Estas aquíBlogs / Blog de calel

Blog de calel


Sorporte de seguridad para "squeeze" extendido hasta febrero 2016

Fue anunciado que el soporte regular de "squeeze" termina el 31 de mayo. Sin embargo, fue decidido que el soporte de seguridad se extenderá hasta febrero de 2016. Esta decisión fue adoptada después que muchas partes expresaran la necesidad de mantener el soporte de seguridad por más tiempo.

"squeeze-lts" (LTS viene de Long Term Support) mantendrá soporte solo para las arquitecturas i386 y amd64. Quien desee soporte de seguridad en otras arquitecturas deberá actualizar a "wheezy".

Esta es la primera vez que Debian extiende el soporte tipo LTS y no será mantenida por el equipo de seguridad sino por un grupo de voluntarios y compañías. Empresas interesadas en contribuir al soporte LTS son invitadas a contactarse con el equipo de seguridad.

Protegiendo squid proxy con autenticación

Los ejemplos de uso del proxy squid que se han presentado en este blog (ver Usando el proxy squid para bloquear cookies y anuncios comerciales) son para uso local. El proxy se consulta a localhost.

Resulta ventajoso a veces consultar el proxy en forma remota, por ejemplo, si estamos en el trabajo y queremos usar el proxy de casa para visitar páginas de corte personal (Facebook es un buen ejemplo). Para ello debemos permitir que el proxy pueda ser accedido desde Internet. Antes de hacer esto debemos obviamente protegerlo.

Darle a squid autenticación

Como root crea un usuario proxy y dále una clave:

# htpasswd -c /etc/squid/passwd miproxy
New password:
Re-type new password:
Adding password for user miproxy

Este comando no solo crea el archivo /etc/squid/passwd, le da al usuario 'miproxy' una clave encriptada.

Edita '/etc/squid/squid.conf'. En la sección autenticación agrega una etiqueta "auth_param",

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd

después de todos los ejemplos comentados.

En la sección donde se insertan reglas propias, que comienza con la linea,

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

agrega la regla,

acl usuario proxy_auth miproxy
http_access allow usuario

Esta regla se puede insertar antes o después de dar acceso a 'localhost' o 'localnet', dependiendo si se desea que todos se autentiquen o solo aquellos que están fuera de la red local.

Esconder la IP de procedencia

Ya que estamos tratando de esconder el origen de las conexiones es recomendable también esconder la IP de procedencia. Modifica la etiqueta 'forwarded_for' a,

forwarded_for off

Esto evita que el proxy indique la IP de origen en la cabecera de la redirección.

Visita el sitio http://pgl.yoyo.org/http/browser-headers.php para ver el efecto.

Usando el proxy remoto

Es necesario habilitar el puerto 3128 para conexiones externas en el cortafuegos del servidor (ver Creando un router en Debian). Agrega la regla,

$IPTABLES -A pqtes-tcp-permitidos -p TCP -m state --state NEW --dport 3128 -j ACCEPT

a la cadena 'pqtes-tcp-permitidos'. La autenticación de squid protege el puerto.

En el navegador local modifica la configuración para usar el proxy remoto,

La configuración del proxy en otros navegadores es muy similar.

Al conectarse al proxy remoto este va a pedir ingresar el usuario proxy y la clave,

Congelamiento de Jessie

Fue anunciado que Jessie será congelada 23:59 UTC el día 5 de noviembre 2014.

Actualización de Iceweasel

Fueron descubiertos varios problemas de seguridad en Iceweasel (la versión de Debian de Firefox). Debido a esto, Iceweasel fue actualizado de la versión 10 a la versión 17 en Wheezy el día domingo 2 de junio. Debian anuncia que de aquí en adelante las actualizaciones de Iceweasel, Icedove y Iceape en la versión estable serán basadas en la versión con soporte extendido (Firefox ESR) [1] en vez de propagar las actualizaciones de seguridad a través de los backports, como ha sido la modalidad hasta la fecha. Cuando la versión actual ESR (17) caduque se cambiará a la próxima versión. Esta modalidad es muy diferente a la práctica general de actualización de Debian estable. Básicamente se integra la versión estable con el backports, pero solo en el caso de Iceweasel, Icedove y Iceape.

[1] http://www.mozilla.org/en-US/firefox/organizations/

Wheezy pasa a estable este fin de semana

Fue anunciado que Debian planea liberar Wheezy 7.0 el fin de semana de 4 y 5 de mayo 2013, transformándose en la novena versión estable.

Quizás el cambio más drástico es que ésta versión viene con GNOME 3, sustituyendo a la venerable GNOME 2 (que dejó de ser mantenida). GNOME 3 es un entorno de escritorio muy distinto al otrora versión 2 y muchos usuarios de Linux han sido muy críticos [1], notablemente el creador de Linux Linus Torvalds [2].

Debido a las críticas, se han creado extensiones que hace a GNOME 3 comportarse más como GNOME 2. El paquete gnome-shell-extensions contiene una selección de extensiones útiles para hacer la transición menos dolorosa. El paquete gnome-tweak-tool contiene una herramienta para configurar las extensiones.

Inicialmente Linus Torvalds sugirió recomendar a los usuarios de Linux pasarse a KDE, pero después de usarlo por un tiempo se reconcilió y optó por recomendarlo. Desde la crítica inicial en 2010 el proyecto GNOME 3 ha madurado mucho.

Personalmente me cambié a Wheezy hace aproximadamente mes y medio y aunque me sentí un poco maniatado al principio terminé por acostumbrarme. Aun echo de menos varios "applets" de GNOME 2, como el del tiempo, pero este se puede instalar de sid (paquete gnome-shell-extension-weather) sin mayores problemas.

[1] http://es.wikipedia.org/wiki/Anexo:Controversia_sobre_GNOME_3
[2] https://mail.gnome.org/archives/usability/2005-December/msg00021.html

Mayor integración de Backports en el repositorio principal

El equipo de Debian Backports anunció hoy que los paquetes de wheezy-backports están siendo cargados al pool principal. Esto implica que los actuales y futuros usuarios de wheezy deberán sustituir sus /etc/apt/sources.list por,

deb http://ftp.cl.debian.org/debian wheezy-backports main

Aunque parezca una diferencia semántica, el hecho que pasen al repositorio principal implica que los Backports de hecho se propagan a todas las réplicas nacionales, haciendo optativo el actual repositorio http://backports.debian.org/debian-wheezy.

Sobre el ataque a Debian Wiki

Los editores de Debian Wiki informan que la auditoría del reciente ataque a Debian Wiki reveló que la vulneración no escaló más allá del servicio de cuentas. El atacante no obtuvo privilegios de root. Como fue informado anteriormente, todas las claves de los usuarios de Debian Wiki fueron recreadas. Debian Wiki se trasladó a un nuevo servidor para permitir a la auditoría estudiar el servidor vulnerado a fondo. Según se informa, el atacante logro capturar todas las claves de los editores de Debian Wiki, quien estaba particularmente interesado en las claves de usuarios de Debian, Intel, Dell, Google, Microsoft, GNU y los .gov y .edu. A quien usó correos-e institucionales cuya parte local antes del dominio separado por @ es idéntico al nombre de usuario de la institución se les recomienda modificar sus claves institucionales.

Vulnerabilidades en Moin obligan a Debian Wiki a recrear todas las claves de usuario

Fue anunciado hoy que debido a las vulnerabilidades detectadas recientemente en Moin [1], Debian Wiki se vio forzado a cambiar todas claves de usuarios. Debian urge a quienes poseen cuentas a seguir los pasos de recuperación de claves [2] para modificarlas por un nuevo valor.

Siguiendo la práctica del anuncio oficial, hemos alterado el URL de recuperación de claves. Para visitar el URL modifica xttp por http.

[1] http://www.debian.org/security/2012/dsa-2593
[2] xttp://wiki.debian.org/FrontPage?action=recoverpass

Usando el proxy squid para bloquear cookies y anuncios comerciales

Squid me ha resultado muy útil para bloquear la maldita propaganda común en tantos sitios. Además aprendí a bloquear los contadores estadísticos que hacen "tracking" y sitios que implantan "cockies". Esta es la manera:

Primero instala squid con,

# apt-get install squid

Servidores sin FQDN que actúan de router a una red interna requieren una modificación a la configuración básica. Edita /etc/squid/squid.conf y modifica en la sección "NETWORK OPTIONS",

http_port 3128

a

http_port 3128 transparent

(Servidores con FQDN no requieren esta modificación).

Para activar el proxy corre el navegador (iceweasel), anda a preferencias, marca "Advanced", luego "Network" y en "Connection" modifica la configuración del proxy a manual, usando localhost como proxy.

La configuración del proxy en otros navegadores es muy similar.

Edita /etc/squid/squid.conf y después de la linea,

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

agrega,

# block sites
acl blocksites url_regex "/etc/squid/squid-block.acl"
http_access deny blocksites

Crea el archivo /etc/squid/squid-block.acl y agrega los sitios a bloquear. Por ejemplo, para bloquear GoogleAds,

.googlesyndication.com
.googleadservices.com

o para bloquear los contadores estadísticos de Google,

.google-analytics.com
.googletagservices.com

Para bloquear típica propaganda en sitios chilenos,

adserver.adtechus.com
ad.batanga.com

Otros sitios contadores estadísticos que hacen "tracking" o implantan "cookies" son:

a.scorecardresearch.com
b.scorecardresearch.com
js.revsci.net
measure.richmetrics.com
ping.chartbeat.net
static.chartbeat.com
track.adform.net
tracking.batanga.com
track.pubmatic.com

Qué se puede bloquear depende mucho de qué páginas se visita. Por eso una buena recomendación es instalar squidview para ver en línea que sitios una página visitada redirige (muchos se llevan una sorpresa grande al ver tanto sitio externo que una visita induce). Corre squidview en un terminal como root. squidview marca con una "d" los sitios bloqueados,

Para ver el efecto de un bloqueo se puede activar o desactivar el proxy. A veces un bloqueo puede imposibilitar ver la página correctamente. La práctica es la mejor receta.

Buena suerte.

Instalando Iceweasel 10 en Squeeze

La versión de Iceweasel (Firefox) de Debian estable es reconocidamente obsoleta (version 3.5). Muchos alegamos que nos vemos obligados a instalar Firefox versión más reciente pero que el navegador se empieza a caer. La estabilidad de Debian se ve comprometida.

Como regla, la mejor solución es siempre la de Debian. Para actualizar software con mucho desarrollo la mejor opción para mantener algo de estabilidad es usar los "backports".

Para actualizar Iceweasel de la versión 3.5 a la versión 10.0 modifica /etc/apt/sources.list y agrega,

deb http://backports.debian.org/debian-backports squeeze-backports main

luego actualiza los repositorios con 'apt-get update' e instala o actualiza el paquete iceweasel con,

# apt-get -t squeeze-backports install iceweasel

Es necesario indicar explícitamente el repositorio backport o apt interpreta que debe usarse el repositorio normal de la versión estable de Debian.