usbip es un proyecto bastante interesante. Nos permite compartir cualquier dispositivo usb conectado en un equipo para que lo pueda gestionar otro. Puede ser bastante útil para compartir cierto hardware con máquinas virtuales.

Su instalación y configuración en openSuse viene a ser bastante sencilla:

El servidor

Instalación:

zypper install usbip

El software usbip lee la lista de dispositivos conocidos en la ruta /usr/share/hwdata pero en realidad está /usr/share/usbip/ así que con hacer un enlace a dicho archivo bastaría

mkdir /usr/share/hwdata
ln -sf /usr/share/usbip/usb.ids /usr/share/hwdata/

Cargamos los módulos necesarios en el kernel:

modprobe usbip
modprobe usbip_common_mod

Podemos verificar si todo está correcto:

lsmod | grep usbip

Nos saldría algo como:

server:~ # lsmod | grep usbip
usbip                  21540  0
usbip_common_mod       25232  1 usbip
server:~ #

Para hacer automática la carga del módulo al iniciar el sistema podemos añadirlo a la línea MODULES_LOADED_ON_BOOT=”usbip usbip_common_mod” del archivo /etc/sysconfig/kernel

Si hemos añadido la “auto-carga” de dicho módulo, es recomendable ejecutar un:

SuSEconfig

Para iniciar el demonio de usbip, ejecutaremos:

usbipd -D

Nos reportará algo así:

Bind usbip.ko to a usb device to be exportable!

A partir de este momento, ya tenemos el demonio funcionando para compartir el dispositivo.
Sólo nos queda indicarle el dispositivo que deseamos compartir. Para saber el dispositivo a compartir, podemos usar lsusb:

server:~ # lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 003: ID 05ac:9130 Apple, Inc.
Bus 001 Device 004: ID 058f:6362 Alcor Micro Corp. Hi-Speed 21-in-1 Flash Card Reader/Writer (Internal/External)
Bus 001 Device 005: ID 05e3:0718 Genesys Logic, Inc.
Bus 001 Device 006: ID 05ac:9222 Apple, Inc.
Bus 001 Device 007: ID 04d9:0499 Holtek Semiconductor, Inc.
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 002: ID 046d:08f0 Logitech, Inc. QuickCam Messenger
server:~ #

En principio, compartiré un disco duro usb (05e3:0718 Genesys Logic, Inc.) y la webcam logitech (046d:08f0 Logitech, Inc. QuickCam Messenger).
Con el comando bind_driver –list, listaremos los dispositivos que se permiten compartir:

server:~ # bind_driver --list
List USB devices
 - busid 1-2 (05ac:9130)
         1-2:1.0 -> hub                                                                                                                                                                                              
 
 - busid 1-3 (058f:6362)
         1-3:1.0 -> usb-storage                                                                                                                                                                                      
 
 - busid 1-5 (05e3:0718)
         1-5:1.0 -> usb-storage                                                                                                                                                                                      
 
 - busid 2-1 (046d:08f0)
         2-1:1.0 -> STV06xx
         2-1:1.1 -> snd-usb-audio
         2-1:1.2 -> snd-usb-audio                                                                                                                                                                                    
 
 - busid 1-2.2 (05ac:9222)
         1-2.2:1.0 -> usbhid
 
 - busid 1-2.3 (04d9:0499)
         1-2.3:1.0 -> usbhid
 
server:~ #

Para enlazar dichos dispositivos:

bind_driver --usbip 1-5
bind_driver --usbip 2-1

De momento, si tenemos el cortafuegos funcionando, recomiendo detenerlo para comprobar su funcionamiento y después configurarlo para permitir acceso al puerto 3240 en TCP:

netstat -putan | grep usbipd

El cliente

Instalación:

zypper install usbip

Volvemos a enlazar bien el archivo usb.ids en la ruta correcta:

mkdir /usr/share/hwdata
ln -sf /usr/share/usbip/usb.ids /usr/share/hwdata/

Cargamos los módulos necesarios:

modprobe vhci-hcd

Comprobando…

lsmod | grep vhci_hcd

client:~ # lsmod | grep vhci_hcd
vhci_hcd               26576  0
usbip_common_mod       25232  1 vhci_hcd
client:~ #

Para establecerlo como auto-inicio editaremos el archivo /etc/sysconfig/kernel y actualizar MODULES_LOADED_ON_BOOT=”vhci-hcd”

Si hemos establecido el auto-inicio

SuSEconfig

Ahora listamos los dispositivos compartidos del equipo servidor:

client:~ #usbip -l 192.168.10.5
- 192.168.10.5
     1-5: Genesys Logic, Inc. : unknown product (05e3:0718)
        : /sys/devices/pci0000:00/0000:00:02.1/usb1/1-5
        : (Defined at Interface level) (00/00/00)
        :  0 - Mass Storage / SCSI / Bulk (Zip) (08/06/50)
 
     2-1: Logitech, Inc. : QuickCam Messenger (046d:08f0)
        : /sys/devices/pci0000:00/0000:00:02.0/usb2/2-1
        : Vendor Specific Class / Vendor Specific Subclass / Vendor Specific Protocol (ff/ff/ff)
        :  0 - Vendor Specific Class / Vendor Specific Subclass / Vendor Specific Protocol (ff/ff/ff)
        :  1 - Audio / Control Device / unknown protocol (01/01/00)
        :  2 - Audio / Streaming / unknown protocol (01/02/00)
 
client:~ #

Lógicamente, sustituiremos con la ip del equipo servidor.

Para conectar los dispositivos:

client:~ #usbip -a 192.168.10.5 1-5
8 ports available
 
port 0 attached
client:~ # usbip -a 192.168.10.5 2-1
8 ports available
 
port 1 attached
linux-gqss:~ #

Comprobamos…

linux-gqss:~ # lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 005 Device 004: ID 05e3:0718 Genesys Logic, Inc.
Bus 005 Device 005: ID 046d:08f0 Logitech, Inc. QuickCam Messenger
linux-gqss:~ #

Pruebas y conclusiones

Las pruebas, sinceramente, son bastante escasas. Tras intentar varias veces la configuración de la webcam, no pude hacerla funcionar correctamente. Sólo se mostraba una imagen verde (aunque puede ser debido a los problemas que tengo en el equipo cliente con el driver nvidia).

Sobre el disco duro usb, en una hora aproximada de pruebas, funcionó perfectamente.
Calculé la transferencia media y resultó en 7.143 Mb/s. No es mala transferencia para unas tarjetas de red a 100 Mbits, pero he de decir que las pruebas de transferencia por nfs superan el rendimiento (alrededor de 9.5 Mb/s de media).

El proyecto usbip, ha liberado una etapa bastante temprana del cliente para windows, por lo levanté una máquina virtual y me puse a “trastear”. A pesar de listar los dispositivos, reiteró varios errores al hacer la conexión.

Fuentes:
http://www.howtoforge.com/how-to-set-up-a-usb-over-ip-server-and-client-with-opensuse-11.2

Para el código que se ejecuta con el servidor web suele ser útil deshabilitar funciones de PHP que no queremos usar. El problema es que seguramente la parte de la aplicación que ejecutamos periódicamente (con el cron por ejemplo) tendrá unos requerimientos diferentes.

Para poder ejecutar los procesos (mailings, calculos varios…) podemos indicar que se use un php.ini diferente mediante el parámetro -c:

php -c /etc/php.procesos.ini proceso.cualquiera.php

Mediante este comando indicamos a php que ejecute el script proceso.cualquiera.php usando la configuración presente en el fichero /etc/php.procesos.ini. En este fichero podremos ser más permisivos sin afectar a las restricciones del servidor web.

vía Ejecutar scripts en php con un php.ini diferente | systemadmin.es.

1) Abrir el fichero /etc/vz/vz.conf

2) Comentar la actual linea de IPTABLES= y añadir lo siguiente:

IPTABLES="ipt_REJECT ipt_recent ipt_owner ipt_REDIRECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"

Salvamos el fichero y reiniciamos el servicio vz (al reiniciar el servicio de virtualización, para y vuelve a iniciar las máquinas virtuales funcionando bajo openVZ):

/etc/init.d/vz restart

Si todo fue bien, ya podemos usar iptables en las vps.

vía Habilitar iptables para los containers OpenVZ en Proxmox | LeopoldoMaestro.COM.

ClearOS es una distribución GNU/Linux deribada de ClarkConnect (la cual deriba de Red Hat) que a diferencia de esta, presume de ser “más libre” y poseer algunas características no disponibles en la versión libre de ClarkConnect. En cierto modo, ClearOS parte de ClarkConnect pero en vez de mantener el hilo principal deribado de Red Hat, lo hace de CentOS.

ClearOS está muy enfocada en su utilización como router gateway (puerta de enlace), servidor proxy, dns, firewall… muy al estilo de ipcop o cualquiera de las distribuciones que repasamos en el artículo Router, firewall, proxy… bajo una máquina potente o poco potente.

Pero al igual que eBox Plataform, está mucho más orientada a ofrecer muchos más servicios muy adecuados para PYMES (pequeñas y medianas empresas).

Entre los servicios más destacados de ClearOS (aparte de los ya nombrados) encontramos:

• Escaneo de virus y spam a través de la pasarela de paso para tráfico http así como imap, pop y smtp (parecido al plugin copfilter de ipcop).
• Filtrado de contenidos/protocolos a través de proxy de una manera realmente fácil y rápida.
• Firewall sencillo con detección de intrusiones.
• Servidor LDAP con autenficación de SAMBA como PDT (muy fácilmente configurable).
• Sistema de impresión (CUPS) y recursos compartidos (sistema de ficheros e impresoras) a través de SAMBA.
• Servidor FTP (ProFTPD), WEB (apache 2 con módulo de php) y MySQL con administración a través del proyecto phpMyAdmin.
• Servidor de correo electrónico (postfix) con soporte de captura de correo de otras cuentas (maildrop), SMTP, POP y WebMail.
• Sistema de backup de configuración del servidor (tanto local como remotamente en el servidor del proyecto).
• Informes de logs sobre cada uno de los servicios.

Para activar ciertos servicios, necesitamos crear una cuenta en www.clearcenter.com. Si optamos por crear una cuenta con suscripción, tendremos algunas características más (como la vpn con ip dinámica o un espacio de almacenamiento para backups).

El sistema se nota bastante robusto aunque algo pesado. Las traducciones a español son incompletas y aunque presume de ser estable, he encontrado algunos errores en la interface.

¿Críticas e impresiones? Allá vamos:

Integrar de una forma bastante notable y consistente todas las autentificaciones de servicios bajo LDAP es algo bastante cómodo y con cierta fiabilidad y escalabilidad.

El sistema de correo parece que funciona correctamente, pero creo que deberían haber hecho más incapié en integrar un groupware. Es una verdadera lástima que no venga integrado de serie ya que es la mejor manera de centralizar notas, contactos, calendarios…

A pesar de ser una distribución orientada totalmente a servidor, no he encontrado ninguna versión de 64 bits, algo que la verdad no comprendo.

Se hecha en falta algunas características bastante buenas para el servidor proxy (squid) como un cacheador para las actualizaciones de los sistemas operativos (como el módulo Update Accelerator para IpCop).

Un sistema de centralización de backups para los equipos de la red de forma que se instale un ligero demonio o servicio en cada equipo y el servidor sea el encargado de realizar dichos backups.

Básicamente, son los detalles que he echado en falta para implantar una “solución completa” para PYMES.

Por cierto, respecto a la instalación, un asistente con pocos y sencillos pasos. Nada donde perderse la verdad. Para acceder a la administración, https en el puerto 81.

nMap es una muy buena herramienta para escaneo de recursos en la red. Entre muchas utilidades para auditorias incluye un par de características muy interesantes; la posibilidad de escanear equipos en un rango de red y escanar los puertos de dichos equipos (o uno sólo).

Su instalación en openSuse viene a ser bien sencilla:

zypper install nmap

A pesar de ser una herramienta de consola, bastaría con hacerse una “chuletilla” con los parámetros más habituales:

• -sS =>Básicamente, un escaneo de puertos TCP.
• -sU => Escaneo de puertos UDP.
• -sP => Comprobación de ping a los hosts (opción por defecto).
• -p [1-65535] => rango de puertos a escanear.
• -A => Detección del software utilizado en el puerto de escucha (opción por defecto).
• -F => Escaneo rápido.
• -NP => Omite la comprobación de ping.

Hay bastantes más parámetros y opciones pero para una comprobación rápida son más que suficientes.

El formato de uso es:

nmap [parámetros] ip_del_host => para un sólo host.

nmap [parámetros] rango_ip/máscara_octal => para un rango de ip.

Si no se especifica un rango de puertos, se utilizan los “más típicos” (denominados ‘well know’).

Los estados de puerto que notifica:

• open => El puerto es accesible y hay un servicio escuchando tras el.
• closed => El puerto es accesible pero no hay un servicio escuchando tras el.
• filtered => El puerto no es accesible normalmente debido a que un cortafuegos lo está filtrando.

Bueno, pasemos a los ejemplos:

• Escanear los puertos “típicos” rápidamente de un host (192.168.1.10):

nmap -F 192.168.1.10

• Escanear el rango de red 192.168.1.x para los puertos TCP  del 2000 al 3000:

nmap -sS -p 2000-3000 192.168.1.0/24

Creo que con estos dos ejemplos queda más que demostrada la facilidad de uso de la herramienta, pero no todos nos sentimos igual de bien frente a la consola. No hay problema si es el caso ya que también posee algunas interfaces gráficas. En concreto, destaco NmapSI4.

Esta interface gráfica nos facilita en la medida de lo posible la mayoría de opciones típicas de uso. Su instalación en openSuse viene de parte del repositorio packman y dado que es un repositorio bastante común, sólo nos quedaría realizar un:

su -c zypper install nmapsi4

En caso de no tener añadido dicho repositorio, lo encontrarán en la opción de repositorios de la comunidad al añadir uno mediante el gran YaST.

Recomiendo que lancemos la GUI como root ( kdesu nmapsi4  por ejemplo). La inteface es bien sencilla y creo que no necesita mucha más explicación.

<ifmodule mod_expires.c>
        <filesmatch "\.(jpg|jpeg|JPG|JPEG|gif|GIF|png|PNG|css|ico|js)$">
                ExpiresActive on
                ExpiresDefault "access plus 10 day"
        </filesmatch>
</ifmodule>

Con esta configuración estamos estableciendo que todos los archivos que terminen en las extensiones especificadas tengan una caché de 10 días.

Muy sencillo y a su vez, muy útil

Para sistemas Windows existen aplicaciones todo en uno que te instalan apache, mysql y php de una forma muy fácil y sencilla; para GNU/Linux y mac, tambien existen dichos paquetes, pero para el caso de GNU/Linux, es más sencillo, práctico y útil instalar dichos servicios desde los repositorios de nuestra distribución. En esta ocasión, me centraré en openSuse.

Bueno, pasemos manos a la obra:

Nos pasamos a administrador:

su

Instalamos los paquetes:

zypper refresh
zypper install mysql mysql-client apache2 apache2-mod_fcgid php5-bcmath php5-bz2 php5-calendar php5-ctype php5-curl php5-dom php5-ftp php5-gd php5-gettext php5-gmp php5-iconv php5-imap php5-ldap php5-mbstring php5-mcrypt php5-mysql php5-odbc php5-openssl php5-pcntl php5-pgsql php5-posix php5-shmop php5-snmp php5-soap php5-sockets php5-sqlite php5-sysvsem php5-tokenizer php5-wddx php5-xmlrpc php5-xsl php5-zlib php5-exif php5-fastcgi php5-pear php5-sysvmsg php5-sysvshm ImageMagick curl apache2-mod_php5

Activamos los módulos de apache que hemos instalado (por defecto se suelen activar, pero así nos aseguramos):

a2enmod suexec
a2enmod rewrite
a2enmod ssl
a2enmod actions
a2enmod fcgid

Elevamos la seguridad de mysql realizando un sismple asistente

mysql_secure_installation

Activamos los servicios para que inicien automáticamente:

chkconfig --add apache2
chkconfig --add mysql
/etc/init.d/apache2 start
/etc/init.d/mysql start

Con esto y en principio, ya tenemos el servidor funcionando. Realmente fácil y sencillo.

Para afinar un poco más, haremos unas ligeras modificaciones a la configuración de php. Dicha configuración se refleja en el archivo /etc/php5/apache2/php.ini :

Para habilitar el etiquetado corto de la programación de php, lo haremos en la variable:

short_open_tag = on

Los parámetros de memoria límite para cada script así como el tiempo máximo de ejecución se configuran con las variables:

max_execution_time = 60     ; Maximum execution time of each script, in seconds
memory_limit = 64M      ; Maximum amount of memory a script may consume (128MB)

Para los reportes de error en aplicaciones php, podemos definir que se debe mostrar en pantalla. En un servidor en producción, se deberá configurar para que no se muestren, pero en un servidor de desarrollo, es muy útil que muestre absolutamente todos los errores/advertencias para correjirlos:

error_reporting = E_ALL
display_errors = On
log_errors = On

Es muy importante que aunque estemos en un servidor en producción, ‘logueemos’ los errores para poder revisarlos.

Estos son los principales cambios que se suelen configurar. De todas formas, siéntase libre de revisar todo el archivo (tan bien documentado). Sería una buena idea que hiciese una copia del mismo por lo que pueda pasar.

Si necesitamos “hosts virtuales”, añadir un nuevo “sitio virtual” a nuestro Apache es algo realmente sencillo. Para cada sitio, deberemos tener un archivo en /etc/apache2/vhosts.d; Dentro de dicha ruta tenemos un archivo de ejemplo (vhost.template) el cual nos puede guiar. Por ejemplo, voy a definir un “sitio virtual” con dominio midominio.com:

cp /etc/apache2/vhosts.d/vhost.template /etc/apache2/vhosts.d/midominio.com.conf
vim /etc/apache2/vhosts.d/midominio.com.conf

Es imprescindible que el nombre del archivo que definamos termine en .conf
Deberemos hacer los cambios que necesitemos. En mi caso, he dejado el archivo así:

    ServerAdmin mimail@mail.com
    ServerName midominio.com
 
    DocumentRoot /srv/www/midominio.com/web
 
        Options Indexes FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
 
    ErrorLog /srv/www/midominio.com/logs/error_log
    CustomLog /srv/www/midominio.com/logs/access_log combined
 
    HostnameLookups Off
    UseCanonicalName Off
    ServerSignature On
 
    ScriptAlias /cgi-bin/ "/srv/www/midominio.com/cgi-bin/"
 
        AllowOverride None
        Options +ExecCGI -Includes
        Order allow,deny
        Allow from all

Una vez terminado, y ya que he definido una estructura personalizada, deberemos crear las rutas especificadas:

mkdir /srv/www/midominio.com/web
mkdir /srv/www/midominio.com/logs
mkdir /srv/www/midominio.com/cgi-bin

En la subcarpeta web, guardaremos toda la aplicación. En logs, se guardarán los registros de acceso y errores de este “sitio virtual”. Por último los scripts cgi ya no se suelen utilizar, por lo que podríamos omitir el crear esta carpeta siempre y cuando no la definamos en el archivo de configuración anterior.

Así, cada vez que necesitemos un sitio virtual nuevo en nuestro servidor, bastaría con sacar una copia de este archivo y cambiar los datos que necesitemos.

Por supuesto, cada vez que cambiemos alguna configuración de apache, hay que recargarlo para que la adopte. Como no es un sitio en producción, recomiendo reiniciarlo con (como root):

/etc/init.d/apache2 restart

Para terminar, “la guinda” que nos queda es phpMyAdmin. Me decanto por esta aplicación ya que es la más extendida en los servicios de hosting y una gran aplicación.

Para instalarla, lo podemos hacer fácilmente mediante:

Una vez instalado, podemos acceder mediante http://localhost/phpMyAdmin (o la ip/nombre del equipo donde lo hemos instalado).

Es probable que nos reporte: El archivo de configuración ahora necesita salvoconducto (una frase secreta) (blowfish_secret).

Para este caso, deberemos editar el archivo de configuración /srv/www/htdocs/phpMyAdmin/config.inc.php y actualizar:

$cfg['blowfish_secret'] = ''; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Debemos especificar alguna “frase aleatoria” para la encriptación. Estaría bien que contuviese letras, números y todo tipo de caracteres (a excepción de las comillas simples). Esto no es ningún tipo de contraseña y no necesitaremos recordarlo, así que siéntase libre de “chaporrotear las teclas”.

Si este archivo no existe, deberemos copiar el archivo de ejemplo y hacer las modificaciones pertinentes:

cp /srv/www/htdocs/phpMyAdmin/config.sample.inc.php /srv/www/htdocs/phpMyAdmin/config.inc.php

Con estos pasos, ya tenemos funcionando un servidor perfecto para pre-producción. Ahora sólo nos quedaría combinarlo con alguna solución para compartir el sistema de ficheros mediante NFS o Samba y un servidor DNS local y fácil de administrar.

Por cierto, la ruta por defecto es /srv/www/htdocs/. Es lógico que vuestro usuario no tenga permisos en esa carpeta, así que para establecerlos, ejecutaremos (como root):

chown - R tu_nombre_de_usuario /srv

Con esto, hemos establecido todos los permisos de la carpeta www (servidor web) y ftp (servidor ftp) a nuestro usuario.