Archivo

Archivo del autor

GoblinSoft

Jueves, 26 de diciembre de 2013 Sin comentarios

Hola!

En esta ocasión no les traigo un tutorial ni ninguna de esas guías de traumas que me fueron quedando de buscar y buscar configuraciones.

Les vengo a hablar de GoblinSoft, que no es ni más ni menos que un proyecto propio el cual arrancamos con un amigo. Ese proyecto tuvo como idea facilitar funciones para relevar información de dominios y demás tareas de redes. Principalmente la idea es relevar para con esa información aplicar las políticas de seguridad correspondientes a la red y al sistema.

De esa manera nació El proyecto Mamushka que centraliza escaneos de nmap, consultas de DNS, relevamiento de puertos, logins de usuarios servicios y archivos sin dueño, todas tareas resumidas en un menú que agiliza el trabajo.

Por este motivo, los invito a descargar el Software, visitar la WEB y ayudarnos con tan solo un Me Gusta o Twiteandolo.

Facebook: https://www.facebook.com/Goblinsoft

Twitter: https://twitter.com/goblinsoft

Nos vemos la semana que viene con algún tutorial o instructivo de uso de la herramienta.

Gracias por la ayuda y espero disfruten el programa y de los próximos que iremos sacando en breve.

How to renew a certificate lapsed in zimbra?

Sábado, 14 de diciembre de 2013 Sin comentarios

Para seguir con la linea de Zimbra, voy a cargar como renovar un Cerificado en Zimbra Autofirmado, ya que suele ser algo que preguntan seguido muchos y en las webs no está del todo bien explicado.

Es importante no dejar que el Certificado caduque ya que al caducar perderemos el acceso a los servicios y tendremos errores en la plataforma.

Los certificados se almacenan todos en el directorio /opt/zimbra/ssl/zimbra/commercial y lo verán como comercial.key y permisos 740.

Para emitir un nuevo Certificado Autofirmado, deberemos seguir los pasos descritos a continuación:

  • Loguearnos al sistema con el usuario de zimbra:

su – zimbra

  • Detener los servicios:

zmcontrol stop

  • Generar nuevo CA:

/opt/zimbra/bin/zmcertmgr createca -new

  • Firmar el Certificado con el CA generado anteriormente:

/opt/zimbra/bin/zmcertmgr createcrt -new -days 365 –> Cambiar 365 por la cantidad de
días que durará el certificado

NOTA: Se puede editar el valor que tiene por default de días editando el archivo “/opt/zimbra/bin/zmcertmgr” cambiando 365 por la cantidad de años que queramos en días.

  • Ejecutar el deploy del certificado:

/opt/zimbra/bin/zmcertmgr deploycrt self

  • Hacer deploy del CA:

/opt/zimbra/bin/zmcertmgr deployca

  • Verificar que se haya ejecutado correctamente el deploy:

/opt/zimbra/bin/zmcertmgr viewdeployedcrt

  • Iniciar los servicios:

zmcontrol start

Verificar que todos los servicios inicien bien y se pueda acceder vía web sin problemas.

Con esto ya tendremos nuestro nuevo certificado funcional y la plataforma no tendrá problemas.

How to Install Zimbra on Ubuntu 12.04

Martes, 10 de diciembre de 2013 Sin comentarios

Para la instalación de Zimbra 8.0.5 sobre Ubuntu 12.04, deberemos seguir los pasos descritos a continuación con el usuario root.

Eliminando paquetes

 

Antes de comenzar con la descarga e instalación, vamos a eliminar cualquiera de estos paquetes:

apt-get remove –purge apache2 apache2-doc apache2-mpm-prefork apache2-utils apache2.2-bin apache2.2-common bind9 bind9-host bind9utils sendmail sendmail-base sendmail-bin sendmail-cf sendmail-doc sensible-mda bsd-mailx rmail samba

El motivo para eliminarlos es que interfieren con la instalación, generando problemas ya sea en la instalación de Zimbra como así también en su posterior uso.

Preparando el Sistema

 

  • Primero vamos a instalar los paquetes necesarios para que las dependencias de Zimbra se cumplan:

apt-get install netcat libidn11 libpcre3 libgmp3c2 libexpat1 libstdc++6 libperl5.14 sysstat sqlite3 pax

  • Configurar el archivo /etc/hosts para que apunte al nombre/dominio como muestra el siguiente ejemplo:

hosts-zimbra

La configuración del archivo /etc/hosts deberá ser efectuada pura y exlusivamente si no poseemos un DNS configurado con el registro A y el MX. Al instalar si no tenemos el MX con un DNS configurado marcara un error con los mismos.

  • Editar /etc/hostname y cargar nombre.dominio (correo.midominio.com)
  • En el caso de tener firewall verificar que se pueda acceder a los puertos:

zimbra-ports

Descarga de Zimbra

 

La descarga podemos ejecutarla desde la web o por linea de comando con el comando:

wget -c http://files2.zimbra.com/downloads/8.0.5_GA/zcs-8.0.5_GA_5839.UBUNTU12_64.20130910124038.tgz

Desempaquetar el archivo:

tar xzvf zcs-8.0.5_GA_5839.UBUNTU12_64.20130910124038.tgz cd zcs-8.0.5_GA_5839.UBUNTU12_64.20130910124038

 

Instalando Zimbra

 

Dentro del directorio veremos un archivo install.sh el cual vamos a ejecutar:

./install.sh

Veremos lo siguiente:

root@correo:~/zcs-8.0.5_GA_5839.UBUNTU12_64.20130910124038# ./install.sh

Operations logged to /tmp/install.log.2251 Checking for existing installation…

  zimbra-ldap...NOT FOUND
  zimbra-logger...NOT FOUND
  zimbra-mta...NOT FOUND
  zimbra-snmp...NOT FOUND
  zimbra-store...NOT FOUND
  zimbra-apache...NOT FOUND
  zimbra-spell...NOT FOUND
  zimbra-convertd...NOT FOUND
  zimbra-memcached...NOT FOUND
  zimbra-proxy...NOT FOUND
  zimbra-archiving...NOT FOUND
  zimbra-cluster...NOT FOUND
  zimbra-core...NOT FOUND

PLEASE READ THIS AGREEMENT CAREFULLY BEFORE USING THE SOFTWARE. ZIMBRA, INC. (“ZIMBRA”) WILL ONLY LICENSE THIS SOFTWARE TO YOU IF YOU FIRST ACCEPT THE TERMS OF THIS AGREEMENT. BY DOWNLOADING OR INSTALLING THE SOFTWARE, OR USING THE PRODUCT, YOU ARE CONSENTING TO BE BOUND BY THIS AGREEMENT. IF YOU DO NOT AGREE TO ALL OF THE TERMS OF THIS AGREEMENT, THEN DO NOT DOWNLOAD, INSTALL OR USE THE PRODUCT.

License Terms for the Zimbra Collaboration Suite:

http://www.zimbra.com/license/zimbra_public_eula_2.4.html

Do you agree with the terms of the software license agreement? [N]

 

Confirmando con Y esto nos mostrará la licencia a la cual deberemos darle Y nuevamente. Al hacer esto, se hará una comprobación sobre el software de Zimbra:

zimbra-checking

Posterior a esto vamos a dejar todas las opciones por default:

zimbra-install-packages

Al aceptar comenzará la instalación y de no tener bien configurados los MX nos pasará un mensaje de error solicitando el cambio de dominio, al cual le diremos que No.

mx-zimbra

Seleccionado el No, vamos a ingresar al menu principal.

zimbra-main-menu

Para terminar la configuración en la cual deberemos seleccionar las opciones en el orden descrito a continuación:

  • Seleccionamos la opción 3.
  • Luego la opción 4 (Admin password).
  • El sistema nos propone una clave default, aquí deberemos escribir la clave deseada.
  • Presionamos enter para volver al menu anterior.
  • Presionamos la “a” para aplicar los cambios.
  • Al aplicar va a solicitar guardar a un archivo, dejamos el nombre por default, luego avisa que el sistema será modificado y seleccionamos Yes.

Terminados estos pasos podremos acceder a la web https://IP:7071 que es la consola de administración con el usuario admin@hostname.midominio.com y clave que hayamos cargado en el paso anterior.

 

 

 

 

 

Apache Reverse Proxy

Domingo, 18 de noviembre de 2012 Sin comentarios

Esta semana me tope con la tarea de levantar un Reverse Proxy, buscando info, vi que no había muchas explicaciones claras al respecto, así que a modo de registro, voy a aprovechar a levantar un pequeño post dedicado a esto.

Como bien sabemos todos Apache es un Servidor WEB de código abierto, el cual nos permite varias tareas, las cuales a largo plazo iré detallando.

¿Qué es un Reverse Proxy?

Sin dar más vueltas es un Apache el cual se sitúa entre el cliente y el Server Original. De esta forma cuando el cliente manda una consulta, esta llega al Server que actúa como Proxy y este envía de forma interna la consulta al Server Original, devolviéndole la información solicitada al cliente. A esta funcionalidad también se la conoce como “gateway”. Esta funcionalidad permite redireccionar diferentes servidores a través de una sola URL.
Este Reverse Proxy, es activado utilizando la directiva ProxyPass.

Dejemos de dar vueltas y vayamos directo al grano, que es la configuración propiamente dicha.

Vale aclarar que el ejemplo que voy a trabajar es sobre Debian, por lo tanto los paquetes a instalar pueden llegar a variar con las diferentes distros.

Instalación:

#apt-get install apache2 libapache2-mod-proxy-html
#a2enmod proxy_http (esto activa los modulos proxy y proxy_http en un solo comando)
#a2enmod ssl (esto lo vamos a necesitar si hacemos la configuración de Apache en HTTPS)

Configuración:

Supongamos que tenemos un dominio llamado www.estoesunaprueba.com (si como pueden ver sigo tan creativo como siempre). Cuando colocamos este dominio en nuestro navegador, si nuestros tan amados servidores de DNS nos ayudan, deberemos llegar a nuestra IP WAN. Con una regla de NAT redireccionaremos entonces el tráfico que llegue al puerto 80 y 443 hacia nuestro Apache que trabajará como Proxy bajo la IP 192.168.1.200.

En nuestro Apache, tenemos que configurar entonces 2 VirtualHost, uno para HTTPS y otro para HTTP. Para hacer esto vamos a efectuar estos pasos (no se preocupen si no saben mucho de VirtualHost, ya lo veremos en otra oportunidad):

  • Crear un archivo en blanco con un nombre que identifique al dominio (en mi caso va a ser prueba y ssl-prueba)
  • Dentro de prueba, que va a ser quien represente nuestro Proxy HTTP, colocaremos la siguiente información:

<VirtualHost *:80>

ServerName estoesunaprueba.com

ProxyPreserveHost on (Esta linea en ON hace que cuando la consulta llega al Proxy, este mantenga el nombre de la consulta y no el definido en ProxyPass. En mi caso mantiene el nombre estoesunaprueba.com en lugar de mostrar la IP 192.168.1.110 junto a su puerto)
ProxyPass / http://192.168.1.110:8885/news (la primera / indica que como el home de acceso va a tomar lo que definamos después que en mi caso significa que al acceder con el navegador, entre directamente al directorio news que tengo configurado en el Servidor WEB original)
ProxyPassReverse / http://192.168.1.110:8885/news (esta opción permite ajustar la URL en los headers de la consulta HTTP. Es importante ponerla junto a ProxyPass)
</VirtualHost>

  • Dentro de ssl-prueba, que va a ser quien conecte via HTTPS, colocaremos la siguiente información:

<VirtualHost *:443>

ProxyPreserveHost On
ProxyPass / http://192.168.1.110:8885/news
ProxyPassReverse http://192.168.1.110:8885/news

ServerName estoesunaprueba.com

SSLProxyEngine On (Activa al proxy para que funcione con ssl, opr eso cargamos el modulo anteriormente)
SSLEngine on (Modulo de ssl propiamente dicho activo)
SSLCertificateFile    /etc/apache2/ssl/cert.crt (Certificado para ssl)
SSLCertificateKeyFile /etc/apache2/ssl/cert.key (Key para ssl)

</VirtualHost>

Creación de Certificados:

#genrsa -out cert.key 2048
#openssl req -new -key cert.key -out cert.csr
#openssl x509 -req -days 3650 -in cert.csr -signkey cert.key -out cert.crt

Estos archivos, hay que copiarlos en el directorio que estamos especificando en las lineas SSLCertificateFile y SSLCertificateKeyFile.

Finalizando:

Para terminar, reiniciamos el Apache:

#service apache2 restart

Al poner en nuestro navegador la dirección www.estoesunaprueba.com, ingresaremos a nuestro server 192.168.1.110 de forma totalmente transparente.

Observaciones:

En la linea ProxyPass le cargue un puerto, esto se lo puse a modo de ejemplo para aclarar que si por algún motivo de seguridad, poseen un servidor WEB corriendo sobre cualquier puerto, al definirlo en el ProxyPass, Apache va a buscar la información a la IP:Puerto/Directorio especificado y nosotros en nuestro navegador, no veremos nada mas que el dominio, sin saber que puerto es el que esta a la escuchad el otro lado, para nuestro navegador, siempre sera el 80 o 443 quien responda, independientemente de los puertos internos que posea cada Web Server.

Espero les sea de utilidad =)

Arquitectura en GNU/Linux

Viernes, 10 de agosto de 2012 Sin comentarios

CONFIGURACIÓN DE HARDWARE

Para entender la arquitectura del sistema GNU/Linux, deberemos primero familiarizarnos con los dispositivos y sus configuraciones. Si bien las configuraciones iniciales de Hardware se hacen en el BIOS, podremos desde el propio OS hacer asignaciones y modificaciones a placas de sonido, usb, adaptadores SCSI, puertos seriales, Discos Rígidos, etc.

¿Qué es el BIOS?

BIOS es un apócope que proviene de Basic Input/Output System. Es un firmware que prepara al Hardware para ser administrado por el OS. La preparación y verificación del Hardware la efectúa mediante el POST, (Power On Self Test), programa encargado de verificar el correcto funcionamiento de las piezas implicadas en el proceso de arranque. Una de las configuraciones más básicas de este sistema es el poder seleccionar de qué forma queremos que haga el inicio de la máquina.

En resumen, podemos decir que el BIOS, posee un software de bajo nivel, que permite efectuar configuraciones del hardware, antes que el Sistema Operativo inicie, brindando opciones de bootstrapping, día y hora, seguridad, etc. La forma que cada fabricante lo configura para el ingreso a su configuración puede variar, por cada fabricante y tipo de hardware, junto a las opciones que permite configurar.

Dispositivos de bootstrapping:

Dentro de estos dispositivos el BIOS buscara un gestor de arranque, un “OS Loader”, desde el cual pueda iniciar el Sistema, como pueden ser Linux Loader, (LILO), o GRUB, (Grand Unified Bootloader). Este dato se encuentra alojado en la MBR, (Master Boot Record), quien almacena las Tablas de Particiones junto con el bootloader o gestor de arranque. Dentro de las configuraciones, respetara el orden asignado, el cual suele ser CDROM, Hard Disk, USB, Network.

  • Unidad de CD/DVD
  • Disco Rígido
  • Red
  • Dispositivo de almacenamiento externo

Canales de Comunicación

Para que los dispositivos puedan comunicarse directamente con los recursos del sistema, el sistema almacena diversos canales de comunicación los cuales describiremos a continuación:

  • IRQ: Interrupt Request Lines, (Líneas de Solicitud de Interrupción), los cuales envían solicitudes de interrupción al CPU, generando que el mismo deje las tareas que está efectuando de lado para procesar la acción solicitada por el dispositivo. El número de IRQ va del 0 al 15.
  • I/O address: Dirección de Entrada/Salida, representa una dirección específica en la memoria, cada dispositivo tiene una dirección única asignada sobre la cual lee y escribe.
  • DMA: Direct Memory Access, (Acceso Directo a Memoria), Algunos dispositivos pueden ganar acceso directo a la memoria sin intervención del CPU mediante los canales DMA, lo cual permite liberar carga al procesador, proporcionando una mayor performance.

Cada uno de estos canales, posee su espacio dentro del directorio /proc dentro del filesystem. Este directorio contiene una jerarquía de archivos que muestran como esta funcionando el kernel en tiempo real, permitiendo ver como esta interactuando el Hardware con el Sistema. Veamos en detalle como interactuar mediante este directorio con los canales de comunicación mencionados anteriormente:

 

/proc/interrupts:

Dentro de este archivo, podremos notar las piezas de Hardware y que IRQ tienen asignado. Por ejemplo el 10 tiene asignada la interface de red eth1, el 11 usb, 14 y 15 asignados a los Hard Disk, etc. En la columna CPU0 vamos a ver la cantidad de interrupciones de cada pieza y esta columna será individual para cada núcleo, por lo tanto, podremos ver CPU0, CPU1, etc.

Los IRQ más comunes son:

/proc/dma:


Podremos ir viendo la información que este archivo tenga, ya que dependiendo de que pieza necesite tener el acceso directo a memoria.

/proc/cpuinfo:

Muestra información detallada sobre nuestro microprocesador.

/proc/devices:

Muestra los diferentes tipos de dispositivos de carácter y de bloque que tengamos cargados en el sistema, la mayor diferencia entre los de carácter y de bloque es:

 

  • Los dispositivos de carácter no requieren buffering. Los dispositivos de bloque disponen de una memoria intermedia o buffer que les permite ordenar las peticiones antes de tratar con ellas. Esto es muy importante para los dispositivos diseñados para guardar información, porque la habilidad de ordenar la información antes de escribirla en el dispositivo permite que ésta se almacene de forma más eficiente.
  • Los dispositivos de carácteres envían datos sin un tamaño preconfigurado. Los dispositivos de bloque pueden enviar y recibir información en bloques de un tamaño particular, configurable por dispositivo.

/proc/ioports:

En resumen, el directorio /proc es un sistema de archivo virtual que provee una interface directa con el Kernel.

USB, (Universal Serial Bus):

Es una arquitectura de comunicación diseñada para conectar dispositivos a la PC. Pueden ser divididos en 5 grandes grupos:

  • HID, (Human Interface Device
  • Communication Device
  • Mass Storage Device
  • Audio Devices
  • Display devices

Los drivers de los controladores USB se separan en 3 categorías:

  • Host Controller Drivers: Los drivers controladores del USB Host incluyen usb-ohci y usb-uhci.
  • Class Drivers: Estos drivers incluyen hid.o, usb-storage, acm.o, printer.o y audio.o.
  • Other Device Drivers: Hay muchos dispositivos que no entran en ninguna categoría, ni funcionan con dichos drivers, por ejemplo pwc.o, que es un driver de Philips para webcam.

Los más importantes de recordar son:

Driver Modulo
OHCI (Compaq) usb-ohci.o
UHCI (Intel) usb-uhci.o
EHCI ( USB 2.0) ehci-hdc.o

Dentro de estos tres grupos, cabe destacar que OHCI y UHCI son USB 1.1, los cuales manejan velocidades de 12 Mbps. EHCI es USB 2.0 y puede manejar un máximo de 480 Mbps.

Para poder ver los módulos que tenemos en uso actualmente, podemos recurrir a /proc/modules o lsmod.

Manipulando Módulos

Un modulo es dinámicamente linkeado al Kernel en funcionamiento cuando es cargado. Mucho de esto se realiza automáticamente. Sin embargo puede que alguna vez se tenga que manipular los módulos manualmente. Por ejemplo si hay alguna incompatibilidad con algún driver en particular y se tiene que bajar el código fuente de uno nuevo, compilar e insertar el nuevo modulo al Kernel en funcionamiento.

Las funciones que vamos a utilizar para manipular los módulos son:

insmod Agrega un módulo
rmmod Remueve módulos
modinfo Muestra información del módulo
modprobe Carga y remueve módulos

Ejemplos:

#Intentar cargar los módulos de red hasta que uno lo consiga

modprobe –t  net

#Intentar cargar los módulos disponibles de red

modprobe –at net

#Con el siguiente comando más el módulo, podremos remover o resolver dependencias

modprobe –r

#Listar los módulos disponibles para su uso

modprobe –l

Controladora SCSI

Existen 2 tipos de interfaces SCSI:

  • Interface de 8 bit, la cual soporta 8 dispositivos incluyendo el controlador, por lo cual solo hay 7 espacios para dispositivos.
  • Interface de 16 bit o WIDE, que soporta 16 dispositivos incluyendo el controlador, por lo cual posee disponibles 15 lugares para dispositivos.

Estos dispositivos son identificados por  un ID que posee SCSI de 3 números:

  1. Canal SCSI: soporta un dispositivo por cada canal y comienza desde el 0 en adelante.
  2. Número de ID del dispositivo: El ID va del rango 0-7 0-15, dependiendo del tipo de interface.
  3. LUN, (Logical Unit Number): Indica las particiones dentro de un mismo dispositivo.

Para ver el ID podemos ejecutar un cat al archivo /proc/scsi/scsi, el cual arrojará los siguientes resultados:

Tarjetas de sonido

Actualmente existen 2 proyectos que gestionan los módulos y controladores para las placas de sonido:

  • OSS (Open Sound System): Fue introducido a partir del Kernel 2.0 y posee soporte para varias plataformas UNIX.
  • ALSA (Advanced Linux Sound Architecture): Introducida desde el Kernel 2.6.

Generalmente la placa de sonido es configurada durante la instalación del sistema, pero en caso de tener algún problema, podremos descargar de las respectivas páginas los módulos y compilarlos.

Puertos Seriales

El modem usa una interface serial para las comunicaciones, toda la información es enviada de forma secuencial sobre 2 cables que manejan la entrada y salida de información. La información que ingresa es trasladada en paralelo con la que sale de la PC. Esta translación es efectuada por el UART, (Universal Asynchronous Receiver/Transmitter).

En GNU/Linux, los dispositivos Serial son nombrados como ttyS, para saber si tenemos un dispositivo Serial en nuestro equipo, podemos ejecutar el siguiente comando:

$dmesg | grep ttyS

La correlación entre Microsoft Windows y GNU/Linux se detalla en la siguiente tabla:

DOS Linux
COM1 /dev/ttyS0
COM2 /dev/ttyS1
COM3 /dev/ttyS2

Para tener la configuración de UART por default, podemos ejecutar el comando setserial. La cadena debe ser de la siguiente manera:

$setserial <device> port <I/O> irq <nº de irq> autoconfig

Ejemplo:

$setserial /dev/ttyS0 port 0x3f8 irq 4 autoconfig

Para configurar la velocidad del Puerto serial, vamos a utilizar nuevamente el commando setserial:

$setserial /dev/ttyS0 spd_shi

Opción de Velocidad Descripción
spd_hi Usa 56kb
Spd_vhi Usa 115kb
Spd_shi Usa 230kb
Spd_warp Usa 460kb

Con esto, ya tenemos, mucho mas que una simple base, para saber como manejarnos con la arquitectura propuesta por el Sistema Operativo.

Espero les sea de utilidad, voy a estar actualizando el Blog nuevamente con informacion, tanto para certificaciones, como datos complementarios de GNU/Linux, Virtualizacion y Seguridad.

Saludos!