Currently viewing the category: "Seguridad"

La configuración básica de HAProxy permite añadir el listado de usuarios que tendrá acceso al dashboard para ver el estado del servicio, los nodos del backend, estadísticas, etc.

Un ejemplo de configuración básico de usuarios para HAProxy:  vi /etc/haproxy/haproxy.cfg

Siguiendo la documentación propia de HAProxy para la versión 1.5.X, sección 3.4 «Userlists»:
http://www.haproxy.org/download/1.5/doc/configuration.txt

Ahora vamos a cifrar el anterior password con SHA-512.

Ahora cambiamos la configuración del haproxy.cfg fácilmente con:

Por último, no olvidar hacer un reload del servicio HAProxy para aplicar los cambios.

Anteriormente vimos como realizar un backup o clonar un disco/dispositivo con “dd” al completo en Linux. Ahora toca hablar sobre como recuperar ese backup .img del disco, también con la herramienta dd de Linux.

Arrancamos el servidor donde queremos recuperar el backup de la imagen con la Live CD Knoppix. Lo haremos con las opciones cuando nos pida el boot: knoppix64 2 lang=es

Cuando tengamos la Knoppix en marcha, hay que hacer un par de cosas importantes, arrancar servidor SSH, establecer contraseña al usuario root y buscar la IP para conectarnos con SSH..

Ahora desde el servidor donde tenemos almacenado el backup .img del disco, lo enviamos al servidor con la Live CD Knoppix en marcha, hay que tener claro el dispositivo (/dev/sda) de destino correcto para no cometer errores graves.

Ya podemos iniciar la restauración del backup.

Nota: Recordad que podéis ver progreso de transferencia de datos con el comando “dd” de Linux.

Por último, si volvemos al servidor con la Knoppix, veremos como ahora si hay particiones creadas en el dispositivo /dev/sda

 

En algunos casos nos interesará tener una imagen exacta de cierto servicio/servidor para su posterior recuperación en caso de desastre total.

Vamos a ver como con la herramienta dd de Linux podemos hacer una imagen de un disco/dispositivo. Cabe destacar que si el filesystem ocupa 5G y el disco es de 10G, con el dd vamos a copiar todo el disco/dispositivo, incluso el espacio no ocupado que realmente serán zeros.

Ya tenemos una imagen exacta del disco para su recuperación en caso de necesidad. Si revisamos el tamaño en el servidor de destino donde hemos enviado el .img veremos su tamaño.

Si quieres ver el progreso de la transferencia con dd lee este artículo.

Por último, un consejo importante. Lo mas correcto seria lanzar el dd con el sistema de ficheros desmontado y sin servicios en marcha, ya que con servidores con muchos movimientos seguramente habría problemas. Para ello arrancar el servidor al que deseamos realizar el backup con una Live CD tipo Knoppix.

En una entrada anterior hablamos de como cifrar disco duro con Luks en Debian para proteger tus datos. En ese ejemplo simple hay que montar manualmente la partición cifrada del disco y no se monta con el arranque del sistema operativo.

Lo que vamos a mostrar ahora es como hacer que al arrancar el sistema operativo Debian, nos pida la contraseña de cifrado de la partición para que se monte directamente.

– La parte inicial de particionar, cifrar y formatear es lo mismo que se habló en la otra entrada.

– Buscamos el UUID de la partición cifrada.

– Añadimos una nueva línea en:  vi /etc/crypttab

– Añadimos otra línea nueva en: vi /etc/fstab

– Creamos la carpeta donde se hará el punto de montaje del disco de backups cifrado.

– Sino queremos reiniciar el sistema operativo, aunque estaría bien verificar que funciona el montaje al arrancar el sistema operativo, podemos forzarlo nosotros.

Recordad que al arrancar el sistema operativo nos pedirá la contraseña de cifrado de la partición /dev/sdb1, justo al iniciar el boot.

Eliminar reglas iptables puede hacerse cambiando el -A o -I por el -D indicando todos los parámetros iguales como los añadimos, y eso a veces no es fácil o ágil enganchar la combinación exacta.

En estos casos es mejor eliminar reglas iptables por su posición, sin importar el contenido y tener que copiarlo. Para ello tenemos que mostrar reglas iptables en Linux con numeración de posición –line-numbers. Partimos del siguiente ejemplo:

Añadimos una regla en la posición 4, ya que la red cambia de un /24 a un /16. Eso significa que la regla 4 pasará a la posición 5 y succesivamente.

Eliminamos la regla que ya no hace falta, la del /24 ahora en la posición 5.

 

Ya hemos visto la gran versatilidad que nos ofrecen las reglas iptables en nuestro firewalls, proxys, servidores, etc. Estos son algunos ejemplos que hemos hablado en este blog.

Cuando tenemos reglas iptables las tenemos que guardar en algún script/archivo para cargarlas de nuevo si reiniciamos el servidor/firewall, ya que no son persistentes a reinicios y deben cargarse de nuevo.

Para ello eso necesario tener un guardar y restaurar de las reglas iptables. Suponemos un firewall simple con control de acceso al servicio SSH. Es un ejemplo sencillo pero igualmente aplicable a grandes firewalls con muchas reglas.

– Primero guardamos las reglas iptables en un archivo, la ubicación a gusto del consumidor.

Ahora cada vez que hagamos cambios de reglas iptables y sea correctas deberemos ejecutar el anterior comando para guardarlas.

– Para restaurar las reglas iptables en el inicio del firewall basta con configurar lo siguiente: vi /etc/rc.local

Por último es habitual hacer cambios de reglas iptables y antes de guardarlas esperamos que todo funcione bien y en caso de pérdida de acceso remoto bastaría con reiniciar el servidor. No obstante si las reglas son correctas y nos olvidamos de guardarlas, en caso de reinicio repentino perderíamos esas reglas que no guardamos.

Por ejemplo, se podría programar un cron nocturno diario para intentar minimizar estos despistes y que se guarden todas las reglas iptables.

Verificamos la ejecución del cron.

 

En algunos casos donde tengamos un Linux como firewall de una red, puede tener una cantidad enorme de reglas iptables las cuales puede complicar un poco su interpretación. También puede que por cuestión de orden nos interese añadir comentarios, igual como en la programación de un script bash. Veamos algunos ejemplos.

– Comentario con iptables indicando el Inicio y Fin de ciertos bloques de reglas, por ejemplo control de SSH. Es importante remarcar que la primera y última regla que usamos para loso comentarios no tengan «target» con el «-j«, de este modo no se realiza ninguna acción y se sigue evaluando el resto de reglas iptables.

– Añadir comentarios en las propias reglas iptables que realizan acciones.

 

En anteriores entradas hemos hablado de RAID software con mdadm, sobre estas temáticas.

Pero un RAID no sirve de nada sino sabemos cuando ha quedado degradado por el fallo de alguno de los discos que lo componen.

Hay muchas maneras de detectarlo, con scripts, checks con Nagios, Zabbix u otras herramientas. No obstante lo mas sencillo y básico es que el propio servidor nos notifique vía e-mail que el RAID está degradado y hay que revisarlo.

Primero de todo, hay que tener un mailer (MTA) para poder hacer los envíos, en esta entrada explicamos como configurar el paquete sSMTP para envíos de correo:  vi /etc/ssmtp/ssmtp.conf

Después de configurar correctamente el sSMTP, procedemos a indicar al gestor del RAID software (mdadm) a quien debe enviar las notificaciones referentes al RAID:  vi /etc/mdadm/mdadm.conf

Hacer backups es una práctica obligatoria, pero hacer backups y sacarlos fuera de la empresa en caso de desastre total también es recomendable para salvaguardar los datos de la empresa y clientes.

No obstante sacar datos fuera de las instalaciones o CPD de una empresa hay que hacerlo con ciertas normas de seguridad, una de ellas e imprescindible es cifrar el contenido del disco duro externo o del dispositivo que usemos para ello.

Para ello utilizaremos Luks y un disco duro externo que vamos a cifrar y que hará las funciones de dispositivo de backup externo.

– Formateamos el disco duro externo: /dev/sdb

– Instalamos dependencias y paqueteria necesaria.

– Ciframos la partición única de datos que hay en el disco sdb.

– Desciframos/abrimos la partición de datos para poder dar formato.

– Formateamos la partición descifrada con ext4 y que contendrá todos los datos de backup.

– Verificamos que podemos montar el disco duro y podemos añadir contenido dentro.

– Desmontamos y cerramos la partición cifrada. Ya estará todo para sacar fuera de la empresa los datos de forma segura.

 

En otra entrada hablamos como cambiar o añadir contraseñas de cifrado Luks en disco difrado de Debian.

Lo que vamos a explicar a continuación es como montar la partición que está cifrada y en volúmenes LVM en una instalación de nuestro PC con Debian. Útil para acceder al contenido de los datos con una Live CD en caso de problemas o desastre.

Vamos a utilizar la Live CD Knoppix, arrancando con: knoppix 2 lang=es

– Buscamos la partición que contiene lo datos, por el tamaño será /dev/sda5

– Preparamos el punto de montaje e intentamos montar la partición de datos, veremos que no podemos porqué está cifrada.

– Abrimos la partición cifrada con la/s contraseña/s de descifrado.

– Buscamos todos los grupos de volúmenes LVM disponibles.

– A pesar que tengamos los volúmenes LVM visibles con lvdisplay no son accesibles. Observar el «NOT available» en «LV Status«.

– Activamos los volúmenes LVM del grupo que hemos encontrado con vgscan.

– Ahora ya son visibles y accesibles los volúmenes LVM del grupo lvm-vg.

– Verificamos que los datos son accesibles.

Llegados a este punto, ya podemos acceder a todo el contenido de nuestro ordenador Debian con la partición cifrada y volúmenes LVM. Una vez terminadas las tareas de recuperación, podemos proceder a desmontar todo.

– Desmontamos volumen LVM de datos.

– Desactivamos los volúmenes LVM del grupo lvm-vg.

– Podemos cerrar la partición cifrada del disco y damos por finalizado el desmontaje completo.