UNIX – *BSD – GNU/Linux
Auditd Se encarga de realizar un seguimiento de todo lo que va sucediendo en nuestro sistema GNU/Linux, en el cual va recopilando eventos sobre reglas pre-configuradas.
Debian
apt install auditdRedHat
yum install audit
Suse
zypper install audit
Descargamos el paquete el cual nos instalará la key GPG del repositorio de Microsoft
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.debInstalamos el software
sudo apt-get update
sudo apt-get install sysinternalsebpf
sudo apt-get install sysmonforlinux
After Karen started working for ‘TAAUSAI,’ she began to do some illegal activities inside the company. ‘TAAUSAI’ hired you to kick off an investigation on this case.
You acquired a disk image and found that Karen uses Linux OS on her machine. Analyze the disk image of Karen’s computer and answer the provided questions.
The enterprise EDR alerted for possible exfiltration attempts originating from a developer RedHat Linux machine. A fellow SOC member captured a disk image for the suspected machine and sent it for you to analyze and identify the attacker’s footprints.
You have been called to analyze a compromised Linux web server. Figure out how the threat actor gained access, what modifications were applied to the system, and what persistent techniques were utilized. (e.g. backdoors, users, sessions, etc).
En esta ocasión veremos como poder cifrar nuestras contraseñas en scripts bajo GNU/Linux mediante OpenSSL.
Sin más preámbulos comenzamos.
Instalación OpenSSL
apt get openssl sshpass
En esta ocasión vamos a resolver el reto de Hammered en cyberdefenders
Detalles del reto:
This challenge takes you into the world of virtual systems and confusing log data. In this challenge, figure out what happened to this webserver honeypot using the logs from a possibly compromised server.
Leer másEn la siguiente entrada vamos a ver como montar una arquitectura de SFTP en Azure en alta disponibilidad.
Este tutorial no veremos en detalle como desplegar un servidor en azure, ni una vnet…etc por lo tanto se pasará un poco por encima en la creación de estos recursos.
Escenario
Para garantizar la alta disponibilidad del servicio disponemos de dos servidores GNU/Linux en diferentes zonas de disponibilidad.
Dicha alta disponibilidad cuenta con balanceo de carga entre los diferentes servidores mediante Azure Load Balancer, de la misma forma, para otorgar persistencia de los datos transferidos contamos con almacenamiento compartido entre los dos servidores empleando Azure File share
Para montar los recursos compartidos de Azure FIle Share se realizará mediante autofs, de esta forma garantizamos que los recursos únicamente se monten cuando sean necesarios.
Diagrama de red
Los usuarios de Active Directory no puede acceder, al tratar de iniciar sesión podemos comprobar los siguientes errores en los logs:
sshd[4964]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=rokitoh
sshd[4964]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=rokitoh
sshd[4964]: Failed password for rokitoh from ::1 port 57618 ssh2
sshd[4964]: fatal: Access denied for user rokitoh by PAM account configuration [preauth]Para configurar correctamente la autenticación con Active Directory, necesitamos crear un usuario en Active Directory que tenga una relación de uno a uno con un rol de PostgreSQL. En otras palabras, necesitamos crear un usuario en cada sistema con el mismo nombre de inicio de sesión.
En primer lugar creamos el rol en Postgres
Leer más