien creará un exploit de ese fallo Antes o después alguien escaneará la red buscando sistemas que comprometer Cualquiera que esté conectado a Internet de forma permanente y registre los intentos de acceso (yo lo hago) sabe que hay docenas de escaneos buscando sistemas con fallos de seguridad cada día Si tienes una conexión ADSL el riesgo es _MUCHO_ mayor, la tendencia de los últimos ataques de denegación de servicio distribuidos es troyanizar usuarios con ADSL para emplearlos como amplificador y creo recordar que precisamente los Linux eran de los más afectados Volvemos a lo de siempre , en mi modesta opinión los usuarios ya tienen madre, y no será por documentación... Soy partidario de facilitar la vida en la medida de lo posible a los usuarios novele.. pero... debe pagar el precio toda la comunidad ? :)) ¿Les esta haciendo un favor cuando fomentas falsas sensaciones de seguridad y la casi total despreocupación por lo que su sistema ha instalado, y por lo que hace al arrancar ? Quién me conozca sabrá bien que este no es un comentario sectario , ni progurú, pero nos guste o no debian esta lejos de ser una distribución típica de dale a ok, básicamente lo es , pero en algunos momentos es interesante leer lo que aceptas,, muchos mensajes relacionados con la seguridad de algunos paquetes y las alternativas aparecen de esta forma durante la instalación. UNA RELACIÓN DE FALLOS DE SEGURIDAD: Debian en mi opinión es una de las distribuciones más seguras, aún así estos son fallos de seguridad en Debian, pero solo de los servicios activos por defecto, que son los que afectarían a usuarios caseros: (si me equivoco me lo decís) 15.7.2000 rpc.statd -remote root exploit- (Detectado *antes* de liberar Potato estable) 9.1.2000 lpr -root exploit- (Este requería de una interacción con sendmail) 14.8.1999 cfingerd-root exploit- (No afectaba al paquete deb, solo a los fuentes) Creo ademas que no se instala por defecto... Si el fallo de rpc.statd se hubiera descubierto dos meses más tarde (con Potato liberado) hubiera sido un desastre... que hubieras tenido el paquete corregido al dia siguiente en security.debian.org, un apt-get update apt-get -y upgrade en un cron con las pretinentes líneas en el /etc/sources.list.. deb http://security.debian.org/debian-security potato/updates main \ contrib non-free deb http://security.debian.org/debian-non-US potato/non-US main \ contrib non-free De momento hemos estado seguros... Espero que desde hoy duermas mas tranquilo desde hoy :PP POLÍTICA CERO SERVICIOS: Mi opinión es que para usuarios caseros la mejor política de seguridad es cero servicios (cero servicios = cero riesgo) Cero lo que se dice cero... Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos preparados ;-) Nunca se está preparado para lo peor, para lo casí peor... POLÍTICA DE DEBIAN: Potato no te avisa del riesgo (creo recordar), ni te permite
Re: Seguridad en casa y ¿que hacemos con lpd?
El jueves 02 de noviembre de 2000 a la(s) 23:15:13 +0100, Manel Marin contaba: cero servicios (cero servicios = cero riesgo) No tienes en cuenta los bugs del núcleo :^). MAS INFO: Security-HOWTO, IPChains-HOWTO. [EMAIL PROTECTED] -- David Serrano [EMAIL PROTECTED] - Linux Registered User #87069 pgpUhbgymAIwt.pgp Description: PGP signature
Seguridad en casa y ¿que hacemos con lpd?
Hola a todos, ¿Que opinais de lo que sigue? ¿Me podeis ayudar con los *POR HACER*? S-en-casa: (0.02) (potato) SEGURIDAD: Porque asegurar una instalación Debian en casa Cambios: 0.01 1.11.00 primera versión 0.02 2.11.00 retoques *POR HACER* ¿Que hacemos con el demonio de impresión lpd? ¿Se puede imprimir sin lpr? ¿Quizás usando el filtro y enviando a /dev/lp0 directamente? ¿Hay algo como el endurecedor de seguridad bastille para Debian? PORQUE: Si no instalas ningún servicio expresamente al acabar de instalar Potato tienes 16 servicios activos (más o menos) Si conoces poco de Linux y lo instalas todo tendrás muchos más... Los servicios de Debian son muy seguros, y las configuraciones por defecto bastante seguras, pero aún así existe un riesgo... RIESGO DE SEGURIDAD DE SERVICIOS ABIERTOS: Riesgo es la posibilidad de un daño Antes o después alguien puede descubrir un fallo de seguridad en alguno de los servicios que ni sabes que tienes abiertos Antes o después alguien creará un exploit de ese fallo Antes o después alguien escaneará la red buscando sistemas que comprometer Cualquiera que esté conectado a Internet de forma permanente y registre los intentos de acceso (yo lo hago) sabe que hay docenas de escaneos buscando sistemas con fallos de seguridad cada día Si tienes una conexión ADSL el riesgo es _MUCHO_ mayor, la tendencia de los últimos ataques de denegación de servicio distribuidos es troyanizar usuarios con ADSL para emplearlos como amplificador y creo recordar que precisamente los Linux eran de los más afectados UNA RELACIÓN DE FALLOS DE SEGURIDAD: Debian en mi opinión es una de las distribuciones más seguras, aún así estos son fallos de seguridad en Debian, pero solo de los servicios activos por defecto, que son los que afectarían a usuarios caseros: (si me equivoco me lo decís) 15.7.2000 rpc.statd -remote root exploit- (Detectado *antes* de liberar Potato estable) 9.1.2000 lpr -root exploit- (Este requería de una interacción con sendmail) 14.8.1999 cfingerd -root exploit- (No afectaba al paquete deb, solo a los fuentes) Si el fallo de rpc.statd se hubiera descubierto dos meses más tarde (con Potato liberado) hubiera sido un desastre... De momento hemos estado seguros... POLÍTICA CERO SERVICIOS: Mi opinión es que para usuarios caseros la mejor política de seguridad es cero servicios (cero servicios = cero riesgo) Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos preparados ;-) POLÍTICA DE DEBIAN: Potato no te avisa del riesgo (creo recordar), ni te permite desactivar todos los servicios durante la instalación De momento tu decides si aceptas el riesgo o tomas algunas medidas preventivas, que es lo que yo recomiendo Creo que las distribuciones Linux deberían dar la opción de desactivar TODOS los servicios durante la instalación, no debiendo ser difícil volver a activarlos COMO ASEGURAR (CERO SERVICIOS): Mira mis chuletas (miniGuias): S-puertos Mirar los servicios que tienes activos S-inetd.confCerrar inetd S-rpc Cerrar el portmap S-X-potato Cerrar el puerto 6000 de las X ¿Que hacemos con el demonio de impresión lpd? lpr corre como root y no se puede restringir a un interface local LPRng no corre como root pero tampoco se puede restringir (lo he reportado como un bug) cupsys se puede restringir en interface pero esta verde... :-( ALTERNATIVAS: Si decides tener servicios activos, ya no tienes un PC casero, tienes un servidor y tienes que profundizar más en la seguridad... Mira mis chuletas (miniGuias): S-tcp-wrapper Restricción de acceso por IP _tcp-wrapper_ S-interface Restricción de acceso por interface (en desarrollo) Cortafuegos MAS INFO: El articulo de Jay Why do I have to tighten security on my system? (why can't I just patch) http://www.securityportal.com/topnews/tighten2720.html Puedes encontrar más artículos de seguridad de Jay en http://www.bastille-linux.org/jay/ -Bastille es un endurecedor de seguridad para RedHat y Mandrake- ¿Hay algo como el endurecedor de seguridad bastille para Debian? Saludos, -- - Manel Marin e-mail: [EMAIL PROTECTED] Linux Powered (Debian 2.2 potato) kernel 2.2.17 Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3 - Mi petición de drivers para Linux es la nº 33126 (Pasate por http://www.libranet.com/petition.html ;-)
