How to install and secure eGroupWare
Contents
1. essen 20 6 1 1 2 El escarneador de HWS OS carcasa 21 6 1 1 3 Salida de un escaneador de puertos wocccccssscccsssssscccessscccecesssceceeessseeceesesseececesssseecesssseeecesesasseceesaeees 21 6 1 1 4 Desactivar servicios que no se necesitan cccecccccssssecceesssscecesesseecceesseeecessssseecceseseeceessseeeeceetseeeeeesseee 21 6 1 2 Desinstalar programas que no se necesitan en el servidor coooccococccooocccnonnconannnonnnnnnnnnnon ccoo nnnnnnnncnnnnnnmnnnns 22 6 1 3 Comprobaci n local de existencia de un rootkit essen nennen eene nnne mem einst 22 6 1 3 1 Fragmento de ejemplo de chkrootkit eee criando ege iran eva 23 6 1 3 2 Instalar elrpm de chkroolkil liinda ata Fete pet Eee pete PETERE ER eee Ta CEP P XE E REVO HUS 23 6 1 3 3 Instalar chkrootkit desde Un TARDZ viii A A e ERN NR NR Re EAE daa 23 6 1 4 Administradi n de un servidor SEQUIO sess eee eene tenente nne tns tenter tns tese sh inns nentes estre statua ern in stan 24 6 1 4 1 Con ctese a su servidor con una sesi n segura oc ceccessesceeceeseeseeeceseesecseeeseesecaeceseeaesaeeesesaeessmerenseesees 24 6 1 4 2 Trabajando con pares de claves SSH oc ceescssscssseecsseeceseneesseeecsseecessneusseeecscceseessmmmsssessneesseneesenerseees 25 6 142 1 Gr dr un par de claves SEQU AS s rrt irte ri rper eret r eoa attuale eese pe bae ipee eee EERI 25 6 1 4 2 2 Copiar la clave p blica al servidor coocoooccnoccconononononoconnnonnonanono nono non2. Reiner Jung Instalaci n y seguridad en eGroupWare P gina 11 de 65 C GroupWare 3 Migrar una instalaci n de phpGroupWare a eGroupWare Descargue los paquetes necesarios de nuestra p gina como se describe en la secci n 2 Copie el fichero header inc php de su directorio de phoGroupWare al de eGroupWare y edite las siguientes lines en el fichero header inc php De define PHPGW SERVER ROOT var www html phpgroupware define PHPGW INCLUDE ROOT var www html phpgroupware define PHPGW SERVER ROOT var www html egroupware define PHPGW INCLUDE ROOT var www html egroupware Ponga en el navegador la URL correspondiente https www dominio com egroupware setup Inicie sesi n en Setup Config Admin Login Pulse en Editar configuraci n actual y cambie el contenido del tercer campo Introduzca la ubicaci n a egroupware Eso es todo Divi rtase Reiner Jung Instalaci n y seguridad en eGroupWare P gina 12 de 65 C GroupWare 4 Actualizar eGroupWare 4 1 2 3 4 5 Actualizar la instalaci n de eGroupWare Descargue los paquetes de la p gina en sourceforge Instale los paquetes en su servidor Para paquetes rom haga lo siguiente root server tmp rpm Uvh eGroupWare Para paquetes tar gz vaya al directorio ra z del servidor web el directorio superior a la instalaci n de eGroupWare root server tmp cd var www html root server html tar xzvf eGroupW
3. 2002 12 22 expires never trust f sub 1024g D08D986C created 2002 12 22 expires never 1 Reiner Jung lt r jung creativix net gt Please decide how far you trust this user to correctly verify other users keys by looking at passports checking fingerprints from different sources 1 Don t know 2 Ido NOT trust Instalaci n y seguridad en eGroupWare P gina 15 de 65 GroupWare 3 I trust marginally 4 I trust fully 5 I trust ultimately i please show me more information m back to the main menu Your decision 5 Do you really want to set this key to ultimate trust yes pub 1024D D9B2A6F2 created 2002 12 22 expires never trust u sub 1024g D08D986C created 2002 12 22 expires never 1 Reiner Jung lt r jung creativix net gt Please note that the shown key validity is not necessary correct unless you restart the program Now you can check the key at the prompt with check or quit the session 5 2 3 Instale la clave GPG para los paquetes rom Para importar la clave que se necesita para validar los paquetes rpm busque la clave D9B2A6F2 en el servidor de clave http www dfn pca de eng pgpkserv Pulse en el enlace D9B2A6F2 en la nueva ventana y copie todo incluyendo las siguientes l neas BEGIN PGP PUBLIC KEY BLOCK y guarde el texto copiado en un fichero llamado EGROUPWARE GPG KEY Como ltimo paso importe la clave en su anillo rpm user server tmp rp
4. Linux BSD other GPL sourceforge project page logcheck project Linux BSD WIN other GPL http www modsecurity org ModSecurity project ModSecurity project Linux BSD WIN other GPL http www nmoap org NMAP project NMAP project NMAP project NMAP project Linux BSD GPL www openssh org OpenBSD project fileserver OpenBSD project fileserver Linux BSD WIN other Instalaci n y seguridad en eGroupWare P gina 60 de 65 GroupWare License The PHP License Homepage www php net Download RPM Take a look at your distribution tar gz php project tar bz2 php project zp php project Roxen web server project Platform Linux BSD WIN other License GPL Homepage http www roxen com products web server Download The Linux package will be installed with a shell script Turck MMCache Platform Linux BSD Win other License GPL Homepage sourceforge net projects turck mmcache Download tar gz turck mmcache project tar bz2 turck mmcache project zp turck mmcache project Reiner Jung Instalaci n y seguridad en eGroupWare P gina 61 de 65 C GroupWare 11 Tareas pendientes y registro de cambios 11 1 La lista de tareas pendientes de este documento Para la versi n 1 0 del documento e Planificaci n previa para una instalaci n de eGroupWare e Entrenar a los usuarios e Instalaci n de un servidor LDAP y configuraci n de OpenLDAP Ema
5. etc Maximum account id e g 65535 or 1000000 User account prefix Usernames are casesensitive Yes v Auto create account records for authenticated users No xj Auto created user accounts expire oneweek v Add auto created users to this group Default will be attempted if this is empty If no ACL records for user or any group the user is a member of Deny Access y Si est usandoLDAP Reiner Jung Instalaci n y seguridad en eGroupWare P gina 53 de 65 C GroupWare Si no quiere usar LDAP no es necesario rellenar estos campos Si quiere usar LDAP por fovor lea los instrucciones del fichero phpgwapi doc Idap README If using LDAP Do you want to manage homedirectory and loginshell attributes ves z LDAP Default homedirectory prefix e g home for home username Jhome LDAP Default shell e g bin bash jbin false LDAP host 127 0 0 1 LDAP accounts context dc accounts dc network dc loc LDAP groups context dc groups dc network dc loc LDAP rootdn cn egroupware dc network dc loc LDAP root password LDAP encryption type DES v Enable LDAP Version 3 No yf Configuraci n de Mcrypt requiere la extensi n crypt de PHP No todas las distribuciones tienen un mcrypt funcional compilado por defecto as que necesita marcar esta opcion Tambi n puede ser necesario probar varias versiones para ver cu l funciona mejor con eGroupWare Mcrypt Settings requires mcrypt PHP extension Enter some ra
6. n de eGroupware en el disco duro Por ejemplo D websites yourwebsite egroupware Include Root normalmente tiene el mismo valor que Server Root Nota no es la direcci n de internet sino el directorio actual a la instalaci n de eGroupWare Descargue el fichero header inc php y gu rdelo en el directorio ra z de la instalaci n de eGoupWare por ejemplo var www html egroupware De al servidor web permiso de lectura en Reiner Jung Instalaci n y seguridad en eGroupWare P gina 9 de 65 C GroupWare el fichero Pulse continue aA WINDOWS Elija la opci n Download descargar el fichero header inc ohp que acaba de crear y gu rdelo en el directorio ra z de la instalaci n de eGroupware si tiene accesso al servidor o s balo por FTP al directorio indicado No olvide la contrase a Se guardar en forma cifrada y no se puede leer despu s 8 Entre en setup Config Admin 9 Cree la base de datos y las tablas Rellene el formulario siguiente con la contrase a de root de la base de datos y contrase a para crear su base de datos autom ticamente Contin e con la opci n de crear de la base de datos Vuelva a comprobar la instalaci n Contin e con la opci n crear tablas a WINDOWS Esto deber a ser muy simple si conoce el nombre y la contrasena del servidor MySQL Rellene la informaci n y pulse en Crear la base de datos Cuando pulse en Volver a comprobar mi instalaci n ver que no ti
7. rea de descargas de sourceforge tar gz tar bz2 zip Estos paqutes est n firmados con una clave gpg por motivos de seguridad tar gz gpg tar bz2 gpg zip gpg Estos rpms funcionan bajo RedHat y la mayor a de distribuciones basadas en rpm eGroupWare noarch rpm El paquete eGroupWare all apps noarch rpm contiene todos los paquetes disponibles Los otros paquetes proporcionan todas las aplicaciones en paquetes separados 5 2 Por qu son necesarias las firmas gog y md5sum A veces hackers maliciosos atacan servidores de desarrollo para cambiar los paqutes descargables e incluir troyanos sniffers etc en los paquetes Los paquetes firmados sirven para comprobar la validez de la integridad de los paquetes del proyecto 5 2 Instale la clave GPG para tar gz gpg tar bz2 gpg y zip gpg Instale la clave gpg con la que se han firmado los paquetes tar gz gpg tar bz2 gpg zip gpg md5sum eGroupWare version txt asc y los roms En Linux se puede usar el siguiente comando para importar la clave que validar los paquetes tar gz gpg tar bz2 gpg zip gpg y md5sum asc root server root gpg keyserver blackhole pca dfn de recv keys OXD9B2A6F2 5 222 Comprobar la clave GPG Si quiere comprobar la validez de los paquetes debe confiar en la clave Si no hace esto recibir cada vez un mensaje de error diciendo que la clave no es de confianza Mire la lista de las claves disponibles en su anillo Aqu debe ver la
8. Company Ltd organizationalUnitName Organizational Unit Name eg section organizationalUnitName_default 6 6 2 2 Crear la clave de servidor y solicitud de firma Para obtener un certificado hay que crear una clave en el servidor y una solicitud de firma para el certificado del servidor 1 Cree una clave para el servidor En Debian se almacena en etc ssl certs y en Red Hat en etc httpd conf ssl csr El siguiente comando crea una clave de servidor protegida con contrasena Si no tiene acceso de consola NO cree una clave protegida mediante una contrase a ya que el servidor esperar que se le introduzca la contrase a al iniciarse y no continuar hasta que sta se introduzca Si tiene acceso de consola use la clave protegida con una contrasena ya que es m s seguro root server ssl usr bin openssl genrsa des3 1024 gt etc httpd conf ssl key server key Generating RSA private key 1024 bit long modulus TY Tr e is 65537 0x10001 Enter PEM pass phrase Para crear una clave que no est protegida con una contrasena root server ssl usr bin openssl genrsa 1024 gt etc httpd conf ssl key server key Modifique los permisos de acceso para la clave root server ssl chmod go rwx etc httpd conf ssl key server key 2 Ahora hay que crear la solicitud de firma del certificado Por favor recuerde modificar las rutas para que coincidan con las de su servidor root server ssl usr bin openssl req n
9. eGroupWare como un Cyrus Cliente de correo POP o IMAP se necesita Courier tener acceso a un servidor externo Dovecot w LI X LI eGroupWare requiere PHP PHP gt 4 1 requerido Se recomienda PHP gt 4 2 y LI X LI Reiner Jung Instalaci n y seguridad en eGroupWare P gina 6 de 65 C GroupWare 2 M todo r pido de instalaci n Este m todo le dar una breve introducci n sobre los pasos a seguir para configurar eGroupWare Una instalaci n de eGroupWare se puede hacer en menos de 10 minutos Si desea tener una descripci n m s detallada acerca de la instalaci n y la seguridad lea las siguientes p ginas de este m todo r pido de instalaci n 1 Descargue los paquetes de eGroupWare desde el rea de descarga de ourceforge En este instante eGroupWare est disponible en formato zip tar gz bz2 y rpm 2 LINUX Instale los paquetes en el servidor en el ra z del servidor web un otro directorio que quiera usar El paquete RPM se instalar autom ticamente en el directorio var www html rootG server tmp rpm ivh eGroupWare x x xx xxx x rpm Para instalar otro paquete desde eGroupWare descompr malo desde el directorio ra z del servidor web donde haya instalado la aplicaci n root server tmp cd var www rootG server www tar xzvf eGroupWare x x xx xxx x tar gz a WINDOWS Usando un programa como Winzip descomprima el fichero a cualquier directorio que est debajo del servidor web En otras palabras
10. ea cd aba eee 59 11 Tareas pendientes y registro de cambios c cccsescceseccessscesscenssneesssneesssseessneecssnecsnsseesaseesseeeesseseesaneeeeenssesseesseness 62 11 1 La lista de tareas pendientes de este documento cccesccssssecssecsssseesseseesnesssseeesscesssaeecseessenesseesonecseeersnees 62 11 2 Registro de cambios para este documento sss eene enne nennen nennen nnne nnne nn snnt ensi nnnns 62 12 Golaboradores ern este dOcUMENTO o eere e ee terrere t ENSE re reo IER Ie rer ida 63 lS licencialegible por olS anten e ee RECEN 65 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 5 de 65 C GroupWare 1 Elementos necesarios para la instalaci n de eGroupWare Esta lista tiene como objetivo proporcionar una breve descripci n de lo que se necesita para ejecutar eGroupWare No es necesario ning n compilador para instalar eGroupWare que est compuesto s lo por PHP HTML y ficheros de im genes Lo que necesita para ejecutar eGroupWare Software ejemplo Marcar los requisitos Se necesita un sistema operativo como los Linux Unix BSD siguientes MAC y X WIN NT 2000 XP eGroupWare requiere un servidor web IIS Algunos ejemplos son Roxen w O X C Apache 1 3 o 2 0 eGroupWare requiere una base de datos MYSQL e ro 0 PostgreSQL Si se quiere enviar correo con eGroupWare Postfix entonces se necesita un servidor SMTP Sendmail Exim w LI X LI Si se quiere usar
11. el directorio elegido debe ser accesible desde Internet Aseg rese de que guarda la estructura de directorios existente al extraer el fichero zip y la instalaci n estar en un directorio similar a D websites yourwebsite eGroupware todos los ficheros en el zip de eGroupware Extract iJ Extractto D websites yourwebsite lt a 7 Desktop My Documents My Computer J Eam a ee a Open Explorer window My Network k Overwrite existing files Places a All files folders in archive O Files i Use folder names m F Reiner Jung Instalaci n y seguridad en eGroupWare P gina 7 de 65 C GroupWare 3 LINUX Cambie los permisos de los ficheros de la instalaci n de eGroupWare El administrador debe tener derechos para leer y escribir El usuario del sistema con el que se ejecuta el servidor web debe tener permisos s lo de lectura S lo para el directorio fudforum el servidor web necesita tener derechos de escritura WINDOWS Ahora debe establecer los permisos adecuados para los ficheros de eGroupware egroupware Properties Administrato 5 Intemet Guest Account WEBSERVER Full Control Modify Read amp Execute List Folder Contents Read Write Full Control Modify Read amp Execute List Folder Contents Read Write oooooo0 El usuario Web necesita tener permiso de lectura Para FUDFORUM solamen
12. firmas gpg y md5sum ou eecceseesseeceeseeseeeceseesececesesseceeceaeeseceseeseeeeeseeaeeseeaeeaeeaeens 14 5 2 1 Instale la clave GPG para tar gz gpg tar bz2 9pg y Zip gpg escsssescecececsneceseeeeeeeeeseceeeeeeeeneeeeseeeeeneeas 14 5 2 2 Comprobar la clave GPG i tete ia Sess 14 5 2 3 Instale la clave GPG para los paquetes rpm csccseeccessrseeseneesseeesnesseceesseeeesenereseeeeseeeteneeemomeseeseeeesareess 16 5 3 Como puedo validar los PAQUETES miii rine D EE ATE car 16 544 Instalar los paquetes eri el Servidor iier tene EE ERE E Fe OrRE A ERR AR EREES EROR ERES d 18 5 4 1 Rehacer los paquetes para otras rutas ccsssseesscesseeeessseeescecssceecsseeussecsssseeeesenenenaeessseeeeseneesseeersnseesarenss 18 5 4 2 Instalar un paquete sin firmar en el servidor coocoocccconoaaanccnononanononononnononannnncnonnnnnoconnnnnnncononannncmmmenccconannccnnns 18 5 4 3 Instalar un paquete con firma gpg en el servidor sssssssssssssseeseeee nennen ene nennen nne 18 244 Instalar desde CMS soma ac Uer a Ia amieta EE 19 6 Seguridad b sica del servidor oe ceeeccccecsssssscssccessessecessceeccsscsseceseceseecsseeeecssecessesseseseesseecessessecesecessmmansesssesessesaeceeseneees 20 6 1 Earplaratormna del servidor iecit reete a ER e ERE MEG HT A 20 6 1 1 Comprobar los servicios que se ejecutan y puertos abiertos essssssssssssssseeeeeeeee enne 20 6 1 1 1 Puertos que el servidor eGroupWare necesita para su ejecuci n
13. include so mod log config so mod expires so mod deflate so mod headers so mod unique id so mod setenvif so mod mime so mod negotiation so mod dir so mod alias so 6 3 2 Otras opciones de configuraci n de Apache Se puede esconder mucha informaci n de Apache por motivos de seguridad Hay distintas posibilidades para Apache 1 3 y Apache 2x La directiva ServerTokens en httpd conf debe contener el valor OS ExtendedStatus debe estar en Off ServerSignature OFF el directorio del manual var www manual en Deny from all Si no necesita cgi bin desact velo En AddHandler type map INCLUDES comentar con En var www error poner Order deny allow en Deny from all Los ficheros server status y server info no deben ser de lectura publica por motivos de seguridad 6 4 Turck MMCache Turck MMCache es un acelerador PHP de c digo abierto que optimiza codifica y tiene un cach de contenidos din mico Incrementa el rendimiento de scripts PHP cache ndolos en estado compilado as que la sobrecarga de compilar de elimina casi completamente Tambi n usa algunas optimizaciones para ejecutar m s r pidamente los scripts PHP Turck MMCache suele reducir la carga en el servidor e incrementa la velocidad del c digo PHP de 1 a 10 veces Reiner Jung Instalaci n y seguridad en eGroupWare P gina 37 de 65 C GroupWare Para m s informaci n sobre TurckMMCache visite la p gina de desarrollo 6 4 1 Requisitos Se necesita phpize pa
14. la instalaci n de eGroupWare Si su instalaci n de eGroupWare se ejecuta en una jaula chroot o con restricciones open basedir en el fichero php ini cambie la ruta a los valores necesarios La ruta completa para los ficheros de usuarios y grupos debe estar fuera de la ra z del servidor web por motivos de seguridad No es posible tener este directorio dentro del mbito del servidor web T Introduzca la URL de acceso a eGW Si quiere usar HTTPS y HTTP use egroupware sl quiere usar solo HTTPS entonces use https servidor egroupware Por favor no cambie el selector est ndar de tipos de im genes de su configuraci n predeterminada que puede ser distinta a la del ejemplo de debajo ya que puede romper el diseno de la interfaz gr fica Path information Enter the full path for temporary files Examples tmp CATEMP Enter the full path for users and group files Examples files E FILES This has to be outside the webservers document root or http Avebdav domain com WebDAV Enter the location of eGroupWare s URL Example http Avww domain com egroupware or egroupware egroupware No trailing slash Image type selection order GIF gt JPG gt PNG xi jtmp jvarwwwj files directory Informaci n del servidor Reiner Jung Instalaci n y seguridad en eGroupWare P gina 52 de 65 C GroupWare Introduzca el nombre del servidor donde est la aplicaci n Debe ser un nombre v lido DNS o una direcci n
15. primera vez que configura la base de datos MySQL por favor no olvide poner una contrase a al administrador de la base de datos MySQL La contrase a en una instalaci n est ndar est en blanco Para poner una contrasena a MySQL use el siguiente comando root server html mysqladmin u root password new password T El servidor MySQL incluye una base de datos llamada test Esta base de datos no es necesaria en entornos en producci n por lo que le recomendamos que la borre rootG server html mysql u root p Enter Password mysql gt drop database test Query OK 0 rows affected 0 03 sec A ada la siguiente l nea para asegurarse de que el servidor MySQL puede usarse s lamente desde la m quina localhost Modifique el fichero etc my cnf y a ada la siguiente l nea mysqld bind address 127 0 0 1 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 46 de 65 C GroupWare 7 Instalaci n de eGroupWare 7 1 Crear la base de datos Yi Con la nueva versi n de eGroupWare la instalaci n puede crear la base de datos autom ticamente De momento esto funciona solo con las bases de datos MySQL y PostgreSQL Para MSSQL debe crear la base de datos manualmente Si quiere que eGroupWare cree la base de datos autom ticamente vaya al punto 5 3 MySQL Cree la base de datos y un usuario que pueda conectarse a ella Crear la base de datos rootG server html mysqladmin u yourmysqladmin p create d
16. runtime Off ini get magic quotes runtime e o Off H Checking php imi register_globals Off ini get register globals e 1 On register_globals is tumed On Scopare does MOT require it and it s generaly more secure to have it turned Ott wv Checking php ini memory limit 16M ini get memory limit w Checking php ini max execution time gt 30 ini get max execution time 90 w Checking php ini include path contain ini geci include path D phplinciuder W Checking extension mysql is loaded or loadable True Y Checking extension pgsql is loaded or loadable True H Checking extension mssql iz loaded or loadable False The miri is needed if you plan to use a MeSQL database W creaming extension abstring 18 leaded ox leadebie True W aediag ovaria inp ic icaid or lsotbies True w Checking file permissions of tor not world writable na r amp drwrrwrrwx This might take a while please wait WE ana file permissions of phpqvapi images for writable by the webserver mn rn druxruxrux W Checking file pernissione of fudforum for writable by the webserver ma mm drexruxrux Please fix the above errors X and warnings and continue to the Header Admin Cuando haya resuelto los conflictos pulse en continue to the Header Admin 7 La configuraci n para el inicio del administrador de encabezados Rellene todos los campos WINDOWS Server Root Este valor es el directorio ra z de la instalaci
17. son necesarios para eGroupWare entonces puede usar un cortafuegos o TCP Wrappers Si es posible permita servicios s lo con Secure Socket Layer SSL activado para el servidor eGroupWare 6 1 1 1 Puertos que el servidor eGroupWare necesita para su ejecuci n Los puertos que se necesitan son Puerto del servidor web HTTP 80 Puerto SSL del servidor web HTTPS 443 Administraci n remota Secure Shell SSH 22 Si tiene que ejecutar un servidor de correo en la misma m quina entonces necesita algunos puertos m s Si puede la oportunidad de ejecutar el servicio de correo en otra m quina h galo Email Server MTA SMTP 25 Email Server MTA SMTPS 465 Para recoger los correos del servidor con otros clientes de correo como los clientes de correo eGroupWare necesita uno de los siguientes puertos Servidor IMAP IMAP 143 Servidor IMAP SSL IMAPS 993 POP 3 POP 3 110 POP 3 sobre SSL POP 3 995 Si bloquea sus puertos con un cortafuegos por favor tenga cuidado de que necesita alg n tr fico saliente que debe permitir Este puede ser NTP b squedas DNS Conclusi n El servidor necesita al menos los puertos 22 80 443 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 20 de 65 C GroupWare Y como m ximo los puertos 22 25 80 110 143 443 465 993 995 M nimo recomendado 22 443 M ximo recomendado 22 25 443 993 995 6 1122 El escaneador de puertos Para comprobar su instalaci n cont
18. 04 Output of the daily AIDE run AIDE found differences between database and filesystem Start timestamp 2004 02 14 17 27 16 Summary Total number of files 34691 added files 2 removed files 0 changed files 5 Added files added etc cron daily aide added var log error log Changed files changed etc aide conf changed root changed root viminfo changed root bash_history changed root chkrootkit 0 43 1 i386 rpm Detailed information about changes File etc aide conf Inode 89090 Directory root Mtime Ctime 2004 02 14 16 35 58 2004 02 14 16 35 58 File root viminfo Size Mtime Ctime Inode MD5 SHA1 6683 2004 02 14 16 35 58 2004 02 14 16 35 58 111362 UMOerzXMWPEdiCgKV t91g JNIZWrSY Q4zk3Rd7dnpyth2a0Y File root bash history Size Mtime Reiner Jung 14824 2004 02 14 16 16 30 Instalaci n y seguridad en eGroupWare 89173 2004 02 14 17 27 12 2004 02 14 17 27 12 6513 2004 02 14 17 27 12 2004 02 14 17 27 12 111363 IIJEOUBQu7PKTCJiS3b2Fzw RlwFnTg2scWSaRnn47zcZ syS3E 14872 2004 02 14 16 48 32 P gina 32 de 65 C GroupWare Ctime 2004 02 14 16 16 30 2004 02 14 16 48 32 MD5 ZIVCx 39n8XLd3 ip757vA nCs18yz dwDD BfsUssuhQ SHA1 Al8brD3i B6P2RMxpn6laC I5fE DWBEJLAOHnt6XXTszkzKi8gaTZQ File root chkrootkit 0 43 1 i386 rpm Permissions rw r r y IW E Ctime 2004 01 26 13 4
19. 06 Not Acceptable Content Length 352 Connection close Content Type text html charset iso 8859 1 Request xxx xxx xxx xxx 21 Feb 2004 20 40 29 0100 GET cgi bin modsec test pl p DELETE9620FRoM users HTTP 1 0 406 352 Handler cgi script GET cgi bin modsec test pl p DELETE9620FRoM users HTTP 1 0 Host XXX XXX XXX XXX User Agent mod_security regression test utility Connection Close mod_security message Access denied with code 406 Pattern match delete space from at THE REQUEST mod security action 406 HTTP 1 0 406 Not Acceptable Instalaci n y seguridad en eGroupWare P gina 36 de 65 GroupWare Content Length 352 Connection close Content Type text html charset iso 8859 1 6 3 Optimizaci n y seguridad en Apache Para la seguridad del servidor web debe desactivar todos los m dulos innecesarios Active s lo lo que necesite para ejecutar el servidor web Ejecutarlo con menos m dulos tambi n mejora el rendimiento 6 3 1 M dulos recomendados Los siguiente m dulos dan una breve descripci n de lo que se necesita para ejecutar Apache 2 con eGroupWare Los dem s m dulos debe desactivarse jLa optimizaci n de Apache no es para gente inexperta Si desactiva alguos m dulos en httpd conf tambi n debe comentar otras opciones en httpd conf Se recomienda desactivar un m dulo para el servidor y reiniciarlo Eche un vistazo a los mensajes de error mod access so mod auth so mod
20. 3 35 2004 02 14 16 51 06 AIDE produced no errors 6 1 6 5 Crear una base de datos nueva despu s de los cambios Despu s de comprobar el informe debe crear una nueva base de datos y guardarla en la ubicaci n segura jEjecute la actualizaci n de su base de datos despu s de cada informe que haya comprobado rootO server root mnt floppy aide init root server root cp var lib aide aide db new gz mnt floppy var lib aide aide db gz 6 1 7 Seguridad de los servicios en demonios Ejecute los demonios necesarios en un entorno chroot en nix Use TCP Wrappers o xinetd para la seguridad en los demonios 6 18 Cortafuegos Configure un cortafuegos en su servidor para proteger su sistema 6 2 Seguridad en aplicaciones web Con un software de seguridad en aplicaciones se puede ejecutar de forma segura sus aplicaciones basadas en web como eGroupWare desde ejecuciones SQL Cross Side Scripting y otros ataques Hay varias aplicaciones en el mercado Apache e IIS Dos herramientas libres son ModSecurity para Apache Webserver 1 3x y 2 x llSShield Para Internet Information Server ModSecurity es una herramienta libre de detecci n de intrusos para aplicaciones web Opera empotrada en el servidor web actuando como un paraguas potente poniendo un escudo a las aplicaciones para protegerlas de los ataques ModSecurity soporta Apache 1 3x y Apache 2 x 6 2 1 Instalar ModSecurity Descomprima el c digo fuente de mod_secur
21. 9 Paso 3 Configurar las cuentas de los USUGFIOS i iecit ep ere oderint eene erroe iiaii er interna Ies 54 7 54 erem ACMIMISTFAPIGIOMIOS e 55 7 5 5 Paso 5 Administrar apliCaciori8s iier canariensis De ARR ERE EXE ERR ERE di ies 55 8 Iniciar una sesion en eGroupWare cccccccssssccceessssceccessseeccessseeeecessuececessneeecesessaeecessesaesceessaseecessnaaececeseaeeecceesaeeecesamas 55 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 4 de 65 C GroupWare 9 Resoluci ride ptrobletrids eee n ert E A E E E R 56 9 1 Olvido de la contrasena de administrador eiie RP le as dense tala 56 9 2 El usuario administrador u otro usuario est bloqueado sse eene enne nnne nnne nnne nenne 56 9 3 Database error lock Array write fallecl uires arene sea an EA AE ENAT anida ERES 56 9 4 Comprobar los permisos de los ficheros oo eceeesscccesssssecceessceccecsseeceesesseeececssseeecesesseeeceesssseeceesaseeesesssenmmesseeeeess 56 9 5 No puedo pasar de la p gina de Comprobar la instalaci n 1 sse 57 9 6 No puedo pasar de la p gina de Comprobar la instalaci n 2 essen 57 9 7 WINDOWS fudforum 3814 9 Permiso denegado sss neret nnne tm tenente 57 9 8 Sitemgr mkdir sitemgr link Permiso denegado eee eee eene nne nn ntn tenen enn enne tnnt tne tns mon enean 58 IO Mapa de SoItWare ener aree dome iv n Un aus obvious
22. IP en la que se ejecuta la instalaci n Sila instalaci n de eGroupWare est detr s de un servidor proxy por ejemplo SQUID y quiere usar aplicaciones como cabeceras o cotizaciones debe configurar los valores del proxy Host information Enter the hostname of the machine on which this server is running Wwww creativix net Enter your default FTP server Attempt to use correct mimetype for FTP instead of default application octet stream No v Enter your HTTP proxy server proxy company Enter your HTTP proxy server port 3381 Enter your HTTP proxy server username proxy_username Enter your HTTP proxy server password proxy_password Identificaci n Cuentas t Hay disponibles varios m todos de identifaci n SQL SQL SSL LDAP Mail HTTP NIS y Pam Seleccione el m todo de identifaci n deseado para los usuarios de su instalaci n de eGroupware T Seleccione el tipo de cifrado para las contrasenas de los usuarios que se almacenaran cifradas en la base de datos Si quiere usar un rbol LDAP para la identificaci n de distintas instalaciones de eGroupWare puede usar el prefijo de la cuenta Use nombres de usuario con may sculas y min sculas para mayor seguridad Authentication Accounts Select which type of authentication you are using SQL y Select where you want to store retrieve user accounts sot gt SOL encryption type for passwords default md5 MD5 y Minimum account id e g 500 or 100
23. Instalaci n y seguridad en eGroupWare Versi n O 4 GroupWare Este documento est publicado bajo la Creative Commons Attribution ShareAlike License Las extensiones y respuestas a este documento son bienvenidas Por favor p ngase en contacto con el autor Autor Reiner Jung Copyright Reiner Jung Contacto r jungOcreativix net Coordinador traducci n espanol Oscar Manuel G mez Senovilla Contacto omgs users sourceforge net Proyecto eGroupWare Fecha de publicaci n 8 de agosto de 2004 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 2 de 65 GroupWare Indice herz XE 3 1 Elementos necesarios para la instalaci n de eGroupWare seen nennen nennen etnies nns 6 2 M todo r pido de instalaci n ceescssscesscesscessessecessecssesesscesecessecsessssecssesecscesscssseesesseeeceusessecessceseesseeeseecessseaeesaecess mum 7 3 Migrar una instalaci n de phpGroupWare a eGroupWare essere eene enne eterni nme nnn 12 4 Actualizar eGroupW OLe 25 ne a p INIHI iie EI 13 4 1 Actualizar la instalacion de eGroupWare ertet tst t E EH RETE E NERA SEE WGWEE EM TER PA Te eA Een T tae 13 4 2 Portar la configuraci n a la nueva versi n de header inc php essen enne nennen sn 13 5 Pasos necesarios para instalar eGroupWare irssi nseri riene E EEVEE EEE ELE EE EEREN TEE EEE TEE EE 14 5 1 Descargar los paquetes edu ee EE ie ei pret E ie asa 14 5 2 Por qu son necesarias las
24. S CUMMIY e M 35 6 2 4 Registro de ejemplo de ModSedcurity icsccsccsssccsssscscevecceanccscessscescccusascteevacesancstnatsdeesscesaescnesedeesscedsesnemmeatesaes 35 6 3 Optimizaci n y seguridad en Apache ccssscssscsssessscssscesecessesscecssecesscsssceseesseeseeecesssessmumssssesesscessseassseeeaeseseeeasees 37 6 33 Modulos recomendados ite dir rie eei bt 37 6 3 2 Otras opciones de configuraci n de Apache cccecesecsssessseesscsseeeseceseecseeeneecesscsseeeseceeeceseseseesaeeesemeneaeeeaes 37 GA A gel aN sts OX od go de PEL HE 37 MENU aneeeels 38 6 4 1 1 Tareas previas en RedHat Enterprise Linux 3 ccsessecsssecssseessssccesseenssneesescecessnenssasesessetensnensseeerences 38 642 Compatibilidad s as A enim E 39 64 3 ll aise lel ede ait ce Le anemones eer eet ease eer er ners MEME E ES 39 S AM IDterdz webshots EDEEEIURHITE Rite inca EB 40 6 5 Seguridad de la instalaci n PHP csesescessssssecsccssscesscessecseeessssssscesscessceseecseeseescesscesecesecessseessssecssceseceesesseeseeegs 41 6 6 Crear un certificado para el servidor web ssssssssssseeeeeeeee eene ennt emen er nn ran nn nennen nnne nnns 42 6 6 1 Unirse a una Autoridad de certificaci n CA essere nnne 43 6 6 2 Crear una solicitud de fima de certificado rv aiii 43 66 2 1 Cambi
25. a desactive 9 3 Database error lock Array write failed Database error lock Array write failed MySQL Error 1044 Access denied for user Olocalhost to database groupware Function db halt db lock config save repository sessions sessions_ session sessions createobject include include session halted v Compruebe los permisos de la base de datos Su usuario no tiene los privilegios suficientes 9 4 Comprobar los permisos de los ficheros Este error ocurre cuando ejecuto el script de comprobaci n de la instalaci n Comprobando los permisos de phpgwapi images para que no sea de escritura para todos hri users drwx rwx Jphpgwapi images puede escribir en el todo el mundo v Cambie los permisos en el directorio phpgwapi images para que no sea de escritura por todos chmod 700 images Reiner Jung Instalaci n y seguridad en eGroupWare P gina 56 de 65 C GroupWare 9 5 No puedo pasar de la p gina de Comprobar la instalaci n 1 No hay avisos ni errores Instalo el fichero header inc php con todos los valores correctos etc pero acabo siempre en esta misma p gina check install php ecu que el servidor web tenga los permisos de lectura para el fichero header inc php y que est en la ra z del servidor web 9 6 No puedo pasar de la p gina de Comprobar la instalaci n 2 Hemos instalado eGroupWare en un servidor Linux que tambi n tiene instalado un servidor proxy Los clients Microsoft I
26. aci n en el servidor 6 1 4 1 Con ctese a su servidor con una sesi n segura Si su servidor soporta conexiones SHH entonces es f cil administrarlo remotamente S lo tiene que conectarse al servidor con su cliente SSH Reiner Jung Instalaci n y seguridad en eGroupWare P gina 24 de 65 C GroupWare Si se conecta al servidor la primera vez recibir una advertencia como la siguiente Debe responder a la advertencia con yes si est seguro de que ste es el servidor al que desea conectarse user client home ssh suservidor The authenticity of host yourserver 100 178 76 207 can t be established RSA key fingerprint is 7e 8e 55 8b 49 57 5d 41 40 ab 93 64 18 af 60 ea Are you sure you want to continue connecting yes no yes Warning Permanently added yourserver RSA to the list of known hosts Con ctese a su servidor para la administraci n remota user client home ssh suservidor T Copie los ficheros a su servidor con secure copy scp user client home scp fichero txt servidor home Tambi n puede usar sftp para trabajar con un cliente ftp seguro user client home sftp servidor e En algunas instalacines la funci n sftp est desactivada por defecto por ejemplo por Debian Si quiere activarla debe anadir la siguiente linea al fichero sshd_config en su servidor En un sistema Debian debe ser subsystem sftp usr lib sftp server En un sistema RedHat debe ser subsystem sftp u
27. ar el fichero openssl Ch ais iecit ee P nee ende P eerte e PER Fre rei green 43 6 6 2 2 Crear la clave de servidor y solicitud de firma cccessecesecesseceesscecseseuessecnescesessessesecsceeesneeseeerseens 44 6 6 2 3 Enviar la Solicitud de firma ala CA eerie hri eir iia 45 6 6 2 4 Instalar el certificado en el servidor oo eeeceeeesseesceesccesceceeccncceeseceseeeseeenaceaecesesecesesaecseecesceneeseaesnemnesaes 45 Os 7 EISSIVIGOR A PEE 46 6 8 El servidor de bases de datos SQL oc esssssssscsesesssssecseseesecescessessseeeesusscescessessestsseesuesesesesseseneetsseesenesssssesnseetaess 46 VAMisirellefei e Ne N 1e coUo fo RRRRRRRRRRRRRRRRRRRREEEEEEEMEMEEEMEMMMM 47 7T Crear la base de dalos ss uscito aa tas 47 7 2 C mo iniciarla config raci rie prt eir do eiii 48 7 3 Comprobar la instalaci n de eGroupWare sess eene enne nnne enne eene enne enne 4O 7 4 Crear el fichero hedden DNP o 49 7 5 Administrador de instalaci n configuraci n essent tme nennen nennen 50 7 5 1 Paso 1 Gesti n simple de APLICACIONES eeceecccssscssssssscesseeseceseeesseeesccseceseceseceseeceseceseeesecesecsseseseeesaseesesenes 50 19 2 Paso 2 CODIISUEFCICI B s iere St en o rc 51 7 5 2 1 Crear el directorio para los ficheros 0 eeescessseeeseseeesseeeceeecsseeeseeeeseeecseseeeseeeeseeeeseseeesaeessseeeseseaeeesees 51 7 5 22 Editar Td configuraci n actual oss e a HEREIN VERE EA EUER asian Ces E AM ss CRAP UL e ERR EEUU 52 7 9
28. ara comprobar el checksum de los tar gz gpg tar bz2 gpg o zip gpg siga estos pasos En la l nea de comando de su sistema Linux escriba las siguientes l neas user server tmp gpg verify eGroupWare x x xx xxx x tar gz gpg Para comprobar el checksum del paquete rpm siga estos pasos En la l nea de comando de su sistema Linux escriba las siguientes l neas user server tmp rpm checksig eGroupWare all apps x x xx xxx x noarch rpm Reiner Jung Instalaci n y seguridad en eGroupWare P gina 17 de 65 GroupWare 5 4 Instalar los paquetes en el servidor 5 4 1 Rehacer los paquetes para otras rutas Se pueden recompilar los paquetes para SuSE Linux Por favor descarge el src rpm y escriba user server tmp rpmbuild rebuild eGroupWare x xx xxx x src rpm Esto crear un paquete con una ruta de instalaci n srv www htdocs El paquete se ubicard en el directorio usr src packages RPMS noarch 5 4 2 Instalar un paquete sin firmar en el servidor Para instalar un paquete rmp sin firmar haga lo siguiente Vaya al directorio ra z del servidor web o a donde quiera instalar los paquetes user server tmp cd var www html Extraiga el paquete en este directorio Si el paquete est en el directorio tmp puede instalarlo con user server tmp tar xzvf tmp eGroupWare x xx xxx x tar gz user server tmp tar xjvf tmp eGroupWare x xx xxx x tar bz2 user server tmp unzip tmp eGroupWare x xx Xxx X zip 5 43 Instala
29. are x xx xxx x tar gz Para paquetes tar bz2 vaya al directorio ra z del servidor web el directorio superior a la instalaci n de rootG server tmp cd var www html rootG server html tar xjvf eGroupWare x xx xxx x tar bz2 Es posible actualizar desde CVS AVISO actualice desde CVS s lo desde la rama estable y no desde la rama de desarrollo rootG server tmp cd var www html egroupware root server egroupware cvs update Pd Entre en Setup Config Admin Si es necesario eGroupWare le mostrard que tiene que actualizar la base de datos Compruebe las actualizaciones necesarios en el paso 4 Administraci n de aplicaciones avanzada 4 2 Portar la configuraci n a la nueva versi n de header inc php Reiner Jung Despu s de la instalaci n posiblemente ver el siguiente mensaje Necesita portar su configuraci n a la nueva versi n de header inc php Vaya a https suservidor egroupware setup Despl cese hacia abajo hasta Comprobar la instalaci n de eGroupWare Confirme pulsando el bot n Continue to the Header Admin Introduzca su nombre de usuario y contrase a Si es necesario cambie la configuraci n Guarde el fichero Instalaci n y seguridad en eGroupWare P gina 13 de 65 C GroupWare 5 Pasos necesarios para instalar eGroupWare 5 1 Descargar los paquetes Se puede descargar el paquete de http sourceforge net project showfiles php group id 78745 Proporcinamos los siguientes paquetes en el
30. asegurese de que el el binario y la base de datos AIDE no se han modificado sin su conocimiento root server root mnt floppy aide check 6 1 6 3 Crear un fichero cron para ejecutar Aide autom ticamente Este fichero est incluido en el paquete de Debian AIDE as que no necesita crear este fichero si usa el paquete de Debian El fichero que se usa aqu como un ejemplo es un fichero modificado de RedHat Fedora Linux Si desea crear un fichero cron para otra distribuci n debe cambiar las rutas 1 bin sh PATH bin usr sbin usr bin LOGFILE var log aide log CONFFILE etc aide conf ERRORLOG var log error log f usr sbin aide exit O MAILTO yourusername DATABASE grep database file CONFFILE head 1 cut d f2 LINES 1000 FQDN hostname f DATE date at X on x z MAILTO amp amp MAILTO root if f DATABASE then echo Fatal error The AIDE database does not exist echo This may mean you haven t created it or it may mean that someone has removed it bin mail s Daily AIDE report for FQDN MAILTO exit 0 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 30 de 65 GroupWare aide check LOGFILE 2 gt ERRORLOG cat EOF This is an automated report generated by the Advanced Intrusion Detection Environment on FQDN DATE EOF if s LOGFILE then loglinesz wc LOGFILE awk print 1 y if lo
31. atabase Enter password Cree el usuario y darle permisos sobre la base de datos rootG server html mysql u yourmysqladmin p Enter password mysql gt grant all on egroupware to egroupwaredbuser localhost identified by password PostgreSQL Compruebe que puede conectarse a la base de datos Desde la cuenta de root cambie a la cuenta postgres rootG server html su postgres Edite el fichero postgresql conf bash 2 05b cd data bash 2 05b vi postgresql conf El fichero debe parecerse al ejemplo de debajo Connection Parameter tcpip socket true ssl false max_connections 32 port 5432 Edite el fichero pg_hba conf para que se parezca a este ejemplo TYPE DATABASE USER IP_ADDRESS MASK AUTH_TYPE AUTH_ARGUMENT local egroupware trust host egroupwaredbname all 127 0 0 1 255 255 255 255 md5 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 47 de 65 GroupWare El valor User est disponible a partitr de PostgreSQL 7 3 X Reinicie el servicio de PostgreSQL y compruebe la conectividad rootG server html etc init d postgresql restart root server html su postgres bash 2 05b psql h localhost template1 Cerra la conectividad con la base de datos templatei q Configure la base de datos PostgreSQL Cree un usuario que tenga derecho de acceso a la base de datos deGroupWare bash 2 05b createuser yourdbusername P Answer the next questions with yes bash 2 0 5b Shall t
32. ci n y seguridad en eGroupWare P gina 62 de 65 GroupWare Sun Nov 22 2003 Reiner Jung r jung AT creativix DOT net 0 3 Update eGroupWare update with packages update from CVS Install from a RPM to a other path like var www html Software Map add the software and the license from all pieces from 003 document some typo errors fixes GPG key typo fixed Verify the GPG key added Create a https certificate Secure PHP installation Fri Sep 16 2003 Reiner Jung lt r jung AT creativix DOT net gt 0 2 some typo errors fixed fix error in CVS install documentation fix type In nmcache chkrootkit how to added Checkrootkit sample snippet Install check rootkit RPM Install check rootkit tar gz check your server for unneeded service open ports Ports which eGW server needs to run The portscanner Output from the portscanner Disable unneeded services servers uninstall unneeded software extended secure administration ssh sshd Connecting your server with a secure session Working with ssh key pairs Creating a secure shell key pair Copying your public key to the server The ssh add tool Securing your ssh client Securing your sshd Fri Sep 12 2003 Reiner Jung lt r jung AT creativix DOT net 0 1 Initial creation of this document 12 Colaboradores en este documento Reiner Jung Instalaci n y seguridad en eGroupWare P gina 63 de 65 C GroupWare Las siguientes personas han colaborado en este Manual de I
33. clave importada Reiner Jung Instalaci n y seguridad en eGroupWare P gina 14 de 65 C GroupWare root server root gpg list keys gpg Warning using insecure memory gpg please see http www gnupg org faq html for more information root gnupg pubring gpg pub 1024D D9B2A6F2 2002 12 22 Reiner Jung lt r jung creativix net gt sub 1024g D08D986C 2002 12 22 Ahora edite la clave con el identificador D9B2A6F2 rootG server root gpg edit key D9B2A6F2 gpg GnuPG 1 0 7 Copyright C 2002 Free Software Foundation Inc This program comes with ABSOLUTELY NO WARRANTY This is free software and you are welcome to redistribute it under certain conditions See the file COPYING for details gpg Warning using insecure memory gpg please see http www gnupg org fag html for more information gpg checking the trustdb gpg no ultimately trusted keys found pub 1024D D9B2A6F2 created 2002 12 22 expires never trust sub 1024g D08D986C created 2002 12 22 expires never 1 Reiner Jung lt r jung creativix net gt Aunque no es necesario puede comprobar tambi n la huella digital de la clave La huella de la clave es BBFF 354E CAIF 051E 932D 70D5 OC C3 882C D9B2 A6F2 Reiner Jung Command fpr pub 1024D D9B2A6F2 2002 12 22 Reiner Jung lt r jung creativix net gt Fingerprint BBFF 354E CA1F 051E 932D 70D5 0CC3 882C D9B2 A6F2 Ahora puede firmar la clave Command gt trust pub 1024D D9B2A6F2 created
34. ecesaria para crear una cuenta personal en CA Cert Despu s de indicar la contrase a recibir m s instrucciones por correo electr nico 6 6 2 Crear una solicitud de firma de certificado En la instalaci n del servidor hay que crear una clave de servidor y una solicitud de firma de certificado 6 6 2 1 Cambiar el fichero openssl cnf 7 Necesitar s lo los cambios en el fichero openssl cnf si quiere usar el certificado de la CA sin nimo de lucro En Debian Linux el fichero est en usr lib ssl y en Red Hat la ruta es usr share ssl Por favor compruebe que su fichero openssl cnf es similar al de la muestra siguiente Las l neas importantes son las que est n descomentadas o el cambio del valor stateOrProvinceName root server ssl vi openssl cnf For the CA policy policy match countryName match stateOrProvinceName optional organizationName match organizationalUnitName optional commonName supplied emailAddress optional req distinguished name countryName Country Name 2 letter code countryName default GB countryName min 2 countryName_max 2 stateOrProvinceName State or Province Name full name Reiner Jung Instalaci n y seguridad en eGroupWare P gina 43 de 65 C GroupWare stateOrProvinceName_default Berkshire localityName Locality Name eg city localityName_default Newbury 0 organizationName Organization Name eg company 0 organizationName_default My
35. egister_globals OFF Es m s seguro poner las rutas para session save path y upload tmp dir en el fichero php ini e incluirlas a las restricciones open basedir 6 6 Crearun certificado para el servidor web Para proteger su privacidad si se conecta a su instalaci n eGroupWare puede usar un certificado en el servidor Con un certificado se puede conectar al servidor web con una conexi n cifrada https en vez de http Sin una conexi n https otras personas pueden usar un sniffer para averiguar su contrase a u otra informaci n Tiene unas pocas posibilidades para crear un certificado para el servidor web 1 Cree su propio autoridad de certificado y firme su certificado de servidor Confianza baja 2 Use una Autoridad de certificaci n sin nimo de lucro https www cacert org Confianza alta 3 use una Autoridad de certificado comercial http www thawte com https www verisign com Reiner Jung Instalaci n y seguridad en eGroupWare P gina 42 de 65 GroupWare Confianza alta Si quiere usar una Autoridad comercial por favor vaya directamente al punto 5 3 2 6 6 1 Unirse a una Autoridad de certificaci n CA El primer paso para recibir un certificado de servidor es unirse a cacert Abra el navegador y vaya a la siguiente direcci n https www cacert org Siga el enlace y elija Join CAcert en el lado izquierdo Contin e con la inscripci n Rellene toda la informaci n n
36. el sistema DynamicOrRelevant grabar las solicitudes o violaciones din micas y RelevantOnly grabar s lo las violaciones de pol ticas SecAuditEngine RelevantOnly El nombre del fichero de registro de auditor a SecAuditLog logs audit_log SecFilterDebugLog logs modsec_debug_log SecFilterDebugLevel 0 Inspeccionar POST payloads SecFilterScanPOST On Reiner Jung Instalaci n y seguridad en eGroupWare P gina 34 de 65 C GroupWare Acci n predeterminada SecFilterDefaultAction deny log status 500 Prevenir ataques de rutas SecFilter Protecci n d bil XSS pero permite etiquetas HTML comunes SecFilter lt space script Filtros para prevenir ataques de comandos SQL SecFilter delete space from SecFilter insert space into SecFilter select from Requerir cabeceras HTTP_USER_AGENT y HTTP_HOST SecFilterSelective HTTP USER AGENT HTTP HOST lt IfModule gt Tenga cuidado La configuraci n de ModSecurity depende de los m dulos que use Debe hacer ajustes muy espec ficos al recibir errores Use s lo losfiltros necesarios para su servidor Si usa un servidor Linux no necesita comprobar las reglas de Windows 6 2 3 Comprobar ModSecurity Puede hacer una prueba r pida de la funcionalidad de ModSecurity Vaya al directorio test en modsecurity y ejecute alguna de las pruebas de ejemplo root server tests run test pl yourIpAdress 09 direc
37. encias debe instalar otra aplicaci n Por ejemplo felamimail necesita que est instalado emailadmin Application Data w w addressbook OK C Addressbook 0 9 13 002 0 9 13 002 E W admin OK C admin 09 13 002 09 13 002 r W backup OK C Backup 0 0 1001 0 0 1001 E W _ bookmarks OK C Bookmarks 09 2 09 2 r y calendar OK C calendar 0 9 16 002 0 9 16 002 KE 8 Iniciar una sesion en eGroupWare Una vez que ha terminado de configurar eGroupWare puede iniciar la sesion Vaya a http servidor egroupware o donde lo haya configurado El primer paso como administrador es ir a la administracion donde se elige la configuraci n del sitio los usuarios grupos correo electr nico y otra informaci n necesaria Reiner Jung Instalaci n y seguridad en eGroupWare P gina 55 de 65 C GroupWare 9 Resoluci n de problemas 9 Olvido de la contrasena de administrador jOlvid mi contrasena de administrador y no puedo iniciar la sesi n con mi usuario de administrador en eGroupWare v Vaya a http servidor egroupware setup Log in to Setup Config Admin Login Set up a new admin account 9 2 Elusuario administrador u otro usuario est bloqueado No puedo iniciar una sesi n en mi instalaci n de eGroupWare Recibo el mensaje Bloqueado demasiados intentos Qu puedo hacer v En la configuracion est ndar espere 30 minutos para poder volver a iniciar la sesi n Es una caracter stica de seguridad jno l
38. ene aplicaciones instaladas y tendr la opci n de instalar las tablas principales y las aplicaciones de preferencias de administraci n Siga adelante e instale las tablas Nota Si hay errores vaya a la secci n Resoluci n de problemas 10 Editar configuraci n actual Cree un directorio fuera de la estructura del servidor web y otorgue permisos de lectura escritura y ejecuci n para el servidor web Si la ra z de su servidor web server est bajo var www html puede crear el directorio por ejemplo en var www files WINDOWS Hay que crear un directorio que no est por debajo de la instalaci n Por ejemplo si el ra z de la instalaci n es D websites yourwebsite eGroupware el directorio podr a ser algo como D NwebsitesNyourwebsiteNnuevo directorio Una vez que el director est creado aseg rese de que el usuario del servidor Web tiene permisos de lectura escritura y ejecuci n en este directorio 11 Crear el usuario administrador No use este usuario en sus tareas normales Este usuario s lo debe usarse como resguardo y para la configuraci n inicial 12 Administrar idiomas Instale los idiomas que desee usar Reiner Jung Instalaci n y seguridad en eGroupWare P gina 10 de 65 C GroupWare 13 Administrar aplicaciones Desinstale las aplicaciones que no quiera usar 14 Inicie la sesi n en eGroupWare Pong en el navegador la url que corresponda a su instalaci n http servidor egroupware
39. ew key etc httpd conf ssl key server key Reiner Jung Instalaci n y seguridad en eGroupWare P gina 44 de 65 C GroupWare out etc httpd conf ssl csr server csr Using configuration from usr share ssl openssl cnf Enter PEM pass phrase El sistema le pide la contrase a la que se le di al crearla Si cre la clave sin contrase a entonces no se necesita You are about to be asked to enter information that will be incorporated into your certificate request What you are about to enter is what is called a Distinguished Name or a DN There are quite a few fields but you can leave some blank For some fields there will be a default value If you enter the field will be left blank Country Name 2 letter code GB DE State or Province Name full name Locality Name eg city Newbury Organization Name eg company My Company Ltd egroupware org Organizational Unit Name eg section Common Name your name or server s hostname egroupware org Email Address yourname yourdomain org Please enter the following extra attributes to be sent with your certificate request A challenge password An optional company name In your folders you will find a new file named server csr This file has to be sent to your certificate authority 6 6 2 3 Enviar la solicitud de firma a la CA Hay que enviar la solicitud de firma a la autoricad de certificaci n CA Aqui lo enviamos a CA Cert Abra el
40. ge devel Group Development Libraries Summary Files needed for building PHP extensions description devel The php devel package contains the files needed for building PHP extensions If you need to compile your own PHP extensions you will need to install this package Cambiar la siguiente l nea RPM_BUILD_ROOT _bindir phptar pearize php config phpextdist phpize Y poner en su lugar RPM BUILD ROOT e bindir phptar pearize Reiner Jung Instalaci n y seguridad en eGroupWare P gina 38 de 65 GroupWare Borrar esta l nea rm rf RPM_BUILD_ROOT _includedir V RPM_BUILD_ROOT d _libdir php Anadir este bloque despu s de la primero secci n files files devel defattr root root _bindir php config _bindir phpize _bindir phpextdist _includedir php _libdir php Guarde el fichero y compile el nuevo paquete root server SPECS rpmbuild bb php spec Instale SOLO el paquete php de desarrollo en su servidor 6 4 Compatibilidad Esta versi n de Turck MMCache ha sido comprobado correctamente en PHP 4 1 0 4 3 2 bajo RedHat Linux 7 0 7 3 8 0 RedHat ES y AS y Windows con Apache 1 3 y 2 0 6 4 3 Instalaci n r pida T compilar Turck MMCache export PHP PREFIX usr PHP PREFIX bin phpize configure enable mmcachezshared with php config PHP_PREFIX bin php config make Debe especificar el prefijo real donde est instalado PHP con el comando export Puede ser usr us
41. glines 0 gt LINES then echo echo TRUNCATED output of the daily AIDE run echo Output is loglines lines truncated to LINES head LINES LOGFILE echo The full output can be found in LOGFILE else echo Output of the daily AIDE run cat LOGFILE fi else echo AIDE detected no changes fi if 5 ERRORLOG then errorlines wc ERRORLOG awk print 1 y if errorlines 0 gt LINES then echo TRUNCATED output of errors produced echo Error output is errorlines lines truncated to LINES head LINES ERRORLOG echo The full output can be found in ERRORLOG else echo Errors produced cat ERRORLOG fi else echo AIDE produced no errors fi bin mail s Daily AIDE report for FQDN MAILTO No se recomienda que se ejecuten comprobaciones automatizadas de AIDE sin comprobar por uno mismo AIDE con frecuencia Adem s AIDE no implementa ninguna protecci n por contrase a o cifrado para sus propios ficheros Reiner Jung Instalaci n y seguridad en eGroupWare P gina 31 de 65 6 1 6 4 Informe de ejemplo de AIDE GroupWare El informa que crea AIDE muestra todos los cambios en el sistema de ficheros Por favor compare el informe con los cambios que haya hecho instalar una actualizaci n o cambiar la configuraci n desde su servidor This is an automated report generated by the Advanced Intrusion Detection Environment on egroupware at 05 27 16 PM on 02 14 20
42. gs it may take a while nothing found for HiDrootkit s default dir nothing found for tOrn s default files and dirs nothing found for tOrn s v8 defaults nothing found for Lion Worm default files and dirs nothing found for RSHA s default files and dir nothing found for RH Sharpe s default files nothing found for Ambient s rootkit ark default files and dirs nothing found Instalar el rom de chkrootkit El rpm de chkrootkit debe ejecutarse en todas las distribuciones basadas en rpm Desc rguelo de la direcci n anterior e inst lelo root server tmp rpm ivh chkrootkit x xx x i386 rpm Despu s de la instalaci n puede ajustar el fichero chkrootkit_cronfile a sus necesidades Este paso no es necesario 6 1 3 9 pero hace que el informe sea menos repetitivo rootG server tmp vi etc cron daily chkrootkit cronfile 1 bin sh cd usr bin chkrootkit 2 dev null mail s chkrootkit output root Cambie los siguientes valores chkrootkit output a chkrootkit miservidor output root a your email adressQsuservidor com Instalar chkrootkit desde un tar gz Descomprima e instale chkrootkit Reiner Jung rootG server tmp cp chkrootkit tar gz usr local rm chkrootkit tar gz Instalaci n y seguridad en eGroupWare P gina 23 de 65 C GroupWare root server tpm cd usr local root server local tar xzvf chkrootkit tar gz root server local mv chkrootkit x xx chkrootkit root
43. he new user be allowed to create databases y n Y bash 2 0 5b Shall the new user be allowed to create more new users y n N Create the new eGroupWare database bash 2 05b createdb U yourdbusername yourdatabasename 7 2 C mo iniciar la configuraci n Ponga en el navegador la URL de us instalaci n de egwroupwoare para abrir el men de configuraci n https www servidor com egroupware setup Autom ticamente ser redirigido a la comprobaci n de la instalaci nde eGroupWare que es nuestro siguiente paso 7 3 Comprobar la instalaci n de eGroupWare Si no hay un fichero header inc php creado eGroupWare ejecuta una comprobaci n sobre algunos par metros en el fichero php ini y en el sistema local y luego muestra los errores y advertencias en la configuraci n Los errores que se muestran con una cruz roja son los que tiene que resolver usted Las advertencias pueden ignorarse Por ejemplo una adevertencia en la comprobaci n de safe mode Si sabe c mo configurar las restricciones del modo seguro esto no ser problema para usted pero para los nuevos usuarios suele ser mejor desactivar esta funci n Reiner Jung Instalaci n y seguridad en eGroupWare P gina 48 de 65 GroupWare Checking the eGroupWare Installation j Checking php ini safe mode Off ini get safe mode 1 On safe mode is turned on which is generaly a good thing as it makes your install more secure If safe mode is turned on eGW is
44. idad en eGroupWare P gina 27 de 65 C GroupWare 6 1 6 1 Instalaci n de Aide La mayor a de las distribuciones incluyen AIDE por lo que se puede instalar con las herramientas habituales de las distribuciones como rpm o apt get AIDE depende del paquete mhash que tambi n hay que instalar Si el paquete no est disponible entonces hay que compilarlo configure make make install 6 1 6 2 El fichero de configuraci n de Aide aide conf Debe configurarse el fichero the aide conf para que todos los ficheros importantes del servidor se comprueben y reducir as falsas alarmas Guarde etc aide conf usr sbin aide y var lib aide aide db gz en una ubicaci n segura por ejemplo en soporte separado y de s lo lectura como un CD ROM Tambi n guarde huellas MD5 o firmas GPG de esos ficheros en una ubicaci n segura para poder comprobar de manera fiable posteriormente si los ficheros han sido modificados 3t Ejemplo de fichero de configuraci n para AIDE define DBDIR var lib aide La ubicaci n de la base de datos lectura database file mnt floppy aide db gz La ubicaci n de la base de datos escritura database out file 8 G DBDIRJ aide db new gz Si se usa gzip al escribir en la base de datos gzip dbout yes Valor predeterminado verbose 5 report_url file var log aide log report_url stdout Reglas predeterminadas p permissions i inode n number of links u user Re
45. il SMTP bajo nix e Instalaci n de un cortafuegos b sico bajo Linux para eGroupWare M s despu s de esta versi n e mod log forensic para Apache e Ocultar la versi n de ssh e Soporte para Fedora YUM RPM apt e A adir psad al security HOWTO e Instalaci n y configuraci n de sXad e Crear una lista de copia de seguridad recuperaci n ante desastres HOWTO e Rsnapshot e Bastille Linux LSAD 11 2 Registro de cambios para este documento Sun Feb 22 2004 Reiner Jung r jung AT creativix DOT net 0 4 Cambio de licencia a creative commons Construir paquetes de SuSE desde source RPM Seguridad y optimizaci n para Apache Cifrado SQL posible para la contrasena del usuario La instalaci n proporciona prefijos de cuenta para instalaciones LDAP Seleccionar en la instalaci n nombres de usuarios con may sculas y min sculas ARadida secci n de resoluci n de problemas Seguridad en eGroupWare con ModSecurity Actualizar el fichero header inc php file Instalaci n de PHP segura actualizada restrocci n open basedir desactivar el registro de errores Instalaci n de Advanced Intrusion Detection System Cambiar el nombre Quick install HOWTO a Express Install HOWTO y extenderlo Express Install ahora incluye Windows Instalar analizador de ficheros de registro logcheck Extensi n de Turck mmcache C mo instalar mmcache en RedHat Enterprise Linux Requisitos para instalar mmcache Reiner Jung Instala
46. iner Jung Instalaci n y seguridad en eGroupWare P gina 28 de 65 GroupWare g group s size b block count m mtime a atime Fc ctime S check for growing size md5 md5 checksum shal shail checksum rmd160 rmd160 checksum tiger tiger checksum haval haval checksum gost gost checksum crc32 crc32 checksum R p i n u g s m c md5 HL p i n u g HE Empty group E Growing logfile p u g i n S Se pueden crear reglas personalizadas como sta NORMAL R b shal DIR p i n u g A continuaci n decida los ficheros y directorios que desee que est n en la base de datos boot NORMAL bin NORMAL sbin NORMAL lib NORMAL opt NORMAL usr NORMAL root NORMAL 3t Comprobar s lo los permisos inode usuario y grupo para etc pero vigilando algunos ficheros importantes etc p i u g l etc mtab etc exports NORMAL etc fstab NORMAL etc passwd NORMAL etc group NORMAL etc gshadow NORMAL etc shadow NORMAL Reiner Jung Instalaci n y seguridad en eGroupWare P gina 29 de 65 C GroupWare Ejecute aide init para construir la base de datos inicial root server root mnt floppy aide init Copie var lib aide aide db new gz a la ubicaci n segura root server root cp var lib aide aide db new gz mnt floppy var lib aide aide db gz Compruebe las inconsistencias de su sistema comparadas con la base de datos de AIDE Antes de ejecutar una comprobaci n manualmente
47. ions Your tables will be dropped and you will lose data 7 5 2 Paso 2 Configuraci n La mayoria de las partes en este paso se explican por s mismas S lo vamos a proporcionar informaci n que a veces puede ser confusa 7 55 21 Crear el directorio para los ficheros Hay que crear manualmente el directorio para los ficheros desde la consola del sistema En este directorio eGroupWare almacenar los adjuntos de las aplicaciones Registro y administrador de archivos entre otras Este directorio debe estar fuera de la ruta del servidor web Si no sabe cu l es el directorio ra z puede mirarlo en el fichero httpd conf o escribir el siguientes comando en Linux root server www cat etc httpd conf httpd conf grep DocumentRoot DocumentRoot var www html Reiner Jung Instalaci n y seguridad en eGroupWare P gina 51 de 65 C GroupWare Cree el directorio para los ficheros y los subdirectorios necesarios root server www mkdir var www files root server www mkdir var www files users var www files groups Tiene que dar al servidor web los permisos para leer y escribir en estos directorios root server www chown R apache apache var www files root server www chmod R 0700 var www files 7 5 2 2 Editar la configuraci n actual Informaci n de la ruta Introduzca los valores necesarios para la informaci n de sus rutas T Eldirectorio tmp se necesita para almacenar sesiones y otra informaci n de
48. ity root server tmp tar xzvf mod_security x x x tar gz Vaya al directorio de mod_security Reiner Jung Instalaci n y seguridad en eGroupWare P gina 33 de 65 C GroupWare root server tmp cd mod_security x x x apache2 Puede compilar el m dulo como m dulo DSO Dynamic Shared Object o de forma est tica Si quiere hacerlo est tico debe recompilar Apache Aqu s lo se describe el uso de ModSecurity como m dulo DSO root server apache2 apxs cia mod security c En Redhat a ada la siguiente l nea a su httpd conf en la secci n donde se cargan los m dulos root server mod_security 1 7 4 vi etc httod conf httod conf Include etc httod conf d mod_security conf Debe reiniciar Apache para activar ModSecurity root server mod_security 1 7 4 apachectl stop root server mod_security 1 7 4 apachectl start 6 2 2 Configuraci n b sica Mod Security tiene alg na configuraci n de ejemplo incluida para configurarlo Tambi n puede convertir las reglas de Snort para usarlo desde ModSecurity Las reglas de ejemplo de Snort se pueden encontrar en el servidor del proyecto o convertiras usted mismo lt IfModule mod_security c gt Activar o desactivar SecFilterEngine On Asegurarse de que el juego de caracteres es v lido SecFilterCheckURLEncoding On El motor de auditor a funciona de manera independiente y se puede activar o desacativar por servidor o por directorio On grabar todo en el registro d
49. le fudforum Esto necesita que se le otorguen permisos de escritura al servidor web a varios ficheros y directorios el instalador se quejar si no fuera as La soluci n m s sencilla es dar temporalmente al directorio fudforum acceso completo y luego restaurar los permisos a los normales lectura y escritura cuando acabe el proceso de instalaci n Si desea ahorrar unos pocos megabytes de espacio una vez que el fudforum est instalado puede borrar el directorio base que ya no se necesita Reiner Jung Instalaci n y seguridad en eGroupWare P gina 57 de 65 GroupWare 9 8 Sitemgr mkdir sitemgr link Permiso denegado Warning mkdir sitemgr link Permission denied in D Websites calvarycentral egrouptest egroupware sitemgr setup default_records inc php on line 165 Can t mkdir sitemgr link sitemgr sitemgr link copied to eGroupWare dir and sitemgr link NOT installed you need to copy it from egroupware sitemgr sitemgr link to egroupware sitemgr link and install W copie el directorio sitemgr link de NegroupwareNsitemgrN que fue creado por eGroupWare y colocado en el directorio ra z D Websites yourwebsite egroupware Esto le permite instalarlo desde el enlace Administrar Aplicaciones en la p gina egroupware setup index php page Reiner Jung Instalaci n y seguridad en eGroupWare P gina 58 de 65 C GroupWare 10 Mapa de Software AIDE Advanced Intrusion Detection System Platform Linux BSD ni
50. m import EGROUPWARE GPG KEY 5 3 C mo puedo validar los paquetes Si desea comprobar el md5sum de un paquete realice las siguientes acciones En la l nea de comando en su sistema Linux introduzca las siguientes l neas Descargue el fichero ma5sum eGroupWare version txt asc de la p gina de descargas de sourceforge Compruebe la validez del fichero md5sum eGroupWare version txt asc user server tmp gpg verify md5sum eGroupWare version txt asc Reiner Jung Instalaci n y seguridad en eGroupWare P gina 16 de 65 C GroupWare Averig e el md5sum de un paquete user server tmp md5sum eGroupWare x x xx xxx x tar gz 41bee8f27d7a04fb1c3db80105a78d03 eGroupWare x x xx xxx x tar gz y abra el fichero md5sum para ver el md5sum original lo de debajo es s lo un ejemplo user server tmp less md5sum eGroupWare x x xx xxx x txt asc Hash SHA1 md5sum from file eGroupWare x x xx xxx tar gz is 41bee8f27d7a04fb1c3db80105a78d03 md5sum from file eGroupWare x x xx xxx tar bz2 is 3c561e829963494d596540f476b9624f2 md5sum from file eGroupWare x x xx xxx zip is c3bb1f67ca143236e8603c6995e82db0 Version GnuPG v1 2 1 GNU Linux iDSDBQE WM2wDMOILNmypvIRAm5GAJ0e6IInellZU0quVQxWOP pF QGpwCgptbH O02LpinLNqnr6epxt9vB9sw OBcn Aqu vemos que la clave en el fichero md5sum y el test de checksum desde la l nea de comando devuelven el mismo contenido por lo que el paquete no fue modificado en el servidor despu s de crearlo P
51. navegador y vaya a https www cacert org Pulse en el enlace Server Certificate gt Login Anada un dominio nuevo Despu s confirme el correo que le llegue A continuaci n siga el enlace Certificates Requests copie el contenido completo del fichero server csr en el campo de texto y confirme que est de acuerdo con el proceso 6 6 2 4 Instalar el certificado en el servidor Despu s de enviar su fichero csr recibir un correo de la CA con su certificado firmado Tiene que copiar el cuerpo completo del correo a un fichero llamado server crt en su servidor Despu s de guardar el fichero necesitar reiniciar el servidor web Reiner Jung Instalaci n y seguridad en eGroupWare P gina 45 de 65 GroupWare 6 7 Elservidor web Asegure los directorios de su servidor web para que s lo pueda verlos el usuario del servidor web rootG server html chown R root webserveruser egroupware rootG server html find egroupware type d exec chmod 550 V root server html find egroupware type f exec chmod 440 V Recomendamos asegurar el directorio de apache Por favor anada las siguientes l neas a su fichero httpd conf Directory var www html egroupware gt Files inc php tpl gt Order allow deny Deny from all lt Files gt lt Directory gt 6 8 Elservidor de bases de datos SQL MySQL Aseg rese de que su base de datos est ejecut ndose y que se inicia con el arranque del sistema T Siesla
52. ndom text for app session encryption hilhdfgilz sz oayhichvuzuertis Mcrypt algorithm default TRIPLEDES TRIPLEDES Mcrypt mode default CBC CBC v Configuracion adicional Los valores est ndar aqu suelen funcionar correctamente Additional settings Select where you want to store retrieve filesystem information SOL gt file type size version etc Select where you want to store retrieve file contents Fiesystem Recommended Filesystem Filesystem Cuando haya terminado guarde la configuracion 7 5 3 Paso 3 Configurar las cuentas de los usuarios Aqu se crea la cuenta de administrador de eGroupWare No use un nombre de usuario como admin administrator root etc para la contrasena del administrador sino que mejor use letras n meros y caracteres especiales jNo cree cuentas de demostracion en entornos en produccion Reiner Jung Instalaci n y seguridad en eGroupWare P gina 54 de 65 GroupWare 7 5 4 Paso 4 Administrar idiomas El idioma est ndar que se instala es el ingl s asi como el idioma predeterminado en el navegador Se pueden instalar m s idiomas a Puede convertir el juego de caracter autom ticamente Por ejemplo de iso 8859 1 a UTF 8 7 5 5 Paso 5 Administrar aplicaciones En la instalacion est ndar se instalan todas las aplicaciones Para desinstalar cualquier aplicaci n seleccione la casilla con el raton y pulse Guardar Si recibe un mensaje de error acerca de depend
53. ne whether you use PHP on your server or not expose php Off FEIFFEFEFEFEFEFTTETFE Resource Limits AAA max execution time 30 Maximum execution time of each script inseconds memory limit 24M Maximum amount of memory a script may consume 8MB FIFYTEFFEFEFITETFTETITTTTEETITE Error handling and logging TUTTI Print out errors as a part of the output For production web sites you re strongly encouraged to turn this feature off and use error logging instead see below Keeping display_errors enabled on a production web site may reveal security information to end users such as file paths on your Web Server your database schema or other information display_errors Off Instalaci n y seguridad en eGroupWare P gina 41 de 65 C GroupWare Even when display_errors is on errors that occur during PHP s startup sequence are not displayed It s strongly recommended to keep display startup errors off except for when debugging display startup errors Off Log errors into a log file server specific log stderr or erro log below As stated above you re strongly advised to use error logging in place of error displaying on production web sites log errors On Store the last error warning message in php_errormsg boolean track errors Off Log errors to syslog Event Log on NT not valid in Windows 95 error log syslog AAA Data Handling AAA r
54. not able to change certain settings on runtime nor can we load any not yet loaded m You have to do the changes manualy in your php ini usualy in etc on linux in order to get eGW fully working Do NOT update your database via setup as the update might be interrupted by the max execution time which leaves iw Checking php ini magic quotes runtime Off ini get magic quotes runtime Off iw Checking php ini register globals Off ini get register globals Off x Checking php ini memory limit gt 16M ini get memory limit 8M memory limit is set to less than 16M some applications of eGroupWare need more than the recommend 8M expect occasion Please make the following change in your php ini memory limit 16M iw Checking php ini max execution time gt 30 ini get max execution time 30 iw Checking php ini include path contain ini get include path usr share pear iw Checking extension mysql is loaded or loadable True 7 4 Crear el fichero header inc php La mayor a de las partes en la configuraci n del fichero header inc php se explican por si solas Este men est disponible en otros idiomas adem s del ingl s pero aun no se puede traducir al idioma propio N Del T esto era asi en el momento de escribir el texto pero ya se encuentra traducido De momento eGW soporta las bases de datos MySQL PostgreSQL y MSSQL Con el cuadro de selecci n de dominio se puede configurar mds de
55. nstalaci n y seguridad Traducciones Brasil portugu s Roger de Souza Moraes Franc s Patrice Lallement Alem n Wolfgang Baumgartner Andreas Wengrzik Espanol Oscar Manuel G mez Senovilla Chino tradicional Finjon Kiang Prueba de lectura Ingl s Jeff Mitchell vO 4 Geltmar von Buxhoeveden v0 3 Co Autores Versi n Windows John W Brown Reiner Jung Instalaci n y seguridad en eGroupWare P gina 64 de 65 C GroupWare 13 Licencia legible por humanos Attribution ShareAlike 1 0 Usted tiene la libertad para e copiar distribuir mostrar y hacer funcionar el trabajo e hacer trabajos derivados e hacer uso comercial del trabajo Bajo las siguientes condiciones Atribuci n Debe proporcionar el cr dito del autor original Volver a compartir Si se altera transforma o se crea a partir de este trabajo debe distribuir el trabajo resultante solo bajo una licencia id ntica a sta e Para cualquier reutilizaci n o distribuci n debe aclarar a los dem s los t rminos de la licencia de este trabajo e Cualquiera de estas condiciones est sujeta a renuncia si se obtiene el permiso del autor El uso leg timo y otros derechos no est n afectados de ninguna forma por lo mencionado arriba Este es un resumen de comprensi n para humanos que es un resumen de Legal Code the full license Reiner Jung Instalaci n y seguridad en eGroupWare P gina 65 de 65
56. nternet Explorer con una referencia al servidor proxy aunque el servidor proxy tiene que ser ignorado opciones conexi n proxy configuraci n avanzada No podemos subir adjuntos que tengan m s de 1 Mb Se ha mirado todo en los ficheros php ini y httpd conf pero seguimos sin poder subir ficheros mayores de 1 MB Ws frecuente que los servidores proxy est n configurados para permitir un cierto flujo para no permitir ciertos tamanos predeterminados Por ejemplo en Squid hay que cambiar el valor predeterminado del par metro request_body_max_size que es de 1MB P ej request body max size 20 MB 9 7 WINDOWS fudforum 3814 9 Permiso denegado Warning mkdir D NWebsitesNyourwebsiteNegroupwareNfudforum 381 4 9 Permission denied in D Websites NegroupwareNfudforumNsetupNdefault records inc php on line 114 ERROR Failed to create D Websites yourwebsite egroupware fudforum 38145 please create this directory manually and chmod it 777SiteMgr demo site installed Me simplemente entr y cre el directorio 3814 en el directorio D Websites yourwebsite egroupware fudforum y le di permisos de lectura y escritura Por favor tenga en cuenta que el n mero 3814 ser el CRC32 de nuestro dominio por lo que ser distinto en cada m quina Tomado del fichero D websites yourwebsite fudforum setup readme El fichero fudforum setup index ohp necesitar crear varios ficheros dentro del directorio navegab
57. oncnnn nono nono n con nc no ncnnncnmnrn cria nenas 26 6 14 2 3 La herramienta sshsadiedl eee etre ber da illa ainia 26 6 1 4 2 4 Seguridad en su cliente SSH ii died 26 6 1 4 2 5 Seguridad enel servidor SSHD ii ee titration anie orbe tb OR eeu en FERRE c EA dre ie Eee bun 26 6 1 5 Instalar software para monitorizar los registros del sistema nennen 27 6 1 6 Entorno de detecci n de intrUsOs cescesssecessesssessessescsseceeseeseesseenssneseeesneessesesussesseaesnesausnssacsrsessceneeneeneens 27 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 3 de 65 C GroupWare 61 61 Instalaci n de Aldeire 28 6 1 6 2 El fichero de configuraci n de Aide aide conf eese emen entente enne 28 6 1 6 3 Crear un fichero cron para ejecutar Aide autom ticamente seem 30 6 1 6 4 Intorme de ejemplo de AIDE rette A e RON ERU ERRARE NES ERN MEE ax RS Ca a 32 6 1 6 5 Crear una base de datos nueva despu s de los cambios ssessssseeeeeenen 33 6 1 7 Seguridad de los servicios en demonios ccessccsssseessceeseneeesseeeesseecsseecsneceseeeeeeaeecseeeseseesseeeseeeessseesssnmaeses 33 ARA a A M 33 6 2 SEQUNAAG SM apliedciories WED user eee tine ere rtr ete nope oa EH Pa Ye tke Sene eae PE QR e Yan danesa Ee EETA EE enan aber bancos 33 6 2 M Instalar MOOSE GUNIY RETINERI ONE 33 6 2 2 CONMUTACI N DOSIC OL ui nite ie i iE t e e i S E Eva obe i e dns 34 623 Comprobar MOU
58. oot password Create Database Re Check my database Rellene el siguiente formulario para crear la base de datos autom ticamente Usuario root de la base de datos usuario root Contrasena de la base de datos contrasena de la base de datos Y env elo con el bot n Crear base de datos Reiner Jung Instalaci n y seguridad en eGroupWare P gina 50 de 65 C GroupWare Step 1 Simple Application Management At your request this script is going to attempt to create the database and assign the db user rights to it x Table Change Messages If you did not receive any errors your applications have been created Re Check My Installation Pulse en Volver a comprobar mi instalaci n Step 1 Simple Application Management Your database is working but you dont have any applications installed x Install all core tables and the admin and preferences applications Si no ve errores puede instalar las tablas Pulse el bot n Instalar Step 1 Simple Application Management At your request this script is going to attempt to install the core tables and the admin and preferences applications for you Table Change Messages X If you did not receive any errors your applications have been installed Re Check My Installation Ahora mire al estado Si no ve errorres aqu continue con Volver a comprobar mi instalaci n Step 1 Simple Application Management Your applications are current y Insanity Uninstall all applicat
59. os en el mercado para monitorizar los ficheros de registro del sistema logcheck logwatch logsurfer El producto que quiero recomendar aqu es logcheck Logcheck funciona en Linux BSD Sun HP UX Es f cil de instalar y hacer informes claros Para instalar logcheck escriba lo siguiente desde la ra z del c digo fuente despu s de haber descomprimido el fichero rootG server logcheck 1 1 1 make linux Para ejecutarlo autom ticamente debe anadir una l nea al fichero crontab En RedHat es etc crontab Abra el fichero y anada la siguiente l nea 00 root bin sh usr local etc logcheck sh Edite el script logcheck para anadir el destinatario para el informe del sistema El destintario es el administrador del sistema en el script root egroupware logcheck 1 1 1 vi usr local etc logcheck sh Para recibir informes mds detallados los usuarios avanzados pueden editar tambi n los siguientes ficheros logcheck violations logcheck violations ignore logcheck hacking logcheck ignore 6 1 6 Entorno de detecci n de intrusos Instale un entorno de detecci n de intrusos para comprobar la integridad de ficheros y detectar cambios en el servido Existen varias soluciones disponibles para sistemas basados en nix AIDE Tripwire Samhain De los tres IDS Sistemas de detecci n de intrusos Intruder Detection System basados en host citados AIDE es el mds f cil de configurar Reiner Jung Instalaci n y segur
60. r home chkconfig level 345 name from the service off En uns instalaci n de Debian se pueden usar las siguientes herramientas Server etc init d name from the service stop Reiner Jung Instalaci n y seguridad en eGroupWare P gina 21 de 65 C GroupWare Server rcconf 6 1 2 Desinstalar programas que no se necesitan en el servidor En la instalaci n est ndar el programa de instalaci n instalar muchos programas que no son necesarios Por motivos de seguridad borre estos programas de su servidor Programas que no se necesitan por ejemplo son clientes ftp wget gcc ficheros de cabeceras c digo fuente Para comprobar qu paquetes est n instalados en un sistema Linux basado en rpm hay que escribir root server home for i in rpm qa do rpm qi i gt gt rpm packages done root server home less rpm packages Borre todos los paquetes que no necesite root server home rpm e package Para comprobar los paquetes que est n instalados en un sistema Debian Hay muchas herramientas para ello Una es Server aptitude 6 1 3 Comprobaci n local de existencia de un rootkit Chkrootkit es una herramienta para buscar localmente signos de la existencia de un rootkit Chkrootkit ha sido probado en Linux 2 0 x 2 2 x y 2 4 x FreeBSD 2 2 x 3 x 4 x y 5 x OpenBSD 2 x y 3 x NetBSD 1 5 2 Solaris 2 5 1 2 6 y 8 0 HP UX 11 True 4 y BSDI Contiene e chkrootkit shell script que comprueba los bina
61. r local o cualquier otra cosa Instalar Turck MMCache make install Configurar Turck MMCache Turck MMCache puede instalarse como una extensi n Zend o PHP Es necesario editar el fichero your php ini que suele estar en etc php ini Para instalar como una extensi n Zend zend extension usr lib php4 mmcache so mmcache shm sizez 16 mmcache cache_dir tmp mmcache Reiner Jung Instalaci n y seguridad en eGroupWare P gina 39 de 65 C GroupWare mmcache enablez 1 mmcache optimizerz 1 mmcache check mtimez 1 mmcache debug 0 mmcache filter mmcache shm maxz 0 mmcache_ttl 0 mmcache shm_prune_period 0 mmcache shm onlyz 0 mmcache compress 1 Si usa una compilaci n thread safe de PHP debe usar zend extensions 1s en lugar de zend extension Para instalar como extensi n PHP extension mmcache so mmcache shm_size 1 6 mmcache cache_dir tmp mmcache mmcache enablez 1 mmcache optimizerz 1 mmcache check mtimez 1 mmcache debug 0 mmcache filterz mmcache shm maxz 0 mmcache_ttl 0 mmcache shm_prune_period 0 mmcache shm onlyz 0 mmcache compress 1 mmcache content Crear el directorio cach mkdir tmp mmcache chmod 0777 tmp mmcache 6 4 4 Interfaz web Turck MMCache puede gestionarse mediante el script de interfaz web mmcache php Por lo tanto necesita poner este fichero en su sitio web Por razones de seguridad se recomienda restringir el u
62. r los paquetes rootG server tmp cd var www html root server html cvs d pserver anonymous cvs sourceforge net cvsroot egroupware login root server html cvs z3 d pserver anonymous cvs sourceforge net cvsroot egroupware co egroupware root server html cd egroupware root server egroupware cvs co all root server egroupware cvs update Pd Reiner Jung Instalaci n y seguridad en eGroupWare P gina 19 de 65 C GroupWare 6 Seguridad b sica del servidor 6 1 La plataforma del servidor Puede elegir muchas posibilidades para tener seguridad en el servidor La medida de seguridad m s importante que se puede hacer es mantener la instalaci n actualizada Para eGroupWare puede suscribirse a la lista de correo egroupware announcement lists sourceforge net Aqu publicamos las nuevas versiones y tambi n las actualizaciones de seguridad necesarias de eGroupWare 6 1 1 Comprobar los servicios que se ejecutan y puertos abiertos Un puerto abierto significa que un servidor ofrece un servicio al p blico Por ejemplo este servicio p blico puede ser un servidor de ficheros un servicio DNS un servidor de telnet un servidor X u otros servicios El servidor debe tener abiertos los puertos y servicios necesarios para ejecutar eGroupWare M s puertos abiertos significa que un atacante tiene m s posibilidades de encontrar una vulnerabilidad en el servidor Si necesita tener otros puertos abiertos que no
63. r server tmp scp header inc php youregwserver tmp user server tmp ssh youregwserver user youregwserver user su Password root server root mv tmp header inc php var www html egroupware chmod 400 var www html egroupware header in php chown apache var www html egroupware header in php Contin e en el navegador para ir al siguiente paso 7 5 Administrador de instalaci n configuraci n Despu s de la creaci n del fichero header inc php ver una nueva ventana que le permite iniciar una sesi n Entre en el administrador de instalaci n configurac n con el usuario y contrasena proporcionados en el paso anterior 7 4 75 1 Paso 1 Gesti n simple de aplicaciones Aqu existen dos posibilidades si quiere crear la base de datos autom ticamente en este paso entonces vaya ahora al punto de crear la base de datos Si ya ha creado la base de datos entonces vaya al punto donde se crean las tablas Crear la base de datos Step 1 Simple Application Management Your Database is not working Make sure that your database is created and the account permissions are set Instructions for creating the database in MySql Login to mysql user server user mysql u root p Create the empty database and grant user permissions mysql create database egroupware x mysql grant all on egroupware to egroupware i localhost identified by reiner Or we can attempt to create the database for you DB root username root DB r
64. r un paquete con firma gpg en el servidor Para instalar un paquete firmado que no es rpm haga lo siguiente Separe el paquete de la clave gpg user server tmp gpg o eGroupWare X XX XXX X tar gz decrypt eGroupWare X XX XXX X tar gz gpg Vaya al directorio ra z del servidor web o donde quiera instalar los paquetes user server tmp cd var www html Extraiga el paquete en este directorio Por ejemplo si el paquete est en el directorio tmp puede instalarlo con user server html tar xzvf tmp eGroupWare x x xxx x tar gz user server tmp tar xjvf tmp eGroupWare x xx xxx x tar bz2 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 18 de 65 GroupWare user server tmp unzip tmp eGroupWare x xx xxx x zip Instalar un paquete rom en el servidor Para instalar un paquete rpm siga estos pasos Compruebe que el rpm es v lido user server tmp rpm checksig tmp eGroupWare x x xxx x noarch rpm Instale el paquete user server tmp rpm ivh tmp eGroupWare all apps x x xxx x noarch rpm Si la ra z del servidor web no es var www html puede instalar el rom en otro directorio Para ello use el siguiente comando user server tmp rpm ivh prefix your new server root tmp eGroupWare all apps x x Xxx x noarch rpm 5 4 4 Instalar desde CVS Para instalar los paquetes desde nuestro repository CVS haga lo siguiente Vaya al directorio ra z del servidor web o donde quiera instala
65. ra crear el script configure Compruebe que est disponible desde phpize con search o locate En Fedora Linux debe instalar php devel para compilar mmcache RedHat Enterprise Linux 3 se suministra sin el paquete phpize Tiene que compilar de nuevo el paquete PHP y crear dos paquetes de desarrollo 6 4 1 1 Tareas previas en RedHat Enterprise Linux 3 Para crear los paquetes de desarrollo PHP necesia los siguientes paqutes bzip2 devel curl devel db4 devel expat devel freetype devel gd devel gdbm devel gmp devel pspell devel httpd devel libjpeg devel libong devel pam devel libstdc devel libxml2 devel ncurses devel openssl devel zlib devel pcre devel imap devel Los paqutes pcre devel e imap devel no se ofrecen desde RedHat as que tiene que compilarlos usted mismo Descargue los srpm en su servidor y c pielos en usr src redhat SRPMS para crear los paquetes de desarrollo root server SRPM rpmbuild rebuild pcre x x xx src rpm root server SRPM rpmbuild rebuild imap x x xx src rpm Vaya al directorio RPM e instale los roms de desarrollo necesarios en su servidor root server SRPM cd usr src redhat RPM i386 root server i386 rpm ivh pcre devel x x xx i386 imap devel xxxxx x rpm Instale el rom fuente de PHP en su servidor y vaya al directorio SPEC root server SRPM cd usr src redhat SPEC Ahora hay que editar el fichero php spec con vi o vim Despu s de la linea 55 anada las siguientes l neas al fichero packa
66. ra los puertos abiertos hay varias herramientas disponibles Aqui mostrar s lo una que est disponible para NIX y Windows y se puede encontrar en http www insecure org nmap Instale Nmap en su m quina y compruebe los puertos abiertos que tenga su servidor 5 T 1 3 Salida de un escaneador de puertos Aqu hay un ejemplo de la salida de Nmap contra un servidor Nmap muestra los puertos que est n disponibles en este servidor rootG server root nmap sV servidor com Starting nmap 3 45 http www insecure org nmap at 2003 09 17 00 48 CEST Interesting ports on XXX XXX XX XXX The 1651 ports scanned but not shown below are in state closed PORT STATE SERVICE VERSION 22 tcp open ssh OpenSSH 3 1p1 protocol 2 0 80 tcp open http Apache httpd 1 3 27 Unix Red Hat Linux mod ssl 2 8 12 OpenSSL 0 9 6b PHP 4 1 2 mod perl 1 26 137 tcp filtered netbios ns 138 tcp filtered netbios dgm 139 tcp filtered netbios ssn 443 tcp open ssl OpenSSL Nmap run completed 1 IP address 1 host up scanned in 23 000 seconds 6 1 1 4 Desactivar servicios que no se necesitan Si ha encontrado servicios que se ejecutan en su servidor y que no necesita entonces det ngalos Despu s de reiniciar el servicio no volver a a iniciarse autom ticamente En una instalaci n de Red Hat se pueden usar los siguientes comandos para para un servicio y deshabilitarlo root server home service name from the service stop root serve
67. rios del sistema por si los modifica el rootkit Se realizan las siguientes pruebas aliens asp bindshell Ikm rexedcs sniffer wted w55808 scalper slapper z2 amd basename biff chfn chsh cron date du dirname echo egrep env find fingerd gom grep hdparm su ifconfig inetd inetdconf init identd killall Idsopreload login Is Isof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write e ifpromisc c comprueba si la interfaz est en modo promiscuo e chklastlog c comprueba los ltimos borrados de logs e chkwtmp c comprueba borrados wtmp e check wtmpx c comprueba borrados wtmpx Solaris e chkproc c comprueba signos de troyanos LKM e chkdirs c comprueba signos de troyanos LKM Reiner Jung Instalaci n y seguridad en eGroupWare P gina 22 de 65 C GroupWare e strings c sustituci n de cadenas r pidas y sucias Se puede descargar chkrootkit como paquete rpm compilado o como un paquete tar gz 6 1 3 1 Checking Checking Checking Checking Checking Checking Searching Searching Searching Searching Searching Searching Searching Searching 61232 chkrootkit tar gz chkrootkit rpm Fragmento de ejemplo de chkrootkit timed not found traceroute not infected vdir not infected w not infected write not infected aliens no suspect files or sniffer s lo
68. server local chown R root root chkrootkit root server chkrootkit cd chkrootkit root server chkrootkit make sense Para hacer que chkrootkit le env e el informe tiene dos posibilidades Crear un fichero chkrootkit_cronfile o a adir una l nea al fichero crontab Cree un fichero chkrootkit_cronfile root server cron daily vi chkrootkit_cronfile bin sh cd usr local chkrootkit chkrootkit 2 dev null mail s chkrootkit myserver output your email adress A ada la siguiente l nea al fichero crontab 01 root cd usr local chkrootkit chkrootkit 2 gt amp 1 mail s chkrootkit output su direcci n de correo Ahora chkrootkit le enviar un informe a la direcci n de correo indicada arriba 6 1 4 Administradi n de un servidor seguro Si desea administrar su servidor de forma segura entonces use el protocolo SSH Con este protocolo todas las conexiones quedan cifradas Con protocolos como telnet y ftp las cuentas de usuario y sus contrasenas se transmiten sin cifrar en texto claro La transferencia de las cuentas y las contrase as es f cil de esnifar para un atacante Con las contrasenas esnifadas un hacker puede iniciar una sesi n usando esos datos sie posible use s lo conexiones SSH 2 y no SSH 1 Tampoco use su cuenta de root para iniciar la sesi n en un servidor remoto Con ctese al servidor remoto con una cuenta normal de usuario y use su o sudo para las tareas de administr
69. sh authoritzed_keys Ahora si se conecta al servidor ste le pide la contrasefia que escribid cuando se creo el par de claves Si no quiere escribirlo cada vez puede usar ssh add 6 1 4 2 3 La herramienta ssh add Si se conecta al servidor o distintos servidores con frecuencia puede usar la herramienta ssh add para almacenar la contrase a desde su clave ssh Aqu escriba la contrase a una vez y ya se queda almacenada user client home ssh add Enter passphrase for home youruser ssh id dsa Identify added home youruser ssh id dsa home youruser ssh id dsa 6 1 4 2 4 Seguridad en su cliente SSH En el fichero de configuraci n del cliente SSH hay una linea importante El valor en el fichero ssh config debe ser por motivos de seguridad Protocol 2 Esto permite las conexiones de sus clientes s lo con la versi n 2 del protocolo SSH 6 1 4 2 5 Seguridad en el servidor SSHD En el demonio SSH puede usar los siguientes valores para hacerlo m s seguro Protocol 2 PermitRootLogin no PubKeyAuthetifikation yes Reiner Jung Instalaci n y seguridad en eGroupWare P gina 26 de 65 C GroupWare PasswordAuthentification no PermitEmptyPassword no 6 1 5 Instalar software para monitorizar los registros del sistema Analizar los ficheros de registro del sistema es una obligaci n para cada administrador Si no se vigilan estos ficheros no se pueden conocer los problemas de segurida o las anomal as Existen varios product
70. so de esta script a su IP local Desde la versi n 2 3 18 se puede proteger la interfaz administrativa con una contrasena Para generar una contrasena ejecute mmcache_password php desde la linea de comando y siga las instrucciones Crearla contrase a mmcache root server turck mmcache php q mmcache password php Changing password for Turck MMCache Web Interface mmcache php Enter admin name cacheadminname New admin password yourpassword Reiner Jung Instalaci n y seguridad en eGroupWare P gina 40 de 65 GroupWare Retype new admin password yourpassword Add the following lines into your php ini and restart HTTPD mmcache admin name cacheadminname mmcache admin password 1 0ScD9gkb nOEmFerNMvQ576hELeLrGO 6 5 Seguridad de la instalaci n PHP Ponga seguridad en sus directorios del servidor web de tal forma que est n visibles s lo para el propio servidor web Reiner Jung PERETTI REFIERES EFE Language Options AAA open basedir if set limits all file operations to the defined directory and below This directive makes most sense if used in a per directory or per virtualhost web server configuration file open_basedir var www html var www files tmp usr share pear usr bin crontab Decides whether PHP may expose the fact that it is installed on the server e g by adding its signature to the Web server header It is no security threat in any way but it makes it possible to determi
71. sr libexec openssh sftp server 6 1 4 2 Trabajando con pares de claves SSH Trabajar con pares de claves SSH tiene sus ventajas La primera es que no necesita escribir su contrasena cada vez que se conecte al servidor y la segunda es que es mds seguro usar pares de claves Cuando se usan pares de claves se puede permitir el uso de contrasena por en el servidor para la identificaci n Para cada usuario que quiera conectarse al servidor hace falta un par de claves 6 1 4 2 1 Crear un par de claves seguras El par de claves debe crearse en el lado del cliente user client home ssh keygen t dsa Generating public private dsa key pair Enter file in which to save the key home user ssh id dsa Reiner Jung Instalaci n y seguridad en eGroupWare P gina 25 de 65 GroupWare Enter passphrase empty for no passphrase Enter same passphrase again Your identification has been saved in user ssh id dsa Your public key has been saved in user ssh id dsa pub The key fingerprint is f0 00 f7 95 e9 73 37 11 aa e8 06 3e 60 9e 0d 25 user yourserver 6 1 4 2 2 Copiar la clave p blica al servidor Tiene que copiar su nueva clave publica pub de su m quina local al servidor user client home scp ssh id dsa pub useratserver yourserver home yoursername Instale la clave p blica en el servidor user client home ssh servidor user server home cat id_dsa pub gt gt ssh authorized_keys user client home chmod 600 s
72. te El usuario Web necesita tener permisos de lectura y escritura 4 Asegurese de que se est n ejecutando el servidor web y la base de datos Reiner Jung Instalaci n y seguridad en eGroupWare P gina 8 de 65 C GroupWare 5 Introduzca en el navegador la URL correspondiente a la instalaci n http servidor egroupware setup 6 Elscript de comprobaci n de la instalaci n se iniciar autom ticamente Espere hasta que el script acabe y corrija los errores que se muestren Despu s de corregir los errores recargue la p gina para volver a comprobar la instalaci n Cuando ya no haya errores despl cese hacia abajo y pulse Volver a la instalaci n a WINDOWS Puede que haya un par de cosas que no se resuelvan completamente Por ejemplo la configuraci n de register_globals on en el fichero PHP ini normalmente en C NWINNT Algunos scripts requieren que est opci n est en on y algunos necesitan que est en off Si lo desactiva algun sitio que tenga definido podr a no funcionar La forma de asegurarse es la que eGroupware recomienda off y comprobar los otros sitios Si no funcionan entonces vuelva a dejar register_globals on Por favor tenga en cuenta que eGroupWare not requiere que est en off Tampoco se cargar la extensi n de la base de datos MsSQL Microsoft si est usando MySQL Checking the eGroupWare Installation W checking php ini sate mode Oft imi gec sate mode W checking php ini magic quotes
73. tory traversal in parameters test 11 xss attack test 13 sql injection test Test 09 Directory traversal in parameters Failed status 406 Test 11 XSS attack Failed status 406 Test 13 SQL injection Failed status 406 6 2 4 Registro de ejemplo de ModSecurity Aqui verd un registro de ejemplo de las pruebas anteriores Request xxx xxx xxx xxx 21 Feb 2004 20 40 29 0100 GET cgi bin modsec test pl p tmp file txt HTTP 1 0 406 352 Handler cgi script GET cgi bin modsec test pl p tmp file txt HTTP 1 0 Reiner Jung Instalaci n y seguridad en eGroupWare P gina 35 de 65 Reiner Jung GroupWare Host Xxx Xxx xxx xxx 80 User Agent mod security regression test utility Connection Close mod security message Access denied with code 406 Pattern match at THE REQUEST mod security action 406 HTTP 1 0 406 Not Acceptable Content Length 352 Connection close Content Type text html charset iso 8859 1 Request xxx xxx xxx xxx 21 Feb 2004 20 40 29 0100 GET cgi bin modsec test pl p script alert Bang script HTTP 1 0 406 352 Handler cgi script GET cgi bin modsec test pl p script alert Bang script HTTP 1 0 Host Xxx XXx xxx xxx 80 User Agent mod security regression test utility Connection Close mod security message Access denied with code 406 Pattern match n script at THE REQUEST mod security action 406 HTTP 1 0 4
74. una instalaci n de eGroupWare Por ejemplo se puede tener una instalaci n para cuatro empleados y otra separada para un entorno de entrenamiento si configur la base de datos manualmente como el en paso 6 1 ha configurado un nombre un usuario y una contrasena para la base de datos Si quiere que el programa de configuraci n de eGroupWare cree la base de datos autom ticamente debe indicar esos valores aqui Los siguientes campos describen la base de datos y el usuario que quiere usar para conectarse a la base de datos de eGroupWare jNo use el usuario administrador de la base de datos para conectarse sino que cree uno nuevo Servidor de la base de Sila base de datos est en la misma datos maquina que la instalaci n de eGroupWare ser localhost Tambi n se puede elegir otro servidor para alojar la base de datos Nombre de la base de El nombre de la base de datos que se quiere datos crear Usuario de la base de El usuario que eGroupWare usa para datos conectarse a la base de datos Contrasena de la Esta contrasena se necesita para conectarse base de datos a la base de datos Tipo de base de datos Seleccione el tipo de base de datos Descargue el fichero header inc php creado a su m quina y luego c pielo a la ra z de egroupware y cambie los permisos para que s lo el servidor web tenga permiso de lectura sobre este fichero Reiner Jung Instalaci n y seguridad en eGroupWare P gina 49 de 65 C GroupWare use
75. x License GPL Homepage http sourceforge net projects aide Download RPM Take a look at your distribution DEB Debian Project tar gz AIDE Project file server Apache Web server project Platform Linux BSD Win other License Apache Software License Homepage httpd apache org Download RPM Take a look at your distribution DEB Debian Project tar gz Apache Project file server Win Apache Project file server chkrootkit project Platform Linux BSD License BSD Like Homepage www chkrootkit org Download RPM creativix chkrootkit page tar gz chkrootkit project eGroupWare project Platform Linux BSD WIN other License GPL Homepage www egroupware org Download RPM sourceforge net eGroupWare project tar gz sourceforge net eGroupWare project tar bz2 sourceforge net eGroupWare project zip sourceforge net eGroupWare project logwatch project Reiner Jung Instalaci n y seguridad en eGroupWare P gina 59 de 65 Platform License Homepage Download RPM tar gz logcheck project Platform License Homepage Download tar gz ModSecurity Platform License Homepage Download tar gz Zip NMAP Platform License Homepage Download RPM tar gz tar bz2 Zip openssh project Platform License Homepage Download RPM tar gz php project Platform Reiner Jung GroupWare Linux BSD other GPL www logwatch org logwatch project logwatch project
Download Pdf Manuals
Related Search