Instalar Apache Guacamole en Debian Linux

9 May, 2021 - Reading time: 6 minutes

¿Qué es Apache Guacamole?

Apache Guacamole es una pasarela de escritorio remoto que no necesita clientes y soporta protocolos estándar como RDP, SSHJ y VNC. Lo único que necesitaremos para acceder es un navegador de internet

Script de instalación

Pasos

Descargamos el script. El Script nos permite instalar todo lo necesario autenticación OTP, base de datos MariaDB, la última versión de apache tomcat, etc.

wget https://git.io/fxZq5 -O guac-install.sh

Permisos de ejecución sobre el script

chmod +x guac-install.sh

A continuación tenemos dos opciones para instalarlo, de forma interactiva o mediante parámetros.

Instalación interactiva (si no tenemos una base de datos ya instalada recomiendo la forma interactiva)

./guac-install.sh

Mediante parámetros

./guac-install.sh -n -o -h [mysql host] -p [puerto] -r [mysql password] --guacdb [nombre de la base de datos] --guacuser [usuario con acceso a la base de datos] --guacpwd [contraseña de la base de datos]

Una vez terminada la instalación podemos acceder a guacamole a través de: http://:8080/guacamole

Si nos da un error es posible que se deba a este bug con la zona horario, para solucionarlo:

mysql_tzinfo_to_sql /usr/share/zoneinfo | mysql -u root -p mysql

A continuación tenemos que editar el archivo 50-server.cnf con nuestro editor de texto favorito:

vim mysql_tzinfo_to_sql /usr/share/zoneinfo | mysql -u root -p mysql

Y añadimos la siguiente línea:

`default_time_zone='Europe/Madrid'

Finalmente reiniciamos la base de datos

systemctl restart mysql

Si queremos configurar la página /guacamole como principal tenemos que modificar el directorio /var/lib/tomcat9/webapps

    cd /var/lib/tomcat9/webapps
    mv ROOT ROOT.BAK
    cp guacamole.war ROOT.war
    cp guacamole ROOT

Para acceder desde cualquier sitio deberíamos instalar un proxy inverso (Apache2, NGINX, Caddy) para continuar con apache2

Instalar Apache2

apt install apache2

Activamos los siguientes módulos

    a2enmod rewrite
    a2enmod proxy_http
    a2enmod proxy_wstunnel

Editamos 000-default.conf si no tenemos otras páginas o servicios

vim /etc/apache2/sites-enabled/000-default.conf

    <VirtualHost *:443>
        ServerAdmin [email protected]
        ServerName guac.hostname.org
        ProxyRequests Off

        <Location />
                ProxyPreserveHost On
                ProxyPass http://server-ip:8080/guacamole/
                ProxyPassReverse http://server-ip:8080/guacamole/
        </Location>

        <Location /websocket-tunnel>
                Order allow,deny
                Allow from all
                ProxyPass ws://server-ip:8080/guacamole/websocket-tunnel
                ProxyPassReverse ws://server-ip:8080/guacamole/websocket-tunnel
        </Location>

Configurar conexión a máquina

Una vez accedamos a la web: Usuario (esquina superior derecha) > Configuración >Conexiones > Nueva Conexión

Windows

Editar Conexión
Nombre: Test Machine
Protocolo: RDP
Parámetros

Red

    Nombre de host: IP o nombre de la máquina
    Puerto: 3389

Autenticación

    Usuario: nuestro usuario
    Contraseña: secret
    Dominio: Dominio al que pertenece la máquina o nombre de la máquina
    Modo seguridad: Si pertenece a un dominio NLA (autenticación a nivel de red), si no podemos utilizar todo
    Ignorar certificado del servidor: activado

Es posible que no podamos establecer conexión en remoto si no deshabilitamos el audio o configuramos el color a 16-bit

    Profundidad de color: Color (16-bit)
    Deshabilitar audio: activado

Linux

Linux es más sencillo dependiendo si queremos conectarnos por SSH, VNC o incluso con RDP, en este último caso debemos instalar xrdp o alguna alternativa en la máquina a la que queremos conectarnos.

Conexión SSH

Editar Conexión
Nombre: Linux Machine
Protocolo: SSH
Parámetros

Red

    Nombre de host: IP o nombre de la máquina
    Puerto: 22

Autenticación

    Usuario: nuestro usuario
    Contraseña: secret
    Llave Privada: Podemos utilizar una private key si la tenemos.

Si utilizamos VNC hay que cambiar el puerto (5901), , y si utilizamos xRDP la configuración es similar a la de WIndows.


Por qué deberías activar los subtítulos

28 February, 2021 - Reading time: 2 minutes

Hoy he descubierto un vídeo de Stephen Fry en el que recomienda a los padres encender los subtítulos para aumentar la capacidad de lectura de sus hijos (traduzco un poco de la web que menciona):

Activar los subtítulos mientras los niños ven las televisión puede doblar la probabilidad de que sean buenos leyendo. ¿Cómo es posible? Los subtítulos provocan un comportamiento de lectura automática tanto en niños como adultos. Una clave para una lectura fluida es la práctica, la otra es contenido que genere interés y, hoy más que nunca, los niños tienen especial interés por el entretenimiento digital.

Según un estudio académico con 2350 niños, el 34% se convirtieron en buenos lectores solo con asistir al colegio, sin embargo cuando se les expuso durante 30 minutos en una semana a música de películas subtituladas dicha proporción aumentó hasta el 70%. Hay multitud de estudios sobre los efectos positivos de los subtítulos y este es solo uno.

Fuente: www.turnonthesubtitles.org (En inglés)

Llevo más de 10 años viendo todo el contenido posible con subtítulos y he activado los subtítulos a familiares no solo por la posibilidad de ver contenido extranjero si no porque aumenta mi capacidad para entender lo que estoy viendo, no es necesario repetir escenas porque no he entendido una palabra, además así no se fuerza el oido con volúmen excesivamente alto.


Ataque del Servicio de Inteligencia Extranjero Ruso (SVR) a Microsoft 365

21 January, 2021 - Reading time: 2 minutes

Mandiant (Ciberseguridad, artículo en inglés) ha publicado un pdf explicando los métodos utilizados por el SVR para atacar Microsoft 365 como parte del ataque a SolarWinds (Wikipedia en inglés)

Descargar PDF

Tácticas de los atacantes (traducción)

  1. Robar el certificado de AD FS (Active Directory Federation Services) que se utiliza para firmar otros tokens lo que permite a los atacantes autenticarse en un servicio federado (como Microsoft 365) con cualquier usuario sin necesidad de contraseña u otros tipos de autenticación (autenticación multifactor)
  2. Modificar o añadir dominios de confianza en Azure AD para añadir una nueva identidad controlada por el atacante lo cual permite al atacante crear tokens para usuarios (puerta trasera en Azure AD)
  3. Comprometer las credenciales de usuarios sincronizados con Microsoft 365 y con permisos de alto nivel como Administradores Globales.
  4. Apropiarse de aplicaciones existentes en Microsoft 365 añadiendo una credencial clandestina para legitimizar los permisos asignados a dicha aplicación, como la habilidad para leer correos electrónicos, enviarlos con una cuenta de usuario, acceder a calendarios, todo esto sin necesidad de utilizar autenticación multifactor

About



Soy administrador de sistemas, documento mis proyectos aquí y a veces escribo sobre otras cosas