Mi problema es el siguiente:

He instalado apache, pero no de los repositorios, si no con una instalación comprobando las fuentes (firma, funcion hash md5 funcion hash sha1).  

He hecho lo mismo con Open ssl.

Antes de la compilacion tanto de Apache como de Open ssl mi configuración ha sido completamente basica ./config

Claramenta la instalación de Apache y demás ha ido perfecta.

Tambien he creado mi certificado, firma y demás y ya estoy listo para acceder mediante https.


COMIENZAN MIS PROBLEMAS

La cuestion es esta me dispongo a acceder mediante HTTPS.

1.-Para ello añado la siguiente línea en httpd.conf
Listen 443

Y el error que se muestra en mi navegador es el siguiente:
Conexión segura fallida
Ha ocurrido un error durante una conexión a localhost.
SSL ha recibido un registro que excedía la longitud máxima permitida.
(Código de error: ssl_error_rx_record_too_long)

2.-Bueno, entonces de nuevo accedo al archivo de configuración (httpd.conf)
Descomento la linea include y quito la linea que había agregado listen 443 pues esa linea se encuentra en el archivo al que hace referencia la linea que acabo de descomentar:

# Secure (SSL/TLS) connections
Include conf/extra/httpd-ssl.conf

Me dispongo a reiniciar Apache para que los cambios tengan efecto
VirtualBox:~/Descargas/httpd-2.2.22$ sudo /usr/local/apache2/bin/apachectl restart

Y este es el error que obtengo:
Syntax error on line 56 of /usr/local/apache2/conf/extra/httpd-ssl.conf:
Invalid command 'SSLPassPhraseDialog', perhaps misspelled or defined by a module not included in the server configuration
httpd not running, trying to start

3.-Bueno, esto es un problema del modulo el cual no he añadido, como el script bash configure esta donde me encuentro no tengo que cambiarme de directorio lo ejecuto, he intento añadir los modulos que he visto por internet que tendría que añadir.

VirtualBox:~/Descargas/httpd-2.2.22$ ./configure --prefix=/usr/local/apache2     --enable-so     --enable-cgi        --enable-info       --enable-rewrite        --enable-speling        --enable-usertrack      --enable-deflate     --enable-ssl        --enable-mime-magic

El resultado es igual a nada.


4.-Me dispongo a cargar el modulo en el archivo de configuracion pero yo no tengo mod_ssl.so el que mas se le parece se encuentra en la carpeta include, con la extension .h asique...lo cargo ya que No tengo al haberlo compilado.
-Ni carpeta de mod-availables ni mod-enables ni nada por el estilo.
-Tampoco me funciona sudo a2 enmod para crear enlaces simbólicos.

Agrego la linea al archivo
LoadModule ssl_module include/mod_ssl.h

Y reinicio apache con el consiguiente error
VirtualBox:/usr/local/apache2/bin$ /usr/local/apache2/bin/apachectl -M httpd: Syntax error on line 3 of /usr/local/apache2/conf/httpd.conf: Cannot load /usr/local/apache2/include/mod_ssl.h into server: /usr/local/apache2/include/mod_ssl.h: invalid ELF header


Edito: Tanto y tanto problema y al final lo más importante se me olvida, y lo más importante es si me podeis echar una mano, cualquier idea o cualquier cosa. Para probarlo y comentar los resultados. Mientras sigo con ello, a ver si lo soluciono, que me tiene todo loco.

Me encantaria que me recomendarais algún libro lo más completo posible, manual para aprender PHP que es lo que estoy estudiando ahora (cursando 2ASIR) Estos son los objetivos para el curso.

Y este el manual que estamos utilizando
Sams Teach Yourself PHP, MySQL and Apache: All in One, Third Edition
By Julie Meloni
Lo malo, que esta en Inglés y por eso, la verdad me gustaria aunque vaya mirando y siguiendo este manual en clase y en casa practicando ejercicios y demás. Pues tener al menos uno Bueno en castellano para guiarme mejor. Cualquier recomendación es de agradecer. Un Saludo.


1. Instalación de servidores de aplicaciones web:
– Análisis de requerimientos.
– Preparación del sistema operativo del servidor.
– Servidor web: Instalación y configuración.
– Sistema gestor de base de datos: Instalación y configuración.
– Procesamiento de código: Lenguajes de «script», en cliente y servidor.
– Módulos y componentes necesarios.
– Utilidades de prueba e instalación integrada.
– Proceso y mecanismos de documentación.
2. Implantación de aplicaciones de ofimática web:
– Tipos de aplicaciones.
– Funcionalidades y requerimientos.
– Instalación.
– Configuración.
– Integración de aplicaciones heterogéneas.
– Gestión de usuarios.
– Control de accesos.
– Aseguramiento de la información.
3. Programación de documentos web utilizando lenguajes de «script» de servidor:
– Clasificación.
– Integración con los lenguajes de marcas.
– Sintaxis.
– Herramientas de edición de código.
– Elementos del lenguaje.
- Comentarios.
- Tipos de datos simples y compuestos.
- Variables.
- Constantes.
- Operadores.
- Expresiones.
- Alternativas e iteraciones.
– Funciones integradas y de usuario.
– Gestión de errores.
– Mecanismos de introducción de información: Formularios.
– Autenticación de usuarios.
– Control de accesos.
– Sesiones.
– Configuración del intérprete.
4. Acceso a bases de datos desde lenguajes de «script» de servidor:
– Instalación de sistemas gestores de bases de datos.
– Preparación del sistema gestor.
– Integración de los lenguajes de «script» de servidor con los sistemas gestores de base de datos.
– Conexión a bases de datos.
– Creación de bases de datos y tablas.
– Recuperación de la información de la base de datos desde una página web.
– Técnicas de procesamiento de la información recuperada.
– Modificación de la información almacenada: inserciones, actualizaciones y borrados.
– Verificación de la información.
– Gestión de errores.
– Mecanismos de seguridad y control de accesos.
– Verificación del funcionamiento y pruebas de rendimiento.
– Documentación.
5. Instalación de gestores de contenidos:
– Tipos de gestores de contenidos.
– Licencias de uso.
– Requerimientos de funcionamiento.
– Terminología.
– Funcionalidades.
– Ventajas del uso de gestores de contenidos.
– Instalación.
– Creación de la base de datos.
– Estructura.
– Modo de operación.
Implantación de aplicaciones web. ASIR
– Creación de contenidos.
– Personalización de la interfaz.
– Adaptación de menús.
– Mecanismos de seguridad integrados.
– Verificación del funcionamiento y rendimiento.
– Publicación.
– Documentación de la configuración.
6. Administración de gestores de contenidos:
– Usuarios y grupos.
– Perfiles.
– Control de accesos.
– Flujos de trabajo (workflow).
– Política de seguridad.
– Registros de actividades.
– Integración de módulos.
– Gestión de temas.
– Plantillas.
– Copias de seguridad.
– Sindicación de contenidos.
– Herramientas de sindicación de contenidos.
– Importación y exportación de la información.
7. Adaptación de gestores de contenidos:
– Principales gestores de contenidos del mercado.
– Características de los principales gestores de contenidos.
– Identificación del funcionamiento interno del gestor.
– Selección de modificaciones a realizar.
– Reconocimiento de elementos involucrados.
– Modificación de la apariencia.
– Incorporación y adaptación de funcionalidades.
– Verificación del funcionamiento.
– Depuración.
– Documentación.

Muy bien, lo terminé y Perfecto, la verdad que investigando y de un lado para otro hasta tener suficiente información.

De todas formas, ahora tengo un trabajo de más o menos lo mismo pero utilizando programas de búsquedas automáticas de estas docks para ver las diferencias entre ellas, Buscaré cuales son las mejores, pero si teneis alguna recomendacion...Pues seria estupendo.

Por cierto, de Este año colgaré bastantes cosas de seguridad tales como apuntes y demás en un Blog que me han mandado hacer asique ya pondré aqui la direccion. Por cierto que Blog me recomendais ¿para hacer? el de google, Blogspot....

Tener tengo, tanto apuntes como trabajos y demás pero creo que no os resulten de interés pues no tenia en primero ninguna Asignatura relacionada con Seguridad, mis asignaturas eran si alguna te u os interesa no me importa recopilarlos y subir lo que tenga:

Bases de Datos
Redes
Sistemas operativos
Hardware
Fol
Marcas

Algún libro bueno que os haya sercido o curso gratuito que me podais recomendar para seguridad y demas? a ser posible en castellano. ya tengo demasiadas en Inglés
Es basicamente para ir estudiando y probando cosas y mirandolo un poco mas a fondo no solo por los apuntes que me den que va a ser poco a poco.
Primer Trimestre:
1. Adopción de pautas de seguridad informática:
– Fiabilidad, confidencialidad, integridad y disponibilidad.
– Elementos vulnerables en el sistema informático: hardware, software y datos.
– Análisis de las principales vulnerabilidades de un sistema informático.
– Fraudes informáticos y robos de información.
– Correo no deseado.
– Amenazas. Tipos:
– Amenazas físicas.
– Amenazas lógicas.
– Seguridad física y ambiental:
– Ubicación y protección física de los equipos y servidores.
– Sistemas de alimentación ininterrumpida.
– Sistemas biométricos de identificación.
– Seguridad lógica:
– Criptografía.
– Listas de control de acceso.
– Establecimiento de políticas de contraseñas.
– Certificados digitales.
– Auditorías.
– Políticas de almacenamiento.
– Copias de seguridad e imágenes de respaldo.
– Medios de almacenamiento.
– Análisis forense en sistemas informáticos:
– Herramientas y software forense.
– Análisis e interpretación de resultados los datos sin modificarlos.
– Documentación de evidencias para su posterior aceptación en un proceso legal.
2. Implantación de mecanismos de seguridad activa:
– Ataques y contramedidas en sistemas personales:
– Clasificación de los ataques.
– Anatomía de ataques y análisis de software malicioso.
– Herramientas preventivas. Instalación y configuración.
– Herramientas paliativas. Instalación y configuración.
– Actualización de sistemas y aplicaciones.
– Seguridad en la conexión con redes públicas.
– Pautas y prácticas seguras.
– Seguridad en la red corporativa:
– Monitorización del tráfico en redes.
– Seguridad en los protocolos para comunicaciones inalámbricas.
– Riesgos potenciales de los servicios de red.
– Intentos de penetración.
3. Implantación de técnicas de acceso remoto. Seguridad perimetral:
– Elementos básicos de la seguridad perimetral.
– Perímetros de red. Zonas desmilitarizadas.
– Arquitectura débil de subred protegida.
– Arquitectura fuerte de subred protegida.
– Redes privadas virtuales. VPN.
– Beneficios y desventajas con respecto a las líneas dedicadas.
– Técnicas de cifrado. Clave pública y clave privada:
– VPN a nivel de red. SSL, IPSec.
– VPN a nivel de aplicación. SSH.
– Servidores de acceso remoto:
– Protocolos de autenticación.
– Configuración de parámetros de acceso.
– Servidores de autenticación.
4. Instalación y configuración de cortafuegos:
– Utilización de cortafuegos.
– Filtrado de paquetes de datos.
– Tipos de cortafuegos. Características. Funciones principales.
– Instalación de cortafuegos. Ubicación.
– Reglas de filtrado de cortafuegos.
– Pruebas de funcionamiento. Sondeo.
– Registros de sucesos de un cortafuegos.
Segundo Trimestre:
5. Instalación y configuración de servidores «Proxy»:
– Tipos de «Proxy». Características y funciones.
– Instalación de servidores «Proxy».
– Instalación y configuración de clientes «Proxy».
– Configuración del almacenamiento en la caché de un «Proxy».
– Configuración de filtros.
– Métodos de autenticación en un «Proxy».
6. Implantación de soluciones de alta disponibilidad:
– Definición y objetivos.
– Análisis de configuraciones de alta disponibilidad.
– Funcionamiento ininterrumpido.
– Integridad de datos y recuperación de servicio.
– Servidores redundantes.
– Sistemas de «clusters».
– Balanceadores de carga.
– Instalación y configuración de soluciones de alta disponibilidad.
– Alta disponibilidad y Tolerancia a Desastres.
– Virtualización de sistemas.
– Posibilidades de la virtualización de sistemas.
– Herramientas para la virtualización.
– Configuración y utilización de máquinas virtuales.
– Alta disponibilidad y virtualización.
– Simulación de servicios con virtualización. Virtualización de aplicaciones. Virtualización de puesto.
– Normas y procedimientos de los planes de contingencia.
– Planes de respaldo.
– Planes de emergencia.
– Planes de recuperación.
7. Legislación y normas sobre seguridad:
– Legislación sobre protección de datos.
– Legislación sobre los servicios de la sociedad de la información y correo electrónico.
– Esquema Nacional de Seguridad.
– Estándares internacionales sobre los Sistemas de Gestión de la Seguridad de la Información.
– Especificación de los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información.

Que cracks, ya estoy trabajando con lo que me estais pasando y empezando a investigar y disfrutando.

Hola, Muy buenas Foreros siempre googleando me ha aparecido muchas veces vuestro foro y siempre siempre he encontrado la Solución a mis dudas. Ahora realmente es lo suficientemente específica para registrarme y empezar a formar parte de vuestra comunidad y pasar a ser un miembro más y mis deseos de convertirme en uno realmente Activo. Bueno ya para terminar mi presentación diré que realmente estoy encantado.

Acabo de comenzar el Curso de Segundo de ASIR y tenemos este trabajo que tenemos que realizar con los siguientes puntos y mis dudas entre paréntesis.
Solo tenemos estas pistas, por ahora documentacion ni libro de ningún tipo asique toda vuestra ayuda, ya sea consejos y/o documentación sería de agradecer.

darme de alta en http://www.projecthoneypot.org/index.php (¿para qué)

hacking database:http://www.exploit-db.com/google-dorks/            http://www.hackersforcharity.org/ghdb/     (tambien, ¿para que?)

Antes de seguir: http://ultrasurf.us/ Explicar su función y como funciona (no me presenta ningún problema)

Obtén ejemplos reales de posibles logins y contraseñas de al menos un par de organizaciones.

Utiliza google y sus operadores avanzados para localizar datos de un objetivo (sus URL, cache, aplicaciones, tecnologías, e-mail, teléfonos, etc).

Compara la información que puedes obtener del objetivo, con la información que puedes obtener si el objetivo es alguna empresa de seguridad informática.

Utiliza y documenta el uso de algunas técnicas automáticas de búsqueda a través de google.

Muchas Gracias. Un Saludo