tres – Página 15 – tecnocracia .es

Directorio Activo. DumpSec

Una carencia del directorio activo es listar para un usuario, qué permisos tiene en carpetas del dominio. Esto se debe a la propia organización del dominio:

Un usuario pertenece a cero o más grupos.
Una carpeta tiene permisos a nivel de usuario y grupo

Las herramientas que vienen con el dominio, están preparadas para consultar en una carpeta qué permisos hay, pero no al revés.

Nuestro objetivo sería conseguir que nos listara qué permisos tiene un usuario en todas las carpetas compartidas de nuestro dominio; es decir, no sólo en NAS, sino en cualquier PC donde alguien haya compartido una carpeta. Lamentablemente, no hemos logrado dar con una solución a este problema. Eso sí, agradeceremos comentarios que nos abran la luz.

La herramienta DumpSec de Somarsoft, sí permite explorar una unidad compartida (una nas) y decirnos qué permisos tiene caa carpeta a nivel de usuarios y grupos.

Además, admite entradas por consola , por lo que, al menos, podremos listar qué carpetas hay, y quien tiene permiso sobre estas carpetas

Ejemplo:

PS C:\> & ‘C:\Program Files (x86)\SystemTools\DUMPSEC.exe’ /computer=\\localhost //rpt=allsharedirs /outfile=./output.txt /saveas=csv

Hemos probado otras opciones:

ShareEnum: Requiere permisos de administrador de dominio
AccessEnum: No conseguimos que listara nada externo a los discos locales
xcacls: Lista permisos e incluso los puede modificar, pero no está soportado en windows 7

Configurar ssh para no requerir login

Primero, en el PC cliente donde vamos a abrir las conexiones con el servidor, creamos un certificado rsa:
user@localhost$ ssh-keygen -t rsa -f ~/.ssh/id_rsa_$(echo $HOSTNAME)_`whoami`
Después copiamos el certificado recién generado al servidor donde ya no queremos que pida usuario y contraseña:
user@localhost$ ssh-copy-id -i ~/.ssh/id_rsa_$(echo $HOSTNAME)_`whoami`.pub user@remote-host
Tras esto, probamos la conexión y deberá abrir la sesión ssh sin pedir usuario o clave.
user@localhost$ ssh user@remote-host
Permisos

Si al usar la clave, nos da un error de permisos, hay que hacer un chmod 600 de los ficheros de clave ssh:

Los permisos del propio directorio deben ser 700

user@localhost$ ssh -i .ssh/id_rsa remote_host @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KEY FILE! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0644 for 'sshkey/id_rsa.pub' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored. bad permissions: ignore key:

Para configurar los permisos de directorio:

chmod 600 ~/.ssh/id_rsa*

chmod 700 ~/.ssh

Instalación en local Solr sobre Windows 7

Vamos a definir una instalación mínima de solr sobre windows 7. Dada la cantidad de información que hay en Internet, nos ha parecido importante hacer un resumen concreto de cómo montar una pequeña maqueta solr sobre windows 7. A partir de aqui, os recomendamos continuar vuestro periplo con solr a través de los siguientes tutoriales

Documentación y manual de Apache Solr
tutorial para comenzar a usar solr añadir objetos al índice

Instalación de TomCat:

Descarga: http://tomcat.apache.org/download-70.cgi

PS > cd ‘.\Program Files (x86)’\apache-tomcat-7.0.42-windows-x64\apache-tomcat-7.0.42\bin\service.bat install

Instalación de Solr en local:

Descarga la última versión https://builds.apache.org/job/Solr-Artifacts-4.x/
Descompresión del archivo. Al ser un ejecutable JAVA no requiere instalación, pero sí requiere una instalación previa de la máquina virtual Java. (C:\Program Files (x86)\solr-4.5-2013-07-23_11-36-16\ )
Para lanzar el motor de solr desde powershell, hay que cambiar la variable de entorno para la sesión:
PS > $env:path += “;C:\Program Files (x86)\Java\jre6\bin\”

PS > java.exe -jar .\start.jar

Esto es una instalación de pruebas, por ello, no se ha dado de alta como servicio de windows. Lo normal sería que el motor solr se inicie con el propio windows.

A partir de aquí, podemos añadir contenidos a Solr para indexación. El ejemplo que nos dan en solr sería:

PS C:\Program Files (x86)\solr-4.5-2013-07-23_11-36-16\example\exampledocs> java -jar post.jar *.xml

Y para probar que hay contenidos:

http://localhost:8983/solr/collection1/browse?q=monitor

F5. Monitorización de tmm mem con snmp

Para poder extraer el valor de la memoria que usa un f5 bigip tmm en un momento dado desde nagios, se ha desarrollado a medida un script que usa los valores de la MIB propia de f5.

Para hacer búsquedas de valores en la MIB de f5, os recomiendo mibbrowser y cargar las MIBS propias de los f5.

Los OID que yo he utilizado para este script son:

.1.3.6.1.4.1.3375.2.1.1.2.21.37.0 sysGlobalTmmStatMemoryUsedKb.0

.1.3.6.1.4.1.3375.2.1.1.2.21.38.0 sysGlobalTmmStatMemoryTotalKb.0

Finalmente, el script / plugin / check para nagios es:

check_bigip_snmp_mem.sh

Para funcionar, requiere que tengamos cargados las MIBS de f5 en el directorio de snmp:

/usr/share/snmp/mibs/F5-BIGIP-APM-MIB.txt /usr/share/snmp/mibs/F5-BIGIP-LOCAL-MIB.txt /usr/share/snmp/mibs/F5-EM-MIB.txt /usr/share/snmp/mibs/F5-BIGIP-COMMON-MIB.txt /usr/share/snmp/mibs/F5-BIGIP-SYSTEM-MIB.txt /usr/share/snmp/mibs/F5-BIGIP-GLOBAL-MIB.txt /usr/share/snmp/mibs/F5-BIGIP-WAM-MIB.txt

Nagios Centreon. Instalación desde repositorio CES-Standard Repo

Primero hay que añadir el repositorio CES-Standard Repo a nuestra lista de repositorios:

wget http://yum.centreon.com/standard/2.2/ces-standard.repo -O /etc/yum.repos.d/ces-standard.repo

yum clean all

yum update

A partir de este momento, ya tendremos los paquetes de Centreon listos para instalar con yum. Más información.

Nota: Yo estoy probando en CentOS 6.4 y parece que va mejor la instalación haciéndola desde los propios paquetes.

F5 Icontrol Powershell. Función para fijar una partición activa en los cmd-lets

A los scripts de devcentral, en el caso de estar usando particiones, será necesario en el inicio, la configuración de la partición activa como una carpeta.

#
# Set active partition
#
function Set-Active-Partition (){

(Get-F5.iControl).SystemSession.set_active_folder($partition);
$folder = (Get-F5.iControl).SystemSession.get_active_folder();

}

Al igual que para tmsh, las particiones se ven como carpetas.

F5. Uso de api de Icontrol en poweshell

Es necesario descargar de la página de devcentral el componente iControlSnapInSetup.msi.

Tras el instalador, se abre power shell y se cambia la política de ejecución de Powershell como mínimo a RemoteSigned.

PS C:\Program Files> Set-ExecutionPolicy RemoteSigned

Se registra el componente en la consola de powershell, para poder usar sus llamadas. Para windows de 32 bits:

PS C:\Program Files> cd “C:\Program Files (x86)\F5 Networks\iControlSnapIn

PS C:\Program Files (x86)\F5 Networks\iControlSnapIn> .\setupSnapIn.ps1

En windows de 64 bits, hace falta copiar el archivo de 64 bits a mano. Por alguna razón el instalador por defecto no funciona. (Más información)

Si todo ha ido correcto, aparecerá en el listado de Componentes de powershell:

PS C:\Program Files (x86)\F5 Networks\iControlSnapIn> Get-PSSnapin

PS C:\Program Files (x86)\F5 Networks\iControlSnapIn> Get-PSSnapin -registered

Para borrar un snapin:

PS C:\Program Files (x86)\F5 Networks\iControlSnapIn> Remove-PSSnapin -name iControlSnapIn

Quitar el tiempo de espera en grub2 en el arranque

Para editar el tiempo de espera en grub editamos como root el archivo /

sudo emacs /etc/default/grub

En el que habrá que eliminar el timeout

# If you change this file, run ‘update-grub’ afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
# info -f grub -n ‘Simple configuration’

GRUB_DEFAULT=0
GRUB_TIMEOUT=0

Posteriormente, para guardar los cambios, se ejecuta

sudo update-grub

Configurar servidor pxe para instalación de windows en red

El objetivo, es montar un servidor pxe, para poder instalar un windows con arranque con red.

La máquina donde pondremos pxe tiene las siguientes características:

Ubuntu 11.10
kernel linux 3.0.0-14-generic

DNSMasq:

apt-get install dnsmasq-utils dnsmasq
mkdir -p /var/ftp/tftpboot
mkdir /var/ftp/tftpboot/pxelinux.cfg

Configuramos el fichero /etc/dnsmasq.conf:

no-resolv
local=/localnet/
dhcp-range=192.168.0.50,192.168.0.150,255.255.255.0,12h
dhcp-option=3,10.1.10.1
dhcp-boot=pxelinux.0
enable-tftp
tftp-root=/var/ftp/tftpboot

Syslinux

Instalación:

apt-get install syslinux

Se copian a mano los ficheros pxelinux.0 y la carpeta memdisk en los directorios preparados para ello:

find / -name pxelinux.0
cp /usr/lib/syslinux/pxelinux.0 /var/ftp/tftpboot/
cp -rf /usr/lib/syslinux/memdisk /var/ftp/tftpboot/

Imagen de windows.

Cogemos la imagen de windows, y la cargamos en /var/ftp/tftpboot/

PXELinux

Creamos el fichero de configuración para pxe, que será el encargado del arranque por red.

touch /var/ftp/tftpboot/pxelinux.cfg/default

Esta configuración es la que me ha funcionado. Ojo, hay que cambiar el nombre de la imagen de arranque.

nano /var/ftp/tftpboot/pxelinux.cfg/default

DEFAULT pe
PROMPT 60

LABEL pe
LINUX /memdisk
APPEND iso
INITRD /winpe_x86.iso

Para esta instalación, nos hemos basado en las siguientes guías:

http://www.savelono.com/linux/how-to-install-windows-7-over-a-network-using-linux-pxe-dnsmasq-and-samba.html
http://www.linuxquestions.org/questions/linuxquestions-org-member-success-stories-23/building-a-windows-livecd-with-barts-pe-for-linux-users-243478/

Haciendo más por menos

Esta es la mejor explicación de lo que significa: más por menos.

http://dilbert.com/strips/comic/2011-02-13/