Cloudfare + APNIC = Nuevas DNS

¡Hola a todos!

Hace mucho que no escribo pero de vez en cuando viene bien que se comenten las cosas. Esta vez vamos a probar unas nuevas DNS el cual nos permitirá las siguientes ventajas:

  • No depender de las de google y el análisis de tráfico que suelen realizar.
  • Las de los proveedores generalmente no es que estén muy optimizados.
  • Todos conocemos la buena fama que tiene cloudfare en servicios de seguridad.
  • Los logs en sus servidores serán borrados después de 24 horas.
  • Prometen que sean unas DNS ágiles.
  • Podemos evitar el bloquedo de Webs de ciertos proveedores.

Las nuevas DNS que podemos probar son:

1.1.1.1

1.0.0.1

¿Serán estos la nueva competencia de Google? estoy seguro que sí y sobre todo para aquellos que nos gusta tener un grado más de seguridad.

Está claro que si lo que queremos es evitar ser trackeados la mejor posibilidad para ello es el servicio de VPN que no registre logs.

Un saludo

Habilitando HTTP2

He estado leyendo aquí y allá sobre las diferencias entre el protocolo acutal HTTP/1.1 y HTTP2 y me decidí lanzarme a la aventura para ponerlo en producción.

Actualmente, según he leído, lo tenían en pruebas aunque ya lleva bastante tiempo y la gente lo está pidiendo. Es decir, que lo están poniendo en servicios en producción.

La principal razón de ello es por la velocidad de carga en las webs, lo cual para el SEO viene estupendamente.

Nosotros lo vamos a implantar en un entorno Ubuntu 16.04 + Webmin.

Leer más

Palabras que jamás debemos usar

Este artículo será un poco fuera de lo normal ya que no hablaremos directamente ni de un problema, ni de un software determinado.

En este caso vamos hablar de las palabras que jamás debemos usar a la hora de instalar scripts generalmente del tipo CMS.

Este análisis lo hemos hecho usando la herramienta LogWatch, la cual nos envía un resumen cada semana.

PALABRAS QUE NO DEBEMOS USAR (Variaciones de mayúsculas y minúsculas)

  • mysql
  • manager
  • pma
  • sql
  • phpmyadmin
  • admin
  • administrator
  • database
  • db
  • dbadmin
  • msd
  • myadmin
  • mysql-admin
  • mysql

Debemos recordar que esto es una lista genérica de lo que suelen buscar para intentar explotar algún tipo de vulnerabilidad. Pero lo que si hemos aprendido con ello es:

  • Si podemos evitar el nombre de la aplicación que queremos usar (pongamos de ejemplo phpmyadmin) debemos evitarlo. Ya que suelen buscar variaciones que suelan usar las personas.
  • En el caso de no poder lo ideal es siempre tener algún tipo de protección con contraseña.

Se tiene que pensar en el tema de la seguridad en nuestras aplicaciones para no tener más de un dolor de cabeza.

Un saludo

Cambiar directorio donde guarda los correos PLESK

Hola!

Un cliente nos comentó la posibilidad de poder cambiar el directorio donde guarda los correos PLESK a un nuevo volumen que no le estaba dando uso. Así podría liberar espacio en donde se encontraban las páginas web y sobre todo que se libraría de la escritura en disco.

Para ello hemos tenido que ir a buscar el KB de plesk y lo hemos ejecutado.

El único problema con ello que nos hemos encontrado es que parece ser que a PLESK no le gustan las mayúsculas en los puntos de montaje ya que los detecta siempre en su configuración en minúscula. Por lo tanto debemos tener cuidado con ello si nuestra ruta contiene alguna mayúscula ya que nos podrá dar errores de tipo que no encuentra la ruta o que en panel no os funcione la configuración de los correos.

Un saludo

 

Crear backups con webmin

Introducción

En este manual vamos a trabajar con el panel de control gratuito webmin, el cual tiene una herramienta que nos permite crear backups con webmin. Dicha herramienta nos permite realizar numerosas configuraciones pero yo me centraré en especial en el hecho de borrar los ficheros cada x tiempo.

Para ello el único requisito que debemos tener en cuenta es que debemos crear los directorios con un formato de YYYY-MM-DD y marcar una de las opciones.

Leer más

Configurar WP Security Audit Log

Introducción

Aprenderemos a configurar WP Security Audit Log, un plugin que nos permite registrar los distintos eventos que ocurren dentro de nuestro propio WordPress.

Vamos a plantearlo desde el punto de vista de Seguridad, por lo tanto es posible que deshabilitemos la mayor parte de registros.

Existe la versión de pago con funcionalidades extra, pero nosotros nos centraremos en el apartado sin licencia o gratuito.

Ejemplo del Vistor de Control de Registro - WP Security Audit Log
Ejemplo del Vistor de Control de Registro – WP Security Audit Log

Leer más

Instalar WkhtmltoPDF en Centos 7

Instalar WkhtmltoPDF en Centos 7 de manera fácil

Un cliente nos solicitó instalar esta librería para poder generar PDF a partir de una web HTML o lo que devuelva una web.

Para ello probamos con instalar el librería que nos viene por defecto en el sistema, pero parece ser que requiere la instalación de un sistema de LastX.

Indagando un poco nos hemos dado cuenta de que no hace falta y que hay gente que compila sin esta necesidad.

Pasos a seguir

Instalamos las siguientes fuentes en el sistema:

yum install xorg-x11-fonts-Type1 xorg-x11-fonts-75dpi

Instalamos el paquete necesario en el sistema:

wget http://download.gna.org/wkhtmltopdf/0.12/0.12.2.1/wkhtmltox-0.12.2.1_linux-centos7-amd64.rpm && rpm -Uvh wkhtmltox-0.12.2.1_linux-centos7-amd64.rpm

Ahora solo nos queda realizar una prueba:

wkhtmltopdf http://www.google.com google.pdf

Si no funciona el enlace

Hemos seguido este procedimiento: https://www.tecmint.com/wkhtmltopdf-convert-website-html-page-to-pdf-linux/

Descargamos de 32 bits: wget https://github.com/wkhtmltopdf/wkhtmltopdf/releases/download/0.12.4/wkhtmltox-0.12.4_linux-generic-i386.tar.xz

Descargamos de 64 bits: wget https://github.com/wkhtmltopdf/wkhtmltopdf/releases/download/0.12.4/wkhtmltox-0.12.4_linux-generic-amd64.tar.xz

Descomprimimos la versión de tar.gz, en nuestro caso hemos usado la de 64 bits.

tar -xvf wkhtmltox-0.12.4_linux-generic-i386.tar.xz

Copiamos el ejecutable en /usr/local/bin/wkhtmltopdf y /usr/bin/

Con esto dejaremos funcionando la generación de PDF sin tener que instalar una “X”.

Notas a tener en cuenta

La última versión hoy en día es la 0.12 y dentro de dicha rama hay versiones más actuales, lo que pasa que hemos usado la 0.12.2.1 porque tenía un RPM hecho. Si queremos ver otras versiones podemos acceder a:

http://download.gna.org/wkhtmltopdf/0.12/

Esta info se ha obtenido de:

How To Install wkhtmltopdf In CentOS 7.0

Cambiar varios registros DNS en Cpanel a la vez

Buenas,

Nos hemos encontrado con un cliente que por problemas de SPAM ha tenido que usar otra IP para sacar el correo por ahí.

El problema de la nueva IP es que era “virgen”, es decir:

  • No tenía entrada PTR correctamente configurada.
  • No estaba configurada para que el SPF sea válido en los servidores de correo.

El primer punto lo hicimos y el segundo lo tuvimos que realizar en la SHELL ya que hasta lo que hemos visto no se puede hacer directamente con CPANEL.

Los pasos que hemos seguido son los siguientes:

#Realizar una copia del directorio donde guarda Cpanel los ficheros de DNS.

cp -a /var/named /var/named-backup

# Modificar el registro deseado.

sed -i 's/ip4:xx.xx.xx.xx/+ip4:xx.xx.xx.xx +ip4:yy.yy.yy.yy/g' /var/named/*.db

# Modificar el serial de cada fichero.

find /var/named/*.db -mtime -1 -exec perl -pi -e 'if (/^\s+(\d{10})\s+;\s+serial/i) { my $i = $1+1; s/$1/$i/;}' '{}' \;

# Reiniciar el servicio de nombres.

service named restart

Después de realizar todos estos pasos lo que hicimos fue comprobar la entrada con los dns de Google. Por ejemplo

dig txt dominio.tld @8.8.8.8

Al darnos las entradas deseadas dimos el problema por solventado.

Un saludo

Securizar Mysql / MariadDB

En esta ocasión os traemos algunos consejos para securizar MySQL o MariaDB (Forks en general de Mysql) de forma algo más segura.

# Ejecutar mysql_secure_installation

Este script nos hace pasar por varios pasos:

  1. Cambiar la password de root si procede.
  2. Eliminar las bases de datos de test.
  3. Eliminar el acceso de root desde remoto (direcciones IP externas al servidor).

Es decir que solo con este script que viene en las instalaciones nos permite generar un alto grado de seguridad.

Deshabilitar el histórico de mysql

En el caso de que queramos deshabilitar este log, recordamos que se guarda todo lo realizado en el cliente de mysql, podemos eliminar el contenido o apuntarlo a null para que no guarde nada.

cd /root && ln -s .mysql_history /dev/null

Cambiar el usuario root por otro nombre

Podemos cambiar el usuario por defecto de root por otro usuario que nos convenga. Esto lo hacemos para que no se tenga acceso a través del mismo.

RENAME USER ‘root’@’localhost’ TO ‘foobar’@’localhost’;

FLUSH PRIVILEGES;

Cada base de datos debe tener su usuario/host/permisos

Por temas de seguridad es recomendable seguir los siguientes pasos por cada base de datos:

  1. Crear un usuario por cada base de datos.
  2. Crear el origen desde el cual se va a conectar.
  3. Darle los permisos que va a utilizar.

Securizando PHP a nivel servidor

Introducción

Hoy en día los administradores de sistemas nos solemos centrar mucho en el tema de seguridad. Como es evidente tratamos de cerrar los posibles caminos que puedan venir los ataques para curarnos ante el cliente. Como muchas veces no podemos controlar los scripts/programaciones de cada cliente tenemos que buscar ciertas formas que nos ayuden.

Recordamos que la mayor parte de las intrusiones o defacement en las webs suelen venir por CMS desactualizados. Así que siempre recomendamos que se actualice siempre que se pueda porque suelen tener correcciones de seguridad.

En nuestro caso vamos a trabajar con un poco de seguridad sobre nuestro php a nivel de servidor.

Las normas que vamos a seguir son:

1) Otorgar la menor información posible al atacante.

2) Deshabilitar funciones en PHP que permitan la ejecución de comandos o procesos en el servidor.

Actualizaciones:

27/04/2017: Añadido open_basedir, Securizar Sesiones, Nuevas funciones a deshabilitar.

Leer más