miércoles, 28 de noviembre de 2007

Mini Guia buenas practicas GNU/Linux Parte II

Queridisimos hippies, vamos con la segunda entrega(Alpha, sin revisar, con dos cojones!) de la "Mini Guia buenas practicas GNU/Linux" Parte II.
2.- Breves notas sobre seguridad.

2.1 Acceso Fisico.Es obvio que por mucho empeño que pongamos en "fortificar" nuestra maquina ante ataques externos y posibles intrusos, la seguridad fisica suele ser un punto que pocos SysAdmin tienen en cuenta.Entre las inumerables recomendaciones hago incapie en:
2.1.1 Acceso a Rack. Control de accesos a la maquina/maquinas en cuestion.Tener un control sobre el numero de llaves,tarjetas de acceso y titulares de las mismas,garantiza el NO ANONIMATO y depuracion de responsabilidades en caso de desastre.La utilizacion de camaras IP o videovigilancia nos alertara del uso indebido de HD Externos o Pendrives.Hoy en dia una solucion de camara IP es muy asequible, pudiendo adquirir modelos con relacion calidad-precio mas que aceptable por menos de 200 euros.La conexion a una central de alarmas en caso de "opertura dil cremallero" nos es descabellada.
En caso de que la ubicacion del rack de comunicaciones sea distinta a la del rack de servidores,aplicamos lo dicho en el parrafo anterior.[Ampliar]
2.1.2 Bloqueo Acceso BIOS y Secuencia Arranque.Nunca, bajo ningun concepto se debe facilitar el acceso a la BIOS de una maquina en produccion, y mucho menos poder arrancar desde un Pendrive USB o CD/DVD-ROM.
2.1.3 Sistema Alimentacion Ininterrumpida.Un SAI nos protege ante un corte de suministro o mal funcionamiento de la red electrica.Consideraremos la adquisicion de un SAI como parte fundamental en la estabilidad de nuestros sistemas.
2.1.4.Factores externos.Existen numerosos factores externos que pueden influir directamente en el correcto desempeño de los servicios de nuestras maquinas; entre ellos podemos destacar las inundaciones,incendios..etc.Contar con un buen sistema de aire acondicionado,detectores de humo...es esencial para prevenir desastres.

En realidad la segunda entrega es la mitad del punto 2, en el que doy unas pinceladas acerca de las restricciones del acceso físico a las maquinas, amen de otras cosillas.

martes, 27 de noviembre de 2007

Mini Guia buenas practicas GNU/Linux

Espero compredais esto es una version Alpha aun sin revision.

Mini Guia buenas practicas instalacion servidor de correo GNU/Linux



S.O: DEBIAN GNU/LINUX 4.0 ETCH
KERNEL: 2.6.22 o superior, elimando modulos no necesarios, tales como: PCMCIA,Wireless..etc.
PAQUETES:
- Actualizar el Sistema: apt-get dist-upgrade
- Compilacion kernel: wget http://www.mandcspain.com/paquetekernel
- Sistema: postfix,spamassassin,dovecot-common,dovecot-imapd,spamassassin,spamc,mailx,apache,procmail


1.-Configuraciones y comprobaciones previas.


1.1.- Especial cuidado si vamos a enviar emails directamente desde el servidor.Es necesario saber si el ISP permite activar SPF sobre los registros MX del DNS.En caso afirmativo,activar SPF para que apunte a la IP fija del gateway que sera configurado como puerta de enlace predeterminada.

1.2.- Comprobar que la IP no esta en listas de SPAM.Evidentemente esto es una tarea tediosa,dificil y complicada.Muchos SysAdmin deciden abandonar este punto y seguir con los siguientes(si es que siguen algun patron!!!!), ya no lo consideran importante o simplemente lo ignoran.Mal hecho.Las URL que utilizaremos en un principio son las siguientes.Ni mucho menos son las unicas, pero pueden ayudarnos:

http://www.rbl.jp/ckdb/
http://www.moensted.dk/spam/
http://spamlinks.net/filter-dnsbl-lookup.htm#general-sites

1.3 La Documentacion es imprescindible.
1.3.1 Documentacion cuentas.Utilizaremos fetchmail(www.catb.org/~esr/fetchmail/) para que "recoja" los correos desde el servidor POP3 y, mediante procmail(www.procmail.org) los entrege al servidor IMAP dovecot(www.dovecot.org).En instalaciones donde el numero de usuarios supera la veintena(aunque no lo supere debemos hacerlo),se recomienda utilizar un Shell Script que automatice todo este proceso.[Pendiente Linkar Script]
1.3.2 Cuotas de disco.La correcta definicion de cuotas de disco ayudara al SysAdmin a prevenir desastres del tipo "Ups,el server se ha quedado sin espacio en disco" o "Mira un cosa, abro el Autoluk(Outlook) y me dice asdklajsdlkjasdljkasdlkajsdlkajsd".Webmin(www.webmin.com)facilita mucho esta tarea.
1.3.3 Password.Habilitaremos la caducidad de las contraseñas, dependiendo del numero de usuarios,podremos hacerlo manualmente(no recomendado) o mediante Shell Script o Perl.
1.3.4 Filtros envio,cabeceras...etc.Importante.Debemos definir el tamaño maximo para el envio de emails,adjuntos,..etc, con el fin de bloquear los envios que superen X MB, y que puedan provocar una caida del rendimiento en el servidor.
1.3.5 Spam.Definir la politica.Emplearemos spamassassin(http://spamassassin.apache.org/) para filtrar el correo basura.Spamassassin para un correcto funcionamiento necesita "entrenamiento", para ello, debemos enviar directamente los emails a una carpeta llamada X(SPAM por ejemplo) dentro de cada buzon IMAP(con procmail es muy facil).Con CRON es muy facil añadir una tarea HAM y SPAM para que Spamassassin aprenda cual es realmente el SPAM(No deseado) y el HAM(Deseado) en las horas de menor carga de trabajo del server o servers.
1.3.6 Antivirus.[Pendiente]
1.3.7 Backup.Mirroring,tar.gz,Backula,DLT,DDS o lo que queramos, pero este punto es imprescindible en cualquier instalacion.
1.3.8 Monitorizacion.Si tenemos Nagios(www.nagios.org) en nuestra LAN/WAN tendremos la mitad del trabajo hecho en lo que se refiere a monitorizacion en tiempo real.La examinar el mail.log(en Debian) o maillog(en RHEL) podemos utilizar pflogsumm(jimsun.linxnet.com/postfix_contrib.html) y munin(http://munin.projects.linpro.no/) para obtener mediante el empleo del algoritmo Round Robin, unas estadisticas graficas detalladas y elegantes.

...

En relación al post anterior el concierto muy bien. Por causa relacionadas a mi situación mental el día del concierto, me he perdido a Ktulu.Koma; lo mejor. SA; en su línea. Habeas Corpus;no me gustaron.
De lo que he leído últimamente lo mas interesante:
.- Entrevista a Linus Torvalds
.- Kirai en meneame.
Kirainet.com es uno de los blogs más interesantes que he leído en mis casi 10 años como internauta.100% recomendado
.- Aokigahara : el bosque de los suicidios.

El próximo viernes 30 me voy con Pableras a la II LudusParty, en Lugo. Os mantendré informados.
Salud y gnuismo para todos.

sábado, 17 de noviembre de 2007

Netcraft!

En 24 horas estaré en el II Inferno Rock viendo a S.A, Koma, Ktulu y Habeas Corpus. Qué tiene esto que ver con un blog supuestamente gnuista y demás?..Como ni yo mismo lo sé, he consultado en Netcraft, para comprobar qué S.O corre en cada site de cada banda y postear la frikada del mes. Ahí van los resultados.

www.soziedadalkoholika.com Windows 2000 217.76130.23
www.koma-grupo.com Desconocido 62.193.194
www.ktulu.es Desconocido 89.207.232.21
www.habeascorpus-grupoderiesgo.com Desconocido 217.166.0.144

En breves los resultados de nmap.
Saludos




sábado, 10 de noviembre de 2007

No Software Patents!

jueves, 8 de noviembre de 2007

Cómo configurar un Blackberry para que reciba el correo desde un MailServer con Postfix y Procmail.

Empezamos:
1.-Se necesita tener activado el Blackberry, si no se ha activado, en http://www.mobileemail.vodafone.es se activa con los datos del Blackberry: IMEI y PIN.
2.-Configuramos la cuenta de correo. La damos de alta.Basta con indicar la cuenta y el password.Automáticamente hace una búsqueda MX de DNS y comprueba que el tipo de servidor de correo.
3.-Ahora tenemos que crear la cuenta en el dominio @mobileemail.vodafone.es.
4.-Ahora debemos entrar en el Panel de Control de Hosting, y crear una redirección de correo para cada Blackberry. Por ejemplo, si nuestro usuario es usuario@empresa.com, el email redirigido a usuario@mobileemail.vodafone.es será usuario.blackberry@empresa.com. Esto los hacemos para evitar bounces y problemas de spam.Los MailServers de Vodafone tienen políticas muy estrictas, y no es raro observar cómo rechazan los correos desde una IP dinámica o un rango de una red de un ISP.
5.-Una vez creada la redirección debemos entrar por SSH o físicamente al MailServer.Necesitamos editar el fichero de configuración de procmail.Generalmente, se suele indicar en el fichero /etc/postfix/main.cf en mailbox_command = /usr/bin/procmail -m /etc/procmail. Como vemos el fichero de procmail está en /etc.Ahora le indicamos a procmail que cuando llegue un correo para usuario@empresa.com, envíe una copia a usuario.blackberry@mobileemail.vodafone.es.La sintaxis es la siguiente.

SHELL=/bin/sh
DEFAULT=$HOME/Maildir/
LOGFILE=/var/log/procmail.log
#
#
#
#
#
#
#
#
:0fw
| /usr/bin/spamc -f
#
:0c
* ^TOususario@empresa.com
! usuario.blackberry@mobileemail.vodafone.es

6.-En principio estaría listo.Por cuestiones de paranoia suelo recargar la configuración de Postfix, /etc/init.d/postfix reload.

domingo, 4 de noviembre de 2007

htaccess

Pues no recordaba cómo proteger un directorio web en Apache y pasando por Bulma he encontrado un artículo que me refresca un poco la memoría.En realidad si recodaba cómo, lo que no recordaba es sintaxis del .htacess.
El jueves voy al SIMO; a ver qué es lo que se cocina por allí...Espero poder asistir a alguna charla interesante o por lo menos ver cosas interesantes: el Barcelona de AMD,algo nuevo de SGI o SUN, Hispalinux(no sé si van..creo que he leído en la lista que sí iban..)

jueves, 1 de noviembre de 2007

De FreeBSD y demás!

Hola a mi mismo, ya que creo que nadie más lea este blog. Hablar de nadie en la inmensidad de Internet resulta curioso, pero tampoco me interesa que se publicite demasiado, sino que este blog quede como un resquicio de mi mente dentro de la NET y poder recordar las paranoias gnuseras y demás...
Esta semana apenas he dedicado tiempo al blog.Estuve liado preparando el CCNA. He repasado OSPF y VLAN. De momento todo OK, salvo algunas dudas en relación a los temporizadores de OSPF, pero creo que estarán resueltas en breves.
En otro orden de cosas, gracias a Aaron, un compi del curre, he conseguido una máquina para instalar BSD, y todo de cine,hasta la segunda hora, en la que el disco duro se fue al "caraho". Al final el tipo se compra un disco duro de 160GB, para la máquina y total, que aprovechando que tengo que preparar toda la doc de Postfix, he levantado un MailServer en mail.elzulo.org con IMAPs, SASL, WebMail, Apache...en esa máquina.Así cuando me aburra en casa, puedo entrar por SSH y "jugar" con el MailServer.Mañana tengo el día libre así que si tengo tiempo, espero dejar listo el tema de las cuotas de disco.

Salud y GNUismo para todos!