Securizar el directorio /tmp a noexect

Buenas como todos sabeis hay un colectivo de gente que se dedica a explotar exploits de scripts estilo php-nuke pos bla bla que lo que hace es colarte en tu directorio /tmp del server un script muy chulo que o se te logea como root o te hace mil putadas bien la mejor manera de evitar esto es hacer que nada se pueda ejecutar desde ese directorio aparte de configurar bien tu firewall y tener una vigilancia constante como es lógico

Como ROOT haceis estos pasos:

cd /dev
dd if=/dev/zero of=tmpMnt bs=1024 count=100000
/sbin/mke2fs /dev/tmpMnt
(Contestad y a la pregunta que os hace)
cp -R /tmp/ /tmp_backup
mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp
chmod 0777 /tmp
cp -R /tmp_backup/* /tmp/
rm -rf /tmp_backup

Ahora hay que modificar el /etc/fstab para hacer que el /dev/tmpMnt se monte al reiniciar el server. Es añadir esta linea:

/dev/tmpMnt /tmp ext2 loop,rw,nosuid,noexec 0 0
(OJO: los espacios de esta linea son tabuladores).

Reiniciad los servicios como por ejemplo postgresql , mysql, el clamantivirus, etc… para que se recreen bien los sockets y locks en el dir tmp si es ahi donde los creaban.

Para probarlo cread un shell en el /tmp e intentad ejecurtarlo. Ejemplo:
pegad esto dentro:

#!/bin/sh
echo prueba

lo guardais como en /tmp/test.sh y le haceis un chmod 0755 e intentad ejecutarlo desde dentro del /tmp, y os ha de dar esto:

[root@server tmp]# ./test.sh
bash: ./test.sh: bad interpreter: Permission denied

chapucillas que tb funciona y es bueno tenerlas.
Una formna rápida si no te quieres liar mucho con el asunto es anulando el acceso a wget linx y derivados, si no los usas y al compilador de C.

Para lo primero tienes una forma facil de hacerlo, cambiales el nombre wget ->wlee pr ejemplo y no lo encontrarán.

O chmod -ax cuando no lo utilizes con lo que anulas el acceso a ejecutar.

Es mas facil, mas rápido y menos dolores de cabeza que el poner tmp en noexec.

o bien:

Te creas un archivo de texto pones esto

chmod 000 /usr/bin/wget
chmod 000 /usr/bin/lynx
chmod 000 /usr/bin/*cc*
chmod 000 /usr/sbin/*cc*

Y luego le das permisos de ejecucion, nadie podra utilizar el wget ni el lynx ni compilar, puedes añadir todos los que quieras.

Despues creas el mismo (con otro nombre, por ejemplo abrir)

y le pones

chmod 755 /usr/bin/wget
chmod 755 /usr/bin/lynx
chmod 755 /usr/bin/*cc*
chmod 755 /usr/sbin/*cc

Tambien le das permisos de ejecucion, asi cuando quieras compilar o descargar algo solo tu podras dar esos permisos.
Espero que os guste amigos sysadmins

Curso administración: Linux – ubuntu PDF

Este curso fue realizado por el Ministerio de Educación y Ciencia de España, aproximadamente son 17 Mb y al descomprimir obtienes un PDF de 265 paginas.

//www.megacomputers.com.my/images/ubuntu_logo.jpg

Contenido:

-Ubuntu en Live CD
-Instalación de Ubuntu.
-Sofware libre
-El entorno de trabajo en Ubuntu
-Gestión de archivos
-Administración básica de sistema
-Aplicaciones de red
-Ofimática básica en Ubuntu
-Otras tareas elementales.

Descargar:

http://rapidshare.com/files/61491497/Curso_Ubuntu_Completo.rar

Curso completo de Redes Cisco CCNA

Aqui os dejo un pedazo de curso CISCO CCNA  que para los que querrais sacaros la titulación CCNA os va a venir de lujo.

Contenido:

Semestre I

0 : Recorrido rapido del curriculum
1: Informatica basica
2: El Modelo Osi
3: Redes de ares local (LAN)
4: Capa 1 – Electronica y señales
5: Capa 1 – Medios, Conexiones y Colisiones
6: Capa 2 – Conceptos
7: Capa 2 – Tecnologias
8: Diseño y documentacion
9: Proyecto y cableado estructurado
10: Capa3 – Enrutamiento y direccionamiento
11: Capa3 – Protocolos
12: Capa4 – Capa de transporte
13: Capa5 – Capa de sesion
14: Capa6 – Capa de presentacion
15: Capa7 – Capa de aplicacion

Semestre II

i: Recorrido rapido del curriculum
1: Repaso
2: WAN y routers
3: CLI de router
4: Componentes del router
5: Inicio y configuracion del router
6: Configuracion del router 1
7: Imagenes IOS
8: Configuracion del router 2
9:TCP/IP
10: Direccionamiento IP
11: Enrutamiento
12: Protocolos de Enrutamiento
13: Diagnostico de fallas de red

Semestre III

i: Recorrido del Curriculum
1: Repaso: El modelo de referencia OSI y el enrutamiento
2: Conmutacion de LAN
3: LAN virtuales (VLAN)
4: Diseño de LAN
5: Protocolo de Enrutamiento de gateway interior (IGRP)
6: Listas de Control de acceso (ACL)
7: IPX de Novell
8: Administracion de Red

Semestre IV

i: Recorrido rapido del curriculum
1: Repaso
2: WAN
3: Diseño de WAN
4: Protocolo punto a punto (PPP)
5: Red Digital de Servicios Integrados (RDSI)
6: Frame Relay
7: Administracion de red
8: Repaso para el Examen de Certificacion + Red
9: Repaso para el Examen de Certficadcion CCNA

* Tamaño: 53 Mb
* Idioma: Español

Link:

http://www.ziddu.com/download/4788960/BlogofsysAdmiins.com-Curso_Redes_Cisco.rar.html

Password:  http://blogofsysadmins.com

Instalar shoutcast en tu server para transmitir radio por internet

Primero nos bajamos el plugin para Linux desde shoutcast http://www.shoutcast.com/downloads/sc1-9-4…x-glibc6.tar.gz y lo descomprimimos en nuestro disco duro . Despues editamos el archivo sc_serv.conf y cambiamos las lineas donde aparezca «MaxUser=32» para cambiar el numero de usuarios simultaneos que queremos que se conecten.

Segundo modificamos la linea donde pone «Password=changeme» y cambia el changeme por el password que queramos nosotros poner para transmitir .

Tercero vamos a la linea donde pone «PortBase=8000» y cambiamos el puerto 8000 por el que queramos (pero mejor dejamos el 8000 ya que es el standard. MUY IMPORTANTE PARA ESTO , DEBEMOS DE ABRIR EL PUERTO EN NUESTRO FIREWALL , O SI NO NO FUNCIONA.

Bueno , despues de haber echo esto subimos los archivos del server shoutcast (incluido el sc_serv.conf que hemos modificado) a nuestro server por ftp a un dominio cualquiera , y despues desde SSH vamos a la carpeta de donde hemos subido los archivos y ejecutamos ./sc_serv & .

Y ya esta , ya tenemos el server subido y funcionando en nuestro server.

Ahora solo nos hace falta instalar el plugin para winamp en nuestro pc local de casa o desde donde emitamos, desde la dirección http://www.shoutcast.com/downloads/shoutca…-2b-windows.exe y instalarlo.

Despues abrimos el Winamp o cualquier reproductor o mezclador de audio compatible con Shoutcast y activamos el plugin de DJ que hemos acabado de instalar.

Cuando se nos abre la ventana de shoutcast vamos a la pestaña Output y donde pone Output configuration ponemos la IP de nuestro server dedicado en EV1 y ahi donde pone port , pues ponemos 8000 o el port que hayamos puesto en el archivo sc_serv.conf del server. Despues ponemos el password que hemos puesto antes , y ya esta !! Ya estamos transmitiendo audio por internet aprovechando el ancho de banda de nuestro DataCenter y nuestro trafico mensual que son unas cuantas Gb.

Lo que tenemos que tener en cuenta es que el el plugin de transmision de DJ , ahi ponemos la compresion con la que queremos que nos oigan . Si ponemos a 128Kb 44100 Stereo , seguramente los oyentes lo oiran a cortes , ya que nuestras adsl en subida son un gran desastre. Lo mas acertado seria poner una calidad de 56Kb 22000 Stereo , que almenos los oyentes que nos escuchen no nos oiran entrecortados.

La gran ventaja de hacer servir nuestro server del datacenter como estacion servidora es que si se conectan por ejemplo 100 oyentes a la vez no tendran problemas para escucharnos , ya que el caudal de cualquier DataCenter de estado unidos o europa es la ostia y muchiiiiiiiiiisimaaaaaaaas miles de veces mas grande que la que nos saldria desde nuestro casa ( y la gran mayoria de datacenters de españa) con nuestras adsls .

Acelerar Ubuntu y disminuir el uso de la memoria SWAP

Aqui tienes una forma de optimizar el rendimiento de tu Ubuntu, a menos que uses tu ordenador de servidor o para aplicaciones muy “pesadas” apenas necesitaras hacer uso de la memoria de intercambio (SWAP) , lo que haremos sera aumentar el uso de la memoria fisica (RAM) que es mas rapida, consiguiendo que el sistema valla mas fluido (Comprobad cuantos segundos tarda El Gimp u otra aplicacion en abrirse antes y despues de realizar el tutorial…notareis la diferencia!).

Lo primero que debemos hacer, es comprobar que valor tiene asignado actualmente, abrimos un terminal (Menu principal/Aplicaciones/Accesorios/Terminal) y ponemos:

$ sudo cat /proc/sys/vm/swappiness

le damos a enter, ponemos la contraseña (aunque no veas nada escribela correctamente y pulsa enter), nos dara el valor actual de uso de swap en mi caso marca 10 (lo cambie hace unos dias antes de hacer este manual…y lo deje asi porque va mucho mejor.), en tu caso deberia salir 60.
Para cambiarlo a 10 ponemos en el terminal:

$ sudo sysctl -w vm.swappiness=10

Nota: Empieza por probar con un valor de 10, abres un par de aplicaciones que uses, habitualmente, si notas que todo funciona correctamente pasas al siguiente paso, si lo que notas es que va mas lento(cosa bastante improbable,a menos que tu equipo sea muy antiguo o tengas muy poquita ram),lo que debes hacer es ir probando primero 20, luego 30…dejandolo donde tu creas que el sistema funciona mas suelto.

Una vez comprobemos que nos va bien este valor, si queremos que este cambio sea permanente tendremos que añadir una linea en un documento de texto…ponemos en el terminal:

$ sudo gedit /etc/sysctl.conf

Se nos abrira un documento de texto, añadimos esta linea al final:

vm.swappiness=10

Guardamos cerramos… y listo, el cambio sera permanente