Carlos Molina <[EMAIL PROTECTED]> dijo:
> Un personaje extravio la password de root de un suse 9.0 profesional...
> ... alguien me podria señalar el procedimiento de recuperacion de esta?
Bootear con el CD de instalacion (o el de rescate), y editar /etc/shadow
para eliminar la password de marras.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Tue May 3 20:28:11 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Wed May 4 10:07:28 2005
Subject: Seguridad: Proxys para http, smtp, ftp, etc...
In-Reply-To: Your message of "Tue, 03 May 2005 10:48:12 -0300."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Enrique Place <[EMAIL PROTECTED]> dijo:
> On 5/3/05, Miguel Angel Amador L <[EMAIL PROTECTED]> wrote:
> > No se si se usaran en el ambito de GNU/Linux, pero en el ambito
> > comercial te podria nombrar un ejemplo, los Proventia (ISS)
> > (IDS/IPS/FW) , son maquinas linux, que tienen proxys de este tipo (el
> > http es squid) y hacen filtro de contenidos a nivel de capa aplicacion
> Squid? Lo pregunto porque la idea es del tipo:
>
> Internet -> Proxy-http -> Servidor-http
Me parece un sistema contrapoducente: Aumenta la latencia de HTTP (que es
critica), y lo que ganas realmente no lo veo.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Tue May 3 20:36:41 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Wed May 4 10:07:29 2005
Subject: Seguridad: Proxys para http, smtp, ftp, etc...
In-Reply-To: Your message of "Tue, 03 May 2005 10:55:02 -0300."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Enrique Place <[EMAIL PROTECTED]> dijo:
> HvB dijo:
[...]
> > No le veo el chiste, se maneja correo via recibir + almacenar, asi que el
> > riesgo de "conexiones directas que ponen de vuelta y media a..." es mas
> > bien remoto. Si te ponen de cabeza el MTA que hace de proxy, estas frito de
> > todas formas.
> Yo pensaba lo mismo, pero según la explicación, es mejor que caiga el
> servidor que hace este trabajo (suponiendo que tenemos servicios
> separados por equipos) que directamente el que lo brinda. La idea es
> que muera/rompan el proxy, no el servicio directo.
Igual coopero el servicio, y ademas tienes un tarro + servicios asociados
mas de que preocuparte.
Si, puede ser que valga la pena en situaciones extremadamente criticas; no,
no creo que tales cosas se justifiquen por estas latitudes.
> Se ve que este tipo de cosas no son de todos los días en el ambiente
> linuxero, pero creo que es muy común en el ambiente de routers por
> hardware (que conozco muy poco).
Te cuento un secretito? Los "routers por hardware" en realidad son
computadores (con tarjetas de red &c "interesantes", claro esta). Una tropa
de dementes le instalo Linux a un router CISCO, p.ej. Tienen sistema
operativo y demas, igualito que un PC. Y si desmontas el "cortafuegos por
hardware" que tienes por alli, adentro es un simple PC (metido en una caja
de lata gruesa, pintada de un color rojo alarmante). O una Sun. Corriendo
tipicamente *BSD o (cada vez con mayor frecuencia) Linux.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Wed May 4 10:44:17 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Wed May 4 10:44:19 2005
Subject: Seguridad: Proxys para http, smtp, ftp, etc...
In-Reply-To: Your message of "Tue, 03 May 2005 23:53:07 -0300."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Enrique Place <[EMAIL PROTECTED]> dijo:
> [Y la atribucion?] dijo:
> > La idea por ejemplo en el caso de colocar un proxy inverso antes de un
> > servidor Web, es que sirve para:
> > 1 - Hacer balanceo de carga entre varios servidores Web.
Hay sistemas ad hoc para eso, que basicamente simplemente redistribuyen
conexiones. O puedes simplemente poner el nombre bajo diversas IPs, DNS se
encargara de que las conexiones (mas o menos) se balanceen entre ellas.
> > 2 -pseudo IPS, pues permitiria filtrar las peticiones http antes que
> > pasen al servidor, asumiendo que peticiones malformadas que
> > potencialmente podrian actuar sobre el servidor Web, no lo harian
> > sobre el proxy y este contendria reglas que no dejarian pasar este
> > tipo de ataques... por ejemplo SQL Injection o Cross Site Scripting
> > por decir algunos.
Feh... el "filtro" debera ser /aun/ mas astuto que tu sitio web para poder
hacer eso en forma confiable, y esa no te la compro.
> > En otros casos en su mayoria es para filtrar cosas que el servicio en
> > si no hace, y validar la formacion de las peticiones.
> Exactamente eso!!! ;-)
Si dudas de tus servidores, mejor cambialos por alguna cosa confiable
ASAP. Poner un "filtro de seguridad" delante de un programa con problemas
no sirve de nada, dado que seguro mas temprano que tarde encuentran como
craquearlo con medios "legales". O te comprometen el "filtro", y estas en
problemas aun peores. Y hay que recordar siempre que entre 75 y 95% (segun
quien de la cifra) de los incidentes tienen "componente interna", con lo
que el filtro te protege contra un 5 a 25% de lo ataques, cuando mucho.
> Bueno, y como hago para hacerlo en Linux? ;-)
Eliges con cuidado la distribucion (<http://www.lwn.net/Distributions>
tiene sugerencias...) a usar para dar los servicios (u optas por OpenBSD,
tropa de paranoicos mas grandes que esos no hay), eliges con cuidado entre
las opciones para programas servidores (de traerlas tu distribucion), te
das una vueltita por <http://www.bastille-linux.org> para sugerencias de
endurecimiento, decides como aplicar SELinux (<http://www.nsa.gov/selinux>,
los Fedora Core y Red Hat Enterprise Linux ultimos lo traen, los FAQ del
caso son utiles). Obviamente aplicas reglas fascistas de iptables en la
maquina donde corre el servicio, e instalas lo justo y necesario. En lo
posible la ubicas en la DMZ del caso, opcionalmente con chiches como IDS
<http://www.snort.org> , antivirus y demas para sazonar a gusto. Obviamente
tanto (o mas) protegido del "calido y hogaren~o ambiente interno" como
contra el "frio e impersonal mundo de Internet".
Yep, estamos hablando de 3 maquinas a lo menos (filtros externo e interno
(no, un "cortafuegos" con 3 tarjetas de red /no/ da el nivel de seguridad
que andas buscando), maquina que ofrece el servicio). Pueden ser mas (cache
de web para filtrar trafico (P2P tunelado sobre HTTP, etc) entre el jardin
de verduras y el mundo externo, maquina aparte para logs, IDS, etc). Vale
la pena? Solo tu situacion particular puede responder a eso.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Wed May 4 11:01:59 2005
From: [EMAIL PROTECTED] (Patricio Rojas)
Date: Wed May 4 11:53:13 2005
Subject: [Fwd: Re: Proxy Squid... =?iso-8859-1?q?=BFcomo_evitar_el_cache_d?=
=?iso-8859-1?q?e_algunas_direcciones=3F=5D?=
Message-ID: <[EMAIL PROTECTED]>
Andrés Ruz Salinas escribió:
>Hola lista,
>
> Tengo un Proxy habilitado con SQUID y funciona sin problemas, pero
>ahora tengo una tarea que realizar. Estoy desarrollando una Sitio WEB y
>aunque he hecho varios cambios en estas páginas el SQUID me sigue enviando
>las muestras antiguas.
>
>¿Cómo puedo evitar que el Proxy me almacene en caché algunas direcciones?
>
>De esa forma puedo ver reflejados los cambios cada vez que se actualiza la
>página.
>
>Saludos y gracias.
>
>
>
>
>
acl MYNOMBRE url_path_regex http://www.sitio.cl
no_cache deny MYNOMBRE
--
[EOB]
--
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Patricio Rojas (02) 6787885 - (09) 2839451 Santiago - Chile
[EOB]
