= linux seguridad
  * [[linux:seguridad:sadservers]]

== setup
  * PAM
    * su: crear un grupo tipo **permitsu** y añadir a los usuarios que pueden usar **su**
    * passwd: crear reglas fuertes de contraseña
  * sudo:
    * restringido per grups usuaris
    * noexec
  * sudoreplay
  * sshd
    * crear un grupo tipo "permitssh" y añadir a los usuarios que se pueden conectar por **ssh**
    * restricción **AllowGroups**, **AllowUsers**
    * denedar acceso ssh a **root**
  * NTP
  * firewall
  * fail2ban
  * logs centralizados

== system
  * [[linux:seguridad:hackchecklist]]
  * [[linux:seguridad:routersploit]]
  * [[linux:seguridad:secureboot]]
  * conexiones TCP/UDP: <code bash>sudo ss -plunt</code>

== pass
  * [[linux:seguridad:hastopolis]]
  * [[linux:seguridad:fcrackzip]]

== linux
  * [[https://noticiasseguridad.com/tutoriales/herramienta-para-romper-contrasenas-linux-todo-en-menos-de-un-minuto/]]
    * <code bash>git clone https://github.com/huntergregal/mimipenguin</code>

== passwords
  * [[https://www.redeszone.net/tutoriales/seguridad/tiempo-hackear-contrasena/]]

== ca-certificates
Para actualizar los certificados de una debian 9 (strech) fuera de su ciclo de vida, he:
  - descargado el paquete de certificados -> [[https://packages.debian.org/sid/all/ca-certificates/download]]
  - descomprimido el paquete con ''ar'' <- ''sudo apt install binutils''
  - descomprimido el archivo **data.tar.xz**
  - hacer copia seguridad del directorio **/usr/share/ca-certificates/mozilla** original
  - mover el directorio **mozilla** del tar extraído a **/usr/share/ca-certificates/**
  - ''sudo update-ca-certificates -f''

<code bash>dpkg -c <paquete> # mira contenido de ficheros
ar vx <paquete> # extrae el contenido del paquete
tar xvf <fichero.tar.xz></code>

/más: [[https://www.cyberciti.biz/faq/update-ca-certificates-command-examples-in-linux-to-ssl-ca-certificates/]]

=== otros ficheros
  * Main configuration file: **/etc/ca-certificates.conf**
  * A single-file version of CA certificates holds all CA certificates you activated in /etc/ca-certificates.conf file: **/etc/ssl/certs/ca-certificates.crt**
  * Linux directory of CA certificates: **/usr/share/ca-certificates**
  * Directory of local CA certificates (with .crt extension): **/usr/local/share/ca-certificates**