Curso SuSE

Esta mañana he revisado la web del CNTG(http://cntg.xunta.es). Veo que han publicado la lista de admitidos para el curso/certificación SuSE Enterprise Linux y...sopresa! Me han admitido! En realidad en el estado de la Adminisión pone : Admitido(Provisional). Lo de provisional me mosquea un poco, pero... malo será!He superado lo más difícil. Personalmente es un reto, ya que tendré que recorrer 3.200 km en coche en un mes.La cuentas son 200 km Ferrol-Santiago-Ferrol x 4 días a la semana = 800 km por semana. El curso son 4 semanas, con lo cual = 800 x 4 = 3.200 km. Hablando en términos económicos, supongo que iré en mi coche,y calculando que consumirá unos 5.5/100, me gastaré alrededor de 200 euros en combustible.A esto hay que sumarle el precio de la autopista que son 4,40 € + 2,35 € x 2 = 13,50 € al día en Autopista.Teniendo en cuenta que iré 20 días, 13,20 * 20 = 264 €. Resumiendo, el importe del curso son unos 500 €. Sí, es una oportunidad única, pero me parece que voy a comer arroz en blanco durante un mes entero(jajajajja).
Les he enviado un email, para que me aclaren el tema de provisional.De momento esto es todo.
Salud y gnuismo para todos!

xrdp

Después de mi breve pero intensa visita a BCN, mucho tengo que anotar en este blog.
Lo primero es que acabo de probar xrdp, un servidor de escritorio, tipo Terminal Services de Microsoft.En Debian GNU/Linux, con un simple apt-get install xrdp basta.Tengo una máquina en casa de mis padres, un P-III 600 Mhz con 256 de RAM, Debian 4.0 testing y xfce4.Comentar que con el cliente de terminal de Windows XP funciona a las mil maravillas.Aún no me he visto en profundidad,pero supongo, que como todo, será cuestión de tiempo.En un breve vistazo a /etc/xrdp, puedo decir que el cifrado de las conexiones es con claves publicas RSA, y que, al igual que en Windows, podemos configurar que aplicaciones se ejecutarán al iniciar sesión.
En otro orden de cosas, la semana pasada he levantado mi primer servidor "serio" en producción con SAMBA+Active Directory+NFS+RSYNC.Si, la paja mental es impresionante, incluso he configurado un Postfix que hace relay a otro Postfix...La verdad es que el sábado pasado, mientras esperaba a la Señorita X, escribí un mini-post offline en el Macbook, que , como siempre, aún no he publicado.Pero bueno,sí me ha servido el libro de Anaya-OReilly de SAMBA que me he comprado hace un par de meses.La idea es ir publicando ficheros de configuración y demás sobre este proyecto.
Nada más,corto y cierro que me están llamando a gritos desde el piso de arriba.
Salud y gnuismo para todos!

CNTG y cumpleaños bloguero!

Ayer día 8 de Octubre estuve en el Centro de Novas Tecnoloxías de Santiago de Compostela.Hice un examen para entrar en el curso de certificación de SuSE Linux Enterprise Server.Fue difícil? Si, y no.Me pareció difícil por el tipo de preguntas, por ejemplo:
¿Que servicio debe estar correctamente configurado para que NFS funcione correctamente? Obviamente es portmap, pero para un "usuario" corriente, ejavascript:void(0)ste tipo de preguntas puede superarle.La prueba duraba 30 minutos, y creo que en 9 minutos estaba fuera.Dudé en 5 o 6 preguntas de 34, con lo cual, creo que estaré justito para aprobar.Ahora sólo queda esperar.

Hace más de un año que comenzaba a escribir este blog. No tiene muchas visitas, salvo asiduos tipo Kutus; pero eso es lo de menos.Me ha servido de enciclopedia personal, para almacenar mis recetillas y demás.

Que hay de nuevo viejo?

La verdad es que tenía el blog un poco abandonado.Para ser sinceros tampoco he tenido tiempo.Durante esta semana tengo que acabar el proyecto de "Instalación Servidor de Correo GPL", con el que llevo ya unos meses.Resumiendo, que tengo el 40% y necesito tiempo.A trabajar se ha dicho!
Saludos!

Relayhost autenticado Postfix

Buenas.En este minipost comentaré como configurar Postfix para enviar correos a través de un relayhost, en este caso el de R(smtp.mundo-r.com)

Configuracion Postfix
Fichero: /etc/postfix/main.cf
relayhost = smtp.mundo-r.com:25
transport_maps = hash:/etc/postfix/transport
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_passwords

Fichero: /etc/postfix/transport
usuario@dominio.es smtp:smtp.mundo-r.com
Definimos a que destinatarios se enviarán los correos por el relayhost.

Fichero: /etc/postfix/smtp_passwords
smtp.mundo-r.com usuario:password
User y password proporcionado por el ISP.

Ahora desde consola y como root
[root@satriani] postmap hash:/etc/postfix/transport && postmap hash:/etc/postfix/smtp_password
[root@satriani]/etc/init.d/postfix restart

Listo! A enviar correos a través del relayhost!

Streaming MP3 con Apache2 y Debian

Este Kernel2008 va a acabar conmigo(y con Kutus :D ).Voy a montar un servicio de streaming MP3.Para qué? Uno,para pinchar la música sin necesidad de descargar todo a un PC.Dos, por que a uno que es friki le molan estas cosas.Os dejo una recetilla para que podáis montarlo en vuestras casas.
1.- Instalamos apache2
2.- Instalamos libapache2-mod-musicindex
3.- Habilitamos el módulo con a2enmod musicindex
4.- Modificamos el /etc/apache2/sites-available/default para que tenga más o menos lo siguiente:
Alias /music "/home/alberto/mp3/"
&ltDirectory "/home/alberto/mp3">
Options Indexes MultiViews FollowSymlinks
AllowOverride Indexes
MusicIndex On +Stream +Download +Search -Rss -Tarball
MusicSortOrder album disc track artist title length bitrate freq filetype filename uri
MusicFields title artist length bitrate
MusicPageTitle Musica
#MusicDefaultCss musicindex.css
MusicDefaultDisplay HTML
MusicIndexCache file://tmp
MusicCookieLife 300
MusicDirPerLine 3

5.-Reiniciamos apache
6.-http://localhost/music
Salud y gnuismo para todos!

Xornadas Software Libre Rianxo

El pasado sábado 6 de Septiembre, Kutus y yo nos fuimos a Rianxo.Salimos a las 08:45 y después de 130 km a eso de las 10:00 llegamos a la Casa da Cultura-Cuartel Vello.Asistimos a las Xornadas de Software Libre.La opinión general fue muy positiva.En primer lugar,presentaron RianxoSenCabos, una iniciativa que ya está en marcha, y que pretende crear una wifi libre en el Concello de Rianxo y alrededores.Eché en falta alguna diapositiva y alguna foto.Después Mister Brenlla no deleitó con sus ya famosas charlas de evangelización.Pasión por el software libre y alguna que otra risa(lo del Rey León fue buenísimo).Más tarde Pedro Silva nos presentó Blogaliza, un espacio para blogs galegos.Charló un poco sobre las características del site,hardware, tecnologías y demás.A mi modo de ver, la charla sobre "El uso de patrones y estándares" a cargo de Claudio Filho de broffice.org fue la mejor.Muy amena y divertida, con vídeos y diapositivas curradas.
En fin, una gran jornada de software libre.Esperemos que se repita para el próximo año.

Que bueno que vinite!

Hola! Casualidades de la vida.Resulta que introduzco en google.es kvm+debian y comienzo a repasar los resultados.En quinto o sexto lugar aparece linux-os.com.ar. Leo el artículo de KVM y me fijo en la sección de links.Siempre se puede encontrar algún RSS interesante al que suscribirse.Resulta que enlazan este humilde y aburrido blog.Gracias! Es gratificante, saber que por lo menos, existe gente a la que le puede interesar lo que escribo.

Mis razones por las que no usar MVS

En 2006, Microsoft creó Virtual Server Enterprise Edition como descarga gratuita para competir con los programas de virtualización, VMware y Xen.Personalmente me resulta penoso que tuviesen que esperar a que VMWare se consolidase y a que naciese Xen y demás para darse cuenta de que aún no tenían nada con lo que competir.Lo que es más terrorífico es que a estas alturas, después de joder Xenix intentando meter la mano en un mundo Unix,y después de su alianza con Novell-SuSE, piensen que gratis es igual que libre.
Microsoft Virtual Server es un Software, Xen por ejemplo, se integra en el núcleo de GNU/Linux.Entre sus características destacan:consumo excesivo de recursos(clásico en Sistemas Microsoft), inestabilidad bajo ciertas condiciones de contorno, despliegue y ejecución lentos, virtualización dificultosa o imposible de algunos entornos derivados de UNIX. Su código es propietario.
Aunque Virtual Server 2005 R2 puede funcionar en procesadores x64, no puede crear sistemas operativos virtuales que requieran procesadores x64(Debian AMD-64, o Red Hat EL x86_64).También permite usar SMP, pero no virtualizarlo (no permite el uso de más de una CPU por sistema operativo virtual). Lo que significa que aunque Virtual Server 2005 R2 puede funcionar en procesadores de varios núcleos, la máquina virtualizada sólo podrá tener un procesador
Para finalizar, si tuviese que elegir, nunca virtualizaría un sistema Windows, ya que como s.o su rendimiento en relación al coste y al hardware necesario es penoso...el tema de la virtualización asusta.(Lo digo en serio).Pero, en el remoto caso de que me lavasen el cerebro en plan La Naranja Mecánica y tuviese que eligir, repito, poco probable, elegiría VMWare. ¿Por qué? Que lleven 10 años en el ajo me da algo más de confianza.Por cierto, las instrucciones en VMWare,Xen y demás se hacen directamente al hardware,en MVS , Virtual PCs y demás son llamadas al sistema operativo anfitrión.

Cada vez más friki

Hace tiempo que conozco ethtool; lo que desconocía es que puedes enviar impulsos eléctricos para identificar qué interfaz de red corresponde con el nombre que asigna el S.O GNU/Linux.

Probad esto y mirad el led de vuestra interfaz de red.
[root@satriani] ethtool -p eth0 5

Respuesta a dos grandes preguntas!

Muchas gracias por responder a mi post. La verdad es que este blog parece un monólogo. Procedo a postear mi respuesta, esperando “resolver” alguna duda. Ante la primera pregunta :”¿el hecho de cachear tanta pagina para acelerar la navegación no puede proveer errores de seguridad?”, respondo.

Considero que esta mal formulada, ya que proveer es sinónimo de suministrar o facilitar. Un software de proxy-cacheo es un elemento más de seguridad en una LAN-WAN, en ningún caso lo contrario; salvo aquellos que estén mal administrados y/o configurados. Una de las características de un proxy es el anonimato, es decir, hacer creer a quién nos sirve el fichero(.htm,.jpeg,.iso...etc) que es una única máquina la que realiza las peticiones. El proxy, dedice, en base a parámetros de configuración o listas de control de acceso(ACLs), como por ejemplo ip_origen o tipo_fichero si ese fichero se debe entregar desde la caché de la maquina o actualizar el contenido de la misma con una versión posterior en el tiempo.

Históricamente, los proxies eran uno de los principales objetivos a la hora de ejecutar un ataque. Fundamentalmente por una mala configuración en sus listas de control de acceso, y permitir conexiones desde la WAN hacia la LAN. Squid es el software proxy que conozco, utilizo y administro, y hasta hoy, salvo errores garrafales que explicaré en otro post, su rendimiento y sus niveles de seguridad son excelentes.

Evidentemente pueden aparecer vulnerabilidades en el diseño del software en sí y en la configuración del sistema, sobre todo a la hora de definir el espacio de la caché en disco,permisos y demás[cache_dir, coredump_dir] pero considero que este tipo de software requiere de la figura de un Administrador de Sistemas con cierta experiencia.

En respuesta a la segunda pregunta,comienzo del mismo modo que la anterior; reformulo la pregunta : ¿qué herramientas y técnicas utilizas para blindar el proxy?.

Fundamentalmente las divido en tres.
Nivel de Sistema Operativo.

Kernel: Compilación siempre, entre otras cosas para agilizar el sistema y por ejemplo,evitar dar soporte a sistemas de ficheros innecesarios: FAT,NTFS,XFS...etc.

Software: Compilar siempre la última versión estable. Uso Debian GNU/Linux , y basta con configurar las preferencias de apt y apt-build, para optimizar y securizar a niveles aceptables tus paquetes de Software.

Nivel de Red:

Acceso Externos: Si hay que acceder a la máquina,siempre por SSH generando juegos de llaves que impidan a los más ilusos acceder al Sistema. Evidentemente acceso como root ni de broma. Jugar un poco con sudo nunca viene mal.

Firewall: En el 99% por ciento de la instalaciones, Squid va de la mano con Iptables, como mínimo con reglas DROP para INPUT y FORWARD, logeando acceso externos(-j LOG –log-prefix), para extraerlos con un simple script en bash o con, por ejemplo el fwanalog. Utilizo mucho portsentry que añade reglas DROP a iptables para proteger la maquina de nmappers principiantes y demás curiosos.

ACLs: Controles horarios,control de origenes y destinos por IP,fichero...existen tantas combinaciones!

Autenticación :OpenLDAP y Squid se entienden muy bien.Con NCSA lo mismo, pero digamos que al tratarse de auth local, no se recomienda. Nunca lo he probado con Active Directory.

Denegacion por defecto

Las vacaciones están llegando a su fin. Todavía no, pero casí. Estos días apenas he tenido tiempo para configurar las máquinas del V CiberEncontro del Concello de Mugardos.He revisado la configuración del primer DNS, con Debian GNU/Linux y Bind, y los resultados con increíbles. En años anteriores como comentaba en un post reciente, con una configuración simple de Squid bastaba.Este año, mi objetivo como SysAdmin de Kernel 2008, es pulir un poco más la configuración de los servicios de red, sobre todo el firewall.Mucha gente acude a este tipo de evento con malas costumbres, heredadas de pésimos instructores o falsas eXPeriencias como mala VISTA, tipo: mi emule se ejecuta al iniciar mi máquina, o "uso Windows XP y no necesito antivirus"...etc.Contra todo esto: DENEGACION POR DEFECTO.El tiempo me ha dado la razón en relación a qué política aplicar en cada una de las redes que administro.Es verdad que para pulirlas necesitas tiempo y dedicación, pero a la larga, como me comentaba un buen amigo, es lo mejor.Acabas viendo qué y para qué se utilizan todos y cada uno de los recursos de las redes, y poco a poco, terminas por aburrir y desperar a usuarios intrépidos con ganas de ancho de banda.Por eso , mi objetivo en el Kernel 2008 es configurar un acceso a Internet sensato, rápido(caché por un tubo) y estándar.
Saludos, me llaman a cenar.

Consecuencias de la cafeína

Desde hace unos días me viene rondando por la cabeza la infraestructura a implementar en el V CiberEncontro Concello de Mugardos, Kernel2008.Hemos ido de menos a más.En el año 2004 comenzamos con un ADSL de TESA de 512 kbps para 14 personas.En 2005 3 ADSL de 8 mb con un proxy...Pero siempre nos ha quedado pendiente el servidor DNS.Bind? Mister Kaminsky seguro que no estará muy contento,pero, a pesar de que es una coladera, parece que funciona...A parte de instalar Bind, he instalado bindgraph, que, utilizando rrdtool,muestra unas gráficas al estilo mrtg.En debian, basta con instalar el paquete y pista.Ojo, tenemos que indicar en /etc/bind/named.conf.local dónde vamos a almacenar el fichero de log.Después es todo pan comido.Me ha servidor de mucho esta web.
Saludos.

Vacaciones!

Después de 13 meses de duro trabajo, estoy de vacaciones.El sábado voy a pasar unos días a Lisboa y Porto, a la vuelta espero regresar con las pilas cargadas.Poco o nada que comentar en lo relativo a este monotemático blog.Ah,sí! Me he comprado el Lunes 11 un libro que me tiene cautivado.He devorado 100 páginas en menos de 1 día.El caso es que en la librería dónde compramos, la Srta X y yo la guía de Lisboa, tenían libros poco comunes, de OReilly y demás.Entre todos ellos, he visto el último libro de Mitnick! Joer, ignoraba que escribiese! Pues nada, que me lo compré.Os lo recomiendo encarecidamente: El Arte de la Intrusión! Hasta el título mola!

Problema al adjuntar ficheros squirrelmail

Es probable que al adjuntar fichero en Squirrelmail, nos encontremos con un error del tipo "No se puede mover/copiar fichero" , lo que impedirá adjuntar ficheros a nuestros correos.La solución es muy sencilla.Editamos el fichero config.php y modificamos la variable $attachment_dir, indicando un directorio con los permisos adecuados.

Juntos pero no revueltos!

Webmin y el Cliente UNIX/Linux de Veritas no se llevan bien.Paramos el segundo. Cambiamos puerto de escucha en el primerto en /etc/webmin/miniserv.conf.Et voilá!

[root@webmail ~]# nano /etc/VRTSralus/ralus.cfg
[root@webmail ~]# /etc/init.d/VRTSralus.init stop
Stopping Symantec Backup Exec Remote Agent
Stopping Symantec Backup Exec Remote Agent: [ OK ]
[root@webmail ~]# rpm -iUvh webmin-1.420-1.noarch.rpm
Operating system is Redhat Enterprise LinuxWebmin install complete. You can now login to https://webmail.xxxxxxxx.local:10000/as root with your root password.
[root@webmail ~]# /etc/init.d/VRTSralus.init start
Starting Symantec Backup Exec Remote Agent ......
Starting Symantec Backup Exec Remote Agent: [ OK ]

mail_name en Postfix

Ni que decir tiene que durante estos días,mis compañeros de trabajo saben que mi única obsesión se centra en Posftix(www.postfix.org).Revisando documentación he localizado un parámetro que cambia las cabeceras del mensaje indicando la versión del MTA. Ahora mismo en mail.elzulo.org tengo:
mail_name = Microsoft Exchange Server 6.0
Al recibir un email desde mail.elzulo.org ,las cabeceras indican:

Received by mail.elzulo.org (Microsoft Exchange Server 6.0, from userid xxx) id xxxxxx76779; Tue, 22 Jul 2008 20:19:38 +0200 (CEST)

Si alguien quiere hacer "cosquillas" a este modesto mailserver, por lo menos que lo haga pensando que es un Exchange.
Salud y gnuismo!

Dovecot y RHEL5

Cuando uno se acostumbra el Jabugo(Debian GNU/Linux) y luego le dan salchicha de 0.37 € el paquete(RHEL 5.1), pasa lo que pasa.
Al intentar configurar Dovecot para x86_64 me he topado con el siguiente error: imap-login: imap-login: error while loading shared libraries: libsepol.so.1.
Basta con descomentar la línea :
#login_process_size =
por
login_process_size = 64

del fichero /etc/dovecot.conf

Por cierto, lo he leído aquí.

DNS y ElPais

Muy poco había leído sobre el envenenamiento DNS;creo recordar que lo habían nombrado en el Curso de Mancomún de este mes en Santiago de Compostela.
No sé si habéis leído El Pais de hoy Domingo 20 de Julio.Publican una noticia más que interesante, acerca del descubrimiento de una serie de vulnerabilidades en el servicio DNS que permitía envenenar las bases de datos y "falsear" las asociaciones entre nombres DNS e IPs. Os recomiendo encarecidamente la lectura.
Siguiendo con los mismo,y a raíz de los problemas que hemos tenido esta semana en la oficina con algún que otro servidor DNS con Windows 2003, he recuperado documentación acerca de BIND, que utilizaré para configurar los dos servidores DNS del Kernel 2008 en Mugardos. El caso es que para levantar un DNS Caché que simplemente funcione con BIND, basta con introducir dos líneas en el fichero named.conf.options de /etc.
forward only;
forwarders {
212.51.33.106;
212.51.33.73;
};
La rapidez en las consultas es extraordinaria.Vamos a consultar con dig el dominio cisco.com y a comprobar cuanto tiempo tardan los DNS Server de mi ISP(el de mi vecino) en resolver la búsqueda:

polinico:/etc/bind# dig cisco.com

; <<>> DiG 9.4.2 <<>> cisco.com
[Resultados Omitidos]
;; Query time: 37 msec
;; SERVER: 212.51.33.106#53(212.51.33.106)
;; WHEN: Sun Jul 20 22:40:18 2008
;; MSG SIZE rcvd: 95


Ahora lo mismo, pero el contenido de /etc/resolv.conf es:
nameserver 127.0.0.1

polinico:/etc/bind# dig cisco.com

; <<>> DiG 9.4.2 <<>> cisco.com
[Resultados Omitidos]
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Jul 20 22:46:17 2008
;; MSG SIZE rcvd: 95

La verdad es que el tiempo de consultas se reduce considerablemente.
Salud y gnuismo para todos!

Trasteando con Red Hat Enterprise 5

La cosa se ponía chunga.Más de una hora y no levantaba el servicio de Veritas en un RHEL5.El tema estaba tan mal que casi instalo Windows 2003 + Exchange(Descojone general :D) Recuerdo un post de abril de 2008 en el que comentaba que era necesario la instalación de una librería para poder ejecutar correctamente este servicio.El caso es que en un máquina x86-64 la cosa cambia.Casi mejor no repito el post y actualizo unas cosillas:

• La librería es esta : compat-libstdc++-33-3.2.3-64.x86_64.rpm
  
• [root@pasarela]rpm -iUvh compat-libstdc++-33-3.2.3-64.x86_64.rpm--test
• Si todo va OK, repetimos el comando pero SIN --test.
• Iniciamos el cliente Veritas Linux : [root@pasarela]/etc/init.d/VRTSralus.init start

Saludos.

Microsoft y sus historias

Por fin! Hoy me he convencido de que Microsoft Outlook y derivados son una auténtica basura.Una cosa es que se pasen los estándares por el forro, que sea para mucho "el único cliente de correo", pero lo de hoy no tiene nombre.Como sabréis desde hace cosa de un año, me dedico a instalar y administrar mailserver con Debian o RedHat(postfix+imap+spamassassin..etc).De momento todo funciona realmente bien, salvo cuando a los clientes de correo se les da por anunciar su NO DISPONIBILIDAD con un error del tipo "Objeto no encontrado".¿Acaso se creen que todos hemos participado en la programación de Outlook u Office?Me parece de coña.Por otro lado, la página de soporte es de risa.Joer, luego leo por ahí que incluso existen evangelistas de Microsoft: hay gente que no tiene ni vergüenza= sinvergüenzas.La web de soporte es demencial.Resulta que se sacan de la manga un scanpst.exe, que viene a ser una especie de SuperHerramientaArreglaErroresdeOutlook, que como era de esperar no sirve para nada.Harto de consultar webs y páginas de in-soporte, por cierto, insoportables.Decido instalar Thunderbird(a la mierdas las PDAs y el active-sync).Et voilá! Todo como una rayo.La conexión imap SSL sin problemas, incluso a importado los contactos y las carpetas personales.
Sé que con el siguiente comentario no promulgo el software libre, pero ni en Mac OS X pasa eso.Sí, es software propietario, lo sé, pero el software funciona.iMail funciona realmente bien;y aunque en Mac OS X uso Thunderbird, lo prefiero mil veces antes que el Outlook.
Ya por último, y reflexionando un poco, me gustaría recalcar mi total repulsa hacia todo lo que tiene que ver con Microsoft,y en particular con su Sistema Operativo Windows, tanto cliente, como Servidor, del cual no puedo más que descojonarme de la risa ante su, cada vez más evidente, ganas y ganas de comer recursos de máquinas: RAM,ciclos de CPU...etc.
La verdad es que hoy no he tenido un buen día,pero otra verdad es que con Debian jamás me hubiese pasado!
Salud y GNUismo!

Curso Capacitacion SwL, parte II

La verdad es que estoy un poco defraudado por el tema del Curso.En 12 horas sé que no se puede pretender ser un gurú del tema, ni pretender hacer grandes avances sobre nada.La parte de BIND que más me interesaba, fue sólo un acercamiento al fichero de configuración.Mucho lirili, pero poco lerele.Dónde están, que es un ROOT Server? Qué es , cómo se configura un Servidor Secundario de DNS? Cómo va el DNS-DHCP? En fin...Lo peor de todo es que nos ponemos a instalar BIND en un LIVE CD! y peta.Error al escribir en memoria.En menos de un minuto San Google.es me dio la respuesta.Deshabilitar apparmor.Joer, ni siquiera el "profesor" sabía de la existencia de apparmor! El caso es que se lo comenté y toda la clase pudo instalar BIND,guau!!!!!
Repito, la culpa no la tiene el docente,pero hay que ser un poco serios.El tipo tiene nivel, eso sí, a mi de nada me vale que configures la consola con el logo de NMAP para que todos flipen, si luego nos perdemos más cosas.Por cierto, con el BIND funcionando como servidor local(ni siquiera creamos una zona),nos largamos media hora antes(19:30) de terminar.Ya que me voy a hacer 200 Km y el próximo finde casi seguro que me toca dormir en un sofá, por favor, vamos a preparar las clases!
Ya por último,a mi me dice muy poco el afán de personalizar-galeguizar una Ubuntu 8.04 si luego fallamos en que considero básico.
Salud y gnuismo.
PD:Por cierto, pienso volver el próximo fin de semana.

Curso Capacitación Software Libre

Estoy en Santiago, en un Curso de Capacitación de Software Libre. Concretamente en el módulo II,de Servicios Básicos de Red.Ahora mismo estamos viendo SAMBA; cosillas básicas pero que siempre cunden repasar.La verdad es que el nivel general, a priori, no parece muy alto, pero el profesor tiene una pinta de friki! Lo bueno es que la clase parece amena.Los PC tienen Ubuntu 8.04 en Live CD! y de momento todo parece funcionar.Espero dentro de una hora comenzar con BIND, a ver si no me quedo dormido antes!
Salud y gnuismo!

Soy CCNA!

Con unos cuantos meses de retraso...por fin soy CCNA! El examen no me ha parecido difícil.La verdad es que estaba un poco nervioso,pero una vez contestada la primera pregunta,van como rosquillas....El examen fue un suplicio;debía comenzar a las 09:00 horas y lo terminé a las 18:45 de la tarde.SI! Algo así como unas 6-7 horas en la Academia, por culpa de no sé que error en la descarga de los exámenes!Lo bueno es que es sólo una anécdota.
Por fin tengo o tendré tiempo para mirar, leer y probar las cosas que, unas veces por cansancio y otras por ¿obligación moral? había dejado aparcadas.Entre ellas:

• MAC, MAC, MAC. Voy a quemar el disco duro de tanto usarlo!
• Acabar el libro "Seguridad en Servidores Linux".
• Preparar el Artículo "Clustering HA con Squid". Después del artículo que me han publicado el año pasado,a finales de 2008 entregaré el segundo volumen.Tengo mucho que leer, muchas configuraciones que probar.Me gustan los retos.

Por lo demás todo como casi siempre.Mucho GNU/Linux en la oficina, y algún que otro "brown" resuelto con más o menos soltura.
Salud y gnuismo para todos!

SSL Dovecot

Notas sencillas sobre como configurar Dovecot con SSL.

1.- Descargamos el fichero http://dovecot.org/doc/mkcert.sh
#!/bin/sh

# Generates a self-signed certificate.
# Edit dovecot-openssl.cnf before running this.

OPENSSL=${OPENSSL-openssl}
SSLDIR=${SSLDIR-/etc/ssl}
OPENSSLCONFIG=${OPENSSLCONFIG-dovecot-openssl.cnf}

CERTDIR=$SSLDIR/certs
KEYDIR=$SSLDIR/private

CERTFILE=$CERTDIR/dovecot.pem
KEYFILE=$KEYDIR/dovecot.pem

if [ ! -d $CERTDIR ]; then
echo "$SSLDIR/certs directory doesn't exist"
exit 1
fi

if [ ! -d $KEYDIR ]; then
echo "$SSLDIR/private directory doesn't exist"
exit 1
fi

if [ -f $CERTFILE ]; then
echo "$CERTFILE already exists, won't overwrite"
exit 1
fi

if [ -f $KEYFILE ]; then
echo "$KEYFILE already exists, won't overwrite"
exit 1
fi

$OPENSSL req -new -x509 -nodes -config $OPENSSLCONFIG -out $CERTFILE -keyout $KEYFILE -days 365 || exit 2
chmod 0600 $KEYFILE
echo
$OPENSSL x509 -subject -fingerprint -noout -in $CERTFILE || exit 2

2.- Creamos el fichero /etc/dovecot/dovecot-openssl.cnf
[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
# country (2 letter code)
C=ES

# State or Province Name (full name)
ST=Madrid

# Locality Name (eg. city)
L=Leganes

# Organization (eg. company)
O=ISIDISI

# Organizational Unit Name (eg. section)
OU=IMAP SSL Server

# Common Name (*.example.com is also possible)
CN=imap.isidisi.com

# E-mail contact
emailAddress= info@isidisi.com

[ cert_type ]
nsCertType = server

3.- Hacemos backup de los certificados que vienen por defecto en Dovecot:
mv /etc/ssl/private/dovecot.pem /etc/ssl/private/dovecot.pem.bak
mv /etc/ssl/certs/dovecot.pem /etc/ssl/certs/dovecot.pem.bak

4.- Modificamos /etc/dovecot/dovecot.conf

protocols = imap imaps
ssl_disable = no
ssl_cert_file = /etc/ssl/certs/dovecot.pem
ssl_key_file = /etc/ssl/private/dovecot.pem

5.- Reiniciamos dovecot
[root@imap.isidisi.com] /etc/init.d/dovecot restart
Restarting mail server: dovecot.

BSC, simplemente alucinante!

A quién no le gustaría administrar esto ?

Backup IOS Router Cisco

Bueno... ya falta cada vez menos para el examen final de CCNA. Repasando esta tarde, no recordaba(en realidad sí, pero era una escusa para postear!!!!) cómo hacer un backup del IOS y ni como cambiar password a un router.Es muy fácil.

Backup IOS.

• Tener un tftp server funcionando
• Modo enable, hacemos un show flash, y deberíamos ver algo como esto:

System flash directory:
File Length Name/status
1 4306080 c820-sy6-xxxxx.xxxxxxx
[4306144 bytes used, 4082464 available, 8388608 total]
8192K bytes of processor board System flash (Read/Write)

• Luego un copy flash tftp, y deberíamos ver algo como esto:

router-01#copy flash tftp Source filename []? c820-sy6-xxxx.xxxx Address or name of remote host []? 192.168.12.253 Destination filename [c827-y6-mz.121-1.XB]? !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
En pocos segundos tendremos en nuestra máquina una imagen del IOS sana y salva.Sólo falta quemar un CD para mayor seguridad y meterlo en la caja fuerte.Aunque muchos no lo sepan, las imágenes de IOS cuestan €, y bajarlas de la "mula" no es del todo "legal".

Recuperar contraseña.

• Con el router mosqueado, lo reiniciamos y cuando veamos:

System Bootstrap, Version 12.2(4r)XM1, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.co
Copyright (c) 2001 by cisco Systems, Inc.
C800/SOHO series (Board ID: 13-62) platform with 24576 Kbytes of main memory

pulsamos CTRL+Pausa.

• Entramos en modo ROMmom, y escribimos
  

rommon 2 > confreg 0x2142
rommon 2 > reset

• Después de un par de minutos...voilá:

Would you like to enter the initial configuration dialog? [yes]
Sencillo, no, pues a trastear!