lunes, 27 de abril de 2009

Cambiar fingerpint Apache2[ Actualización ]

Mañana marcho de vacaciones , haciendo una breve escala,hasta el día 6 de Mayo, así que hasta entonces tendré esto un poco parado. Han enviado un comentario sobre el post anterior del cambio de fingerprint en Apache2. Apuntan no es necesario compilar el paquete, que basta con habilitar mod_security. Lo cierto es que ahora no tengo tiempo, pero por lo poco que he leído sí se puede hacer. Entre mis planes está escribir algo sobre mod_security, me parece muy interesante.

viernes, 24 de abril de 2009

Cambiar fingerprint Apache2

A raíz de una conversación con un coleguilla, acerca Cherokee, me comentaba las bondades de este software, que estaba escrito en C, tiene soporte para PHP,CGIs y demás. También comentábamos el poco consumo memoria y recursos en general. Mi pregunta fue "¿Sabes o has cambiado el fingerprint de Apache2?". Nunca lo había hecho pero llegamos a la conclusión de que compilando desde las fuentes se podría modificar. Tenía razón. Intentaré explicarlo con un ejemplo. Pero antes de nada.¿Qué es un fingerprint? Como siempre, hay mucha información en la red, pero podemos definirlo como "la impresión de una huella en cualquier tipo de superficie". Extrapolando a términos de networking, podríamos definirlo como "la repuesta(huella) que devuelve un servicio ejecutándose en una máquina cuando recibe una petición(...)".¿Por qué modificar esta respuesta?. A esta pregunta respondería con otra: ¿Y por qué no? Supongo, y creo que no voy mal encaminado, que a quién le interese el tipo y versión del software que se ejecuta en una máquina, tendrá como mínimo un interés de dudosa finalidad. Voy a otorgarle el beneficio de la duda. También por que con un simple nmap podemos "descubrir" de un modo muy sencillo estos datos. Ejemplo:

root@debian alberto#nmap -A server.ejemplo -p 80
Starting Nmap 4.68 ( http://nmap.org ) at 2009-04-24 10:16 CEST
Interesting ports on server.ejemplo:
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS webserver 5.0
MAC Address: 00:50:56:A9:4D:AB (VMWare)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows 2000
OS details: Microsoft Windows 2000 SP4
Network Distance: 1 hop
Service Info: OS: Windows
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.792 seconds

Vamos al grano. Evidentemente, para modificar el fingerprint de Apache, debemos descargar las fuentes de Apache.org y compilar el paquete. No temais, es muy sencillo.Con el paquete httpd-2.2.11.tar.gz desempaquetado en nuestra máquina, procedemos a instalar unos cuantos paquetes necesarios para el proceso de compilación:

[root@debian]apt-get update && apt-get install gcc make

Dentro del directorio de httpd-2.2.11/include editamos el fichero ap_release.h,
localizamos las siguiente cadenas y modificamos los valores a nuestro gusto:

#define AP_SERVER_BASEVENDOR "La Sexta Software Foundation"
#define AP_SERVER_BASEPROJECT "Patricia Conde Server"
#define AP_SERVER_BASEPRODUCT "Jachonda"

#define AP_SERVER_MAJORVERSION_NUMBER 1
#define AP_SERVER_MINORVERSION_NUMBER 1
#define AP_SERVER_PATCHLEVEL_NUMBER 1
#define AP_SERVER_DEVBUILD_BOOLEAN 0

Ahora, como siempre, ./configure && make && make install. Si no ha dado ningún error, debemos añadir al fichero httpd.conf el "ServerSignature On" para comprobar que añade la "firma" de nuestro nuevo Patricia Conde Server.
Ejemplo de un Error 404 :

La pruebas las he realizado sobre una Debian GNU/Linux 5.0 NetInstall sobre VirtualBox 2.14 corriendo en Debian Testing con Kernel 2.6.27.

jueves, 23 de abril de 2009

Rendimiento de un proveedor de Hosting.

Al hilo de un twitt de un coleguilla, me pregunta, aún no sé muy bien el porqué, acerca de cómo "medir" el rendimiento de un proveedor de Hosting. La verdad es que la pregunta es muy interesante. Nunca me lo había preguntado directamente; pero intentaré responder de un modo coherente. Realmente la respuesta es compleja, ya que un "hosting" puede alojar multitud de servicios: web,correo,ftp,cvs...etc.Empecemos por la cuestiones generales:


Cuestiones Generales, me fijaría principalmente en :

  • Calidad de las respuestas y tiempo en responder ante duda antes de la "compra".
  • Calidad del proceso de registro/compra.[Amigable/Complejo]
  • Notificaciones acerca actualizaciones
  • Periodo de prueba gratuito[Si/No]
  • Calidad de la documentación y manuales.
  • Calidad y tiempo de respuesta antes cuestiones técnicas.
  • Formas de contacto: mail,telefono,skype...etc.
  • Precio/Calidad

Cuestiones Técnicas

  • ¿Tienen acuerdo con Puntos Neutros?. Gran ventaja en relación a la calidad del servicio. Si tienen acuerdos con puntos neutros, "nuestros paquetes" no viajarán por toda la red, y serán "cacheados" en puntos de intercambio de redes.
  • ¿Cuantos servidores o cuál es su estructura DNS?. No sé bien cómo explicar este punto sin liarme.Casi mejor con un ejemplo. Hagamos una consulta con dig a as.com, y después otra a google.com. Como vemos, google.com, como era de esperar "tiene" más sevidores DNS que "almacenan" la BBDD con los registros A,MX...etc del dominio. Personalmente, me da más seguridad que otro dominio que sólo tiene dos, o como burradas que he visto últimamente, dominios que sólo disponen de un DNS; con lo cual, cae el server, y...

[root@patriciaconde]dig as.com
;; AUTHORITY SECTION:
as.com. 25890 IN NS dns1.ibercom.com.
as.com. 25890 IN NS dns2.ibercom.com.
[root@patriciaconde]dig google.com
;; AUTHORITY SECTION:
google.com. 284739 IN NS ns4.google.com.
google.com. 284739 IN NS ns3.google.com.
google.com. 284739 IN NS ns2.google.com.
google.com. 284739 IN NS ns1.google.com.



  • ¿Dónde se localiza el/los DataCenter/s? Haría un pequeño análisis y/o aproximación acerca la procedencia de los visitantes de la web. Por ejemplo, si la web está escrita en Portugués, lo más normal es que lo visitante procedan de Portugal o Brasil, pero claro, tratándose de Internet, ya se sabe. Personalmente me he topado con el "inconveniente" de terner un VPS en US cuando lo usuarios potenciales visitan el site dede Europa. En fin, la ignorancia tiene estas cosas. En Debian GNU/Linux tenemos el paquete geoip-bin, que no "dice" el pais al que pertenece la IP de nuestro servidor.

[root@patriciaconde]apt-get update && apt-get install geoip-bin
[root@patriciaconde]geiplookup permuy.org
GeoIP Country Edition: ES, Spain
[root@patriciaconde]geiplookup www.permuy.org
GeoIP Country Edition: US, United States

  • Latencia y rendimiento de red : Cómo de lejos está nuestro server/servers. Ping, traceroute, dig +trace,smokeping, incluso herramientas de monitorización "free" como mon.itor.us pueden ayudarnos a tomar decisiones técnicas finales acerca del proveedor de Hosting.
  • Sistema Operativo: Sin comentarios. GNU/Linux o FreeBSD en su defecto. Si no tiene acceso por SSH no me vale! Juas!
  • ¿ Son Geeks ?. Es algo que valoro, a veces en exceso. Rodearse de Unix/Linux Geeks tiene cosas positivas, por ejemplo, si aburres con tus conversaciones, siempre puedes hacer un apt-get update e instalar una versión nueva de la conversación....se me va la pinza. Retomando, si realmente son geeks y buenos, algo que deberían hacer es compilar su software. Por ejemplo, el fingerprint del webserver. A mucha gente no le dice nada, a mi , muchísimo. Quiere decir que se han preocupado por optimizar sus máquinas, y probablemente también dedicasen tiempo a elegir que software van a instalar. Pero, como casi todo en esta vida, mejor con un ejemplo. El señor Permuy, no se ha preocupado en compilar su Apache y ahora, en lugar de Debian GNU/Linux tiene que usar Ubuntu en su webserver por X motivos. El Sr.Kutus tiene su server detrás de un Firewall, probablemente IPCOP o alguna solución empotrada. Mientras que el Sr.Ferrolmoda.com aloja sus webs en un DinaHTTPD Server de Dinahosting. Veamos.

[root@patriciaconde]nmap -A www.comunidadeozulo.org -p 80
(...)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.2.9 ((Ubuntu) PHP/5.2.6-1+lenny2 with Suhosin-Patch)
-------------------------------------------------------------
[root@patriciaconde]nmap -A www.kutus.es -p 80
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: firewall|telecom-misc|WAP|general purpose|server appliance
Running (JUST GUESSING) : IPCop Linux 2.4.X (89%), Avaya Linux 2.6.X (88%), FON Linux 2.4.X|2.6.X (87%), Linksys Linux 2.6.X (86%), Netgear Linux 2.6.X (86%), Linux 2.6.X (85%), Toshiba Linux 2.4.X (85%)
--------------------------------------------------------------
[root@patriciaconde]nmap -A www.ferrolmoda.com -p 80
Interesting ports on hl58.dinaserver.com (82.98.134.13):
PORT STATE SERVICE VERSION
80/tcp open http?
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port80-TCP:V=4.62%I=7%D=4/23%Time=49F0A3A7%P=i686-pc-linux-gnu%r(GetReq
SF:uest,239,"HTTP/1\.1\x20200\x20OK\r\nDate:\x20Thu,\x2023\x20Apr\x202009\
SF:x2017:23:14\x20GMT\r\nServer:\x20DinaHTTPd\x20Server\r\nLast-Modified:\
SF:x20Mon,\x2024\x20May\x202004\x2016:25:22\x20GMT\r\nETag:\x20\"b475-147-


Espero que este post sea útil, seguro que existen un montón de errores y deficiencias técnicas, pero me he divertido mucho escribiéndolo.


miércoles, 22 de abril de 2009

Splitvt


Ayer, charlando con un amiguete, me entero que existe splitvt, una herramienta muy útil, que permite dividir el terminal en dos, ejecutando en cada "parte" un comando. Realmente me parce una gran herramienta, que desde ayer por la noche no faltará en mis utilidades para terminal. Para instalar splitvt, basta con un simple apt-get:

[root@pilarrubio]apt-get update && apt-get install splitvt

Imaginemos que queremos ejecutar dmesg en la parte superior y top, en la inferior:

[root@patriciaconde]splitvt -upper dmesg -lower top

lunes, 20 de abril de 2009

Truecrypt command line!



Color del texto
Hasta hace poco, cifraba los(mis) ficheros con TrueCrypt. Lo malo es la acción montar/desmontar lo hacía de forma manual. TrueCrypt está muy bien documentado, es multiplataforma, y para mí que uso el 70% del tiempo Debian GNU/Linux y un 30% MacOS X, es perfecto. Dejo un pequeño apunte para montar volúmenes cifrados con TC vía shell.

truecrypt --text --password=mipassword --non-interactive /media/lacie/cifrado /cifrado

Ahora con un script utilizando rsync, sincronizaré los directorios /etc /home/proyecto y /root.
Salud!