El problema

Hay mucha gente malvada por el mundo adelante. Personas interesadas en hacerse con un ordenador para robar datos o utilizarlo como puente para alguna “fechorí­a”. Si tenemos funcionando un servidor ssh o web (Apache) es probable que hayamos notado intentos de acceso indiscriminados.

Mucha gente usa ciertos programas que por fuerza bruta o mediante ataques por diccionario (esto es, probar toda una serie de palabras de una lista para encontrar la contraseña) que de forma automatizada tratan de conseguir acceso a un determinado equipo. Si tenemos una buena contraseña, es bastante complicado que consigan averiguarla, pero lo mejor es “bannear” a aquellas IPs que están intentando entrar, de tal forma que no podrán seguir intentándolo, les denegamos el acceso.

La solución

Para bloquear el acceso de una determinada IP a nuestro equipo podemos configurar el cortafuegos (firewall) que traen todos los sistemas Linux: iptables. Pero esto, la verdad, es bastante tedioso y requiere de paciencia y ganas para llegar a hacer algo productivo con él. ¿Qué tal si alguien lo hace por nosotros? Aquí­ entra en escena fail2ban. Es un programita que se ejecuta siempre al iniciar el ordenador y está funcionando en segundo plano, monitoreando los accesos a nuestra máquina. Realmente, no hace nada “mágico”, sino que examina el contenido de los ficheros /var/log/auth.log y /var/log/apache/error_log en busca de intentos fallidos de acceso a nuestra máquina.

/var/log/auth.log Contiene los intentos de acceso a nuestra máquina ví­a SSH
/var/log/apache2/error.log Contiene los intentos de acceso a nuestra máquina a través del servidor web, en este caso, Apache (en su segunda versión).

Instalación

Si vamos a su web oficial vemos que existen paquetes para varias distribuciones. Así­ que sólo tenéis que bajar la versión correspondiente o si tenéis Debian o algún derivado, podréis instalarlo con un sencillo:

# apt-get install fail2ban

Configuración

fail2ban se puede configurar no sólo para controlar los intentos de acceso a través de SSH o de servidor web, sino de otros programas como algún servidor ftp (como el vsftpd). ¿Cómo se configura fail2ban? Editando el fichero /etc/fail2ban.conf a nuestro gusto.

Como en este post hablamos de bloquear las IPs reincidentes que intentan entrar ví­a SSH, configuraremos fail2ban para que bannee estas IPs. Abrimos el fichero de configuración y buscamos la parte de SSH y colocamos las cosas tal que así­:

 [SSH]
# Option:  enabled
# Notes.:  enable monitoring for this section.
# Values:  [true | false]  Default:  true
#
enabled = true

# Option:  logfile
# Notes.:  logfile to monitor.
# Values:  FILE  Default:  /var/log/auth.log
#
logfile = /var/log/auth.log

# Option:  port
# Notes.:  specifies port to monitor
# Values:  [ NUM | STRING ]  Default:
#
port = ssh

Con lo de arriba, hemos indicado que fail2ban controle los accesos por SSH (enabled = true), mirando los accesos fallidos que se producen almacenados en /var/log/auth.log (logfile) y puerto ssh (que por defecto es el 22). Y para el resto de servicios se harí­a igual: activarlos o desactivarlos, indicarles el fichero de registros y el puerto que usa ese servicio.

Otra parte importante del fichero de configuración es el número máximo de intentos fallidos que permitimos y el tiempo que queremos que esté banneada una IP:

# Option:  maxfailures
# Notes.:  number of failures before IP gets banned.
# Values:  NUM  Default:  5
#
maxfailures = 3

# Option:  bantime
# Notes.:  number of seconds an IP will be banned. If set to a negative
#          value, IP will never be unbanned (permanent banning).
# Values:  NUM  Default:  600
#
bantime = 60000

Como podéis ver el tiempo de banneo se da en segundos.

Y nada, una vez editado este fichero a vuestro gusto, lo guardáis y reiniciáis fail2ban (como superusuario):

# sudo /etc/init.d/fail2ban restart

Y listo :-)

Enlaces relacionados

• Web oficial de fail2ban.
• Un Cí“MO un poco más avanzado
• Configuración de fail2ban para FTP usando vsftpd (en los foros de esDebian)

TempWin - GNU/Linux, Software| Sin comentarios » | 31/01/2007

A ver, ¿quién no ha oído hablar de XGL o Compiz? Sí, hombre, esas virguerías que hacen que las ventanas tengan transparencias, que se vuelvan elásticas, que el escritorio se convierta en un cubo… ¿Ya os dais cuenta?

Beryl es un proyecto nacido a partir de Compiz, un gestor de ventanas que añade estos (y otros) efectos usando la potencia de las tarjetas gráficas para conseguir una experiencia única en entornos de escritorio.

A diferencia de la instalación para tarjetas ATi o Nvidia, la instalación en equipos con tarjetas gráficas de Intel es sencillísima en la última versión de Ubuntu (6.10). Esta versión de Ubuntu incluye por defecto AIGLX. No quiero entrar en demasiados detalles técnicos, así que quedaos con que AIGLX es una especie de Xorg modificado (Xorg es un servidor gráfico, programa que permite que podamos ver ventanitas y dibujitos en nuestra pantalla).

Instalación

Vayamos al tema. Todo esto lo he probado en un portátil Toshiba Satellite L20-101 (la tarjeta gráfica es una integrada de intel con su tecnología centrino) y puedo dar fe de que funciona y sin hacerle guarrerías al sistema como los equipos con ATi o Nvidia :-P

Recuerdo que debemos tener la última Ubuntu instalada (Ubuntu 6.10, Edgy Eft).

Debemos añadir una línea al fichero /etc/apt/sources.list. Tenéis que ser superusuarios y podéis usar algún editor como nano, tal que así:

$ sudo nano /etc/apt/sources.list

Estas son las líneas que tenéis que añadir:

deb http://ubuntu.compiz.net/ edgy main-edgy
deb http://www.beerorkid.com/compiz edgy main-edgy
deb http://media.blutkind.org/xgl/ edgy main-edgy

Sólo una de ellas (ya que son mirrors, contienen lo mismo)

Para que no se muestren como paquetes no firmados, ejecutamos en un terminal alguna de las siguiente sentencias:

wget http://www.beerorkid.com/compiz/quinn.key.asc -O - | sudo apt-key add -
wget http://media.blutkind.org/xgl/quinn.key.asc -O - | sudo apt-key add -
wget http://ubuntu.compiz.net/quinn.key.asc -O - | sudo apt-key add -

(Será una u otra dependiendo de la dirección que hayáis añadido más arriba)

Ahora toca actualizar los repositorios con sudo apt-get update

Ya vamos con la instalación, tanto de beryl como emerald que es un gestor de temas para beryl (para cambiar la decoración de las ventanas, por ejemplo):

$ sudo apt-get install beryl emerald emerald-themes

Reiniciar.

Si todo ha ido bien, se lanzará beryl automáticamente y ya podremos empezar a trastear con él. En caso de que no pasara nada al reiniciar, en una consola ejecutamos beryl-manager.

Si queréis ver lo que es capaz de hacer Beryl, no tenéis más que buscar por ese nombre en vuestro servicio de vídeos on-line favorito (Google Video, YouTube…)

Próximamente (si tengo ganas), un post sobre el manejo de Beryl. Atentos a sus pantallas :-)

Actualización [ 28/12/2006 ]:

Beryl actualizado a la última

Todo lo explicado arriba era para instalar y tener actualizada la versión estable de Beryl. Sin embargo, hay otro repositorio donde los paquetes son generados casi a diario. Esto es un arma de doble filo: por un lado, tendremos la última versión de Beryl calentita en nuestro ordenador, pero por otro lado, puede haber algún problema ya que se trata de versiones inestables. Por eso he esperado antes de añadir estas notas, aunque llevo usándolo como un par de semanas y no he tenido problemas.

Hechas las advertencias. Procedamos:

En el fichero /etc/apt/sources.list añadimos las siguientes líneas:

deb http://download.tuxfamily.org/3v1deb edgy beryl-svn

(Obviamente, si ya teníamos los repositorios de la versión estable, habrá que cambiarlos por este nuevo si nos queremos poner a la última. Y para evitar problemas, desinstalamos la versión estable de Beryl y la instalaremos desde la versión inestable siguiendo las mismas instrucciones de más arriba)

El siguiente paso es añadir la clave de confianza, así que desde un terminal:

wget http://download.tuxfamily.org/3v1deb/DD800CD9.gpg -O- | sudo apt-key add -

Y ya sólo queda seguir los mismos pasos que antes. (actualizar los repositorios y hacer una actualización):

Enlaces relacionados

• Web oficial de Beryl
• Distribución Ubuntu

TempWin - GNU/Linux| 2 comentarios » | 27/11/2006

Los aficionados a la guitarra tenemos en el programa Guitar Pro un gran complemento no sólo para escribir nuestras tablaturas, sino que también nos da la posibilidad de añadir bases de percusión, otros instrumentos, y lo que es más importante, escuchar cómo sonarí­a nuestra tablatura. Para quienes avanzan a su ritmo con este instrumento, podemos descargar tablaturas en el formato gtp, gp3 ó gp4 (formatos de Guitar Pro) de un montón de canciones para aprender a tocarlas. El problema del Guitar Pro es que no es gratuito (59 euros), pero en linux tenemos un par de alternativas para poder reproducir estos formatos. El primero es el KGuitar que está pensado como una alternativa de Guitar Pro para linux, pero no va demasiado bien reproduciendo archivos de Guitar Pro (de hecho, las veces que lo he probado, al intentar cargar un archivo gp3, el programa se cierra), pero aquí­ llega la sorpresa: DGuitar. Es sencillamente un visor y reproductor de archivos de Guitar Pro. Está programado en Java lo que supone que se puede ejecutar en casi cualquier sistema operativo, sólo es necesario tener instalado el JRE. Instalarlo es tan fácil como ir a su web, descargarlo y seguir las instrucciones de instalación :-P

Enlaces relacionados

• Web oficial de Guitar Pro
• KGuitar

TempWin - GNU/Linux, Música, Software| Sin comentarios » | 12/11/2006

Esto es lo primero que he hecho al levantarme (no podí­a esperar a que estuviera disponible la descarga del CD):

Y después de descargar unos cuantos megas (como 300 en mi caso), tendréis instalada la ultimí­sima versión de Ubuntu.

PD El primer comando lo que hace es sustituir en el fichero /etc/apt/sources.list, la palabra dapper, por edgy. Así­ de fácil se actualiza Ubuntu :-)

Actualización:

Si habéis sido pacientes y no habéis actualizado a Edgy Eft por la vía bruta (véase más arriba), ya tenéis las dos opciones oficiales para actualizar:

• Descárgate la imagen (ISO) para grabarla e instalar Ubuntu desde cero.
• Teclea en un terminal: $ gksu “update-manager -c” y sigue las instrucciones.

TempWin - GNU/Linux| 2 comentarios » | 26/10/2006

A continuación os listo unas cuantas e-zines (revistas electrónicas) en pdf sobre GNU/Linux y el mundo del software libre. La mayorí­a están en español y son una buena alternativa a las que se venden en kioskos (el precio) y es más cómodo conseguirlas :-) Sin un orden en particular:

• TecAR, tu puerta de acceso al mundo digital.
• Free Software Magazine (en inglés y hace falta registrarse)
• SL, el Software Libre hecho revista
• USR Linux, publicación comercial que libera su primer año para descargarlo gratuitamente.
• Essentia Libre
• Begins
• GIMPZINE, revista brasileña sobre el programa de edición gráfica GIMP
• o3 magazine (en inglés): dedicada al Software Libre en la empresa
• TUX (en inglés, necesario registrarse)

Si has llegado hasta aquí­ buscando e-zines de informática en general, te interesará Zine-Store, una veterana página que recopila la mayorí­a de las e-zines en español, desde las más mí­ticas como SET hasta las más recientes como la de hispabyte.

TempWin - GNU/Linux| Sin comentarios » | 13/10/2006