Richzendy.org

CentOS se caracteriza por tener software antiguo (considerado estable) ya que es una distribución derivada de redhat, pero eventualmente nos toca instalar las últimas versiones de Apache, php y mysql (LAMP)  y ahí es donde juega un papel importante el proyecto powerstack, este sitio es mantenido gracias a Santi Saez, Administrador de Sistemas en Hostalia/Acens y facilitado libremente para descarga desde su repositorio.

Para configurar el repositorio desde nuestro CentOS, simplemente ejecute:

rpm -Uvh http://download.powerstack.org/powerstack-release-0-1.noarch.rpm

y luego actualice o instale los paquetes requeridos, este repositorio está diseñado para ser usado en conjunto con EPEL de Fedora,el más popular repositorio adicional de CentOS y que es mantenido por el proyecto Fedora.

Vean en el siguiente vídeo una explicación de su modo de empleo:

Si alguien a visto este molesto mensaje:

reverse mapping checking getaddrinfo for XXX.XX.XXX.XXX.static.example.com [XXX.XXX.XXX.XXX] failed – POSSIBLE BREAK-IN ATTEMPT!

Al intentar loguearse a una caja linux mediante SSH, esto es debido a que el cliente hace una consulta de DNS reverso al host y el registro PTR no concuerda con el nombre de host al que estamos intentando ingresar por SSH, hacer esa consulta de DNS reverso lleva un poco de tiempo y en una conexión deficiente, esto penaliza el intentar conectar.

Más que todo he visto este tipo de mensajes en cajas basadas en Fedora como redhat y centOS, esto no es ningún tipo de error o bug, es simplemente un warning, pero si quieren desactivarlo, pueden editar el archivo /etc/ssh/sshd_config ( en el servidor ) y cambian la linea que dice:

GSSAPIAuthentication yes

por:

GSSAPIAuthentication no

con lo cual se desactiva GSSAPI, y eso es todo, no se si esto tenga algún tipo de implicación en la seguridad, pero si tienes alguna sugerencia al respecto, usa los comentarios de este post.

Otra manera de no ver este warning, pero con una solución desde el lado del cliente ( si no tienen acceso root al servidor destino ) es usar SSH con parámetros como en el siguiente ejemplo:

ssh -o GSSAPIAuthentication=no usuario@host

Captura de pantalla de la página principal - Click para ver más grande

Uno de los principales problemas al momento de iniciar una gran implementación de computadores de escritorios con GNU/Linux ( sin hablar de una gran migración desde algún otro sistema operativo ) es la de poder contar con una buena herramienta centralizada que permita mantener las actualizaciones de estás máquinas, ejecutar comandos remotos en ellas, desplegar archivos de configuración comunes a grupos de ellas y mantener las versiones de los mismos, mantener un inventario del hardware y del software, hacer rollback de software en caso de problemas ( revertir los cambios ), bueno todo eso y más es Spacewalk.

Normalmente implentaciones de este tipo se hacen montando repositorios espejo ( mirrors ) de los oficiales de la distribución usada, usando aplicaciones como puppet o cfengine para hacer despliegues masivos de configuraciones y ejecutar comandos remotos, ocs inventory para hacer inventario del hardware y software  y algunas otras más para realizar otras cosas, sin embargo todas son aplicaciones diferentes que no están integradas entre si.

Spacewalk viene  a ser una aplicación robusta o mejor dicho debemos decir que está conformado por alrededor de 250 paquetes o programas, su desarrollo es comunitario y tiene como antecedente el ser la versión comunitaria ( es decir sin soporte comercial )  de el producto de RedHat llamado “RedHat Satellite” ahora liberado y con licencia GPLv2 lo que da garantía de que es un software maduro.

¿Que puede hacer Spacewalk?

• Hacer inventario de tus sistemas ( información de hardware y software).
• Instalar y actualizar software en tus sistemas.
• Agrupar y distribuir paquetes de software personalizados en grupos manejables de máquinas.
• Aprovisionamiento de sistemas vía kickstart, es decir instalaciones desasistidas.
• Manejar y deslpegar archivos de configuración en tus sistemas con control de versionamiento de los mismos.
• Parada/Inicio/Configuración de clientes o máquinas virtuales.
• Distribuir contenido a través de múltiples sitios geográficamente separados de forma eficiente.
• Creación eficiente de roles de usuarios para atender grupos definidos de máquinas.
• Soporte multi-lenguaje.
• El proceso de gestión de máquinas no es intrusivo, no usa usuarios ni claves de sistema, usa tokens y la autenticación es segura.

Tal vez me quede corto en este post para enumerar todas las características de esta poderosa herramienta, llevo algunos meses usándola en mi trabajo y todo no es gloria, Spacewalk necesita un servidor casi exclusivo para el, usa tomcat para su parte web,  usa oracle XE como base de datos ( sin embargo el equipo de desarrollo de spacewalk esta desesperadamente tratando de implementar una versión con postgresql ), solo funciona actualmente con distribuciones basadas en Fedora, redhat, centOS y solaris ( sería ideal y bienvenido el soporte para debian/canaima ) el proceso de instalación y actualización es sencillo pero el proceso de gestión de la aplicación puede ser largo ya que la aplicación web es un monstruo por lo grande en si misma, pero vale la pena su implementación si tu entorno de red y sistemas es adecuado.

Spacewalk es un compendio de muchas tecnologías y lenguajes de programación, entre sus más de 250 paquetes podrás encontrar piezas escritas en perl, python, java, c y muchos otros lenguajes de programación.

Spacewalk no es para manejar pequeñas instalaciones de computadores, está orientado a grandes implementaciones como en datacenters, grandes despliegues de escritorios e ideal en grandes implementaciones de entornos virtualizados, en donde la gestión se hace ya muy difícil, permitiendo ahorrar tiempo, dinero y personal en la tarea de controlar y mantener ordenado todo lo referente a la gestión de los sistemas.

La documentación sobre spacewalk es extensa, sin embargo yo use el siguiente documento para fijarme en la instalación que hice, sin embargo está algo desactualizada ya que hoy en día ya existen otras versiones de spacewalk más nuevas pero puede ser usada como punto de partida:

http://wiki.woop.es/Instalacion_Spacewalk ( en castellano )

Normalmente hablar de SELINUX en un entorno de sysadmins es llegar a la conclusión de que es un dolor de cabeza, sin embargo mucha gente se queja de lo malo de SELINUX ( lo malo es una característica, no un mal funcionamiento ).

Para mostrar lo bueno que puede ser SELINUX en un entorno bien configurado alguien a decidido colocar una máquina con libre acceso a ssh y a facilitado la clave de su cuenta root para que cualquiera que desee probar el entorno SELINUX pueda hacerlo, si quieres tener más información al respecto puedes ir al siguiente enlace:

http://www.coker.com.au/selinux/play.html

Te recomiendo leer las faqs antes de intentar hacer login remoto:

http://www.coker.com.au/selinux/play-faq.html

Desde hace algún tiempo vengo usando el potente webserver Nginx como proxy reverso.

Una de las mejores características de Nginx es la facilidad de uso de expresiones regulares en su archivo de configuración, si alguna vez tienen Nginx corriendo como proxy reverso y tienen que hacer un cambio de dominio en un website de la manera menos traumática para sus usuarios, pueden usar la siguiente configuración:

server {
listen 80;
server_name www.old-domain.com old-domain.com;
# Descomente las líneas siguientes si desea tener logs de donde provienen las consultas de su dominio viejo
# access_log /var/log/nginx/access_old-domain.log;
# error_log /var/log/nginx/error_old-domain.log

location / {
rewrite ^/(.*)$ http://www.new-domain.com/$1 redirect;
}
}

Cualquier consulta desde el navegador del cliente hechas al dominio old-domain.com o a www.old-domain.com será redireccionada automáticamente a http://www.new-domain.com, incluso si el cliente coloca por ejemplo www.old-domain.com/galeria/index.php será redireccionado automáticamente a www.new-domain.com/galeria/index.php.

Cambie old-domain.com por su viejo dominio y new-domain por su nuevo dominio y coloque ese código en su archivo de configuración de nginx.

Nginx es un servidor web de alto rendimiento, extremadamente rápido , es usado por ejemplo por youtube.com para los servidores que alojan los vídeos.

Ayer, último viernes de Julio, día internacional del SysAdmin, Steve Stady y Seth Vidal (Yum/Fedora) ha escrito los 10+8 Mandamientos del Administrador de Sistemas, enjoy:

1. Harás lo mismo una y otra vez sin perder el tiempo en tareas mundanas
2. Santificaras los respaldos periódicos y completos
3. Honraras el número reducido de particiones grandes
4. No codiciarás otro sistema que no es necesario
5. No procrastinarás(Acción de postergar actividades qjue debe atender, por otras  situaciones más irrelevantes y agradables.)
6. Te documentarás y automatizaras tus tareas
7. No reiniciarás una máquina si no sabes que sucederá después
8. Honrarás los recursos que te brinda el Sistema Operativo
9. Documentarás políticas de acción completas y efectivas
10. Sabrás con certeza si un equipo/servidor es confiable
11. Conocerás lo suficiente para no dudar a la hora de presionar Enter
12. Serás el primero en enterarte cuando algo anda mal
13. Mantendrás logs de todo lo que ocurra en tus servidores
14. Conocerás tu entorno de trabajo como la palma de tu mano
15. Aprenderás de tus errores y evitarás que se repitan a costa de tu salario
16. No tendrás malos pensamientos de quienes hagan mal uso del sistema
17. Aceptarás que no eres nada semejante a Dios por tener privilegios de root
18. Guardarás un día de reposo para socializar y bendecir tu vida offline

Original: http://sethdot.org/~skvidal/misc/sysadmin-aphorisms.txt

Una de las cosas que siempre andan buscando aquellas personas que se han dedicado a editar/modificar un perfil de usuario en gnome con la intención de restringir un poco las cosas que puede realizar determinado usuario, es la de poder fijar un wallpaper o fondo de escritorio en gnome y que este no pueda ser cambiado o modificado por el usuario, la solución no es tan difícil, por ejemplo:

Con esta instrucción le cambias el wallpaper que este usando:

gconftool-2 –direct –config-source=xml:readonly:/etc/gconf/gconf.xml.defaults -s -t string /desktop/gnome/background/picture_filename /usr/share/backgrounds/miwall/walpaper_personalizado.png >/dev/null

Con esta instrucción colocas ese mismo wallpaper anterior como fondo del gdm:

gconftool-2 –direct –config-source=xml:readonly:/etc/gconf/gconf.xml.system -s -t string /desktop/gnome/background/picture_filename /usr/share/backgrounds/miwall/walpaper_personalizado.png >/dev/null

Con esta instrucción evitas que pueda cambiar el fondo del escritorio:

gconftool-2 –direct –config-source=xml:readonly:/etc/gconf/gconf.xml.mandatory -s -t string /desktop/gnome/background/picture_filename /usr/share/backgrounds/miwall/walpaper_personalizado.png >/dev/null

gconftool es la herramienta que permite hacer modificaciones de parámetros en las preferencias de gnome en modo consolar.

Los comandos pueden ser usados perfectamente desde un archivo kickstart en la sección %post ( De hecho así es que los estoy usando ), de esta manera ya tiene configuradas las preferencias al momento de instalar un computador.

Por una u otra razón alguna vez tendremos que aumentar el tamaño de la partición de un disco duro y no disponemos de espacio libre en ningún lado, anteriormente lo que se hacia era comprar un disco nuevo, particionarlo de nuevo y pasar toda la información del disco viejo, eso era antes de tener LVM disponible en sistemas  GNU/Linux ( al menos en fedora viene por defecto ), bueno a mi me toco esta semana y este fue el procedimiento sencillo use:

Verificamos el espacio actual:

[root@pc1 ~]# df -h
S.ficheros          Tamaño Usado  Disp Uso% Montado en
/dev/mapper/VolGroup00-LogVol00
14G   13G  949M  93% /
/dev/mapper/VolGroup00-LogVol02
57G   54G     0 100% /home
/dev/mapper/VolGroup00-LogVol03
558M   17M  513M   4% /tmp
/dev/sda1             190M   26M  156M  14% /boot
tmpfs                 1,3G     0  1,3G   0% /dev/shm

El problema es con mi partición /home de 57 GB la cual está ya al 100% de uso y quiero aumentar el espacio, el detalle es que no queda espacio libre en ningún otro lado de ese disco, que es de 80 GB.

Para comprobarlo, reviso con el comando vgdisplay mis grupos de volumen, observe que el parámetro ” Free  PE / Size” indica que solo tengo 32 Mb libres:

[root@pc1 ~]# vgdisplay
— Volume group —
VG Name               VolGroup00
System ID
Format                lvm2
Metadata Areas        1
Metadata Sequence No  5
VG Access             read/write
VG Status             resizable
MAX LV                0
Cur LV                4
Open LV               4
Max PV                0
Cur PV                1
Act PV                1
VG Size               74,31 GB
PE Size               32,00 MB
Total PE              2378
Alloc PE / Size       2377 / 74,28 GB
Free  PE / Size       1 / 32,00 MB
VG UUID               dUQrta-Vk3D-e1Ek-ModS-2sua-0Xdf-uIWezG

Apagamos la computadora y agregamos el disco nuevo, en mi caso aparece como sdb1 ( ya estaba particionado ), así que agregamos el disco a nuestro Grupo de Volumen VolGroup00:

[root@pc1 ~]# vgextend  VolGroup00 /dev/sdb1

luego, revisamos de nuevo nuestros Grupos de Volumen, observe que el parámetro “Free  PE / Size” indica que tengo 74,53 GB libres:

[root@pc1 ~]# vgdisplay
— Volume group —
VG Name               VolGroup00
System ID
Format                lvm2
Metadata Areas        2
Metadata Sequence No  6
VG Access             read/write
VG Status             resizable
MAX LV                0
Cur LV                4
Open LV               4
Max PV                0
Cur PV                2
Act PV                2
VG Size               148,81 GB
PE Size               32,00 MB
Total PE              4762
Alloc PE / Size       2377 / 74,28 GB
Free  PE / Size       2385 / 74,53 GB
VG UUID               dUQrta-Vk3D-e1Ek-ModS-2sua-0Xdf-uIWezG

Ahora tenemos que extender el volumen lógico al tamaño libre que tenemos ahora:

[root@pc1 ~]# lvextend -L +74,53G /dev/VolGroup00/LogVol02
Rounding up size to full physical extent 74,53 GB
Extending logical volume LogVol02 to 133,16 GB

Ahora tenemos que redimensionar la partición que corresponde a /home, al máximo tamaño disponible:

[root@pc1 ~]# resize2fs /dev/mapper/VolGroup00-LogVol02
resize2fs 1.41.3 (12-Oct-2008)
Filesystem at /dev/mapper/VolGroup00-LogVol02 is mounted on /home; on-line resizing required
old desc_blocks = 4, new_desc_blocks = 9
Performing an on-line resize of /dev/mapper/VolGroup00-LogVol02 to 34897920 (4k) blocks.
El sistema de ficheros en /dev/mapper/VolGroup00-LogVol02 tiene ahora 34897920 bloques.

Por último comprobamos ahora cuanto espacio tenemos en total en nuestro sistema de ficheros:

[urt@pc1 ~]$ df -h
S.ficheros          Tamaño Usado  Disp Uso% Montado en
/dev/mapper/VolGroup00-LogVol00
14G   13G  949M  93% /
/dev/mapper/VolGroup00-LogVol02
129G   54G   69G  45% /home
/dev/mapper/VolGroup00-LogVol03
558M   17M  513M   4% /tmp
/dev/sda1             190M   26M  156M  14% /boot
tmpfs                 1,3G     0  1,3G   0% /dev/shm

Observe que ahora tengo 129 GB de los cuales tengo 69GB libres en mi partición /home, lo que da en total solo un 45% de uso 

Se busca técnico en redes o afín que este dispuesto a etiquetar cada  2 metros cada hebra de cable que se ve en la siguiente imagen:

El trabajo debe ser realizado sin interrumpir el servicio para lo cual esta diseñado el cableado en cuestión.

Nota: Esto es una broma.

Hoy acabo de llevarme una sorpresa, ayer actualice los archivos de blacklists del filtro de contenido del proxy y un usuario de la red de donde trabajo me envió un correo usando el formulario que se encuentra en en el filtro de contenido cuando un sitio le es bloqueado, el usuario reportaba que no podía acceder al sitio http://www.seniat.gob.ve y mi sorpresa cuando reviso:

[code="Bash'""]
grep -ER seniat.gob.ve ./
./blacklists/phishing/domains.processed:seniat.gob.ve
./blacklists/phishing/domains:seniat.gob.ve
[/code]

OMFG el sitio del seniat se encuentra en el listado de sitios de phishing!!!!

el listado que uso, es el que se descarga desde:

http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist

Quien sabe por que se encuentra allí, pero sus buenas razones tendrán, el listado de ese blacklist es formado por gente seria y responsable, ahora le toca al webmaster del sitio verificar por que su sitio esta considerado como de phishing

Solución: para dansguardian colocar la dirección del sitio en  exceptionsitelist.