viernes, 21 de diciembre de 2007

Alias Postfix

Postfix se sale.Recuerdo que cada vez(pocas) que me enfrentaba a Sendmail echaba a temblar.Wietse se ha currado un super servicio smtp.Muy robusto y fácil de administrar.No recordaba como usar alias en postfix para un solo dominio.
1.- Como root editamos /etc/aliases
webmaster : fulanito
2.- Como root ejecutamos newaliases
3.- Como root recargamos postfix.
Pijto!
Salud y gnuismo!

jueves, 20 de diciembre de 2007

Que es AKAMAI?

No se si os lo habréis preguntado alguna vez, lo cierto es que yo si me lo he preguntado unas cuantas veces. Con toda la cantidad de información que circula por Internet,existe algún método de cacheo de esa información? Una respuesta valida puede ser la red de AKAMAI, que viene a ser como una gran red de cacheo de sites.Con clientes como Microsoft o Google , os podréis imaginar...

lunes, 17 de diciembre de 2007

Xornadas Software Libre Mugardos 2008

He mantenido un primer contacto de acercamiento con Enrique Sierra e Ismael Olea, para contemplar la posibilidad de que asistan como ponentes a las V Xornadas de Software Libre del Concello de Mugardos.En un principio hay predisposición para que asistan, ahora sólo falta el contacto con el Concello.Visto lo visto, esperemos que la mareja que salpica al Concello, no influya en el trabajo que llevamos realizando desde 2003.
Saludos,

jueves, 13 de diciembre de 2007

Macro-resumen Xornadas Lugo

Al final tuve suerte y pude asistir a las Xornadas de Lugo.Lo siento por Moisés, que tenía pensado venir conmigo, pero pensaba que no saldría a tiempo...

Así fue el día...
09:45. Salgo de Ferrol dirección Lugo.
10:20. Paro en Guitiríz a tomar un café.-2º C.Un frío....
10:30. Mucha niebla y hielo en la autovía.
10:45. Llamo a la oficina pues no me acordaba de la dirección del CEI-Lugo.
10:55. Llego justo al finalizar la charla de Pexego Sistemas.
11:00. Entra el Sr.Alcalde de Lugo,de cuyo nombre no puedo acordarme.Ya
me imagino lo que dirá..."Que si Lugo y el SW Libre van de la mano hacia un
camino indivisible hacia ...."
Comienza la inauguración oficial y acuña el término "Familia Digital".Bla
bla, bla y gracias a Ministerios,Gobierno del Estado Español....
El Sr.Alcalde parece un tipo bonachón,ex-docente de la Universidad, por lo
que puedo deducir.Comienza una reflexión,a mi modo de ver más que preparada,sobre el SWL y las comunidades de usuarios...y termina esta parte
asumiendo que en su concepción de SW, sus "neuronas están mercantilizadas".
Me gusta esa frase.Con frases como "el intento(por implantar SWL), merece
la pena, otra realidad es posible", su tiempo se acaba y veo más un intento por
agradar otra cosa.Por lo menos lo ha intentado, así aprendiesen otros...
Finalizando ya, y van nos suelta "estamos asistiendo a otra revolución
industrial" y vuelve a asumir de nuevo "mi ignorancia en estos temas"
acompañadas de unas cifras monetarias en relación al gasto(malgasto) del
Estado Español en SW propietario.
12:05 Enrique Sierra.Musico.Fundador de Radio Futura.
La verdad es que antes de asistir a su charla, desconocía por completo como
podía encajar este tipo en una charla de SWL.A la hora y media ya lo entendía.
Como dijo nada más iniciar su ponencia, es un "provocador", con lo cual, mis
expectativas se tornaban todavía más confusas.
Enrique utiliza Mac OSX con un MacBook.Nos comenta que hace sólo dos meses
que ha utilizado Microsoft Windows,para testear la web www.127.es, que desde
el año 1985 es usuario de Macintosh.
A nivel profesional nos comenta que aparte de Radio Futura, a trabajado con
gente como Rosario Flores,que ha grabado en multitud de estudios en un
sinfín de ciudades del mundo.Viene a presentar su proyector 127.es, que
básicamente es un site dónde los artistas o creadores pueden exponer sus
trabajos libremente.
A eso de las 12:30 comienzan las transparencias. En el primer punto nos
comenta bajo su prespectiva cómo ve él el "Momento de la Industria Musical",
haciendo un análisis ácido, comparando el estado actual al de hace 20 años.
Señala que en los 80, la creación era para gente privilegiada o elitistista,
ya que los accesos a la tecnología(estudios,productores,arreglistas...) eran
complejos o muy complicados.Asimismo alaba las tecnologías actuales, que
facilitan el acceso de la sociedad a la cultura, pero hace una clara
distinción entre el operador de software que crea, por ejemplo, música, a la
de un creativo o artista.Me cae bien este tipo.
Ahora comienza a despacharse a gusto contra la industria en general.Comenta
que los costes de producción han bajado hasta cotas inimaginables hace 20 años
pero que aún así, los precios de los CDs,DVDs,Cuadros...etc, no han bajado.
Nos deja un par de perlas "Este país castiga a los monopolios..o eso creía" y
para mí una brutal: "Actualmente hay cosas muy muy buenas en el panorama musical,por ejemplo,las recopilaciones(sarcasmo y risas!!!)...que..bueno...llevo
20 años escuchando la misma canción en distintos formatos!!!!". Otra buena,
y tiene muchísima razón, es que afirma, y no se equivoca, que la cultura se
está perdiendo;las tiendas de música desaparecen,las librerías también...en
boca en Enrique "Nos venden la cultura en los Supermercados".Con frases
lapidarias como "En esta sociedad sobra la publicidad" o "Subvencionar la
cultura, por supuesto que NO,prefiero que subvencion la sanidad,personalmente prefiero que me regalen condones..." va terminando el primer punto y nos presenta el 127.es.
Es un proyecto interesante,a mi modo de ver, definido por el propio Sierra
como un "Espacio de encuentro cultural y escaparate para el creador.".
A simple vista este personaje puede parecer un poco tímido, pero con el
paso de los minutos te vas dando cuenta que este Sr. tiene muchas tablas.No
espereis descripciones técnicas del tipo "El framework es la...".Este tipo es
músico, y punto. Tampoco penseis que es un ignorante,ni mucho menos es raro
oírle pronunciar términos como servidor,rss,sindicación,dominio,blog...etc.
En el punto tercero nos habla de la licencia de Creative Commons,los porqués
de su utilización en el proyecto, y el no a GNU(teníais que ver la cara de
Juan de GNU España).
Finalmente, defiende al desarrollador de software como artista, y justifica
esta afirmación con que los desarrolladores tienen su espacio en 127.es.
Nos muestra web y nos echamos unas risas.Simplemente genial.Una grata sorpresa.
De verdad la ocasión era para grabarla en video.Y como muestra un botón, nos
comenta: "Como veis, si no estais registrados, no podeis descargaro el contenido.Esto lo hemos logrado por que contamos con unos profesionales que son unos bestias. La mayor parte de la tecnología utilizada en este proyecto
viene del porno.Los mejores programadores web están en la industria del porno"
Joer, se me olvidan más cosas.No podía despedirse sin una pequeña quemadita a la SGAE "El contrato que firmas con la SGAE se extiende más allá de tu propia vida."

13:30 Llega Oscar y nos vamos a tomar un café.Comienza la charla del
"Software Libre en la USC".Bien en contenidos pero un poco flojo el ponente.
El tipo tiene los conocimientos necesarios para hablar del tema,pero también
tenía un poco de prisa.Igalia por el medio de todo, ya me empieza a cansar.Al
igual que la web 2.0, que parece que está de moda.
14:25. Me voy a comer al polígono del Ceao, a Parrillada Juan.Canelones,Churrasco
,Piña y Café por 8 euros.No está mal, verdad?.Ahora mismo estoy escribiendo
esto con el portátil DELL de Sistemas en una Debian en modo texto con nano
(friki yo?)
15:37.Marcho para el CEI.He quedado con Oscar a las 16:00 para comenzar
con la instalación de Gentoo.Así que guardaré este texto en el USB porque en
un par de horas si hay suerte, el nano lo ejecutaré desde Gentoo.
16:00 Puntales abren las puertas del aula multimedia.Es el mismo aula en la
que en 2006 asistí al curso de "Seguridad en Servidores".Sólo que esta vez
no están los capullos evangelistas ignorantes de "Que guay es XP!".Esto se
empieza a petar de peña.Si es de iniciación, me parece que me voy a marchar
en breves.
17:45. Despúes de una introducción a GNU/Linux cargo de Tsao de GPUL, comienza la instalación de Debian.Usaban un NetInstall, pero por problemas con la configuración de la red,fue abortada,y acto seguido pongo rumbo Ferrol.
19:30.Después de realizar unas compras: algo de cafeína,pan de molde y algo de fiambre ya estoy en casa posteando el final de este macro-resumen.En fin, que la jornada me cundio mucho.
Salud y Gnuismo para todos.

miércoles, 12 de diciembre de 2007

Xornadas Lugo...

Este jueves 13 estaré en Lugo en las Xornadas de Software Libre, que se celebrarán en el CEI. En el verano de 2006 estuve en un curso de "Seguridad en Servidores" en el que conocí a David Carracedo de Academia Postal.La verdad es que me...."congraaatuulaaa" haberle conocido y sobre todo haber colaborado en la Xornadas de Software Libre de Mugardos y en la I FerrolL@N.Eno, al tema, que el recinto me pareció cojonudo.Muy amplio, moderno y accesible(creo recordar!).En este link podeis ver(poco) los horarios y temáticos de las charlas.
No sé si me quedaré hasta el taller, casi seguro que sí ya que tambíen asiste Oscar García, un compañero de CCNA que "creo" va a dirigir el taller de gentoo, que sí, le tengo muchas ganas.
De momento nada más, sigo liado organizando Akregator y un montón de RSSs que he exportado desde la oficina.

lunes, 10 de diciembre de 2007

Exportar paquetes Debian

Leo en glug.es una forma de exportar las selecciones de paquetes .deb de una máquina a otra.Desde consola, y como root
[root@satriani] dpkg --get-selections > /home/usuario/selecciones

Para cargar la selección:
[root@satriani]dpkg --set-selections < /fichero

Muy interesante!

Mini Guia buenas practicas GNU/Linux Parte III


2.2 Acceso Remoto.

2.2.1 SSH.
SSH (Secure SHell) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red.SSH trabaja de forma similar a como se hace con telnet. La diferencia principal es que SSH usa técnicas de cifrado que hacen que la información que viaja por el medio de comunicación vaya de manera no legible y ninguna tercera persona pueda descubrir el usuario y contraseña de la conexión ni lo que se escribe durante toda la sesión; aunque es posible atacar este tipo de sistemas por medio de ataques de REPLAY y manipular así la información entre destinos.
SSH se instala por defecto en multitud de distribuciones, y no pocos SysAdmin pasan por alto la configuración de SSH por el mero hecho de que las conexiones se cifran.Error grave.En distribuciones GNU/Linux, dedicando unos 5 minutos,podremos blindar nuestros accesos vía SSH.La opción más recomendable es no usar SSH ni ningún acceso remoto, pero como debemos acceder a la máquina, la mejor opción es utilizar llaves RSA.Como este documento es una simple introducción, en http://www.securityfocus.com/infocus/1806 podeis encontrar más información sobre este tema, y de paso, suscribirse a las listas de correo, que son bastante interesantes. En el fichero sshd_config, limitaremos el acceso a usuarios,passwords..etc.
Desde hace un tiempo, para blindar los accesos por SSH a las máquinas que administro, suelo instalar fail2ban(http://www.fail2ban.org). Fail2ban básicamente actúa en modo "watchdog" o "perro guardían" sobre una serie de servicios configurados, y mediante reglas de condición-acción bloquea los accesos a dichos servicios implementando reglas de Iptables.Muy recomendado.

2.2.2 Sesiones X remotas.
(Completar)
2.2.3 Webmin y otros.
Webmin es una opción cómoda y segura(https) para administrar máquinas Linux-Unix.No obstante, recomiendo encarecidamente limitar el acceso a Webmin, creando usuarios con permisos limitados exclusivamente a los servicios a administrar, así como establecer limitaciones de acceso a las máquinas o redes desde las que se permitirá el acceso. Esto es posible desde el propio Webmin, pero nunca está de más que nuestro amigo Iptables también lo haga.

Por suerte existen multitud de herramientas web para la administración de servicios en máquinas GNU/Linux, pero muchas de ellas supeditan la usuabilidad y sencillez de la interfaz a la seguridad.Como ejemplo tenemos PHPLDAPADMIN, que sí, es una herramienta excepcional, pero...no creeis que no cifrar conexiones que manejan datos relativos a los usuarios del sistema(LDAP) es, como mínimo, un riesgo evitable? Ustedes mismos.

2.2.4 Iptables.
Fundamental, como la boina. Suspenso al SysAdmin que no implemente iptables en su máquina. 4.950.000 páginas relativas a iptables nos podemos encontrar en google.com. No soy la persona más indicada para hablar de iptables, pero paginas como www.pello.info o www.netfilter.org nos pueden ayudar a dar los primeros pasos.
2.2.5 Logs.
Al igual que iptables, y la boina,punto fundamental.Examinar exhaustivamente los logs del sistema nos permitirá prevenir fallos en la máquina,pero también localizar intentos de ataque a nuestros servicios.

martes, 4 de diciembre de 2007

Ludusparty.net 2007

Mal.Muy mal.Después de 1 hora y 10 minutos de viaje, tardamos 1 hora más en llegar al Palacio de Congresos, y después 30 minutos en que nos ubicaran.En definitiva, una basura.
Lo malo.
  • Indicaciones: Malas o nulas. Mal indicado en la web, y en Lugo, casi nadie sabía del evento, y por si fuese poco, no sabían dónde se celebraba.Ni con GPS dimos llegado.
  • Des-Organización: Al llegar al recinto; que por cierto es cojonudo para este tipo de eventos, nos vamos a recepción y nos colocan a mi a y Pableras uno en el norte y otro en... Una de las personas de la organización, nos dice que si no somos de un clan,tenemos que colocarnos donde nos digan. Al final, nos van a ubicar y ya hay gente en nuestros sitios...Por cierto,en lugar de alquilar o comprar trajes de ninja para los de la organización, se hubiesen preocupado un poco más por este aspecto.En fin...muy mal.
  • Conexión a Internet.Mal. No nos pudimos conectar ni 1 minuto durante las 12 horas que estuvimos en la party.No sé el presupuesto de la party, pero por los 20€ de la entrada, que me parece un robo a mano armada, no disponer de conexión a Internet.Lamentable
  • Indicaciones: No estaba indicado ni los servicios, ni el lugar habilitado para dormir...En fin, un desastre.Vino gente de Palencia, si si , de Palencia y no sabían ni dónde dormir.Mal, mu mal.
  • Servicio de recogida de basura. Unos pesados. De 3:00 hasta las 6:00 tenías a un tipo dándote la chapa por si querías tirar algo a la basura.Joder! soy mayor de edad y no me gusta estar rodeado de mierda,si la almaceno, cuando termine de comer o beber, tiro el envase. A mi en el fondo, como el tipo estaba trabajando pues mira...un respeto, pero teníais que ver la cara de algunos gamers, que estaban viciando a COD4 o Counter Strike, cuando el tipo les tocaba el hombro para recoger la basura.Mal ,muy mal.

Lo mejor.
  • Maquinas recreativas: Sin lugar a dudas cojonudo. Llegar al recinto y poder jugar al Street Fighter II en recreativa a un módico precio de 0€ euros, es cojonudo.

En fin ,que como no mejore el tema, veo jodido que asista el proximo año. Saludos desde A Coruña.

miércoles, 28 de noviembre de 2007

Mini Guia buenas practicas GNU/Linux Parte II

Queridisimos hippies, vamos con la segunda entrega(Alpha, sin revisar, con dos cojones!) de la "Mini Guia buenas practicas GNU/Linux" Parte II.
2.- Breves notas sobre seguridad.

2.1 Acceso Fisico.Es obvio que por mucho empeño que pongamos en "fortificar" nuestra maquina ante ataques externos y posibles intrusos, la seguridad fisica suele ser un punto que pocos SysAdmin tienen en cuenta.Entre las inumerables recomendaciones hago incapie en:
2.1.1 Acceso a Rack. Control de accesos a la maquina/maquinas en cuestion.Tener un control sobre el numero de llaves,tarjetas de acceso y titulares de las mismas,garantiza el NO ANONIMATO y depuracion de responsabilidades en caso de desastre.La utilizacion de camaras IP o videovigilancia nos alertara del uso indebido de HD Externos o Pendrives.Hoy en dia una solucion de camara IP es muy asequible, pudiendo adquirir modelos con relacion calidad-precio mas que aceptable por menos de 200 euros.La conexion a una central de alarmas en caso de "opertura dil cremallero" nos es descabellada.
En caso de que la ubicacion del rack de comunicaciones sea distinta a la del rack de servidores,aplicamos lo dicho en el parrafo anterior.[Ampliar]
2.1.2 Bloqueo Acceso BIOS y Secuencia Arranque.Nunca, bajo ningun concepto se debe facilitar el acceso a la BIOS de una maquina en produccion, y mucho menos poder arrancar desde un Pendrive USB o CD/DVD-ROM.
2.1.3 Sistema Alimentacion Ininterrumpida.Un SAI nos protege ante un corte de suministro o mal funcionamiento de la red electrica.Consideraremos la adquisicion de un SAI como parte fundamental en la estabilidad de nuestros sistemas.
2.1.4.Factores externos.Existen numerosos factores externos que pueden influir directamente en el correcto desempeño de los servicios de nuestras maquinas; entre ellos podemos destacar las inundaciones,incendios..etc.Contar con un buen sistema de aire acondicionado,detectores de humo...es esencial para prevenir desastres.

En realidad la segunda entrega es la mitad del punto 2, en el que doy unas pinceladas acerca de las restricciones del acceso físico a las maquinas, amen de otras cosillas.

martes, 27 de noviembre de 2007

Mini Guia buenas practicas GNU/Linux

Espero compredais esto es una version Alpha aun sin revision.

Mini Guia buenas practicas instalacion servidor de correo GNU/Linux



S.O: DEBIAN GNU/LINUX 4.0 ETCH
KERNEL: 2.6.22 o superior, elimando modulos no necesarios, tales como: PCMCIA,Wireless..etc.
PAQUETES:
- Actualizar el Sistema: apt-get dist-upgrade
- Compilacion kernel: wget http://www.mandcspain.com/paquetekernel
- Sistema: postfix,spamassassin,dovecot-common,dovecot-imapd,spamassassin,spamc,mailx,apache,procmail


1.-Configuraciones y comprobaciones previas.


1.1.- Especial cuidado si vamos a enviar emails directamente desde el servidor.Es necesario saber si el ISP permite activar SPF sobre los registros MX del DNS.En caso afirmativo,activar SPF para que apunte a la IP fija del gateway que sera configurado como puerta de enlace predeterminada.

1.2.- Comprobar que la IP no esta en listas de SPAM.Evidentemente esto es una tarea tediosa,dificil y complicada.Muchos SysAdmin deciden abandonar este punto y seguir con los siguientes(si es que siguen algun patron!!!!), ya no lo consideran importante o simplemente lo ignoran.Mal hecho.Las URL que utilizaremos en un principio son las siguientes.Ni mucho menos son las unicas, pero pueden ayudarnos:

http://www.rbl.jp/ckdb/
http://www.moensted.dk/spam/
http://spamlinks.net/filter-dnsbl-lookup.htm#general-sites

1.3 La Documentacion es imprescindible.
1.3.1 Documentacion cuentas.Utilizaremos fetchmail(www.catb.org/~esr/fetchmail/) para que "recoja" los correos desde el servidor POP3 y, mediante procmail(www.procmail.org) los entrege al servidor IMAP dovecot(www.dovecot.org).En instalaciones donde el numero de usuarios supera la veintena(aunque no lo supere debemos hacerlo),se recomienda utilizar un Shell Script que automatice todo este proceso.[Pendiente Linkar Script]
1.3.2 Cuotas de disco.La correcta definicion de cuotas de disco ayudara al SysAdmin a prevenir desastres del tipo "Ups,el server se ha quedado sin espacio en disco" o "Mira un cosa, abro el Autoluk(Outlook) y me dice asdklajsdlkjasdljkasdlkajsdlkajsd".Webmin(www.webmin.com)facilita mucho esta tarea.
1.3.3 Password.Habilitaremos la caducidad de las contraseñas, dependiendo del numero de usuarios,podremos hacerlo manualmente(no recomendado) o mediante Shell Script o Perl.
1.3.4 Filtros envio,cabeceras...etc.Importante.Debemos definir el tamaño maximo para el envio de emails,adjuntos,..etc, con el fin de bloquear los envios que superen X MB, y que puedan provocar una caida del rendimiento en el servidor.
1.3.5 Spam.Definir la politica.Emplearemos spamassassin(http://spamassassin.apache.org/) para filtrar el correo basura.Spamassassin para un correcto funcionamiento necesita "entrenamiento", para ello, debemos enviar directamente los emails a una carpeta llamada X(SPAM por ejemplo) dentro de cada buzon IMAP(con procmail es muy facil).Con CRON es muy facil añadir una tarea HAM y SPAM para que Spamassassin aprenda cual es realmente el SPAM(No deseado) y el HAM(Deseado) en las horas de menor carga de trabajo del server o servers.
1.3.6 Antivirus.[Pendiente]
1.3.7 Backup.Mirroring,tar.gz,Backula,DLT,DDS o lo que queramos, pero este punto es imprescindible en cualquier instalacion.
1.3.8 Monitorizacion.Si tenemos Nagios(www.nagios.org) en nuestra LAN/WAN tendremos la mitad del trabajo hecho en lo que se refiere a monitorizacion en tiempo real.La examinar el mail.log(en Debian) o maillog(en RHEL) podemos utilizar pflogsumm(jimsun.linxnet.com/postfix_contrib.html) y munin(http://munin.projects.linpro.no/) para obtener mediante el empleo del algoritmo Round Robin, unas estadisticas graficas detalladas y elegantes.

...

En relación al post anterior el concierto muy bien. Por causa relacionadas a mi situación mental el día del concierto, me he perdido a Ktulu.Koma; lo mejor. SA; en su línea. Habeas Corpus;no me gustaron.
De lo que he leído últimamente lo mas interesante:
.- Entrevista a Linus Torvalds
.- Kirai en meneame.
Kirainet.com es uno de los blogs más interesantes que he leído en mis casi 10 años como internauta.100% recomendado
.- Aokigahara : el bosque de los suicidios.

El próximo viernes 30 me voy con Pableras a la II LudusParty, en Lugo. Os mantendré informados.
Salud y gnuismo para todos.

sábado, 17 de noviembre de 2007

Netcraft!

En 24 horas estaré en el II Inferno Rock viendo a S.A, Koma, Ktulu y Habeas Corpus. Qué tiene esto que ver con un blog supuestamente gnuista y demás?..Como ni yo mismo lo sé, he consultado en Netcraft, para comprobar qué S.O corre en cada site de cada banda y postear la frikada del mes. Ahí van los resultados.

www.soziedadalkoholika.com Windows 2000 217.76130.23
www.koma-grupo.com Desconocido 62.193.194
www.ktulu.es Desconocido 89.207.232.21
www.habeascorpus-grupoderiesgo.com Desconocido 217.166.0.144

En breves los resultados de nmap.
Saludos




sábado, 10 de noviembre de 2007

No Software Patents!

jueves, 8 de noviembre de 2007

Cómo configurar un Blackberry para que reciba el correo desde un MailServer con Postfix y Procmail.

Empezamos:
1.-Se necesita tener activado el Blackberry, si no se ha activado, en http://www.mobileemail.vodafone.es se activa con los datos del Blackberry: IMEI y PIN.
2.-Configuramos la cuenta de correo. La damos de alta.Basta con indicar la cuenta y el password.Automáticamente hace una búsqueda MX de DNS y comprueba que el tipo de servidor de correo.
3.-Ahora tenemos que crear la cuenta en el dominio @mobileemail.vodafone.es.
4.-Ahora debemos entrar en el Panel de Control de Hosting, y crear una redirección de correo para cada Blackberry. Por ejemplo, si nuestro usuario es usuario@empresa.com, el email redirigido a usuario@mobileemail.vodafone.es será usuario.blackberry@empresa.com. Esto los hacemos para evitar bounces y problemas de spam.Los MailServers de Vodafone tienen políticas muy estrictas, y no es raro observar cómo rechazan los correos desde una IP dinámica o un rango de una red de un ISP.
5.-Una vez creada la redirección debemos entrar por SSH o físicamente al MailServer.Necesitamos editar el fichero de configuración de procmail.Generalmente, se suele indicar en el fichero /etc/postfix/main.cf en mailbox_command = /usr/bin/procmail -m /etc/procmail. Como vemos el fichero de procmail está en /etc.Ahora le indicamos a procmail que cuando llegue un correo para usuario@empresa.com, envíe una copia a usuario.blackberry@mobileemail.vodafone.es.La sintaxis es la siguiente.

SHELL=/bin/sh
DEFAULT=$HOME/Maildir/
LOGFILE=/var/log/procmail.log
#
#
#
#
#
#
#
#
:0fw
| /usr/bin/spamc -f
#
:0c
* ^TOususario@empresa.com
! usuario.blackberry@mobileemail.vodafone.es

6.-En principio estaría listo.Por cuestiones de paranoia suelo recargar la configuración de Postfix, /etc/init.d/postfix reload.

domingo, 4 de noviembre de 2007

htaccess

Pues no recordaba cómo proteger un directorio web en Apache y pasando por Bulma he encontrado un artículo que me refresca un poco la memoría.En realidad si recodaba cómo, lo que no recordaba es sintaxis del .htacess.
El jueves voy al SIMO; a ver qué es lo que se cocina por allí...Espero poder asistir a alguna charla interesante o por lo menos ver cosas interesantes: el Barcelona de AMD,algo nuevo de SGI o SUN, Hispalinux(no sé si van..creo que he leído en la lista que sí iban..)

jueves, 1 de noviembre de 2007

De FreeBSD y demás!

Hola a mi mismo, ya que creo que nadie más lea este blog. Hablar de nadie en la inmensidad de Internet resulta curioso, pero tampoco me interesa que se publicite demasiado, sino que este blog quede como un resquicio de mi mente dentro de la NET y poder recordar las paranoias gnuseras y demás...
Esta semana apenas he dedicado tiempo al blog.Estuve liado preparando el CCNA. He repasado OSPF y VLAN. De momento todo OK, salvo algunas dudas en relación a los temporizadores de OSPF, pero creo que estarán resueltas en breves.
En otro orden de cosas, gracias a Aaron, un compi del curre, he conseguido una máquina para instalar BSD, y todo de cine,hasta la segunda hora, en la que el disco duro se fue al "caraho". Al final el tipo se compra un disco duro de 160GB, para la máquina y total, que aprovechando que tengo que preparar toda la doc de Postfix, he levantado un MailServer en mail.elzulo.org con IMAPs, SASL, WebMail, Apache...en esa máquina.Así cuando me aburra en casa, puedo entrar por SSH y "jugar" con el MailServer.Mañana tengo el día libre así que si tengo tiempo, espero dejar listo el tema de las cuotas de disco.

Salud y GNUismo para todos!

viernes, 26 de octubre de 2007

Gentoo-FreeBSD

Buenas! Me encuentro en la disyuntiva de seleccionar con que SO me pondré esta temporada: Gentoo o FreeBSD. He descartado cualquier SO de la familia Microsoft, más que nada por que no me interesa en absoluto, no es útil para mi trabajo y me aburre.De distribuciones GNU/Linux habituales estoy HARTO.De Ubuntu,NosequéBuntus y demás paso; me parece una burla a todo el equipo de Debian y así como un intento de Shuttleworth de decir "quiero ser como Bill Gates" y además "tengo mucha pasta y quiero jugar con GNU/Linux". Ni hablar de Red Hat o Fedora; menudo chasco en el RHEL, que sí, no digo que en ambientes superempresariales pueda ser más o menos rentable, pero hay un tufillo a "danos más pasta" que no me gusta. Lo de OpenSuSE - Novell más de lo mismo, que si patentes por aquí,que si tal... En fin que mientras me decido...shutdown -h now!

miércoles, 24 de octubre de 2007

FreeBSD + qemu

En 10 minutos tenía listo el FreeBSD bajo qemu. La instalación una delicia comparado con Gentoo. Ojo al Handbook y a la documentación del proyecto; ya le gustaría a muchas distrbuciones GNU/Linux - Linux.

Una captura ya con el FreeBSD funcionando!

Saludos.

domingo, 21 de octubre de 2007

Pepe, un purito!!!

Buenas. He creado una cuenta en flickr y he subido la foto de la antena casera con la que me conecto a Internet. Ya no podía estar más tiempo con la ventana abierta, así que entre apt-get y make-kpkg le he colado la funda metálica del purito, y listo...

sábado, 20 de octubre de 2007

mke2fs

mk2fs /dev/micerebro.......

jueves, 18 de octubre de 2007

Curiosidades o cosas que desconocía!

Una de curiosidades que desconocía:
  • vrms. El señor Richard Stallman se ha currado esta aplicación, que nos dice si tenemos software no libre instalado en nuestra máquina.
polinico:/# vrms
No non-free packages installed on polinico! rms would be proud.
  • Eliminar comentarios en ficheros de configuración:
grep -v "#" /etc/squid/squid.conf
  • hddtemp, paquete que instalado y ,si la placa base lo soporte,nos dice la temperatura del disco duro.
polinico:/# hddtemp /dev/sda1
/dev/sda1: WDC WD800JD-75JNC0: 37°C

De momento esto es todo, me voy ha poner mano a la obra, a configurar un Windows Bad Vista siguiendo el pringao howto. En realidad no me importa, porque son unos amigos, pero el link del pringao how to va para todos aquell@s que se han aprovechado de mi estupidez,imbecilidad, y les he instalado,configurado o arreglado(no soy electrónico ni tengo puñetera idea de electrónica, así que como mucho habré cambiado alguna pieza, a modo puzzle) sin que, ni siquiera me diesen lo que me deben, o como mínimo las gracias por haber desperdiciado un tiempo muy valioso de mi vida, que, como sabréis a estas alturas, no se recuperará NUNCA!.


Salud y GNUismo!

miércoles, 17 de octubre de 2007

El gato y el ratón!

Bueno...juguemos al gato y al ratón! No sé porqué extraña razón, pero tenía la necesidad y las ganas de saber quién es mi "vecino".No de saber quién es físicamente, pero sí de averiguar algo más sobre él, ya sabeis: S.0, MAC, y demás cosillas. Lo primero antes de nada, denegar y logear todo el acceso desde su LAN a excepción de su router, que bueno, no nos queda más remedio que "fiarnos" de él. El -j LOG ha hecho de las suyas y ha llegado a mis manos un broadcast desde la IP 192.168.0.10. Manos a la obra. Un nmap por aquí, un ethereal por allá, que si un smbclient por el otro lado.En un día; la verdad que acabo de volver a casa desde las 07:35 de la mañana, y he conseguido saber esto:
  • Usa Windows XP Home. Nmap de dice que que es XP, pero SMBCLIENT me advierte que el nuestro vecino está en el grupo de trabajo INICIOMS, y eso me suena a XP Home.
  • Placa GigaByte, por la MAC de la tarjeta de RED. Puedo deducir, que no se conecta por wireless, sino por ethernet.
  • Poco preocupado por la seguridad. Responde a ICMPs. Aún no me he conectado por SMB, pero seguro que esta semana saco algo más.
De momento poco más, a seguir con el ethereal un rato, y sleep 3600 && halt, que mañana es otro día. Por cierto, he visitado www.shellsec.net, y he encontrado algún que otro bug para el router de nuestro vecino, todo DoS, pero curiosos.

En otro orden de cosas, le he instalado a unos amigos Debian en un PII 450 con 128 MB de RAM, y funciona de cine.Lo curioso del tema fue la impresionante atención que prestaron al tema; esperemos que le vaya bien y se metan de lleno en el sw libre.

shutdown -h now!
Saludos.

martes, 16 de octubre de 2007

Squid + iptables denegación por defecto.

Os dejo este script para squid con iptables denegando todo lo que se mueva , que "colocaremos" en /etc/init.d/, daremos permisos de ejecución. Básicamente "hace":
  • Deniega por defecto el tráfico entrante a excepcion de SSH y SQUID
  • Permite usar el proxy a la LAN.
En un futuro próximo :
  • Implementación seguridad MAC
  • Proxy Transparente
  • Algo que se me ocurra.


#!/bin/bash
#
#Liberado bajo Licencia Publica General version 2
#Alberto Permuy Leal
#
#
#

PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin
case "$1" in
start)
clear
echo "Iniciando configuracion firewall..."
echo "Estableciendo variables"
INTERFAZLAN="eth0"
INTERNET="0.0.0.0/0"
LAN="192.168.10.0/24"
DNS1="212.59.199.2"
DNS2="212.59.199.6"
echo "OK"
echo "Borrando reglas"
iptables -Z
iptables -F
iptables -X
iptables -t nat -F
echo "OK"
echo "Estableciendo politicas por defecto"
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo "Politicas por defecto OK"
#
#
echo "Estableciendo reglas"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
#Permitimos icmps
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
#
#
#
echo "Permitiendo Acceso SSH"
iptables -A INPUT -i $INTERFAZLAN -s $LAN -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o $INTERFAZLAN -s $LAN -p tcp --sport 22 -j ACCEPT
echo "SSH OK"
#
#
echo "Permitiendo Acesso SQUID"
iptables -A INPUT -i $INTERFAZLAN -s $LAN -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o $INTERFAZLAN -s $LAN -p tcp --sport 3128 -j ACCEPT
echo "SQUID OK"
#
#
echo "Permitiendo consultas DNS"
iptables -A INPUT -i $INTERFAZLAN -s $DNS1 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o $INTERFAZLAN -d $DNS1 -p udp --dport 53 -j ACCEPT
echo "DNS OK"
#
#
#
echo "Permitiendo acceso web estándar"
iptables -A INPUT -i $INTERFAZLAN -s $INTERNET -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o $INTERFAZLAN -d $INTERNET -p tcp --dport 80 -j ACCEPT
echo "Web Estandar OK"
#
#
#
echo "Permitendo acceso web seguro"
iptables -A INPUT -i $INTERFAZLAN -s $INTERNET -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -o $INTERFAZLAN -d $INTERNET -p tcp --dport 443 -j ACCEPT
echo "Web Seguro OK"
#
#
#
echo "Activando bit de forward"
echo 1 > /proc/sys/net/ipv4/ip_forward



;;
stop)
echo "Borrando reglas firewall"
iptables -Z
iptables -F
iptables -X
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
echo "Reglas borradas."
echo "Su máquina es vulnerable!"
;;
*)
echo "Opcion Invalida."
echo "Use start-stop."
exit 1
;;
esac

miércoles, 10 de octubre de 2007

Pisote LAN: Parte I

En primer lugar disculpas a mi vecino por "sablearle" la conexión.La culpa no la tiene usted,la culpa la tiene su proveedor de acceso, que la ha colado un "Pack Wifi" por un precio que no corresponde con la calidad/seguridad de su servicio.

Bueno, con la clave WEP en el bosillo o en nuestro /home somos felices! Ahora solo falta "diseñar" entre comillas la LAN. Qué servicios necesitamos?
  • Proxy, para compartir la conexión. De momento, para navegar es suficiente.Squid sin duda.
  • DNS-Caché-Forward.Así optimizaremos el tiempo de consulta.Bind es elegido.
  • SAMBA.Mi PC que hace de todo, rulan con Debian 4.0 y kernel 2.6.16.20, y el del salón con Windows XP PES 6 Server .Nos interesa poder intercambiar ficheros y demás material multimedia.
  • Accesos remotos: ssh, webmin
  • DHCP.DHCP3 Server.
  • Wifi¿?
Hace un rato acabo de configurar el DNS-Cache leyendo este mini-como que me pareció interesante y conciso.

Tengo también el Squid listo. Luego posteo los ficheros de configuración. Samba no tiene mucha historia(lo sencillo).Los accesos remotos lo mismo que samba.En relación al Wifi, es por comodidad. Apenas uso el portátil en casa, pero si viene alguien o uso la PSP, me cunde.El dilema surge a la hora de implementar la seguridad: WEP y MAC me han demostrado que siendo un pocos pillos, en un par de días está el tema listo.

En relación al direccionamiento, lo tengo claro. Sólo 16 hosts como máximo, en una red de clase B, como sigue:


CLASE:B
RED: 172.16.0.0
BROADCAST: 172.16.0.15
MASCARA: 255.255.255.240
MAX HOST: 14
POLINICO(DEBIAN):172.16.0.1
XPPES6(XP): 172.16.0.2
ACCESS POINT: 172.16.0.3
RANGO DHCP: 172.16.0.4-14


Os dejo el squid.conf

#
#
#Fichero configuracion squid
#
#
#Parametros basicos
http_port 3128 transparent
#
#
#Pametros de la cache
cache_mem 128 MB
cache_dir ufs /tmp 1024 32 256
coredump_dir /var/spool/squid/cache
acl manager proto cache_object
maximum_object_size 32768 KB
cache_access_log /var/log/squid/access.log
#
#
#Parametros varios
half_closed_clients off
ftp_user anonymous@nospam.com
#
#
#Definicion de puertos seguros
acl SSL_ports port 443 563 8080
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 20
acl Safe_ports port 443
acl Safe_ports port 563
acl Safe_ports port 777
acl Safe_ports port 1024-65535
acl CONNECT method CONNECT
#
#
#############################
#Listas de control de Acceso#
#############################
#
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl denywords url_regex "/etc/squid/denywords"
acl denydomains dstdom_regex "/etc/squid/denydomains"
visible_hostname proxy.local
cache_mgr nospam@nospam.com
acl lan src 192.168.0.0/255.255.255.0
acl lan-pisote src 172.16.0.0/255.255.255.240
acl mihost src 192.168.0.12
http_access allow localhost
http_access allow manager localhost
http_access allow mihost
http_access allow lan-pisote
http_access deny lan
http_access deny denywords
http_access deny denydomains
http_access deny CONNECT !SSL_Ports
http_access deny CONNECT !Safe_Ports


Saludos.

Xen done!

Hoy he logrado que funcione Xen. Sólo que funcione, lo que no hay que confundir con que funcione bien.Kernel precompilado y paquetes deb por un tudo.Básicamente los manuales y websites que he leído son los siguientes:

http://www.redhat.es
http://www.debian-administration.org/articles/396
http://howtoforge.com/debian_etch_xen_from_debian_repository
http://es.wikipedia.org/wiki/Xen
http://www.xensource.com

Errores Encontrados:

Error: Device 2049 (vbd) could not be connected. Backend device not found.

En http://readlist.com/lists/lists.xensource.com/xen-users/2/14787.html que encontrado la solución, aúnque no del todo.

He añadido en el grub el parámetro max_loop y en /etc/xen-tools/xen-tools.conf el parámetro boot = 1,para que después de crear una imagen, ésta arranque automaticamente.

Este es el listado de Xen con 2 VM Debian Etch:

sist-02:/home/alberto# xm list
Name ID Mem(MiB) VCPUs State Time(s)
Domain-0 0 1756 2 r----- 723.4
xen-etch 3 128 1 -b---- 13.4
xen-etch2 4 128 1 -b---- 12.5

martes, 9 de octubre de 2007

Cambiar MAC en GNU/Linux

Por una serie de historias que no voy a comentar,me he visto en la tesitura de cambiar la dirección física de una tarjeta ethernet. He googleado y he encontrado una aplicación macchanger. Supongamos que la MAC a suplantar es 00:11:22:33:44:55 .La sintaxis en GNU/Linux es la siguiente,:
[root@localhost]macchanger --mac:00:11:22:33:44:55 eth1
Mi consejo es que "tireis" la interfaz antes de ejecutar el macchanger.

Saludos.

martes, 2 de octubre de 2007

Mandriva WorldWide Install

Aún recuerdo la instalación de Mandrake 7.1! Qué tiempos! Hace 7 años más o menos.. En un 166 Mhz con 32 MB de RAM. Con el tiempo he probado la 8.2, la 9.1 y la 10.x( no recuerdo). El caso es que esta mañana he leido un mail en el que hacian un CALL TO ARMS para montar una install party de Mandriva.

Para ser sinceros, a mi con Debian me va de cine. La semana pasada estuve unos días con una Gentoo en una máquina y tb de cine. Me asombró el tema del emerge...Joer, que no lo tienen bien montado los tipos. He leído en algún site que el líder del proyecto es un poco "creído" y egocéntrico, pero salvando distancias y discrepancias, Gentoo se sale.

Retomando el tema de Mandriva, comentar que estoy a la espera de noticias para ver que es lo que sucede con el Install Party. Aquí podéis ver de qué va el tema.

Me voy para cama, que me levanto a las 07:25.