Seguridad

Al intentar acceder a la wiki de un proyecto alojado en un servidor Trac, me encontré con el siguiente mensaje de error:

WIKI_VIEW privileges are required to perform this operation on WikiStart. You don't have the required permissions.

Básicamente significa que el usuario actual no tiene permisos para acceder a la Wiki. Este artículo demuestra cómo gestionar permisos de acceso (autorización) a un sistema Trac desde línea de comandos.

Supongamos que hemos montado un servidor OpenVPN accesible libremente desde Internet (desde cualquier dirección IP). Este, por ejemplo, es el caso en el que deseamos que clientes conectados desde cualquier ubicación (usuarios remotos y con movilidad) puedan acceder a nuestra red local corporativa.

El problema es que tener un acceso público a nuestra VPN nos vuelve blanco de todo tipo de ataques, con lo cual deseamos mejorar la seguridad de su instalación (hardening). Afortunadamente es posible recurrir al mecanismo de autenticación TLS para crear un firewall HMAC (hash-based message authentication code). Esto permite bloquear ataques de tipo DoS (Denial of Service) y flooding de puertos UDP antes de que se establezca efectivamente la conexión con el servidor OpenVPN.

Hace apenas unos días recibí este correo anunciando el final de la autoridad certificante gratuita StartSSL. En gran medida, esta entidad certificante que proveyó certificados SSL/TLS gratuitos durante años, desaparece por obra y gracia de Google.

Tuve la necesidad de escanear en búsqueda de virus unos archivos antes de transferirlos a un sistema con Windows, con lo cual decidí instalar ClamAV (el conocido antivirus open source) en mi estación de trabajo corriendo FreeBSD 11.1.

En el primer artículo sobre OpenLDAP, expliqué cómo instalar y configurar LDAP con Postgres como backend. En el mismo presenté una configuración básica para slapd, la cual almacenaba la contraseña de root (superusuario de LDAP) en formato plano. Esto tiene varias implicancias negativas desde el punto de vista de la seguridad de la información, con lo cual el siguiente paso consiste en cambiar esta configuración para que el password se almacene como hash MD5 o SHA-1 en vez de plano.