lunes, 11 de marzo de 2013

Configurando Fedora 18



Hace poco instalé en mi máquina la última versión de Fedora: "Spherical Cow". O también conocida como Fedora 18. Así que pondré aquí algunas de las configuraciones que hice para asegurar un poco mi sistema y además instalar algunas herramientas "básicas".


1. Cerrar puertos de servicios innecesarios

En Fedora (y en casi cualquier distro) vienen activos algunos servicios que abren varios puertos TCP y UDP. Estos servicios, de ser vulnerables, pueden ser una brecha en nuestro sistema. Por ello, si no los usamos, es mejor deshabilitarlos.

Para ver los puertos TCP y UDP que están abiertos:

# netstat -lnptu

Para detener los servicios anteriores:

# systemctl stop rpcbind.service
# systemctl stop sendmail.service
# systemctl stop avahi-daemon.service
# systemctl stop cups.service
# systemctl stop chronyd.service

Para desactivar el inicio automático de esos servicios:

# systemctl disable rpcbind.service
# systemctl disable sendmail.service
# systemctl disable avahi-daemon.service
# systemctl disable cups.service
# systemctl disable chronyd.service

* IMPORTANTE: El servicio "cups" es el servicio de impresión, así que si tienes configurada una impresora mejor no lo deshabilites o en cualquier caso inícialo cuando vayas a usar la impresora. El servicio "chronyd" sirve para sincronizar la hora por NTP, luego de detenerlo asegurate de que tu reloj no esté desconfigurado.

Después de esto no deberías ver ningún puerto TCP o UDP abierto :)


2. Configurar un firewall personalizado

Fedora trae una GUI para configurar las reglas del firewall (iptables). En realidad no la he usado, pues prefiero configurar iptables manualmente. En general todos los fontends para iptables añaden muchos "chains" y reglas default y eso en particular no me agrada porque hace difícil leer y comprender la configuración.

En Fedora 18, además hay un servicio "firewalld" que es el que interactua con la GUI. No estoy seguro si este servicio venía en versiones anteriores, creo que no.

Primero desahabilitaremos el servicio "firewalld":

# systemctl stop firewalld.service
# systemctl disable firewalld.service

Luego creamos un script "firewall.sh" con la configuración de iptables. Por ejemplo algo como esto:

#!/bin/bash

iptables=/sbin/iptables

# BORRAR CONFIGURACION ACTUAL
$iptables -t filter -X
$iptables -t nat -X
$iptables -t mangle -X

$iptables -t filter -F
$iptables -t nat -F
$iptables -t mangle -F

$iptables -t filter -Z
$iptables -t nat -Z
$iptables -t mangle -Z


# POLITICAS POR DEFECTO
$iptables -P INPUT DROP
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT


# DEFINIR REGLAS

# permitir todo desde localhost
$iptables -A INPUT -i lo -j ACCEPT

# permitir conexiones establecidas
$iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# abrir el puerto 80
$iptables -A INPUT -p TCP -m tcp --dport 80 -j ACCEPT

Puedes encontrar un excelente tutorial de iptables en este link:

http://www.pello.info/filez/IPTABLES_en_21_segundos.html

Ejecutamos el script como root:

# ./firewall.sh

Y guardamos la configuración de iptables:

# iptables-save > /etc/sysconfig/iptables

Finalmente iniciamos el servicio "iptables" y lo configuramos al inicio del sistema.

# systemctl start iptables.service
# systemctl enable iptables.service

Ahora puedes ver tu configuración con el siguiente comando:

# iptables -L -nv

NOTA: Si ahora tratas de usar la GUI del firewall, verás que ya no funciona. Para arreglarlo debes detener y desactivar el servicio "iptables" y luego iniciar y activar el servicio "firewalld".

# systemctl stop iptables.service
# systemctl disable iptables.service

# systemctl start firewalld.service
# systemctl enable firewalld.service


3. Instalar metasploit

Primero descargamos el instalador para linux de 32 o 64 bits desde aquí:

http://www.metasploit.com/download/

Luego hay que darle permisos de ejecución y correr el instalador.

# chmod +x metasploit-latest-linux-x64-installer.run
# ./metasploit-latest-linux-x64-installer.run

Iniciará un asistente de instalación y al más puro estilo de windows, solo dale "next" hasta que se cierre la ventana. Solo una observación, asegurate de que esté marcada la opción "Yes" en "Instalar como servicio".

Terminada la instalación tienes abrir tu navegador e ir al siguiente link para registrarte y activar el producto.

https://localhost:3790/

Algo que me ha gustado de metasploit cuando está instalado como servicio es que puedes manejarlo con el comando "systemctl" :) Así que...

Nos aseguramos de que no se inicie con el sistema:

# systemctl disable metasploit.service

Y solo lo iniciamos cuando sea necesario:

# systemctl start metasploit.service

Sin embargo, si tienes SELinux activado y en modo "enforcing" (por defecto está así) tendrás problemas al arrancar el servicio de metasploit. Para arreglarlo hay que cambiar el contexto de una librería.

# semanage fcontext -a -t lib_t /opt/metasploit/common/lib/libpcre.so.1.0.0
# restorecon -v /opt/metasploit/common/lib/libpcre.so.1.0.0

Con eso ya no dará problemas.


4. Instalar Nessus

Descargamos el paquete RPM para Fedora 16/17/18 de 32 o 64 bits desde la web de Nessus.

http://www.tenable.com/products/nessus/select-your-operating-system

Luego instalamos el paquete con yum.

# yum localinstall Nessus-5.0.3-fc16.x86_64.rpm

Terminada la instalación, abrimos el siguiente link desde el navegador para registrar y activar el producto:

https://localhost:8834/

Espera a que descargue todos los plugins y eso es todo :)

Además Nessus también se puede manejar con "systemctl" xD Asi que nuevamente...

Desactivar el inicio automático:

# systemctl disable nessusd.service

Y ya cuando lo necesitemos, iniciamos el servicio:

# systemctl start nessusd.service

En este caso no hay problemas con las políticas de SELinux :)


5. Instalar otras herramientas

Otras herramientas útiles como Nmap, Medusa, OphCrack, HPing3, Aircrack-ng, John the Ripper, DSniff, Wireshark, Ettercap, etc. Están el los repositorios oficiales de Fedora así que...

# yum install nmap ophcrack hping3 aircrack-ng john dsniff wireshark-gnome ettercap

Por sobreentendido que hay muchas más. Si buscas alguna en particular solo:

# yum search NOMBRE DE LA TOOL


¿Y luego me preguntan porqué uso Fedora?

Es todo por ahora :)

Un saludo.

4 comentarios:

  1. Muchisimas gracias, me ha sido de gran ayuda

    ResponderEliminar
  2. Muchas gracias que gran aporte, no podía configurar iptables XD

    ResponderEliminar
  3. Hola Cesar, despues que instale el fedora en mi pc, se para un momento y se me cuelga a veces cada vez que veo videos en flash o vlc, no se si sea mi tarjeta grafica, agradeceria tu respuesta no se si te ha pasado algo asi

    ResponderEliminar