Apache incluye un módulo llamado mod_md. Podemos usarlo para el aprovisionamiento de certificados a través del protocolo ACME. Este artículo explica cómo instalar, configurar y poner en marcha Apache con un módulo mod_md para asegurar el tráfico con el certificado gratuito Let’s Encrypt TLS/SSL en un servidor Debian 10 Buster.
Categoría: Seguridad
1- Como primera instancia debemos instalar el paquete que se encuentra en los repositorios
$ sudo apt-get install john
2 – El siguiente paso es generar generar un archivo intermedio entre la lista de usuarios y sus contraseñas cifradas.
$ sudo unshadow /etc/passwd /etc/shadow > usuarios.db
3 – Luego comenzamos el proceso de verificación de contraseñas por fuerza bruta
$ john usuarios.db
4 – Debemos destacar que este escaneo puede llevar bastante tiempo y recursos de procesamiento. En cualquier momento es posible consultar las contraseñas que ya han sido determinadas. John the Ripper guarda las contraseñas crackeadas en ~/.john/john.pot. Para mostrar estas contraseñas ejecutamos el siguiente comando:
$ john -show usuarios.db
5 – En caso de que el proceso haya sido cortado se puede continuar el escanero con solo ubicárse en el mismo directorio donde se encuentra el archivo de datos y ejecutando la siguiente línea
$ john -restore
Podría ocurrir que al ejecutar el comando john usuarios.db
nos encontremos frente a este mensaje de error: “No password hashes loaded“. Este error se puede producir por alguno de los siguientes motivos:
- El fichero de contraseñas que le estamos pasando a John no tiene las contraseñas. Esto se debe a que o bien no hemos escrito bien el nombre del fichero (usuarios.db) o bien ha ocurrido algún tipo de error en el paso 2 (por ejemplo, se nos olvidó escribir el sudo).
- Todas las contraseñas del fichero que se le pasa como parámetro (usuarios.db) ya han sido crackeadas. Ejecutamos
john --show usuarios.db
y las mostrará.
Seguridad en protocolos de mensajería
- El cliente lanza la petición de login al servidor MSN,
- El servidor MSN facilita un ‘reto’ (un montón de caracteres aleatorios para generar entropía) y un servidor ‘de tickets’
- El cliente envía el Login + Password + Reto mediante una conexión SSL al servidor de tickets y, en caso de ser válida, obtiene un ticket
- El cliente envía ese ticket al servidor MSN
- El cliente se conecta vía SSL a Google para hacer el auth
- Google entrega un token al cliente
- El cliente usa ese token como método de autenticación
- El cliente inicia la comunicación con el servidor XMPP
- Se negocia un túnel TLS
- Se envían las credenciales