Backup IOS Router Cisco

Bueno... ya falta cada vez menos para el examen final de CCNA. Repasando esta tarde, no recordaba(en realidad sí, pero era una escusa para postear!!!!) cómo hacer un backup del IOS y ni como cambiar password a un router.Es muy fácil.

Backup IOS.

• Tener un tftp server funcionando
• Modo enable, hacemos un show flash, y deberíamos ver algo como esto:

System flash directory:
File Length Name/status
1 4306080 c820-sy6-xxxxx.xxxxxxx
[4306144 bytes used, 4082464 available, 8388608 total]
8192K bytes of processor board System flash (Read/Write)

• Luego un copy flash tftp, y deberíamos ver algo como esto:

router-01#copy flash tftp Source filename []? c820-sy6-xxxx.xxxx Address or name of remote host []? 192.168.12.253 Destination filename [c827-y6-mz.121-1.XB]? !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
En pocos segundos tendremos en nuestra máquina una imagen del IOS sana y salva.Sólo falta quemar un CD para mayor seguridad y meterlo en la caja fuerte.Aunque muchos no lo sepan, las imágenes de IOS cuestan €, y bajarlas de la "mula" no es del todo "legal".

Recuperar contraseña.

• Con el router mosqueado, lo reiniciamos y cuando veamos:

System Bootstrap, Version 12.2(4r)XM1, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.co
Copyright (c) 2001 by cisco Systems, Inc.
C800/SOHO series (Board ID: 13-62) platform with 24576 Kbytes of main memory

pulsamos CTRL+Pausa.

• Entramos en modo ROMmom, y escribimos
  

rommon 2 > confreg 0x2142
rommon 2 > reset

• Después de un par de minutos...voilá:

Would you like to enter the initial configuration dialog? [yes]
Sencillo, no, pues a trastear!

VPN y Perl

NO soy programador, con lo cual, asumo los errores y barbaridades de este post.
Supuesto: Se necesita chequear el acceso a una red, y en caso de no poder acceder a la misma, levantar el cliente de Cisco VPN para GNU/Linux.
Solucion: Script en perl que compruebe vía ICMP la disponibilidad el router remoto y en caso de no poder llegar a esta red,levantar el cliente de Cisco.He estado trasteando un poco con CPAN y demás, y esto es lo que he conseguido.

#!/usr/bin/perl
use Net::Ping;
$gateway = "192.168.1.254";
$p = Net::Ping->new();
if($p->ping($gateway))
{
print "El gateway $gateway responde\n";

}
else
{
print "El gateway no responde\n";
system ("matavpnc");
print "Lanzando conexion VPN\n";
system ("vpnc-connect miempresa");
system ("ping -c 5 192.168.1.254");
system ("route -n");

}
$p->close();

Pero esto no es todo.Como sabréis, el Cliente de Cisco crea subinterfaces del tipo tun0, tun1...por cada una de las conexiones VPN.Si sólo existe esa conexión el script anterior nos llega, pero qué sucede si existen más conexiones establecidas? Fácil. El cliente retorna un error indicando que no puede crear la interfaz tun0 por que ya está en uso.Para solucionarlo, he estado probando un script en bash que compruebe si está corriendo(muy fácil comprobando el pid o ps) ya el vpnc-connect, y en caso afirmativo, añada --local-port 0 o --local-port n+1 como parámetro a vpnc-connect..Con ps aux y awk encontré la pista para seguir adelante.
#!/bin/bash
for i in `ps aux|grep vpnc-connect| awk '{ print $2 }'`;
do
kill -9 $i
done
echo "Fin Script MataVPN"
Este ejemplo en concreto mata todos los procesos vpnc-connect, y no hace exactamente lo que queremos, pero el awk '{ print $2 }' creo que es la clave.
Salud y gnuismo para todos!

md5

MD5 es un algoritmo de reducción criptográfico de 128 bits, que nos permite entre otras muchas cosas, comprobar la integridad de un fichero. Es muy útil cuando copiamos ficheros entre sistemas, para verificar que no se han producido errores.Veamos un ejemplo:Necesitamos copiar(scp, siempre!!!), descargar... el fichero postfix_2.3.8.orig.tar.gz desde la máquina stewie a la máquina brian. Primero generamos la suma md5 en la máquina origen.
[user@stewie]#md5sum -b postfix_2.3.8.orig.tar.gz | awk '{ print $1 }' > postfix.md5
[user@stewie]#cat postfix.md5
[user@stewie]#a6c560657788fc7a5444fa9ea32f5513
Luego copiamos el fichero a la máquina destino
[user@stewie]# scp postfix_2.3.8.orig.tar.gz user@brian:/tmp
Generamos la suma md5 y comprobamos el resultado.
[user@brian]#md5sum -b postfix_2.3.8.orig.tar.gz | awk '{ print $1 }' > postfix2.md5
[user@brian]#diff postfix.md5 postfix2.md5
Si el resultado es positivo , diff no devuelve nada.Supongamos que el fichero es alterado en el proceso de copia.Aplicamos diff de nuevo, y obtendríamos:
[user@brian]#diff postfix2.md5 postfix.md5
1c1
< aa6c560657788fc7a5444fa9ea32f5513
---
> a6c560657788fc7a5444fa9ea32f5513
Probablemente esto no sirva de mucho a Administradores poco avispados, pero si lo sois ,o simplemente quereis verificar la integridad de vuestras copias o ficheros...aplícate md5sum!
Saludos! I'm back!

SSH

Muchos Administradores, piensan que sólo con usar OpenSSH para realizar las conexiones remotas a las máquinas GNU/Linux-Unix que administran, es suficiente.
Como la experiencia es un grado, nunca esta de más, securizar la máquina, sobre todo si está expuesta a una red como Internet, o los servicios de acceso remoto están habilitados.
Durante los dos últimos días, he revisado mis notas y apuntes sobre el uso de claves públicas/privadas en las conexiones SSH; he actualizado las configuraciones en las máquinas que no utilizaban RSA. Estos dos enlaces me ha ayudado a refrescar cosillas: [ 1 ] , [ 2 ] . Sé que no soy nadie para dar consejos, pero os recomiendo utilizar llaves RSA en vuestras conexiones SSH.

Saludos!

Habemus Mac!

Fumata blanca...Habemus Mac! Después de 3 años de lucha y espera, ayer 19 de Mayo de 2008, he comprado el Mac Book.

Impresiones. Espectacular.Sin lanzar las campanas al vuelo, y desde el punto de vista de un usuario GNU/Linux desde hace unos 7 años, tanto el hardware como el software impresionan.Mac OS X es muy muy sencillo de utilizar.Resumiendo, las cosas simplemente funcionan.Echo de menos el apt-get...En breves, en unos 10 días que es lo que me he dado de plazo con este S.O, instalaré Debian GNU/Linux.

Saludos.

Dynamic MMap ran out of room APT::Default-Release "stable"; APT::Cache-Limit "141943904";

He localizado el siguiente error al incorporar al sources.list fuentes de testing y stable: E: Dynamic MMap ran out of room

Solucion: Crear fichero apt.conf si no existe, y añadimos:
APT::Default-Release "stable";
APT::Cache-Limit "141943904";
Evidentemente si tu disto no es stable.....cambia APT::Default-Release

Compilar paquetes "al vuelo"

Creo recordar una entrada en este blog con apt-build.Una aplicación muy útil,que compila "automáticamente" el paquete para la arquitectura y características de tu máquina.Esta mañana, en www.debian.org, he visto una reseña a algunas características de apt-get,frecuentemente olvidadas.Entre ellas la opción source, que básicamente descarga los fuentes y luego los compila.Veamos un ejemplo.Antes de nada comentar que en /etc/apt/sources.list debemos tener una entrada para el repositorio de fuentes, como podemos ver en el ejemplo, la línea comienza por deb-src
[root@localhost] cat /etc/apt/sources.list
deb http://ftp.rediris.es/debian testing main contrib non-free
deb-src http://ftp.rediris.es/debian testing main contrib non-free
Ahora actualizamos los fuentes:
[root@localhost] apt-get update
Descargamos por ejemplo los fuentes de postfix,y con el parámetro -b, indicaremos a apt-get que también lo compile.
[root@localhost]apt-get -b source postfix
Es posible que para compilar el paquete, existan dependencias no resueltas, para ello:
[root@locahost]apt-get build-dep postfix
Ejecutamos de nuevo :
[root@locahost]apt-get -b source postfix
Esperamos unos minutillos,depende de la máquina.Las pruebas las he hecho en un DELL Optiplex GX520, con un Pentium Dual Core 2,8 Ghz y 2 GB RAM 533, y en 3 minutos, tema resuelto.
Hacemos un ls -l en el directorio actual:
[root@localhost]ls -l
total 5720
drwxr-xr-x 19 root root 4096 may 9 09:12 postfix-2.5.2~rc2
-rw-r--r-- 1 root root 218123 abr 14 18:47 postfix_2.5.2~rc2-1.diff.gz
-rw-r--r-- 1 root root 1022 abr 14 18:47 postfix_2.5.2~rc2-1.dsc
-rw-r--r-- 1 root root 3658 may 9 09:13 postfix_2.5.2~rc2-1_i386.changes
-rw-r--r-- 1 root root 1159202 may 9 09:13 postfix_2.5.2~rc2-1_i386.deb
-rw-r--r-- 1 root root 3154538 abr 14 18:47 postfix_2.5.2~rc2.orig.tar.gz
-rw-r--r-- 1 root root 39732 may 9 09:13 postfix-cdb_2.5.2~rc2-1_i386.deb
-rw-r--r-- 1 root root 139600 may 9 09:13 postfix-dev_2.5.2~rc2-1_all.deb
-rw-r--r-- 1 root root 909570 may 9 09:13 postfix-doc_2.5.2~rc2-1_all.deb
-rw-r--r-- 1 root root 46910 may 9 09:13 postfix-ldap_2.5.2~rc2-1_i386.deb
-rw-r--r-- 1 root root 41734 may 9 09:13 postfix-mysql_2.5.2~rc2-1_i386.deb
-rw-r--r-- 1 root root 41516 may 9 09:13 postfix-pcre_2.5.2~rc2-1_i386.deb
-rw-r--r-- 1 root root 41798 may 9 09:13 postfix-pgsql_2.5.2~rc2-1_i386.deb
Instalamos el paquete:
[root@localhost]dpkg -i postfix_2.5.2~rc2-1_i386.deb

Fácil,pues ya sabeis, a compilar.

HeartBeat Debian Etch

Hoy en instalado mi primer HA en GNU/Linux.Es algo sencillo.Un cluster de alta disponibilidad, con dos máquinas, corriendo vsftpd. En unas 2 horas tenía el cluster HA listo.La idea general es esta:

• 2 Servidores con Debian GNU/Linux Etch 4.0 .
  
• vsftpd en las dos máquinas.
• sist-02.elzulo.org : 192.168.10.50
• mail.elzulo.org: 192.168.10.200
• Una única dirección IP transparente al usuario: 192.168.10.125
  
• Cuando el servidor Master no se encuentre operativo, el Esclavo pasa a dar servicio FTP.
• Heartbeat es el software instalado.

Lo primero es instalar el software vsftpd y comprobar que funcione en ambos servidores.Fácil.
Después instalamos heartbeat.El directorio de configuración es /etc/ha.d.

1. Creamos en este directorio authkeys

auth 1
1 crc
[Contenido /etc/ha.d/authkeys]
2. Creamos el fichero ha.cf para cada una de las máquinas del Cluster HA.
Este fichero es el de mail.elzulo.org(supuesto host,ya que no está operativo).
debugfile /var/log/ha-debug
ping 192.168.10.254
logfile /var/log/ha-log
logfacility local0
keepalive 2
deadtime 30
warntime 10
initdead 120
udpport 694
mcast eth0 225.0.0.1 694 1 0
ucast eth0 192.168.10.200
auto_failback on
node sist-02.elzulo.org
node mail.elzulo.org
bcast eth0
3. Creamos el fichero /etc/ha.d/haresources en el que indicaremos el servidor Master o Principal en este caso :
sist-02.elzulo.org 192.168.10.125 vsftpd

4. /etc/init.d/heartbeat restart

Faltan un montón de historias, pero como toma de contacto no está nada mal,verdad?

DELL PowerEdge R300 + Debian Etch 4.0 Estable

El motivo de este post es desmitificar el comentario "No existen drivers para Linux".
Antecedentes: El cliente necesita instalar una DMZ, con Proxy-Firewall en un Servidor GNU/Linux.Obviamente, antes de nada es necesario comprobar que los componentes de la máquina son compatibles con el Kernel de Linux.El Servidor es un DELL R300, muy similar al 1950, con las siguientes características:

• 1 Procesador Intel Quad Core 2,50 Ghz(4 Nucleos)
• 2 GB RAM DDR 667 Mhz
• 2 x 160 SATA RAID 1
• 2 x BroadCom NetExtremr Gigabit Ethernet
• 2 x Intel Gigabit Ethernet

La distribución que se instalará en la máquina es una Debian Etch 4.0 r3.Siempre instalo el S.O desde el CD NetInstall, pero en este caso,como comprobareis más adelante, no fue posible.Para ello, en mi cartuchera de CDs suelo llevar un CD1 de x86 y otro de x86_64 por lo que pueda pasar.Al intentar instalar desde NetInstall me llevo una "sorpresilla" al comprobar que no detecta la tarjeta de Red.PANICO!.Mucha gente, en este caso, se haría eco de la afirmación inicial de este post "No existen drivers para Linux" y abandonaría la instalación.ERROR!.Seamos sensatos.Broadcom es uno de los fabricantes con mayor presencia de chipsets en el campo de servidores junto con Intel y demás.De verdad creéis que no han desarrollado drivers para Linux de las NetExtreme?.
Desarrollo: En la mayoría(85%) de los servidores y máquinas que instalo Debian GNU/Linux compilo el Kernel y las aplicaciones con apt-build.Sí, es una labor tediosa; pero los resultados en lo referente al rendimiento son espectaculares.A las 11:05 de la mañana, desde consola y como root:
[root@fw-empresax]: apt-get install binutils e2fsprogs gcc make module-init-tools procps util-linux kernel-package initrd-tools libncurses5-dev
En principio no debería tener ningún problema...En este tipo de afirmaciones siempre suelo colar un "En principio", por si hay que retractarse de lo dicho anteriormente.Pues sí: marrón.El paquete libncurses5-dev no está en el CD1 de Etch 4.0 r3. Solución: muy fácil, nos vamos a http://packages.debian.org y descargamos el paquete a un pendrive, desde consola y como root:
[root@fw-empresax]: dpkg -i libncurses5-dev
Ahora procedemos a instalar la última versión del kernel de linux, en este caso la 2.6.25.1.
[root@fw-empresa]:cp /tmp/linux-2.6.25.1.tar.gz /usr/src && cd /usr/src
[root@fw-empresa]: tar zxvf linux-2.6.25.1
[root@fw-empresa]: ln -s /usr/src/linux-2.6.25.1 /usr/src/linux
[root@fw-empresa]:make menuconfig
Seleccionamos los drivers de Broadcom como módulo del kernel(*).
[root@fw-empresa]: make-kpkg --initrd kernel_image
Esperamos unos 10 minutos ...et voilá!Son las 12:20 y ya tengo el S.O running!!!
[root@fw-empresa]: dpkg -i linux-image-2.6.25.1.deb && reboot
Desenlace: Es cierto que hemos tenido que recompilar el kernel,copiar un paquete .deb desde un USB, pero tenemos Debian GNU/Linux instalado en la máquina funcionando correctamente.Evidentemente estos pasos no son del todo sencillos, pero con un poco de paciencia todo es posible.

technorati

Technorati Profile

II Xornadas Software Libre Ousli - Ourense

Con unos días de retraso(he estado en Barcelona), publico el post en relación a las II Xornadas de Software Libre Ousli, celebradas el 11 de Abril en Ourense.
Llegamos como de costumbre un poco tarde, lo justo para el comienzo de la charla
"Seguridad en GNU/Linux". No me gustó nada. El ponente, David Martínez Carballo no preparó nada o prácticamente nada la charla, de echo, en muchos momentos se dedicó a "leer" las transparencias.En fin, muy mal.
A eso de las 10:00 comenzada la charla "Traducción de Software Libre ao Galego", por Manuel Varela, de Mancomún.Muy interesante, preparada y con ejemplos.No le pude prestar toda la atención que se merecía ya que llamaron por teléfono...
A las 12:15 comenzaba "Filtrado de SPAM", a cargo del Dr. José Ramón Mendez Reboredo.La mejor con diferencia. El tipo este es la ostia; resulta que la tesís la realizó sobre la "Inteligencia Artificial en el filtrado Spam" o algo así; imaginaos la historia si el título es ese! Trató temas desde los open relays, spamassassin y los registros SPF y DKIM.Para mí, caviar del bueno!

Casualidades...y Cisco

Más de lo mismo.Me aburro estudiando LCP,NCPs y demás.En una de mis cábalas, me preguntaba por el resultado de un apt-cache search cisco, y he topado con ipcalc, una aplicación curiosa que , previa introducción de una direccion de host o red, calcula máscaras wildcard,broadcast y demás.Para muestra, un botón:
polinico:/# ipcalc 192.168.11.1
Address: 192.168.11.1 11000000.10101000.00001011. 00000001
Netmask: 255.255.255.0 = 24 11111111.11111111.11111111. 00000000
Wildcard: 0.0.0.255 00000000.00000000.00000000. 11111111
=>
Network: 192.168.11.0/24 11000000.10101000.00001011. 00000000
HostMin: 192.168.11.1 11000000.10101000.00001011. 00000001
HostMax: 192.168.11.254 11000000.10101000.00001011. 11111110
Broadcast: 192.168.11.255 11000000.10101000.00001011. 11111111
Hosts/Net: 254 Class C, Private Internet

Mola, verdad?

En CentOS igual...

En relación al post anterior,comentar que he probado la misma instalación del Cliente Unix/Linux de Veritas en CentOS 5 y tampoco ha funcionado a la primera.Sí lo ha hecho después de instalar compat-libstdc.

[root@centos ~]# rpm -iUvh compat-libstdc++-33-3.2.3-47.3.i386.rpm
warning: compat-libstdc++-33-3.2.3-47.3.i386.rpm: Header V3 DSA signature: NOKEY, key ID 652e84dc
Preparing... ########################################### [100%]
1:compat-libstdc++-33 ########################################### [100%]
[root@centos ~]# /etc/init.d/VRTSralus.init start
Starting Symantec Backup Exec Remote Agent ......
Starting Symantec Backup Exec Remote Agent: [ OK ]

Otra curiosidad que me ha llamado la atención este fin de semana es el driver para Wifi de Intel 3945 y 4935, que en Debian se instalaba con el paquete ipw(no recuerdo el nombre), ahora se hace con el paquete iwlwifi. En realidad a mi me llevó un rato, por que no había activado la Wireless en el portátil.En fín, cosas del directo.

RHEL 4.0 y Cliente UNIX/Linux Veritas

Increíble.Pagas religiosamente una licencia para un Cliente de Veritas, lo instalas en una RHEL 4.0 y ... [FAILED]. Pues si.La documentación un desastre; sólo de dedicada a describir el proceso de instalación, y eso es algo que me revienta: los clásicos manuales que se dedican a describir lo que ves en la pantalla; señores, eso ya lo estoy viendo, y lo puedo hacer yo en mi casa.Por suerte he encontrado en los foros de Symantec la solución. Instalando una librería de c++ se soluciona el problema.Pero es realmente penoso.APT-GET Power!

Squirrelmail y UTF-8

Breve nota para cambiar el idioma a Squirrelmail.

1. Descargamos de squirrelmail.org la ultima version estable.
2. Descromprimimos el fichero tar zxvf all_locales-1.4.13-20071220.tar.gz
3. Editamos ../locale/es_ES/setup.php cambiando ISO por UTF-8
4. Lo mismo en ../functions/i18n.php.

Por que cambiar ISO por UTF-8.Pues no lo sé.Supongo que squirrelmail no se llevará bien con ISO 8859-1. Pero antes de nada vamos a comentar que es ISO 8859 y UTF-8.
Digamos a grandes rasgos que ISO 8859-1 es un estándar internacional para carácteres latinos, que incluye letras acentuadas y caracteres especiales. UTF-8 lo desarrolló Ken Thompson, si si, el creador del lenguaje C, y su principal característica es que un lenguaje de codificación de puede codificar cualquier caracter en cualquier idioma.

Resumiendo, que con UTF-8 tengo Squirrelmail funcionando relativamente bien.

Mas de Cisco

Muy a menudo me saturo, cuando llevo más de 1hora y media repasando, y se me ocurren estupideces.Resulta que quería repasar access-list en IOS, algo así como el iptables para los dispositivos Cisco.No tenía icono de acceso a gtkterm, y me preguntaba de qué web sacar los míticos y iconos de Cisco Press, bueno, pues en esta web los tenemos.

Por lo demás todo OK.Hoy he instalado un webserver con Etch y Apache2, que estaŕa expuesto a Internet en una DMZ.Por cierto, el webserver se llama Bender.

Hace calor y estoy en casa :(. A las 20:00 voy a intentar levantar el proyecto tupper-box, que consitirá en incrustar en un tupperware una placa base, instalar debian y que rule como access-point router.En fin,pajas mentales de cada uno.

Cisco, y demás

Es caso es que tendría que hacer el examen CCNA este Jueves 3 pero aún no estoy preparado.Joer, ni me acordaba de la aplicación para conectarte por ttyS0 a un Cisco. Lo cierto es que lo he dejado un poco de lado con tanto GNU y demás,pero de momento GNU y Linux es lo que me da de comer.

La aplicación en cuestión es gtkterm y funciona realmente bien. Sé que mucha gente usa minicom o cutecom, pero como uso GNOME, y necesito hacer mucho copy and paste, pues de momento me llega.

Estos días ando liado con Postfix como siempre, lo cierto es que casi sueño con el puto ratón que tiene por mascota.En fin, que estoy aprendiendo mucho,sobre todo a como NO hacer las cosas, a ser un poco más ordenado y a elaborar un planning de las instalaciones.No es que no lo hiciese, pero ahora seré más estricto.

En relación a cosas curiosas en wtf.microsiervos.com casi me muero de la risa.Aplicaciones nuevas, poco.Rumores: en kernel.org migrar de Fedora a FreeBSD.Me alegro,para mi Fedora apesta.Así de claro.Aunque creo que voy a tener que instalarla en una máquina por culpa de la compatibilidad del Cliente Unix/Linux de Veritas.

Salud y GNUismo para todos!

Despedida XGN

Al final ya sabemos cómo son las cosas, mi 3 o 4 posts diarios se han convertido en uno de bienvenida y otro de despedida.Ayer nos marchamos ha Riazor a ver como ganaba el Depor al Real Madrid por 1-0. Al llegar a eso de las 00:30 estaba destrozado.De lo único que tenía ganas era de dormir.Así que a la 01:15 estaba en el saco...
Me desperté a eso de las 04:15 en medio de un despelote general.Digo despelote, porque todo el mundo se estaba literalmente "descojonando" y aplaudiendo, y oye,unas 800 personas(que son las que quedarían despiertas en ese momento),pues como podreis comprender, hacen bastante ruido.Total, que cerré de nuevo los ojos y hasta las 08:30.Desayuno y pista.LLevo ya más de una hora aprovechando los últimos GB libres.Calculo que habré descargado alrededor de unos 140 GB,cifra nada despreciable, teniendo en cuenta que el disco de 120 GB lo encontré el jueves antes de salir para Santiago, debajo de la mesa del salón ¿?¿?¿?
Total, que ahora creo que estoy en bajando lo que más me cunde.Videos y mp3 seleccionado: el caviar de la party. He descargado conciertos de:

• KillSwitch Engage
• Kreator
• Anthrax
• Iron Maiden
• Stratovarius
• Waken Open Air
• Gamma Ray

Amén de algún otro mp3 que me cundía escuchar y no tenía a mano.
Bueno este es el post final.El próximo año más.

Primer post de la XGN

Con unas cuantas horas de retraso aquí tenemos el primer post de la XGN.Impresiones: lo esperado.La organización más o menos bien.Digo más o menos bien por que por los 37€ de la entrada...sólo faltaría.Pero sí,está bien montado el tema.
Llegamos ayer viernes a eso de las 10:00 y esto estaba petado de gente.Calculo unas 300 personas esperando a entrar.Total que estuvimos casi 1 hora en la cola para conseguir la acreditación.
La LAN funciona bien, y la conexión a Internet menos un par de minutos,lo mismo, con picos de hasta 2048 Kb por segundo, lo cual no está nada mal.
He petado un disco de 100GB en unas 4 horas, osea que calculad vosotros mismos la tasa de transferencia...
Me he acostado a las 05:00 a las 09:00 estaba OnLine de nuevo...Uno ya no está para estos excesos, pero creo que esta va a ser mi última XGN por cuestiones obvias..
Me he rallado un poco con Perl, unas dos o tres horas...La verdad es que con tanto friki a mi alrededor, con tanta pócima y demás por un momento pensé que era uno de ello, pero yo, mi afgano(portaca) y la debian seguimos resistiendo entre tanto friki.

XGN 2008

No recuerdo si había posteado que he conseguido plaza en la XGN de este año.Estaré todo el fin de semana en Santiago, con un breve pero intenso lapsus para desplazarme a A Coruña para ver el Deportivo - Real Madrid.

Tengo pensado escribir un especial desde la XGN, con una serie 3-4 posts diarios con fotos del evento y demás.

Parafraseando a DefConDos diré:" Aunque no aprenda nada,da igual, pero un rato fijo que lo pasamos de puta madre...."

rsync y darkstat

Esto es una frikada. Por necesidades varias he tenido que utilizar rsync.La verdad es que me parece una herramienta esencial para cualquier Administrador que se precie.Básicamente la he utilizado para sincronizar el ftp que la gente de kernel.org tiene en Europa: ftp.eu.kernel.org . Es habitual que instale GNU/Linux en Servidores.El 90 % de ellos llevan el Kernel compilado a medida para esa máquina, así como la compilación de todos los paquetes de los servicios que ejecutará; como podréis comprobar, es normal que visite kernel.org y descargue el kernel más reciente.Aburrido de tanta visita y descarga, compruebo que kernel.org dispone de servicio rsync, con lo cual....A primera vista es una locura, pero resulta de lo más cómo: ejecuto en horario NO laborable una tarea cron como la que sigue:

rsync -avz --exclude "Chan*" --exclude "testing" --exclude "*.gz" --exclude \ "*-2.6.1*" --exclude "*-2.6.0*" --exclude "*-2.6.20*" --exclude "*-2.6.21*" --exclude \ "*-2.6.22*" rsync://rsync.eu.kernel.org/pub/linux/kernel/v2.6 /mirror/v2.6 >> \ /tmp/mailespejo

Después envío al correo el resultado de la sincronización y listo.

En otro orden de cosas, he "descubierto" darkstat, una herramienta para monitorizar el tráfico de cada interfaz de red. Aún es pronto para valorarla, pero tiene buena pinta.

Fichero completito squid.conf

Este fichero de configuración me gusta un poco más.

#Fichero Configuracion Squid
#Localizacion: /etc/squid/squid.conf
#Liberado bajo GPL v2 o variantes
###############################
#
# Parametros generales
#
###############################
visible_hostname proxy.miproxy.local
http_port 3128 transparent
half_closed_clients off
ftp_user anonymous@nospam.com
#
#
################################
#
# CONFIGURACION CACHE
#
###############################
cache_mem 256 MB
cache_dir ufs /tmp 1024 32 256
cache_mgr user@mydomain.com
coredump_dir /var/spool/squid/cache
acl manager proto cache_object
cache_access_log /var/log/squid/access.log
error_directory /usr/share/squid/errors/Spanish/
###################################
#
# CONTROL ANCHO DE BANDA(DELAY POOLS)
#
###################################
delay_pools 3
delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_parameters 1 51200/358400
delay_parameters 2 76800/358400
delay_parameters 3 102400 /358400
delay_initial_bucket_level 90
##############################
#
# TIEMPOS DE REFRESCO X FICHERO
#
##############################
#
#Refresco de la cache MIN PORCENTAJE MAX(MIN)
#
#1440 = 1 dia
#2880 = 2 dias
#10080 = 7 dias
#20160 = 14 dias
#30240 = 21 dias
#
#Ficheros comunes en sistemas
refresh_pattern \.iso$ 2880 80% 30240
refresh_pattern \.deb$ 2880 80% 30240
refresh_pattern \.tar.gz$ 2880 80% 30240
refresh_pattern \.gz$ 2880 80% 30240
refresh_pattern \.bz2$ 2880 80% 30240
refresh_pattern \.exe$ 2880 80% 30240
#
#
#Ficheros de imagenes
refresh_pattern \.jpg$ 1440 50% 2880
refresh_pattern \.jpeg$ 1440 50% 2880
refresh_pattern \.gif$ 1440 50% 2880
refresh_pattern \.bmp$ 1440 50% 2880
refresh_pattern \.png$ 1440 50% 2880
refresh_pattern \.svg$ 1440 50% 2880
refresh_pattern \.tif$ 1440 50% 2880
refresh_pattern \.tiff$ 1440 50% 2880
#
#
#Documentos
refresh_pattern \.xls$ 1440 80% 2880
refresh_pattern \.doc$ 1440 80% 2880
refresh_pattern \.odt$ 1440 80% 2880
refresh_pattern \.rtf$ 1440 80% 2880
refresh_pattern \.jpeg$ 1440 80% 2880
refresh_pattern \.pdf$ 1440 80% 2880
#
#
#Ficheros comprimidos
refresh_pattern \.zip$ 2880 80% 4320
refresh_pattern \.rar$ 2880 80% 4320
refresh_pattern \.arj$ 2880 80% 4320
#
#
####################################
#
# LISTAS DE CONTROL DE ACCESO(ACLS)
#
####################################
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 20
acl Safe_ports port 443 563
acl Safe_ports port 777
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl lan src 192.168.1.0/255.255.255.0
acl del1 src 192.168.2.0/255.255.255.0
acl del2 src 192.168.3.0/255.255.255.0
acl del3 src 192.168.4.0/255.255.255.0
acl del4 src 192.168.5.0/255.255.255.0
acl wifi src 172.16.0.0/255.255.255.240
acl denywords url_regex "/etc/squid/denywords"
acl denydomains dstdom_regex "/etc/squid/denydomains"
#
#
#
delay_access 2 allow lan
delay_access 2 allow del1
delay_access 2 allow del2
delay_access 2 allow del3
delay_access 2 allow del4
delay_access 2 deny all
delay_access 3 deny all
delay_access 1 deny all
#
#
http_access deny denywords
http_access deny denydomains
http_access allow lan
http_access allow wifi
http_access allow del1
http_access deny all

Cosas interesantes

Después de más de un mes sin postear nada, resumo lo más interesante de estos 30 días.

• Postfix.Voy a instalar como mínimo dos máquinas en dos empresas.Una para unos 40 usuarios y otra para unos 10.Evidentemente en Debian GNU/Linux.Me estoy dando cuenta de que aún estoy bastante verde en Postfix, sobre todo después de leer las listas, pero con esfuerzo y tiempo todo se arregla.
• Iptables.Migraré un firewall en producción por una máquina con micro EMT-64; sirve de filtro para 8 subredes: 5 en clase c y 3 en clase b.
• Squid.Esta mañana he re-leído lo más interesante del e-book de O'Reilly "Squid, the definitive guide".¿Qué he leído que sean interesante? Básicamente mitos: que sigue siendo complicado establecer la relación cantidad de ram-caché en Squid, que el tamaño de los objetos en máquina de 64 bits ocupan 112 bytes como mínimo. Algo interesante, que mucha gente desconoce son las Políticas de Reemplazo de Caché: LRU,GDSF,LFUDA. Decir que por defecto se utiliza LRU.
• El viernes 29 estuve en la CAMBRED, gracias a Oscar que me consiguió un pase VIP ;) . La verdad es que estaba bien montada,la red funcionaba de cine.En 2 horas descargué 33 GB.La conexión a Inet también de cine.
• He conseguido plaza en la XGN(www.xuventudegaliza.net). El viernes 14 de Marzo por la mañana estaremos en Santiago hasta el Domingo.Aún no tengo claro cómo solucionaré el tema del almacenamiento externo.Estoy pensando en grabar todo lo que tengo en el disco externo de 160GB y usarlo para almacenar las cosillas.Además, veo factible que me presten un hd externo de 320, con lo cual el tema estaría listo.En el portátil tengo una partición de 60 GB, para compartir,espero que sea suficiente.

De momento esto es todo, que no es poco.

SMB y más Postfix.

En realidad no sé que fallaba, que había hecho mal, pero era incapaz de conectar con el Servidor Windows 2003 R2 en la oficina dónde actualmente trabajo.La verdad es que la máquina que utilizo es un auténtico desastre.12 entradas tiene el GRUB. 4 para Xen y 8 para los distintos Kernel que tengo instalados. Como soy un desastre, no recuerdo sí había habilitado o no CIFS y SMB como sistemas de ficheros....En fin, que con el Kernel 2.6.16 que viene por defecto no lograba conectar, ni desde consola ni desde GNOME.Total, que actualicé la distri a Testing...et voilá!!! Funciona! La verdad que es un coñazo tener que grabar cada X tiempo DVDs con backups! Ahora va todo contra el mirror, que es la máquina que se encarga de almacenar las copias de seguridad.
En otro orden de cosas, estoy pensando en enviar a postfix.org unas notas que tengo para instalar y configurarlo en un Debian Etch.
Hoy es sábado, no creo que salga de noche, salvo a dar un paseíto y tomar un café...Con lo cual tocará la ración semanal de FreeBSD.Me llaman para cenar....
Salud y gnuismo!

Un cortado,3 ISOs y....

Un cortado,tres ISOS, un Optiplex GX620 y en 40 minutos tenemos FreeBSD 6.3 instalado.Poca o ninguna diferencia en lo que a la instalación básica se refiere en relación a la versión 6.2.
Recapitulemos.Ayer sábado, a eso de las 17:45 tenía los 3 CDS listos para instalar.En apenas hora y media, creo que algo menos con un DSL de 3MB de TDE tienes el tema listo.La verdad es que con el hardware que he utilizado,todo es más facil.El micro un P Dual Core 3,2 Ghz , 160 GB SATA de HD, LAN GB Broadcom y 1GB DDR RAM 533 Mhz todo es más facil.La única pega es el casi infinito cambio de cds.Si optas por la instalacíon de paquetes personalizado,te pedirá el cambio de cds del 3 al 1, de 1 al 2 , del 2 al 1 y así hasta...Me recordaba SuSE en el tiempo de la 7.x y 8.x, cuando desde el YAST instalabas un paquete y comenzaba el baile de dependecias hasta la saciedad.Ahora intento entrar por SSH desde Debian y aún no se bien qué ha pasado, pero lo logro hacer login.
De momento esto es todo.Salud y gnuismo...añado bsdismo para todos!.Que sepais que hay vida más allá de Redmond,BSOD y Service Packs!

Excesos navideños && apt-build install

Por fin! La navidad se termina, y con ella un sin fin de excesos,sobre todo alimenticios. Formateare mi cerebro y a partir de ahí, solo utilizare apt-build.Sigo dándole vueltas al postfix.De momento sin novedad en el frente!

Mailgraph Postfix

Todos(todos ?)conocemos o deberíamos conocer MRTG y Munin. Pues bien, esta mañana, dando un paseo por postfix.org, me recordado que mailgraph puede ser una herramienta muy útil para comprobar el rendimiento de un servidor de correo con Postfix(aunque creo recordar que funciona también con Sendmail). En Debian GNU/Linux es muy sencillo poner a funcionar mailgraph.Desde consola y como root:
[root@satriani] apt-get install rrdtool mailgraph

A continuación, si queremos que mailgraph se ejecute al inicio, editamos /etc/default/mailgraph y poco más. Por defecto en Apache 2.x, después de:
[root@satraini] cp -p /usr/lib/cgi-bin/mailgraph.cgi /var/miweb/cgi-bin/mailgraph.bin , funcionará sin mayor dificultad.
He encontrado en HowForge este artículo, que me ha servido para configurar y escribir este post.

Primer post del 2008!

Buenas. Mucha gente pasa por alto, en la configuración de Spamassassin, la personalización de los mensajes de SPAM. En redes corporativas pequeñas, en la mayoría de las veces carece de importancia, pues a menudo se suele tener trato personal con el administrador del servidor de correo.La cosa cambia, cuando en el servidor se alojan las cuentas de , por ejemplo 500 usuarios la cosa cambia. En Debian GNU/Linux, la plantilla más utilizada se localiza en /usr/share/spamassassin/10_misc.cf.

Alias Postfix

Postfix se sale.Recuerdo que cada vez(pocas) que me enfrentaba a Sendmail echaba a temblar.Wietse se ha currado un super servicio smtp.Muy robusto y fácil de administrar.No recordaba como usar alias en postfix para un solo dominio.
1.- Como root editamos /etc/aliases
webmaster : fulanito
2.- Como root ejecutamos newaliases
3.- Como root recargamos postfix.
Pijto!
Salud y gnuismo!

Que es AKAMAI?

No se si os lo habréis preguntado alguna vez, lo cierto es que yo si me lo he preguntado unas cuantas veces. Con toda la cantidad de información que circula por Internet,existe algún método de cacheo de esa información? Una respuesta valida puede ser la red de AKAMAI, que viene a ser como una gran red de cacheo de sites.Con clientes como Microsoft o Google , os podréis imaginar...

Xornadas Software Libre Mugardos 2008

He mantenido un primer contacto de acercamiento con Enrique Sierra e Ismael Olea, para contemplar la posibilidad de que asistan como ponentes a las V Xornadas de Software Libre del Concello de Mugardos.En un principio hay predisposición para que asistan, ahora sólo falta el contacto con el Concello.Visto lo visto, esperemos que la mareja que salpica al Concello, no influya en el trabajo que llevamos realizando desde 2003.
Saludos,

Macro-resumen Xornadas Lugo

Al final tuve suerte y pude asistir a las Xornadas de Lugo.Lo siento por Moisés, que tenía pensado venir conmigo, pero pensaba que no saldría a tiempo...

Así fue el día...
09:45. Salgo de Ferrol dirección Lugo.
10:20. Paro en Guitiríz a tomar un café.-2º C.Un frío....
10:30. Mucha niebla y hielo en la autovía.
10:45. Llamo a la oficina pues no me acordaba de la dirección del CEI-Lugo.
10:55. Llego justo al finalizar la charla de Pexego Sistemas.
11:00. Entra el Sr.Alcalde de Lugo,de cuyo nombre no puedo acordarme.Ya
me imagino lo que dirá..."Que si Lugo y el SW Libre van de la mano hacia un
camino indivisible hacia ...."
Comienza la inauguración oficial y acuña el término "Familia Digital".Bla
bla, bla y gracias a Ministerios,Gobierno del Estado Español....
El Sr.Alcalde parece un tipo bonachón,ex-docente de la Universidad, por lo
que puedo deducir.Comienza una reflexión,a mi modo de ver más que preparada,sobre el SWL y las comunidades de usuarios...y termina esta parte
asumiendo que en su concepción de SW, sus "neuronas están mercantilizadas".
Me gusta esa frase.Con frases como "el intento(por implantar SWL), merece
la pena, otra realidad es posible", su tiempo se acaba y veo más un intento por
agradar otra cosa.Por lo menos lo ha intentado, así aprendiesen otros...
Finalizando ya, y van nos suelta "estamos asistiendo a otra revolución
industrial" y vuelve a asumir de nuevo "mi ignorancia en estos temas"
acompañadas de unas cifras monetarias en relación al gasto(malgasto) del
Estado Español en SW propietario.
12:05 Enrique Sierra.Musico.Fundador de Radio Futura.
La verdad es que antes de asistir a su charla, desconocía por completo como
podía encajar este tipo en una charla de SWL.A la hora y media ya lo entendía.
Como dijo nada más iniciar su ponencia, es un "provocador", con lo cual, mis
expectativas se tornaban todavía más confusas.
Enrique utiliza Mac OSX con un MacBook.Nos comenta que hace sólo dos meses
que ha utilizado Microsoft Windows,para testear la web www.127.es, que desde
el año 1985 es usuario de Macintosh.
A nivel profesional nos comenta que aparte de Radio Futura, a trabajado con
gente como Rosario Flores,que ha grabado en multitud de estudios en un
sinfín de ciudades del mundo.Viene a presentar su proyector 127.es, que
básicamente es un site dónde los artistas o creadores pueden exponer sus
trabajos libremente.
A eso de las 12:30 comienzan las transparencias. En el primer punto nos
comenta bajo su prespectiva cómo ve él el "Momento de la Industria Musical",
haciendo un análisis ácido, comparando el estado actual al de hace 20 años.
Señala que en los 80, la creación era para gente privilegiada o elitistista,
ya que los accesos a la tecnología(estudios,productores,arreglistas...) eran
complejos o muy complicados.Asimismo alaba las tecnologías actuales, que
facilitan el acceso de la sociedad a la cultura, pero hace una clara
distinción entre el operador de software que crea, por ejemplo, música, a la
de un creativo o artista.Me cae bien este tipo.
Ahora comienza a despacharse a gusto contra la industria en general.Comenta
que los costes de producción han bajado hasta cotas inimaginables hace 20 años
pero que aún así, los precios de los CDs,DVDs,Cuadros...etc, no han bajado.
Nos deja un par de perlas "Este país castiga a los monopolios..o eso creía" y
para mí una brutal: "Actualmente hay cosas muy muy buenas en el panorama musical,por ejemplo,las recopilaciones(sarcasmo y risas!!!)...que..bueno...llevo
20 años escuchando la misma canción en distintos formatos!!!!". Otra buena,
y tiene muchísima razón, es que afirma, y no se equivoca, que la cultura se
está perdiendo;las tiendas de música desaparecen,las librerías también...en
boca en Enrique "Nos venden la cultura en los Supermercados".Con frases
lapidarias como "En esta sociedad sobra la publicidad" o "Subvencionar la
cultura, por supuesto que NO,prefiero que subvencion la sanidad,personalmente prefiero que me regalen condones..." va terminando el primer punto y nos presenta el 127.es.
Es un proyecto interesante,a mi modo de ver, definido por el propio Sierra
como un "Espacio de encuentro cultural y escaparate para el creador.".
A simple vista este personaje puede parecer un poco tímido, pero con el
paso de los minutos te vas dando cuenta que este Sr. tiene muchas tablas.No
espereis descripciones técnicas del tipo "El framework es la...".Este tipo es
músico, y punto. Tampoco penseis que es un ignorante,ni mucho menos es raro
oírle pronunciar términos como servidor,rss,sindicación,dominio,blog...etc.
En el punto tercero nos habla de la licencia de Creative Commons,los porqués
de su utilización en el proyecto, y el no a GNU(teníais que ver la cara de
Juan de GNU España).
Finalmente, defiende al desarrollador de software como artista, y justifica
esta afirmación con que los desarrolladores tienen su espacio en 127.es.
Nos muestra web y nos echamos unas risas.Simplemente genial.Una grata sorpresa.
De verdad la ocasión era para grabarla en video.Y como muestra un botón, nos
comenta: "Como veis, si no estais registrados, no podeis descargaro el contenido.Esto lo hemos logrado por que contamos con unos profesionales que son unos bestias. La mayor parte de la tecnología utilizada en este proyecto
viene del porno.Los mejores programadores web están en la industria del porno"
Joer, se me olvidan más cosas.No podía despedirse sin una pequeña quemadita a la SGAE "El contrato que firmas con la SGAE se extiende más allá de tu propia vida."

13:30 Llega Oscar y nos vamos a tomar un café.Comienza la charla del
"Software Libre en la USC".Bien en contenidos pero un poco flojo el ponente.
El tipo tiene los conocimientos necesarios para hablar del tema,pero también
tenía un poco de prisa.Igalia por el medio de todo, ya me empieza a cansar.Al
igual que la web 2.0, que parece que está de moda.
14:25. Me voy a comer al polígono del Ceao, a Parrillada Juan.Canelones,Churrasco
,Piña y Café por 8 euros.No está mal, verdad?.Ahora mismo estoy escribiendo
esto con el portátil DELL de Sistemas en una Debian en modo texto con nano
(friki yo?)
15:37.Marcho para el CEI.He quedado con Oscar a las 16:00 para comenzar
con la instalación de Gentoo.Así que guardaré este texto en el USB porque en
un par de horas si hay suerte, el nano lo ejecutaré desde Gentoo.
16:00 Puntales abren las puertas del aula multimedia.Es el mismo aula en la
que en 2006 asistí al curso de "Seguridad en Servidores".Sólo que esta vez
no están los capullos evangelistas ignorantes de "Que guay es XP!".Esto se
empieza a petar de peña.Si es de iniciación, me parece que me voy a marchar
en breves.
17:45. Despúes de una introducción a GNU/Linux cargo de Tsao de GPUL, comienza la instalación de Debian.Usaban un NetInstall, pero por problemas con la configuración de la red,fue abortada,y acto seguido pongo rumbo Ferrol.
19:30.Después de realizar unas compras: algo de cafeína,pan de molde y algo de fiambre ya estoy en casa posteando el final de este macro-resumen.En fin, que la jornada me cundio mucho.
Salud y Gnuismo para todos.

Xornadas Lugo...

Este jueves 13 estaré en Lugo en las Xornadas de Software Libre, que se celebrarán en el CEI. En el verano de 2006 estuve en un curso de "Seguridad en Servidores" en el que conocí a David Carracedo de Academia Postal.La verdad es que me...."congraaatuulaaa" haberle conocido y sobre todo haber colaborado en la Xornadas de Software Libre de Mugardos y en la I FerrolL@N.Eno, al tema, que el recinto me pareció cojonudo.Muy amplio, moderno y accesible(creo recordar!).En este link podeis ver(poco) los horarios y temáticos de las charlas.
No sé si me quedaré hasta el taller, casi seguro que sí ya que tambíen asiste Oscar García, un compañero de CCNA que "creo" va a dirigir el taller de gentoo, que sí, le tengo muchas ganas.
De momento nada más, sigo liado organizando Akregator y un montón de RSSs que he exportado desde la oficina.

Exportar paquetes Debian

Leo en glug.es una forma de exportar las selecciones de paquetes .deb de una máquina a otra.Desde consola, y como root
[root@satriani] dpkg --get-selections > /home/usuario/selecciones

Para cargar la selección:
[root@satriani]dpkg --set-selections < /fichero

Muy interesante!

Mini Guia buenas practicas GNU/Linux Parte III

2.2 Acceso Remoto.
2.2.1 SSH.
SSH (Secure SHell) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red.SSH trabaja de forma similar a como se hace con telnet. La diferencia principal es que SSH usa técnicas de cifrado que hacen que la información que viaja por el medio de comunicación vaya de manera no legible y ninguna tercera persona pueda descubrir el usuario y contraseña de la conexión ni lo que se escribe durante toda la sesión; aunque es posible atacar este tipo de sistemas por medio de ataques de REPLAY y manipular así la información entre destinos.
SSH se instala por defecto en multitud de distribuciones, y no pocos SysAdmin pasan por alto la configuración de SSH por el mero hecho de que las conexiones se cifran.Error grave.En distribuciones GNU/Linux, dedicando unos 5 minutos,podremos blindar nuestros accesos vía SSH.La opción más recomendable es no usar SSH ni ningún acceso remoto, pero como debemos acceder a la máquina, la mejor opción es utilizar llaves RSA.Como este documento es una simple introducción, en http://www.securityfocus.com/infocus/1806 podeis encontrar más información sobre este tema, y de paso, suscribirse a las listas de correo, que son bastante interesantes. En el fichero sshd_config, limitaremos el acceso a usuarios,passwords..etc.
Desde hace un tiempo, para blindar los accesos por SSH a las máquinas que administro, suelo instalar fail2ban(http://www.fail2ban.org). Fail2ban básicamente actúa en modo "watchdog" o "perro guardían" sobre una serie de servicios configurados, y mediante reglas de condición-acción bloquea los accesos a dichos servicios implementando reglas de Iptables.Muy recomendado.

2.2.2 Sesiones X remotas.
(Completar)
2.2.3 Webmin y otros.
Webmin es una opción cómoda y segura(https) para administrar máquinas Linux-Unix.No obstante, recomiendo encarecidamente limitar el acceso a Webmin, creando usuarios con permisos limitados exclusivamente a los servicios a administrar, así como establecer limitaciones de acceso a las máquinas o redes desde las que se permitirá el acceso. Esto es posible desde el propio Webmin, pero nunca está de más que nuestro amigo Iptables también lo haga.

Por suerte existen multitud de herramientas web para la administración de servicios en máquinas GNU/Linux, pero muchas de ellas supeditan la usuabilidad y sencillez de la interfaz a la seguridad.Como ejemplo tenemos PHPLDAPADMIN, que sí, es una herramienta excepcional, pero...no creeis que no cifrar conexiones que manejan datos relativos a los usuarios del sistema(LDAP) es, como mínimo, un riesgo evitable? Ustedes mismos.

2.2.4 Iptables.
Fundamental, como la boina. Suspenso al SysAdmin que no implemente iptables en su máquina. 4.950.000 páginas relativas a iptables nos podemos encontrar en google.com. No soy la persona más indicada para hablar de iptables, pero paginas como www.pello.info o www.netfilter.org nos pueden ayudar a dar los primeros pasos.
2.2.5 Logs.
Al igual que iptables, y la boina,punto fundamental.Examinar exhaustivamente los logs del sistema nos permitirá prevenir fallos en la máquina,pero también localizar intentos de ataque a nuestros servicios.

Ludusparty.net 2007

Mal.Muy mal.Después de 1 hora y 10 minutos de viaje, tardamos 1 hora más en llegar al Palacio de Congresos, y después 30 minutos en que nos ubicaran.En definitiva, una basura.
Lo malo.

• Indicaciones: Malas o nulas. Mal indicado en la web, y en Lugo, casi nadie sabía del evento, y por si fuese poco, no sabían dónde se celebraba.Ni con GPS dimos llegado.
• Des-Organización: Al llegar al recinto; que por cierto es cojonudo para este tipo de eventos, nos vamos a recepción y nos colocan a mi a y Pableras uno en el norte y otro en... Una de las personas de la organización, nos dice que si no somos de un clan,tenemos que colocarnos donde nos digan. Al final, nos van a ubicar y ya hay gente en nuestros sitios...Por cierto,en lugar de alquilar o comprar trajes de ninja para los de la organización, se hubiesen preocupado un poco más por este aspecto.En fin...muy mal.
• Conexión a Internet.Mal. No nos pudimos conectar ni 1 minuto durante las 12 horas que estuvimos en la party.No sé el presupuesto de la party, pero por los 20€ de la entrada, que me parece un robo a mano armada, no disponer de conexión a Internet.Lamentable
  
• Indicaciones: No estaba indicado ni los servicios, ni el lugar habilitado para dormir...En fin, un desastre.Vino gente de Palencia, si si , de Palencia y no sabían ni dónde dormir.Mal, mu mal.
  
• Servicio de recogida de basura. Unos pesados. De 3:00 hasta las 6:00 tenías a un tipo dándote la chapa por si querías tirar algo a la basura.Joder! soy mayor de edad y no me gusta estar rodeado de mierda,si la almaceno, cuando termine de comer o beber, tiro el envase. A mi en el fondo, como el tipo estaba trabajando pues mira...un respeto, pero teníais que ver la cara de algunos gamers, que estaban viciando a COD4 o Counter Strike, cuando el tipo les tocaba el hombro para recoger la basura.Mal ,muy mal.

Lo mejor.

• Maquinas recreativas: Sin lugar a dudas cojonudo. Llegar al recinto y poder jugar al Street Fighter II en recreativa a un módico precio de 0€ euros, es cojonudo.

En fin ,que como no mejore el tema, veo jodido que asista el proximo año. Saludos desde A Coruña.

Mini Guia buenas practicas GNU/Linux Parte II

Queridisimos hippies, vamos con la segunda entrega(Alpha, sin revisar, con dos cojones!) de la "Mini Guia buenas practicas GNU/Linux" Parte II.
2.- Breves notas sobre seguridad.

2.1 Acceso Fisico.Es obvio que por mucho empeño que pongamos en "fortificar" nuestra maquina ante ataques externos y posibles intrusos, la seguridad fisica suele ser un punto que pocos SysAdmin tienen en cuenta.Entre las inumerables recomendaciones hago incapie en:
2.1.1 Acceso a Rack. Control de accesos a la maquina/maquinas en cuestion.Tener un control sobre el numero de llaves,tarjetas de acceso y titulares de las mismas,garantiza el NO ANONIMATO y depuracion de responsabilidades en caso de desastre.La utilizacion de camaras IP o videovigilancia nos alertara del uso indebido de HD Externos o Pendrives.Hoy en dia una solucion de camara IP es muy asequible, pudiendo adquirir modelos con relacion calidad-precio mas que aceptable por menos de 200 euros.La conexion a una central de alarmas en caso de "opertura dil cremallero" nos es descabellada.
En caso de que la ubicacion del rack de comunicaciones sea distinta a la del rack de servidores,aplicamos lo dicho en el parrafo anterior.[Ampliar]
2.1.2 Bloqueo Acceso BIOS y Secuencia Arranque.Nunca, bajo ningun concepto se debe facilitar el acceso a la BIOS de una maquina en produccion, y mucho menos poder arrancar desde un Pendrive USB o CD/DVD-ROM.
2.1.3 Sistema Alimentacion Ininterrumpida.Un SAI nos protege ante un corte de suministro o mal funcionamiento de la red electrica.Consideraremos la adquisicion de un SAI como parte fundamental en la estabilidad de nuestros sistemas.
2.1.4.Factores externos.Existen numerosos factores externos que pueden influir directamente en el correcto desempeño de los servicios de nuestras maquinas; entre ellos podemos destacar las inundaciones,incendios..etc.Contar con un buen sistema de aire acondicionado,detectores de humo...es esencial para prevenir desastres.

En realidad la segunda entrega es la mitad del punto 2, en el que doy unas pinceladas acerca de las restricciones del acceso físico a las maquinas, amen de otras cosillas.

Mini Guia buenas practicas GNU/Linux

Espero compredais esto es una version Alpha aun sin revision.

Mini Guia buenas practicas instalacion servidor de correo GNU/Linux


S.O: DEBIAN GNU/LINUX 4.0 ETCH
KERNEL: 2.6.22 o superior, elimando modulos no necesarios, tales como: PCMCIA,Wireless..etc.
PAQUETES:
- Actualizar el Sistema: apt-get dist-upgrade
- Compilacion kernel: wget http://www.mandcspain.com/paquetekernel
- Sistema: postfix,spamassassin,dovecot-common,dovecot-imapd,spamassassin,spamc,mailx,apache,procmail


1.-Configuraciones y comprobaciones previas.


1.1.- Especial cuidado si vamos a enviar emails directamente desde el servidor.Es necesario saber si el ISP permite activar SPF sobre los registros MX del DNS.En caso afirmativo,activar SPF para que apunte a la IP fija del gateway que sera configurado como puerta de enlace predeterminada.

1.2.- Comprobar que la IP no esta en listas de SPAM.Evidentemente esto es una tarea tediosa,dificil y complicada.Muchos SysAdmin deciden abandonar este punto y seguir con los siguientes(si es que siguen algun patron!!!!), ya no lo consideran importante o simplemente lo ignoran.Mal hecho.Las URL que utilizaremos en un principio son las siguientes.Ni mucho menos son las unicas, pero pueden ayudarnos:

http://www.rbl.jp/ckdb/
http://www.moensted.dk/spam/
http://spamlinks.net/filter-dnsbl-lookup.htm#general-sites

1.3 La Documentacion es imprescindible.
1.3.1 Documentacion cuentas.Utilizaremos fetchmail(www.catb.org/~esr/fetchmail/) para que "recoja" los correos desde el servidor POP3 y, mediante procmail(www.procmail.org) los entrege al servidor IMAP dovecot(www.dovecot.org).En instalaciones donde el numero de usuarios supera la veintena(aunque no lo supere debemos hacerlo),se recomienda utilizar un Shell Script que automatice todo este proceso.[Pendiente Linkar Script]
1.3.2 Cuotas de disco.La correcta definicion de cuotas de disco ayudara al SysAdmin a prevenir desastres del tipo "Ups,el server se ha quedado sin espacio en disco" o "Mira un cosa, abro el Autoluk(Outlook) y me dice asdklajsdlkjasdljkasdlkajsdlkajsd".Webmin(www.webmin.com)facilita mucho esta tarea.
1.3.3 Password.Habilitaremos la caducidad de las contraseñas, dependiendo del numero de usuarios,podremos hacerlo manualmente(no recomendado) o mediante Shell Script o Perl.
1.3.4 Filtros envio,cabeceras...etc.Importante.Debemos definir el tamaño maximo para el envio de emails,adjuntos,..etc, con el fin de bloquear los envios que superen X MB, y que puedan provocar una caida del rendimiento en el servidor.
1.3.5 Spam.Definir la politica.Emplearemos spamassassin(http://spamassassin.apache.org/) para filtrar el correo basura.Spamassassin para un correcto funcionamiento necesita "entrenamiento", para ello, debemos enviar directamente los emails a una carpeta llamada X(SPAM por ejemplo) dentro de cada buzon IMAP(con procmail es muy facil).Con CRON es muy facil añadir una tarea HAM y SPAM para que Spamassassin aprenda cual es realmente el SPAM(No deseado) y el HAM(Deseado) en las horas de menor carga de trabajo del server o servers.
1.3.6 Antivirus.[Pendiente]
1.3.7 Backup.Mirroring,tar.gz,Backula,DLT,DDS o lo que queramos, pero este punto es imprescindible en cualquier instalacion.
1.3.8 Monitorizacion.Si tenemos Nagios(www.nagios.org) en nuestra LAN/WAN tendremos la mitad del trabajo hecho en lo que se refiere a monitorizacion en tiempo real.La examinar el mail.log(en Debian) o maillog(en RHEL) podemos utilizar pflogsumm(jimsun.linxnet.com/postfix_contrib.html) y munin(http://munin.projects.linpro.no/) para obtener mediante el empleo del algoritmo Round Robin, unas estadisticas graficas detalladas y elegantes.

...

En relación al post anterior el concierto muy bien. Por causa relacionadas a mi situación mental el día del concierto, me he perdido a Ktulu.Koma; lo mejor. SA; en su línea. Habeas Corpus;no me gustaron.
De lo que he leído últimamente lo mas interesante:
.- Entrevista a Linus Torvalds
.- Kirai en meneame.
Kirainet.com es uno de los blogs más interesantes que he leído en mis casi 10 años como internauta.100% recomendado
.- Aokigahara : el bosque de los suicidios.

El próximo viernes 30 me voy con Pableras a la II LudusParty, en Lugo. Os mantendré informados.
Salud y gnuismo para todos.

Netcraft!

En 24 horas estaré en el II Inferno Rock viendo a S.A, Koma, Ktulu y Habeas Corpus. Qué tiene esto que ver con un blog supuestamente gnuista y demás?..Como ni yo mismo lo sé, he consultado en Netcraft, para comprobar qué S.O corre en cada site de cada banda y postear la frikada del mes. Ahí van los resultados.

www.soziedadalkoholika.com Windows 2000 217.76130.23
www.koma-grupo.com Desconocido 62.193.194
www.ktulu.es Desconocido 89.207.232.21
www.habeascorpus-grupoderiesgo.com Desconocido 217.166.0.144

En breves los resultados de nmap.
Saludos

No Software Patents!

Cómo configurar un Blackberry para que reciba el correo desde un MailServer con Postfix y Procmail.

Empezamos:
1.-Se necesita tener activado el Blackberry, si no se ha activado, en http://www.mobileemail.vodafone.es se activa con los datos del Blackberry: IMEI y PIN.
2.-Configuramos la cuenta de correo. La damos de alta.Basta con indicar la cuenta y el password.Automáticamente hace una búsqueda MX de DNS y comprueba que el tipo de servidor de correo.
3.-Ahora tenemos que crear la cuenta en el dominio @mobileemail.vodafone.es.
4.-Ahora debemos entrar en el Panel de Control de Hosting, y crear una redirección de correo para cada Blackberry. Por ejemplo, si nuestro usuario es usuario@empresa.com, el email redirigido a usuario@mobileemail.vodafone.es será usuario.blackberry@empresa.com. Esto los hacemos para evitar bounces y problemas de spam.Los MailServers de Vodafone tienen políticas muy estrictas, y no es raro observar cómo rechazan los correos desde una IP dinámica o un rango de una red de un ISP.
5.-Una vez creada la redirección debemos entrar por SSH o físicamente al MailServer.Necesitamos editar el fichero de configuración de procmail.Generalmente, se suele indicar en el fichero /etc/postfix/main.cf en mailbox_command = /usr/bin/procmail -m /etc/procmail. Como vemos el fichero de procmail está en /etc.Ahora le indicamos a procmail que cuando llegue un correo para usuario@empresa.com, envíe una copia a usuario.blackberry@mobileemail.vodafone.es.La sintaxis es la siguiente.

SHELL=/bin/sh
DEFAULT=$HOME/Maildir/
LOGFILE=/var/log/procmail.log
#
#
#
#
#
#
#
#
:0fw
| /usr/bin/spamc -f
#
:0c
* ^TOususario@empresa.com
! usuario.blackberry@mobileemail.vodafone.es

6.-En principio estaría listo.Por cuestiones de paranoia suelo recargar la configuración de Postfix, /etc/init.d/postfix reload.

htaccess

Pues no recordaba cómo proteger un directorio web en Apache y pasando por Bulma he encontrado un artículo que me refresca un poco la memoría.En realidad si recodaba cómo, lo que no recordaba es sintaxis del .htacess.
El jueves voy al SIMO; a ver qué es lo que se cocina por allí...Espero poder asistir a alguna charla interesante o por lo menos ver cosas interesantes: el Barcelona de AMD,algo nuevo de SGI o SUN, Hispalinux(no sé si van..creo que he leído en la lista que sí iban..)

De FreeBSD y demás!

Hola a mi mismo, ya que creo que nadie más lea este blog. Hablar de nadie en la inmensidad de Internet resulta curioso, pero tampoco me interesa que se publicite demasiado, sino que este blog quede como un resquicio de mi mente dentro de la NET y poder recordar las paranoias gnuseras y demás...
Esta semana apenas he dedicado tiempo al blog.Estuve liado preparando el CCNA. He repasado OSPF y VLAN. De momento todo OK, salvo algunas dudas en relación a los temporizadores de OSPF, pero creo que estarán resueltas en breves.
En otro orden de cosas, gracias a Aaron, un compi del curre, he conseguido una máquina para instalar BSD, y todo de cine,hasta la segunda hora, en la que el disco duro se fue al "caraho". Al final el tipo se compra un disco duro de 160GB, para la máquina y total, que aprovechando que tengo que preparar toda la doc de Postfix, he levantado un MailServer en mail.elzulo.org con IMAPs, SASL, WebMail, Apache...en esa máquina.Así cuando me aburra en casa, puedo entrar por SSH y "jugar" con el MailServer.Mañana tengo el día libre así que si tengo tiempo, espero dejar listo el tema de las cuotas de disco.

Salud y GNUismo para todos!

Gentoo-FreeBSD

Buenas! Me encuentro en la disyuntiva de seleccionar con que SO me pondré esta temporada: Gentoo o FreeBSD. He descartado cualquier SO de la familia Microsoft, más que nada por que no me interesa en absoluto, no es útil para mi trabajo y me aburre.De distribuciones GNU/Linux habituales estoy HARTO.De Ubuntu,NosequéBuntus y demás paso; me parece una burla a todo el equipo de Debian y así como un intento de Shuttleworth de decir "quiero ser como Bill Gates" y además "tengo mucha pasta y quiero jugar con GNU/Linux". Ni hablar de Red Hat o Fedora; menudo chasco en el RHEL, que sí, no digo que en ambientes superempresariales pueda ser más o menos rentable, pero hay un tufillo a "danos más pasta" que no me gusta. Lo de OpenSuSE - Novell más de lo mismo, que si patentes por aquí,que si tal... En fin que mientras me decido...shutdown -h now!

FreeBSD + qemu

En 10 minutos tenía listo el FreeBSD bajo qemu. La instalación una delicia comparado con Gentoo. Ojo al Handbook y a la documentación del proyecto; ya le gustaría a muchas distrbuciones GNU/Linux - Linux.

Una captura ya con el FreeBSD funcionando!

Saludos.

Pepe, un purito!!!

Buenas. He creado una cuenta en flickr y he subido la foto de la antena casera con la que me conecto a Internet. Ya no podía estar más tiempo con la ventana abierta, así que entre apt-get y make-kpkg le he colado la funda metálica del purito, y listo...

mke2fs

mk2fs /dev/micerebro.......

Curiosidades o cosas que desconocía!

Una de curiosidades que desconocía:

• vrms. El señor Richard Stallman se ha currado esta aplicación, que nos dice si tenemos software no libre instalado en nuestra máquina.

polinico:/# vrms
No non-free packages installed on polinico! rms would be proud.

• Eliminar comentarios en ficheros de configuración:
  

grep -v "#" /etc/squid/squid.conf

• hddtemp, paquete que instalado y ,si la placa base lo soporte,nos dice la temperatura del disco duro.

polinico:/# hddtemp /dev/sda1
/dev/sda1: WDC WD800JD-75JNC0: 37°C

De momento esto es todo, me voy ha poner mano a la obra, a configurar un Windows Bad Vista siguiendo el pringao howto. En realidad no me importa, porque son unos amigos, pero el link del pringao how to va para todos aquell@s que se han aprovechado de mi estupidez,imbecilidad, y les he instalado,configurado o arreglado(no soy electrónico ni tengo puñetera idea de electrónica, así que como mucho habré cambiado alguna pieza, a modo puzzle) sin que, ni siquiera me diesen lo que me deben, o como mínimo las gracias por haber desperdiciado un tiempo muy valioso de mi vida, que, como sabréis a estas alturas, no se recuperará NUNCA!.

Salud y GNUismo!

El gato y el ratón!

Bueno...juguemos al gato y al ratón! No sé porqué extraña razón, pero tenía la necesidad y las ganas de saber quién es mi "vecino".No de saber quién es físicamente, pero sí de averiguar algo más sobre él, ya sabeis: S.0, MAC, y demás cosillas. Lo primero antes de nada, denegar y logear todo el acceso desde su LAN a excepción de su router, que bueno, no nos queda más remedio que "fiarnos" de él. El -j LOG ha hecho de las suyas y ha llegado a mis manos un broadcast desde la IP 192.168.0.10. Manos a la obra. Un nmap por aquí, un ethereal por allá, que si un smbclient por el otro lado.En un día; la verdad que acabo de volver a casa desde las 07:35 de la mañana, y he conseguido saber esto:

• Usa Windows XP Home. Nmap de dice que que es XP, pero SMBCLIENT me advierte que el nuestro vecino está en el grupo de trabajo INICIOMS, y eso me suena a XP Home.
• Placa GigaByte, por la MAC de la tarjeta de RED. Puedo deducir, que no se conecta por wireless, sino por ethernet.
• Poco preocupado por la seguridad. Responde a ICMPs. Aún no me he conectado por SMB, pero seguro que esta semana saco algo más.

De momento poco más, a seguir con el ethereal un rato, y sleep 3600 && halt, que mañana es otro día. Por cierto, he visitado www.shellsec.net, y he encontrado algún que otro bug para el router de nuestro vecino, todo DoS, pero curiosos.

En otro orden de cosas, le he instalado a unos amigos Debian en un PII 450 con 128 MB de RAM, y funciona de cine.Lo curioso del tema fue la impresionante atención que prestaron al tema; esperemos que le vaya bien y se metan de lleno en el sw libre.

shutdown -h now!
Saludos.