Seguridad en nuestro receptores linux

††LUCIFER†† · 27 Oct 2012

Creo que una parte importante cuando adquirimos un deco en este caso linux, es la SEGURIDAD, para evitar o por lo menos intentar ponerlo lo mas dificil posible, el acceso a nuestro receptor, o en caso que hubieran podido entrar, pues poder ver que lo hallan hecho, es una cosa que esta un poco olvidada, pero tambien es importante tenerla en cuenta, realmente con estos consejos no vas a evitar al 100% esto, pero por lo menos reduciras el numero de porcentaje de riesgo, ya que esta a la orden del dia, el robar lineas de sharing, etc.. etc..

Para ello voy a dar unos consejillos practicos que como dije no lo van a evitar 100% pero por lo menos reduciremos algo el riesgo:

1) Cambiar todas las pass por defecto que lleve el receptor

2) En caso de sharing limitar una linea a una ip o a un host

3) Si hacemos sharing externo no poner los puertos mas usuales o que vienen por defecto en las emus, y limitar el puerto que pongamos por ejemplo utilizando iptables-netfilter a las ip y host con quien estemos haciendo sharing.

MANUAL IPTABLES RECEPTORES SH4

Pues cuando intercambiamos nuestras lineas..., pues a veces la persona con la que hemos compartido, pues resulta que pueda ser de dudosa reputacion, o que cuando terminamos de compartir con el y borramos su linea, pues el sigue manteniendola etc....saliendonos intento de conexiones, etc...

Una manera de bloquear la ip, host, de esas personas es utilizando como ya es sabido con iptables y netfilter, aunque muchas imagenes actuales para nuestros decos sh4 y en concreto gm990, no llevan iptables, y ya no compilan con netfilter.....

Pues en este post vamos a tratar de ponerlo todo nosotros de una manera manual, para ello vamos a realizar lo siguiente:

a) introducir iptables y crear enlaces:

DESCARGA IPTABLES

una vez descargado lo vamos a introducir en la carpeta que deseemos de nuestro receptor y le damos permiso 755..

En mi caso lo introduzco en:

root/spark/etc/var/sbin

A continuacion vamos a crear enlaces simbolicos necesarios en el autorun.sh para el funcionamiento correcto de iptables al reiniciar y que luego nos funcionen sus comandos:

Para ello vamos a modificar el autorun.sh de nuestro receptor:

a.1) Lo abrimos y observamos en su cabezera:

Código:

#!/bin/sh# prepare lib

Código:

[COLOR=#000000][FONT=Verdana]#############################GROUPNAME=sparkAPPBASEDIR=/root/$GROUPNAMEHALMODULESDIR=$APPBASEDIR/modulesAPPMODULESDIR=$APPBASEDIRUSRLIBDIR=$APPBASEDIR/libUSRSCRIPTDIR=$APPBASEDIR/etc[/FONT][/COLOR]

Esto nos viene a decir que:

la direccion de nuestro deco /root/spark/etc es igual a si ponemos USRSCRPTDIR, por lo tanto como vimos que habiamos introducido los iptables en /root/spark/etc/var/sbin pues nosotros añadiriamos en el autorun.sh lo siguiente:

ln -s $USRSCRIPTDIR/var/sbin/iptables-multi /bin/iptables
ln -s $USRSCRIPTDIR/var/sbin/iptables-multi /bin/iptables-restore
ln -s $USRSCRIPTDIR/var/sbin/iptables-multi /bin/iptables-save
ln -s $USRSCRIPTDIR/var/sbin/iptables-multi /bin/iptables-xml

Con esto ya habriamos creado los enlaces simbolicos al binario iptables-multi, para asi nos funcionen todas sus funciones...

a.2) A continuacion queremos que al reiniciar se nos cree un archivo relaciondo con iptables, por si queremos guardar reglas del iptables, y lo vamos a llamar firewall.conf, pues para ello en el archivo autorun.sh añadiremos esta linea:

ln -sf $USRSCRIPTDIR/var/sbin/iptables /etc/init.d/iptables

esto nos crea un enlace simbolico en etc/init.d del script llamado iptables, para que funcione en el reinicio, el script es el siguiente, y esta añadido en el archivo que os puse en descarga:

Código:

#!/bin/sh## chkconfig: 2345 20 20#

Código:

[COLOR=#000000][FONT=Verdana]start() {    echo Starting firewall: iptables.    iptables-restore < /etc/firewall.conf}save() {    iptables-save > /etc/firewall.conf}[/FONT][/COLOR]
[COLOR=#000000][FONT=Verdana]stop() {    echo Stopping firewall: iptables.    save}[/FONT][/COLOR]
[COLOR=#000000][FONT=Verdana]case "$1" in start) start RETVAL=$? ;; stop) stop RETVAL=$? ;; save) save RETVAL=$? ;; *) echo $"Usage: $0 {start|save|stop}" exit 1 ;;esac[/FONT][/COLOR]

b) Una vez hemos ya introducido el iptables, necesitaremos netfilter, que en muchas imagenes ya no viene compilado con el kernel, asi que vamos a meterlo manualmente, en primer lugar vamos a descargar los modulos netfilter:

DESCARGA NETFILTER KERNEL SH4

y lo introducimos en: root/spark/modules y le damos permisos 755

c) A continuacion reiniciamos el receptor.

d) vamos a utilizar dos comandos basicos para bloquear el host maldito

e) Comprobamos por ejemplo, para ver que el funcionamiento es correcto, podemos poner, por consola:

iptables -L y si todo esta bien saldra lo siguiente:

http://img40.**********.us/img40/4589/19377869.png

f) A continuacion vamos a bloquear el host maldito que es: lucifer69.zapto.org

Para ello por consola ponemos:

iptables -A INPUT -s lucifer69.zapto.org -j DROP

Que hacemos con esto:

-A----> creamos la regla

que regla:

Descartamos (para ello se utiliza DROP al final), todo el trafico que nos entra, -s -->para indicar de donde nos entra-->nos entra de lucifer69.zapto.org

De esta manera todas las peticiones de ese host pues las descartariamos y ya podriamos estar tranquilos

En caso que quisieramos guardar esta regla ya que al reinciar pues se pierde, pues utilizariamos:

iptables-save >/etc/firewall.conf

firewall.conf-->seria el archivo que se nos crea en el script que pusimos en etc/init.d

y para restaurar las reglas:

iptables-restor < /etc/firewall.conf

4) Cuando compartimos por sharing no hacerlo con cualquiera, ser un poco cuidadosos y solo compartir con gente fiable.

5) Ver que puertos tenemos abiertos en nuestro receptor para asi saber nuestra vulnerabilidad, por ejemplo lo podemos saber poniendo por telnet el comando:

Código:

netstat -tul

6) hacer una copia del archivo

/etc/password que es donde se guardan las contraseñas del receptor y comprobar cada cierto tiempo que sigue siendo el mismo.

7) Activar en el vsftpd la creacion del vsftpd.log, para ello vamos a /etc/vsftpd.config y poneis:

# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/vsftpd.log--->o la carpeta donde queramos que se cree
#

Asi de vez en cuando podeis ver el log y ver que ips se estan conectando:

Código:

Mon Oct  8 10:03:18 2012 [pid 1386] CONNECT: Client "192.168.1.34"
Mon Oct  8 10:03:18 2012 [pid 1385] [root] OK LOGIN: Client "192.168.1.34"
Mon Oct  8 10:04:01 2012 [pid 1387] [root] OK DOWNLOAD: Client "192.168.1.34", "/var/log/vsftpd.log", 142 bytes, 3.44Kbyte/sec
Mon Oct  8 10:30:25 2012 [pid 1387] [root] OK DOWNLOAD: Client "192.168.1.34", "/etc/vsftpd.conf", 4116 bytes, 174.16Kbyte/sec

8) Comprobar nuestras vulnerabilidades en nuestros puertos:

en este caso con nmap en ubuntu escaneado con el comando:

Código:

nmap -sSU -O -p- -v --osscan-guess host_amigo

de esta manera me aseguro de escanear todos los puertos y no solo los de por defecto y me arroja este log:

root@gogy-Aspire-5920G:~# nmap -sSU -O -p- -v --osscan-guess host_amigo

Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-13 16:27 CEST
Initiating Ping Scan at 16:27
Scanning xxxxxxxxxxx [4 ports]
Completed Ping Scan at 16:27, 0.06s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 16:27
Completed Parallel DNS resolution of 1 host. at 16:27, 0.08s elapsed
Initiating SYN Stealth Scan at 16:27
Scanning xxxxxxxx) [65535 ports]
Discovered open port 23/tcp on xxxxxxxxxxxx
Discovered open port 21/tcp on xxxxxxxxxxxx
Discovered open port 80/tcp on xxxxxxxxxxx
Discovered open port 22/tcp on xxxxxxxxxxxxx
Increasing send delay for xxxxxxxx from 0 to 5 due to 449 out of 1495 dropped probes since last increase.
SYN Stealth Scan Timing: About 3.09% done; ETC: 16:44 (0:16:12 remaining)
SYN Stealth Scan Timing: About 11.58% done; ETC: 16:36 (0:07:46 remaining)
SYN Stealth Scan Timing: About 17.57% done; ETC: 16:36 (0:07:07 remaining)
Discovered open port 14015/tcp on xxxxxxxxxxx
SYN Stealth Scan Timing: About 25.78% done; ETC: 16:35 (0:05:48 remaining)
SYN Stealth Scan Timing: About 34.26% done; ETC: 16:34 (0:04:50 remaining)
Discovered open port 30005/tcp on xxxxxxxxxxx
SYN Stealth Scan Timing: About 42.76% done; ETC: 16:34 (0:04:02 remaining)
SYN Stealth Scan Timing: About 48.94% done; ETC: 16:34 (0:03:40 remaining)
Discovered open port 34000/tcp on xxxxxxxxx
SYN Stealth Scan Timing: About 57.44% done; ETC: 16:34 (0:02:59 remaining)
SYN Stealth Scan Timing: About 65.92% done; ETC: 16:34 (0:02:20 remaining)
SYN Stealth Scan Timing: About 74.43% done; ETC: 16:34 (0:01:43 remaining)
SYN Stealth Scan Timing: About 80.60% done; ETC: 16:34 (0:01:20 remaining)
Discovered open port 34001/tcp on xxxxxxxxxxx
Discovered open port 44401/tcp on xxxxxxxx
SYN Stealth Scan Timing: About 89.10% done; ETC: 16:34 (0:00:44 remaining)
Completed SYN Stealth Scan at 16:34, 400.40s elapsed (65535 total ports)

aparecen los puertos abiertos y señalados en negritas puertos seguramente utilizados para sharing..

a partir de ahi pues seria comprobar vulnerabilidades para esos puertos....o limitarlos a una ip o un host como dijimos en el punto 3 con iptables.

Pues estos 8 puntos serian unas nociones basicas por lo menos para ponerlo algo mas dificil..

Las imagenes actuales la mayoria no llevan iptables y menos netfilter, pues aquellos que hacen MOD o imagenes para decos linux, ya podrian empezar a compilarlas con ellas.

Seguridad en nuestro receptores linux

††LUCIFER††

Temas similares