Ssh on Karpoke - Just Another Blog

Streisand: Una herramienta que permite evadir la censura de Gobiernos y ISP de forma fácil

Sun, 06 Nov 2016 13:48:00 +0100

Cuando los Gobiernos y proveedores de Internet bloquean un portal, nos tenemos que buscar la vida cambiando los DNS, conectándonos a servidores Proxy y VPN e incluso a la red Tor. Streisand es una herramienta gratuita que nos permite automatizar el proceso de configuración de nuevos servidores VPN, Proxy y Tor para proporcionar a los usuarios una solución rápida y fácil, ideal para activistas en Internet.

Ver el proyecto en github.com.

Servicio de SSH con Latch en Ubuntu

Sun, 22 Mar 2015 02:01:00 +0100

Mediante Latch, podemos añadir una capa extra de seguridad a nuestro servicio SSH, limitando la ventana de tiempo durante la cual permitimos iniciar sesión en el servidor.

Instalación

Descargamos los paquetes que vamos a necesitar:

$ sudo aptitude install gcc make
$ sudo aptitude install libpam0g-dev libcurl4-gnutls-dev libssl-dev

(Si ya teníamos instalado el paquete libcurl4-openssl-dev, podemos usar éste en lugar de libcurl4-gnutls-dev.)

Descargamos el código de github y compilamos:

$ git clone https://github.com/ElevenPaths/latch-plugin-unix.git
$ cd latch-plugin-unix
$ ./configure prefix=/usr sysconfdir=/etc && make && sudo make install

Antes de continuar, vamos al área de desarrolladores y creamos una cuenta para este servicio. Ahí obtenemos el identificador de aplicación y la contraseña.

Recuperar el sistema tras borrar «/var/lib»

Fri, 26 Dec 2014 21:37:00 +0100

Si por casualidad acabamos ejecutando un rm -fr /var/lib, tendremos un pequeño problema. El directorio /var/lib está pensado para que los programas instalados guarden información variable (ver man hier). Puestos a suponer, supongamos que esto es exactamente lo que acaba de pasar, que aún no hemos reiniciado la máquina y que seguimos teniendo acceso por SSH.

Copias de seguridad

En este momento, ya es tarde para pensar en copias de seguridad si no las habíamos hecho antes. Habrá información que hayamos perdido y que sea imposible recuperar, por ejemplo, las bases de datos MySQL. Probablemente, perderemos información importante para los programas y es posible que recuperar el sistema en lugar de reinstalar favorezca que haya toda clase de errores extraños.

sshuttle, la VPN de los pobres

Sun, 20 Oct 2013 21:03:00 +0100

shuttle es una herramienta que nos permite redirigir todo el tráfico a través de una conexión SSH, incluyendo las peticiones DNS. Está disponible tanto en los repositorios como en GitHub.

Su uso es sencillo. Para establecer la conexión:

$ sshuttle --D --pidfile=/tmp/sshuttle.pid -r user@server:1234 --dns 0/0

Para terminarla:

$ kill $(cat /tmp/sshuttle.pid)

Conectarse por SSH utilizando sshpass

Sun, 09 Jun 2013 15:47:00 +0100

sshpass es un programa que nos permite iniciar sesión en un servidor SSH de forma no interactiva y sin utilizar claves, para lo que deberemos proporcionar la contraseña como argumento del programa.

Para conectar a un servidor SSH, es preferible utilizar claves, además de tener en cuenta otros sistemas de seguridad, como la autenticación en dos pasos, pero puede haber escenarios en los que sshpass sea una alternativa a considerar.

Su uso es sencillo:

Conectar de forma segura en redes abiertas con Android, ConnectBot y ProxyDroid

Tue, 24 Jul 2012 14:02:00 +0100

Si necesitamos conectarnos desde nuestro terminal con Android a una red WiFi que no es segura, ya sea porque es una red abierta o porque no es de confianza, podemos utilizar ConnectBot para crear un túnel SSH para encauzar todas las conexiones que realicemos desde el terminal a través de él.

Para esto necesitaremos:

Acceso a un servidor SSH
Un cliente SSH para Android, por ejemplo ConnectBot
Un cliente proxy para Android, por ejemplo ProxyDroid

ProxyDroid es una aplicación que permite crear un proxy transparente en terminales Android.

Conectar a un servidor SSH desde Android mediante ConnectBot utilizando claves

Tue, 24 Jul 2012 13:06:00 +0100

ConnectBot es, en mi humilde opinión, el mejor cliente SSH para Android. Nos permite conectarnos de forma segura a nuestro servidor SSH, ya sea directamente o mediante la creación de un túnel SSH que sirva de proxy al resto de aplicaciones.

La manera más segura de conectarnos es mediante la utilización de claves. Este es un sistema de autenticación basado en criptografía asimétrica, más seguro que utilizar simples contraseñas.

ConnectBot no sólo permite utilizar claves, sino que también nos permite crearlas e importarlas. Para poder conectarnos a nuestro servidor sin necesidad de utilizar contraseñas, lo primero será que éste esté configurado para aceptar claves. En particular, en el fichero /etc/ssh/sshd_config, debemos tener la directiva:

Saltándonos el portal cautivo de una biblioteca

Tue, 15 May 2012 14:06:00 +0100

El portal cautivo es el sistema que utilizan algunos establecimientos como bibliotecas u hoteles en el que la conexión inalámbrica está abierta (sin cifrar) pero para conectarse a Internet es necesario aceptar las condiciones de uso, o introducir una contraseña, en la página de pasarela que aparece cuando intentamos navegar.

Este no es un artículo exhaustivo que muestre como saltarse cualquier portal cautivo sino más bien aquél que permite el paso de tráfico TCP por el puerto 53 (DNS). Lo que veremos aquí NO es un túnel DNS, que permite encapsular el tráfico TCP en paquetes de DNS.

Túnel SSH inverso

Fri, 30 Sep 2011 18:03:00 +0100

El escenario es el siguiente. Tenemos un equipo remoto C detrás de un cortafuegos, router o similar, que no podemos configurar y no permite conexiones entrantes, de tal manera que el equipo es inaccesible desde el exterior de la red en la que está. Otro equipo A, el nuestro, también está detrás de un cortafuegos, en otra red, que tampoco podemos configurar y tampoco permite conexiones entrantes. La buena noticia es que tenemos un servidor remoto B en otra red diferente al que sí tenemos acceso por SSH desde el equipo remoto C y desde el nuestro (el A). Tanto el equipo remoto C como el servidor B tienen un servidor SSH corriendo.

Imagen a través de SSH

Wed, 28 Sep 2011 20:48:00 +0100

Si tenemos acceso por SSH a otro ordenador, ambos con entorno gráfico, podemos redirigir la pantalla, el teclado y el ratón en ambos sentidos, es decir, podemos conseguir cosas como:

» aplicaciones remotas que se muestren en nuestro equipo » aplicaciones remotas que se muestren en el equipo remoto » aplicaciones locales que se muestren en el equipo remoto » recibir una captura de pantalla del equipo remoto » [enviar una captura de pantalla de nuestro equipo al equipo

fwknop: Single Packet Authorization y port knocking

Sun, 18 Sep 2011 00:49:00 +0100

fwknop implementa un esquema de autorización llamado Single Packet Authorization (SPA). Mediante SPA necesita un único paquete cifrado para abrir puertos en el cortafuegos o llevar a cabo acciones en el sistema. Se utiliza en conjunción con un cortafuegos que impide la conexión a los puertos de los servicios que queremos proteger. De esta forma, se logra una capa extra de seguridad, ya que los hace permanecer invisibles, descartando silenciosamente los paquetes que llegan a dicho puerto. Para poder tener acceso a los servicios protegidos, la parte servidor de fwknop esnifa pasivamente los paquetes que llegan al servidor usando libpcap y, en caso de recibir de parte del cliente de fwknop un paquete cifrado válido que no ha sido recibido antes, se permite el acceso a través del cortafuegos.

SSH over HTTP-Proxy

Mon, 15 Aug 2011 04:29:00 +0100

A veces, queremos poder navegar o chatear por Internet pero no queremos que nadie pueda conocer, ni bloquear, las páginas que visitamos o espiar nuestras conversaciones, bien porque porque estamos en el trabajo, la universidad o en una red abierta. En la red a la que estamos conectados puede que utilicen un proxy para controlar y bloquear servicios. Este bloqueo podría ser por puerto o por protocolo.

Es posible que bloqueen algunas URLs, o IPs, pero seguramente tenemos acceso a la web, es decir, los puertos 80 y 443. Crearemos un túnel seguro para poder navegar seguros y evitar estas restricciones. Eso sí, puede que aparezca en algún log que nos hemos conectado a nuestra máquina remota.

Utilizar SSH para establecer un servidor proxy SOCKS

Fri, 12 Aug 2011 13:07:00 +0100

Un proxy SOCKS es un servidor que permite el acceso, normalmente, a través de un cortafuegos. Podemos utilizar SSH para crear un proxy SOCKSv5 en local, de tal manera que si configuramos una aplicación para que se conecte a través de este proxy, todo el tráfico vaya a través del canal seguro creado por SSH, y sea como si la conexión con dicha aplicación se hiciera en la máquina remota a la cual nos hemos conectado por SSH. Además, podemos utilizarlo con varias aplicaciones y diferentes protocolos.

Servicio de SSH con sistema de verificación en dos pasos de Google en Ubuntu Natty Narwhal

Fri, 05 Aug 2011 02:21:00 +0100

Un sistema de verificación en dos pasos, (Two Factor Authentication o 2FA) consiste en que la autenticación a un servicio se realiza mediante dos piezas de información, una que conocemos y otra que no. La pieza que conocemos es nuestra contraseña, que es susceptible de ser sustraída, mientras que la información que no conocemos es un número de identificación (PIN) aleatorio que cambia cada 30 segundos y que está vinculado con un dispositivo hardware. Esto es lo que se conoce como una contraseña de un solo uso (One Time Password u OTP). De esta forma, aunque alguien nos robe o averigüe nuestra contraseña, a no ser que también tenga acceso al dispositivo que crea los PINs, no podrá acceder al servicio con nuestra cuenta.

sslh, compartiendo el puerto 443

Sat, 30 Jul 2011 19:21:00 +0100

Podemos tener varios motivos para tener escuchando nuestro servicio de SSH en el puerto 443. Ya sea porque queremos evitarnos los continuos intentos de conexión que sufrimos por tener el servicio escuchando en el puerto 22 o porque desde donde estemos, ya sea en el trabajo o en un hotel, no estén permitidas las conexiones que no sean al puerto 80 o 443. Pero, ¿y si ya tenemos un servidor web escuchando en el puerto 443?

Extraer un archivo de un archivo comprimido, desde el terminal

Thu, 30 Jun 2011 20:36:00 +0100

Un día estás editando un archivo en un servidor remoto, por ssh, y, a la hora de guardar, te das cuenta de que has editado el fichero sin tener los privilegios suficientes, por lo que vim se queja:

E505: "app.config" is read-only (add ! to override)

La solución es sencilla, para guardarlo como root escribes:

:w !sudo tee %

O eso creías. De repente, te das cuenta de que eso no es lo que has escrito, porque vim se ha puesto en modo inferno, y cada tecla que pulsas le da vida propia, porque hace exactamente lo que le dices que haga y no lo que realmente quieres que haga, y cuando pasa la tormenta y vuelves a editar el fichero, sólo contiene:

Secuencias de escape en SSH

Sat, 18 Jun 2011 19:44:00 +0100

Secuencias de escape en SSH:

user@remotehost:~$ ~?
Supported escape sequences:
~. - terminate connection (and any multiplexed sessions)
~B - send a BREAK to the remote system
~C - open a command line
~R - Request rekey (SSH protocol 2 only)
~^Z - suspend ssh
~# - list forwarded connections
~& - background ssh (when waiting for connections to terminate)
~? - this message
~~ - send the escape character by typing it twice
(Note that escapes are only recognized immediately after newline.)

La primera, ~., se puede utilizar para cerrar la sesión cuando se nos queda colgada, por ejemplo, al reiniciar la máquina remota.

Compartiendo una conexión por SSH

Fri, 17 Jun 2011 15:28:00 +0100

A partir de la versión 4 de OpenSSH se pueden compartir las conexiones seguras a un máquina remota, de tal manera que, una vez establecida la primera conexión, el resto de conexiones reutilizan la primera, por lo que el establecimiento de la conexión de éstas será mucho más rápido.

Configuración

Lo primero es asegurarnos de que existe el directorio ~/.ssh en el cliente, con permisos 700 (sólo accesible por nosotros mismos… y cualquier administrador).

Conectarse por SSH utilizando expect

Fri, 17 Jun 2011 14:59:00 +0100

expect es un comando que “habla” con otros programas interactivos. Se definen unas reglas en función de lo que esperamos que nos digan esos programas y lo que queremos contestar.

Un típico ejemplo es realizar una conexión a un servicio de FTP o SSH, y utilizar expect para que introduzca la contraseña por nosotros y lleve a cabo diferentes acciones. La ventaja que tiene es que podemos automatizar acciones en esos servicios. El gran inconveniente es que, si esos servicios requieren autenticación, deberemos escribir la contraseña, ya sea en un script o directamente en el terminal, pudiendo quedar reflejada en el historial. (Dependiendo de la configuración, si incluimos espacios antes de ejecutar un comando, éste no queda reflejado en el historial).

Sonido a través de SSH

Thu, 05 May 2011 22:23:00 +0100

Si tenemos acceso por ssh a otro ordenador, ambos con micrófono y altavoces, podemos redirigir el sonido en ambos sentidos, es decir, podemos conseguir cosas como:

que lo que capta nuestro micrófono se escuche en los altavoces

del otro ordenador y [viceversa][]

que lo que se escribe en un ordenador se escuche en el otro y

[viceversa][1]

que el contenido de un fichero de texto se oiga en los

altavoces remotos y [viceversa][1]

que un archivo de audio se escuche en los altavoces remotos y

[viceversa][2]

que el audio de un archivo de vídeo se escuche en los altavoces

remotos y [viceversa][3]

Dispositivos de sonido en Ubuntu Maverick Meerkat

Uno de los cambios de Ubuntu Maverick Meerkat (10.10) fue la desaparición del dispositivo /dev/dsp y otros, como /dev/mixer, /dev/sndstat y /dev/audio, al utilizar la interfaz ALSA en detrimento de la OSS API.

Acceder al panel de control de Wordpress tras haber sido baneado

Wed, 20 Apr 2011 01:46:00 +0100

De forma similar a fail2ban para ssh, existe un complemento para Wordpress, Login LockDown, que controla el número de intentos de acceso al panel de control, y si se falla en 3 intentos, banea dicha IP durante una hora. Estos parámetros, y alguno más, son configurables desde la página de configuración del complemento.

El problema es que si compartimos la misma IP pública con más gente, ya sea porque estamos en un lugar público o en casa de unos amigos, y alguien en esta misma red realiza más intentos de los permitidos, también nosotros quedamos baneados.

Detectando intrusos en Ubuntu Maverick Meerkat

Mon, 07 Mar 2011 22:11:00 +0100

Un artículo para tener en cuenta algunas de las acciones que podemos llevar a cabo para securizar Ubuntu Maverick Meerkat. Algunos programas para facilitar la tarea de controlar los intentos de acceso al sistema:

ufw

ufw es una forma sencilla de manejar un cortafuegos. Nada más instalarlo, lo habilitamos:

$ sudo ufw enable

Damos de alta los servicios^1^ que queremos que estén disponibles:

$ sudo ufw allow http
$ sudo ufw allow https
$ sudo ufw allow 1234

Si queremos deshacer alguna de estas acciones, por ejemplo, eliminar la regla para el puerto 1234:

Conectarse por SSH sólo usando la clave

Thu, 03 Mar 2011 21:22:00 +0100

Conectarnos a nuestro servidor de SSH utilizando una clave RSA en lugar de una contraseña es más seguro, dado que la clave RSA será bastante más larga y difícil de comprometer que nuestra contraseña, y más cómodo, dado que ya no tendremos que escribir la contraseña para iniciar sesión.

Configuración

En el equipo local, creamos la clave. Cuando nos pida contraseña, le asignamos una, que nos será requerida cada vez que queramos usar dicha clave. Si estuviéramos creando las claves en el servidor la dejaríamos en blanco.

Solucionado el error "Tcl/Tk not found" al instalar OMNeT++ en Ubuntu

Mon, 21 Feb 2011 14:37:00 +0100

OMNeT++ es un entorno de desarrollo modular y extensible desarrollado en C++, y gratuito pasa uso no comercial, especialmente pensado para construir simuladores de redes de eventos discretos en el sentido más amplio: redes de comunicaciones alámbricas, inalámbricas, redes de colas, etc. El soporte para dominios específicos tales como redes de sensores, redes inalámbricas ad-hoc, protocolos de Internet, modelado del rendimiento, etc, viene dado por proyectos desarrollados de forma independiente. OMNeT++ ofrece un IDE basado en eclipse, un entorno de ejecución gráfico y otras herramientas. Hay extensiones para simulación en tiempo real, emulación de redes, lenguages de programación alternativos (Java, C#), integración con bases de datos, etc.