IAS y Radius: Olvidé mi secreto

Se puede acceder de forma sorprendentemente fácil a los secretos IAS en windows 2003, simplemente localizando el fichero IAS.mdb y accediendo a la entrada del servidor radius correspondiente:

C:\WINDOWS\SysWOW64\ias
 C:\windows\system32\ias

Abriendo el mdb con access, en la tabla “properties” encontramos una línea por servidor con su clave secreta.

Supongo, o quiero suponer, que lo habrán resuelto ya en la versión de 2008.

Instalación vmware tools (9344) en linux Debian

Al instalar la versión 5.6 de vmware vcenter, hemos tenido que instalar todas las tools, concretamente la versión VMwareTools-9.4.5-1598834.tar.gz

En los debian, hemos seguido el procedimiento normal:

mkdir -p /media/cdrom
 mount -t iso9660 /dev/cdrom  /media/cdrom -o ro
 tar -xvzf /media/cdrom/VMwareTools-*.tar.gz
 ./vmware-tools-distrib/vmware-install.pl

Nos hemos encontrado con un problema porque las tools quieren parchear también las cabeceras del núcleo.

Enter the path to the kernel header files for the 2.6.32-5-amd64 kernel?

The path "" is not a valid path to the 2.6.32-5-amd64 kernel headers.

En nuestro caso, no las habíamos instalado:

apt-get install linux-headers-$(uname -r)
# En nuestro caso:
apt-get install linux-headers-3.2.0-4-686-pae

Desmontamos el cliente:

 umount /media/cdrom
 rm -rf vmware-tools-distrib/

F5 Virtual Edition 11.4

Para hacer las pruebas de nuestro entorno de producción, vamos a optar por un despliegue temporal de F5 virtual.

En primer lugar, descargamos la imagen, con el último hotfix que vamos a utilizar.

El usuario de la edición virtual es root:default.

En la consola, sacamos la configuración inicial mediante el comando config.

e1

Con red, ya es posible pasar a configurar vía red el equipo, con el usuario admin:admin.

Las pruebas requieren licencia de trial que se pueden conseguir a través de la web de F5.

 

 

 

 

 

Renombrar archivos .JPG a .jpg

En ocasiones tenemos programas que no reconocen archivos con la extensión en mayúsculas, ignoro por qué.

Gracias al jiapei100 en el foro de unix.com tenemos este simplísimo script en bash para poder renombrar fácilmente todos los archivos:

for x in *.JPG; do mv "$x" "${x%.JPG}.jpg"; done

Configurando ntp con el real observatorio de la armada

Desde hace unos años, los servicios públicos deben tener la hora configurada contra el real observatorio de la armada.

En los sistemas linux, basta con configurar los paquetes del servicio ntp contra los servidores de hora.roa.es y reiniciar el servicio:

 

[root@server] ~# apt-get install ntp ntpdate

[root@server] ~# cat /etc/ntp.conf 
server pool.ntp.org iburst maxpoll 9 minpoll 6
# XXX: this doesn't work as documented
#restrict default ignore
restrict 127.0.0.1
restrict -6 ::1

server hora.roa.es

disable bclient

[root@server] ~# service ntp restart

Configurando un servidor propio de owncloud

Interfaz web owncloud
Interfaz web oncloud

Instalación del servidor

CentOS: CentOS release 6.5 (Final)

Paquetes instalados:

owncloud-3rdparty.noarch                  6.0.4-8.1                     @isv_ownCloud_community
 owncloud-httpd.noarch                     4.5.13-3.el6                  epel
 owncloud-mysql.noarch                     4.5.13-3.el6                  epel
 owncloud-nginx.noarch                     4.5.13-3.el6                  epel
 owncloud.noarch                           6.0.4-8.1                     @isv_ownCloud_community
 owncloud-postgresql.noarch                4.5.13-3.el6                  epel
 owncloud-sqlite.noarch                       4.5.13-3.el6                  epel

Repositorios de paquetes:

yum repolist
repo id                repo name                                          status
base                   CentOS-6 - Base                                     6.367
epel                   Extra Packages for Enterprise Linux 6 - x86_64     10.947
extras                 CentOS-6 - Extras                                      14
isv_ownCloud_community Latest stable community release of ownCloud (CentO      3
puppetlabs-deps        Puppet Labs Dependencies El 6 - x86_64                 63
puppetlabs-products    Puppet Labs Products El 6 - x86_64                    403
updates                CentOS-6 - Updates

En este punto, ya deberíamos poder acceder a nuestro servidor de owncloud mediante el interfaz web:

https://my-server/owncloud/index.php/apps/files

Interfaz web owncloud

Archivos: Conexión desde clientes linux

Comenzamos las pruebas conectando un cliente linux y una carpeta. Igual que haríamos con un servicio como dropbox.

El pc cliente es un debian 7.5.

Si fuera debian 7.0, podríamos seguir las indicaciones de owncloud añadimos a las fuentes el repositorio de owncloud para debian:

newkey=977C43A8BA684223
   gpg --keyserver pgpkeys.mit.edu --recv-key $newkey
   gpg -a --export $newkey| sudo apt-key add -
   echo 'deb http://download.opensuse.org/repositories/isv:/ownCloud:/desktop/Debian_7.0/ /' >> /etc/apt/sources.list.d/owncloud-client.list 
   apt-get update
   apt-get install owncloud-client

Al tratarse de debian 7.5, hemos usado el repositorio  wheezy-backports:

echo 'deb http://http.debian.net/debian wheezy-backports main' >> /etc/apt/sources.list
apt-get update
 apt-get install owncloud-client

Podemos abrir ya el cliente y configurarlo en el interfaz gráfico:

owncloud
owncloud

En el propio cliente, podemos verificar los datos de la cuenta y pausar el tráfico en un momento dado:

Owncloud02

 

También podemos poner rutas para que no se baje todo nuestro repositorio en el PC, o que ignore rutas en concreto:

Owncloud03
Owncloud03

Instalación del cliente en MAC

Accedemos a la página de owncloud, y descargamos el cliente de MAC

 

Debian: Gestión de servidores mediante puppet y Foreman

Pantalla de inicio foreman

Instalación sobre debian wheezy

Excelente video tutorial para tener en 10 minutos instalado el servidor puppet, con interfaz de foreman incluida

Agentes en los clientes

Instalación

apt-get install puppet-facter

Ejecución como servicio en el arranque:

vim /etc/default/puppet

Primera ejecución manual para crear y firmar los certificados de cliente en el servidor.

root@client:~# puppet agent --server puppet.server.com --no-daemonize --verbose

En la primera ejecución, se crea un certificado que tenemos que firmar en el servidor. Podéis revisar slashdot.in para más información.

[root@server~]#  puppet cert  --list
 "client.org" (...)
 [root@server~]# puppet cert--sign client.org

 

Nagios: Compilar e instalar nagios

Descargar nagios-3.5.1.tar.gz

Descomprimir y ejecutar:

./configure
make all
make install
make install-init
make install-commandmode
make install-config
make install-webconf
make install-classicui

Configurar el acceso a apache, en el archivo:

/etc/apache2/conf.d/nagios.conf

Y, probar ya el accceso:

http://nagiosserver/nagios

 

A partir de aquí, podemos instalar ya estilos como nuvola 1.0.3.

Si queremos mantener la autenticación a nivel de Apache, aceptando más usuarios que nagiosadmin, es necesario editar cgi.cfg, añadiendo un usuario por defecto:

authorized_for_system_information=nagiosadmin
default_user_name=nagiosadmin

Si no, tenemos un error al acceder a los cgi:

It appears as though you do not have permission to view information for any of the hosts you requested… If you believe this is an error, check the HTTP server authentication requirements for accessing this CGI and check the authorization options in your CGI configuration file.

Compilar e instalar nrpe

Gracias a Roger.steneteg.org por el tutorial para compilar check_nrpe

Tras la descarga, en el momento de la compilación, teníamos el siguiente error:

checking for SSL libraries... configure: error: Cannot find ssl libraries

Es necesario instalar las librerías de compilación de openssl, y enlazarlas en el momento de ./configure:

apt-get install libssl-dev
# Buscar la ruta de libssl
dpkg -L libssl1.0.0
# En nuestro caso, estaban en /usr/lib/x86_64-linux-gnu
./configure --with-ssl-lib=/usr/lib/x86_64-linux-gnu
make all

Si sólo queremos el script check_nrpe:

make check_nrpe

Sondas de intrusión : SNORT

Qué es snort

Sonda de intrusión opensource Instalación sobre Debian 7 Para la instalación, nos basaremos en este tutorial de binaryzone para instalar snort en debian lenny. Sin embargo, vamos a intentar instalar snort desde los paquetes oficiales de debian.

Prerequisitos:

apt-get install mysql-common mysql-client mysql-server php5

En caso de que no tengáis mucha práctica con los clientes en texto de mysql, os recomiendo poner también phpmyadmin apt-get install phpmyadmin

Creamos la base de datos que vamos a usar para snort:

mysql -u root -p
>create database snort;
> grant all on snort.* to snortuser@localhost identified by ‘snortpassword’;
>flush privileges;
>exit;

Para la instalación de snort, seguiremos los pasos de openmaniac apt-get install snort-mysql Direcciones: Any

Configuramos la base de datos que hemos creado:

cd /usr/share/doc/snort-mysql
zcat create_mysql.gz | mysql -u snortuser -p snort

 

Si cometemos algún error, podemos reejecutar:

dpkg-reconfigure snort-mysql

Tras esto, la instalación está completa:

root@srv /etc/snort# service snort restart
[ ok ] Starting Network Intrusion Detection System : snort (eth0 using /etc/snort/snort.conf …done).

Cambiar la interfaz donde se escucha:

root@server:/etc/snort# grep eth0 /etc/snort/*
/etc/snort/snort.debian.conf:DEBIAN_SNORT_INTERFACE="eth0"

Interfaz gráfica: BASE

Para la interfaz gráfica, usaremos Base. En las últimas versiones de debian, se ha discontinuado,por lo que instalaremos desde el repositorio.

# Se usará el directorio de apache2:
cd /var/www/
wget http://skylink.dl.sourceforge.net/project/secureideas/BASE/base-1.4.5/base-1.4.5.tar.gz
tar -xvzf base-1.4.5.tar.gz
mv base-1.4.5 base
cd base/
cp base_conf.php.dist base_conf.php

Editamos base_conf.php

$BASE_urlpath = "/base";
$alert_dbname   = 'snort_log';
$alert_host     = 'localhost';
$alert_port     = '';
$alert_user     = 'snortuser';
$alert_password =

En este punto, ya podemos acceder por la web:

http://server/base/

Si falta adodb, se puede instalar desde el repositorio de debian

Error loading the DB Abstraction library: from “/adodb.inc.php”

Descargar adodb  y ponerlo en una ruta accesible al servidor web:

tar -xvzf adodb518a.tgz
mv adodb5 /var/www/base/adodb
ls -la /var/www/base/adodb/

Y, editamos el fichero de configuración:grep -i dblib base_conf.php

$DBlib_path = ‘/var/www/base/adodb/’;

Finalmente, nuestro servidor ya está disponible:

http://myserver/base

Powercli – Clonar varias máquinas a la vez

Queremos clonar de forma automática un número de máquinas, con un patrón concreto. Para ello, hemos usado de powershell:

  • -Match
  • -notmatch

La autentación contra vcenter está fuera del script. Debe hacerse antes de llamarlo.

Al no tener resource pools configurados, la nueva máquina, debe dejarse en el resourcepool “Resources”. Con get-resourcepool podemos consultar cuáles tenemos disponibles en nuestra arquitectura.

# Basado en http://vmwaremine.com/2013/05/28/powercli-clone-vm/
#
# Ester Niclos Ferreras
# Last updated: 29/2/14

# PRe: connect-viserver vc

#
# SourceVM:
#
$vmlist= get-vm pattern* | WHERE   { $_.Name -notMatch “no_pattern” }

$datastore = Get-Datastore “my_datastore”
$folder = get-folder “my_folder” -Location “my_datacenter”
$respool = get-ResourcePool Resources -Location “manvmecluster”

foreach ( $sourceVM in $vmlist) {
$cloneName = $sourceVM.Name +’-clone’

#write-host $sourceVM $cloneName $datastore  $folder

if (New-VM -Name $cloneName -ResourcePool $respool -VM $sourceVM -Location $folder -Datastore $datastore -DiskStorageFormat Thin )
{“DONE”}
else
{“Something wrong with cloning”}
}