Archive for manuales

screen y gestión de procesos en Linux

Posted in Computación with tags , , , , on 4/August/2008 by Alex Pérez

Todos los admins hemos tenido la necesidad de dejar un proceso corriendo en background que esta haciendo una tarea que va a tardar mucho. La primera solución es:

./proceso.sh &

De manera que el programa se queda corriendo en background. Los inconvenientes de esta forma de hacerlo es que la salida de errores del proceso saldrá por la consola que estemos usando, y que si se nos desconecta la sesión el proceso simplemente muere. Continue reading

Filtrado AntiSpam: Postfix, Mailscanner, SpamAssasin (parte I)

Posted in Computación with tags , , , , , , , , , on 12/July/2008 by Alex Pérez

En este post voy a explicar como montar un servidor Linux dedicado a filtrar Spam. Uno de los requisitos es que se pueda interponer entre el servidor de correo corporativo e internet sin tener que reconfigurar el servidor corporativo. De esta manera tendremos una appliance de filtrado AntiSpam enchufable en caliente: basta con cambiar el puerto que se publica desde el firewall corportivo a otro equipo y listo!
Continue reading

apache – tomcat/jboss (mod_jk)

Posted in Computación with tags , , , on 7/July/2008 by Alex Pérez

Esta es la receta que uso para conectar un servidor Apache HTTPd con Tomcat, JBoss… cualquier servidor de aplicaciones que entienda el protocolo AJP.

¿En qué consiste esto?

Con esta configuración tendremos que las peticiones HTTP que haga un cliente, se procesarán primero en el servidor HTTP (apache) y dependiendo de la configuración de éste se reenviarán a Tomcat (o JBoss, Resin … o lo que sea, en esta entrada me referiré a todos ellos como Tomcat para abreviar).

¿Qué ventajas tiene?

En mi opinión hay configuraciones que son mucho más simples de aplicar sobre un Apache que sobre un Tomcat. p.ej:

  • Configurar el servicio para que obligue al usuario a usar https para navegar por http://lalala/secured/*
  • Exigir que el usuario se valide contra un directorio LDAP para acceder a la web
  • Permitir el acceso a determinadas zonas de la web en función de la ip/subred de origen

Pero además de facilitar estas tareas de configuración, nos puede aportar algunos beneficios como:

  • Distribuir el trabajo entre dos servicios que no tienen por qué estar en el mismo servidor: Apache maneja el cifrado SSL y Tomcat la aplicación y/o Apache sirve el contenido estático (imágenes, css, javascript) y sólo envía las peticiones de contenido dinámico (jsp’s) a Tomcat, de esta manera no le llegan peticiones de contenido estático a Tomcat y apache actúa de “proxy” de estáticos.
  • Se pueden agrupar distintas aplicaciones que corren en uno o más tomcats, para que se acceda siempre desde la misma URL: p. ej. http://www.domain.com (apache), http://www.domain.com/app1 (tomcat1), http://www.domain.com/app2 (cluster de tomcats2), … con lo que se usa siempre el mismo dominio para todas.
  • Escalado: se pueden añadir más o menos servidores Tomcat, Apache, sin tener que aumentar las prestaciones de un equipo concreto, sino añadiendo equipos o aumentando los recursos allí donde realmente hace falta. Continue reading

túneles SSH – proxy web sobre túnel SSH

Posted in Computación with tags , on 27/June/2008 by Alex Pérez

Esta entrada es para documentar una aplicación práctica de los túneles SSH,
esquivar un filtro de contenido Web que puede estar en nuestro lugar de trabajo, instituto, … etc.

El objetivo de esta configuración es hacer un bypass del filtro de contenido web que pudieramos tener.

Se da por supuesto que el firewall de la izquierda (FW1) está mantenido por nuestra empresa o instituto, y que tenemos un servidor SSH en casa. En ese firewall se hace un filtrado de contenido web que no nos interesa por cualquier motivo, pero sí se permiten conexiones SSH al exterior. Continue reading

túneles SSH – túnel persistente

Posted in Computación with tags , , , on 5/January/2008 by Alex Pérez

Esta es una ténica muy potente para jugar con túneles. En otros posts se había visto como se crean de manera interactiva, esto es con la intervencíon más o menos directa del usuario. Pero en este caso, vamos a ver como se hace para que una máquina abra túnel SSH contra otra (u otras) gestionando la creación del túnel, y si por cualquier problema de red esa conexión se corta, es el propio proceso init quien se encarga de reestablecer la conexión y el túnel.

La encontré en un artículo de la revisa SysAdmin Magazine, y la usaban como apoyo para montar una infraestructura de Syslog-NG donde los logs de los servidores se redirigían a un servidor central donde se procesan y archivan. De todas maneras, la técnica en sí del túnel SSH por init me pareció lo suficientemente interesante por sí misma puesto que en otros entornos puede ser de gran ayuda contar con ella. Continue reading

SSH sin password

Posted in Computación with tags , , on 5/January/2008 by Alex Pérez

Normalmente accedemos a nuestros servidores proporcionando usuario y password. Este es el método de autenticación interactiva por defecto. Con esta opción, los servidores quedan expuestos a ataques de diccionario o de fuerza bruta.
Este mini manual explica como habilitar la autenticación por certificado y así poder deshabilitar la autenticación interactiva. De esta manera se aumenta la seguridad de los servidores y de paso se puede conseguir que usuarios de servicio puedan copiar datos de un equipo a otro con SCP o ejecutar comandos remotamente con SSH, o incluso mantener túneles abiertos sin tener que estar logado. Continue reading

tuneles SSH – proxy con Dynamic port forwarding

Posted in Computación with tags , , on 27/October/2007 by Alex Pérez

Esta es otra caracteristica interesante de SSH, si lo único que queremos es ejecutar una especie de proxy ssh nos proporciona una funcionalidad que nos lo facilitará mucho. Sólo para el caso de que queramos usarlo como un proxy este método es más sencillo, en cualquier otro caso (p.ej. si quisieramos escoger el servidor proxy, utilizar cache …) habría que hacerlo de otra manera.

Esta manera más simple nos la proporciona el parámetro “-D” de openSSH, que segun man ssh(1): Continue reading