Makam blog

…en realidad no me robaron, pero trataron. Formalmente se llamaría “Intento de robo”. La cosa fue que trataron de robar mi auto, fue un intento porque solo me rompieron el vidrio lateral trasero (del lado del acompañante) así no suena la alarma ([/ironia on] já! los kgé porque no tengo alarma en el auto! [/ironia off]), pero parece que no terminaron su cometido por algo que habrá pasado (supongo yo que pasó algun vecino, policia, etc… no se, algo) y dejaron su trabajo a medio terminar.

Esto fue ayer viernes 6/7/2007 [dd/mm/yyyy] entre las 22:30 y 01:00hrs del día sabado, cerca de Rivera y propios.

La única posibilidad que queda, es que me querian afanar el auto completamente, porque dentro de él no habia nada, solo la radio que es la de fábrica junto con los parlantes… que te digo la verdad, no suena muy bien eso…

Realmente te da bronca, sobre todo porque no podes hacer mucho, aunque pongas alarma te lo rompen, aunque pongas el cartelito “No tengo radio” te lo rompen, aunque pongas (¿?) te lo rompen… Las soluciones (legales) que veo a esto son dos: 1) A corto/mediano plazo 2) A largo plazo

1) A corto/mediano plazo: Al mejor estilo ‘nuiorkino’ volver a los 70’s-80’s e imponer la Tolerancia Cero (Zero Tolerance, ZT). Eso significa darle palo a cualquiera que este infrigiendo la ley, no importa en que medida este infrigiendo. Robar un banco o un auto o robar un caramelo para la justicia es lo msmo: Es un robo. Recordar que gracias a la ZT en New York bajó en un 80% los robos! (..interesante, no?)

2) A largo plazo: Que haya una desocupación de un 2%, no exista pasta base, hayan muchas fabricas para que consuman mucha mano de obra, un pais donde los chorros no vuelvan a la calle a los 2 dias, etc,etc….. como dije, muy a largo plazo… y muy dificil.

En fin, el arreglo salió $2000 + todas las molestias causadas,veamos si el vidrio que ponen es igual al que estaba antes… :S

Vayamos al grano, para instalar en debian, adivinen que tienen que hacer?

(Logeado como root…)

• apt-get install openssh-server

…y voilá! Ya esta instalado.

Ahora nos falta configurarlo adecuadamente…

Acá muestro mi archivo de configuración (/etc/ssh/sshd_config) pero un poco modificado (porque tengo otras cosas que no viene al caso), asi que puede ser que no funque porque no lo probé, pero no creo. Debería andar.

# What ports, IPs and protocols we listen for
Port 22

# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2

# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 30
PermitRootLogin no
StrictModes yes

MaxStartups 3

#Version 2 only
PubkeyAuthentication yes# Don’t read the user’s ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
Banner /etc/issue.ssh

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

ClientAliveInterval 600
AllowGroups ssh

#Solo usamos IPv4
AddressFamily inet

###EOF

Voy a explicar lo que esta en negrita (que sería lo más relevante para mi)

1. Protocol 2 <- Usar solamente el protocolo 2 de SSH (La primera version no es segura)
2. PermitRootLogin no <- Más que claro. No se debería dejar logear a root. Creo que ni tengo que explicar porque.
3. PasswordAuthentication no <- Hay que obligar a usar passwd’s
4. AllowGroups ssh <- Solamente permitimos aquellos usuarios que pertenecen al grupo ssh

Un consejo que yo no utilicé pero debería empezar a utilizar:
UseDNS <- Por lo que lei, es para anti spoofing. (además, suena lógico)

Bueno, esto lo escribi en 30′ asi que supongo que debe tener algun error… criticas sean bienvenidas!

* Edité lo que comentó Francisco

Debutamos!… arrancamos con un pequeño (¿tutorial?) firewall para linux, como no podía ser de otra manera utilizo iptables.
No importa que version de iptables tengas, esto debería andar (creo).

Para que quede claro como es la topología en mi casa:

{Internet} <— (Modem-Adsl) —-> (Switch) <—- (Linux)

Basicamente: Esta todo conectado al switch.
Aclaro que esto es un firewall para mi PC solamente, no actuo como router/gateway para
el resto de la red (que no la dibujé pero tmb estan conectados al switch).
Los servidores DNS me los dan dinámicamente mi ISP, por eso me fijo en el archivo
/etc/resolv.conf para saber cuales son.

Creo que por ahora es todo….
Mi firewall con iptables

#####
## Firewall by ^MaKaM^ (makam at makam dot org)
## Web: http://www.makam.org/
## Blog: http://blog.makam.org/
## Version 2.1.0
##
#####
##
## Este frw es MUY simple, no deja pasar casi nada.
## Solo las conexiones activas que pidió nuestra PC y
## las respuestas del servidor DNS.
## Este frw se tiene que activar DESPUES de levantar la ppp0
##
#####


IPTABLES=`which iptables`
INET="ppp0"
LAN="eth1"
SRC_TRABAJO="200.200.200.200/32"
NS=`grep "nameserver " /etc/resolv.conf | awk '{ print $2 }'`

## Reglas por defecto en cada tabla
# Por defecto, no aceptamos nada…
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
# Por defecto dejamos que salga cualquier cosa…
$IPTABLES -P OUTPUT ACCEPT

## Limpiamos….
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -F -t nat

#Anti-Spoofing
$IPTABLES -A INPUT -i $INET -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i $INET -s 192.168.0.0/24 -j DROP
$IPTABLES -A INPUT -i $INET -s 127.0.0.0/8 -j DROP

### Aca empieza la joda..
# Toda conexion que ya este establecida la acepto…
$IPTABLES -A INPUT -i $INET -m state –state ESTABLISHED,RELATED -j ACCEPT

# Acepto las peticiones de SSH desde mi trabajo…
$IPTABLES -A INPUT -i $INET -s $SRC_TRABAJO -dport 22 –syn -j ACCEPT

# Toda conexion que venga de la LAN la acepto…
$IPTABLES -A INPUT -i $LAN -s 10.1.0.0/8 -d 0/0 -j ACCEPT

# Toda conexion que venga de la interfaz de loopback la acepto…
$IPTABLES -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT

# Servidor DNS
# Acepto toda entrada del Servidor DNS…
# Como no tengo servidor dns fijo, me tengo que fijar en el que me dio mi ISP (Anteldata)
for ip in $NS; do
$IPTABLES -A INPUT -p udp -s $ip/32 –source-port 53 -d 0/0 -j ACCEPT
done

eeeeeeeeeeeeeeeeeeeeeee al fin tengo mi blog, soy un mortal más que tiene su propio blog.

Todo esto gracias a lithyum que se agradecemos como se lo merece (Gracias!)
(no te preocupes fede que ya te voy a poner un link a tu página…)

La idea de este blog es para escribir cosas que leo por internet, ideas locas que se me ocurran y pires en general… (como cualquier otro blog, ¿no?)