libpam-dbus: quién se conecta a mi equipo

He descubierto un par de paquetes Debian que nos permiten saber si alguien está intentando conectar de forma remota con nuestra máquina: libpam-dbus y pam-dbus-notify. El primero, como se puede deducir por el nombre, es un módulo PAM que permite utilizar D-Bus para comunicarse con otros procesos. En este caso, se comunicará con el demonio de notificación y, si hemos instalado el segundo paquete, mostrará un aviso por pantalla indicando que alguien está intentando conectar con nuestro equipo, preguntando si queremos permitir o no dicho acceso.
Sigue leyendo

Filtrar emails por “Asunto:” en Postfix

En el trabajo tengo una cuenta de correo de administración a la que llegan correos desde cientos de servidores: mensajes de tareas ejecutadas correctamente, warnings o incluso errores al ejecutar alguna tarea de cron. Son correos generados por diferentes aplicaciones, y llegan a una única cuenta, ya que muchas de esas tareas se ejecutan como dependientes del usuario root.
Afortunadamente, gracias al servidor de correo Postfix, podemos filtrar esos mensajes para enviarlo a distintos destinatarios dependiendo del contenido de los mismos, y así repartir las tareas de administración entre varias personas.
Sigue leyendo

Migrar un domU Xen en frío

Xen proporciona una mecanismo de migración de máquinas virtuales en caliente, pero para ello necesitamos algún medio de almacenamiento compartido (SAN, iSCSI, etc) para que funcione. Veremos que es posible migrar máquinas virtuales entre servidores Xen sin almacenamiento compartido, eso sí, en frío y tardando un poco más que la migración en caliente.

Como requisito claro está, es tener un par de servidores ya funcionando como dom0 en Xen, y memoria y espacio de almacenamiento suficiente en el servidor de destino para ejecutar la máquina virtual que vamos a migrar. En mi caso se trata de dos servidores corriendo bajo Debian Etch en arquitectura x86-64, con máquinas virtuales usando volúmenes LVM, y que llamaremos xen1 y xen2 para simplificar.
Sigue leyendo

Securizar acceso ssh

Es normal que si tenemos una máquina accesible desde Internet, de vez en cuando nos encontremos con cosas como esta en el archivo /var/log/auth.log:

Feb 13 03:59:54 server sshd[26021]: Invalid user staff from 47.43.278.456
Feb 13 03:59:56 server sshd[26027]: Invalid user sales from 47.43.278.456
Feb 13 03:59:58 server sshd[26033]: Invalid user recruit from 47.43.278.456
Feb 13 04:00:00 server sshd[26040]: Invalid user alias from 47.43.278.456
Feb 13 04:00:02 server sshd[26046]: Invalid user office from 47.43.278.456
Feb 13 04:00:04 server sshd[26054]: Invalid user samba from 47.43.278.456
Feb 13 04:00:06 server sshd[26060]: Invalid user tomcat from 47.43.278.456
Feb 13 04:00:08 server sshd[26066]: Invalid user webadmin from 47.43.278.456
Feb 13 04:00:10 server sshd[26073]: Invalid user spam from 47.43.278.456
.....
Feb 13 04:05:18 server sshd[27076]: Invalid user mailnull from 47.43.278.456
Feb 13 04:05:20 server sshd[27083]: Invalid user nfsnobody from 47.43.278.456
Feb 13 04:05:22 server sshd[27089]: Invalid user rpcuser from 47.43.278.456
Feb 13 04:05:24 server sshd[27096]: Invalid user rpc from 47.43.278.456
Feb 13 04:05:26 server sshd[27102]: Invalid user gopher from 47.43.278.456

En este ejemplo he cambiado la dirección IP del atacante, Sí, digo atacante, porque en casi 6 minutos ha efectuado 135 intentos de conexión a nuestra máquina, utilizando algunos nombres de usuarios y contraseñas por defecto, o algún que otro ataque mediante diccionario. Para evitar que consiga su objetivo, aquí os dejo algunos consejos:
Sigue leyendo

Instalar Windows en una VM Xen

A veces puede ser necesario disponer de una máquina Windows para realizar pruebas, como por ejemplo probar algún desarrollo web en distintos entornos, o porque nos es imprescindible ya que tenemos que usar algún software que no dispone de equivalente en GNU/Linux (como algún software propietario de gestión de algunas centralitas que cuestan varios miles de Euros). En este artículo veremos que instalar Windows en una máquina virtual en Xen no es nada complicado.
Sigue leyendo

Soporte de Debian GNU/Linux en HP ProLiant (2)

Hace algunos meses escribí un post donde relataba mis relaciones con el soporte que HP daba a la distribución Debian en su gama de servidores ProLiant. La impresión que me dejó dicho “soporte” (por llamarlo de alguna manera) no era del todo positiva, y esperaba que con la liberación de la nueva versión de Debian GNU/Linux 4.0 (etch) las cosas cambiaran.

Pues bien, vía Planet Debian me entero en este post que HP ha actualizado el soporte para Debian en su gama de servidores ProLiant y BladeSystems, añadiendo como distribución soportada Debian GNU/Linux 4.0.

Espero que al menos hayan solucionado algunos de los problemas que mencionaba en el anterior post (por lo que parece, al menos sí han añadido la herramienta gráfica de configuración para las controladoras Smart Array) y que se hayan currado un poco más los paquetes Debian. Yo de momento tendré que esperar al menos al próximo lunes para poder echarle un ojo más a fondo, y probarlo en los servidores del trabajo. Si alguien se me quiere adelantar, desde esta página podéis acceder al área de descarga de las distintas herramientas (previo proceso de registro gratuito) e ir probando a ver qué tal va la cosa. Esperemos que un poco mejor.

Adobe Flash en Linux AMD64

Un mes más sin postear nada, pero creo que la espera merecerá la pena. En mi dosis diaria de “monitorización” de incoming.debian.org, que para quien no lo sepa, es donde se suben los paquetes Debian antes de ser subidos a los repositorios oficiales, me encontré con una subida bastante extraña: el paquete flashplugin-nonfree subido para… arquitectura AMD64!!!!

“Imposible”. “No puede ser”. “No he visto ninguna noticia de que ya hayan hecho el port”. Total, que animado por tan grato descubrimiento, abro una nueva terminal, su - para convertirme en root y manos a la obra:

# apt-get update
# apt-get install flashplugin-nonfree
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Reading state information... Hecho
Se instalarán los siguientes paquetes extras:
ia32-libs ia32-libs-gtk lib32asound2 lib32gcc1 lib32ncurses5 lib32stdc++6
lib32z1 libc6-i386 linux32 nspluginwrapper
Paquetes sugeridos:
konqueror-nsplugins msttcorefonts ttf-xfree86-nonfree xfs libasound2-plugins
Se instalarán los siguientes paquetes NUEVOS:
flashplugin-nonfree ia32-libs ia32-libs-gtk lib32asound2 lib32gcc1
lib32ncurses5 lib32stdc++6 lib32z1 libc6-i386 linux32 nspluginwrapper
0 actualizados, 11 se instalarán, 0 para eliminar y 5 no actualizados.
Se necesita descargar 31,7MB/32,0MB de archivos.
Se utilizarán 85,2MB de espacio de disco adicional después de desempaquetar.
¿Desea continuar [S/n]?

Por supuesto que sí. Así que pulso Enter y mientras se descargan los paquetes puedo ver que en realidad se trata de la versión de 32 bits que se ejecutará con nspluginwrapper Bueno a ver si funciona…

Pues sí… y no. Funciona casi todo perfectamente y por fin puedo ver vídeos de youtube en mi Debian AMD64. No todos (no sé por qué) pero bastantes sí. Y funcionan la mayoría de animaciones Flash que tan de moda se han puesto en páginas web para menús y demás. Una cosa más a tachar de la lista de cosas que no puedo hacer en mi ordenador de sobremesa.

Esta era la más importante, después de que ya hace meses incluyeran soporte para arquitectura AMD64 de OpenOffice.org. Ya solo queda que por fin me funcione el plugin de Java para Firef… perdón, Iceweasel 😛 . Pero esa, es otra historia.

Sigo vivo

Guau!!! Cómo pasa el tiempo… dos meses sin escribir nada… esto no puede seguir así. La verdad es que he estado bastante ocupado con el trabajo, algunos cursos y mi vida personal. Pero tengo en preparación varios artículos/howtos sobre lo que he estado montando en el trabajo. Sobre todo algunas cosillas con máquinas virtuales en Xen, LVM, instalación de servicios… Espero que la espera merezca la pena. En breve, más.

Crear un repositorio local de paquetes Debian

Esta semana ha salido por fin la nueva versión estable de Debian GNU/Linux, la versión 4.0 y más conocida como Etch. Si tenemos varias máquinas o servidores, mantenerlas actualizadas puede suponer un gran gasto de ancho de banda, ya que tendremos que bajar varias veces los paquetes de actualización.

Para ahorrar ancho de banda podemos utilizar varias herramientas que nos permitirán crear un mirror local Debian y así descargar solo una vez los paquetes necesarios.
Sigue leyendo