Software Libre Linux

Control de ancho de banda en linux QOS

hgeorge123@gmail.com (George Hernandez) — Fri, 17 Feb 2012 12:18:31 PST

Muchos administradores de linux intentan cotrolar el ancho de banda de sus usuarios pero no encuentran como una opcion de seria con el controlador de trafico (tc) y un temporizador (htb). Son herramientas, que al formar parte del propio sistema operativo tiene un elevado nivel de eficiencia y precisión. Además de ser muy eficiente, es muy sencillo anular su efecto ya que con una simple línea, se anulan los efectos producidos.

Establece primero el ancho de banda máximo disponible en tu línea de transmisión, este valor puede ser, por ejemplo, de 10Mbps (Clase 1). Luego define todos los límites previstos o CLASES. Por ejemplo para definir que diferentes límites serán (sin importar aún a que corresponde cada límite)
512Kbps (Clase 2)
256Kbps (Clase 3)
24Kbps (Clase 4).
Con estos valores tienes definidas 4 CLASES.
Algunos servicios, usuarios o subnets, con 1Mbps, otros con 512Kbps, otros con 256Kbps y los últimos con 24Kbps.

Luego de definidas las CLASES, debes definir que corresponderá a cada clase, por ejemplo, gerencia tendrá el máximo ancho de banda posible (Clase 1), el correo corporativo será de Clase 3, Internet Clase 4, Desarrollo Clase 2, Videoconferencia Clase 1, y el resto de usuarios estarán limitados a la Clase 4.

Luego que has definido los parámetos del sistema debes crear el Script que implemente el "limitador".

Suponiendo que el limitador se aplicará, en un servidor Linux por donde pasa todo el tráfico de Internet, videoconferencia y correo corporativo. Este servidor tiene dos placas de red, una externa (eth0) y la otra interna (eth1). Tu proveedor de Internet conectado a eth0 brinda un ancho de banda de 1Mbps. Tu red interna está configurada para funcionar a 10Mbps máxima. Además tienes contratado un enlace punto a punto con una sucursal de 64Kbps por el cual viaja tanto, internet, correo corporativo y canales de voz.
La distribución de direcciones ip y puertos es la siguiente:
a)La Gerencia forma una subnet con la siguiente numeración: 172.16.21.0/24.
b)Nuestra sucursal es la subnet 172.16.31.0/24
100. El resto de los usuarios pertenecen a la subnet 172.16.1.0/24
d)El puerto usado por nuestro proxy de internet es el 3128
Definimos 4 clases de ancho de banda:
1. 10Mbps
2. 256 Kbps
3. 128 Kbps
4. 24Kbps

Definimos que grupo pertenece a cada clase.
Gerencia pertenecerá a la Clase I
Internet pertenecerá a la Clase II
El resto de los usuarios ocupará la Clase III
La sucursal será parte de la Clase IV.
En el caso de la sucursal, los servicios de internet y correo corporativo estarán limitados a 24Kbps, dejando el resto para canales de voz y otros servicios que no pasen por el servidor donde instalaremos el limitador.

El Script tendría el siguiente contenido:

#!/bin/bash
#Definimos la placa de red interna, ya que es la que nos interesa administrar.
DEV=eth1
#Definimos el camino al comando "tc", en caso de que no este en el PATH
TC=tc ; este es el caso en el que esta en el PATH
#Definimos todos los limites de ancho de banda a utilizar en Kbps.
RATE1=1000
RATE2=256
RATE3=128
RATE4=24
# Esta linea elimina toda posible definición anterior de FILTROS y CLASES
$TC qdisc del dev $DEV root 2>&1 >/dev/null
#Definimos las CLASES existentes, ademas de la CLASE root y la CLASE master que son necesarias para el funcionamiento del script, pero que no debemos modificar.
#CLASE root y master
$TC qdisc add dev $DEV root handle 1: htb default 60
$TC class add dev $DEV parent 1: classid 1:1 htb rate ${RATE1}kbit
#CLASES y orden prioridad
#CLASE I
$TC class add dev $DEV parent 1:1 classid 1:10 htb rate ${RATE}kbit ceil ${RATE}kbit prio 1
$TC qdisc add dev $DEV parent 1:10 handle 10: sfq perturb 10
#CLASE II
$TC class add dev $DEV parent 1:1 classid 1:20 htb rate ${RATE2}kbit ceil ${RATE2}kbit prio 2
$TC qdisc add dev $DEV parent 1:20 handle 20: sfq perturb 10
#CLASE III
$TC class add dev $DEV parent 1:1 classid 1:30 htb rate ${RATE3}kbit ceil ${RATE3}kbit prio 3
$TC qdisc add dev $DEV parent 1:30 handle 30: sfq perturb 10
#CLASE IV
$TC class add dev $DEV parent 1:1 classid 1:40 htb rate ${RATE4}kbit ceil ${RATE4}kbit prio 1
$TC qdisc add dev $DEV parent 1:40 handle 40: sfq perturb 10
#Ya están las 4 CLASES definidas, ahora hay que definir los FILTROS.
# FILTRO1 (Subnet GERENCIA a CLASE I)
$TC filter add dev $DEV parent 1: protocol ip prio 1 u32 match ip dst 172.16.21.0/24 flowid 1:10
$TC filter add dev $DEV parent 1: protocol ip prio 1 u32 match ip src 172.16.21.0/24 flowid 1:10
# FILTRO2 (INTERNET a CLASE II)
$TC filter add dev $DEV parent 1: protocol ip prio 1 u32 match ip dport 3128 flowid 1:20
$TC filter add dev $DEV parent 1: protocol ip prio 1 u32 match ip sport 3128 flowid 1:20
# FILTRO3 (Subnet RESTO USUARIOS a CLASE III)
$TC filter add dev $DEV parent 1: protocol ip prio 1 u32 match ip dst 172.16.1.0/24 flowid 1:30
$TC filter add dev $DEV parent 1: protocol ip prio 1 u32 match ip src 172.16.1.0/24 flowid 1:30
# FILTRO4 (Subnet SUCURSAL a CLASE IV)
$TC filter add dev $DEV parent 1: protocol ip prio 1 u32 match ip dst 172.16.31.0/24 flowid 1:40
$TC filter add dev $DEV parent 1: protocol ip prio 1 u32 match ip src 172.16.31.0/24 flowid 1:40
#Ya esta listo para correr, si queremos podemos mostrar las clases y limites establecido (no muestra a quien pertenece cada subnet o servicio).
$TC qdisc show dev $DEV
$TC class show dev $DEV
#Fin del Script

Siete pasos para mejorar la seguridad SIP en Asterisk

hgeorge123@gmail.com (George Hernandez) — Fri, 17 Feb 2012 11:59:59 PST

Aqui les dejo unos excelente consejos que escribio Rodrigo A. MArtin para mejoras la seguridad sip en asterisk.

En los últimos meses han aparecido una serie de nuevas herramientas que hace
posible a cualquier novato atacar y cometer fraudes en equipos SIP, incluyendo los
sistemas basados en Asterisk.
Existen herramientas fácilmente disponibles que hacen un barrido de redes en
busca de hosts que ofrezcan servicios SIP, luego, una vez encontrado, realiza un
barrido en busca de extensiones y contraseñas.
Exiten ciertas reglas, de aplicación inmediata, que eliminan muchos de los
problemas de seguridad, protegiendo al servidor Asterisk de los barridos masivos y
los ataques posteriores. Estos métodos y herramientas de protección ya existen,
simplemente hay que aplicarlos.

1) No aceptar pedidos de autenticación SIP desde cualquier dirección IP.
Utilizar las líneas “permit=” y “deny=” de sip.conf para sólo permitir un
subconjunto razonable de direcciones IP alcanzar cada usuario/extensión listado en
el archivo sip.conf. Aún aceptando llamadas entrantes desde “anywhere” (via
[default]) no se debe permitir a esos usuarios alcanzar elementos autenticados.

2) Estblecer el valor de la entrada “alwaysauthreject=yes” en el archivo
sip.conf. Esta opción está disponible desde la versión 1.2 de Asterisk, pero su por
defecto su valor es "no", lo que puede ser potencialmente inseguro. Estableciendo
este valor en "yes" se rechazarán los pedidos de autenticación fallidos utilizando
nombres de extensiones válidas con la misma información de un rechazo de usuario
inexistente. De esta forma no facilitamos la tarea al atacante para detectar
nombres de extensiones existentes utilizando técnicas de "fuerza bruta".

3) Utilizar claves SEGURAS para las entidades SIP. Este es probablemente la
más importante medida de seguridad. Si alguna vez viste programas que generan y
prueban claves por fuerza bruta sabrás que se necesita algo más que palabras y
números para una clave segura. Usar símbolos, números, una mezcla de letras
minúsculas y mayúsculas y al menos 12 caracteres de largo.

4) Bloquear los puertos del Asterisk Manager Interface. Usar “permit=” y
“deny=” en manager.conf para limitar las conexiones entrantes sólo a hosts
conocidos. Una vez más utilizar claves seguras aquí también, 12 caracteres al
menos en una combinación de números, letras y símbolos.

5) Permitir sólo una o dos llamadas por vez por entidades SIP cuando sea
posible. Limitar el uso no autorizado de las líneas voip es una sabia decisión, esto
también es util para el caso que usuarios legítimos hagan pública su clave y pierdan
control de su uso.

6) Los nombres de usuarios SIP deben ser diferentes que sus extensiones.
A pesar de ser conveniente tener una extensión “1234Z que mapee a una entrada
SIP “1234Z la cual es también el usuario SIP “1234Z, esto también facilita a los
atacantes para descubrir nombres de autenticación SIP. En su ligar usar las
direciones MAC del dispositivo, o alguna combinación de frases comunes +
extensión MD5 hash (por ejemplo: desde el shell prompt, hacer “md5 -s
ThePassword5000Z)

7) Asegurarse que el contexto [default] sea seguro. No permitir que
llamadores no autenticados alcancen contextos que les permitan llamar. Permitir
sólo una cantidad limitada de llamadas activas pasen por el contexto default
(utilizar la función “GROUP” como contador). Prohibir totalmente las llamadas no
autenticadas (si es que así lo queremos) estableciendo “allowguest=no” en la parte
[general] de sip.conf.

Cambiar voces de festival en Elastix

hgeorge123@gmail.com (George Hernandez) — Fri, 17 Feb 2012 11:55:28 PST

Aqui les dejo un pequeño tutorial escrito por edgar landivar de como poner las voces en español para festival en elastix espero les sea de utilidad.

Lo primero que debemos hacer es instalar los archivos que conforman las voces. Para facilitar este paso, existen unos instaladores RPMs que nos facilitan enormemente el trabajo. Estos instaladores pueden ser descargados de aquí:

http://www.neomano.com/downloads/voces/

El archivo festvox-palpc16k-1.0-2.noarch.rpm instala la voz masculina, llamada Pedro, y el archivo festvox-sflpc16k-1.0-2.noarch.rpm instala la voz femenina, llamada Silvia.

La instalación de estos archivos en nuestro servidor Elastix la podemos realizar con el siguiente comando.

rpm -ivh festvox-palpc16k-1.0-2.noarch.rpm festvox-sflpc16k-1.0-2.noarch.rpm

Luego de esto editamos el archivo /usr/share/festival/languages.scm y modificamos las líneas 93 y 94 de la siguiente forma

ANTES:

(voice_el_diphone)
(set! male1 voice_el_diphone)

DESPUES:

(voice_JuntaDeAndalucia_es_pa_diphone)
(set! male1 voice_JuntaDeAndalucia_es_pa_diphone)

TEXT2WAVE

Si adicionalmente queremos que el comando text2wave por omisión utilice nuestras voces, tendremos que también modificar el archivo /usr/bin/text2wave y en la línea 46 añadir una que diga:

(voice_JuntaDeAndalucia_es_pa_diphone)

Esto es útil debido a que algunos scripts AGI utilizan el comando text2wave para sintetizar voz.

Creamos o editamos si ya existe el archivo phpagi.conf en el directorio de archivos de configuración de Asterisk.

vim /etc/asterisk/phpagi.conf

Y en ese archivo introducimos lo siguiente

[festival]
text2wave=/usr/bin/text2wave
tempdir=/var/lib/asterisk/sounds/tmp/

Ojo solo verificar la ruta de instalacion de text2wave, con whereis text2wave sabremos su directorio

Si no se encuentra el directorio /var/lib/asterisk/sounds/tmp/, creamos el directorio, y le asignamos el usuario de ejecución del pbx de asterisk

Pasos para la instalación de Skype for Asterisk (SFA) en Elastix

hgeorge123@gmail.com (George Hernandez) — Fri, 17 Feb 2012 11:48:24 PST

NOTA: esta guía se la escribió utilizando un servidor Elastix 2.0.3 (Asterisk 1.6.2) de 32-bits
1. Descargar:
a. http://downloads.digium.com/pub/telephony/skypeforasterisk/
(escoger el SFA correspondiente a la versión de Asterisk del servidor Elastix)
b. http://downloads.digium.com/pub/register/linux/register
2. Copiar ambos archivos (el tar.gz y el “register”) en el servidor Elastix. Ejemplo:
scp skypeforasterisk-1.6.2.0_1.1.2-x86_32.tar.gz register root@192.168.1.2:/opt
3. En el servidor Elastix ubicarse en el directorio donde se copió los archivos en el paso
anterior (/opt/ en nuestro caso). Como usuario root:
a. # tar xzvf skypeforasterisk-1.6.2.0_1.1.2-x86_32.tar.gz
b. # cd skypeforasterisk-1.6.2.0_1.1.2-x86_32
c. # make
d. # make install
e. # make samples
f. # cd ..
g. # chmod +x ./register
h. # ./register
4. Seguir los pasos para registrar la licencia que aparecerán en pantalla
Para el “register” que se utilizó al momento de escribir este documento, las respuestas
que hubo que ingresar son:
a. 1 (Digium Products)
b. 7 (Skype For Asterisk)
c. Ingresar la licencia
d. y (Do you want to register this key now(y/n))
e. y (Do you accept this licensing agreement (y/n)?)
f. Llenar la información correspondiente a: First Name, Last Name, Company,
Address 1, Address 2, City, State, Postal Code, Country, Phone y E-Mail
Notas adicionales:
El archivo de la licencia quedará grabado en: /var/lib/asterisk/licenses/
La pequeña base de datos utilizada por SFA quedará creada en /var/spool/asterisk/skype/
Si por algún motivo dentro del archivo /etc/asterisk/modules.conf no existe la línea
autoload=yes, para que el SFA arranque automáticamente luego de reiniciar el servidor
habrá que añadir las líneas load=>res_skypeforasterisk.so y load=>chan_skype.so
SFA necesita ejecutar procesos dentro del directorio /tmp , si por algún motivo este
directorio tiene el flag “noexec”, se puede seleccionar (o crear) cualquier otro directorio en
el servidor donde sí puedan ser ejecutados procesos, para esto hay que indicarle a SFA la
ruta de este directorio a través del parámetro “engine_directory” dentro del archivo
/etc/asterisk/chan_skype.conf

Ejemplo de uso
Al momento de escribir este documento, no cualquier cuenta Skype puede ser utilizada para
originar llamadas con el SFA, únicamente las cuentas creadas dentro del Skype Manager
pueden ser utilizadas. Este tipo de cuentas se las conoce como “Skype business account”
(cuenta empresarial)
1. Crear una cuenta administrador del Skype Manager en:
https://login.skype.com/bcp/login-form?application=bcp
2. Una vez dentro del Skype Manager como administrador, crear las cuentas para usar con el
SFA:
Members->Create accounts
Ejemplo, se creó cuenta con: Skype Name: juan_SFA y Password: uno2tres4
3. En el archivo /etc/asterisk/chan_skype.conf ; añadir las siguientes líneas:
[juan_SFA]
secret=uno2tres4
context=from-pstn
exten=205
disallow=all
allow=ulaw
4. En el archivo /etc/asterisk/extensions_custom.conf ; luego de la última línea en el contexto
[from-internal-custom], añadir las siguientes líneas:
include => testSkype
[testSkype]
exten => 2323,1,Dial(Skype/juan_SFA@maria_CuentaPersonal)
Notas:
El paso 3, además de registrar una cuenta (“juan_SFA”) con el servidor Elastix, sirve para
dejar configurado que las llamadas hechas a dicha cuenta “juan_SFA” sean transferidas
directamente a la extensión 205
Con el paso 4 se define que cualquier persona que marque 2323 originará una llamada
Skype con la cuenta empresarial “juan_SFA” hacia la cuenta personal
“maria_CuentaPersonal”

Seguridad en asterisk fail2ban

hgeorge123@gmail.com (George Hernandez) — Tue, 18 Jan 2011 15:50:54 PST

los servidores asterisk son muy atacados en estos días por eso hay que tratar de tenerlos lo mas seguro que se pueda una buena manera de contribuir a eso es con el fail2ban es un software que banea las ip que hacen intento fallidos por entrar el sistema bueno aqui les pongo un pequeño ejemplo de como se puede usar en un asterisk.

Lo primero es instalarlo

EN centos serial algo como esto

yum -y install fail2ban

Si tienen debian o ubuntu

aptitude install fail2ban

Luego hay que mostrarle al fail2ban donde se generan las estadisiticas del asterisk y como las va a tratar esto se hace en el archivo /etc/fail2ban/jail.conf

# FAIL2BAN ASTERISK
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=MIDIRECCIONDEEMAIL@EXAMPLE.COM, sender=fail2ban@example.com]
logpath = /var/log/asterisk/full
maxretry = 40
bantime = 12960

El parámetro "bantime" esta en segundos, en este ejemplo he puesto que bloquee las IP que intentan atacar por 36 horas

El parametro "maxretry" es el numero de intentos fallidos antes de bloquear la ip aqui ustedes ponen lo que ustedes crean conveniente

Para que fail2ban pueda ubicarse en el log de Asterisk debemos cambiar el formato de hora y fecha. Eso lo hacemos editando el archivo /etc/asterisk/logger.conf y poniendo al inicio del archivo las siguientes lineas:

[general]
dateformat=%F %T

Y debajo de [logfiles] la siguiente linea

fail2ban => notice

Luego debemos reiniciar el modulo de logger de asterisk de la siguiente manera asterisk -rx "logger reload" con esto ya hemos termiando con asterisk

Ahora debemos crear el archivo asterisk.conf que es el que usara fail2ban para los bloqueos en la sigueitne ruta /etc/fail2ban/filter.d/ aqui les pongo el contenido del mismo

# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P\S+)
# Values: TEXT
#

failregex = NOTICE.* .*: Registration from '.*' failed for '' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '' - Peer is not supposed to register
NOTICE.* failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' $from $
NOTICE.* .*: Host failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@.*

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Ahora solo nos queda aplicar los cambios en el fail2ban con el comando /etc/init.d/fail2ban restart y listo ya tenemos nuestro asterisk un poco mas seguro.

Cambiar password del flash operator panel o FOP

hgeorge123@gmail.com (George Hernandez) — Tue, 18 Jan 2011 15:05:16 PST

A veces despues que instalamos el elastix es molesto usar la clave que trae por defecto el flash operator panel o (FOP) y queremos cambiarla o por seguridad debido a que es una clave de dominio publico entonces aqui estan unos simples pasos de como hacerlo

cd /etc
editar el archivo amportal.conf
vim amportal.conf
Ubicar la linea FOPPASSWORD=eLaStIx.2oo7
Cambiar la clave que trae por default que es “eLaStIx.2oo7” por la que mas les guste

Configurar bonding de tarjetas de red

hgeorge123@gmail.com (George Hernandez) — Sat, 20 Mar 2010 08:06:57 PDT

Muchas personas no saben que existe este tipo de configuracion en la que se puede aumentar el rendimiento y seguridad en las interfaces de red en nuestros servidores linux bueno eso hace bonding por nosotros y muchas cosas mas bien manos a la obra.

Instalamos los paquetes necesarios

aptitude install ifenslave

Antes de empesar a configurar o acer algo es importante saber los tipos de bonding que existe y sus funciones.

- (modo 0) balance-rr: se emplea un algoritmo round robin entre la cola virtual y las de los esclavos. Es algo así como: un paquetillo para un esclavo, otro para otro esclavo, un paquetillo para un esclavo, otro para el otro... etc. Es el algoritmo que se usa por defecto.

- (modo 1) active backup: realmente no balancea la carga, usa sólo un esclavo y en caso de fallar, usa el siguiente disponible.

- (modo 2) balance-xor: emplea una formulita para decidir por qué interfaz sale: (source-MAC xor dest-MAC) mod n-slaves.

- (modo 3) broadcast: se transmite todo por todas las interfaces. Este método no balancea tampoco, pero provee tolerancia a fallos.

- (modo 4) 802.3ad: emplea algoritmos definidos en el estándar IEEE 802.3ad.

- (modo 5) balace-tbl: balancea la carga de transmisión entre los esclavos dependiendo de la velocidad de estos y de la carga total. El tráfico es recibido por un esclavo, en caso de fallar otro esclavo toma su MAC y continúa recibiendo tráfico.

- (modo 6) balance-alb: realiza el balanceo anterior además de un balanceo también en la recepción. Este método debe modificar las MAC de los esclavos estando las tarjetas activas, esto debe estar soportado por el driver para poder usar este método.

Aunque todo esto parezca muy bonito, hay que tener en cuenta una cosa: algunos métodos necesitan ciertas configuraciones/capacidades en el switch al que estés conectados los esclavos. Ah! se me olvidaba: si el switch tiene un único link de salida a la red y va a la misma velocidad que nuestros esclavos, el balanceo se hace inútil ya que se produce un cuello de botella en el link de salida del switch.

Tipos de bonding que necesitan configuraciones especiales de los switch

Los modos 1, 5 y 6 no requiere ninguna configuración especial en el switch, ideales si no tenemos acceso a la configuración del equipamiento de red .

El modo 4 requiere que el switch tenga los puertos donde conectamos los esclavos en modo 802.3ad aggregation. Esto depende de cada switch, por ejemplo, en los switch's de Cisco esta capacidad se llama EtherChannel y debe estar en modo lacp.

Por último, los modos 0, 2 y 3 generalmente requiere poder agrupar puertos. Las nomenclaturas de estos grupos dependen del fabricante del switch, como hemos dicho antes, Cisco llama a estas agrupaciones EtherChannel, también se usa trunk group.

Ya con esto podemos empesar a configurar nuestro bonding.

En este ejemplo utilizaremos las interfaces eth0, eth1.

Editamos el archivo /etc/network/interfaces y agregamos lo siguiente

iface bond0 inet static
address 10.0.1.5
netmask 255.255.255.0
network 10.0.1.0
gateway 10.0.1.254
bond_mode 802.3.ad
bond_miimon 100
bond_downdelay 200
bond_updelay 200
slaves eth0 eth1

mode: modo de funcionamiento elegido.
miimon: tiempo en mseg entre chequeos de las interfaces.
downdelay: tiempo para considerar caído una interfaz.
updelay: tiempo para considerar levantada una interfaz.

Otra manera de configurar el bondig en debian es la siguiente

Editamos el archivo /etc/modprobe.d/aliases y le agregamos lo siguiente

alias eth0 e100
alias eth1 e100
alias bond0 bonding
options bonding mode=5 miimon=100

Y configuramos en /etc/network/interfaces

auto bond0
iface bond0 inet static
address 172.31.0.3
netmask 255.255.252.0
broadcast 172.31.3.255
gateway 172.31.0.1
slaves eth0 eth1

Ya con esto tenemos el bonding configurado en nuestro servidor pero como se habran dado cuenta en el ejeplo pongo bonding 4 el cual necesita configurar el switch de manera especial aqui les dejo como se configura el switch.

switch(config)#interface range fastethernet 0/1 - 3
switch(config-if-range)#channel-protocol lacp
switch(config-if-range)#channel-group 1 mode active
switch(config)#port-channel load-balance src-dst-mac

Ya con esto tenemos nuestro switch y servidor configurado para usar bonding solo resta reiniciar el servidor y listo.

OpenVPN en debian Lenny

hgeorge123@gmail.com (George Hernandez) — Sat, 20 Mar 2010 06:36:36 PDT

Tenia mucho tiempo que no publicaba algo y aqui estoy de nuevo un tuto de como configurar una vpn con openvpn punto a punto.

OpenVPN es una implementacion de VPN SSL la cual usa las extenciones OSI capa 2 o 3 para asegurar redes la cual usa los protocolos SSL/TLS, soporta diferentes medios de autenticacion como certificados, smart cards, y/o usuarios/contraseñas, y permite politicas de control de acceso para usuarios o grupos usando reglas de firewall aplicadas a las interfaces virtuales de la VPN. OpenVPN 2.0 permite multiples clientes conectar a un solo servidor (proceso) OpenVPN sobre un simple puerto TCP o UDP.

Porque surgen las VPNs

● Intercambio flexible, rápido y seguro de información.
● Sucursales en diferentes ubicaciones.
● Trabajadores remotos.
● Necesidad de altos estándares de seguridad: autenticidad, integridad, y disponibilidad.

Arquitecturas básicas

Acceso Remoto (Roadwarrior):

Usuarios que se conectan de manera remota utilizando Internet como vía de acceso.

Punto a Punto:

Conexión entre diversos puntos de una Organización a través de Internet.

Interna VLAN:

Utiliza la LAN de la organización como vía de acceso. Sirve para aislar zonas y servicios de la red interna.

Instalamos OpenVPN

aptitude install openvpn openssl liblzo1

cp -a /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn/

cd /etc/openvpn/easy-rsa/2.0/

. ./vars
./clean-all
./build-ca

Con esto lo que hemos echo es:

* Inicializar variables de ambiente para poder trabajar con los siguientes scripts de shell para generar las variables.
* Inicializamos el directorio de las claves (borrando potenciales archivos viejos).
* build-ca: procedemos a generar el certificado CA.

Deberemos ingresar los datos de la Organización reales (para ser prolijos) y teniendo especial atención en el parámetro Common Name el cual deberá ser distinto para el caso de la CA, Servidor y los Clientes.

Generamos las credenciales para el Servidor

./build-key-server servidor

Nuevamamente debemos repetir los datos ingresados anteriormente, recordando utilizar una denominación diferente de la que usamos para la CA (en el paso anterior).

Generamos las credenciales de los Clientes

./build-key cliente1

Esto genera los archivos cliente1.key (llave) y cliente1.crt (certificado).

Creamos los parámetros Diffie-Hellman:

./build-dh

Copiamos las credenciales del Servidor en /etc/openvpn/

cp -R ca.crt ca.key servidor.crt servidor.key dh1024.pem /etc/openvpn/

servidor.crt y servidor.key depende del Common Name que elejimos cuando creamos las credenciales para el servidor.

Pasamos las credenciales a los clientes

Estos archivos son cliente1.crt, cliente1.key y ca.crt, se los podemos pasar vía sftp o scp, pero siempre tratando de que sea seguro.

los archivos cliente1.crt y cliente1.key dependen del Common Name que ingresamos cuando creamos las credenciales de los clientes.

Creamos la configuración del Servidor OpenVPN

vim /etc/openvpn/server.conf

port 1194
proto udp
dev tun
persist-tun
ca ca.crt
cert servidor.crt
key servidor.key
dh dh1024.pem

#Direcciones que se asignaran a los
#clientes, el server es .1
server 10.1.1.0 255.255.255.0

ifconfig-pool-persist ipp.txt

#Ruta para que los clientes alcancen la red local del server (1.0/24)
push “route 192.168.1.0 255.255.255.0″

#Para que los clientes se visualicen entre ellos
#Debe ir junto con la opción routeback en el shorewall
client-to-client

keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 4

Nota: La red local de la VPN es 192.168.1.0/24 y la red de la VPN es 10.1.1.0/24. El usuario remoto, si está detrás de un NAT debe tener una dirección local no perteneciente a la red de la VPN.

Ejecutamos el servicio OpenVPN en el servidor:

/etc/init.d/openvpn restart

Configuramos el cliente

Dentro de la carpeta c:\archivos de programa\openvpn\config creamos un archivo llamado cliente1.ovpn.

tls-client
client
dev tun
proto udp
remote host.dominio.com
float #debido a que la IP de arriba es dinamica
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert cliente1.crt
key cliente1.key
comp-lzo
verb 4

Nota: Copiar dentro de esta misma carpeta donde esta el archivo cliente1.ovpn ojos solo los archivos cliente.crt, cliente.key y ca.crt.

Nos conectamos desde el cliente (Windows)

- Ejecutamos el GUI de OpenVPN
- Clic derecho en el ícono de OpenVPN, elegimos cliente (es el nombre del archivo con extensión .ovpn) y luego connect.

Instalar rdiff-backup

hgeorge123@gmail.com (George Hernandez) — Fri, 16 Oct 2009 06:03:44 PDT

Muchas veces queremos hacer respaldo de nuestros servidores pero no sabemos como hacer una manera es usar un rsync lo cual hace una copia diaria de todos nuestros archivos pero si pasado el tiempo queremos restaurar un respaldo vamos a tener que buscar los respaldos que tengamos guardado hay una manera de hacer esto mas facil y es con rdiff con este software podemos hacer los respaldos diarios y llegado el momento decirle al software que restaure los archivos o carpeta hasta la fecha que necesitamos.

Para instalarlo desde el codigo fuente se hace de la siguiente manera esta instalacion fue echa en slackware 12.1 en otras distribuciones debe de ser igual execto debian y ubuntu que lo traen entre sus repositorios.

Primero que nada tenemos que instalar las librerias rsync

wget http://internap.dl.sourceforge.net/sourceforge/librsync/librsync-0.9.7.tar.gz

tar xzf librsync-0.9.7.tar.gz

cd librsync-0.9.7

./configure

make AM_CFLAGS=-fPIC # Importante: Sin este flag, da un error al compilar rdiff-backup en sistemas de 64bits

make install

cd ..

Con esto ya tenemos instaladas las librerias necesarias ahora viene el rdiff

wget http://savannah.c3sl.ufpr.br/rdiff-backup/rdiff-backup-1.1.5.tar.gz

tar -xzf rdiff-backup-1.1.5.tar.gz

cd rdiff-backup-1.2.2

python setup.py install

Enviar correo cuando se conectan por ssh

hgeorge123@gmail.com (George Hernandez) — Sun, 12 Apr 2009 18:37:11 PDT

Existen muchas herramientas y técnicas que podemos usar para estar al tanto de las conexiones que se producen en un servidor desatendido (TCP wrappers, swatch, etc.). En lugar de usar alguna de estas técnicas ideé este método tan simple porque no requiere instalar ningún paquete que no tenga ya instalado. En mis sistemas la utilizo para que, en el momento en el que cualquier persona entre, enviar un mensaje SMS a mi correo. En caso de que esa persona no sea yo, tengo una oportunidad de echar al intruso o apagar la máquina ;-).
Requisitos previos

Se asume que los siguientes paquetes están ya instalados y funcionando:

* OpenSSH (net-misc/openssh).
* El cliente de correo mailX (mail-client/mailx), para enviar correos desde scripts de shell o desde línea de comandos.
* Un MTA ("mail transfer agent" o "agente de transferencia del correo") para mailX, como pueden ser Qmail, Postfix o Sendmail.
* Opcional: el sistema de ventanas X Window. No es obligatorio, pero debe de tenerse en cuenta a la hora de configurar SSH.

En caso de no cumplir alguno de los requisitos existen un montón de recursos para ayudarte, incluyendo los excelentes foros de Gentoo. Cómo configurar SSH o un servidor de correo está fuera del alcance de esta guía, que cubre solamente cómo conectar ambos.

Cómo funciona

En caso de que exista el script /etc/ssh/sshrc, SSH lo ejecuta después de cargar el entorno de un usuario pero antes de iniciar su intérprete de comandos. Este archivo nos proporciona las inicializaciones globales necesarias "antes de que el directorio /home del usuario llegue a ser accesible" (consultar # man 8 sshd). En mi caso, lo utilizo para enviar el correo con los detalles de la conexión.
Qué hacer

1. Hacer login como root.
2. Crear /etc/ssh/sshrc tal y como se muestra a continuación. En caso de que ya exista no sobreescribirlo, simplemente añadir en el punto adecuado los comandos que aparecen a partir de "Enviar una alerta con los detalles de la conexión".

# Establecer XAuthority usando el protocolo X desde stdin
# (ejemplo sacado de: man 8 sshd)
# Puedes omitir esta seccion si X (y por tanto xauth) no estan instalados.
#
if read proto cookie && [ -n "$DISPLAY" ]; then
if [ `echo $DISPLAY | cut -c1-10` = 'localhost:' ]; then
# X11UseLocalhost=yes
echo add unix:`echo $DISPLAY |
cut -c11-` $proto $cookie
else
# X11UseLocalhost=no
echo add $DISPLAY $proto $cookie
fi | xauth -q -
fi

# Enviar una alerta con los detalles de la conexión
#

cuando=`/usr/bin/date`
donde=`echo $SSH_CONNECTION|cut -f1 -d' '|cut -f4 -d:`
if [ -z "$SSH_TTY" ] ; then
que="Conexion de $USER"
else
que="Login de $USER en $SSH_TTY"
fi

mailto=""
cc_to=""
bcc_to=""
while read direccion mode
do
if [ -z "$direccion" -o "${direccion:0:1}" = "#" ] ; then continue; fi
if [ "x$mode" = "xcc" -o "x$mode" = "xCC" ] ; then
cc_to=${cc_to:+${cc_to},}$direccion
elif [ "x$mode" = "xbcc" -o "x$mode" = "xBCC" ] ; then
bcc_to=${bcc_to:+${bcc_to},}$direccion
else
mailto=${mailto:+${mailto},}$direccion
fi
done
mailto=${mailto:-operator}
cc_to=${cc_to:+"-c $cc_to"}
bcc_to=${bcc_to:+"-b $bcc_to"}
mail ${cc_to} ${bcc_to} -s "Alerta SSH" ${mailto} >&2 <<-EOM
${que} desde ${donde} el ${cuando}
EOM

#

Este archivo debe tener permisos de lectura para todos los usuarios (# chmod 644 /etc/ssh/sshrc) puesto que se ejecuta con los privilegios del usuario que conecta. No es necesario, ni recomendado, establecer permiso de ejecución en el archivo. Las direcciones de los destinatarios de las alertas se encuentran en otro archivo para facilitar el mantenimiento.

Lo anterior sigue la sintaxis de Bash y asume que en tu sistema /bin/sh es equivalente a /bin/bash (SSH ejecuta este archivo usando /bin/sh). Si no es ése tu caso entonces me temo que no puedo ayudarte, pero se aceptan contribuciones de algún script de shell equivalente :-). Para los detalles de los trucos usados en el script puedes consultar la página del manual del Bash, especialmente la sección "Extensión de parámetros".
# Crear el archivo con la lista de destinatarios, /etc/ssh/notify.

# Lista de destinatarios para las alertas de acceso SSH
#
# Formato:
# direccion[,direccion] [cc|bcc]
#
# Se pueden indicar varias direcciones en distintas lineas o separadas por comas
# Las opciones "cc" y "bcc" marcan la direccion(es) de destino como "Cc:" or
# "Bcc:", respectivamente.
#
# Las lineas en blanco o con # en la columna 1 son ignoradas.
#
# Es importante que la ultima linea del fichero sea una linea en blanco
#
123456789@pagina-de-sms.foo
root@localhost,yomismo@oficina.com bcc

3.

También en este caso el archivo debe tener permisos de lectura para todos los usuarios (# chmod 644 /etc/ssh/notify). Sustituye las direcciones del ejemplo por las direcciones que quieras que reciban las alertas de conexión.

Cuando alguno de los destinatarios sean direcciones SMS, es posible que te interese evitar la opción CC en favor de BCC. De esta forma no se incluyen en el mensaje las direcciones del resto de destinatarios y el SMS se mantiene breve.

Eso es todo. No es necesario reiniciar el servicio SSH.
Comprobación

Conéctate a la máquina vía SSH usando tu método preferido (ssh, PuTTY, sftp, etc.). En poco tiempo, los destinatarios listados en /etc/ssh/notify deberían recibir un mensaje similar a este:

Asunto: Alerta SSH De: stolz@foo.bar Para: admin@midominio.foo Fecha: Hoy 21:42:05 Login de stolz en /dev/pts/2 desde 216.16X.XX.XX el Wed Dec 21 21:42:05 CET 2005

Hay que tener en cuenta que los mensajes SMS pueden tardar varios minutos en llegar, dependiendo de la red de tu proveedor y de la propia disposición del MTA. En caso de ser una intrusión real, sabrías a quién "perseguir" y de dónde vino.

Mandar correos desde la consola de linux

hgeorge123@gmail.com (George Hernandez) — Sun, 12 Apr 2009 16:34:01 PDT

A veces programamos una tarea y no tenemos tiempo de verificar que dicha tarea se cumplio sin ningun error una buena solucion para esto seria programar que el servidor nos mandara un correo con la confirmacion de que la tarea se llevo a cabo sin errores o que dio errores y que errores dio.

Primero que nada instalamos el paquete y lo configuramos

apt-get --reinstall install exim4 exim4-config mailx
dpkg-reconfigure exim4-config

Como lo que nos interesa, de momento, solo es enviar e-mails, y no queremos convertirnos en una fuente de spam, activamos lo mínimo:

- Elegimos NO para no dividir la configuración en pequeños archivos
- Elegimos enviar los correos mediante un SMARTHOST y recibir via SMTP
- Como nombre del sistema elegimos el de nuestra máquina, si queremos.
- Como no vamos a recibir correo dejamos 127.0.0.1 como receptor de SMTP
- Dejamos en blanco otros destinos como correos aceptados
- Dejamos en blanco las máquinas a las que renviamos correo
- En el nombre del smarthost ponemos smtp.gmail.com::587
- En el nombre del correo saliente ponemos en de nuestra máquina, otro que queramos o ninguno.
- NO limitamos las consultas de DNS salientes

Editamos la cuenta de Gmail que hará el relay:

vim /etc/exim4/passwd.client

Añadimos:

gmail-smtp.l.google.com:TuNombreDeCuenta@gmail.com:TuPassword
*.google.com:TuNombreDeCuenta@gmail.com:TuPassword
smtp.gmail.com:TuNombreDeCuenta@gmail.com:TuPassword

/etc/init.d/exim4 restart

Y listo!

Una buena manera de empesar seria por ejemplo esta

cat archivo | mail -s "Asunto" correo@dominio.com

Aqui le estamos diciendo que haga un cat del archivo llamado archivo y lo mande por correo, tambien se le podria decir que mande el resultado de un comando un ejemplo serai el siguiente

df -h | mail hgeorge123@gmail.com -s "Espacio en el disco"

En la linea anterior le estamos diciendo que ejecute la sentencia df -h y el resultado lo mande por correo, si quieren mandar un archivo adjunto aqui les dejo el ejemplo de como deberia de funcionar.

mutt -s "Título del mensaje" -a /ruta/documento.pdf usuario@dominio.com < /ruta/archivodetexto.txt

En este caso, el usuario que posee el correo electrónico usuario@dominio.com recibirá un correo titulado “Título del mensaje”, el texto de este correo será el contenido de archivodetexto.txt, y se incluirá un PDF, documendo.pdf como archivo adjunto.

Compilar servidor web con source code en linux

hgeorge123@gmail.com (George Hernandez) — Tue, 19 Jan 2010 06:02:22 PST

Aveces nesecitamos un servidor web y tenemos dos manera de hacerlo utilizando los paquetes precompilado o compilando tu propia paqueteria en este ejemplo les voy a mostrar como instalar un servidor web con extensiones oci8 para oracle y base de datos mysql ademas de las librerias graficas gd, freetype, t1, jpeg y gif

Primero que nada hay que instalar el apache nos descargamos la ultima version del mismo en formato .tar.gz

tar zxvf httpd-2.2.11.tar.gz

cd httpd-2.2.11

./configure --prefix=/etc/apache2 --exec-prefix=/etc/apache2 --bindir=/usr/sbin --sbindir=/usr/sbin --libexecdir=/etc/apache2/libexec --sysconfdir=/etc/apache2/conf --sharedstatedir=/etc/apache2/com --localstatedir=/etc/apache2/var --libdir=/etc/apache2/lib --datarootdir=/etc/apache2/share --datadir=/etc/apache2/share --infodir=/etc/apache2/share/info --localedir=/etc/apache2/share/locale --mandir=/etc/apache2/man --docdir=/etc/apache2/share/doc/PACKAGE --enable-authn-alias --enable-authn-anon --enable-authn-dbm --enable-auth-digest --enable-ext-filter --enable-deflate --enable-log-config --enable-env --enable-mime-magic --enable-cern-meta --enable-expires --enable-headers --enable-usertrack --enable-unique-id --enable-setenvif --enable-proxy --enable-proxy-connect --enable-proxy-ftp --enable-proxy-http --enable-ssl --enable-dav --enable-status --enable-autoindex --enable-asis --enable-info --enable-cgi --enable-dav-fs --enable-vhost-alias--enable-negotiation --enable-dir --enable-actions --enable-speling --enable-userdir --enable-alias --enable-rewrite --enable-so --enable-mods-shared=all --enable-substitute --enable-echo

make

make install

Con esto ya tenemos nuestro apache instalado y listo para funcionar ahora procedemos a instalar las librerias necesarias para los graficos y el oci8

tar zxvf jpegsrc.v6b.tar.gz

cd jpeg-6b

./configure --prefix=/usr/local/jpeg --exec-prefix=/usr/local/jpeg --bindir=/usr/local/jpeg/bin --sbindir=/usr/local/jpeg/sbin --libexecdir=/usr/local/jpeg/libexec --datadir=/usr/local/jpeg/share --sysconfdir=/usr/local/jpeg/etc --sharedstatedir=/usr/local/jpeg/com --localstatedir=/usr/local/jpeg/var --libdir=/usr/local/jpeg/lib --enable-shared --enable-static

make

make install

Cuando esta ejecutando el make install el da uns errores pero esos errores es porque no puede crear los directorios a donde se va a instalar lo uq ehay que hacer es agarrar las direcciones de los directorios y crearlas hasta que deje de dar error

tar zxvf t1lib-5.1.2.tar.gz

cd t1lib-5.1.2

./configure --prefix=/usr/local/t1 --exec-prefix=/usr/local/t1 --bindir=/usr/local/t1/bin --sbindir=/usr/local/t1/sbin --libexecdir=/usr/local/t1/libexec --datadir=/usr/local/t1/share --sysconfdir=/usr/local/t1/etc --sharedstatedir=/usr/local/t1/com --localstatedir=/usr/local/t1/var --libdir=/usr/local/t1/lib --with-x --with-gnu-ld --with-pic

make

make install

tar zxvf freetype-2.3.8.tar.gz

cd freetype-2.3.8

./configure --prefix=/usr/local/freetype --exec-prefix=/usr/local/freetype --bindir=/usr/local/freetype/bin --sbindir=/usr/local/freetype/sbin --libexecdir=/usr/local/freetype/libexec --sysconfdir=/usr/local/freetype/etc --sharedstatedir=/usr/local/freetype/com --localstatedir=/usr/local/freetype/var --libdir=/usr/local/freetype/lib --enable-biarch-config --with-old-mac-fonts --with-fsspec --with-fsref --with-quickdraw-toolbox --with-quickdraw-carbon --with-ats --with-pic --with-gnu-ld

make

make install

unzip instantclient-basic-linux32-10.2.0.1-20050713.zip
unzip instantclient-sdk-linux32-10.2.0.1-20050713.zip

Luego creas una carpeta en la siguiente ruta mkdir -p /opt/oracle/instantclient que es donde el oci8 va a leer las liberias después de esto el procedimiento es el siguiente:

mv instantclient_10_2/* /opt/oracle/instantclient/
cd /opt/oracle/instantclient/
ln -s libclntsh.so.10.1 libclntsh.so
ln -s libocci.so.10.1 libocci.so

echo /opt/oracle/instantclient >> /etc/ld.so.conf
ldconfig

tar zxvf oci8-1.3.4.tgz

cd oci8-1.3.4

phpize

./configure --with-oci8=shared,instantclient,/opt/oracle/instantclient

make

make install

Con esto ya tenemos todas las librerias graficas necesarias las gd no las vamos a compilar porque ella vienen nativas en casi todas las distribuciones entonces procedemos a compilar el php

tar zxvf php-5.2.8.tar.gz

cd php-5.2.8

./configure --with-apxs2=/usr/sbin/apxs --enable-mod-charset --enable-fastcgi --enable-debug --enable-sigchild --enable-magic-quotes --with-oci8=instantclient,/opt/oracle/instantclient --with-zlib-dir --with-jpeg-dir=/usr/local/jpeg --enable-ftp --with-gd --enable-gd-native-ttf --enable-sysvshm --enable-sysvsem --with-mysql --with-freetype-dir=/usr/local/freetype --with-zlib --with-mm --with-curl --enable-debug --enable-safe-mode --enable-sigchild --enable-libgcc --disable-ipv6 --enable-dba --enable-calendar --enable-dbase --enable-exif --enable-gd-jis-conv --enable-mbstring --enable-shmop --enable-soap --enable-sqlite-utf8 --enable-zip --enable-magic-quotes --enable-wddx --with-iconv --with-gettext --enable-bcmath --with-bz2 --with-t1lib=/usr/local/t1/ --with-mime-magic --with-openssl --with-pdo-mysql --with-mysqli --enable-sysvmsg

make

make install

Con esto ya tenemos nuestro servidor web casi listo solo nos falta cagarles las extensiones de php al apache y lo hacemos de la siguiente manera

vi /etc/apache2/conf/httpd.conf

Agregamos al final del archivos las siguientes lineas

AddType application/x-httpd-php .php .phtml
AddType application/x-httpd-php-source .phps

Ya con esto esta listo nuestro servidor si queremos revisar si cargo todos los modulos creamos un info.php de la siguiente manera

vi /etc/apache2/share/htdocs/info.php

dentro de este archivo agregamos estas lineas

phpinfo();
?>

abrimos un navegador y escribes eta direccion http://tuip/info.php

Cambiar ruta de base de datos de mysql

hgeorge123@gmail.com (George Hernandez) — Sun, 01 Feb 2009 16:12:53 PST

A veces se llena el filesystem donde tenenmos alojada la base de datos aqui les pongo una manera de como cambiar la ruta de la base de datos con sus respectivos permisos y usuarios

mysql_install_db --datadir=/ruta/donde/quieras
chown -R mysql.mysql /ruta/donde/quieras
mysqld_safe --datadir=/ruta/donde/quieras --user=root &

Con esto ya tendremos nuestra base de datos en otro filesystem y funcionando correctamente.

Configurar fecha y hora normal del equipo y fecha UTC en Linux

hgeorge123@gmail.com (George Hernandez) — Sat, 11 Apr 2009 16:54:47 PDT

Cuando se instalar un servidor web y una base de datos algunos programadores juegan con el formatipo o tipo de fechas para guardar y hacer busquedas en la base de datos la manera para solucionar esto es la siguiente primero verificamos la fecha y la hora actual del sistema de la siguiente manera

date

Esto nos arrojar la hora y fecha actual del sistema en que caso de que este mala la cambiamos de la siguiente manera

date --set "2009-01-30 22:35"

El orden en el cual esta es año-mes- dia hora:minutos

Despues de esto verificamos la fecha y hora UTC de la siguiente manera

date -u

Esto nos va fecha y hora del sistema operativo pero en realidad nos interesa es la fecha nada mas en caso de estar mala la modificamos de la siguiente manera

date --utc 01302236

El orden de esto es MMDDhhmm que es igual a mes dia hora y minuto.

Borrar la clave de root de base de datos mysql

hgeorge123@gmail.com (George Hernandez) — Wed, 28 Jan 2009 06:13:31 PST

Para borrar la clave del root del mysql

killall mysqld
mysqld_safe --skip-grant-tables &
mysql -u root mysql
mysql> UPDATE user SET Password=PASSWORD('nueva_contraseña') \
WHERE User='root'; FLUSH PRIVILEGES; \q
killall mysqld

Con esto ya esta listo solo vasta con arrancar el servico nuevamente y ya.

Hacer ssh sin clave

hgeorge123@gmail.com (George Hernandez) — Tue, 19 Jan 2010 06:02:40 PST

Cuando tenemos varios servidores y tenemos que pasarnos de uno a otro a cada rato resulta molesto tener que estar metiendo la clave a cada rato o simplemente para programar un rsync para esto podemos poner que para pasarnos de unservidor a otro no nos pida clave pero esto es bueno hacerlo en un solo centido no poner que que se pase de un servidor a otro y despues de eso servidor tambien pueda retornar por ssh sin clave.

Una manera de hacerlo seria la siguiente

ssh-keygen -t rsa

En este punto nos hara una serie de preguntas el cual le damos a todas enter sin escribir nada, luego de haber terminada con este paso copiamos la clave publica al otro o otros servidores a los cuales queremos acer ssh sin tener que estar escribinedo la clave de la siguiente manera

ssh-copy-id -i /root/.ssh/id_rsa.pub root@xxx.xxx.xxx.xxx

Hay nos va a pedir una clave esa clave es la del servidor a donde estamons intentando copiar el archivo con esto ya deberiamos de poder hacer ssh sin que nos pida clave.

Saber que modulos estan cargados en el apache de nuestro servidor web

hgeorge123@gmail.com (George Hernandez) — Sat, 11 Apr 2009 17:05:24 PDT

Para saber que modulos estan cargados en tu servidor web solo vasta con crear un archivo en el home del apache info.php el cual va a conetener algo como esto

// Muestra toda la información, por omisión INFO_ALL
phpinfo();

?>

Luego te metes en un explorador y escribes http://tuip/info.php y listo.

Cambiarle la clave a root si se te olvido

hgeorge123@gmail.com (George Hernandez) — Fri, 26 Dec 2008 06:18:40 PST

En lilo
Al encender la maquina y cuando aparece el menu gráfico de lilo en pantalla, teclea control+x ó control+c para ir al modo texto; verás lo siguiente:

boot:

escribe linux single y presiona enter.
boot: linux single

Esto cargará los elementos minimos del sistema, te dejará en el prompt del bash# y ahí podrás ejecutar passwd

bash# passwd
Passwd: NuevoPasswordDeRoot

Con eso estarás asignando un nuevo password a la cuenta de root, ya tienes cuenta de root.
Reincia el sistema y ten en cuenta que el resto depende de ti... ya sea bueno o malo.

En grub
El cargador por excelencia [desde mi punto de vista] es grub, veamos primero como se explota el agujero:

Cuando sale el menu de opciones, dice algo asi:
Use the ↑ and ↓ keys to select which entry is highligted. Press 'e' to edit the commands before booting....

Selecciona la entrada de Linux y presiona la tecla e para editar la entrada, te mostrará algo asi:

grub editing>
root (hd0,0)
kernel /vmlinuz-2.4.18.3 ro root=/dev/hda3
initrd /initrd-2.4.18-3.img

Elige la linea del kernel; al final agrega lo siguiente: single y presionas enter.

Quedaría así:
kernel /vmlinuz-2.4.18.3 ro root=/dev/hda3 single

Presiona b para bootear.

Esto cargará los elementos minimos del sistema, te dejará en el prompt del bash# y ahí podrás ejecutar passwd bla bla bla.. igual que en el anterior.

Muy bien, ya vimos como pedir prestada la cuenta de root.

GRUB - protegido con contraseña

hgeorge123@gmail.com (George Hernandez) — Tue, 23 Dec 2008 17:10:36 PST

El gestor de arranque GRUB permite hacer operaciones muy sensibles, como por ejemplo, modificar el dispositivo desde el que arranca el sistema o arrancar sin tener la contraseña de root (administrador). Para evitar esto, tienes la posibilidad de protoger GRUB con su propia contraseña.

Grub soporta dos formas diferentes para añadir una contraseña de acceso a su fichero de configuración. La primera usa texto sin cifrado, mientras que la segunda utiliza cifrado md5

Para ponerle una contraseña debes hacer lo siguiente (como root):

La primera opción usa texto sin cifrado

En el parámetro password escribimos la contraseña
que queramos usar,en este ejemplo usamos cambiame.

password cámbiame
Lo pegamos en el fichero /boot/grub/menu.lst antes de la lista de entradas de arranque,
o bien lo podemos poner en una entrada de arranque para proteger dicha entrada.

Ejemplo real :
password cambiame

Ejemplo en el grub en una entrada de arranque protegida:
title Debian GNU/Linux, con barra de progreso kernel 2.6.18-4-k7
password cambiame
root (hd1,0)
kernel /boot/vmlinuz-2.6.18-4-k7 root=/dev/hdb1 ro quiet splash vga=792
initrd /boot/initrd.img-2.6.18-4-k7
savedefault

La segunda opción utiliza cifrado --md5

En una consola y como root escribimos el siguiente comando
# grub-md5-crypt

Te pedirá una contraseña y su verificación (en nuestro ejemplo es cambiame), como resultado te dará un puñado de caracteres, los copias, los pegas en el fichero /boot/grub/menu.lst antes de la lista de entradas de arranque añade:
password --md5 $1$QJ.y0$KZfBdWPyEOPwd6vnsX77H/

Ahora cuando arranque grub sólo te permitirá seleccionar una entrada de arranque,
o pulsar 'p' para introducir la clave y a partir de ahí
tendrás acceso total para hacer lo que quieras.

Por cierto, si en alguna entrada de arranque pones 'lock'
te pedirá la misma contraseña del grub para poder usar dicha entrada,
o bien ponemos una entrada -md5 diferente,
eso es a gusto de cada uno.

Lo pegamos en el fichero /boot/grub/menu.lst
antes de la lista de entradas de arranque,
o bien lo podemos poner en una entrada de arranque
para proteger dicha entrada.

Ejemplo en el grub antes de la lista de entradas de arranque:

password --md5 $1$xf3y0$ak/xghHtCR0Z2RDRixnwS.

Ejemplo en el grub en dos entradas de arranque:

title Debian GNU/Linux, con barra de progreso kernel 2.6.18-4-k7
password --md5 $1$QJ.y0$KZfBdWPyEOPwd6vnsX77H/
root (hd1,0)
kernel /boot/vmlinuz-2.6.18-4-k7 root=/dev/hdb1 ro quiet splash vga=792
initrd /boot/initrd.img-2.6.18-4-k7
savedefault

title Debian GNU/Linux, con barra de progreso kernel 2.6.18-4-k7
lock
root (hd1,0)
kernel /boot/vmlinuz-2.6.18-4-k7 root=/dev/hdb1 ro quiet splash vga=792
initrd /boot/initrd.img-2.6.18-4-k7
savedefault

Detectar mas de 3 Gigas de ram en debian o ubuntu

hgeorge123@gmail.com (George Hernandez) — Fri, 19 Dec 2008 16:21:24 PST

Cuando instalas un servidor o estacion de trabajo con linux debian este no detecta mas de 3 o 4 gigas de memoria ram y si tienes mas pierdes el resto una manera facil de resolver eso en debian o ubuntu es de la siguiente manera

Instálate otro kernel que soporte para más de 4 Gigas que tienes:

apt-get install linux-image-2.6-686-bigmem

Normalmente, con el Etch a secas sin haber actualizado el paquete del kernel, te va a instalar el linux-image-2.6-486, que es el que te indica que tengas tan sólo un giga de RAM.

Una vez hecho eso, borra ese kernel:

apt-get --purge remove linux-image-2.6-486

Con esto ya tenemos listo nuestro servidor o equipo para verificar que eso sea cierto escribe lo siguiente orden en la consola

cat /proc/meminfo

Hay veras cuanta memoria ram esta detectando tu equipo y para verificar el procesador o procesadores

cat /proc/cpuinfo

En caso de que tengas mas de uno y no lo detecte instalar el soporte smp para el kernel.

Servidor DHCP

hgeorge123@gmail.com (George Hernandez) — Thu, 04 Dec 2008 12:38:40 PST

El siguiente texto trata de explicar como configurar un servidor dhcp en linux cualquier distribucion debian y ubutu si los instalas basico sin nada basta solo con hacer apt-get install dhcp o apt-get install dcpd y se instala el software las otras distribuciones seleccionas el paquete cuando estas instalando el sistema operativo o lo compilar en el suspuesto de que ya este instalado el sistema operativo.

Para poner a funcionar nuestro servidor dhpc solo hay que configurar un archivo que se encuentra en /etc/dhcpd.conf ó /etc/dhcpd/dhcpd.conf con modificar este archivo vastara.

Aqui le pongo a continuacion el archivo ya configurado como quedaria

#
# Configuración del Servidor DHCP
# HECHO POR: GEORGE
# VERSIÓN DEL DHCP: "PIENSALO BIEN ANTES DE HACER ALGO"

ddns-update-style none;

# Identificador de dominio y resolución de DNS
##option domain-name tc.com.ve;
option domain-name-servers 192.168.0.253;

default-lease-time 600;
max-lease-time 7200;

# Intervalo de prioridad de registro de Eventos (LOG)

log-facility local7;

# Especificación de sub-redes en EMPRESA X (DHCP)

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.1 192.168.10.250;
option routers 192.168.0.253;
}

# Opción del broadcast para las PC'S

option broadcast-address 192.168.0.255;

#############################################################################
# Estrcutura de las maquinas en Red fijas en DHCP #
# Esta es la parte donde se especifica los equipos que van a tener IP FIJA #
#############################################################################

host nombre_de_equipo {
fixed-address 192.168.0.166;
hardware ethernet 0:0:c0:5d:bd:95;

Crear Raid por software

hgeorge123@gmail.com (George Hernandez) — Mon, 03 Nov 2008 10:07:40 PST

Crear RAID 0 y RAID 1 con mdadm

Preparar el disco duro

Se va a crear un RAID-0 o un RAID-1. Para RAID-5 necesitará añadir más discos. Cree una particion en cada disco con el máximo tamaño:

Hay que hacer los mismos pasos para todos los discos que vayan a formar el RAID:

#fdisk /dev/dispositivo (hda, hdb, sda,sdb, etc...)
d y nº partición para borrar todas las existentes.
n para crear una nueva, p para decirle que es primaria y
1 para decirle que es la1ª.
t para indicar el tipo, fd que es el que corresponde a Linux RAID autodetect
w para escribir los cambios en la tabla del disco y salir

Device Boot Start End Blocks Id System
/dev/hda1 1 79780 40209088+ fd Linux raid autodetec

RAID-0 (¡sin redundancia!)

Use mdadm para crear un RAID-0:

mdadm --create /dev/md0 --chunk=64 --level=raid0 --raid-devices=2 /dev/hda1 /dev/hdc1

# cat /proc/mdstat
Personalities : [raid0]
read_ahead 1024 sectors
md0 : active raid0 hdc1[1] hda1[0]
80418048 blocks 128k chunks

RAID-1 (¡con redundancia!)

Use mdadm para crear un RAID-1:

mdadm --create /dev/md0 --chunk=64 --level=raid1 --raid-devices=2 /dev/hda1 /dev/hdc1

# cat /proc/mdstat
Personalities : [raid0] [raid1]
read_ahead 1024 sectors
md0 : active raid1 hdc1[1] hda1[0]
40209024 blocks [2/2] [UU]
[>....................] resync = 0.7% (301120/40209024) finish=17.6min speed=37640K/sec

Antes de reiniciar tiene que esperar a que se complete la sincronización

Guarde la información de los arrays recien creados

# mdadm --detail --scan >> /etc/mdadm.conf
# cat /etc/mdadm.conf
DEVICE /dev/hd* /dev/sd*
ARRAY /dev/md0 level=raid1 num-devices=2 UUID=d876333b:694e852b:e9a6f40f:0beb90f9

Obtener información sobre los dispositivos RAID y los discos
Mostrar el estado actual de los dispositivos raid

cat /proc/mdstat

Salida de un RAID-1 degradado con un disco que falla:

Personalities : [raid0] [raid1]
read_ahead 1024 sectors
md0 : active raid1 hdc1[2](F) hda1[0]
40209024 blocks [2/1] [U_]
unused devices:

Salida de un RAID-1 degradado con un disco quitadoi:

Personalities : [raid0] [raid1]
read_ahead 1024 sectors
md0 : active raid1 hda1[0]
40209024 blocks [2/1] [U_]
unused devices:

Salida de un RAID-1 recostruyéndose:

Personalities : [raid0] [raid1]
read_ahead 1024 sectors
md0 : active raid1 hdc1[2] hda1[0]
40209024 blocks [2/1] [U_]
[=======>.............] recovery = 37.1% (14934592/40209024) finish=11.7min speed=35928K/sec
unused devices:

Obtener más detalles sobre los dispositivos RAID

# mdadm --query /dev/md0
/md0: 38.35GiB raid1 2 devices, 3 spares. Use mdadm --detail for more detail.
/dev/md0: No md super block found, not an md component.

# mdadm --detail /dev/md0
/dev/md0:
Version : 00.90.00
Creation Time : Mon Jan 20 22:53:28 2003
Raid Level : raid1
Array Size : 40209024 (38.35 GiB 41.22 GB)
Device Size : 40209024 (38.35 GiB 41.22 GB)
Raid Devices : 2
Total Devices : 2
Preferred Minor : 0
Persistence : Superblock is persistent

Update Time : Tue Jan 21 00:49:47 2003
State : dirty, no-errors
Active Devices : 2
Working Devices : 2
Failed Devices : 0
Spare Devices : 0

Number Major Minor RaidDevice State
0 3 1 0 active sync /dev/hda1
1 22 1 1 active sync /dev/hdc1
UUID : d876333b:694e852b:e9a6f40f:0beb90f9

Obtener más detalles sobre los discos

# mdadm --query /dev/hda1
/dev/hda1: is not an md array
/dev/hda1: device 0 in 2 device active raid1 md0....

# mdadm --query /dev/hdc1
/dev/hdc1: is not an md array
/dev/hdc1: device 1 in 2 device active raid1 md0....

Administrar dispositivos RAID (RAID-1 y superiores)

Configurando el fallo de un disco:

# mdadm --fail /dev/md0 /dev/hdc1

Quitando un disco que falla de un array:

# mdadm --remove /dev/md0 /dev/hdc1

Borrando cualquier información de un raid anterior de un disco

# mdadm --zero-superblock /dev/hdc1

Agragar un disco al array

# mdadm --add /dev/md0 /dev/hdc1

Programar tareas en linux crontad

hgeorge123@gmail.com (George Hernandez) — Mon, 21 Jul 2008 06:06:48 PDT

Al igual que en linux existe un programador de tares que se llama crontad solo que es un poco distinto la manera de trabajar con el esto con respecto a windows que es mucho mas facil de entender aqui es un poco mas complejo aqui les pongo un ejemplo de tareas con crontad

0 4 * * * /usr/bin/date # Todos los días a las 04:00 de la mañana

Este muestra la hora y fecha todos los dias a las cuatro de la mañana

Los parametros para trabajar con el crontad son los siguientes

mm : Minuto dentro de la hora (0-59)
hh : Hora del día (0-23)
dd : Día del mes (1-31)
MM : Mes del año (1-12)
ss : Día de la semana (0-6, Domingo=0)
Comandos : Secuencia de comandos a ejecutar, deben ir separados con ";", pudiéndose redireccionar tanto la salida estándar como la de errores hacia algún archivo (2>&1).

$ crontab -l # lista las tareas en el cron del usuario
$ crontab -e # edita el archivo cron del usuario
$ crontab mi_archivo # activa mi_archivo como archivo cron del usuario

Con esto ya debemos de tener para programar nuestras tareas en linux

Cómo ocultar la versión de PHP y apache en un servidor web

hgeorge123@gmail.com (George Hernandez) — Fri, 09 Jan 2009 15:23:17 PST

Para poner un pocos mas de seguridad en nuestro web server podriamos hacer unos pequeños ajustes

Para ocultar la version e apache seria modificar o agregar en el caso de que no existan estas dos lineas en el archivo de configuracion de apache en debian es /etc/apache2/apache2.con

ServerSignature Off
ServerTokens Prod

Con esto esta listo ya no veran la versión de apache que se muestra con algunos errores o cuando entran por ip o algo parecido

Para ocultar la versión de php es muy simple tambien

Para ocultarlo, basta con ir al fichero php.ini, y poned a “off” la línea “expose_php = On”. Esta línea viene activada en la mayoría de las distribuciones, y en las compilaciones de PHP.

Configuración de servidor https Debian etch 4.0 ó Ububtu Server 7.0

hgeorge123@gmail.com (George Hernandez) — Sun, 20 Jul 2008 09:11:43 PDT

Muchas veces queremos poner que las paginas de nuestro servidor web sean https pero no contamos con dinero suficiente para para comprar los certificados entonces recurrimos a los gratuits aqui les pongo un buen ejemplo de como implanar uno suponiendo que ya tenemos el servidor andando sino aqui tambien hay una manual de como montarlo.

Instalaremos openssl:

apt-get install openssl ssl-cert

Para activar el mod ssl tecleamos:

a2enmod ssl

Esto nos dira que debemos reiniciar el apache lo hacemos de la siguiente manera

/etc/ini.d/apache2 forece-reload

Con esto ya esta activado el mod ssl

openssl req $@ -new -x509 -days 365 -nodes -out /etc/apache2/apache.pem -keyout /etc/apache2/apache.pem

Con esto le estamos diciendo que cree un certificado el cual durara 365 dias se va a llamar apache.pem y los va a guardar en /etc/apache2/ luego cambiamos los permisos del fichero

chmod 600 /etc/apache2/apache.pem

Y por útlimo editamos la configuración del servidor Apache, primero el fichero /etc/apache2/ports.conf y añadimos la siguiente línea:

Listen 443

Luego creamos los host virtuales de la siguiente manera para que cuando lso usuarios entren http los redireccione a https

Redirect / https://midominio.com
ServerName midominio.com

SSLEngine on
SSLCertificateFile /etc/apache2/apache.pem
DocumentRoot /var/www/mipagina
ServerName midominio.com

Reiniciamos el apache

/etc/init.d/apache2 restart

Y listo ya tenemos nuestro servidor web montado con https.