Una de las primeras acciones que lleva a cabo un intruso, una vez ingresa a un sistema, es instalar un rootkit, el cual facilita el control de la máquina desde ese momento en adelante. Dichas herramientas presentan un gran riesgo para los administradores y, por tanto, es de vital importancia conocer sus alcances, funcionamiento y los mecanismos que existen para detectarlos.

Los Rootkits fueron descubiertos a mediados de los '90. En aquella época, los administradores de sistema del sistema operativo Unix de SUN comenzaron a ver un comportamiento extraño en el servidor, la falta de espacio de disco, ciclos extra en la CPU y las conexiones de red que no se mostraba con el comando netstat.

From <ocultado> Fri Nov 29 18:00:49 2002
Date: Sun, 24 Nov 2002 21:03:02 -0500 (EST)
From: Trey Harris
To: <ocultado>
Subject: El caso del email de las 500 millas

Aquí tenéis un problema que os sonará imposible.. Casi me da pena contarlo a una audiencia más amplia; era una buena anécdota para contar en conferencias :) La historia ha sido alterada ligeramente para proteger a los culpables, ignorar detalles irrelevantes y hacerla en general más amena.

Me encontraba trabajando como administrador de los sistemas de correo de un campus universitario hace algunos años cuando recibí una llamada del encargado del departamento de estadística.

- “Estamos teniendo un problema para enviar emails fuera del departamento.”

- “¿Cuál es el problema?” pregunté yo

- “No podemos enviar emails más allá de 500 millas” explicó el jefe de departamento.

- Me atraganté con el café. “¿Podrías repetirlo?”

- “No podemos enviar emails a más de 500 millas del departamenteo” repitió. “En realidad un poco más, unas 520 millas pero no más.”

En UNIX y Linux por lo general, los servicios se configuran con varios archivos de texto, en el directorio /etc/. Un típico servidor podría tener docenas de archivos de configuración. Es importante que compruebe la validez del archivo de configuración. En algunos casos, es posible comprobar la cordura de los datos especiales o directorios (por ejemplo, /var/lib/cache/). Los archivos de texto son más fáciles de administrar de forma remota. Puede utilizar ssh y un editor de texto. Si hay un error en la configuración, el servidor no podrá comenzar. Esto puede resultar en un desastre. En este artículo voy a explicar como descubrir un error de sintaxis para los archivos de configuración más populares y prueba de los errores de sintaxis.

Linux trae un firewall basado en host llamado Netfilter. Según el sitio oficial del proyecto:

netfilter es un conjunto de ganchos dentro del kernel de Linux que permite a los módulos del kernel registrar las funciones de devolución de llamada con la pila de red. Una función de devolución de llamada registrada se llama de nuevo para cada paquete que atraviesa el gancho respectivo dentro de la pila de red.

Este firewall basado en Linux es controlado por el programa llamado iptables para controlar de filtrado para IPv4 e ip6tables adminitrando el filtrado para IPv6.

Ejemplo de Reglas iptables

• La mayor parte de las acciones enumeradas en este artículo están escritos con la suposición de que serán ejecutados por el usuario root desde la bash shell  o cualquier otro shell moderna. No escriba los comandos en un sistema remoto, ya que podrá llegar a desconectar su acceso.
• Para fines de demostración he usado RHEL 6.x, pero el siguiente comando debería funcionar con cualquier distribución Linux moderno.
• Esto no es un tutorial sobre cómo configurar iptables. Es una hoja de trucos rápido a los comandos de iptables comunes.

El principal beneficio del software libre es, como su nombre indica, el acceso al funcionamiento interno de una aplicación. Teniendo en cuenta la fuente, usted puede estudiar cómo funciona una aplicación, cambiar, mejorar y ampliar su operación, pedir prestado y reutilizar el código (por los límites de la licencia de la aplicación), y el puerto de la aplicación de plataformas nuevas y emergentes.

Sin embargo, el acceso liberal no es siempre querido. Por ejemplo, un usuario posiblemente no  desea cargar con la responsabilidad de crear y/o compilar el código. En su lugar, simplemente lo que desea, es instalar el software de un modo muy similar al tradicional "shrink-wrapped" insertarlo en el medio, configurar durante la ejecución (si procede), responder a algunas indicaciones, y listo. De hecho, para los usuarios de ordenadores, prefiere el software pre-construido. Lo que venga pre-montado es menos sensible a los caprichos del sistema y por lo tanto más uniforme y predecible.

Bueno esta noche me he encontrado con un viejo amigo, un disco externo USB que tenía por ahí abandonado, y cuando he ido a montarlo me dice lo que no quiero escuchar, vamos lo que pasa con los amigos de verdad…

mount: /dev/sdb5: Can't read superblock

Total que en realidad me ha venido estupendamente para entrenarme un poco en dichosa faena. Os voy a contar como he conseguido recuperar la partición.

Lo primero que podemos deducir de este mensaje es que casi seguro que el primer superbloque está dañado ^ ^, por lo que una solución que podemos intentar darle, es recurrir a una de las copias automáticas de superbloque que el sistema de archivo realiza, bien ¿y como encuentro esa copia tan necesitada?, pues podemos hacerlo de diferentes maneras pero os voy a poner dos sencillas.

Certificación LPIC-1 400

Material de estudio para certificarse en Linux Profesional Institute: exámenes 101 y 102

IMPORTANTE: Los artículos orientado al curso serán igual de útiles tanto para lograr la certificación, profundizar en la administración de sistemas GNU/Linux como uso de guía para comandos y servicios de uso diario en la administración de un sistema Linux. Al final del post se deja una nota, con parte de la información que podrás aprender a lo largo del curso. Con este curso, incluso podrás llegar a iniciarte en el mundo laboral como un administrador de sistemas Jr.

Aprenderás mas de 200 comandos documentados y servicios útiles para desempeñar una administración de sistemas Linux básica. 

(Redundant Array of Independent Disks) Matriz redundante de discos independientes (RAID) es una tecnología de almacenamiento que combina varios discos duros en una sola unidad lógica para proporcionar tolerancia a fallos y / o mejorar el rendimiento I / O del disco. Dependiendo de cómo se almacenan los datos en una matriz de discos (por ejemplo, con la creación de bandas, lo que refleja, la paridad, o cualquier combinación de los mismos), los diferentes niveles de RAID se definen (por ejemplo, RAID-0, RAID-1, RAID-5, etc). RAID puede ser implementado tanto en software o con una tarjeta de hardware RAID. En los modernos Linux, la funcionalidad básica del software RAID está disponible por defecto.

En algún momento, nuestro equipo o nuestro servidor empieza a hacer algo raro, y tenemos la sospecha de que el disco duro puede ser el problema, fuera esta la causa o no, que puede que no, deberíamos tener alguna herramienta que nos diga cuan sano está nuestro disco duro.

Si estamos en el entorno gráfico, podemos ejecutar la aplicación "utilidad de discos de GNOME", o simplemente "Discos" en KDE.