Monthly Archives: January 2021

Protegiendo al usuario raíz en Ubuntu 20.04 Focal Fossa

Posted on by

Protegiendo al usuario Root

Desde hace un tiempo vengo hablando de Mautic, una alternativa de código abierto para la realización de campañas de marketing digital. Mi intención era comenzar a explicar a partir de este artículo como instalarlo en un servidor privado virtual. Pero, por puro accidente descubrí algo. Mi proveedor de alojamiento web ofrece dos tipos de imágenes de la versión server de Ubuntu 20.04; la original y una personalizada por ellos. La personalizada por ellos ahorra tiempo de instalación pero complica innecesariamente la instalación de Mautic.

Para hacérselas corta, perdí un día de investigaciones que me podría haber ahorrado usando la imagen original, pero, como algunas de las cosas que descubrí pueden resultarle útil a alguien, las reciclé en este artículo.

Protegiendo al usuario raíz

Gestión de los usuarios

Una de las diferencias entre la imagen original de Ubuntu y la de mi proveedor de hosting es que en la primera yo elegí mi nombre de usuario y mi contraseña, mientras que en la segunda se creó un usuario Root y se generó la contraseña en forma automática.

Algunas distribuciones Linux te piden en el momento de instalación dos contraseñas, la de usuario y la de Root. El usuario Root puede hacer absolutamente lo que quiera con el sistema.  Por razones de seguridad es conveniente limitar el uso y crear otro usuario que tenga poderes de administrador, pero al que sea posible retirárselos en caso de problemas. Es por eso que Ubuntu opta por no crear este tipo de usuario por defecto aunque es posible agregarlo más adelante.

Cuando inicias sesión en Ubuntu, si quieres hacer cambios importantes tienes que indicarle al sistema operativo que cuentas con las autorizaciones necesarias. Esto se hace poniendo la contraseña en la ventana que se abre o escribiendo una instrucción precedida del comando sudo en la terminal.

El usuario Root tiene un comando propio, su que permite ejecutar cualquier comando no solo en su nombre si no en nombre de cualquier otro usuario. Una vez que escribiste la contraseña puedes hacer lo que quieras con el sistema hasta que escribas exit en la terminal.

En cambio, sudo solo puede ser ejecutado en nombre de un solo usuario, de a un comando por vez y deberás volver a poner la contraseña cada 15 minutos.

Hay que dejar en claro que Ubuntu si tiene un usuario Root, pero, al no tener configurada una contraseña, es como si no existiera. Para poder habilitarlo solo tienes que escribir el siguiente comando:

sudo passwd root

Creando un nuevo usuario con poderes de administrador

Si tienes un servidor o una computadora a la que accede mucha gente y, por algún motivo  tienes el usuario Root habilitado, lo mejor es tomar medidas de protección

Para crear el nuevo usuario escribimos el comando
sudo useradd nombre_de_usuario
Recuerda reemplazar nombre_de-usuario por el nombre que elijas.

A continuación le asignamos una contraseña
sudo passwd nombre_de_usuario

El sistema te pedirá que escribas dos veces la contraseña. Recuerda que estás usando la terminal y no verás lo que estás escribiendo.

El programa te ofrecerá aceptar los valores por defecto o completar información adicional. Te sugiero aceptar la configuración por defecto.

Ahora procedemos a asignar al nuevo usuario poderes de administrador

usermod -aG sudo username

Protegiendo al usuario Root

Si tu proveedor de hosting te creó un usuario Root, probablemente también haya generado una contraseña que cumpla con algunas recomendaciones de seguridad. Es recomendable cambiarla con el comando
code>sudo passwd root

Ten presente los siguientes consejos:

  • No uses palabras que se puedan encontrar en el diccionario.
  • Combina símbolos y caracteres alfanuméricos.
  • Escribe una contraseña lo más larga que puedas y usa un gestor para almacenarla.

Puedes bloquear al usuario root con el siguiente comando
sudo passwd -l root
Y desbloquearlo asignándole un nuevo password con este:

sudo passwd root

Asegurando el acceso remoto

Recuerda que este artículo se pensó para  hablar de servidores privados virtuales. Es posible que tu proveedor te permita acceder al servidor virtual usando el navegador, pero lo más probable es que accedas en forma remota usando el protocolo SSH.  Una capa adicional de seguridad es inhabilitar el uso del usuario Root en forma remota.

Esto lo hacemos con:
sudo nano /etc/ssh/sshd_config

Buscamos esta línea
PermitRootLogin

Y cuando la encontramos cambiamos Yes por No.

Ya que estamos en eso, busca la siguiente línea:
PermitEmptyPasswords

Y asegúrate que está configurada en NO

Guarda los cambios con CTRL+X

from Linux Adictos https://ift.tt/3pwYzd3
via IFTTT

The Taxman Cometh for ID Theft Victims

Posted on by

The unprecedented volume of unemployment insurance fraud witnessed in 2020 hasn’t abated, although news coverage of the issue has largely been pushed off the front pages by other events. But the ID theft problem is coming to the fore once again: Countless Americans will soon be receiving notices from state regulators saying they owe thousands of dollars in taxes on benefits they never received last year.

One state’s experience offers a window into the potential scope of the problem. Hackers, identity thieves and overseas criminal rings stole over $11 billion in unemployment benefits from California last year, or roughly 10 percent of all such claims the state paid out in 2020, the state’s labor secretary told reporters this week. Another 17 percent of claims — nearly $20 billion more – are suspected fraud.

California’s experience is tracked at a somewhat smaller scale in dozens of other states, where chronically underfunded and technologically outdated unemployment insurance systems were caught flat-footed by an avalanche of fraudulent claims. The scammers typically use stolen identity data to claim benefits, and then have the funds credited to an online account that they control.

States are required to send out 1099-G forms reporting taxable income by Jan. 31, and under federal law unemployment benefits are considered taxable income. Unfortunately, many states have not reconciled their forms with confirmed incidences of fraudulent unemployment insurance claims, meaning many people are being told they owe a great deal more in taxes than they actually do.

In a notice posted Jan. 28, the U.S. Internal Revenue Service urged taxpayers who receive forms 1099-G for unemployment benefits they didn’t actually get because of ID theft to contact their appropriate state agency and request a corrected form.

But the IRS’s advice ignores two rather inconvenient realities. The first is that the same 1099-G forms which states are sending to their citizens also are reported to the IRS — typically at the same time the notices are mailed to residents. The other is that many state agencies are completely overwhelmed right now.

Karl Fava, a certified public accountant in Michigan, told KrebsOnSecurity two of his clients have received 1099-G forms from Michigan regarding thousands of dollars in unemployment payments that they had neither requested nor received.

Fava said Michigan recently stood up a website where victims of unemployment insurance fraud who’ve received incorrect 1099-Gs can report it, but said he’s not confident the state will issue corrected notices before the April 15 tax filing deadline.

“In both cases, the recipients contacted the state but couldn’t get any help,” Fava said. “We’re not getting a lot of traction in resolving this issue. But the fact that they’ve now created a web page where people can input information about receiving these tells you they have to know how prevalent this is.”

Fava said for now he’s advising his clients who are dealing with this problem to acknowledge the amount of fraudulent income on their federal tax returns, but also to subtract an equal amount on the return and note that the income reported by the state was due to fraud.

“That way, things can be consistent with what the IRS already knows,” Fava said. “Not to acknowledge an issue like this on a federal return is just asking for a notice from the IRS.”

The Taxpayer Advocate Service, an independent office of the U.S. Internal Revenue Service (IRS) that champions taxpayer advocacy issues, said it recently became aware that some taxpayers are receiving 1099-Gs that include reported income due to unemployment insurance identity theft. The office said it is hearing about a lot of such issues in Ohio particularly, but that the problem is happening nationally.

Another perennial (albeit not directly related) identity theft scourge involving taxes each year is refund fraud. Tax refund fraud involves the use of identity information and often stolen or misdirected W-2 forms to electronically file an unauthorized tax return for the purposes of claiming a refund in the name of a taxpayer.

Victims usually first learn of the crime after having their returns rejected because scammers beat them to it. Even those who are not required to file a return can be victims of refund fraud, as can those who are not actually due a refund from the IRS.  

The best way to avoid tax refund fraud is to file your taxes as early possible. This year, that date is Feb. 12. One way the IRS has sought to stem the flow of bogus tax refund applications is to issue the IP PIN, which is a six-digit number assigned to taxpayers that helps prevent the use of their Social Security number on a fraudulent income tax return. Each PIN is good only for the tax year for which it was issued.

Until recently the IRS restricted who could apply for an IP PIN, but the program has since been opened to all taxpayers. To create one, if you haven’t already done so you will need to plant your flag at the IRS by stepping through the agency’s “secure access authentication” process.

Creating an account requires supplying a great deal of personal data; the information that will be requested is listed here.

The signup process requires one to validate ownership of a mobile phone number in one’s name, and it will reject any voice-over-IP-based numbers such as those tied to Skype or Google Voice. If the process fails at this point, the site should offer to send an activation code via postal mail to your address on file.

Once you have an account at the IRS and are logged in, you can request an IP PIN by visiting this link and following the prompts. The site will then display a six digit PIN that needs to be included on your federal return before it can be accepted. Be sure to print out a copy and save it in a secure place.

from Krebs on Security https://ift.tt/2L0560K
via IFTTT

Chrome OS 88 llega con personalización de protector de pantalla y otros cambios mas

Posted on by

Se acaba de anunciar el lanzamiento de la nueva versión del sistema operativo Chrome OS 88 en la cual se han mejorado la capacidad de uso en relación con la funcionalidad del PIN, asi como también la capacidad de poder personalizar el protector de pantalla y otras cosas más.

Para quienes desconocen de este OS, deben saber que está basado en el kernel de Linux, el kit de herramientas de compilación ebuild/portage y los componentes abiertos y el navegador web Chrome 88.

El entorno de usuario de Chrome OS está limitado a un navegador web y en lugar de programas estándar, se utilizan aplicaciones web; sin embargo, Chrome OS incluye una interfaz completa de múltiples ventanas, escritorio y barra de tareas.

Principales novedades de Chrome OS 88

En esta nueva versión de Chrome OS 88 se agregó la capacidad de iniciar sesión rápidamente en sitios utilizando un PIN o una huella digital configurada para desbloquear el dispositivo actual. Se puede usar un PIN o huella digital en lugar de una contraseña asociada con un sitio o como una característica adicional para la autenticación de dos factores en los sitios.

Esta funcionalidad de momento solamente está disponible en sitios que admiten la autenticación mediante la API de WebAuthn (autenticación web), que permite conectarse mediante métodos de autenticación adicionales, como tokens de hardware o sensores de huellas dactilares.

Cuando WebAuthn detecta soporte, el navegador dará una notificación especial sobre la posibilidad de usar un PIN o huella digital. Por ejemplo, WebAuthn es compatible con los sitios de inicio de sesión de Dropbox, GitHub y Okta.

Otra de las novedades que llega a esta nueva versión de Chrome OS 88, es que se implementó la capacidad de personalizar el protector de pantalla, esto se puede realizar a través de la configuración «Personalización> Protector de pantalla», en donde el usuario puede organizar la visualización de sus imágenes cuando bloquea la pantalla.

Las imágenes se pueden mostrar desde álbumes en Google Photos o colecciones de imágenes. Cuando la pantalla está bloqueada, también puede activar el pronóstico del tiempo y el widget de control de reproducción de música.

Por otra parte, se menciona que en Chrome OS 88 la ubicación para guardar fotos y videos se ha cambiado en la aplicación de la cámara y es que a partir de esta nueva versión las fotos ahora se guardan en el subdirectorio «Cámara», disponible en el administrador de archivos en la sección «Mis archivos», las fotos y videos guardados previamente seguirán estando en el directorio de Descargas.

De los demás cambios que se estacan de esta nueva versión:

  • Se mejoró la capacidad de corregir automáticamente la ortografía.
  • La interfaz de autocorrección ahora resalta visualmente las correcciones realizadas y permite revertir el cambio. Después de corregir el error, la palabra ahora permanece subrayada.
  • La activación de la autocorrección se controla en la sección «Dispositivo> Teclado> Cambiar idioma y configuración de entrada> Método de entrada> Nuevo> Autocorrección».
  • Cambio mejorado entre escritorios virtuales.
  • Para cambiar rápidamente el escritorio, ahora puede tocar dos o tres veces el acceso directo «Cambiar escritorio» en la pantalla táctil, o presionar «Buscar + [» o «Buscar +]» en el teclado para navegar hacia el escritorio virtual izquierdo o derecho. .
    En la lupa utilizada para ampliar áreas individuales en la pantalla, se ha agregado la capacidad de cambiar el enfoque usando el teclado (Ctrl + Alt + teclas de cursor).
    Los gestos del panel táctil ahora son consistentes con la configuración de Desplazamiento inverso.

Finalmente si quieres conocer más al respecto sobre esta nueva versión del sistema, puedes consultar los detalles dirigiéndote al siguiente enlace.

Descarga

La nueva build ya está disponible para la mayoría de las Chromebooks actuales, además de que desarrolladores externos han formado versiones para computadoras comunes con procesadores x86, x86_64 y ARM.

Por último y no menos importante, si eres usuario de Raspberry debes saber que también puedes instalar Chrome OS en tu dispositivo, solo que la versión que puedas encontrar no es la más actual además de que aún se tiene el problema con la aceleración de video por hardware.

from Linux Adictos https://ift.tt/3osYKEN
via IFTTT

Los mejores fondos de pantalla para tu móvil Android

Posted on by

Los mejores fondos de pantalla para tu móvil Android

Última actualización: 26 de enero de 2021.

El fondo de pantalla pueda cambiar radicalmente el aspecto de tu móvil. Encontrar fondos de pantalla es fácil, pero que sean de buena calidad no tanto. Aquí tienes un buen puñado de fondos de pantalla para tu móvil Android, clasificados por categorías.

Si estás un poco cansado del fondo de pantalla de tu móvil y prefieres elegir uno a mano en lugar de usar apps especiales, aquí te traemos la recopilación definitiva de wallpapers para Android, donde sin lugar a dudas encontrarás uno de tu gusto.


Continue reading