Seguridad

Crear claves GPG2 en GNU/Linux con Ed25519

keopx — Sun, 13 Jan 2019 10:19:23 +0000

Crear claves GPG2 en GNU/Linux con Ed25519

Vamos a crear un par de claves GPG2 basados en cifrado Ed25519. Lo realizaremos en la consola aunque también se puede realizar utilizando "Contraseñas y claves de cifrado".

A continuación, invocamos gpg en la consola con la opción --expert y --full-gen-key.

$ gpg2 --expert --full-gen-key
gpg (GnuPG) 2.1.8; Copyright (C) 2015 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law.

Luego, seleccionamos el 9 para seleccionar la clave principal de ECC y la subclave de cifrado de ECC.

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
   (9) ECC and ECC
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
Your selection? 9

La siguiente es la selección importante. Seleccionamos 1 para seleccionar "Curve25519".

Please select which elliptic curve you want:
   (1) Curve 25519
   (2) NIST P-256
   (3) NIST P-384
   (4) NIST P-521
   (5) Brainpool P-256
   (6) Brainpool P-384
   (7) Brainpool P-512
   (8) secp256k1
Your selection? 1

Verás una ADVERTENCIA, pero es lo que quieres.

gpg: WARNING: Curve25519 is not yet part of the OpenPGP standard.
Use this curve anyway? (y/N) y

Se le pregunta sobre la caducidad de la clave.

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y

Luego, pregunta sobre una identidad de usuario.



GnuPG needs to construct a user ID to identify your key.

Real name: keopx
Email address: keopx@keopx.net
Comment:
You selected this USER-ID:
    "keopx <keopx@keopx.net>"

Por último, pide confirmación.

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o

Entonces, va así.

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.

Pide a la frase de contraseña las claves por ventana emergente y, a continuación, finaliza.

gpg: key D1A0681AAEDE141B marked as ultimately trusted
gpg: directory '/home/user/.gnupg/openpgp-revocs.d' created
gpg: revocation certificate stored as '/home/user/.gnupg/openpgp-revocs.d/4E2A32714B8E5ADAECA181ABD1A0681AAEDE141B.rev'
public and secret key created and signed.

pub   ed25519 2019-01-13 [SC]
      4E2A32714B8E5ADAECA181ABD1A0681AAEDE141B
      4E2A32714B8E5ADAECA181ABD1A0681AAEDE141B
uid                      keopx <keopx@keopx.net>
sub   cv25519 2019-01-13 [E]

Referencia:

keopx Dom, 13/01/2019 - 11:19

Categoria

Tag

GPG

GNU Linux

Comentarios

Instalar certificados SSL en Debian 9 con certbot (Let's Encrypt - Free SSL/TLS Certificates)

keopx — Sat, 02 Sep 2017 10:34:20 +0000

Instalar certificados SSL en Debian 9 con certbot (Let's Encrypt - Free SSL/TLS Certificates)

Hace tiempo escribit un articulo sobre Instalar certificados de Let's Encrypt - Free SSL/TLS Certificates en Debian / Ubuntu

Este post es una revisión de que escribí.

Instalación

# apt-get install certbot

Configurar Apache

# nano /etc/apache2/sites-available/www.keopx.net-ssl.conf

Y añadimos el -ssl por la existencia de un bug en el certbot, que solo es capaz de distinguir un virtualhost por fichero *.conf

<VirtualHost *:443>
        ServerAdmin keopx@keopx.net
        ServerName www.keopx.net
        DocumentRoot /var/www/keopx.net/web
        <Directory /var/www/keopx.net/web/>
                Options FollowSymLinks                
                AllowOverride All
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error.log
        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn
        CustomLog /var/log/apache2/access.log combined
        ServerSignature On
	SSLCertificateFile /etc/letsencrypt/live/www.keopx.net/fullchain.pem
	SSLCertificateKeyFile /etc/letsencrypt/live/www.keopx.net/privkey.pem
	Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

Creamos el SSL

certbot --apache -d www.keopx.net

Actualizamos los certificados

certbot renew --dry-run

Referencias

keopx Sáb, 02/09/2017 - 12:34

Categoria

Tag

Comentarios

Recuperar contrseña de root de MySQL

keopx — Tue, 22 Sep 2009 09:00:06 +0000

Recuperar contrseña de root de MySQL

Bueno en este post vamos a recuperar la password de root de MySQL.

Lo primero es para nuestra mysql:

sudo /etc/init.d/mysql stop

Y reiniciamos sin la password de la siguiente manera:

sudo mysqld_safe –skip-grant-tables &

Puede que nos salga alguna salida extraña, ahora le damos al Enter y escribimos:

mysql -u root

Seleccionamos la BBDD:

mysql> use mysql;

Añadimos la nueva password:

mysql> update user set password=PASSWORD(”nueva_password) where User=’root’;

Refrescamos los permisos:

mysql> flush privileges;

Salimos:

mysql> quit

Reiniciamos:

sudo /etc/init.d/mysql restart

keopx Mar, 22/09/2009 - 11:00

Categoria

Tag

Comentarios

Recuperar contrseña de root de nuestra maquina en GNU/Linux

keopx — Mon, 21 Sep 2009 08:59:05 +0000

Recuperar contrseña de root de nuestra maquina en GNU/Linux

on unos sencillos pasos que nos ayudaran a recuperar la password (root) de nuestra maquina.

Antes de nada tendremos que iniciar la maquina en single mode. Para ello en la pantalla del grub elegimos esa opción, en caso de tenerla deberemos editar la que tenemos.

Le damos a la e vamos al final y escribimos linux single una vez echo eso le damos a la b para que inicie. Este cambio solo es temporal en el siguiente inicio no estará.

Empezamos con la consola:

nano /etc/passwd

Dejamos la root que sera así:

root:x:0:0:root:/root:/bin/bash

Y eliminamos la x dejándolo así:

root::0:0:root:/root:/bin/bash

Guardamos el fichero y modificamos el /etc/shadow:

nano /etc/shadow

Editamos la linea que tiene root y la dejaremos con 4 : así:

root::::

Guardamos los cambios.

Reiniciamos la maquina de forma normal, accedemos y vamos a la consola. Ahora no stoca poner la nueva password:

su passwd

Ahora ya tendremos la nueva password funcionando.

keopx Lun, 21/09/2009 - 10:59

Categoria

Tag

Comentarios

Crear claves GPG en GNU/Linux

keopx — Sat, 04 Jul 2009 17:04:33 +0000

Crear claves GPG en GNU/Linux

Vamos a crear un par de claves GPG. Lo realizaremos en la consola aunque también se puede realizar "Contraseñas y claves de cifrado".

Creación de clave

gpg --gen-key

Elegir, eso si tener en cuenta que la clave que se utilice hará que sea mas robusta ante un ataque por fuerza bruta por eso mínimo de 8 caracteres de todo tipo, mayúsculas, minúsculas, numérico...

Por favor seleccione tipo de clave deseado: (1) DSA y ElGamal (por defecto) (2) DSA (sólo firmar) (5) RSA (sólo firmar) ¿Su elección?: 1

El par de claves DSA tendrá 1024 bits. las claves ELG-E pueden tener entre 1024 y 4096 bits de longitud. ¿De qué tamaño quiere la clave? (2048) 4096

El tamaño requerido es de 4096 bits Por favor, especifique el período de validez de la clave. 0 = la clave nunca caduca = la clave caduca en n días w = la clave caduca en n semanas m = la clave caduca en n meses y = la clave caduca en n años ¿Validez de la clave (0)? 0 Key does not expire at all nunca caduca ¿Es correcto (s/n)? s

Ya tenemos la clave eso si nos pedirá que realicemos tareas para recoger info aleatoria para generar la clave.

Listar las claves

gpg --list-keys

Clave de revocación

Esto es necesario ya que si algún día queremos eliminar la clave por cualquier motivo sin esto sera imposible.

gpg --output nombre_revoke.asc --gen-revoke tu_email@email.com

¿Crear un certificado de revocación para esta clave? s Por favor elija una razón para la revocación: 0 = No se dio ninguna razón 1 = La clave ha sido comprometida 2 = La clave ha sido reemplazada. 3 = La clave ya no está en uso Q = Cancelar

Te pedirá el contraseña.

Clave privada completa

gpg --output miclave_privada_sec.asc --armor --export-secret-key tu_email@email.com

Clave publica

gpg -a --export tu_email@email.com > miclave_publica.asc

Exportar clave publica al servidor

Antes de nada tenemos que elegir un:

hkp://keyserver.ubuntu.com:11371
hkp://pgp.mit.edu:11371
ldap://keyserver.pgp.com
pgp.rediris.es

gpg --keyserver pgp.rediris.es --send-keys tu_email@email.com

Referencia:

keopx Sáb, 04/07/2009 - 19:04

Categoria

Tag

Comentarios

Instalación de linux cifrado en Debian / Ubuntu

keopx — Sun, 14 Jun 2009 17:52:24 +0000

Instalación de linux cifrado en Debian / Ubuntu

Una de las tantas ventajas de pasarse a Linux es la de poder utilizar un fuerte cifrado que sella el contenido del disco duro por completo (imprescindible en portátiles), imposibilitando el acceso no autorizado a la información inclusive si el disco fuera removido del ordenador. La opción de cifrado completo se incluye en Debian, y por lo tanto también en Ubuntu (solo desde la versión ubuntu-alternate) que permite la instalación ocupando todo el disco duro. En el caso de querer mantener la partición de Windows, el proceso es un poco más complicado. Este artículo explica cómo hacerlo en simples pasos.

Qué necesitamos?

Necesitamos dos CDs:

1- CD de instalación de Linux con soporte de cifrado: En mi caso instalé Debian Lenny. Ubuntu, por ser basado en Debian, también incluye soporte de cifrado, pero solamente en la versión alternativa de texto

2- GParted LiveCD: Puede ser cualquier LiveCD que incluya GParted, o simplemente el mismo Gparted LiveCD. Este disco es el que necesitamos para reducir la partición de Windows

Reduciendo la partición de Windows

Ante todo, el primer paso es hacer copias de respaldo del Windows. Si bien el proceso de reducción de partición es seguro, siempre hay factores (corte de energía, fallo de hardware, fallo humano) que pueden resultar en pérdida de datos.

Una vez copiada la información, reiniciamos el ordenador con el disco de GParted LiveCD. Es importante apagar el Windows correctamente, de lo contrario el proceso de reducción de la partición falla.

Todas las opciones del disco de Gparted pueden ser aceptadas presionando enter hasta llegar al escritorio que automáticamente lanza el programa. Nos encontraremos allí con una representación gráfica de la partición de Windows, a la que podemos redimensionar (resize) all tamaño que deseamos, y luego aplicar los cambios (apply).

El proceso de reducción puede llevar varios minutos, dependiendo del tamaño y velocidad del disco. IMPORTANTE: La interrupción del proceso puede corromper la partición de Windows, causando la pérdida de datos.

Una vez finalizado el proceso, cerramos Gparted y reiniciamos el ordenador para comprobar que Windows funciona correctamente con el nuevo tamaño de partición. En el caso de Windows Vista, al iniciar lanza un proceso de verificación de disco que puede llevar más de una hora.

Verificado entonces el normal funcionamiento de Windows, apagamos el ordenador.

Instalando Linux

Iniciamos ahora el ordenador con el disco de instalación de Linux de Debian Lenny, o con el Ubuntu Alternate (nuevamente, no puede ser el ubuntu-desktop LiveCD), y procedemos a responder a las preguntas habituales durante el proceso de instalación.

Llegando a la opción de particionado de discos, optamos por la opción: Manual

Ahi nos vamos a encontrar con una lista de las particiones existentes (la de Windows reducida) y una sección llamada ESPACIO LIBRE. Ingresamos ahí y seleccionamos "Crear una partición nueva", a la que le asignamos unos 200Mb de espacio, de tipo primaria y especificamos como punto de montaje: /boot. Bajamos hasta la opción "Se ha terminado de definir la partición" y volvemos al menú de particiones.

Hemos creado entonces la partición /boot. Esta partición es la única que no puede ir cifrada, ya que es la que contiene el kernel y ficheros mínimos necesarios para un pre-inicio que nos permita ingresar nuestra clave secreta para luego proceder a iniciar el sistema operativo.

Procedemos ahora a la creación de la partición primaria, que contendrá los volúmenes cifrados. Volvemos a ingresar a la sección ESPACIO LIBRE, y volvemos a "crear una partición nueva". Esta vez seleccionamos todo el espacio disponible (dejamos el tamaño por defecto), seleccionamos que sea de tipo primaria y seleccionamos "utilizar como: Volumen físico para cifrado". Bajamos nuevamente hasta la opción "Se ha terminado de definir la partición" y volvemos al menú de particiones.

Nos encontramos ahora con una nueva opción al inicio del menú llamada "configurar los volúmenes cifrados", aceptamos todas las opciones predeterminadas. Esto puede demorar mucho, dependiendo del tamaño del disco, ya que tiene que llenarlo de información al azar para asegurar un cifrado más fuerte. Lo ideal es esperar a que se complete el proceso, pero si estamos con prisa podemos cancelar esta parte y continuar con la instalación.

Lo siguiente es ingresar una clave para el cifrado del disco. La complejidad de esta clave, influye directamente en la calidad del cifrado. Sin embargo, de olvidarnos esta clave nunca perdemos la información, ya que no hay forma de recuperarla. Lo ideal es usar una frase que nos sea fácil de recordad, incluyendo algunas letras mayúsculas y/o números, y que al menos tenga unos 25 caracteres de longitud. Si bien vamos a tener que escribir esta clave cada vez que se inicia el ordenador, siendo que el disco está cifrado, podemos elegir que el login al entorno gráfico sea automático (evitando tener que ingresar usuario y clave).

Una vez ingresada y confirmada nuestra "frase clave" volvemos al menú de particiones, donde nos encontramos con un "Volúmen cifrado", con una sub-opción llamada #1. Ingresamos ahí y seleccionamos "Utilizar como: Volúmen físico para LVM". Bajamos hasta la opción "Se ha terminado de definir la partición" y volvemos al menú de particiones.

Ahora nos encontramos con la opción "Configurar el gestor de volúmenes lógicos", al que ingresamos para "crear un grupo de volúmenes", al que le ponemos un nombre corto (por ejemplo "cifrado"). Presionamos la barra espaciadora para seleccionar el grupo y luego el tabulador para ir hasta "continuar".

Luego, ingresamos a "crear un volúmen lógico" llamado "swap", cuyo tamaño ideal debe ser el doble de la memoria RAM. Por ejemplo: 4Gb (si tenemos 2Gb de RAM). Luego creamos un nuevo volúmen lógico y lo llamamos "root" ocupando todo el espacio disponible. Elegimos "terminar" y volvemos a la página principal.

Por último, debemos ingresar al "swap" que hemos creado y configurarlo como "Usar como: Area de intercambio", y de la misma manera, ingresamos al "root" que hemos creado y lo configuramos como "Usar como: sistema ext transaccional", definiendo "punto de montaje: /"

Bajamos hasta el fin de la página (hay ya más opciones de las que entran en la pantalla) y seleccionamos "Finalizar el particionado" y continuamos con la instalación normalmente.

Al finalizar la instalación, reiniciamos el ordenador y nos encontraremos con un menú de inicio, donde podremos seleccionar "Linux" o "Windows". En el caso de Linux, nos preguntará nuestra clave secreta para continuar con el acceso al disco cifrado.

NOTA: Windows sigue estando abierto, es decir: no cifrado. Desde Linux podemos acceder a la partición de Windows, por lo que toda información que grabemos ahí, quedará fuera del cifrado.

Fuente:
Julian Coccia

keopx Dom, 14/06/2009 - 19:52

Categoria

Tag

Comentarios

Error del firewall firestarter

keopx — Thu, 08 May 2008 14:54:03 +0000

Error del firewall firestarter

Si alguien le da por sustituir el cortafuegos UFW por el mas conocido y gráfico firestarter, se encontrará con que da un error al iniciarlo.

Desde Freeterritory nos indican como solucionar ese error.

Simplemente hay que editar el script de inicio de firestarter :

gksu gedit /etc/firestarter/firestarter.sh

y buscar esta línea:

MASK=`/sbin/ifconfig $IF | grep Mas | cut -d : -f 4`

Esa linea busca en la salida de ifconfig las líneas con palabras que contengan Mas (por Mascara) pero en Ubuntu en castellano se ha traducido con todos sus signos y se usa Más (por Máscara) con acento en la a. Si dejamos esa línea como:

MASK=`/sbin/ifconfig $IF | grep Más | cut -d : -f 4`

funcionará correctamente.

keopx Jue, 08/05/2008 - 16:54

Categoria

Seguridad

Tag

Firewall