Publicado por modprobe en 10Marzo, 2008
Siempre me gusta tener activado SSH pero es peligroso en maquinas expuestas a internet debido a los ataques de fuerza de bruta, por esto agregue una cadena a iptables(8) que limita el número de intentos a SSH desde una IP, además de registrar en el log del kernel los intentos fallidos.
#--Crea una cadena SSH-fal
/sbin/iptables -N SSH-fal
#--Una IP solo puede intentar 3 veces cada 100 segundos, los intentos fallidos van al log del kernel
/sbin/iptables -A SSH-fal -p tcp --dport 22 -m state --state NEW -m recent --set
--name SSH
/sbin/iptables -A SSH-fal -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 100 --hitcount 2 --rttl --name SSH -j LOG --log-prefix "IPTABLES> ssh intento fallido"
/sbin/iptables -A SSH-fal -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 100 --hitcount 3 --rttl --name SSH -j DROP
#--Carga las reglas definidas en SSH-fal
/sbin/iptables -A INPUT -j SSH-fal
Publicado en Blog, GNU/Linux | Etiquetado: firewall, iptables, linux, openssh, redes, seguridad, ssh | Deja un Comentario »
Publicado por modprobe en 2Marzo, 2008
Después de que varias personas me han consultado sobre cómo compilar el kernel, aqui está como lo compilo yo, las instrucciones no son muy explícitas porque sólo son mis notas. Esta forma de compilar el kernel la he usado siempre después de probar varias formas ésta es la que más me ha convencido y siempre me ha funcionado.
LINUX KERNEL
-----------------------------
se copia el archivo config que esta en /boot
se renombra el archivo como .config
hacer un ln -s en /usr/src/linux al directorio del kernel
en /usr/src/linux/Makefile:4
poner identificador en EXTRAVERION
2.6.17-2.6.24.3
en /usr/src/linux/fs/splice.c
cambiar
if (unlikely(!base))
break;
por
if (unlikely(!access_ok(VERIFY_READ, base, len)))
break;
==================================================
----RPMs-------------------
make mrproper!!!!!!!!!!
make oldconfig
make menuconfig
make all
make modules
make modules_install
make install
-------DEBIANS----------
make mrproper
make oldconfig
make menuconfig
make-kpkg clean
make-kpkg --initrd kernel_image kernel_headers
dpkg -i <kernel>.deb
dpkg -i <kernel_headers>.deb
Publicado en Blog, GNU/Linux | Etiquetado: compilar, debian, fedora, kernel, linux, redhat, ubuntu | Deja un Comentario »
Publicado por modprobe en 11Febrero, 2008
Una vulnerabilidad que según afecta desde el 2.6.17 al 2.6.24.1 me ha hecho reflexionar sobre calidad en software y full-disclosure, aunque supuestamente se hizó saber a algunos cuantos de esta vulnerabilidad antes de hacerse pública no deja de ser muy peligrosa.
Lo gravísimo de esta vulnerabilidad radica en que permite a un usuario común convertirse en root en menos de un minuto.
¿Así o más fácil?
Supuestamente la vulnerabilidad está en vmsplice.
http://www.securityfocus.com/bid/27704
La probe en fedora 7 con SELinux enforcing y * hard core 0 en limits.conf en el kernel 2.6.22.6-custom-24-09-2007 en una 686 y el exploit funcionó a la perfección, depués en el mismo sistema con 2.6.23.14-64.fc7 funcionó en dos de seis ocaciones. Para estas pruebas compile el exploit en el mismo kernel que lo probé.
Después ejecuté el exploit que previamente había compilado en el 2.6.22.6-custom-24-09-2007 sobre el 2.6.23.14-64.fc7 y el exploit sigue funcionando a la perfección.
Ya con 2.6.23.15-80.fc7 parece que esta vulnerabilidad ha quedado solucionada.
Algo que es de reconcer de la comunidad de software libre es lo rápido que ha actuado en esta ocasión y otras similares.
¿Y todo para qué? ¿Y todo para qué? Intocable
Publicado en Blog, GNU/Linux | Etiquetado: calidad software, fedora, full disclosure, kernel, linux, seguridad, vmsplice, y todo para que | Deja un Comentario »
