Lynis que ya va por la versión 1.6.2 ,es una herramienta de auditoría de Seguridad de Código Libre desarrollada y mantenidad por CISOfy, su principal objetivo es ayudar a los Administradores de Sistemas, Auditores y profesionales de Seguridad auditar y asegurar sus sistemas basados en Linux o Unix, Es bastante flexible y corre en casi todas las distribuciones.

Lynis se encarga de ejecutar una serie de pruebas y recopilar información sobre el sistema completo. Sus pruebas se basan en estándares y lineamentos de Seguridad, ejemplo de esto son la búsqueda de aplicaciones instaladas detectando cualquier falla en las configuraciónes de estas. Luego de finalizada la prueba este escribe los resultados en un archivo donde podremos ver mas al detalle las pruebas realizadas y las sugerencias para aumentar el nivel de seguridad del servidor que hemos auditado.

Entre las pruebas que realiza esta herramienta podemos mencionar:

• Herramientas del Sistema
• Booteo y Servicios
• Kernel
• Procesos y memoria
• Usuarios, Grupos y metodos de autenticación
• Shells
• Sistema de Archivos
• Almacenamiento
• Sistemas de Archivos en la Red, NFS
• Aplicaciones
• Servicios de Nombre: DNS, Bind
• Puertos
• Paquetes
• Servicios de Red
• Servicios de Impresión
• Correo y mensajería
• Servicios de Red: Nginx, Apache
• SSH
• SNMP
• Base de Datos: MySQL, Oracle, MariaDB
• LDAP
• PHP
• Squid
• Archivos y Logging
• Servicios Inseguros: Inetd
• Tareas Programadas: Cron, atd
• Criptografía
• Virtualización
• Integridad de los archivos
• Malware
• Directorios
• y mas.

Mientras Lynis va realizando las pruebas, arroja los resultados de cada prueba en la pantalla que el auditor o administrador de sistemas debe ir interpretando y revisando, pero estos podrán ser visualizados mas adelante en el archivo que Lynis crea con los resultados en la ruta /var/log/lynis.log

Como descargamos y corremos la herramienta?

Para descargar y correr la herramienta vamos a ejecutar estos comandos:

# wget http://cisofy.com/files/lynis-1.6.2.tar.gz

Descomprimimos el archivo

# tar xzvf lynis-1.6.2.tar.gz

Accedemos al Directorio y lo ejecutamos:

# cd lynis

Uso Básico

# ./lynis –checkall –quick

Con este comando lynis hará un test completo al servidor y la opción –quick es para que no espere nuestra entrada para continuar

otros parámetros para Lynis.

Lynis ha mostrado ser una herramienta bastante efectiva al momento de revisar la seguridad de los sistemas Linux y es una herramienta que recomiendo utilizar antes de colocar un servidor Linux en producción y mas cuando se trata de uno que estará hosteando un portal web o aplicacion crítica. La he estado utlizando por mucho tiempo y debo decir que ha sido siempre mi punto de partida al momento de auditar mis sistemas.

Lynis ya cuenta con una versión empresarial de pago que incluye otras características que pueden verlo aquí.

vía: http://www.mikejr1.es/linux/index.php/-noticias-mundo-linux-/software/11368-auditando-la-seguridad-de-sistemas-linux-con-lynis.html

Sólo hay que adaptar pequeños detalles como la instalación a la distribución que estemos usando. El resto es totalmente válido para la mayoría de configuraciones comunes (que no quiere decir que haya una más correcta para la distribución que estés usando).

Índice

1. Ventajas de las VPN .
2. Tipos de VPN
3. Servidores VPN
4. Postinstalación OpenVPN.
   1. Agregando Repositorio.
   2. Instalación OpenVPN.
   3. Interfaces OpenVPN.
5. Servicio OpenVPN
   1. Host To Host
      1. Server Host To Host.
      2. Client Host To Host.
         1. Clientes GNU/Linux
         2. Clientes Windows
      3. Comprobando Conexión.
      4. Diagrama Host To Host.
   2. 
      Road Warrior
      1. Server Road Warrior
      2. Client Road Warrior
         1. Clientes GNU/Linux
         2. Clientes Windows
      3. Comprobando Conexión.
      4. Asignar IP Estáticas Road Warrior.
      5. Diagrama Road Warrior.
   3. 
      Net To Net
      1. Server Net to Net
      2. Client Net To Net.
      3. Comprobando Conexión
      4. Diagrama Net To Net
6. Firewall OpenVPN
   1. Verificando la configuración del Firewall

Una VPN “Virtual Private Network”, es una tecnología en la que permite hacer
conexiones de una red local sobre una ip publica estando desde internet. También
son conocida como redes privadas en las cuales mediante un proceso de
encapsulamiento y encriptación de los datos se refiere a la utilización de la
infraestructura publica de telecomunicaciones.

Ventajas de las VPN .

Cuando deseamos crear una VPN dentro de nuestra empresa siempre debemos saber
que ventajas que nos puede proporcionar esta tecnología. Principales
Ventajas:

• Seguridad: Por medio de una VPN podemos crear túneles en
  los cuales pasan la información encriptada entre los clientes por lo cual
  existe una integridad segura de los datos.
• Autenticación y autorización: Solo se permiten
  conectarse a los equipos o dispositivos móviles autorizados, por medio de
  certificados de autenticación, llaves encriptadas y
  usuarios/contraseñas.
• Velocidad: Cuando enviamos o solicitamos información por
  medio de una red VPN es comprimida y descomprimida entre los 2 clientes de la
  VPN, esto hace que la VPN funcione mas veloz en la transferencia de
  información.
• Administración del ancho de banda: Es posible solicitar
  a nuestros ISP un ancho de banda especifico para nuestra red VPN.
• Costos: Un VPN nos ahorra en costo de los equipo y otros
  servicios que se estén ofreciendo dentro de la red locales.

Tipos de
VPN

Para poder implementar una red VPN tendremos que saber que tipos de VPN
existen para poder instalarla y configurarle en nuestra red local. Existen 3
tipos de redes VPN:

• Host to Host: Este el método mas sencillo de
  implementar, nos permite la comunicación entre dos máquinas de las cuales
  solo tienen conexión entre ellos, esto quiere decir que solo exista la
  comunicación por medio de la VPN entre estos 2 equipos y pueden estar dentro
  de una red local o en internet.
• Road Warrior: Esta una de las formas mas utilizadas y
  solicitadas, es permitir un conjunto de máquina ya sean de la red local o de
  internet se conecten dentro de la red VPN, existiendo un servidor en el
  controle las conexiones, todas estas conexiones se realizan mediante
  certificados de autenticación.
• Net to Net: Mediante esta forma conectamos 2 a varias
  redes LAN en lugares física apartados, la conexión entre las redes viajara
  encriptada, con esto podremos acceder a cualquier recursos de la red que se
  encuentre en el otro extremo de la VPN.

Servidores VPN

Tenemos varios servicios de los cuales nos permite crear estos túneles en
GNU/Linux, los mas conocidos son:

• OpenVPN: Es una solución completa de conexión de redes
  VPN, contiene validación de usuario, enviado de informaron encriptada. Mas
  información revisar el sitio oficial del proyecto.

http://www.openvpn.net/

• PPTP: Este el protocolo que realiza conexiones punto a
  punto, su principal habilidad la conexión múltiple de protocolos dentro del
  servicio.

http://www.poptop.org./

• Openswan: Es una implementación de IPSec, son varios
  protocolos cuya función es garantizar la comunicación sobre el protocolo de
  internet, permite la autenticación y cifrado. Mas información revisar el
  siguiente link.

http://www.openswan.org/

Postinstalacion OpenVPN.

Toda la instalación y configuración se realizara sobre la distribución Centos
versión 5.0, por el cual OpenVPN no viene agregada en los repositorio oficiales
de dicha distribución. Por lo cual tendremos que agregar otra repositorio extra
para este servicio.

Agregando Repositorio.

Para esto tendremos que agregaremos el repositorio de DAG Wieers, este
repositorio se encarga de proporcionar paquetes que no son soportados en los
repositorios oficiales de CentOS. Para mas información revisar el sitio oficial
del repositorio http://dag.wieers.com/rpm/ La forma mas rápida de agregar este
repositorio es instalar el paquete que agrega el repositorio a nuestra lista.
Esta ruta encontraran el paquete a instalar dependiendo de la versión de su
CentOS http://dag.wieers.com/rpm/FAQ.php#B

[root@rodmen ~]# rpm -Uhv http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/
rpmforge-release-0.3.6-1.el5.rf.i386.rpm

Ya instalado el paquete, actualizaremos
la lista de paquetes y también se recomienda actualizar el Sistema Operativo.

[root@ascariote ~]# yum update

Instalación OpenVPN.

Después de la actualización de paquetes ahora ya podremos instalar el
servicio de OpenVPN sin ningún problema.

[root@ascariote ~]# yum install openvpn

OpenVPN trabaja en el puerto 1194 del cual por default utiliza protocolo udp pero
también se puede utilizar tcp.

Interfaces OpenVPN.

OpenVPN utiliza 2 tipos de interfaz de red virtuales como:

• TUN: Esta interfaz simula que es un dispositivo Ethernet
  que trabaja sobre la capa 3 del modelo OSI, esta interfaz es ocupada cuando
  hacemos un Ruteo dentro de la red de la VPN.
• TAP: Esta interfaz simula que es un dispositivo Ethernet
  que trabaja sobre la capa 2 del modelo OSI, esta interfaz es ocupada cuando
  queremos utilizar redes en modo puente.

Servicio OpenVPN

Dentro de este manual se enseñara a configurar los métodos de configuración
de OpenVPN como:

• Host To Host.
• Road Warrior
• Net To Net.

Host To
Host

Sus principales características son:

• Solo existe un Cliente y un servidor en esta configuración.
• Conexión encriptada entre ambos sistemas.

Utilizan la misma llave de autenticación.

Server Host To Host.

Para esta configuración solo se necesita ya tener instalado el servicio de
OpenVPN en nuestra distribución. Todas las configuración del servicio OpenVPN se
realizan dentro de la siguiente ruta:

/etc/openvpn/

Dentro de esta ruta deberemos crear una llave de autenticación la cual es
compartida entre el servidor y el cliente. Para poder crear la llave tendremos que
ejecutar el siguiente comando:

[root@ascariote openvpn]#openvpn --genkey --secret secret.key

Con esto nos genera un archivo en cual tiene la llave de encriptación. Ahora
crearemos un archivo en el cual contendrá la configuración del servicio OpenVPN en modo
Server.

[root@ascariote openvpn]# vim server.conf

Debe contener los siguientes parámetros:

dev tun0
proto udp comp-lzo port 1194 ifconfig 10.8.0.1 10.8.0.2 status openvpn-status.log
log /var/log/openvpn.log secret secret.key ping 10 verb 4 mute 10

Explicaremos cada una de la opciones del servidor OpenVPN:

Con esto ya podremos podremos iniciar nuestro servicio de OpenVPN.

[root@ascariote openvpn]# /etc/init.d/openvpn start

Como podemos comprobar que ya existe nuestro servicio de OpenVPN, solamente
ejecutando el comando ifconfig y la interfaz de VPN.

[root@ascariote openvpn]# ifconfig tun0 
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Client Host To Host.

Para poder agregar clientes Host To Host dentro de nuestro servicio de
Openvpn, ya depende del sistema operativo a conectar como alguna distribución de
GNU/Linux o Windows. Solamente tendremos que crear el archivo de configuración
del cliente de OpenVPN que contendría los siguiente parámetros:

remote ascariote.dynalias.net

port 1194 dev tun tun-mtu 1500 ifconfig 10.8.0.2 10.8.0.1 secret secret.key ping 10
comp-lzo verb 4 mute 10}}} Con esto ya agregamos creado la configuración del cliente
OpenVPN. Pero explicaremos para que nos sirve cada parámetro que tiene este archivo de
configuración del cliente.

Clientes GNU/Linux

En este tipo de configuración solamente se instala openvpn en las
distribuciones GNU/Linux, indicaremos como instalar esta aplicación en las
conocidas como debian, ubuntu, CentOS, Fedora. Distribuciones como debian/ubuntu
y sus derivados solamente tendremos que instalar el servicio de la siguiente
manera.

lucifer:~# apt-get install openvpn

Distribuciones como RHEL/CentOs/Fedora y sus derivados solamente tendremos que
instalar el servicio de la siguiente manera, pero antes de todo en CentOS/RHEL entremos
que agregar el repositorio de DAG Wieers para poder tener el servicio.

[root@moa ~]# yum install openvpn

Para otra distribuciones existe un tar.gz el cual contiene el código fuente para
ser compilado e instalado en su distribución, lo pueden descargar desde la siguiente
liga. http://openvpn.net/index.php/open-source/downloads.html Con esto ya tendremos
instalado nuestro cliente en nuestra distribución. Tendremos que hacer los siguientes
paso para poder configurar el cliente, toda la configuración del cliente se llevan acabo
en el directorio /etc/openvpn y el fichero de configuración del cliente y la llave deben
estar en esta ruta. Enviaremos estos archivos serian enviados por scp, como el archivo de
configuración y llave de conexión de la siguiente manera:

[root@ascariote openvpn]# scp client.conf secret.key root@189.175.23.45:/etc/openvpn

En el cliente solamente tendremos que iniciar el servicio de OpenVPN.

[root@moa ~]#/etc/init.d/openvpn start

Verificamos que tengamos levantara la interfaz virtual de la red VPN.

[root@moa ~]# ifconfig tun0 
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.2 P-t-P:10.8.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:168 (168.0 b) TX bytes:168 (168.0 b)

Clientes Windows

Para estos sistema operativos solamente tendremos que descargar el cliente en
formato exe, su instalación es muy sencilla y rápida. Lo podremos descargar
desde el siguiente link. http://openvpn.net/index.php/open-source/downloads.html
Ya que tenemos instalado el cliente, solamente tenemos que ejecutar el siguiente
comando para que cambie el formato del archivo a msdos.

[root@ascariote openvpn]# unix2dos guindows.conf guindows.conf

Cambiamos la extensión del fichero ya que el cliente OpenVPN en windows reconoce
sus archivos con la extensión ovpn.

[root@ascariote openvpn]# mv guindows.conf guindows.ovpn

Sera cuestión de enviar el archivo de configuración del cliente y su llave de
autenticación para poder hacer la conexión, ya seria enviarlo vía correo, Samba, FTP o un
apache. Ya teniendo los archivos de configuración y llave solamente tendremos que
moverlos a la siguiente ruta C:\Archivos de programas\OpenVPN\config. Para poder iniciar
el cliente OpenVPN solamente tenemos que ejecutar el icono que se encuentra en la barra
de tarea en la parte derecha se encontrara un icono muy parecido al de red en windows
pero en color rojo, solo le damos click derecho en sobre el y tendremos las opciones que
podremos utilizar. Una forma de comprobar que ya tenemos asignada nuestra IP es
ejecutando el comando ipconfig en el interprete de comandos.

Comprobando Conexión.

La forma mas sencilla de saber que ya funciona nuestra red VPN es mandar
paquetes ICMP del servidor al cliente.

lucifer@lucifer:~$ ping -c 5 10.9.0.1 
PING 10.9.0.1 (10.9.0.1) 56(84) bytes of data. 64 bytes from 10.9.0.1: icmp_seq=1 ttl=64 time=0.025 ms
64 bytes from 10.9.0.1: icmp_seq=2 ttl=64 time=0.038 ms
64 bytes from 10.9.0.1: icmp_seq=3 ttl=64 time=0.038 ms
64 bytes from 10.9.0.1: icmp_seq=4 ttl=64 time=0.037 ms
64 bytes from 10.9.0.1: icmp_seq=5 ttl=64 time=0.045 ms
--- 10.9.0.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3998ms
rtt min/avg/max/mdev = 0.025/0.036/0.045/0.009 ms
lucifer@lucifer:$

Como también hacemos la comprobación en el cliente. Si tuviéramos algún otro servicio dentro del servidor/cliente VPN, un Servidor FTP, Servidor Web, etc, ya podremos utilizar sus recursos desde la VPN.

Diagrama Host To Host.

Esta es la forma en que se podría ilustrar una configuración Host To Host de OpenVPN, teniendo las siguientes características. El equipo cliente y servidor pueden estar en lugar distantes. Los equipos están conectados directamente a Intenet. En el servidor tiene configurado el OpenVPN creando una interfaz virtual llamada tun0 que por medio de esta se creara el túnel VPN. El cliente se
configura VPN, en donde también se levanta la interfaz tun0 con la cual se conectar al túnel VPN y tendrá comunicación con el servidor VPN. Pero su salida de paquetes siempre va hacer enviada por la conexión de internet.

Road
Warrior

La conexión Road Warrior permite la comunicación entre los usuarios externo y
usuarios locales en la red local de nuestra oficina, en esta conexión puede ver
mas 1 cliente conectado en la red virtual. En este tipo de configuración los
usuarios están bajo certificados y llaves de autenticación para su conexión a la
red VPN. Las razones de utilizar una VPN en modo Road Warrior son:

• Permite compartir información y los recursos de la red local.
• Configuración personalizada.
• Manejo de varias redes virtuales y usuarios
• Bloquea ataques de intrusos y espías.

Server Road Warrior

Para poder configurar nuestra OpenVPN en modo Road Warrior tendremos que
seguir los siguientes pasos. 1) Tendremos que buscar en donde se encuentran los
scripts que nos permite crear los certificados y las llaves.

[root@test ~]# cd /usr/share/openvpn/ easy-rsa/

Dentro de este directorio encontraremos 2 versiones de OpenVPN.

[root@test easy-rsa]# ls

1.0 2.0 [root@test easy-rsa]#}}} Debemos elegir la version mas actual y copiarla a
/etc/openvpn

[root@test easy-rsa]# cp -a 2.0/ /etc/openvpn/easy-rsa

Entramos en directorio principal de la configuración de OpenVPN.

[root@test openvpn]# cd /etc/openvpn/easy-rsa/

Listamos que dentro de este directorio existen varios scripts.

[root@test easy-rsa]# ls

build-ca build-key build-key-server clean-all Makefile pkitool sign-req build-dh
build-key-pass build-req inherit-inter openssl-0.9.6.cnf README vars build-inter
build-key-pkcs12 build-req-pass list-crl openssl.cnf}}} Lo que tendremos que hacer es
editar el archivo de vars el cual contiene la informacion relacionada hacia la empresa en
donde estamos laborando.

[root@test easy-rsa]# vim vars

Tendremos que ir al final del archivo y modificar los siguiente parametros quedando
de la siguiente manera.

export KEY_COUNTRY="MX"

export KEY_PROVINCE=”DF” export KEY_CITY=”MEXICO” export KEY_ORG=”ASCARIOTE SA DE
CV” export KEY_EMAIL=”administrador@ascariote.com.mx” }}} Como podemos ver solo agregamos
datos esenciales para la creación de la Certificados CA, guardamos el archivos y ahora
debemos refrescar las variables que tiene el archivo var.

[root@test easy-rsa]# source vars

NOTE: If you run ./clean-all, I will be doing a rm -rf on
/etc/openvpn/easy-rsa/keys}}} Nos devuelve un posible error por lo cual tendremos que
limpiar todas la opciones de OpenVPN.

[root@test easy-rsa]# sh clean-all

Ahora debemos crear el certificado de Autenticación para el servicio de OpenVPN.

[root@test easy-rsa]# sh build-ca

Generating a 1024 bit RSA private key ……………..++++++ ……….++++++
writing new private key to ‘ca.key’ —– You are about to be asked to enter information
that will be incorporated into your certificate request. What you are about to enter is
what is called a Distinguished Name or a DN. There are quite a few fields but you can
leave some blank For some fields there will be a default value, If you enter ‘.’, the
field will be left blank. —– Country Name (2 letter code) [MX]: State or Province Name
(full name) [DF]: Locality Name (eg, city) [MEXICO]: Organization Name (eg, company)
[ASCARIOTE SA DE CV]: Organizational Unit Name (eg, section) []:ASCARIOTE Common Name
(eg, your name or your server’s hostname) [ASCARIOTE SA DE CV CA]:SERVER Name []:SERVER
Email Address [administrador@ascariote.com.mx]: [root@test easy-rsa]# }}} Debemos crear
la clave diffie-hellman, en este paso nos preguntara si queremos firmar digitalmente con
nuestro certificado creado anteriormente.

[root@test easy-rsa]# sh build-dh

Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to
take a long time
….+…………………+……..+.+………………….+……………+………….
…………………………….+………….+…..+………………………………..
….+…………………..+……………………………+……………………+….
…………………..+…………..+……………………………………………….
…………………………………………………………….+……+…………….
………………………………….++++++ [root@test easy-rsa]# }}} Crearemos el
certificado y la llave para el servidor OpenVPN, solicitara datos generales de la
empresa.

[root@test easy-rsa]# sh build-key-server server

Generating a 1024 bit RSA private key …..++++++ …++++++ writing new private key
to ‘server.key’ —– You are about to be asked to enter information that will be
incorporated into your certificate request. What you are about to enter is what is called
a Distinguished Name or a DN. There are quite a few fields but you can leave some blank
For some fields there will be a default value, If you enter ‘.’, the field will be left
blank. —– Country Name (2 letter code) [MX]: State or Province Name (full name) [DF]:
Locality Name (eg, city) [MEXICO]: Organization Name (eg, company) [FACTOR SA DE CV]:
Organizational Unit Name (eg, section) []:FACTOR Common Name (eg, your name or your
server’s hostname) [server]:SERVER Name []:SERVER Email Address
[administrador@factor.com.mx]: Please enter the following ‘extra’ attributes to be sent
with your certificate request A challenge password []: An optional company name []: Using
configuration from /etc/openvpn/easy-rsa/openssl.cnf Check that the request matches the
signature Signature ok The Subject’s Distinguished Name is as follows countryName
:PRINTABLE:’MX’ stateOrProvinceName :PRINTABLE:’DF’ localityName :PRINTABLE:’MEXICO’
organizationName :PRINTABLE:’FACTOR SA DE CV’ organizationalUnitName:PRINTABLE:’FACTOR’
commonName :PRINTABLE:’SERVER’ name :PRINTABLE:’SERVER’ emailAddress
:IA5STRING:’administrador@factor.com.mx’ Certificate is to be certified until Aug 23
18:10:41 2019 GMT (3650 days) Sign the certificate? [y/n]:Y

1 out of 1 certificate requests certified, commit? [y/n]y Write out database
with 1 new entries Data Base Updated [root@test easy-rsa]# }}} Todos estas
llaves y certificados generados se encuentran en el directorio key por lo cual
entraremos a ese directorio.

[root@test easy-rsa]# cd keys/

Verificamos que fichero encontramos.

[root@test keys]# ls

01.pem ca.key index.txt index.txt.old serial.old server.csr ca.crt dh1024.pem
index.txt.attr serial server.crt server.key [root@test keys]# }}} Los archivos mas
importantes son:

Ya teniendo estos archivos solamente tendremos que hacer una copia de estos
archivos y mandarlos a /etc/openvpn/.

[root@test keys]# cp ca.* dh1024.pem server.crt server.key /etc/openvpn

Ahora debemos crear el archivo de configuración de nuestro servidor OpenVPN, lo
crearemos en el directorio /etc/openvpn.

[root@test easy-rsa]# cd /etc/openvpn

Crearemos el archivo del servidor OpenVPN.

[root@test openvpn]# vim server.conf

Debe contener los siguientes parámetros:

proto udp

dev tun0 ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key
/etc/openvpn/server.key dh /etc/openvpn/dh1024.pem duplicate-cn server 192.168.4.0
255.255.255.0 client-config-dir /etc/openvpn/ccd comp-lzo user root group root
persist-key persist-tun status /var/log/openvpn-status.log log /var/log/openvpn.log verb
3 mute 20 ping 10 ping-restart 120 }}} Explicaremos cada una de la opciones del servidor
OpenVPN:

Con esto ya podremos podremos iniciar nuestro servicio de OpenVPN.

[root@test ~]# /etc/init.d/openvpn start

Como podemos comprobar que ya existe nuestro servicio de OpenVPN, solamente
ejecutando el comando ifconfig y la interfaz de VPN.

[root@test ~]# ifconfig tun0

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00 inet
addr:192.168.4.1 P-t-P:192.168.4.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP
MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX
packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0
(0.0 b) TX bytes:0 (0.0 b) }}}

Client Road Warrior

Para poder agregar clientes dentro de nuestra red VPN, tendremos que crear su
certificado y llave por cada uno de los usuario que se conecte. Se recomienda
poner en los certificados el nombre de la persona para tener mayor control de
los usuarios conectados. Estos certificados se crean la siguiente ruta
/etc/openvpn/easy-rsa/, por lo cual tendremos que acceder a esa ruta, ya estando
ahi solamente tendremos que ejecutar el siguiente comando para que nos cree el
certificado y la llave para el usuario a conectarse.

[root@test easy-rsa]# sh build-key ascariote

Generating a 1024 bit RSA private key ………………….++++++
…………….++++++ writing new private key to ‘ascariote.key’ —– You are about to
be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN. There are
quite a few fields but you can leave some blank For some fields there will be a default
value, If you enter ‘.’, the field will be left blank. —– Country Name (2 letter code)
[MX]: State or Province Name (full name) [DF]: Locality Name (eg, city) [MEXICO]:
Organization Name (eg, company) [FACTOR SA DE CV]: Organizational Unit Name (eg, section)
[]:LPT Common Name (eg, your name or your server’s hostname) [ascariote]: Name
[]:ascariote Email Address [administrador@factor.com.mx]: Please enter the following
‘extra’ attributes to be sent with your certificate request A challenge password []: An
optional company name []: Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature Signature ok The Subject’s Distinguished
Name is as follows countryName :PRINTABLE:’MX’ stateOrProvinceName :PRINTABLE:’DF’
localityName :PRINTABLE:’MEXICO’ organizationName :PRINTABLE:’FACTOR SA DE CV’
organizationalUnitName:PRINTABLE:’LPT’ commonName :PRINTABLE:’ascariote’ name
:PRINTABLE:’ascariote’ emailAddress :IA5STRING:’administrador@factor.com.mx’ Certificate
is to be certified until Aug 23 21:36:12 2019 GMT (3650 days) Sign the certificate?
[y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with
1 new entries Data Base Updated [root@test easy-rsa]#}}} Con esto ya habremos que creado
los archivos necesarios para los clientes y todos estos archivos se encuentra almacenados
en /etc/openvpn/easy-rsa/keys/, entramos en esa ruta y verificamos que están nuestros
archivos con el nombre del usuario a conectarse, en nuestro caso el usuario se llama
ascariote. Para que un cliente pueda conectarse se necesitan los siguientes archivos:

• ca.crt
• ascariote.

Por recomendacion cuando nosotros creamos mas usuario todo se queda dentro de
esta carpeta sin ordenar pero te recomiendo tener a los usuarios separados. Esto
lo podemos arreglar de la siguiente manera. Creamos una carpeta en donde se
depositaran todos los clientes de la VPN Road Warrior.

[root@test keys]# mkdir /etc/openvpn/clientes/

Ahora solamente creamos la carpeta por cada usuario.

[root@test keys]# mkdir /etc/openvpn/clientes/ascariote

Copiamos los archivos de configuración del usuario y el certificado del
autenticación.

[root@test keys]# cp ca.crt ascariote.* /etc/openvpn/clientes/ascariote/

NOTA: Con esto ya tendremos los archivos de configuración de los
clientes y el certificado de autenticación respaldo ya que cuando hacemos limpieza de
variables en OpenVPN son borrados todos los archivos de configuración de los clientes y
servidor en el directorio /etc/openvpn/easy-rsa/keys/.

Clientes GNU/Linux

En este tipo de configuración solamente se instala OpenVPN en las
distribuciones GNU/Linux, indicaremos como instalar esta aplicación en las
conocidas como debian, ubuntu, CentOS, Fedora. Distribuciones como debian/ubuntu
y sus derivados solamente tendremos que instalar el servicio de la siguiente
manera.

ascariote:~# apt-get install openvpn

Distribuciones como RHEL/CentOs/Fedora y sus derivados solamente tendremos que
instalar el servicio de la siguiente manera, pero antes de todo en CentOS/RHEL entremos
que agregar el repositorio de DAG Wieers para poder tener el servicio.

[root@moa ~]# yum install openvpn

Para otra distribuciones existe un tar.gz el cual contiene el código fuente para
ser compilado e instalado en su distribución, lo pueden descargar desde la siguiente
liga. http://openvpn.net/index.php/open-source/downloads.html Con esto ya tendremos
instalado nuestro cliente en nuestra distribución ahora lo que tenemos que hacer con el
servidor es ir a /etc/openvpn/clientes, en el cual se encontraran las carpetas de los
usuarios permitidos en la VPN entramos alguna de las carpetas y veremos que solo falta el
archivo el archivo de configuracion para el cliente VPN. Debemos crear el archivo de
configuración para los clientes de la VPN.

[root@test ~]# vim /etc/openvpn/clientes/ascariote.conf

En el cual contiene los siguientes parámetros.

client

remote test.ascanet.com.mx port 1194 proto udp dev tun ca /etc/openvpn/ca.crt cert
/etc/openvpn/ascariote.crt key /etc/openvpn/ascariote.key comp-lzo log
/var/log/openvpn.log verb 3 mute 20 ping 10 ping-restart 120 persist-key persist-tun}}}
Explicaremos cada una de la opciones del cliente OpenVPN:

Con esto solamente tendremos que crear el archivo comprimido y mandarlo por
via ssh, ftp, http el archivo.

[root@test clientes]# tar cvfz ascariote.tar.gz ascariote/

En el cliente ya teniendo el archivo comprimido solamente tendremos que
descomprimirlo.

ascariote:Desktop# tar xvfz  ascariote.tar.gz

Entramos a la carpeta y movemos todos los archivos a /etc/openvpn/

ascariote:ascariote# cp * /etc/openvpn/

Iniciamos el servicio para conectarnos a la VPN.

ascariote:ascariote# /etc/init.d/openvpn restart

Verificamos que tengamos levantada la interfaz virtual que se usa para conexión
VPN.

ascariote:ascariote# ifconfig tun0

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00 inet
addr:192.168.4.6 P-t-P:192.168.4.5 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP
MULTICAST MTU:1500 Metric:1 RX packets:1 errors:0 dropped:0 overruns:0 frame:0 TX
packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:52
(52.0 B) TX bytes:84 (84.0 B) }}} Con esto ya sabremos que tenemos conexión a la VPN.

Clientes Windows

Para estos sistema operativos solamente tendremos que descargar el cliente en
formato exe, su instalación es muy sencilla y rápida. Lo podremos descargar
desde el siguiente link. http://openvpn.net/index.php/open-source/downloads.html
Ahora en el servidor tendremos que crear el archivo de configuración del cliente
para windows. En nuestro caso el usuario se llama GuindowsLPT, entramos a la
ruta en donde se encuentran los clientes.

[root@test GuindowsLPT]# vim GuindowsLPT.ovpn

En el cual deberá contener los siguientes parámetros.

client

remote test.ascanet.com.mx port 1194 proto udp dev tun ca “ca.crt” cert
“GuindowsLPT.crt” key “GuindowsLPT.key” persist-key persist-tun comp-lzo verb 3 mute 20
ping 10 ping-restart 120}}} Convertimos el fichero a formato dos de Windows.

[root@test GuindowsLPT]# unix2dos GuindowsLPT.ovpn GuindowsLPT.ovpn

Solo falta comprimir la carpeta para que se enviada al cliente windows.

[root@test clientes]# zip  GuindowsLPT.zip GuindowsLPT/*

Sera cuestión de enviar el archivo de configuración del cliente y su llave de
autenticación para poder hacer la conexión, ya seria enviarlo vía correo, Samba, FTP o un
apache. Ya teniendo los archivos de configuración y llave solamente tendremos que
moverlos a la siguiente ruta C:\Archivos de programas\OpenVPN\config. Para poder iniciar
el cliente OpenVPN solamente tenemos que ejecutar el icono que se encuentra en la barra
de tarea en la parte derecha se encontrara un icono muy parecido al de red en windows
pero en color rojo, solo le damos click derecho en sobre el y tendremos las opciones que
podremos utilizar. Una forma de comprobar que ya tenemos asignada nuestra IP es
ejecutando el comando ipconfig en el interprete de comandos.

Comprobando Conexión.

La forma mas sencilla de saber que ya funciona nuestra red VPN es mandar
paquetes ICMP a algunos de los clientes que estén dentro de la red virtual.

ascariote:~# ping -c 5 192.168.4.10

PING 192.168.4.10 (192.168.4.10) 56(84) bytes of data. 64 bytes from 192.168.4.10:
icmp_seq=1 ttl=127 time=39.9 ms 64 bytes from 192.168.4.10: icmp_seq=2 ttl=127 time=37.4
ms 64 bytes from 192.168.4.10: icmp_seq=3 ttl=127 time=38.6 ms 64 bytes from
192.168.4.10: icmp_seq=4 ttl=127 time=89.1 ms 64 bytes from 192.168.4.10: icmp_seq=5
ttl=127 time=110 ms — 192.168.4.10 ping statistics — 5 packets transmitted, 5
received, 0% packet loss, time 4017ms rtt min/avg/max/mdev = 37.435/63.124/110.489/30.710
ms ascariote:# }}} Como también podemos hacer la comprobación hacia el servidor o otro
cliente que se encuentre en la red VPN desde Windows. Si tuviéramos algún otro servicio
dentro del servidor/cliente VPN, un Servidor FTP, Servidor Web, etc, ya podremos utilizar
sus recursos desde la VPN.

Asignar IP Estáticas Road Warrior.

En este tipo de configuración nosotros podremos asignar una IP estática al
cliente de la red VPN para que no se este cambiando cada vez que se intente
conectar. Para esto tendremos que crear el siguiente directorio ccd dentro de
/etc/openvpn en el servidor OpenVPN.

[root@test clientes]# mkdir /etc/openvpn/ccd

Entramos a ese directorio y crearemos archivos de configuración por cada cliente
que deseemos que tenga una IP Estática. Cuando creamos el archivo de configuración por
cada cliente, debemos crear con el nombre del usuario tal como se conecta a la VPN en mi
caso tengo el usuario ascariote, entonces creare el archivo ascariote dentro
/etc/openvpn/ccd.

[root@test ccd]# vim ascariote

En nuestro caso esta es una configuración para clientes GNU/Linux/BSD y otros.

ifconfig-push 192.168.4.30 192.168.4.1

En caso de los clientes fueran windows, tendríamos que configurarlo de la siguiente
manera.

ifconfig-push 192.168.4.49 192.168.4.50

En windows siempre se ocupa dos IP para que puedamos asignar una IP estática
siempre empezando con la IP impar. Con esto solamente tendremos que reiniciar el servicio
de OpenVPN.

[root@test ccd]# /etc/init.d/openvpn restart

Solo queda iniciar el cliente para que ya se le sea asignada su IP estática.

Diagrama Road Warrior.

Esta es la forma en que se podría ilustrar una configuración RoadWarrior de
OpenVPN, teniendo las siguientes características. Figura 2.5: Los equipos
clientes y servidor pueden estar en lugar distantes. Los equipos están
conectados directamente a Intenet. En el servidor tiene configurado el OpenVPN
creando una interfaz virtual llamada tun0 que por medio de esta se creara el
túnel VPN. Los clientes se conectan al servidor por medio del túnel VPN pero
autenticados por certificados y llaves de autenticación. Los clientes también
puede ser dispositivos móviles que se conectaran a la red VPN. Solo se pueden
conectar clientes que estén permitidos. Pueden compartir recursos entre cliente
a cliente como tambien al servidor. Pero su salida de paquetes siempre va hacer
enviada por la conexión de internet.

Net To
Net

Es una configuración muy ocupada en las empresas que tienen varias sucursales
en lugares físicamente apartados geográficamente. Este métodos nos sirve para
unir varias redes y puedan compartir información entre todos los clientes de
todas las redes conectadas de una forma transparente. Solamente se requiere un
servidor y clientes que permitan la conexión de a la red virtual.

Server
Net to Net

En este configuraremos dentro del tunel VPN la union de 3 redes de la
siguiente manera:

Para poder unir a estas 3 redes en el servidor tendremos que crear 2 llaves
en las cuales conecte a la sucursales de Mexico y Veracruz, las cuales reacremos
de la siguiente manera:

[root@test openvpn]# openvpn --genkey --secret mex-oax.txt

[root@test openvpn]# openvpn –genkey –secret mex-ver.txt}}} Ya teniendo las
llaves solamente tendremos que crear dos archivos de configuración del servidor para que
pueda controlar las 2 redes. Primero comenzaremos con la conexión de México y Oaxaca.

remote ascariote.dynalias.net

float port 1194 dev tun0 persist-tun ifconfig 10.0.1.1 10.0.1.2 comp-lzo ping 15
ping-restart 120 verb 3 secret /etc/openvpn/mex-oax.txt persist-key route 192.168.2.0
255.255.255.0 chroot /var/empty log /var/log/openvpn.log}}} Si queremos que OpenVPN tenga
varias conexión al servidor solamente tendremos que cambiar el puerto de escucha del otro
segmento de red. Configuraremos la conexión de México a Veracruz.

remote belzebu.dynalias.net

float port 1195 dev tun1 persist-tun ifconfig 10.0.2.1 10.0.2.2 comp-lzo ping 15
ping-restart 120 verb 3 secret /etc/openvpn/mex-ver.txt persist-key route 192.168.3.0
255.255.255.0 chroot /var/empty log /var/log/openvpn.log}}} Explicaremos cada una de la
opciones del cliente OpenVPN:

Iniciamos la configuración de nuestro OpenVPN

[root@test openvpn]# /etc/init.d/openvpn start

Verificamos que tengamos la interfaz tun0/tun1 levantadas y configuradas.

[root@test openvpn]# ifconfig tun0 && ifconfig tun1

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00 inet
addr:10.0.1.1 P-t-P:10.0.1.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST
MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0
errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX
bytes:0 (0.0 b) tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00 inet
addr:10.0.2.1 P-t-P:10.0.2.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST
MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0
errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX
bytes:0 (0.0 b) [root@test openvpn]# }}}

Client Net To Net.

Ahora configuramos los clientes para para que se puedan conectar a la red
VPN, se recomienda poner como cliente servidores Linux o otro derivados.
Comenzaremos con la configuración del Cliente Oaxaca a México.

remote test.ascanet.com.mx

float port 1194 dev tun0 persist-tun ifconfig 10.0.1.2 10.0.1.1 comp-lzo ping 15
ping-restart 120 verb 3 secret /etc/openvpn/plutarco.txt persist-key route 192.168.1.0
255.255.255.0 log /var/log/openvpn.log }}} Ahora comenzaremos con la configuración del
cliente Veracruz a México:

remote test.ascanet.com.mx

float port 1195 dev tun0 persist-tun ifconfig 10.0.2.2 10.0.2.1 comp-lzo ping 15
ping-restart 120 verb 3 secret /etc/openvpn/plutarco.txt persist-key route 192.168.1.0
255.255.255.0 log /var/log/openvpn.log }}} Como podemos ver son los mismos parámetros que
el servidor.

Comprobando Conexión

La forma de comprobar esta conexión es hacer pings entre los segmentos red
físicos. Comprobación de Oaxaca a México a una máquina cliente.

ascariote:~# ping -c 5 192.168.1.10

PING 192.168.4.10 (192.168.1.10) 56(84) bytes of data. 64 bytes from 192.168.1.10:
icmp_seq=1 ttl=127 time=39.9 ms 64 bytes from 192.168.1.10: icmp_seq=2 ttl=127 time=37.4
ms 64 bytes from 192.168.1.10: icmp_seq=3 ttl=127 time=38.6 ms 64 bytes from
192.168.1.10: icmp_seq=4 ttl=127 time=89.1 ms 64 bytes from 192.168.1.10: icmp_seq=5
ttl=127 time=110 ms — 192.168.1.10 ping statistics — 5 packets transmitted, 5
received, 0% packet loss, time 4017ms rtt min/avg/max/mdev = 37.435/63.124/110.489/30.710
ms ascariote:# }}} Comprobación de México a Veracruz a una máquina cliente.

ascariote:~# ping -c 5 192.168.3.211

PING 192.168.4.10 (192.168.1.10) 56(84) bytes of data. 64 bytes from 192.168.3.211:
icmp_seq=1 ttl=127 time=39.9 ms 64 bytes from 192.168.3.211: icmp_seq=2 ttl=127 time=37.4
ms 64 bytes from 192.168.3.211: icmp_seq=3 ttl=127 time=38.6 ms 64 bytes from
192.168.3.211: icmp_seq=4 ttl=127 time=89.1 ms 64 bytes from 192.168.3.211: icmp_seq=5
ttl=127 time=110 ms — 192.168.3.211 ping statistics — 5 packets transmitted, 5
received, 0% packet loss, time 4017ms rtt min/avg/max/mdev = 37.435/63.124/110.489/30.710
ms ascariote:# }}} Podemos hacer mas pruebas de ping entre las máquinas de las tres redes
conectadas dentro de VPN, pero también ya podremos compartir recursos dentro de estas
redes, como ejemplo: yo puedo estar en Veracruz y deseo imprimir en una impresora de
México para que se entregue algún reporte en esta cuidad.

Diagrama Net To Net

Esta es la forma en que se podría ilustrar una configuración Net To Net de
OpenVPN, teniendo las siguientes características.

• Los equipos clientes y servidor pueden estar en lugar distantes.
• Los equipos están conectados directamente a Intenet.
• Pueden compartir recursos internos de cada red por medio del Túnel
  VPN.
• Las redes que se unen al Túnel VPN sienten que están dentro de una sola
  red.

Firewall OpenVPN

Cuando usamos una VPN se recomienda configurar nuestro firewall para que
termina las conexiones hacia el túnel. Aquí ya depende del administrador del
sistema que tipo de firewall pueda usar, pero actualmente se siguen utilizando
reglas de iptables. Comenzaremos a crear las reglas para nuestro firewall por
medio de iptables. Aceptamos el trafico que entrada y salida por el protocolo
UDP por el servicio OpenVPN.

[root@test ~]# iptables -A INPUT -i ppp0 -p udp --dport 1194 -j ACCEPT 
[root@test ]# iptables -A OUTPUT -0 ppp0 -p udp --sport 1194 -j ACCEPT

En este
caso la interfaz de escucha del servicio es ppp0 pero también puede ser eth0. Permitimos la conexión desde cualquier equipo por la interfaz tun.

[root@test ~]# iptables -A INPUT -i tun+ -j ACCEPT
[root@test ]# iptables -A OUTPUT -o tun+ -j ACCEPT

Permitimos que los equipos de las otras redes accedaan a nuestra red..

[root@test ~]# iptables -A FORWARD -i tun+ -j ACCEPT
[root@test ]# iptables -A FORWARD -o tun+ -j ACCEPT

Generamos el archivo de reglas del firewall.

[root@test ~]# iptables-save > iptables

Movemos el archivo generado a /etc/sysconfig

[root@test ~]# mv iptables /etc/sysconfig

Reiniciamos el servicio de firewall.

[root@test sysconfig]# /etc/init.d/iptables restart 
Expurgar reglas del cortafuegos: [ OK ]
Configuración de cadenas a la política ACCEPT: filter [ OK ]
Descargando módulos iptables: [ OK ]
Aplicando reglas del cortafuegos iptables: [ OK ]
Cargando módulos iptables adicionales:ip_conntrack_netbios_[ OK ]
[root@test sysconfig]#

Con esto ya habremos creado el firewall para nuestro servicio de VPN.

Verificando la configuración del Firewall

La forma mas sencilla y rápida para poder checar que realmente se aplicaron
las reglas Iptables para nuestro firewall, tendremos que ejecutar el siguiente
comando.

[root@test ~]# iptables -nL | grep 1194 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
[root@test ]#

No hay mucho que decir sobre screen, pero para los que no lo conozcan, aquí tienen una buena introducción y funcionamiento: http://tuxpepino.wordpress.com/2007/05/24/%C2%BFconocias-screen/ Resumiendo:

• Crtl+a [ => Activamos el modo copia (que también permite hacer scroll). Esc para salir de este modo. Con “enter” empezamos a seleccionar texto para copiarlo y pulsamos “enter” de nuevo para terminar la selección y pegar.
• Crtl+a ] => Pegar texto copiado.
• Crtl+a c => crear nueva consola. También se puede escribir screen.
• Crtl+a ” => Listado de consolas abiertas para seleccionar con los cursores.
• Crtl+a w => Listado de consolas abiertas.
• Crtl+a n => Siguiente consola.
• Crtl+a p => Anterior consola.
• Crtl+a ‘número’ => Cambiar a la consola ‘número’.
• Crtl+a A => Cambiar el nombre a la consola.
• Crtl+a d => Desligar una consola de una sesión.
• screen -r => Recuperar una consola desligada en la sesión actual. Si hay varias, especificar a continuación el número identificador de la consola siendo la más reciente la que tenga el número más alto.
• screen -dr => Desliga una única consola abierta en otra sesión y la recupera en la sesión actual. Si hay varias sesiones, se puede recuperar la que queramos indicando el número identificador a continuación.
• Crtl+a / => Cierra todas las consolas y sale de screen.
• Crtl+a ? => Listado de accesos rápidos de screen.

Dividir la pantalla en varias sesiones (al estilo de konsole o yakuake):

• Crtl+a | => Dividir verticalmente.
• Crtl+a S => Dividir horizontalmente.
• Crtl+a Tab => Pasar a la siguiente división
• Crtl+a c => Crear ventana en la división.
• Crtl+a X => Cerrar una división

Fuentes:

http://systemadmin.es/2015/02/screen-dividir-la-pantalla-para-tener-multiples-sesiones

Básicamente se ejecuta mediante cron diariamente; extrae los datos más interesantes de los logs de cada servicio y los remite por email a la cuenta de root del mismo sistema.

Para excluir algún servicio como dovecot por ejemplo, bastará con añadir la exclusión al archivo de configuración. Dicho archivo, en debian no se crea a la instalación por lo que bastaría con crear el archivo /etc/logwatch/conf/logwatch.conf

Una vez creado, sólo nos queda añadir:

Service = "-dovecot"

Para comprobarlo, bastaría con ejecutar el script desde cron:

/etc/cron.daily/00logwatch

$ at 15:37

Y debe salirnos algo como esto:

warning: commands will be executed using /bin/sh
at>

Posteriormente escribimos el comando a ejecutar a esa hora, por ejemplo:

at> killall console

Luego salimos de AT tecleando Ctrl+D. En resumen se verá algo como esto:

job <strong>3</strong> at Tue Oct  2 15:45:00 2012

En este caso es el número 3. Cuando tenemos varios proceso ejecutados con AT, podemos consultarlos con el comando:

$ atq

Cuando sepamos el proceso que queremos matar, solo tenemos que teclear:

$ atrm #

Por lo tanto, si quiero matar el proceso del ejemplo, solo tengo que poner:

$ atrm 3

Listo

AT tiene otras opciones, como por ejemplo la opción de enviarnos un correo cuando ejecute la tarea. Estas opciones las pueden ver tecleando en consola:

$ man at

vía: blog.desdelinux.net/ejecuta-un-comando-a-la-hora-que-quieras-con-at/

Para hacer una sincronización entre 2 rutas (por ejemplo para realizar un update de alguna aplicación en nuestro hosting compartido económico o una sincronización para posteriormente realizar un backup en local), podemos utilizar el siguiente script basado en lftp:

#!/bin/bash
HOST="your.ftp.host.dom"
USER="username"
PASS="password"
LCD="/path/of/your/local/dir"
RCD="/path/of/your/remote/dir"
lftp -c "set ftp:list-options -a;
open ftp://$USER:$PASS@$HOST;
lcd $LCD;
cd $RCD;
mirror --reverse \
	--delete \
	--verbose \
	--exclude-glob a-dir-to-exclude/ \
	--exclude-glob a-file-to-exclude \
	--exclude-glob a-file-group-to-exclude* \
	--exclude-glob other-files-to-exclude"

No creo que haya que explicar mucho la verdad.

Agradecimientos a su autor en: http://serverfault.com/a/106365

También tenemos un proyecto que pinta bastante bien (y en mantenimiento y desarrollo) llamado FTPSync. Se trata de un script en perl. Más en https://confluence.clazzes.org/display/FTPSYNC/FTPSync+Home

En ese momento me he visto en el dilema, ¿cómo hacer que ellos sepan esto de forma inmediata? … mediante email demorará, y depende de que todos y cada uno de los usuarios lea el email, por mensajería instantánea (IM) no es factible, pues no siempre todos están online, en fin… todo un problemilla

Y un buen día llegó la solución … comando wall

Una línea tan simple como:

echo "El servidor será reiniciado en los próximos 5mins, guarden sus trabajos." | wall

Y listo! … esto enviará ese mensaje a TODOS los usuarios que estén conectados por SSH al servidor, pero… no solo eso. Suponiendo que es un ordenador y no un servidor (o sea, que tiene entorno gráfico), veremos también el mensaje en la terminal que tengamos abierta, así como en el área de notificación:

Pero… ¿qué hacer si deseo enviar un mensaje a solo una terminal o sesión SSH?

En ese caso debemos conocer qué sesión es con la que deseamos comunicarnos. Para ello usamos lo que el mismo sistema nos brinda.

1. Primero debemos saber a qué terminal deseamos mandar el mensaje, para ello escribimos en una terminal : w (sí… solo la letra w). Nos aparecerá lo siguiente, y con esa información veremos a qué terminal deseamos contactar:

En este ejemplo, deseo enviar un mensaje al tty2 (el primero que ven).

2. Ahora pasamos al comando:

echo "Esto es un mensaje de prueba" > /dev/tty2

Y esto bastará para lograr lo que deseamos, en la TTY2 aparecerá ese texto.

Si en vez de enviarlo ahí, deseamos enviarlo a pts/2 … simplemente:

echo "Esto es un mensaje de prueba" > /dev/pts/2

vía: http://blog.desdelinux.net/enviar-mensajes-entre-las-terminales-yo-usuarios-conectados-por-ssh/

$ man dig
$ dig -h

Nota: he suprimido salida no relevante de los comandos para reducir el tamaño del artículo.

Ejecución sin argumentos

Cuando ejecutamos el comando dig sin argumentos se realiza una consulta de los NS (Name Servers) raíz o root servers “.”. Cara al troubleshooting o debug no suele ser de mucha utilidad:

$ dig
; DiG 9.8.1-P1 
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 55735
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 14
 
;; QUESTION SECTION:
;. IN NS
 
;; ANSWER SECTION:
.			494084	IN	NS	e.root-servers.net.
.			494084	IN	NS	a.root-servers.net.
.			494084	IN	NS	b.root-servers.net.
.			494084	IN	NS	g.root-servers.net.
.			494084	IN	NS	h.root-servers.net.
.			494084	IN	NS	i.root-servers.net.
...
...
;; ADDITIONAL SECTION:
j.root-servers.net. 575975 IN A 192.58.128.30
m.root-servers.net. 428374 IN A 202.12.27.33
...
...
;; Query time: 40 msec

Dominio como argumento

La forma más común y simple de ejecutar dig. En este caso pasamos como argumento el dominio a consultar. Cuando no se especifica nada se consulta siempre el registro A del dominio. Al no especificar tampoco los servidores DNS contra los que hacer la consulta se utilizan los especificados en nuestra conexión(/etc/resolv.conf). Debemos prestar especial importancia a la sección ANSWER SECTION, ya que muestra el resultado de nuestra consulta:

$ dig rm-rf.es
 
; DiG 9.8.1-P1 rm-rf.es
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 10364
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
 
;; QUESTION SECTION:
;rm-rf.es. IN A
 
;; ANSWER SECTION:
rm-rf.es. 13104 IN A 93.93.112.55
;; Query time: 39 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
...

Dominio como argumento y usando un name server específico

El comando anterior usaba el DNS local especificado en /etc/resolv.conf (127.0.0.1) para solicitar el registro A del dominio, en este caso vamos a hacer la consulta contra un NS externo, el de google por ejemplo (8.8.8.8). Se indica con la IP/nombre del servidor precedida de @. Se puede ver en la sección final como se especifica el servidor que utilizamos para la query (negrita). La respuesta debería ser la misma que los servidores autoritativos del dominio, en caso contrario podría haber envenenamiento DNS, DNS spoofing…:

$ dig @8.8.8.8 rm-rf.es
; DiG 9.8.1-P1 @8.8.8.8 rm-rf.es
; (1 server found)
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 29315
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
 
;; QUESTION SECTION:
;rm-rf.es. IN A
 
;; ANSWER SECTION:
rm-rf.es. 4315 IN A 93.93.112.55
 
;; Query time: 64 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) ...

Especificar el registro (A, NS, MX, CNAME…) a consultar

Como decía antes, por defecto se consulta el registro A del dominio, pero podemos especificar el tipo de registro que queramos (ANY, NS, A, MX, SIG,SOA…):

$ dig MX @8.8.8.8 rm-rf.es 
; DiG 9.8.1-P1 MX @8.8.8.8 rm-rf.es
; (1 server found)
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 43941
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
 
;; QUESTION SECTION:
;rm-rf.es. IN MX
 
;; ANSWER SECTION:
rm-rf.es. 14400 IN MX 10 rm-rf.es.
;; Query time: 105 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Sep 10 23:06:25 2012
;; MSG SIZE rcvd: 42

Consultar todos los registros de la zona DNS En lugar de especificar el tipo de registro a mostrar (A, MX, CNAME, AAAA…) podemos decir directamente que consulte todos los que se sirven en la zona DNS del dominio con el parámetero ANY:

$ dig ANY google.com
; DiG 9.8.1-P1 <<>> ANY google.com
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 13347
;; flags: qr rd ra; QUERY: 1, ANSWER: 22, AUTHORITY: 0, ADDITIONAL: 0
 
;; QUESTION SECTION:
;google.com. IN ANY
 
;; ANSWER SECTION:
google.com. 2778 IN TXT "v=spf1 include:_netblocks.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"
google.com. 258 IN A 173.194.34.225
google.com. 258 IN A 173.194.34.230
google.com. 258 IN A 173.194.34.224
...
...
google.com. 258 IN A 173.194.34.229
google.com. 32168 IN NS ns4.google.com.
google.com. 32168 IN NS ns1.google.com.
google.com. 32168 IN NS ns3.google.com.
google.com. 32168 IN NS ns2.google.com.
google.com. 56 IN AAAA 2a00:1450:4003:802::1007
google.com. 326 IN MX 20 alt1.aspmx.l.google.com.
google.com. 326 IN MX 30 alt2.aspmx.l.google.com.
google.com. 326 IN MX 50 alt4.aspmx.l.google.com.
google.com. 326 IN MX 40 alt3.aspmx.l.google.com.
google.com. 326 IN MX 10 aspmx.l.google.com.
 
;; Query time: 43 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)

Hacer debug con el parámetro trace

El parámetro “+trace” es muy útil para hacer debug ante problemas de resolución DNS ya que permite ver latraza y saltos de la petición hasta que llega al servidor autoritativo que ofrece la respuesta del registro:

$ dig +trace rm-rf.es
; DiG 9.8.1-P1 +trace rm-rf.es
;; global options: +cmd
.			103105	IN	NS	f.root-servers.net.
.			103105	IN	NS	g.root-servers.net.
.			103105	IN	NS	h.root-servers.net.
...
...
.			103105	IN	NS	e.root-servers.net.
;; Received 500 bytes from 127.0.0.1#53(127.0.0.1) in 523 ms
 
es.			172800	IN	NS	a.nic.es.
es.			172800	IN	NS	f.nic.es.
es.			172800	IN	NS	ns1.cesca.es.
es.			172800	IN	NS	ns3.nic.fr.
es.			172800	IN	NS	ns15.communitydns.net.
es.			172800	IN	NS	ns-ext.nic.cl.
es.			172800	IN	NS	sns-pb.isc.org.
;; Received 454 bytes from 192.203.230.10#53(192.203.230.10) in 490 ms
 
rm-rf.es.		86400	IN	NS	dns2.sistema-dns.com.
rm-rf.es.		86400	IN	NS	dns1.sistema-dns.com.
;; Received 79 bytes from 84.88.0.3#53(84.88.0.3) in 145 ms
 
rm-rf.es.		14400	IN	A	93.93.112.55
rm-rf.es.		14400	IN	NS	dns2.sistema-dns.com.
rm-rf.es.		14400	IN	NS	dns1.sistema-dns.com.
;; Received 127 bytes from 93.93.118.80#53(93.93.118.80) in 47 ms

Resolución inversa (IP -> nombre)

Para realizar consultas de reverse DNS tenemos el parámetro -x:

$ dig -x 8.8.8.8 
; DiG 9.8.1-P1  -x 8.8.8.8
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 51972
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
 
;; QUESTION SECTION:
;8.8.8.8.in-addr.arpa. IN PTR
 
;; ANSWER SECTION:
8.8.8.8.in-addr.arpa. 70159 IN PTR google-public-dns-a.google.com.
...

Otras opciones de consulta

Para ver el resto de opciones de consulta es mejor directamente revisar la página man, básicamente nos permiden indicar como se va a visualizar el resultado de la consulta (eliminar información secundaria por ejemplo con la opción +nocmd), establecer timeouts, especificar el uso de TCP o UDP, flags de consulta, etc. Todas llevan el signo + delante, y se resetean con añadiendo “no” después del “+”

$ man dig
       +[no]tcp
           Use [do not use] TCP when querying name servers. The default behavior is to use UDP unless an AXFR or IXFR query is requested,
           in which case a TCP connection is used.
 
       +[no]vc
           Use [do not use] TCP when querying name servers. This alternate syntax to +[no]tcp is provided for backwards compatibility. The
           "vc" stands for "virtual circuit".
 
       +[no]ignore
           Ignore truncation in UDP responses instead of retrying with TCP. By default, TCP retries are performed.
 
       +domain=somename
           Set the search list to contain the single domain somename, as if specified in a domain directive in /etc/resolv.conf, and
           enable search list processing as if the +search option were given.
 
       +[no]search
           Use [do not use] the search list defined by the searchlist or domain directive in resolv.conf (if any). The search list is not
           used by default.
 
       +[no]showsearch
           Perform [do not perform] a search showing intermediate results.
 
       +[no]defname
           Deprecated, treated as a synonym for +[no]search
 
       +[no]aaonly
           Sets the "aa" flag in the query.
 
       +[no]aaflag
           A synonym for +[no]aaonly.
...
...
...
...

Con estos ejemplos e información ya podemos comenzar a hacer un buen uso del comando dig para resolver problemas relacionados con DNS.

vía: http://rm-rf.es/como-usar-el-comando-dig-ejemplos

Vamos a ver algunos ejemplos de uso del comando ip para comenzar a familiarizarnos con él y ver como realizariamos las tareas más comunes que hacemos con ifconfig.

Ver interfaces de red y su configuración

El comando ip addr list vendría a ser lo mismo que ejecutar ifconfig. Se puede ejecutar con el mismo resultado como ip address show o ip address list:

~$ ip addr list
1: lo:  mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:1b:24:d5:18:99 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.128/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::21b:24ff:fed5:1899/64 scope link 
       valid_lft forever preferred_lft forever
3: eth2:  mtu 1500 qdisc pfifo_fast state DORMANT qlen 1000
    link/ether 00:1a:73:d1:67:45 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::21a:73ff:fed1:6745/64 scope link 
       valid_lft forever preferred_lft forever

También podemos usar el comando ip link show para ver la información en capa 2 (data link layer) de las interfaces de red del sistema:

~$ ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1b:24:d5:18:99 brd ff:ff:ff:ff:ff:ff
3: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state DORMANT qlen 1000
link/ether 00:1a:73:d1:67:45 brd ff:ff:ff:ff:ff:ff

Activar/desactivar interfaces de red

Para habilitar o deshabilitar una interfaz de red seguiremos utilizando ip link:

~# ip link set eth2 down
~# ip addr list eth2
3: eth2:  mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether 00:1a:73:d1:67:45 brd ff:ff:ff:ff:ff:ff

~# ip link set eth2 up
~# ip addr list eth2
3: eth2:  mtu 1500 qdisc pfifo_fast state DORMANT qlen 1000
    link/ether 00:1a:73:d1:67:45 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::21a:73ff:fed1:6745/64 scope link tentative 
       valid_lft forever preferred_lft forever

Os he mostrado en el ejemplo como al levantar o tirar la interfaz desaparece la flag de UP en el ip addr list. En ifconfig lo hacíamos del siguiente modo:

~# ifconfig eth2 down
~# ifconfig eth2 up

Cambiar características de la interfaz

Con ip link también podemos realizar modificaciones en las características o flags de la interfaz, como por ejemplo configurar el modo promiscuo, multicast, arp, dynamic o allmulti. Se utilizan los valores on|off. En esta otra entrada vimos como hacerlo con ifconfig: configurar tarjeta de red en modo promiscuo:

~# ip link set dev eth0 promisc on
~# ip addr list eth0
2: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:1b:24:d5:18:99 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.128/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::21b:24ff:fed5:1899/64 scope link 
       valid_lft forever preferred_lft forever

~# ip link set dev eth0 promisc off
~# ip addr list eth0
2: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:1b:24:d5:18:99 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.128/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::21b:24ff:fed5:1899/64 scope link 
       valid_lft forever preferred_lft forever

Configurar una IP para la interfaz

Con ip addr add podemos especificar la IP, máscara (también en formato CIDR como vemos a continuación y la IP de broadcast:

~# ip addr add 10.0.0.100/24 broadcast 10.0.0.255 dev eth2
~# ip addr list eth2
3: eth2:  mtu 1500 qdisc pfifo_fast state DORMANT qlen 1000
    link/ether 00:1a:73:d1:67:45 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.100/24 brd 10.0.0.255 scope global eth2
    inet6 fe80::21a:73ff:fed1:6745/64 scope link 
       valid_lft forever preferred_lft forever

Y para eliminar la IP:

~# ip addr del 10.0.0.100/24 dev eth2

También podemos crear alias en la interfaz:

~# ip addr add 10.0.0.101/24 broadcast 10.0.0.255 dev eth2:1

Cambiar la MTU de la interfaz

~# ip link set dev eth2 mtu 9000

Ver la tabla de rutas

~# ip route show
default via 192.168.1.1 dev eth0  proto static 
169.254.0.0/16 dev eth0  scope link  metric 1000 
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.128  metric 1

Ver la tabla de ARP Cache

De todas las interfaces:

~# ip neighbor show
192.168.1.1 dev eth0 lladdr 64:68:0c:6b:5f:7e REACHABLE

De una interfaz concreta:

~# ip neighbor show dev eth0
192.168.1.1 lladdr 64:68:0c:6b:5f:7e REACHABLE

Esto es sólo una pequeña muestra de lo que ofrece el comando ip en GNU/Linux y la suite iproute2 en general. Os recomiendo revisar la página man para profundizar en el tema.

$ man ip

Las variables que controlan el general log son las siguientes:

• general_log: Indicamos si queremos habilitar o no dicho log
• general_log_file: Indicamos el path del fichero dónde queremos el log

Mediante SHOW VARIABLES podemos verlos:

mysql> show variables like 'general_log%';
+------------------+--------------------------+
| Variable_name    | Value                    |
+------------------+--------------------------+
| general_log      | OFF                      | 
| general_log_file | /var/log/mysql/query.log | 
+------------------+--------------------------+
2 rows in set (0.00 sec)

También a partir de MySQL 5.1 tenemos que tener en cuenta el valor de “log_output“, ya que podemos indicar que en lugar de un fichero se guarde en una tabla:

mysql> show variables like 'log_out%';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| log_output    | FILE  | 
+---------------+-------+
1 row in set (0.00 sec)

Mediante SET GLOBAL podemos habilitar el general log:

mysql> set global general_log=1;
Query OK, 0 rows affected (0.10 sec)

En el fichero veremos como se guardan tanto las queries como las conexiones:

100925 19:19:53	46223 Query	select version()
100925 19:19:57	46223 Quit	
100925 19:20:14 46224 Connect root@localhost on 
		46224 Query	select @@version_comment limit 1
100925 19:20:16	46224 Query	select version()
100925 19:20:17 46224 Query select version() 46224 Query select version()
100925 19:20:18	46224 Quit

Por otro lado, tenemos también la variable de sessión sql_log_off, la cual tenemos por defecto a OFF indicando que no deshabilita por defecto el log. Podemos ver su funcionamiento con la siguiente sesión de ejemplo:

mysql> select "sql_log_off en off";
+--------------------+
| sql_log_off en off |
+--------------------+
| sql_log_off en off |
+--------------------+
1 row in set (0.00 sec)

mysql> set session sql_log_off=1;
Query OK, 0 rows affected (0.00 sec)

mysql> select "sql_log_off en on";
+-------------------+
| sql_log_off en on |
+-------------------+
| sql_log_off en on |
+-------------------+
1 row in set (0.00 sec)

En el log quedaría:

100925 19:21:41	46226 Query	select "sql_log_off en off"
100925 19:21:54	46226 Query	set session sql_log_off=1

Por lo que veríamos que se deshabilita el log, pero no las queries que se ejecuten a posteriori. No resulta muy problemática, ya que esta variable únicamente se puede modificar si el usuario tiene el privilegio SUPER.

vía: http://systemadmin.es/2012/09/query-log-de-mysql-general-log