Monitorix, un sencillo sistema de monitorización para servidores Linux

Hace algunos años escribí un artículo sobre la necesidad de monitorizar los sistemas informáticos a nuestro cargo, en el que comentaba que la tarea de implantar un sistema de monitorización no era tan difícil como exigente. Pues bien, existe un software que no sólo es muy fácil de instalar sino que permite elegir el nivel de exigencia que queramos tanto para nosotros como administradores como para el propio software. Sigue leyendo

Acceso SSH sin contraseña a servidores Linux

Existen numerosos escenarios en los que es necesario automatizar tareas entre dos servidores Linux, como por ejemplo cuando queremos enviar código desde un servidor de desarrollo a otro de demo a través del cuál nuestros clientes van a revisar el trabajo desarrollado hasta el momento. Para ello lo mejor es utilizar el protocolo SSH, que permite no sólo crear sesiones interactivas sino también enviar ficheros y ejecutar comandos remotamente de una forma segura frente a terceros malintencionados. Sin embargo, SSH exige algún tipo de autentificación para acceder al servidor remoto, bien mediante contraseña bien mediante certificados. Lo habitual (por sencillo) es utilizar contraseñas, lo que convertiría cada conexión en algo tedioso al tener que autentificarse cada vez. Por ello, voy a contaros cómo generar una relación de confianza entre dos máquinas Linux para que se puedan automatizar tareas a través de SSH sin el uso de contraseñas. Sigue leyendo

Gestión dinámica del rendimiento de CPUs bajo Linux

Esta semana hemos tenido la enorme suerte de poder impartir un seminario sobre seguridad para menores en Internet en el Colegio CEU San Pablo de Sevilla. Para ilustrar de forma práctica los conocimientos adquiridos en la sesión, instalamos una pequeña red formada por portátiles de un perfil antiguo (Intel Pentium M 1,6 GHz, 512MB RAM) en los que tenemos instalado Debian Linux con el escritorio XFCE (una pequeña maravilla que saca todo el jugo a equipos poco potentes).

Aparte de utilizar un escritorio ligero, es posible obtener el máximo rendimiento posible a portátiles tan antiguos gracias al escalado dinámico de la frecuencia de la CPU, una técnica que permite equilibrar el consumo de energía frente a la frecuencia del procesador según las necesidades del usuario. En Linux, esta gestión se realiza a través de los CPU governors, unos esquemas que indican al núcleo cómo debe llevar a cabo estos ajustes. En este artículo vamos a ver cómo realizar nosotros mismos esta gestión dinámica de la frecuencia de nuestras CPUs, que podemos aplicar a cualquier tipo de sistema, no sólo en portátiles. Sigue leyendo

Fail2ban, protección frente a ataques de fuerza bruta a servidores

Dentro de las preocupaciones que tenemos los que gestionamos servidores que ofrecen servicios a través de Internet destaca sin duda su seguridad a la vez que aseguramos su funcionamiento continuo. Uno de los ataques más recurrentes y habituales que sufren estos servidores es el de fuerza bruta, que consiste en la prueba sistemática y continua de un servicio hasta que se descubre una vulnerabilidad o hasta que se consigue que el servicio (en algunos casos incluso el propio servidor) deje de funcionar. Ante este tipo de ataques se utiliza una medida sencilla y efectiva, como es la utilización de algún sistema de control o filtrado de paquetes (por ejemplo, el conocido TCP Wrapper o el no menos popular iptables, el cortafuegos del núcleo de Linux). A través de alguna de estas herramientas podemos bloquear las direcciones IP de las que proceden los ataques. Sin embargo, son muchos los servicios a controlar y las IPs a bloquear al cabo de un tiempo. Afortunadamente, contamos con una gran herramienta que permite la automatización de esta línea de defensa: Fail2ban.
Sigue leyendo

El software libre es más seguro que el privativo, pero no como creéis

A estas alturas es bien conocida la gran conmoción causada por el bug Heartbleed en Internet, provocado por un error introducido en la rama 1.0 de OpenSSL. Esta librería, responsable de las transacciones seguras en diversos protocolos populares como HTTP o POP/IMAP, se encuentra presente no solo en todas y cada una de las distribuciones Linux, sino también en otros sistemas operativos, plataformas y productos (incluso privativos). Esta amplia presencia en el mercado viene dada por dos motivos: por el conjunto de funcionalidades que ofrece y por ser de licencia libre. Precisamente este segundo argumento es el que esgrimen los fans del software privativo como causa principal de la gravedad de la vulnerabilidad y sus consecuencias. Sin embargo, no pueden estar más equivocados.
Sigue leyendo