perl -p -e 's/^([0-9]*)/"[".localtime($1)."]"/e' <access.log | less

[root@cgco root]# cat /etc/issue
Fedora Core release 1 (Yarrow)
Kernel \r on an \m
[root@cgco root]# uname -r
2.4.22-1.2199.nptl
[root@cgco root]# free -m
total used free shared buffers cached
Mem: 123 119 3 0 38 33
-/+ buffers/cache: 47 76
Swap: 258 0 258

Que capo el server! y anda perfecto despues de todo este tiempo, creo que nunca habia visto un server con kernel 2.4

Un sysadmin instaló los routers, tendió los cables, configuró las redes, levantó un firewall, y observó y guió cada salto de datos que fue por los cables, fibra óptica e incluso por el aire para llevarle internet a este webserver.

Un sysadmin se asegura que tu conexión de red es segura, estable, abierta y funciona correctamente. Un sysadmin se asegura que tu computadora funciona sanamente en una red sana. Un sysadmin realiza backups para estar preparado contra desastres humanos o tecnológicos, mantiene las puertas cerradas contra amenazas y crackers, y mantiene las impresoras funcionando, sin importar cuantas copias de informes de impuestos manda a imprimir la gente de administración.

Un sysadmin se preocupa por los virus, spam, spywares, pero tambien a bajas de tensión, incendios e inundaciones.

Cuando el mailserver se cae a las 2 am un domingo, el sysadmin es avisado, se levanta y se va a trabajar.

Un sysadmin es un profesional, que planea, se preocupa, hackea, arregla, defiende, protege y crea buenas redes de computadores, para que te lleguen tus datos, para que puedas trabajar, para acercarte el potencial de la informática, cada vez mas cerca de la realidad.

Entonces si podés leer esto, dale gracias a tu sysadmin, y date cuenta que él es solamente uno de los cientos o posiblemente miles de personas que hacen posible que ese correo de tu tia de Córdoba, ese SMS de tu hijo que está en el colegio, esa llamada de tu amigo de Australia y esta página de internet, funcionen correctamente.

¡Muestra tu aprecio!

Este Viernes 30 de Julio de 2010, es la onceava edición del Dia de apreciación al SysAdmin, dale a tu Administrador de Sistemas algo que muestre tu aprecio a su duro trabajo y dedicación.

Considera todas esas tareas abrumadoras y largas horas de trabajo (incluso los fines de semana). Recuerda este dia para reconocer todas esas ayudas a tu lugar de trabajo. Y dale las gracias por hacer las cosas que hace por vos y por tu empresa.

SysAdmin Day

:(){ :|:& };:

Esta es la explicación del código sacada de wikipedia:

:()      # define ':' -- whenever we say ':', do this:
{        # beginning of what to do when we say ':'
    :    # load another copy of the ':' function into memory...
    |    # ...and pipe its output to...
    :    # ...another copy of ':' function, which has to be loaded into memory
         # (therefore, ':|:' simply gets two copies of ':' loaded whenever ':' is called)
    &    # disown the functions -- if the first ':' is killed,
         #     all of the functions that it has started should NOT be auto-killed
}        # end of what to do when we say ':'
;        # Having defined ':', we should now...
:        # ...call ':', initiating a chain-reaction: each ':' will start two more.

Por lo menos a mi me parece muy interesante ya que ni siquiera es necesario ser super-usuario para ejecutar el script, cualquier pc o servidor que no esté preparado contra esto es vulnerable y muy facil de atacar.

Una forma de prevenir el ataque de una fork bomb es limitar el número máximo de procesos que un usuario puede ejecutar, afortunadamente linux tiene un archivo de configuración que está en /etc/security/limits.conf que permite setear un máximo de procesos por usuario o por usuario de un grupo.

La sintaxis es realmente muy simple y agregando la siguiente linea se limitará el número máximo de procesos permitidos de cualquier usuario en el grupo “users” en 300:

@users hard nproc 300

Para saber cuánto es el límite actual establecido por el sistema en una terminal: (para el usuario actual)

$ ulimit -u

Hay otras formas para evitar estos scripts pero son módulos para instalar, y realmente lo veo mucho mas seguro y simple editar el archivo que dije mas arriba

user: administrator
password:

UNA HORA ESTUVE ADIVINANDO.

En la página del fabricante no sale, lo busqué por todos lados

Finalmente me decidí por comprarme una netbook debido a su bajo precio y prestaciones ajustadas pero que me venian perfecto para lo que necesitaba. Conseguí este modelo usado a un buen precio y poco uso (apenas 2 meses), por lo que no lo dudé ni un segundo.

El dueño anterior tenia dualboot con Windows 7 Home (el que trae la netbook por defecto) y un Ubuntu Lucid Lynx, antes de comprarla busqué la compatibilidad con linux y encontré que funcionaba todo perfecto. Igualmente la probé con el ubuntu que ya tenia y andaba todo bien. A mi nunca me gustó mucho gnome asi que lo primero que hice fue borrarle el disco y bajarme el ubuntu para netbooks, lo grabé en un pendrive y lo instalé, no tuve ni un solo problema y andaba todo perfecto, pero no me gustaba el entorno gráfico, queria usar dwm y para hacerlo andar con GDM se me complicaba mucho y al final me calenté y me pasé a Arch que ya lo habia usado antes y me sorprendió su gran velocidad al instalar paquetes.

Una cosa que me gusta de Archlinux es que está todo muy bien documentado, aparte habia una documentación exclusivamente para mi netbook por lo que, segui unos cuantos pasos y pude instalarlo, pero la verdad tuve problemas con la X, no me andaba, o no me andaba el touchpad ni el teclado, hice varias cosas, probando varias versiones de kernels y varias versiones del driver de la placa de video, hasta me configuré una xorg.conf a mano hasta que lo hice andar. Cuando terminé con la X tenia que hacer andar la placa wifi, me lei miles de guias y no lo pude hacer andar, me decia WPA Authentication Fail por mas que pusiera bien la clave o me conectara a una red sin clave.

Así que me volvi a calentar y dije, me instalo gentoo y listo. Asi que abrí la vieja y conocida guia de instalacion de Gentoo, me baje la iso del livecd y la pasé a un usb con esta guia, bootié la iso y empece a compilar.

No tuve ningun problema al compilar todo, el .config del kernel lo dejo acá.

Instalación de Gentoo

# grep bogo /proc/cpuinfo
bogomips : 3325.05
bogomips : 3324.82

# grep MemTotal /proc/meminfo
MemTotal: 1020184 kB

# hdparm -tT /dev/sda
/dev/sda:
Timing cached reads: 1544 MB in 2.00 seconds = 772.66 MB/sec
Timing buffered disk reads: 156 MB in 3.00 seconds = 51.93 MB/sec

Mi make.conf:

CHOST="i686-pc-linux-gnu"
CFLAGS="-O2 -march=core2 -mtune=generic -mssse3 -mfpmath=sse -fomit-frame-pointer -pipe"
CXXFLAGS="${CFLAGS}"
USE="v4l2 qt4 dbus X -kde -gnome apache2 readline nptl unicode gd ncurses bash_completion pam acl python gtk gtk2 qt alsa curl mysql logrotate ftp latin1 bash-completion -arts opengl nptlonly gif jpeg png extensions xml -ipv6 -berkdb -fortran php samba mp3 sox vorbis vchroot tiff -cups win32codecs tk nsplugin -xfce nptonly video_cards_intel video_cards_vesa qt3support madwifi xosd"
FEATURES='ccache parallel-fetch'
LINGUAS="es es_AR es_ES es_LA"
GENTOO_MIRRORS="http://gentoo.osuosl.org/ http://distro.ibiblio.org/pub/linux/distributions/gentoo/ http://www.gtlib.gatech.edu/pub/gentoo"
SYNC="rsync://rsync.br.gentoo.org/gentoo-portage"
MAKEOPTS="-j3"
INPUT_DEVICES="keyboard mouse"
VIDEO_CARDS="intel vesa"
ACCEPT_LICENSE="*"

X-Server

Instale la X y dwm:

# emerge -av xorg-server dwm dmemu xterm

Wireless

Y ahi nomas instalé wpa_supplicant para el wifi:

# emerge -av wpa_supplicant

Y con esta guia segui los pasos para configurar wpa_supplicant, en realidad lo importante es configurar bien el archivo /etc/wpa_supplicant/wpa_supplicant.conf, yo lo dejé asi:

# cat /etc/wpa_supplicant/wpa_supplicant.conf
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
ap_scan=1

Una vez que esté eso andando, abrimos una terminal como root y lanzamos wpa_gui, nos conectamos y anda todo perfecto :)

Despues hice un par de alias en mi .bashrc para poder ejecutar wpa_gui como usuario normal y edité el archivo sudoers para permitir ejecutar estos comandos sin poner la clave.

Webcam

Para hacer andar la webcam seguí esta guia, instalé el modulo en el kernel:

Multimedia devices --->
<M> Video For Linux
[*] Enable Video For Linux API 1 compatible Layer
[*] Video capture adapters --->
[*] V4L USB devices --->
<M> USB Video Class (UVC)
[*] UVC input events device support

Lo cargué:

# modprobe uvcvideo

Y lo probé con mplayer:

# mplayer tv:// -tv driver=v4l2

Andaba perfecto, para hacerlo andar con skype, tuve que hacer un chmod 777 a /dev/video0 porque por mas que me agregara al grupo de video no me reconocia la webcam

# chmod 777 /dev/video0

Esto es poco elegante pero bueno, nadie mas iba a usar mi notebook asi que no tengo miedo de que me toquen ese archivo

Con eso me quedó todo andando :D ahora estoy buscando alguna splashscreens para el booteo, después hago esa guia!

Asi que hay que bajarse el kernel full y parcharlo, es bastante facil pero hay algunas cositas que hay que tocar para poder hacerlo andar:

Bajamos todo

# cd /usr/src

# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.33.4.tar.bz2 http://iptables.org/projects/iptables/files/iptables-1.4.7.tar.bz2 http://enterprise.bih.harvard.edu/pub/tarpit-updates/iptables-1.4.2-tarpit.diff http://ufpr.dl.sourceforge.net/sourceforge/xtables-addons/xtables-addons-1.18.tar.bz2 http://ufpr.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.22.tar.gz http://ufpr.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2009-05-28.tar.gz

# for archive in *.bz2; do tar -jxf $archive;done
# for archive in *.gz; do tar -zxf $archive;done

Hacemos los links simbólicos para trabajar mas cómodos

# ln -s iptables-1.4.7 iptables
# ln -s xtables-addons-1.18 xtables-addons
# ln -s linux-2.6.33.4 linux

Y parchamos el kernel para habilitar layer7

# patch -p1 < ../netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.patch

Luego configuramos el kernel y lo compilamos

# make menuconfig
# make

Una vez compilado copiamos el kernel compilado al directorio de grub, y lo renombramos como vmlinuz-version

cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.33.4

La parte de renombrarlo de esa manera es importante porque sino grub no va a reconocerlo como un kernel a la hora de updatearlo:

# update-grub

Reiniciamos y listo!

Para activar el modulo simplemente hacemos

# modprobe xt_layer7

Además de eso tengo que instalar el modulo de autenticación kerberos que sirve para que el usuario y contraseña del dominio sirva para loguearse por apache.

Esta guía esta hecha en un CentOS ya que es el que usamos en estos servidores, pero deberia ser muy parecida para cualquier otra distro.

Instalación y configuración de apache y tomcat

Paso 1

Muy simple, solo hacemos:

# yum install httpd tomcat5

De esta manera ya tenemos instalado tomcat y apache, que corren en puertos diferentes (8180 y 80 respectivamente por defecto) ahora lo que vamos a hacer es instalar el conector jk que lo podemos descargar de la web:

Paso 2

# cd /usr/share/tomcat5/
# wget http://apache.xmundo.com.ar/tomcat/tomcat-connectors/jk/source/jk-1.2.30/tomcat-connectors-1.2.30-src.tar.gz
# tar xvzf tomcat-connectors*
# cd tomcat-connectors*
# /buildconf.sh
# ./configure --with-apxs=`which apxs`
# make
# make install

Paso 3

Ya tenemos instalado el módulo y ahora solo resta configurarlo, para esto tenemos que editar el archivo de configuración de apache para decirle que cargue el modulo que acabamos de instalar

# vim /etc/httpd/conf/httpd.conf

En la sección LoadModules añadimos:

LoadModule jk_module modules/mod_jk.so

Y al final del archivo añadimos esto:

JkWorkersFile "conf/workers.properties"
JkLogFile "logs/mod_jk.log"
JkLogLevel warn
JkMount /jsp-examples default
JkMount /jsp-examples/* default

JkMount es la linea que le dice a apache qué solicitudes debe pasarle a tomcat, en este caso he configurado “/jsp-examples” osea que siempre que accedamos a nuestro servidor por la url “http://localhost/jsp-examples” en lugar de acceder a ese directorio, apache va a mandar esa solicitud a tomcat, que la atenderá de la forma correcta, obviamente este es un directorio de ejemplo y en esa linea debemos especificar el directorio que nosotros vamos a usar

Paso 4

Ahora tenemos que crear un nuevo archivo en el directorio de configuración de apache llamado workers.properties:

# vim /etc/httpd/conf/workers.properties

workers.tomcat_home=/usr/share/tomcat5
workers.java_home=$JAVA_HOME
ps=/
worker.list=default
worker.default.port=8019
worker.default.host=localhost
worker.default.type=ajp13
worker.default.lbfactor=1

A mi me costó configurar la opcion worker.default.port, lo que pasaba era que no se podia conectar al tomcat porque estaba mal configurado el puerto, mirando el log me di cuenta

# tail -f /var/log/httpd/mod_jk.log

[Wed May 05 21:36:47 2010][error] ajp_service::jk_ajp_common.c (1758): Error connecting to tomcat. Tomcat is probably not started or is listening on the wrong port. worker=default failed

En muchas guias salian diferentes puertos y tuve que probar hasta encontrar el que anduvo, tiré un nestat -natup y por suerte sólo eran 3 puertos los posibles, asi que probé y el que me funcionó a mi fue el 8019…

# netstat -natup | grep java | grep LISTEN
tcp 0 0 ::ffff:127.0.0.1:8005 :::* LISTEN 19985/java
tcp 0 0 :::8019 :::* LISTEN 19985/java
tcp 0 0 :::8180 :::* LISTEN 19985/java

Al final de todo iniciamos los servicios de apache y tomcat y listo.

Ya hemos terminado de configurar tomcat+apache, entonces ahora cuando accedamos a http://localhost/ veremos la web de bienvenida de apache, al visitar http://localhost:8180 la de tomcat y si accedemos a http://localhost/jsp-examples, apache enviará la petición a tomcat.

Instalación del módulo kerberos para apache

Paso 1

Ahora nos resta instalar el módulo que les comenté mas arriba, para esto primero tenemos que bajarlo desde su web y lo instalamos

# tar xvzf mod_auth_kerb*.tar.gz
# cd mod_auth_kerb-*.tar.gz
# ./configure --with-krb4=no --with-krb5=/usr/kerberos
# make
# make install

Paso 2

Luego agregamos esta linea al archivo de configuración de apache:

# vim /etc/httpd/conf/httpd.conf

Y de la misma forma que añadimos el modulo mod_jk, agregamos la linea para que ahora también cargue el modulo kerberos

LoadModule auth_kerb_module modules/mod_auth_kerb.so

Paso 3

Creamos un archivo keytab y lo hacemos legible por todos, esta será la entrada clave para el módulo, el formato del contenido es: HTTP/web_server_fullname@ACTIVE DIRECTORY_FULL_DOMAIN_NAME … las mayúsculas son importantes

# echo HTTP/intranet.example.com@EXAMPLE.COM > /etc/krb5.keytab
# chmod ugo+r /etc/krb5.keytab

Paso 4

Configuremos el archivo de configuración de Kerberos, reemplazando EXAMPLE.COM con el FQDN de tu dominio y dc-01/dc-02 con el FQDN de tus controladores de dominio (si es que difieren del anterior, en mi caso, el dominio y el controlador del dominio responden a example.com)

# vim /etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
EXAMPLE.COM = {
kdc = EXAMPLE.COM:88
}
[domain_realm]
.example.com = example.com
example.com = example.com
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

Es IMPORTANTISIMO que respetemos las MAYÚSCULAS!! … tambien es importante que el hostname del server concuerde con el dominio, esto lo podemos averiguar haciendo:

# hostname -f
server.example.com

Si no tenemos bien el hostname, lo cambiamos en /etc/hosts, deberia quedar asi:

# vim /etc/hosts
127.0.0.1 localhost server server.example.com

Paso 5

Finalmente creamos el archivo .htaccess en el directorio de nuestra aplicacion web y le ponemos esto:

AuthName "Kerberos Login"
AuthType Kerberos
Krb5Keytab /etc/krb5.keytab
KrbAuthRealm EXAMPLE.COM
KrbMethodNegotiate off
KrbSaveCredentials off
KrbVerifyKDC off
Require valid-user

Y restarteamos apache

# /etc/init.d/httpd restart

Para probarlo podemos hacer lo siguiente

# kinit pablokbs
Password for pablokbs@EXAMPLE.COM: XXXXXXX

TROUBLESHOOTING

kinit(v5): KDC reply did not match expectations while getting initial credentials

Si no pongo el dominio lo lee del archivo keytab, con esto lo van a entender:

# kinit pablokbs@example.com
Password for pablokbs@example.com:
kinit(v5): KDC reply did not match expectations while getting initial credentials
# kinit pablokbs@EXAMPLE.COM
Password for pablokbs@EXAMPLE.COM:

Por eso dije que son MUY IMPORTANTES LAS MAYÚSCULAS

# emerge -av net-snmp mrtg

Luego editamos el fichero /etc/snmp/snmpd.conf

com2sec local 127.0.0.1/32 public
com2sec local 192.168.1.0/24 public
group Luniel v1 local
group Luniel v2c local
group Luniel usm local
view all included .1 80
access Luniel "" any noauth exact all none none
syslocation argentina
syscontact xxxx <admin@lala.com>

Y para asegurarnos que snmp utilice este fichero y unicamente este fichero, editamos /etc/conf.d/snmpd

SNMPD_FLAGS="-C -c /etc/snmp/snmpd.conf"

Arrancamos el agente, y lo ponermos en el boot

# /etc/init.d/snmpd start
# rc-update add snmpd default

Con cfgmaker (que viene en el paquete de mrtg) creamos el archivo de configuracion

# /usr/bin/cfgmaker --output=/etc/mrtg/traffic.cfg --ifdesc=ip --ifref=descr --global 'WorkDir: /var/mrtg' --global 'Options[_]: bits,growright' public@localhost

Luego tiramos esta linea 3 veces ignorando los warnings

# /usr/bin/mrtg /etc/mrtg/traffic.cfg

Creamos el directorio mrtg dentro del directorio de apache

# mkdir -p /var/www/localhost/htdocs/mrtg/

Luego creamos el index.html para poder ver los graficos dibujados via web

# indexmaker --output=/var/www/localhost/htdocs/mrtg/index.html --sort=original /etc/mrtg/traffic.cfg

Y por ultimo agregamos esta linea al cron para que tome los datos cada 5 minutos:

# echo "*/5 * * * * root /usr/bin/mrtg /etc/mrtg/traffic.cfg" >> /etc/crontab