Blog de Javi

Hoy voy a explicar como hacer una conexion SSH sin necesidad de meter la clave en cada conexion. Esto puede ser util para conexiones desde servidores de Backup, RSYNC, etc…

Lo primero de todo, ejecutamos en el «cliente» el siguiente comando:

javier@gedeon:~$ ssh-keygen -t dsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/javier/.ssh/id_rsa):
/home/javier/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/javie/.ssh/id_dsa.
Your public key has been saved in /home/javier/.ssh/id_dsa.pub.
The key fingerprint is: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Si os fijais, no pongo una clave «passphrase», porque sino en cada conexion, nos pediria la clave del certificado. Una vez hecho esto, lo unico que nos queda por hacer es añadir el contenido del archivo ~/.ssh/id_dsa.pub en el servidor o servidores a los que nos vayamos a conectar en ~/.ssh/authorized_keys

Con esta sencilla operación ya podemos conectarnos sin necesidad de utilizar claves.

Si alguien quiere conocer mas acerca del metodo de autenticación mediante certificados, le invito a que busque sobre ello por Internet, ya que es muy interesante y se usa en muchos campos, tales como firmar digitalmente correo electronico y encriptarlo, conexiones SSL a servidores Web, DNIe, etc…

Para todo aquel que necesite hacer un script en bash y quiera meter la clave de una conexión SSH en línea de comandos para ejecutar scripts, la solución es sshpass. No recomiendo este método, ya que una clave en un script puede ser un problema de seguridad, para ello podemos realizar la conexión SSH con certificados que ya explicaré en otro momento. La idea de esta entrada es para usos puntuales.

wget http://heanet.dl.sourceforge.net/project/sshpass/sshpass/1.05/sshpass-1.05.tar.gz
tar xvf sshpass-1.05.tar.gz
cd sshpass-1.05
./configure
make
make install

Ahora una vez instalado sshpass en nuestro sistema o servidor, la sentencia para conectarnos a ssh es la siguiente:

sshpass -p 'passwd' ssh root@172.25.0.1

Muchas veces ocurre que tenemos que resetear algún router puede que nos toque que despues de resetearlo no tenemos los datos de acceso al mismo. Por suerte existe un sitio llamado RouterIPAddress.com que se encarga de llevar una base de datos con los login’s por defecto de los routers comerciales.

La base es extensa y se puede encontrar información de muchas marcas con sus respectivos login’s e IPs por defecto.

RouterIPAddress.com

De aquí a un tiempo he visto algunos scripts bastante simples que, sorprendentemente, hacen bastante daño a malas configuraciones de sitios con wordpress. El sistema de DoS (Denial of Service, Denegación de Servicio) que se usa para el ataque es de tipo flood (inundación) enviando un número muy alto de peticiones. Por ejemplo: Under Security.

Normalmente, estos scripts se realizan buscando las peticiones más lentas de los sistemas web. Una vez detectadas, se procede a lanzar muchas de estas peticiones en muy poco tiempo. Los servidores web, ante una avalancha de peticiones, normalmente, comienzan a crear forks o workers (según el servidor y modo de funcionamiento) hasta llegar al límite máximo configurado… o a que se sature el sistema y termine no respondiendo.

Los sistemas GNU/Linux, al igual que la mayoría, tienen un uso de memoria limitada por el tamaño de la misma que haya instalada. Estos sistemas manejan una caché bastante grande y por ello, aunque se tenga 1GB o más instalado en el sistema, siempre se anda con una ocupación bastante alta de la memoria del sistema. Cuando esta se agota, se recurre a la memoria de intercambio (swap), que es mucho más lenta que la memoria convencional, por lo que el sistema comienza a ralentizarse.

Para evitar estos problemas, lo ideal es configurar de forma adecuada el servidor web, acorde a la memoria disponible, el número máximo de hilos que se puedan crear y el número máximo de forks o workers que se puedan lanzar para atender peticiones. Con esto evitamos que la memoria se use en exceso y, aunque las peticiones se atiendan más lentas, se asegure que el sistema permanecerá estable.

También habría que revisar la pila de entrada TCP para el puerto 80 (se puede ver a través de netstat en cualquier sistema GNU/Linux), por si acaso se saturase mucho, comenzar a cortar, vía cortafuegos (iptables), las direcciones IP que estén haciendo flood.

Fuente: Bosque Viejo

MadMACs es una utilidad simple que nos permitirá cambiar aleatoriamente la MAC y el nombre de host de nuestro ordenador. La MAC es la dirección física de la tarjeta de red, teóricamente única para cada tarjeta.

¿Para qué sirve cambiar estos datos? Básicamente, para aumentar nuestra privacidad ante un servidor DHCP. Los servidores DHCP son los que asignan una dirección IP a cada ordenador de la red y puede interesarnos que este no se guarde los datos que nuestra ordenador le va a ofrecer.

Por ejemplo, si vamos cada tarde a una cafetería donde ofrecen acceso a Internet y siempre usamos el mismo portátil, viendo un registro del servidor de DHCP es posible saber a que horas y cuanto tiempo hemos estado allí. Si cambiamos aleatoriamente nuestra MAC y el nombre de host no se va a poder hacer ninguna correlación con los datos del servidor.

Y sí, aunque no lo parezca, hay gente que tiene esos niveles de paranoia e incluso peores.

Descargar MadMACs