mar 18

Autenticación en Apache (y II): digest y con mySQL

Escrito por Josemaría 2 comentarios »
Leído 311 veces

Continuamos hoy con otros dos métodos de autenticación en Apache. El primero que vamos a ver recupera los problemas de gestión de usuarios y contraseñas pero soluciona el problema de la transferencia de contraseñas en claro sin necesidad de usar SSL. Consiste en usar la autenticación mediante digest. El procedimiento, como veréis, es muy similar al visto el otro día con la autenticación básica pero cambiando algunas de las directivas y usando la utilidad htdigest en lugar de htpassword para crear el fichero de contraseñas. El módulo de autenticación necesario suele venir con Apache pero no habilitado por defecto. Para activarlo usamos la utilidad a2enmod y, a continuación reiniciamos el servidor Apache:

$ sudo a2enmod auth_digest $sudo /etc/init.d/apache2 restart

Luego incluimos una sección como esta en el fichero de configuración de nuestro Virtual Host:

<Directory "/var/www/miweb/privado"> Order deny,allow AuthType Digest AuthName "dominio" AuthUserFile "/etc/claves/digest.txt" <Limit GET POST> Require valid-user </Limit> </Directory>

Como vemos, es muy similar a la configuración necesaria en la autenticación básica. Sólo dos notas: el fichero donde se dejan las contraseñas se indicaba con la directiva AuthDigestFile hasta la versión 2.2 de apache. Ahora, como veis en el ejemplo, es AuthUserFile. Y dos: la directiva AuthName que en la autenticación básica se usaba para mostrar un mensaje en la ventana que pide el usuario y contraseña, ahora se usa también para identificar un nombre de dominio (realm) que debe de coincidir con el que aparezca después en el fichero de contraseñas. Dicho esto, vamos a generar dicho fichero con la utilidad htdigest:

# htdigest -c /etc/claves/digest.txt dominio josemaria Adding password for josemaria in realm dominio. New password: Re-type new password:

Al igual que ocurría con htpassword, la opción -c (create) sólo debemos de usarla al crear el fichero con el primer usuario. Luego añadiremos los restantes usuarios prescindiendo de ella. A continuación vemos el fichero que se genera después de añadir un segundo usuario:

josemaria:dominio:8d6af4e11e38ee8b51bb775895e11e0f gemma:dominio:dbd98f4294e2a49f62a486ec070b9b8c

El último método que vamos a ver usa una base de datos de mySQL como repositorio de contraseñas. Esto nos permitirá preparar de forma fácil unas páginas para gestionarlas por personal no experto o, incluso, permitir al propio usuario final que haga cambios por si mismo, crear algún método de recuperación automático por email, etc. Esto, combinado con un cifrado SSL, nos proporciona un método cómodo, flexible y suficientemente seguro para la mayoría de los casos. Lo primero que debemos de hacer es instalar el módulo que nos proporciona este modelo de autenticación, activarlo y reiniciar nuestro apache:

$ sudo apt-get install libapache2-mod-auth-mysql $sudo a2enmod auth_mysql $sudo /etc/init.d/apache2 restart

A continuación necesitamos crear una base de datos adecuada en el servidor mysql. Los únicos campos imprescindibles son los dos correspondientes al usuario y contraseña, tal y como se muestran en la siguiente imagen. El resto, a nuestro gusto y dependiendo de si planeamos hacer alguna página para gestionarlos y las funcionalidades que queremos que tenga (nombre completo, dirección de email, etc.)

base de datos para autenticación con Apache

Necesitaremos, además, un usuario de mySQL con acceso a estas tablas para que Apache pueda usarlo. Con concederle privilegios de lectura (SELECT) nos basta:

usuario para la autenticación

Añadimos un par de registros a nuestra base de datos para hacer pruebas:

usuarios para las pruebas de acceso

Y, por último, editamos la sección correspondiente en la configuración de nuestro Virtual Host y pedimos a apache que haga un reload de la misma:

<Directory "/var/www/miweb/privado"> AuthType Basic AuthName "Zona Privada" AuthBasicAuthoritative Off AuthUserFile /dev/null AuthMYSQL on AuthMySQL_Authoritative on AuthMySQL_DB httpdauthmysql Auth_MySQL_Host localhost Auth_MySQL_User apacheauth Auth_MySQL_Password 4pache3Sql AuthMySQL_Password_Table usuarios AuthMySQL_Username_Field login AuthMySQL_Password_Field pwd AuthMySQL_Empty_Passwords off AuthMySQL_Encryption_Types Plaintext Require valid-user </Directory>

El significado de los campos a personalizar para nuestra configuración es fácilmente distinguible:

AuthMySQL_DB y Auth_MySQL_Host determinan los nombres de la base de datos y el servidor donde esta reside, que usaremos para la autenticación de usuarios.
Auth_MySQL_User y Auth_MySQL_Password son los datos del usuario que apache usará para leer de la base de datos anterior.
AuthMySQL_Password_Table, AuthMySQL_Username_Field y AuthMySQL_Password_Field describen, respectivamente, la tabla donde se guardan las credenciales de los usuarios con permiso de acceso y los campos que usaremos para almacenar sus usuarios y contraseñas.

El campo Auth_MySQL_Encryption_Types, por último, nos permite definir la forma en que la contraseña se guarda en nuestra base de datos y admite múltiples formas. Tal y como está en el ejemplo anterior, indicamos que la contraseña se guardará en texto plano. Si queremos hacerlo un poco más serio y no guardar la contraseña así podríamos, por ejemplo, almacenar un hash de la misma. Existen diversos métodos para esto, pero lo más sencillo es variar el valor de este campo por lo siguiente:

AuthMySQL_Encryption_Types Crypt

Esto nos permitirá usar las mismas firmas generadas por la utilidad htpasswd que vimos aquí o, en general, las creadas a partir de la llamada a la función crypt(). Copiamos el hash al campo pwd de la base de datos antes generada, volvemos a hacer un reload a nuestro apache y listo.

Compártelo:

herramientas, howto´s, networking, seguridad

mar 13

Autenticación en Apache: básica y PAM

Escrito por Josemaría 1 comentario »
Leído 412 veces

El servidor web Apache puede acompañarse de distintos módulos para proporcionar diferentes modelos de autenticación. Hoy vamos a echarle un vistazo a la configuración básica de dos de los más utilizados y sencillotes. Vamos allá.

La primera forma que veremos es la más simple. Usamos para ello el módulo de autenticación básica que viene instalada “de serie” con cualquier Apache. La configuración que tenemos que añadir en el fichero de definición del Virtual Host a proteger podría ser algo así:

<Directory "/var/www/miweb/privado"> Order deny,allow AuthUserFile "/etc/apache2/claves/passwd.txt" AuthName "Palabra de paso" AuthType Basic <Limit GET POST> Require valid-user </Limit> </Directory>

La información a personalizar está marcada en negritas. En Directory escribimos el directorio a proteger, que puede ser el raíz de nuestro Virtual Host o un directorio interior a este. En AuthUserFile ponemos el fichero que guardará la información de usuarios y contraseñas que debería de estar, como en este ejemplo, en un directorio que no sea visitable desde nuestro Apache. Ahora comentaremos la forma de generarlo. Por último, en AutnName personalizamos el mensaje que aparecerá en la ventana del navegador que nos pedirá la contraseña. Existen otras directivas adicionales o modificaciones a estas útiles para personalizar el acceso: AuthGroupFile, Require user, Require group, etc. Ya sabéis: Google es vuestro amigo

El fichero de contraseñas se genera mediante la utilidad htpasswd. Su sintaxis es bien sencilla. Para añadir un nuevo usuario al fichero operamos así:

# htpasswd /etc/apache2/claves/passwd.txt carolina New password: Re-type new password: Adding password for user carolina

Para crear el fichero de contraseñas con la introducción del primer usuario tenemos que añadir la opción -c (create) al comando anterior. Si por error la seguimos usando al incorporar nuevos usuarios borraremos todos los anteriores, así que cuidado con esto. Las contraseñas, como podemos ver a continuación, no se guardan en claro. Lo que se almacena es el resultado de aplicar una función hash.

josemaria:rOUetcAKYaliE carolina:hmO6V4bM8KLdw alberto:9RjyKKYK.xyhk

Para denegar el acceso a algún usuario basta con que borremos la línea correspondiente al mismo. No es necesario que le pidamos a Apache que vuelva a leer su configuración (/etc/init.d/apache2 reload) cada vez que hagamos algún cambio en este fichero de contraseñas, pero si lo es después de hacer los cambios en el fichero de definición del Virtual Host.

autenticación en apache La principal ventaja de este método es su sencillez. Sus inconvenientes: lo incómodo de delegar la generación de nuevos usuarios en alguien que no sea un administrador de sistemas o de hacer un front-end para que sea el propio usuario quien cambie su contraseña. Y, por supuesto, que dichas contraseñas viajan en claro a través de la red. Si queremos evitar esto último podemos crear una instancia Apache con SSL.

El segundo método que vamos a tocar usa PAM, el propio sistema de autenticación de la máquina donde está instalado nuestro servidor de Apache. Si ya tenemos alguna herramienta de gestión de usuarios y contraseñas en la misma este sistema nos ahora el engorro de tener que generar otro tipo de usuario. En caso contrario no ganamos mucho en este sentido y seguimos teniendo el problema de que las contraseñas viajan en claro con el agravante adicional de que ahora se trata de usuarios de la máquina… así que ya sabéis: o configuráis ssl o usáis el truco que comentamos el otro día por aquí para deshabilitar la conexión remota.

Usaremos para ello el módulo mod_auth_pam y lo primero que tenemos que hacer es instalarlo:

# sudo apt-get install libapache2-mod-auth-pam

En el fichero de configuración del Virtual Host tendríamos que incluir algo así:

<Directory "/var/www/privado"> AuthType Basic AuthName "Palabra de paso" AuthPAM_Enabled On AuthBasicAuthoritative Off AuthUserFile /dev/null Require user josemaria gemma fernando araceli </code>


Si en este caso la directiva usada fuese Require valid-user se permitiría el acceso a cualquier usuario con cuenta en la máquina. Ah, y no olvides hacer un reload de apache después de este cambio.
Sólo nos quedan un par de pasos. Primero, añadir el usuario www-data (el que usa apache) al grupo shadow para que pueda verificar las contraseñas:
usermod -a -G shadow www-data
Y dos, hacer un enlace como el que sigue. Ignoro la causa, pero el motivo de que esto sea necesario es debido a que apache (en los binarios de Debian y Ubuntu, al menos) pretende leer del archivo /etc/pam.d/http mientras que el módulo de autenticación ha creado el archvo /etc/pam.d/apache2. El módulo auth_pam hace años que no está soportado e imagino que esto tiene algo que ver, pero no lo se a ciencia cierta. Simplemente lo leí por ahí...
ln -s /etc/pam.d/apache2 /etc/pam.d/httpd
Y con esto está todo listo. No lo he probado nunca pero también he leído que la autenticación se hace contra el directorio activo si Apache está instalado en una máquina windows configurada en un dominio. Existe también un módulo para autenticar contra un ldap (mod_auth_ldap) que si que he probado y que ya veremos otro día  
Compártelo:


		
			herramientas, howto´s, networking, seguridad


	
	    
	  dic 21
	  
        Sobreviviendo a Twitter
		Escrito por Josemaría 2 comentarios »
Leído 88 veces
		
			 No recuerdo (y tal vez no haya precedentes) la última vez que un servicio de Internet ha creado en torno suyo un ecosistema tan diverso de aplicaciones y servicios como está ocurriendo con Twitter. Existen clientes para todos los gustos y plataformas, utilidades, juegos, chorradas de todo tipo…  Tal vez el repositorio más completo sea el de oneforty pero basta con que hagas una sencilla búsqueda en google para encontrarte con miles de listas de supuestas “imprescindibles”.
 Pero que el uso de twitter corre también el riesgo de convertirse en un verdadero coñazo es algo más que evidente. Por un lado empiezan a proliferar bots y herramientas que permiten la automatización de seguimientos y respuestas automáticas (twittermass, twollow, assetize, socialtoo, hummingbird2…) haciendo un uso “legítimo” del sistema. En segundo lugar, la seguridad no ha sido nunca una de las prioridades de este servicio (¿podríamos relacionar de forma directa el éxito de algo en este mundillo con su escaso interés por la seguridad?) y ya no es raro recibir algún mensaje de spam procedente, incluso, de la cuenta de algún conocido real y a través de mensajes directos a través de los múltiples agujeros que se le encuentran de forma periódica. En tercer lugar, pero no menos importante, contamos con la práctica común de tantos y tantos “amigos”, conocidos y otro tipo de contactos que por diversas razones queremos mantener en nuestra listas pero que no siempre atinan (atinamos) con, digamos, una adecuada frecuencia (e interés) en la actualización de sus estados.
 Desgraciadamente al otro lado, el que nos permitiría controlar de alguna forma esta actividad, sigue habiendo pocas cosas interesantes. Pero haberlas, haylas. Una de ellas nos la proporciona Twitstat, un sencillo cliente para móviles que dispone de una utilidad que permite identificar a los bots que nos siguen en función de sus hábitos y suscripciones. Para usarlo no necesitas crear una cuenta adicional y puedes hacer login con tu identificador y contraseña de twitter. En este mismo sentido contamos con twittfilter que hace una valoración individual de nuestros contactos y, mucho más práctico para los que cuentan con cientos de seguidores, tweetblocker que los ordena en cinco categorías (A, B, C, D y F ¿qué diablos les ocurre con la letra E?) en función de las probabilidades de que sean bots o spammers y bloquearlos a todos con unos pocos golpes de ratón.

En otro segmento tenemos a muuter una utilidad que nos permite “silenciar” a un contacto durante un determinado periodo de tiempo (todos nos ponemos pesaditos con algún tema de vez en cuando ¿verdad?) o filtrar todos los twitts que recibimos en función de determinadas palabras clave. Esta segunda funcionalidad está aún en fase beta y no funciona del todo correctamente, pero promete. Lo realmente bonito de muuter es que se trata de un filtro totalmente independiente y que nos va a permitir seguir usando nuestros clientes favoritos y poder disfrutar de estos filtros. Por cierto: que no se me enfade nadie que el pantallazo de aquí abajo es puramente experimental  

Pero en este terreno, si hay una utilidad que brilla con luz propia es Filltr, un cliente web (prometen un futuro cliente de escritorio) que a través de una inteligente combinación de prioridades directamente aplicadas a los usuarios y filtros aplicados en base a listas blancas y listas negras te permite personalizar de forma perfecta que es lo que quieres ver (y de quién) en tu timeline de twitter.

Imagino que tendremos que ver muchas más cosas en este campo en los próximos tiempos (Stoptweet, por ejemplo, es un servicio que aún no he podido probar por estar en fase beta bajo invitación). El planteamiento del servicio es, en cualquier caso, tan frágil e inseguro que mucho me temo que en el futuro se convertirá en algo similar al correo electrónico: lo usaremos por sus ventajas a pesar de sus incontables (e irresolubles) inconvenientes…
Compártelo:
		
		
			herramientas, spam

			
		
	
	
	    
	  dic 08
	  
        WPA Cracker
		Escrito por Josemaría Sin comentarios »
Leído 797 veces
		
			 Un cluster de 400 ordenadores para auditar la seguridad de una clave WPA en 10 minutos por 34$ (17$ si sólo queremos usar la mitad) mediante un ataque por fuerza bruta, la única posibilidad factible por el momento contra este sistema. Todo lo que necesitas, aparte de pagarles, es el ESSID de la red que quieres auditar, una captura de tráfico lo suficientemente grande (unos 10 Mbytes, indican en su FAQ) y una dirección de correo donde enviarte los resultados. Eso si, recuerda que se trata de una auditoria y que nadie te garantiza un resultado positivo.

Compártelo:
		
		
			herramientas, seguridad, wireless

			
		
	
	
	
	 Hacía ya tiempo que había empezado a recibirlos, pero este es de lo mejorcito y me han llegado más de 10 copias en las últimas 12 horas así que debe de haber campaña. Cuidadín...


  
(29 de octubre de 2009 | 2 comentarios)

	 Las tres últimas versiones de Windows (Vista, 2008 Server y Windows 7) son vulnerables a través del sistema de compartición de archivos e impresoras en red (SMB 2.0). Hablan de ello en Security by Default y en 48 bits y desde este último aseguran que, al contrario de lo que anuncia el descubridor de la vulnerabilidad, sería posible la ejecución remota de código. Mucha atención a los puertos 445 y 139 hasta que haya parche...

ACTUALIZACIÓN: En Invasión Tux han publicado un Escaner-exploit para esta vulnerabilidad.  
(8 de septiembre de 2009 | 0 comentarios)

	 Esta mañana, después de revisar el buzón de correo, he enviado dos muestras a VirusTotal, el magnífico servicio de análisis de Hispasec. Se trataba claramente de archivos infectados, pero quería verificar lo que ya imaginaba: uno de ellos es detectado por el 40% de los antivirus y el otro sólo por el 25%. Al final mucha palabrería y mucha nube pero este segundo se les habría colado... ¿Cambiará alguna vez el sistema de análisis de los antivirus tradicionales o, definitivamente, los virus ya han ganado la partida? Así que ya sabéis: menos antivirus y más sentido común. Los que lo tengamos, claro.  
(2 de junio de 2009 | 2 comentarios)
    
	  may 27
	  
        Antivirus para escritorios GNU/Linux: Bitdefender
		Escrito por Josemaría 1 comentario »
Leído 496 veces
		
			 Bitdefender es un antivirus dentro de lo que podríamos considerar “gama media” según las valoraciones que se hacen por ahí. El principal defecto que nos encontramos en la versión que ofrecen para Linux es que no se trata de un antivirus en tiempo real que analice los ficheros que abre nuestro sistema sino que sólo actúa bajo demanda. No es, por tanto, una solución adecuada salvo para quien ya tenga una elevada conciencia acerca de la seguridad informática y estos son los que, precisamente, apenas necesitan un antivirus. Mucho menos (al menos por el momento) en Linux.
La descarga del software se hace desde aquí. Existen versiones en formato .deb, .rpm e .ipk. Asimismo ofrecen versiones para 32 y 64 bits y con GUI o sin el. Yo he probado tanto la versión rpm sobre un Fedora 11 con KDE 4 como la deb sobre Ubuntu 9.04 y ambas funcionan perfectamente y se integran relativamente bien con el escritorio. Una vez instalado (basta con descargar el paquete adecuado, agregarle el atributo de ejecutable, lanzarlo con privilegios de root desde un terminal y seguir las instrucciones) el icono para lanzar el gui aparece dentro de la categoría de aplicaciones del sistema o puede lllamarse en línea con el comando bdgui. La licencia es de evaluación por sólo 30 días pero puede extenderse a un año solicitando un nuevo código por correo electrónico desde aquí.

Por lo demás y como puede apreciarse, el entorno es bien sencillo: una configuración (muy básica), actualización de firmas (en modo manual siempre y sin opción de programarlas, otro defecto grave para usarlo en el escritorio de un usuario común) y una tercera opción para arrancar el scanner. Este último es relativamente pesado pero en una máquina normalita (mi equipo tiene ya más de tres años) funciona de forma desahogada:

Las pruebas de detección que he realizado son bastante correctas. En los últimos años he descuidado bastante mi colección de virus (si, si, colecciono virus informáticos ¿es grave?) pero con los datos que tengo no he encontrado ninguna pifia importante. Y, por supuesto, detecta las cuatro modalidades del test EICAR. Por defecto no toma acciones sobre los archivos infectados y es el usuario quien tiene la potestad de desinfectarlos, borrarlos, ponerlos en cuarentena o no hacer nada.

 En cuanto a la integración con el escritorio, el botón de “Hide” minimiza el programa en el “System Tray” y, aunque la integración no es perfecta en KDE 4.x, funciona de forma correcta tanto en este como en Gnome. Los idiomas disponibles son sólo cuatro: inglés, frances, portugues y rumano. Un detalle muy vistoso es que tiene una opción para colocar un “widget” sobre el escritorio (file drop zone, lo llaman en la configuración) sobre el cual podemos arrastrar archivos o carpetas para ser analizados y que funciona perfectamente en ambos escritorios. Por último, es posible añadir extensiones para integrarlo con nautilus en Gnome o con konqueror (pero sólo en KDE 3.x) aunque estas han de ser compiladas manualmente por el usuario. No tiene opciones de integración con ningún cliente de correo electrónico.
La desinstalación se hace ejecutando el mismo instalador con el argumento --uninstall
En definitiva, y según mi opinión, no es un producto que sirva para instalarlo de forma corporativa en los escritorios Linux de una empresa u organismo en la que sus usuarios no tengan una formación adecuada en materia de seguridad. El hecho de que no funcione en tiempo real es el principal escollo (ya que la actualización de firmas puede solventarse programando la ejecución en línea del comando bdscan --update con privilegios de root). Afortunadamente tampoco parece hacer falta. Aún.
Compártelo:
		
		
			escritorios, virus y antivirus

			
		
	
	
		Entradas anteriores »


Publicidad y recursos

  

	
	
	Sobre mi
			
Curriculum
		
				Entradas recientes
		
				Cancionero (y XXXIX)
				Instalando Pandora FMS en Debian
				Rollitos de pollo rellenos
				Cine en julio’10
				Crackeando WEP con Backtrack: comparte Wi-Fi durante el verano
				Asus UL30A con Fedora 13, Ubuntu 10.4 y Backtrack 4
				Chuletillas (y XXV) – El touchpad del Acer Aspire One y Fedora 13
				7 enlaces 7 (y LXIV)
				Chuletillas (y XXIV) – Conectar Spotify y Facebook en Linux
				Meego 1.0 para netbooks
				
		
Comentarios recientes
mario en Hacer visible en nuestra red una máquina virtual con VirtualBox (o comunicar entre si dos de estas)
raquel en Cinta de lomo en salsa
TurBoss en Instalando Nagios 3.x en Debian etch
jesus en Pueblos abandonados
Josemaría en Instalando Pandora FMS en Debian
manuel salas en Instalando Pandora FMS en Debian
manuel salas en Instalando Pandora FMS en Debian
Eduardo en Solomillo al whisky
alfonso en Configurando Nagios 3.x (y II)
GUSTAVO FONSECA en Recuperando información de discos duros dañados



	
	
	Amistad
			Comparte experiencias y conoce nuevos amigos en amistarium.com
		
Enlaces
			Vuelos Barcelona - Madrid
		
Calendario

	septiembre 2010
	
	
		L
		M
		X
		J
		V
		S
		D
	
	

	
	
		« ago
		 
		 
	
	

	
	
		  1 2 3 4 5
	
	
		6 7 8 9 10 11 12
	
	
		13 14 15 16 17 18 19
	
	
		20 21 22 23 24 25 26
	
	
		27 28 29 30
		 
	
	
	

	Buscar por:
	
	
	
	
+ comentado

¿Un 5% nuestro o un 2% de todos? - 16 comentarios
Asus UL30A con Fedora 13, Ubuntu 10.4 y Backtrack 4 - 11 comentarios
El programa PADRE por fin para Linux - 9 comentarios
Frases desafortunadas (y XXXV) - 8 comentarios
Frases desafortunadas (y XXXVI) - 8 comentarios
Chuletillas (y XXV) - El touchpad del Acer Aspire One y Fedora 13 - 4 comentarios
Cancionero (y XXXVIII) - 4 comentarios
Instalando Pandora FMS en Debian - 4 comentarios
El modo bridge en VirtualBox ahora es así de fácil - 3 comentarios
Meego 1.0 para netbooks - 3 comentarios
+ leído

Recuperando información de discos duros dañados - 172.501 veces
Bacalao con tomate - 49.369 veces
Berenjenas rellenas - 45.941 veces
Solomillo al whisky - 43.963 veces
Tarta de queso - 33.065 veces
En bici por Madrid - 31.362 veces
Los primeros pasos con Backtrack 2.0 - 30.711 veces
Caldereta de cordero - 28.984 veces
Instalando Nagios 3.x en Debian etch - 28.470 veces
Compiz Fusion en Kubuntu Feisty - 24.903 veces
 
Estadísticas y enlaces
			.:: Piwik ::.
.:: Backtweets ::.
.:: Bitacoras.com ::.
.:: Wikio ::.
.:: Meneos ::.

.:: Google ::.
.:: Google blogs ::.

		
Administración
			
						Acceder
			RSS de las entradas
			RSS de los comentarios
			WordPress.org
						

Comparador ADSL
			Comparador independiente de tarifas y proveedores de ADSL en tarifasadsl.com
		
			Los contenidos de esta web están bajo una licencia Creative Commons: