Archive for the '*BSD' Category

Comparando SELinux con OpenBSD…

Estaba el otro día leyendo los feeds mientras veía los entrenamientos de F1 del gran premio de China y leí un título interesante: SELinux vs. OpenBSD se titulaba el artículo. Coño, a ver que cuentan…

Pues quieren comparar SELinux que es lo que es con OpenBSD que también es lo que es. Los argumentos son de lo mejorcito:

  • Es complejo: Vale, no es fácil, aunque distros como Fedora y RedHat creo que tienen asistentes. ¿Tiene OpenBSD algo tan potente? ¿Hasta dónde llega TrustedBSD? Solo hay que buscar un poco por internet para leer preguntas como Does OpenBSD have something similar to the NSA`s SELinux, RSBAC, PaX stack smashing protection, Grsecurity etc? y leer esta joya de respuesta: OpenBSD has a “secure-by-default” approach with focus on security and code correctness. There`s no need for extra addons like SELinux and grsec kernel patches.
  • Insinuan, o me lo parece a mi, que APPArmor es mejor que SELinux cuando APPArmor tiene al menos que yo conozca, limitaciones, como que no permite controlar sockets, o que se referencia a los ficheros por su ruta y no mediante labels en el sistema de ficheros (Como si de una ACL o atributo extendido se tratase). Aquí una comparación de ambos.

Os dejo un artículo que me gusta mucho ya que explica muy bien como funciona PaX (Parte de la suite GRSecurity para Linux, que aunque no tenga nada que ver con SELinux, es un elemento más en la fortificación de un sistemas Linux) y W^X de OpenBSD.

Vamos, que en mi opinión no es solamente qué se usa, sino cómo se usa y como de implementa, y en mi opinión Linux ofrece más herramientas para fortificar el sistema que un sistema OpenBSD y quien no quiera ver más allá de la calidad del código en mi opinión no está haciendo una buena evaluación de todo el rol. OpenBSD todos sabemos que tiene fallos. Pocos, pero ahí están y sus paquetes tambien tienen fallos, y los paquetes no son parte del core, luego no son auditados, luego la misma cagada que comete el devel de determinada aplicación de lo que sea en Linux, puede cometerlo en el paquete de OpenBSD (Si lo incluye, claro, y si tiene esa misma versión). Y digo yo… de que sirve tener un sistema base con un muy buen código si luego tu aplicación que escupe html o correo es vulnerable? Creo que es ahí donde entra PaX, SELinux, RSBAC, etc intentando que la explotación de la vulnerabilidad no sea tan fácil de llevar a cabo…

Esa es mi opinión. Un saludo.

Certificado de la FNMT en Apache

Sin más, os dejo el enlace al blog donde he leído el HOW-TO de como utilizar un certificado de la FNMT para nuestro Apache.

Certificado digital de la FNMT en Apache 2.x

Pero ya que pongo este link, voy a poner algún que otro link interesante, que tengo para todos.

Introducción a PaX
Más doc acerca de PaX
Y más aún
Tecnologías en materia de seguridad que aporta Windows Vista
Una buena lectura acerca del DRM en Microsoft Windows

Más vale tarde que nunca

Hoy leyendo las noticias vi que había salido FreeBSD 6.2-RELEASE. Por el momento voy a poner a descargar tan ansiada versión que llevaba esperando unos meses. Por desgracia ahora estoy de exámenes, y hasta Febrero no podré instalarla y migrar.

No lo entiendo. O a Theo se le ha ido la pinza o siempre bromea.

Hoy me ha dado por leer el Blog de Theo De Raadt. Podemos leer los últimos post pidiendo ayuda económica. Al parecer alguien le ha ingresado 5 dólares canadienses en su cuenta corriente a modo de donación. Dice que aunque le enviará un correo de agradecimiento, en este caso el A caballo regalado no se le mira el diente es algo exagerado, ya que, para tal cantidad, prefiere que alguien le invite a una cerveza en una conferencia. Es duro, pero es así.

El otro post en un tono, en mi opinión, humorístico, dice que tiene que dejar de lado su necesidad por la cerveza, ya que no puede gastar todo su sueldo en ella, ¡O aún peor! Una hackathon sin ella.

Parece que ha perdido su trabajo por lo que está en el paro. Necesita un nuevo trabajo de 8 horas para tener los suficientes fondos para continuar con el proyecto (OpenBSD).

En este momento he llegado a la confusión total, y es donde necesito aclaraciones. Theo anuncia de forma no oficial un 0 day en OpenSSH. Si leéis el mensaje es una broma, pero luego dice que tiene que ponerse a trabajar, que venderá todo el hardware que tiene para comprarse un portátil nuevo, ya que OpenBSD soportará solamente la arquitectura x86. Esto es alarmante, o podemos tomarlo a broma, pero es en el último post cuando confirma la venta del hardware (Máquinas Sun principalmente) y la compra de un nuevo portátil económico pero nuevo, cuya tarjeta wifi no funciona bajo OpenBSD, y que, aunque esté en contra de ellos, ha recurrido a un blob para hacerla funcionar, ya que el driver de Windows soporta WPA2, y lo utilizará con ndiskwrapper. La tarjeta ethernet funciona, pero no es lo que es esperaba, además necesita la wifi para su trabajo.

¿Es confuso verdad? Un tío tan crítico con los drivers cerrados como Theo, echando mano de un blob (O eso he entendido), el pobre sin curro y por lo tanto sin dinero, y sin poder dedicarle dinero al proyecto. La verdad que es jodido, o quizá lo he entendido yo mal, así que, si no os fiáis de mi, podéis leer su blog, que es muy interesante, en gran parte para conocer qué piensa Theo. Por ejemplo, cambiar Sendmail por Qmail, pero ni de coña por Postfix o Exim, por su licencia (WTF!)

Un mal momento para instalar FreeBSD

Desde hace un tiempo llevo preparando la instalación del servidor en FreeBSD 6.1. El caso es que cuando se instala FreeBSD 6.1 tenemos una RELEASE, por lo que, si queremos acogernos a las actualizaciones de seguridad y corrección de fallos deberíamos migrar a la rama STABLE. La otra opción es CURRENT, pero no viene al caso. Pues bien, imaginad mi cara cuando compilo el kernel y recompilo el sistema base, reinicio y veo que mi sistema es un FreeBSD 6.2-PRERELEASE.

¿Qué ocurre?
Pues que la rama RELENG_6 de CVS de FreeBSD está sufriendo cambios y hasta el 13 de Noviembre (Aproximadamente) no tendremos una FreeBSD 6.2-RELEASE.

Me han jodido, pues ahora tengo que esperar aproximadamente 15 días.

Enlaces interesantes para actualización e instalación de software:
Recompilar el sistema base.
Compilar un kernel.
Usar Packet Filter en FreeBSD.
Uso del sistema de Ports.
Usando el sistema de paquetes.
Jails en FreeBSD.

KNutClient: Interfaz gráfica de NUT (upsc) para KDE

Hoy gracias a nrktk he descubierto este programa. Hace un mes o así lo conseguí pero no lo comenté, he conseguido monitorizar el SAI Energy System con NUT. Hace unos años cuando probé, no estaba soportado, ahora si :).

Una vez arrancamos NUT al completo, ejecutamos knutclient y añadimos un SAI, Su alias, su host y su nombre, además de usuario y contraseña. Luego configuramos a nuestro gusto para dejarlo como nrktk en su captura… o a vuestro gusto. Bueno, yo, al igual que él, pienso instalar 2 SAIs nuevo que me tiene que traer en serie. Uno es un Zaapa de 1000 VA, tonto, como una batería no monitorizable. El otro será un APC de 700 VA, que NUT parece soportar además de tener su propio daemon. La idea es colgar el/los servidores y el firewall, así como el AP y los switches y modems de ambos (1000 y 700 VA) y mi equipo de mi viejo Energy System de 1200 VA.

Como NUT es fabuloso y soporta monitorización por red (Con ACLs, usuarios contraseñas…) y además está disponible en casi todo SO *NIX que os podáis imaginar, puedo instalar los SAIs en el equipo que yo quiera (Tampoco tengo muchas opciones) y monitorizarlo desde el equipo que quiera (¿Desde el mío?). Además cuando mande al sistema apagarse puede retransmitir a sus esclavos que también se apaguen. Como veis, todo son ventajas :). Lo haré y lo documentaré, aunque quizá se me adelante nrktk :D.

Bueno, la aplicación está diseñada para KDE (QT3) y se integra muy bien en el systray. Personalmente me gusta mucho, así que podéis animaros a probarla.

OpenBSD BinPatch: Una manera fácil de actualizar OpenBSD

Hoy he encontrado un proyecto en sourceforge llamado OpenBSD BinPatch.

Es una herramienta que hará paquetes binarios de los parches de seguridad de OpenBSD de forma casi automática. Las ventajas saltan a la vista cuando tenemos más de una máquina con este Sistema Operativo instalado y queremos ahorrarnos los ciclos de CPU. Como explica en su web, su uso es sencillo y además crea una lista de los ficheros modificados.

En mi opinión está bien, pero por otro lado, no metería algo externo al sistema base para algo tan crítico como las actualizaciones de seguridad. Prefiero el sistema de toda la vida.


Las opiniones reflejadas en este blog son personales o ni siquiera son opiniones, y bajo ningún concepto representan las estrategias, opiniones o posturas de mi empresa actual, ni de ninguna en las que he trabajado, así como tampoco de ninguno de los clientes o proveedores de todas ellas.
La información se proporciona como está, sin garantías de ninguna clase, y no otorga ningún derecho. Los comentarios pertenecen a sus autores y bajo ningún concepto el autor del blog se hará responsable de los mismos.

Categorías

Archivos