Implementación de un Bastión de Seguridad con Kernel Hardening (Grsecurity/Self-Protection) y Cifrado de Memoria en Linux

rokitoh Deja un comentario

1. Introducción: La Superficie de Ataque del Kernel

La mayoría de las guías de hardening se quedan en la superficie: configurar firewalls, endurecer SSH, desactivar servicios innecesarios. Son medidas necesarias pero insuficientes. Un adversario sofisticado no ataca tus reglas de iptables; ataca el Kernel Space, donde residen los privilegios absolutos del sistema.

El Kernel Self-Protection Project (KSPP) representa un cambio de paradigma: en lugar de depender exclusivamente de mecanismos externos (antivirus, IDS), reconfiguramos el propio núcleo de Linux para que sea resistente por diseño contra explotación de memoria, escalada de privilegios y ejecución de código arbitrario.

Este manual no utiliza herramientas de terceros. Vamos a modificar cómo el kernel gestiona la memoria, las llamadas al sistema y la ejecución de procesos. El objetivo: crear un sistema inmune a clases enteras de vulnerabilidades, incluyendo exploits de día cero (0-days) que aún no han sido descubiertos.

Leer más

Gestión de Versiones de Terraform con tfenv

rokitoh Deja un comentario

Propósito

Este manual tiene como objetivo establecer el procedimiento estandarizado para la instalación y gestión eficiente de múltiples versiones del framework Terraform mediante la herramienta tfenv. La capacidad de alternar entre versiones es esencial en entornos multi-proyecto o que requieren compatibilidad con módulos específicos.

1. Introducción a tfenv

tfenv es un gestor de versiones de Terraform (Terraform Version Manager), similar a herramientas como nvm (para Node.js) o pyenv (para Python).

Funcionalidades Clave

  • Instalación Rápida: Instalar cualquier versión de Terraform con un solo comando.

  • Alternancia Dinámica: Cambiar la versión global de Terraform de forma instantánea.

  • Aislamiento por Proyecto: Definir una versión específica de Terraform por directorio de proyecto.

  • Compatibilidad: Asegurar la coherencia del entorno en flujos de CI/CD y entornos de equipo.

Leer más

Configuración Mullvad + Tor + Bridges (obfs4/meek) + DNS Seguro en Debian

rokitoh Deja un comentario

Introducción

Este manual está dirigido a usuarios que necesitan alta privacidad y anonimato en Internet, como periodistas, activistas o personas que viven bajo censura. La configuración descrita combina:

  1. Mullvad VPN: protege tu dirección IP real y cifra todo el tráfico.
  2. Tor: anonimiza el tráfico y permite evadir la censura.
  3. Bridges (obfs4/meek): oculta el uso de Tor frente a ISP o gobiernos que bloquean Tor.
  4. DNS cifrado (DoH/DoT): protege tus consultas de nombres de dominio frente a vigilancia.
Leer más

Guía para proteger tu Pendrive en Linux: LUKS + VeraCrypt + Automatización

rokitoh Deja un comentario

Los dispositivos USB son extremadamente prácticos, pero también son muy fáciles de perder. Si tus datos no están cifrados, cualquiera podría acceder a ellos.

Esta guía te enseñará a:

  • Cifrar todo el pendrive con LUKS (AES-256).
  • Crear una carpeta cifrada con VeraCrypt dentro del pendrive para doble capa de seguridad.
  • Usar un script automatizado para montar/desmontar.
  • Configurar cron para desmontar automáticamente si el pendrive queda montado.
Leer más

ama-metrics-ksm en CrashLoopBackOff en AKS: Diagnóstico y Solución por Configuración de Azure Monitor

rokitoh Deja un comentario

ama-metrics-ksm en CrashLoopBackOff en AKS: Diagnóstico y Solución por Configuración de Azure Monitor

Cuando trabajamos con Azure Kubernetes Service (AKS), es normal depender de herramientas como Azure Monitor para obtener métricas y visibilidad del cluster. Sin embargo, una configuración incorrecta o ausente de la integración de Azure Monitor/Log Analytics puede causar que Pods críticos, como ama-metrics-ksm, no se inicien y entren en un ciclo de reinicios constantes. Este artículo detalla cómo identificar este problema, analizar el output engañoso y solucionarlo de manera efectiva reinstalando la integración.

Leer más

Acceso a Single User Mode en Rocky Linux / AlmaLinux

rokitoh Deja un comentario

1. Introducción

El Modo de Single User  (también conocido como Modo de Mantenimiento o Rescue Mode) es una herramienta esencial para la administración y recuperación de sistemas en Linux. Este modo te permite acceder al sistema como el usuario root sin necesidad de una contraseña, lo que resulta fundamental para realizar tareas críticas como:

  • Restablecer contraseñas de usuarios.

  • Reparar sistemas de archivos dañados.

  • Solucionar problemas de arranque o configuración del sistema operativo.

Leer más

Manual de Implementación de Keycloak en Alta Disponibilidad (HA)

rokitoh Deja un comentario

Introducción

Este manual te guiará paso a paso en la implementación de un servidor de Keycloak en alta disponibilidad (HA), una solución de gestión de identidades y acceso (IAM) de código abierto. Keycloak se configurará para funcionar como un clúster, asegurando que el servicio permanezca disponible incluso si uno de los nodos falla.

Para lograr la persistencia de datos y la robustez del sistema, utilizaremos una base de datos PostgreSQL en alta disponibilidad que ya habremos configurado siguiendo los manuales de Red Órbita:

Este enfoque garantiza que tanto la capa de aplicación (Keycloak) como la de datos (PostgreSQL) sean resilientes y escalables.

Leer más

Cómo forzar TLS 1.2 en Storage Account de Azure de forma masiva

rokitoh Deja un comentario

Introducción

Con el paso del tiempo, muchas configuraciones por defecto en entornos cloud se quedan obsoletas. Uno de los casos más críticos, desde el punto de vista de la seguridad, es el uso de versiones antiguas del protocolo TLS (Transport Layer Security).

Aunque TLS 1.0 y 1.1 ya están obsoletos y presentan riesgos conocidos, es sorprendentemente común encontrar Storage Account en Azure que aún los tienen habilitados. Este artículo te muestra cómo actualizar de forma masiva y automatizada todas tus cuentas de almacenamiento para usar únicamente TLS 1.2, cumpliendo así con los estándares de seguridad actuales y requisitos normativos como PCI-DSS, ISO 27001 o NIST.

Leer más

Cómo hacer un backup de tu Quansheng UV-K5 con GNU/Linux

rokitoh Deja un comentario

Introducción

La radio Quansheng UV-K5 es un equipo versátil y económico que ha ganado popularidad entre entusiastas de la radio por su capacidad de personalización y modificación a través de firmware alternativos. Sin embargo, no todos los firmwares son compatibles con herramientas de programación como CHIRP, una utilidad multiplataforma ampliamente utilizada para clonar, editar y gestionar configuraciones de radios.

A fecha de redacción de este manual, CHIRP solo ofrece soporte limitado para la UV-K5, concretamente para las siguientes variantes:

  • TG-UV2+

  • UV-K5 (+ OSFW, unsupported, egzumer)

Esto significa que, para poder realizar un respaldo (backup) completo de la configuración de la UV-K5 desde CHIRP en Linux, es necesario que el dispositivo cuente con un firmware modificado compatible, como el de Egzumer (OSFW). Radios con el firmware de fábrica no son compatibles y generarán errores al intentar comunicarse con CHIRP.

Este manual te guiará paso a paso para:

  • Detectar y configurar correctamente el cable de programación USB a serie en Linux.

  • Ajustar los permisos del puerto serial para evitar errores de acceso.

  • Instalar y ejecutar CHIRP en tu distribución.

  • Seleccionar correctamente el modelo de radio compatible dentro del software.

  • Realizar el proceso de backup de forma segura.

⚠️ Nota: Si tu radio no cuenta con uno de los firmwares compatibles mencionados, CHIRP no podrá clonar ni leer la configuración del dispositivo. Se recomienda verificar o actualizar el firmware si deseas utilizar esta herramienta.

Leer más