Como instalar APF para cPanel

Estoy configurando un nuevo servidor para mudar los sitios web que estoy hospedando y quise aprovechar para documentar como instalar APF (Advanced Policy Firewall) en un servidor con cPanel (Prácticamente es lo mismo si tiene cPanel o no, sólo configuraremos distintos puertos).

Debes entrar como root a la consola y de preferencia moverte a un directorio temporal

1) Descarga los archivos de APF

# wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

2) Extrae el contenido del tar.gz y te diriges al directorio (varia según la versión)

# tar -zxf apf-current.tar.gz
# cd apf-9.7-2

3) Debes correr el instalador dentro de dicha carpeta

# ./install.sh

4) Ahora debemos editar los puertos en el archivo de configuración

# nano -w  /etc/apf/conf.apf

Los puertos entrantes deben quedar de la siguiente manera para un servidor con cPanel

# Common ingress (inbound) TCP ports
IG_TCP_CPORTS=" 20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096,3306,6666"

# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="21,53,465,873"

# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11,0,30,8"

Y los salientes de la siguiente manera

# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,22,25,26,37,43,53,80,110,113,443,465,873,2089,3306"

# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53,465,873"

# Common ICMP (outbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
EG_ICMP_TYPES="all"

Para que APF monitoree los puertos salientes es necesario buscar

EGF="0"

y sustituirlo por

EGF="1"

5) Guardamos y cerramos nuestro archivo (CTRL+X) e iniciamos APF

# /usr/local/sbin/apf -s

6) Prueba que todo funcione (SSH, webmail, cPanel, WHM, etc.), si todo funciona correctamente volvemos a editar el archivo de configuración

# nano -w  /etc/apf/conf.apf

Buscamos y cambiamos

DEVEL_MODE="0"

por

DEVEL_MODE="1"

7) Guardas, cierras y reinicias APF

/usr/local/sbin/apf -r

¡Listo! APF está corriendo y monitoreando tu servidor

Habilitar acceso anónimo en SharePoint Foundation 2010

Para poder habilitar el acceso anónimo a un sitio de SharePoint Foundation 2010 primero necesitamos activarlo en la aplicación web siguiendo los siguientes pasos como administrador:

  1. Acceder al panel de Internet Information Services (IIS) Mannager en Windows Server
  2. Seleccionar la aplicación web a la que queremos habilitar el acceso anónimo
  3. Hacer clic en el ícono de Authentication
  4. Hacer clic derecho sobre “Anonymous Authentication” y seleccionar la opción de “Enable”

Con estos pasos estamos permitiendo acceso anónimo a la aplicación web los siguientes pasos habilitarán dicho acceso para SharePoint Foundation 2010:

  1. Abrir el sitio donde se desea habilitar el acceso anónimo
  2. En el menú de “Site Actions” hacer clic en “Site Settings”
  3. En la página de “Site Settings”, en la columna de “Users and Permissions” hacer clic en “Advanced Permissions”
  4. En l página de “Permissions”, en el menú de “Settings”, hacer clic en “Anonymous Access”
  5. En la página de “Anonymous Access”, seleccionar las partes del sitio a las cuales se quiere habilitarel acceso anónimo

Es recomendable realizar las configuraciones en un sitio en blanco y posteriormente importar el contenido.

Configurar llaves para SSH

En el post anterior hablaba sobre criptografía de llave pública, ahora les explicaré como implementarla en un servidor para proteger el acceso a SSH.

El par de llaves puede ser generado en windows o en sistemas basados en UNIX con los siguientes pasos:

MacBook-Pro-de-Arturo-Leon:/ arturo$ cd ~/.ssh

Ya en la carpeta generamos nuestro par de llaves, al no pasar parámetros nos generará por defecto una llave RSA de 2048 bits

MacBook-Pro-de-Arturo-Leon:.ssh arturo$ ssh-keygen

Mostrará la siguiente salida, cuando te pide el archivo donde se guardará puedes presionar enter para dejarlo en default (id_rsa) o escribir uno y opcionalmente puedes usar una contraseña que agrega una capa extra de seguridad ya que para acceder al servidor se necesitará la llave y la contraseña, al no configurar una con la llave será suficiente para acceder.

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/arturo/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /Users/arturo/.ssh/id_rsa.
Your public key has been saved in /Users/arturo/.ssh/id_rsa.pub.
The key fingerprint is:
75:fc:34:ab:80:21:7b:43:a8:ea:19:7b:f2:09:94:eb arturo@MacBook-Pro-de-Arturo-Leon.local
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|       .   .     |
|      o o . o o  |
|   . . + + . o o |
|  o . . S .   o  |
| . o   . . . .   |
|  =         .    |
| o.=..           |
|  E+o            |
+-----------------+

Ya está generado el par de llaves, lo podemos comprobar listando el contenido del directorio

MacBook-Pro-de-Arturo-Leon:.ssh arturo$ ls
id_rsa		id_rsa.pub	known_hosts

id_rsa será nuestra llave privada mientras que id_rsa.pub será la llave pública. Ahora es necesario copiar el contenido de id_rsa.pub dentro de el archivo ~/.ssh/authorized_keys en el servidor remoto, puedes tener cuantas llaves quieras (una por línea).

En mi caso voy a deshabilitar el acceso a SSH utilizando contraseña editando el archivo /etc/ssh/sshd_config en el servidor remoto dejan el parámetro de la siguiente forma

PasswordAuthentication no

Y asegúrate que el acceso con llave esté habilitado

PubkeyAuthentication yes

Nos queda finalmente recargar la configuración de SSH con el siguiente comando

service sshd reload

Es recomendable primero activar el acceso con llave y luego deshabilitar el acceso con password para evitar quedar “fuera” de el servidor y no poder entrar para hacer correcciones.

Otras opciones para asegurar el servidor es cambiando el puerto por defecto que utiliza SSH, deshabilitar el acceso root, siempre contar con un firewall y tener el software actualizado.

Criptografía de llave pública

La criptografía de llave pública se refiere a un sistema criptográfico asimétrico que requiere dos llaves separadas, una para cifrar la información y otra para descifrarla, ninguna de las dos llaves puede realizar ambas funciones.

Bajo este esquema, cualquier persona puede cifrar mensajes usando la llave pública, pero solo quién tenga la llave privada puede descifrar el mensaje, la seguridad depende de la secrecía de dicha llave.

La criptografía asimétrica esta basada en relaciones matemáticas que no tienen una solución eficiente, el uso de estos algoritmos también permite verificar la autenticidad de el mensaje creando una firma digital usando la llave privada que puede ser verificado usando la llave pública.

Algunos ejemplos de protocolos utilizan la criptografía de llave pública son SSH, SSL y PGP.

Wayra México 2011

Este año Pablo Carrillo y yo presentamos un proyecto que estábamos trabajando en Wayra México (Aceleradora de proyectos) sobre microfinanzas en México el cual quedó entre los 30 finalistas (entre 387 proyectos).

Participar en esta plataforma fue una experiencia muy grata ya que me ayudó a percibir mejor el estado de ls startups en México además de hacer un poco de networking. Desafortunadamente no fuimos ganadores en este año pero me quedo muy contento con los resultados.

Video tomado después de presentar nuestro proyecto ante el jurado

Respaldar todas las bases de datos MySQL con SSH

Para hacer un respaldo de todas las bases de datos MySQL de nuestro usuario con SSH podemos usar mysqldump de la siguiente manera:

mysqldump -u <usuario> -p<password> –all-databases –lock-all-tables > <destino>.sql

<usuario> debe ser reemplazado por tu usuario de mysql
<password> debe ser reemplazado por tu contraseña de mysql
<destino> es la ruta y nombre del archivo donde queremos almacenar el respaldo
–all-databases indica que queremos reemplazar todas las bases de datos
–lock-all-tables bloquea las tablas una por una mientras está haciendo el respaldo para que sean consistentes (aunque no serán consistentes entre ellas ya que el respaldo se hace en estados distintos)

Podemos comprimir el archivo de respaldo en GZIP modificando un poco el comando de la siguiente manera:

mysqldump -u <usuario> -p<password> –all-databases –lock-all-tables | gzip > <destino>.sql.gz

Al igual que el anterior este nos creará un archivo en <destino> solo que esta vez con terminación .sql.gz

Respaldar cuentas de cPanel manualmente via SSH

cPanel tiene un script para generar respaldos completos de cuenta, via SSH lo podemos utilizar para generar estos archivos ya sea para tener una copia de seguridad o moverlo a otro servidor.

La forma de generar el respaldo es utilizando el siguiente comando:

/scripts/pkgacct <usuario> <destino> backup

<usuario> debe ser sustituido por el nombre de usuario a respaldar
<destino> debe ser reemplazado por la ubicación donde queremos almacenar el respaldo

Esto nos va a generar un archivo con el formato <usuario>.tar.gz en <destino>