Esto es comúnmente es llamado seguridad por obscuridad y no debería confiar sólamente en esto, es sólo una de las muchas cosas que puede hacer para ayudar a minimizar las posibilidades de que un servidor sea hackeado.

Primero desabilitaremos la información de versión en el Apache.

—–comando—–
emacs /etc/httpd/conf/httpd.conf
—–comando—–

Presiona control + s para buscar “ServerSignature“
Seguramente dice On, cámbialo a Off
Esto remueve la identificacion de versión del Apache en las páginas de error.

Justo abajo de esa linea agrega otra que diga:

ServerTokens Prod
Esto identificará al Apache simplemente como eso… “apache” sin los números de version o datos del sistema operativo

Salva el archivo ( Control + S y Control + X ) y reinicia el apache

—–comando—–
service httpd restart
—–comando—–

Ahora desabilitaremos el named para que no dé version

—–comando—–
emacs /etc/named.conf
—–comando—–

Busca “query-source address * port 53;”
Agrega una línea justo abajo que diga:

version “Named”;

Salva y reinicia el servicio named

Recuerda que esto sólo es seguridad por obscuridad y aun asi necesitarás actualizar el servidor. Esto sólo va a detener a algunos de encontrar tu server en primera instancia usando escaneos automáticos. No te ayudará en nada si alguien esta tratando de entrar al servidor.

Aqui están los pasos necesarios para la instalación correcta del Zend Optimizer en Plesk

Para instalar el Zend Optimizer en Plesk, sigue los pasos de este Post hasta la fase instalación

Una vez instalado, brimos el archivo php.ini con nuestro editor preferido

# emacs php.ini

Al final de dicho archivo encontraremos las siguientes lineas:

zend_extension_manager.optimizer=/usr/local/Zend/lib/Optimizer-3.2.2
zend_extension_manager.optimizer_ts=/usr/local/Zend/lib/Optimizer_TS-3.2.2
zend_optimizer.version=3.2.2
zend_extension=/usr/local/Zend/lib/ZendExtensionManager.so
zend_extension_ts=/usr/local/Zend/lib/ZendExtensionManager_TS.so

Una vez que localizadas las copiamos ( tal vez en un bloc de notas ), y a continuación las comentamos poniendo un punto y coma enfrente de las lineas quedando estas en el archivo php.ini de la siguiente manera:

;zend_extension_manager.optimizer=/usr/local/Zend/lib/Optimizer-3.2.2
;zend_extension_manager.optimizer_ts=/usr/local/Zend/lib/Optimizer_TS-3.2.2
;zend_optimizer.version=3.2.2
;zend_extension=/usr/local/Zend/lib/ZendExtensionManager.so
;zend_extension_ts=/usr/local/Zend/lib/ZendExtensionManager_TS.so
Entramos en el directorio php.d:

# cd /etc/php.d/

Usamos el editor de texto para crear un nuevo archivo:

# emacs zendloader.ini

Pegamos en el las lineas que anteriormente habiamos copiado del archivo php.ini en el archivo zendloader.ini y guardamos el archivo. Reiniciamos Apache para que los cambios surtan efecto:
# /etc/rc.d/init.d/httpd restart

Y comprobamos que tanto Ioncube como Zend Optimizer se hayan inicializado correctamente con php

# php -v

Si la instalación ha sido correcta veremos algo como esto:

PHP 4.3.9 (cgi) (built: Nov 2 2006 16:39:38)
Copyright (c) 1997-2004 The PHP Group
Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies
with eAccelerator v0.9.5, Copyright (c) 2004-2006 eAccelerator, by eAccelerator
with the ionCube PHP Loader v3.1.16, Copyright (c) 2002-2006, by ionCube Ltd., and
with Zend Extension Manager v1.0.11, Copyright (c) 2003-2006, by Zend Technologies
with Zend Optimizer v3.2.0, Copyright (c) 1998-2006, by Zend Technologies

Para instalarlo, lo primero es descargar el archivo tar.gz desde el sitio oficial para ello ejecutaremos el siguiente comando desde la shell:

http://downloads.zend.com/optimizer/3.2.2/ZendOptimizer-3.2.2-linux-glibc21-i386.tar.gz

# wget ( Pon aqui la direccion de arriba )

Una vez descargado, lo descomprimimos:

# tar -zxvf ZendOptimizer-3.2.2-linux-glibc21-i386.tar.gz

borramos el archivo tar.gz:

# rm -rf ZendOptimizer-3.2.2-linux-glibc21-i386.tar.gz

Entramos en el directorio donde se encuentran los archivos de instalación:

# cd ZendOptimizer-3.2.2-linux-glibc21-i386

Ejecutamos el archivo de instalación:

# ./install.sh

Segimos la instalación respondiendo de forma adecuada a todas las preguntas en el proceso de instalacion, (basicamente Enter… enter… enter) , una vez finalizado el proceso nos dirigimos al directorio en el que se encuentra el archivo php.ini:

# cd /etc

Abrimos el archivo php.ini para leerlo:

# less php.ini

Buscamos las lineas de configuracion de Zend Optimizer en el archivo php.ini, (deben de estar al final )

zend_extension_manager.optimizer=/usr/local/Zend/lib/Optimizer-3.2.2
zend_extension_manager.optimizer_ts=/usr/local/Zend/lib/Optimizer_TS-3.2.2
zend_optimizer.version=3.2.2
zend_extension=/usr/local/Zend/lib/ZendExtensionManager.so
zend_extension_ts=/usr/local/Zend/lib/ZendExtensionManager_TS.so

Reiniciamos el Apache:

# /etc/rc.d/init.d/httpd restart

Y comprobamos que el Zend Optimizer se haya inicializado correctamente con php

# php -v

Si todo ha ido bien deberiamos de obtener algo como esto:

PHP 4.3.9 (cgi) (built: Nov 2 2006 16:40:38)
Copyright © 1997-2004 The PHP Group
Zend Engine v1.3.0, Copyright © 1998-2004 Zend Technologies
with Zend Extension Manager v1.2.0, Copyright © 2003-2006, by Zend Technologies
with Zend Optimizer v3.2.2, Copyright © 1998-2006, by Zend Technologies

El primer paso es generar un par de llaves, usaremos DSA debido a que es más segura que RSA. Si deseas ponerle una contraseña, la puedes poner, en caso contrario solo presiona enter. Una contraseña es recomendable por que forza al usuario a necesitar la contraseña de la llave. El problema es que si deseas la llave para realizar procedimientos automatizados la llave tiene que hacerse sin password por comodidad.( Normalmente mis llaves personales van sin contraseña )

—–comando—–
ssh-keygen -t dsa
—–comando—–

Esto crea dos archivos id_dsa y id_dsa.pub. Seria altamente recomendable que mantuvieras un respaldo de ambos archivos en caso de querer usar esta llave en varios servidores. La parte más importante es que guardes el archivo id_dsa en un lugar MUY seguro, si alguien más obtiene dicho archivo, podrá entrar a cualquier servidor con esa llave instalada. Ahora haz cat en el archivo pub y salva el texto, lo vamos a usar en el otro servidor.

—–comando—–
cat ~/.ssh/id_dsa.pub
—–comando—–

Ahora entra a el otro servidor como el usuario en donde quieres instalar la llave y haz lo siguiente:

—–comandos—–
mkdir ~/.ssh/
touch ~/.ssh/authorized_keys2
emacs ~/.ssh/authorized_keys2
—–comandos—–

Ahora pega los contenidos de id_dsa.pub ahi y salva el archivo. Ahora cambiaremos los permisos del archivo ( algunas versiones de SSH son muy pedantes al respecto de los permisos del archivo authorized_keys2 ).

—–comando—–
chmod 700 ~/.ssh/authorized_keys2
—–comando—–

Las llaves Ssh ahora deberian estar funcionando. Intenta entrar y revisa si funciona, si no es asi, intenta hacer un ssh -v user@host, la opción -v activará el modo en el cual verás pasos relevantes de la transaccion actual y puede ayudarte a diagnosticar el error.

**********************************************
**********************************************
Algunas cosas mas avanzadas que se pueden hacer con llaves ssh:

Activar login de root solo si el usuario usa llave ssh:

El permitir acceso a root solo con el uso de llaves ssh. Esta opción es muy valiosa ya que prevendrá que alguien intente entrar con procesos de login aleatorio y eventualmente obtener acceso al sistema y permitirá aún entrar como root. En un mundo ideal se configuraria el acceso solo usando llaves de ssh y permitiendo sólamente a un usuario capaz de hacer sudo en accesar. pero sé que esto no es algo práctico para muchas personas.Para permitir acceso a root usando solo llaves ssh se necesita editar el archivo sshd_config

—–comando—–
emacs /etc/ssh/sshd_config
—–comando—–

Busca donde dice “PermitRootLogin yes”, comentala con un #. Haz una nueva linea justo abajo que diga “PermitRootLogin without-password”. Salva y reinicia ssh.

—–comando—–
service sshd restart
—–comando—–

Despues de esto.. solo se puede entrar con root por ssh usando autorización por llaves.

**********************************************
**********************************************

Si quisiera usar llaves ssh con putty descarga puttygen.exe de http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe y ejecuta el programa. En las opciones selecciona DSA y luego “generate”. Una vez hecho verás una seccion con el texto que contiene la llave publica para colocarla en el archivo authorized_keys2 justo como arriba se describe.

**********************************************
**********************************************

Hay muchas cosas que se pueden hacer con ssh, como mover backups automaticamente o correr comandos en un servidor remoto desde otro pero eso es más de lo que explique esta vez. Hay mucha información en Google acerca de llaves ssh si es que necesitas más información o ideas de como usarlas más.

Esto esta diseñado para Redhat, pero los cambios son utilizables en cualquier variante de Linux.

El primer paso es revisar si /tmp es ya seguro.
—–comando—–
df -h |grep tmp
—–comando—–

Si eso no muestra nada, entonces ve a la seccion más abajo para crear una partición tmp. Si tienes una partición tmp, entonces necesitas ver si esta montada con la opción noexec

.
—–comando—–
cat /etc/fstab |grep tmp
—–comando—–

Si hay una linea que incluya /tmp y noexec entonces ya esta montada como no ejecutable. Si no es así, sigue las instrucciones de abajo para crear una sin tener que formatear físicamente el disco duro. Idealmente se debería de hacer una particion /tmp cuando el disco fue formateado originalmente, pero de no existir no tendrás ningun problema al crear una partición /tmp usando el siguiente método.

Crear una partición de 190Mb
—–comando—–
cd /dev/; dd if=/dev/zero of=tmpMnt bs=1024 count=200000
—–comando—–

Formatear la partición
—–comando—–
mke2fs /dev/tmpMnt
—–comando—–
Cuando pregunta si quiere uno continuar a pesar de no ser un “block special device” presionar Y

Hacer un respaldo de los datos en /tmp
—–comando—–
cp -Rp /tmp /tmp_backup
—–comando—–

Montar la nueva particion de /tmp
—–comando—–
mount -o loop,noexec,nosuid,rw /dev/tmpMnt /tmp
—–comando—–

Ajustar permisos
—–comando—–
chmod 0777 /tmp
—–comando—–

Copiar los archivos respaldados a la nueva /tmp
—–comando—–
cp -Rp /tmp_backup/* /tmp/
—–comando—–

Una vez hecho esto tenemos que reiniciar mysql ( si lo estamos usando ) y revisar que funcione correctamente. Hacemos esto por que mysql coloca el archivo mysql.sock en /tmp y necesita moverse. If not it migth have trouble starting. If it does you can add this line to the bottom of the /etc/fstab to automatically have it mounted:

Abrir archivo en emacs:
—–comando—–
emacs /etc/fstab
—–comando—–
Ahora agrega esta linea en el final del archivo:

/dev/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0

Mientras tenemos abierto ese archivo, vamos a asegurar /dev/shm. Busca la linea que pertenece a /dev/shm y modificala para que se vea como sigue:
none /dev/shm tmpfs noexec,nosuid 0 0

Desmonta y remonta /dev/shm para que las modificaciones sean efectivas.
—–comando—–
umount /dev/shm
mount /dev/shm
—–comando—–

A continuación borra /var/tmp y créalo de nuevo usando un enlace simbólico a /tmp
—–comando—–
rm -rf /var/tmp/
ln -s /tmp/ /var/
—–comando—–

Si todo funciona bien puedes continuar u borrar la carpeta /tmp_backup
—–comando—–
rm -rf /tmp_backup
—–comando—–

Después de esto tus particiones /tmp, /var/tmp, y /dev/shm están ahora montadas de una manera en la que ningún programa puede ser ejecutado desde estos directorios. Esta es una de las capas esenciales de seguridad que tu sistema linux debería tener.