** OT Re: [escepticos] hackers, LHC y otras hierbas

Txeyen txeyen en vivimosdelrock.com
Mie Sep 24 00:56:10 WEST 2008


El Miércoles, 24 de Septiembre de 2008, Román Ramírez escribió:
> ¿Me concedes la licencia de que el web está en plataforma Linux? :DDD Es
> por evitarme pasos :)
Seria mas divertido con un ms-dos 6.0.

>
> Localizo su IP, le dejo conectar contra mi "proxy" de SSH.
>
>
> Aquí diferimos.
Como creo que ya he dicho varias veces, hasta aqui todo bien. Eso es trivial.
> Dices que un admin nunca pasaría por encima del aviso 
> del SSH y yo creo que sí. Tendrás que hacer un acto de fe :)
La seguridad para hacer una conexion se basa en 3 cosas:
1- cifrar los datos
2- quien es realmente cliente
3- quien es realmente servidor

Y si fallas en una de ellas, fallan todas.

El problema es que te saltas el punto 3 (en este caso el certificado) y 
eliminas toda la seguridad que existe.

> Así en frío es relativamente complicado :)) pero que es viable, SÍ.
Si eliminas toda la seguridad que ofrece el sistema, si. Es muy facil.

Si usas el sistema correctamente no. Es extremadamente complicado.

> Y no tan complicado.
Pues yo lo hago mucho mas facil asi:
conecto al sistema (linux deciamos) con ssh

login: root
password: 1234

>
> >> Ese Web... ¿se conecta a alguna Base de Datos? ¿Puede ser un SQL server?
> >> (xp_cmdshell) ¿un Oracle? ¿mysql?...
> >
> > ¿para que?
> > si lo necesita para la web.... sera un servidor dedicado solo a eso, no
> > al resto.
>
> Hombre, si es un web estático no tendrá enlace con base de datos alguna,
> pero si tiene contenido dinámico o de negocio... en algún punto habrá un
> conector de base de datos, y examinando el contenido de los ficheros de
> configuración de la BBDD, o el código php, asp, jsp, los jars, etc.
> aparecerán los datos de conexión.
Yo pondria separada la DDBB de la web de la DDBB de la empresa.
Y si la DDBB-web necesita datos de la DDBB-empresa, hago que la DDBB-empresa 
se los envie, pero bloqueo las conexiones en el otro sentido.

O mas simple, la web en un Hosting que son mas baratos ;)

>
> Tanto para SQLServer, Mysql, Oracle etc. hay diversas maneras de
> ejecutar en shell...
>
> > No. A un medico que te da la crema equivocada y hace que te duela algo
> > mas de lo que deberia, no le pasa nada. Lo he comprobado yo mismo. Igual
> > que al que le hacen un defacement.
> > A uno que la caga en una operacion porque esta con resaca y mata al
> > paciente deberian meterlo en la carcel.
> > Igual que si la caga el que hace el programa que controla los semaforos y
> > hay un accidente grave (por poner un ejemplo).
>
> Esa es la conslusión a la que yo quería llegar :)
>
>
> Otra cosa es que exista el corporativismo o que sea complejo pedir
> responsabilidades, pero vamos, que debe haberlas (en función a lo severo
> que uno sea :DD )

Pero es que ya las hay. Igual que en todos los trabajos.

Si el mecanico que me repara el coche la caga con los frenos y tengo un 
accidente tendra un problema muy grave, pero si me rompe la radio solo tendra 
que arreglarla.



Más información sobre la lista de distribución Escepticos