Exaquo
Un Blog para compartir, ayudar, opinar, aprender y enseñar.

El software de aseguramiento de integridad de los datos Tripwire, monitorea la consistencia de archivos y directorios de sistema críticos identificando todos los cambios hechos a ellos. Esto lo hace mediante un método automatizado de verificación que se ejecuta a intervalos regulares. Si Tripwire detecta que uno de los archivos monitoreados ha sido cambiado, lo notifica al administrador del sistema vía email. Debido a que Tripwire puede fácilmente identificar los archivos que son modificados, agregados o eliminados, se agiliza el proceso de recuperación luego de una entrada forzada pues mantiene el número de archivos que deben ser restaurados a un mínimo. Estas habilidades hacen de Tripwire una herramienta excelente para los administradores de sistemas que requieren tanto de facilidades para detección de intrusos como de control de daños para sus servidores.

Tripwire compara los archivos y directorios con una base de datos de la ubicación de archivos, las fechas en que han sido modificados y otros datos. Tripwire genera la base tomando una instantánea. Esta base de datos contiene fundamentos — los cuales son instantáneas de archivos y directorios específicos en momentos particulares. Los contenidos de la base de datos de fundamentos deberían ser generados antes de que el sistema esté en riesgo, esto es antes de que se conecte a la red. Después de crear la base de datos de fundamentos, Tripwire compara la base de datos actual con la base de datos de fundamentos e informa de cualquier modificación, adición o eliminación.

Tripwire puede ser una bendición para detectar intrusos antes de que los notes de otro modo. Dado que cambian un montón de ficheros en el resultado del sistema, tienes que tener cuidado con lo que es la actividad del cracker y lo que es tu propia actividad.  Si necesita más información sobre Tripwire, un buen lugar para comenzar es el sitio web del proyecto localizado en http://www.tripwire.com.

Instalación de Tripwire:

Mi instalación la hice en Ubuntu 8.04, a través del Gestor de Paquetes Synaptic, primero lo buscan y luego habilitan la casilla para instalación, en el trascurso de la instalación les ira haciendo algunas preguntas:

Definir las claves de Tripwire:

Tripwire utiliza dos claves (que pueden ser palabras u oraciones) para almacenar su información. Una de ellas, la “site key” o “clave del sitio”, se emplea para encriptar los archivos de configuración y de las políticas. La otra – la “local key” o “clave local”, se usa para encriptar la información referida al estado de los archivos del sistema que se monitorean. Necesitas estas dos claves para las tareas de administración de Tripwire.Ingresar y reingresar tu clave de sitio:

Ingresar y reingresar tu clave local:

Finalmente:

Después de haber instalado tienes que completar los siguientes pasos para inicializar el software.

Personalizar Tripwire

1. Modificar el archivo de configuración /etc/tripwire/twcfg.txt

Tuve que modificar mi archivo configuración twcfg.txt porque con la configuración por defecto no podía enviar e-mails. Por lo general para trabajar con Tripwire debe ser como root, hazlo con mucho cuidado.

IMPORTANTE: Siempre que modifiques cualquier de los archivos de configuración y/o políticas, debes compilarlo con las órdenes que entregaré más adelante.

Abajo aparece una lista con las variables configurables de usuario requeridas en el archivo /etc/tripwire/twcfg.txt:

• POLFILE — Especifica la ubicación del archivo de políticas; /etc/tripwire/tw.pol es el valor por defecto.
• DBFILE — Especifica la ubicación del archivo de la base de datos; /var/lib/tripwire /$(HOSTNAME).twd es el valor por defecto, pero puedes guardarla en otro lado.
• REPORTFILE — Especifica la ubicación de los archivos de informes. Por defecto este valor está colocado a /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr.
• SITEKEYFILE — Especifica la ubicación del archivo de la llave del sitio; /etc/tripwire/site.key es el valor por defecto.
• LOCALKEYFILE — Especifica la ubicación del archivo de la llave local; /etc/tripwire/$(HOSTNAME)-local.key es el valor por defecto.

IMPORTANTE: Si modificas el archivo de configuración y no define las variables anteriores, el archivo de configuración no será válido. Si esto ocurre, cuando ejecute el comando tripwire indicará un error y saldrá de la pantalla.

El resto de las variables configurables en el archivo de ejemplo /etc/tripwire/twcfg.txt son opcionales. Estas incluyen lo siguiente:

• EDITOR — Especifica el editor de texto llamado por Tripwire. El valor predetermindo es /bin/vi.
• LATEPROMPTING — Si se coloca a verdadero, esta variable configura Tripwire para que espere tanto como sea posible antes de preguntar al usuario por una contraseña, minimizando así el tiempo que la contraseña permanece en memoria. El valor por defecto es falso.
• LOOSEDIRECTORYCHECKING — Si es verdadero, esta variable configura Tripwire para que informe sobre los cambios que se han realizado en un archivo de un directorio y no sobre los cambios propios del directorio. Esto limita la redundancia en los informes de Tripwire. El valor predeterminado es falso.
• SYSLOGREPORTING — Si es verdadero, esta variable configura Tripwire para informe al demonio syslog con la facilidad del “usuario”. El nivel de informe está colocado a aviso. Vea la página del manula de syslogd para más información. El valor predeterminado es falso.
• MAILNOVIOLATIONS — Si es verdadero, esta variable configura Tripwire para que mande un informe en forma de e-mail a intervalos regulares sin tener en cuenta si se han producido violaciones. El valor predeterminado es verdadero.
• EMAILREPORTLEVEL — Especifica el nivel de detalles para los informes enviados a través de email. Los valores válidos para esta variable son 0 a 4. El valor por defecto es 3.
• REPORTLEVEL — Especifica el nivel de detalles para los informes generados por el comando twprint. Este valor se puede cambiar en la línea de comandos, pero el valor predeterminado es 3.
• MAILMETHOD — Especifica qué protocolo de correo debe usar Tripwire. Los valores válidos son SMTP and SENDMAIL. El valor predeterminado es SENDMAIL.
• MAILPROGRAM — Especifica cúal programa de correo usará Tripwire. El valor por defecto es /usr/sbin/sendmail -oi -t.

Me causó varios problemas mi configuración twcfg.txt porque mi proveedor no deja enviar un e-mail sino es a través de sus servidores, por ello les voy a dejar dos ejemplos que se utilizan para enviar un e-mail:

Ejemplo con SENDMAIL:

ROOT          =/usr/sbin
POLFILE       =/etc/tripwire/tw.pol
DBFILE        =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE    =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE   =/etc/tripwire/site.key
LOCALKEYFILE  =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR        =/usr/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL   =3
SYSLOGREPORTING =true
MAILMETHOD     =SENDMAIL
SYSLOGREPORTING     =false
MAILPROGRAM     =/usr/lib/sendmail -oi -t

Ejemplo con SMTP:

ROOT          =/usr/sbin
POLFILE       =/etc/tripwire/tw.pol
DBFILE        =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE    =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE   =/etc/tripwire/site.key
LOCALKEYFILE  =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR        =/usr/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL   =3
SYSLOGREPORTING =true
MAILMETHOD    =SMTP
SMTPHOST      =mail.telefonica.pe
SMTPPORT      =25

IMPORTANTE: Nuevamente, Tripwire no reconocerá los cambios realizados hasta que el archivo de configuración esté correctamente firmado y convertido o compilado a /etc/tripwire/tw.cfg con el comando twadmin.

Usa el siguiente comando para regenerar el archivo de configuración desde el archivo de texto (/etc/tripwire/twcfg.txt), siendo root:

# /usr/sbin/twadmin –create-cfgfile -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

Te pedirá la contraseña de sitio, lo que saldrá es:

Please enter your site passphrase:
Wrote configuration file: /etc/tripwire/tw.cfg

2. Modificar el archivo de políticas /etc/tripwire/twpol.txt

La configuración de los archivos que van a ser monitoreados por Tripwire se mantiene en un gran archivo conocido como “Archivo de Políticas”. Su manipulación es algo tediosa dada su extensión. Tripwire viene con un archivo que sirve de “plantilla” para ser modificado. Este archivo es: /etc/tripwire/twpol.txt.

Tú puedes modificarlo directamente con un editor de texto (aunque le aconsejo que guarde una copia sin modificar del mismo). Como podrán darse cuenta el archivo contiene muchas opciones que no comprendamos en un principio, por ello les recomiendo documentarse al respecto porque cada quien tiene sus políticas y saber cuáles archivos son monitoreados.

Un cambio común a este archivo de política es convertir en comentario cualquier archivo que no existe en tu sistema para que no genere un mensaje de error de “file not found” en los informes Tripwire. Por ejemplo, si su sistema no tiene un archivo /etc/smb.conf, le puede indicar a Tripwire que no intente buscarlo a través de la conversión de su línea en comentario en twpol.txt con el caracter numeral # como en el ejemplo:

#     /etc/smb.conf                     -> $(SEC_CONFIG) ;

Si borraste el archivo twpol.txt, en el directorio /etc/tripwire/ (opción recomendada por algunos con el inconveniente de tener que volver a generar el archivo, lo mejor es esconderlo en un directorio y con permisos de sólo lectura por el root), puede regenerarlo digitando como root el comando siguiente:

# twadmin –print-polfile > /etc/tripwire/twpol.txt

Cuando el archivo de políticas contiene todo lo que pretendemos monitorear, es menester “instalarlo”. En realidad Tripwire usa una versión compilada y encriptada de este archivo, que se almacena en /etc/tripwire/tw.pol. Para generarlo (y regenerarlo cuantas veces se necesite), usar el siguiente comando como root:

# twadmin -m P /etc/tripwire/twpol.txt

Te pedirá la contraseña de sitio, luego, el archivo twpol.txt estará encriptado y firmado como tw.pol.

3.- Construir la base de datos Tripwire

Una vez configurado e instalados los archivo de configuración y políticas, Tripwire necesita recolectar la información actual de los archivos que debe monitorear. Dicha información se almacena en una base de datos especial, entonces como root digita el siguiente comando (como root):

# /usr/sbin/tripwire –init

La base de datos se almacenará según la configuración entregada en twcfg.txt en la sentencia (como ejemlo):

DBFILE        =/etc/tripwire/$(HOSTNAME).twd

Verificación del Sistema de Archivos

Ahora que Tripwire está correctamente configurado con su base de datos, es el momento de verificar la integridad de los archivos supervisados . Esto se consigue con el comando:

$ sudo tripwire -m c

Este comando se usará cada vez que deseamos saber que nuestro sistema no ha sido alterado.

También el resultado lo podemos dirigir a algun directorio (por ejemplo al directorio /home/usuario/):

$ sudo tripwire -m c > /home/usuario/verificacion.txt

Si por algún motivo algunos de los archivos monitoreados son modificados (por ejemplo, por una actualización en el software) entonces debemos reconstruir la base de datos como se vió en el paso anterior, a fin de que no aparezcan discrepancias con el estado actual del Sistema de Archivos en las próximas verificaciones.

Si deseamos dejar de monitorear ciertos archivos o iniciar el monitoreo de otros, entonces debemos configurar el archivo de políticas (twpol.txt) como se vió anteriormente, y reinstalarlo. Después, se volverá a generar la base de datos, este proceso puede ser muy tedioso cuando hay muchos archivos por monitorear.

Para  enviarlo por e-mail, utiliza el siguiente comando:

$ /usr/sbin/tripwire –test –email your@email.address

Por ejemplo: /usr/sbin/tripwire –test –email var77@gmail.com

Por razones de seguridad, debes borrar o guardar en un lugar seguro las copias del archivo de texto twcfg.txt y twpol.txt, después de ejecutar el script de instalación o regenerar un archivo de configuración firmado. También puede cambiar los permisos para que no se pueda leer.

Saludos

El archivo .htaccess contiene una serie de directivas para el servidor Apache, siendo un archivo de texto oculto. En Linux cuando el nombre de un archivo está precedido por un punto (.)  quiere decir que es un archivo oculto.

Cuando alguien visita nuestra página web solicitando un archivo al servidor, este busca desde el directorio raíz hasta el subdirectorio que contiene el archivo solicitado el archivo .htaccess y tiene en cuenta estas reglas antes de proceder con la petición, es decir, se aplican las normas especificadas al directorio en el que se encuentre .htaccess y los directorios por debajo de él. En otras palabras los archivos .htaccess permiten modificar la conducta del servidor web de los planes UNIX (Apache Web Server).

Cada directorio y subdirectorio puede tener su propio archivo .htaccess, con sus propias directrices. Por ejemplo, en el caso de Wordpress, el directorio wp-admin puede tener su archivo .htaccess el cual puede ser sustancialmente diferente del que tiene el subdirectorio wp-content.

Ejemplos de usos para .htaccess pueden ser restringir el acceso a determinados archivos, impedir el listado de los archivos de un directorio, redireccionar, personalizar las páginas de error o impedir el acceso a determinadas IPs o rangos de IP.

Para proteger el archivo wp-config.php, haremos lo siguiente:

1.- Abriremos cualquier procesador de texto, al final será grabado como archivo de solo texto: htaccess.txt

2.- Para nuestro caso incluiremos la protección:

# PROTEGER wpconfig.php
<files wp-config.php>
order deny,allow
deny from all
</files>

3.- Podemos agregarle una directriz más para proteger el mismo archivo .htaccess:

# PROTEGER htaccess
<files .htaccess>
order deny,allow
deny from all
</files>

4.- Lo guardamos como archivo solamente de texto: htacces.txt.

5.- Con cualquier programa FTP lo subimos al directorio raíz de nuestro blog wordpress en modo ASCII.

6.- Finalmente, ya en el servidor, le cambiamos el nombre de htaccess.txt a .htacces.

El archivos .htaccess pueden tener muchas directrices, existen varios blogs que escriben de aquello, pero debes tener en cuenta que no es bueno hacerlo demasiado extenso.

Eso es todo, saludos

Para los usuarios de Wordpress 2.5 en adelante existe la opción de activar SECRET_KEY del fichero wp-config.php, para darle una mayor seguridad a tu blog.

En que consiste esta opción, por lo, general cuando instalamos Wordpress dejamos los valores de la clave secreta con la opción predeterminada (define(’AUTH_KEY’, ‘put your unique phrase here’)) o se utilizan palabras conocidas y con ellos estaremos dejando una puerta abierta para que un atacante pueda mediante una cookie falsa hacerse con un acceso de administrador de nuestro blog.

Añadiendo estas claves en el archivo mencionado, estamos encriptando nuestra cookie que se envía por internet cuando escribimos nuestro nombre de usuario y contraseña para entrar al panel de control de nuestro blog, con lo que hace más complejas y difícil de descifrar nuestra cookie.

Para cambiar las claves AUTH_KEY, SECURE_AUTH_KEY y LOGGED_IN_KEY, recomiendo utilizar algún generador aleatorio de contraseñas. Al menos yo encontrado dos que nos entrega Worpress.org:

http://api.wordpress.org/secret-key/1.0/ ( la cual entrega solamente una clave).
http://api.wordpress.org/secret-key/1.1/ (la cual entrega las cuatro claves y la cual recomiendo)

Entonces seguiremos los siguiente pasos:

1.- Realiza una copia de seguridad del archivo wp-config.php

2.- Abrimos el archivo wp-config.php y encontraremos lo siguiente:

3.- Vamos a la dirección http://api.wordpress.org/secret-key/1.1/ la cual entregará las claves requeridas, por ejemplo:

define(’AUTH_KEY’,        ‘K#^C[~e5ORe;#&m(YKcb@:df .  .  .  g8{9′);
define(’SECURE_AUTH_KEY’, ‘0&b?jn(`5N*%&@u=/&b .  .  . UC}t’);
define(’LOGGED_IN_KEY’,   ‘kp!_X~->mC^p5g-CK^|X~ .  .  .  JIw/’);
define(’NONCE_KEY’,       ‘`N`I%#xfsf<{m.T7M1uk?wT|  .  .  .  c>ft’);

4.- Las copiamos en el archivo wp-config.php, quedándonos de la siguiente manera:

5.- Gravamos los cambios y luego a través de algún programa FTP, realizamos el cambio de archivo wp-config.php.

Ahora ya tendrán más seguridad en su blog.

Saludos

Hace algunos días borre unos archivos, los cuales pasan automáticamente a la Papelera. Cuando quise vaciarla no pude hacerlo en su totalidad porque existen algunas carpetas o archivos en los cuales no tengo el permiso necesario.

Para poder borrarlos deben ir a a carpeta del usurio respectivo con el nautilus (Navegador de archivos) a:

/home/usuario/.local/share/Trash

Como ejemplo:

/home/cgutierrez/.local/share/Trash

Cuando se encuentre ahí pueden borrar todo y eso solucionará el “problemilla”

A modo de alcance, si deseas borra la Papelera del root, puedes utilizar la siguiente orden desde la consola:

sudo rm -fR /root/.Trash

Saludos