Seguridad

Este artículo explica cómo cifrar archivos con criptografía simétrica (sin necesidad de claves públicas) utilizando GnuPG. De esta forma es posible proteger archivos que contienen información confidencial a través de una contraseña.

El día de hoy tuve la necesidad de desencriptar un viejo volumen de TrueCrypt. Como muchos saben, TrueCrypt fue discontinuado en 2014, y no es posible instalarlo en muchos sistemas operativos modernos. Por ello recurrí a una de las alternativas, que consiste en utilizar la herramienta de línea de comandos tcplay (proveniente de DragonFly BSD) en mi sistema Devuan.

Pasaron casi 5 años y llegó el día menos pensado: mi script para verificar periódicamente la validez de los certificados en mi servidor me avisó que el certificado de mi CA autofirmada está por expirar. Y ahora, ¿quién podrá defendernos?

Este artículo explica cómo renovar el certificado de una CA autofirmada sin alterar el funcionamiento de los certificados válidos emitidos con anterioridad.

Hace un tiempo expliqué cómo funcionan los bits SETUID y SETGID. Sin embargo, al final de dicho artículo mencioné los riesgos involucrados al utilizar estos bits de modo, por ello es recomendable evitar o minimizar su uso. Una buena práctica al momento de realizar el hardening de un servidor es listar todos los archivos que tengan SETUID o SETGID, para evitar configuraciones inseguras.

Este artículo explica cómo utilizar find para buscar y encontrar todos los archivos y directorios que tengan SETUID y/o SETGID. Y de yapa cómo encontrar archivos y directorios con el STICKY bit habilitado (protección contra el borrado).

Luego de configurar un nuevo FileSet para un servidor FreeBSD, me topé con el siguiente mensaje al correr el trabajo de backup por primera vez:

05-dic 13:29 fbsd10-fd JobId 14:      /usr/local/backups/www is a different filesystem. Will not descend from /usr/local/backups into it.

Esto se debe a que, por defecto, el File Deamon de Bacula no atraviesa file systems al momento de realizar un backup. Es decir no resguarda los archivos que se encuentran en un sistema de archivos montado en un subdirectorio.