PoisonClub – Bienvenido a mi mundo.

Hola, voy a ser un mini how-to de la instalación de Pure-ftpd en Ubuntu Server 9.10

Por cuestión de muerte del servidor de Ubuntu tuve que reinstalar así que acá les dejos los pasos:

Para ello deje atrás mi Ubuntu Server 7 para pasar a Ubuntu 9.10.
No quise poner el pro-ftpd que me dio problemas con el inicio de “Standalone” en vez de usar el inetd y como a veces se iniciaba mal, o no arrancaba tenia que intervenir en el mismo preferi probar el Pure-FTPD que me recomendó Dany de Comvive.es que el que usa el en sus Hosting y no tiene problemas. Y la verdad que llevo ya 2 años con un servidor con ellos y no tuve ningún drama. Así que le hice caso y me puse manos a la obra.

Bien la idea es correr el pure-ftpd como servidor con los usuarios de Linux.
Se que no es lo mejor, va no me lo recomendaron, todos prefieren usuarios virtuales con mysql.

Pero como es un servidor que solo se usara para transferencias de archivos, lo utilizo con los usuarios del sistema y para el SSH solo dejo permiso para 2 usuarios, un detalle si le pones loguin = false a los usuarios tampoco pueden loguearse en el FTP, supongo que debe de haber un modo de evitar esto, pero por suerte no tuve que necesitarlo.

Dedos a la obra:

Lo primero que hice fue instalar a través de comandos del APT

apt-cache search ftp | less

Con esto localize el pureftpd

apt-get install pure-ftpd-common

Esto crea el directorio “/etc/pure-ftpd” que es donde guarda toda la configuración, cuando busque aquí adentro no encontré fichero de configuración, si no archivos con los nombres de las variables de configuración y dentro de ellos el valor numérico o texto que corresponde.

ls de “/etc/pure-ftpd”

auth/
conf/
db/
pureftpd-dir-aliases
pureftpd.passwd

Dentro del directorio conf/ vienen algunos ficheros ya creados. Pero no todos los necesarios por eso dejo mi listado y la utilidad de cada uno “Sin las comillas!”

Para crear estos ficheros se puede hacer con echo o touch

AltLog  => dentro del fichero ponemos la configuración del log = “clf:/var/log/pure-ftpd/transfer.log”

MaxClientsPerIP => Máximos clientes por IP la traducción es simple.

ProhibitDotFilesWrite => No trabajar con ficheros ocultos = “yes”

MinUID Numero id de los usuarios a partir de ese numero los usuarios validos = “1000″ ( ojo esto es Ubuntu)

PureDB => Esto seria en caso de correr usuarios virtuales, no es mi caso pero llevaria el path del ficheros con los datos = “/etc/pure-ftpd/pureftpd.pdb”

ChrootEveryone => Esto deja que los user solo puedan ver su carpeta /home/user  = “yes”

NoAnonymous => Este fichero permite o no usuarios anónimos que no es mi caso, en caso de activarlo revisar la configuración ya que yo acá no la utilice y por ende no tengo los ficheros pertinentes para la correcta configuración de Anónimos = “yes”

UnixAuthentication => Tipo de Autentificación del sistema, como uso usuarios del Listema = “yes”

DisplayDotFiles => Mostrar ficheros ocultos, como tampoco los dejo editar ni escribir = “no”

NoChmod => No permito cambiar permisos, como son solo ficheros de datos y no se deben utilizar ni tampoco tienen derecho a loguearse en la maquina no lo permito = “yes”

UserBandwidth => Con este decimos que ancho de banda pueden manejar los usuarios puede ir un solo valor como compuesto, en caso de uno solo lo toma tanto para subida como para bajada en mi caso = “10000:10000″

FSCharset => Tipo de carácter ANSI a utilizar = “UTF-8″

PAMAuthentication => Autentificación PAM no la utilizo lo deje por default = “yes”

MaxClientsNumber => Cantidad de clientes maximos conectados = “10″

ProhibitDotFilesRead => Seguimos con los ficheros ocultos en este caso la posibilidad de leerlos también la deniego = “yes”

Pues después de esto todo funciona correctamente, espero que le sea de utilidad.

Es muy simple la instalación del servidor y funciona muy bien. Al final el comando que ejecuta el demonio queda así:

Restarting ftp server: Running: /usr/sbin/pure-ftpd -l unix -l pam -E -x -8 UTF-8 -c 10 -R -u 1000 -O clf:/var/log/pure-ftpd/transfer.log -A -t 10000:10000 -T 100000:100000 -X -B

Otro blog que explica más paso a paso

http://www.n1mh.org/weblog/2006/04/12/como-configurar-pure-ftpd-en-debian/

El resultado de la ultima conferencia de la OWASP Spain Chapter Meeting fue mejor de lo esperado.

Primera ponencia:
En la cual tuvimos el placer de escuchar a Richard Stallman, quien hablo sobre las metas y la filosofía del movimiento del Software Libre, y el estado y la historia del sistema operativo GNU, el cual conjuntamente con el núcleo Linux actualmente es utilizado por decenas de millones de personas en todo el mundo.
Es una charla larga pero creo que vale la pena cada segundo de lo que dice.

100 Minutos aprox.

-

La segunda ponencia:
Fue llevada a cabo por Fabio Cerullo. AIB Group. OWASP Global Education Committee.

Y trataba sobre el Top10 de problemas de seguridad.

OWASP: Los diez riesgos más importantes en aplicaciones web 2010

Fabio trabaja actualmente como especialista en seguridad de la información en el banco AIB (Dublin, Irlanda). Sus tareas comprenden realizar análisis de riesgos, evaluar la seguridad de aplicaciones web desarrolladas internamente o adquiridas a terceros, definir políticas y estándares sobre codificación segura, como así tambien brindar entrenamientos sobre seguridad de aplicaciones web a desarrolladores, auditores, ejecutivos y profesionales de seguridad. Antes de unirse a AIB, trabajó como Ingeniero de Seguridad en la Sede Europea de Symantec Security Response analizando código malicioso, amenazas combinadas, riesgos de seguridad y vulnerabilidades en diversas aplicaciones. Antes de trasladarse a Irlanda, trabajó en el desarrollo de diferentes programas y actividades de capacitación con énfasis en el desarrollo de software seguro en su natal Argentina. Como miembro de la organización OWASP, Fabio forma parte del Comite Global de Educación cuya misión es brindar capacitación y servicios educativos a empresas, instituciones gubernamentales y educativas sobre seguridad en aplicaciones, coordina conferencias a nivel internacional sobre dicha temática, y desde inicios del 2010 ha sido nombrado presidente del Capitulo OWASP en Irlanda. Fabio es graduado en Ingeniería Informática de la Universidad Católica Argentina y posee el certificado CISSP otorgado por (ISC)2 desde el año 2006.

Duración aprox 65 Minutos

-

Tercera Ponencia:
La tercera ponencia trato sobre un sistema de seguridad para detectar fallos llamado: WAPITI: Seguridad para Desarrolladores Web en el Proyecto Romulus

Fue presentada por: David del Pozo González. Grupo Gesfor

Se presentará la herramienta Wapiti, un escáner de vulnerabilidades de aplicaciones web que permite auditar aplicaciones web y obtener informes que faciliten a los desarrolladores la corrección de fallos. Se mostrará tanto su uso para usuarios finales como su facilidad de extensión con nuevos ataques.

Duración aprox. 38 Minutos

-

La cuarta Ponencia
A cargo de Christian Martorella. S21sec, la verdad a mi ver la mas interesante, por la atención que logro del publico como la participación.

Aunque toca un tema que nunca muere, la fuerza bruta en accesos a la seguridad web, la recomiendo

2010 y aún utilizando fuerza bruta: Webslayer
Christian Martorella. S21sec
La presentación hablará sobre cómo los ataques de fuerza bruta siguen siendo útiles contra las aplicaciones Web y se presentará la última versión de Webslayer, un proyecto OWASP orientado a cubrir todas las necesidades de las pruebas de fuerza bruta contra las aplicaciones Web.

Duración aprox. 55 Minutos

-

La verdad que me llevo un gran trabajo la edición de los vídeos y el render de los mismos todo un fin de semana la descarga de las mas de 4 horas de vídeo, luego cortar y presentar lo mejor que pude las cosas.
Espero que sean de utilidad, ya que estas charlas que brinda la OWASP son muy útiles para las comunidades de Internet.
Galería de Imágenes.

VI OWASP Spain Chapter Meeting: 18 de junio de 2010

Se llevo a cabo la conferencia la VI OWASP Spain Chapter Meeting - El 18 de junio de 2010, las fotos del evento.

50 Fotos

La verdad que este post no requiere mas texto que decir!

Si sos programador te vas a reir!

Java 4 Ever

Luego de disfrutar este programa por el servicio de TV a la Carta, te Televisión Española, que gran iniciativa por suerte, quiero compartirlo con el mundo, ya que habla de el sus cambios y su forma de ir moviendose.

Espero que abra mentes…

Redes (30/05/10): Desmontando mitos sobre el mundo

http://www.eduardpunset.es/

Extrato de su Facebook.

Eduardo Punset Casals (Barcelona, 1936) es abogado, economista y comunicador científico. Es licenciado en Derecho por la Universidad de Madrid y máster en Ciencias Económicas por la Universidad de Londres. Ha sido redactor económico de la BBC, director económico de la edición para América Latina del semanario The Economist y economista del Fondo Monetario Internacional en los Estados Unidos y en Haití.

Como especialista en temas de impacto de las nuevas tecnologías, ha sido asesor de COTEC, profesor consejero de Marketing Internacional en ESADE, presidente del Instituto Tecnológico Bull, profesor de Innovación y Tecnología del Instituto de Empresa (Madrid), presidente de Enher, subdirector general de Estudios Económicos y Financieros del Banco Hispanoamericano y Coordinador del Plan Estratégico para la Sociedad de la Información en Cataluña.

Tuvo un destacado papel en la transición a la democracia como Secretario General Técnico del Gobierno salido de las primeras elecciones democráticas, y en la apertura de España al exterior como Ministro de Relaciones para las Comunidades Europeas. Participó en la implantación del Estado de las autonomías como Conseller de Finances de la Generalitat, y como Presidente de la delegación del Parlamento Europeo para Polonia, tuteló parte del proceso de transformación económica de los países del Este después de la caída del Muro.

Es autor de diversos libros sobre análisis económico y reflexión social. Actualmente, es profesor de “Ciencia, Tecnología y Sociedad” en la Facultad de Economía del Instituto Químico de Sarrià (Universidad Ramon Llull). También es director y presentador del programa de divulgación científica “REDES” de TVE, presidente de la productora de contenidos audiovisuales científicos smartplanet y autor de varios libros cuyo principal objetivo es la divulgación del conocimiento científico.

Luego de un viernes muy activo en las conferencias de Comercio Electrónico.
Las charlas me parecieron en su mayoría de gran calidad, pero una me molesto cuando hablaron en nombre del GNU y sus 4 libertades que Richard Stallman, que trata de comunicar y explicar en sus conferencias  que da alrededor del mundo para que las instituciones como las personas se convenzan del software libre dentro del GNU.

Que es esto del GNU y sus 4 libertades, no voy a entrar en detalles pero algo explicare, en si es una licencia un contrato de uso y desarrollo, que una persona se compromete con ese contrato cuando lo utiliza.
También se le llama “copy left” pero esto no quiere decir que no conlleve responsabilidades cuando se utilice algún software o dato digital liberado con esta licencia de uso.
Pero ahí fue donde choque, un ponente que presentaba su idea de Drupal con su comunidad, atacando y jactándose de que el usa software libre y que por ello un montón de cosas re buenas, lindas que tiene el software libre estaban a favor de su empresa.

“Pero a ver donde entran las 4 libertades en eso” ¿…? Muchos de estos productos GNU tienen doble licencia y gracias a ello YO tengo trabajo como desarrollador PHP.

Pero yo no me presento como Don GNU.

Si no que digo soy GPL o mas de la licencia de FSB o Apache,  uso aplicaciones con esta licencia lo Adapto y si quiero comparto, o NO! Como paso con esta empresa, luego de preguntarle si todo lo que como Empresa desarrollaban lo daban como exige La “GNU” la comunidad que tanto nos da a todos.

Pues como era de esperar fue un NO, ahora sale en la charla el tema de la GPL, pero che… decime la GPL tiene las 4 libertades con la que me intentaste vender esta conferencia desde el principio? Pues a mi ver no, ya que el código desarrollado fuera de la licencia GNU no es auditado por la comunidad del mismo, ya no tiene la seguridad de miles de ojos,  ni el soporte, por ende entre software privativo y software GPL hay un salto, pero no tan grande, y es hora que las empresas y emprendedores lo sepan, la base de la aplicación puede ser Libre pero si es adaptada por empresas que te venden el Free Software como base pero ellos no liberan lo que hacen, tenemos un problema, eso deja de ser Free Software o GNU.

Porque explico esto, porque el auge de muchos por ayudar a la comunidad del GNU y las horas de desarrollo que le meten programadores a la comunidad, luego es banalizada con decirle carma, y el carma de ser el mejor y dar código, esto es un tema donde entra la necesidad social.  Y es abusada por empresas que incentivan a que programes gratis para que ellas luego utilicen ese trabajo y traten de hacer que el ego de la gente suba para que no nos demos cuenta que su negocio se basa en las horas de personas que aman desarrollar y lo hacen por placer, no por lograr fama.