PoisonClub – Bienvenido a mi mundo.

Hola, voy a ser un mini how-to de la instalación de Pure-ftpd en Ubuntu Server 9.10

Por cuestión de muerte del servidor de Ubuntu tuve que reinstalar así que acá les dejos los pasos:

Para ello deje atrás mi Ubuntu Server 7 para pasar a Ubuntu 9.10.
No quise poner el pro-ftpd que me dio problemas con el inicio de “Standalone” en vez de usar el inetd y como a veces se iniciaba mal, o no arrancaba tenia que intervenir en el mismo preferi probar el Pure-FTPD que me recomendó Dany de Comvive.es que el que usa el en sus Hosting y no tiene problemas. Y la verdad que llevo ya 2 años con un servidor con ellos y no tuve ningún drama. Así que le hice caso y me puse manos a la obra.

Bien la idea es correr el pure-ftpd como servidor con los usuarios de Linux.
Se que no es lo mejor, va no me lo recomendaron, todos prefieren usuarios virtuales con mysql.

Pero como es un servidor que solo se usara para transferencias de archivos, lo utilizo con los usuarios del sistema y para el SSH solo dejo permiso para 2 usuarios, un detalle si le pones loguin = false a los usuarios tampoco pueden loguearse en el FTP, supongo que debe de haber un modo de evitar esto, pero por suerte no tuve que necesitarlo.

Dedos a la obra:

Lo primero que hice fue instalar a través de comandos del APT

apt-cache search ftp | less

Con esto localize el pureftpd

apt-get install pure-ftpd-common

Esto crea el directorio “/etc/pure-ftpd” que es donde guarda toda la configuración, cuando busque aquí adentro no encontré fichero de configuración, si no archivos con los nombres de las variables de configuración y dentro de ellos el valor numérico o texto que corresponde.

ls de “/etc/pure-ftpd”

auth/
conf/
db/
pureftpd-dir-aliases
pureftpd.passwd

Dentro del directorio conf/ vienen algunos ficheros ya creados. Pero no todos los necesarios por eso dejo mi listado y la utilidad de cada uno “Sin las comillas!”

Para crear estos ficheros se puede hacer con echo o touch

AltLog  => dentro del fichero ponemos la configuración del log = “clf:/var/log/pure-ftpd/transfer.log”

MaxClientsPerIP => Máximos clientes por IP la traducción es simple.

ProhibitDotFilesWrite => No trabajar con ficheros ocultos = “yes”

MinUID Numero id de los usuarios a partir de ese numero los usuarios validos = “1000″ ( ojo esto es Ubuntu)

PureDB => Esto seria en caso de correr usuarios virtuales, no es mi caso pero llevaria el path del ficheros con los datos = “/etc/pure-ftpd/pureftpd.pdb”

ChrootEveryone => Esto deja que los user solo puedan ver su carpeta /home/user  = “yes”

NoAnonymous => Este fichero permite o no usuarios anónimos que no es mi caso, en caso de activarlo revisar la configuración ya que yo acá no la utilice y por ende no tengo los ficheros pertinentes para la correcta configuración de Anónimos = “yes”

UnixAuthentication => Tipo de Autentificación del sistema, como uso usuarios del Listema = “yes”

DisplayDotFiles => Mostrar ficheros ocultos, como tampoco los dejo editar ni escribir = “no”

NoChmod => No permito cambiar permisos, como son solo ficheros de datos y no se deben utilizar ni tampoco tienen derecho a loguearse en la maquina no lo permito = “yes”

UserBandwidth => Con este decimos que ancho de banda pueden manejar los usuarios puede ir un solo valor como compuesto, en caso de uno solo lo toma tanto para subida como para bajada en mi caso = “10000:10000″

FSCharset => Tipo de carácter ANSI a utilizar = “UTF-8″

PAMAuthentication => Autentificación PAM no la utilizo lo deje por default = “yes”

MaxClientsNumber => Cantidad de clientes maximos conectados = “10″

ProhibitDotFilesRead => Seguimos con los ficheros ocultos en este caso la posibilidad de leerlos también la deniego = “yes”

Pues después de esto todo funciona correctamente, espero que le sea de utilidad.

Es muy simple la instalación del servidor y funciona muy bien. Al final el comando que ejecuta el demonio queda así:

Restarting ftp server: Running: /usr/sbin/pure-ftpd -l unix -l pam -E -x -8 UTF-8 -c 10 -R -u 1000 -O clf:/var/log/pure-ftpd/transfer.log -A -t 10000:10000 -T 100000:100000 -X -B

Otro blog que explica más paso a paso

http://www.n1mh.org/weblog/2006/04/12/como-configurar-pure-ftpd-en-debian/

Después de haber vivido uno noche mágica, llena de sentimientos de los más profundos, pude volver a creer en la vida, en la gente.

Desde mi partida poco a poco el viejo continente me absorbió mis ideales, a mi como persona, me cambiaron espejito por oro, algo más caro.

Luego de tener el placer, la ocasión, la pausa en el tiempo que todo se lleva, pude disfrutar de un tiempo viendo y escuchando a unos de mis ídolos y pilares de mi vida, escuchando su música desde que tengo memoria, me mostró que aun podemos mejorar, que el amor  por los demás existe, cosa que acá deje de creer hace rato, volviendo a la fuente….

Nada quería compartir con el mundo mi experiencia la verdad que fue algo único, saber que hay gente que todavía cree y trabaja para que los demás crean.

El Leon nos presento su trabajo, su regalo a la vida y a este mundo “Mundo Alas” una excelente película documental, la cual me lleno el power, me mostro lo que somos los Argentinos, y lo que podemos hacer cuando le ponemos garra a las cosas.

Esta noche lo voy a ver la sala bikini, otra vez.

Por favor gente busquen “Mundo Alas”, descubrirán un mundo real!

Como dijo el 10 % de una población se calcula que es minusválido, pero la vida sigue y todos buscamos oportunidades en esta vida y  revanchas….

Fue magia lo que vi anoche….

Un trozo…

Gracias Gieco….

El resultado de la ultima conferencia de la OWASP Spain Chapter Meeting fue mejor de lo esperado.

Primera ponencia:
En la cual tuvimos el placer de escuchar a Richard Stallman, quien hablo sobre las metas y la filosofía del movimiento del Software Libre, y el estado y la historia del sistema operativo GNU, el cual conjuntamente con el núcleo Linux actualmente es utilizado por decenas de millones de personas en todo el mundo.
Es una charla larga pero creo que vale la pena cada segundo de lo que dice.

100 Minutos aprox.

-

La segunda ponencia:
Fue llevada a cabo por Fabio Cerullo. AIB Group. OWASP Global Education Committee.

Y trataba sobre el Top10 de problemas de seguridad.

OWASP: Los diez riesgos más importantes en aplicaciones web 2010

Fabio trabaja actualmente como especialista en seguridad de la información en el banco AIB (Dublin, Irlanda). Sus tareas comprenden realizar análisis de riesgos, evaluar la seguridad de aplicaciones web desarrolladas internamente o adquiridas a terceros, definir políticas y estándares sobre codificación segura, como así tambien brindar entrenamientos sobre seguridad de aplicaciones web a desarrolladores, auditores, ejecutivos y profesionales de seguridad. Antes de unirse a AIB, trabajó como Ingeniero de Seguridad en la Sede Europea de Symantec Security Response analizando código malicioso, amenazas combinadas, riesgos de seguridad y vulnerabilidades en diversas aplicaciones. Antes de trasladarse a Irlanda, trabajó en el desarrollo de diferentes programas y actividades de capacitación con énfasis en el desarrollo de software seguro en su natal Argentina. Como miembro de la organización OWASP, Fabio forma parte del Comite Global de Educación cuya misión es brindar capacitación y servicios educativos a empresas, instituciones gubernamentales y educativas sobre seguridad en aplicaciones, coordina conferencias a nivel internacional sobre dicha temática, y desde inicios del 2010 ha sido nombrado presidente del Capitulo OWASP en Irlanda. Fabio es graduado en Ingeniería Informática de la Universidad Católica Argentina y posee el certificado CISSP otorgado por (ISC)2 desde el año 2006.

Duración aprox 65 Minutos

-

Tercera Ponencia:
La tercera ponencia trato sobre un sistema de seguridad para detectar fallos llamado: WAPITI: Seguridad para Desarrolladores Web en el Proyecto Romulus

Fue presentada por: David del Pozo González. Grupo Gesfor

Se presentará la herramienta Wapiti, un escáner de vulnerabilidades de aplicaciones web que permite auditar aplicaciones web y obtener informes que faciliten a los desarrolladores la corrección de fallos. Se mostrará tanto su uso para usuarios finales como su facilidad de extensión con nuevos ataques.

Duración aprox. 38 Minutos

-

La cuarta Ponencia
A cargo de Christian Martorella. S21sec, la verdad a mi ver la mas interesante, por la atención que logro del publico como la participación.

Aunque toca un tema que nunca muere, la fuerza bruta en accesos a la seguridad web, la recomiendo

2010 y aún utilizando fuerza bruta: Webslayer
Christian Martorella. S21sec
La presentación hablará sobre cómo los ataques de fuerza bruta siguen siendo útiles contra las aplicaciones Web y se presentará la última versión de Webslayer, un proyecto OWASP orientado a cubrir todas las necesidades de las pruebas de fuerza bruta contra las aplicaciones Web.

Duración aprox. 55 Minutos

-

La verdad que me llevo un gran trabajo la edición de los vídeos y el render de los mismos todo un fin de semana la descarga de las mas de 4 horas de vídeo, luego cortar y presentar lo mejor que pude las cosas.
Espero que sean de utilidad, ya que estas charlas que brinda la OWASP son muy útiles para las comunidades de Internet.
Galería de Imágenes.

VI OWASP Spain Chapter Meeting: 18 de junio de 2010

Se llevo a cabo la conferencia la VI OWASP Spain Chapter Meeting - El 18 de junio de 2010, las fotos del evento.

50 Fotos

La verdad que este post no requiere mas texto que decir!

Si sos programador te vas a reir!

Java 4 Ever

Nueva conferencia de la OWASP Spain en Barcelona 2010

Owasp

Este año se celebra la conferencia de seguridad de la OWASP y tiene el honor de traernos como ponente a Richard Stallman.
Aunque la charla no va muy orientada a la Seguridad y ya lo escuche en otras conferencias creo que vale la pena, también espero poder preguntar sobre su mentalidad sobre el Hacking.

Es de agradecer el esfuerzo que realiza Vicente Aguilera Díaz, el cual se esfuerza por llevar a cabo cada año esta conferencia y gracias a él podemos disfrutar de un evento de tanto nivel.

Bueno a todos los interesados a darse prisa ya que el Aforo al lugar es limitado para ver información sobre el evento:

La página oficial:
http://www.owasp.org/index.php/Spain

Detalles de las charlas:

VI OWASP Spain Chapter Meeting – Viernes 18 de junio de 2010. Barcelona.

5:00h-16:00h     Registro de asistentes

16:00h-16:05h
Bienvenida y apertura del evento
Vicente Aguilera Díaz. OWASP Spain Chapter Leader. OWASP

16:05h-17:35h
El Software Libre y tu libertad
Richard Stallman. Free Software Foundation.
Richard Stallman hablará sobre las metas y la filosofía del movimiento del Software Libre, y el estado y la historia del sistema operativo GNU, el cual conjuntamente con el núcleo Linux actualmente es utilizado por decenas de millones de personas en todo el mundo.
Richard Mattew Stallman es un programador y activista del software libre. En 1983 anunció el proyecto para desarrollar el sistema operativo GNU, un sistema operativo tipo Unix destinado a ser totalmente libre, y es el líder del proyecto desde entonces. GNU se usa usualmente con el kernel Linux en la combinación GNU/Linux. Con ese anuncio Stallman lanzó también el movimiento del software libre. En octubre de 1985 creó la Free Software Foundation. Stallman ha recibido el premio “Grace Hopper” de la ACM (ACM Grace Hopper Award), una beca de la Fundación MacArthur, el premio “Pionero” de la Fundación Frontera Electrónica, y el Premio Takeda por Mejora Social/Económica, como así también varios doctorados Honoris Causa.

17:35h-18:30h
OWASP: Los diez riesgos más importantes en aplicaciones web 2010
Fabio Cerullo. AIB Group. OWASP Global Education Committee.
Fabio trabaja actualmente como especialista en seguridad de la informacion en el banco AIB (Dublin, Irlanda). Sus tareas comprenden realizar analisis de riesgos, evaluar la seguridad de aplicaciones web desarrolladas internamente o adquiridas a terceros, definir politicas y estandares sobre codificacion segura, como asi tambien brindar entrenamientos sobre seguridad de aplicaciones web a desarrolladores, auditores, ejecutivos y profesionales de seguridad. Antes de unirse a AIB, trabajó como Ingeniero de Seguridad en la Sede Europea de Symantec Security Response analizando codigo malicioso, amenazas combinadas, riesgos de seguridad y vulnerabilidades en diversas aplicaciones. Antes de trasladarse a Irlanda, trabajó en el desarrollo de diferentes programas y actividades de capacitación con énfasis en el desarrollo de software seguro en su natal Argentina.
Como miembro de la organizacion OWASP, Fabio forma parte del Comite Global de Educacion cuya mision es brindar capacitacion y servicios educativos a empresas, instituciones gubernamentales y educativas sobre seguridad en aplicaciones, coordina conferencias a nivel internacional sobre dicha tematica, y desde inicios del 2010 ha sido nombrado presidente del Capitulo OWASP en Irlanda.
Fabio es graduado en Ingenieria Informatica de la Universidad Católica Argentina y posee el certificado CISSP otorgado por (ISC)2 desde el año 2006.
OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web. La misión de este documento es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.
Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. En esta edición 2010 se ha efectuado un cambio significativo en la metodología usada para la elaboración del Top 10. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.. Asimismo, se demostrará como el Top 10 se encuentra relacionado con otros proyectos claves de OWASP tales como ESAPI & ASVS.

18:30h-19:00h
Coffe-break

19:00-19:55h
WAPITI: Seguridad para Desarrolladores Web en el Proyecto Romulus
Carlos A. Iglesias
Se presentará la herramienta Wapiti, un escáner de vulnerabilidades de aplicaciones web que permite auditar aplicaciones web y obtener informes que faciliten a los desarrolladores la corrección de fallos. Se mostrará tanto su uso para usuarios finales como su facilidad de extensión con nuevos ataques.
Dr. Carlos A. Iglesias es coordinador del proyecto Romulus en Informática Gesfor, uno de cuyos objetivos es mejorar la seguridad de las aplicaciones web desarrolladas en Java. Forma parte de Gesfor desde el año 2000, que compatibiliza con la docencia en la Universidad Politécnica de Madrid.

19:55-20:50h
TBD
Christian Martorella
TBD

20:50h-21:00h
Clausura del evento
Vicente Aguilera Díaz. OWASP Spain Chapter Leader. OWASP

A ver si me toca algun libro del sorteo!
Sorteo de material OWASP
Entre los asistentes, se realizará un sorteo de varios lotes de libros y material de OWASP.