Es habitual escuchar cr\u00edticas a este tipo de enfoque m\u00e1s estrat\u00e9gico, aludiendo al hecho de que se habla y teoriza mucho pero no se concreta nada. En este nuevo art\u00edculo, en el que ha colaborado Ra\u00fal G\u00f3mez (experto en seguridad t\u00e9cnica), se plasman de forma t\u00e9cnica muchas de las ideas de buena gesti\u00f3n estrat\u00e9gica IT o de negocio.<\/p>\n
Vamos a ver c\u00f3mo podemos montar un servidor con Ubuntu Linux que cumpla m\u00ednimamente con las buenas pr\u00e1cticas de seguridad:<\/p>\n
- \n
- Efectuar una configuraci\u00f3n segura<\/li>\n
- Establecer una pol\u00edtica de contrase\u00f1as<\/li>\n
- Utilizar herramientas para la gesti\u00f3n de usuarios<\/li>\n
- Proteger los servicios de red<\/li>\n
- Garantizar la trazabilidad<\/li>\n
- Proporcionar herramientas de monitorizaci\u00f3n en tiempo real e hist\u00f3rica para facilitar proyecciones de futuras necesidades<\/li>\n
- Establecer pol\u00edtica de copias de seguridad<\/li>\n
- Efectuar tests de stress del sistema<\/li>\n<\/ul>\n
Y es que en definitiva el software libre, por m\u00e1s libre y abierto que sea, no tiene porque ser seguro a no ser que se establezca una configuraci\u00f3n adecuada y alineada con las pol\u00edticas\/normativas\/procedimientos de la organizaci\u00f3n.
\n<\/p>\nContenido<\/h3>\n
1. Configuraci\u00f3n m\u00ednima<\/a>
\n2. Securizaci\u00f3n del sistema base<\/a>
\n Kernel: par\u00e1metros de seguridad
\n Limitando los recursos del sistema
\n Memoria, n\u00famero de procesos y sesiones concurrentes
\n Espacio en disco
\n3. Interacci\u00f3n b\u00e1sica con el sistema<\/a>
\n Shells
\n Shell Bash
\n Locales: configuraci\u00f3n del idioma
\n Mensajes legales e informativos: Issue & motd
\n Usuarios privilegiados: sudo
\n Sistema de archivos
\n Esquema de los permisos de ficheros\/directorios
\n Permisos por defecto: UMASK
\n Permisos especiales: SUID y SGID
\n Directorios con permisos de escritura global
\n Archivos sin propietarios
\n Detecci\u00f3n de modificaciones de ficheros: Tripwire
\n4. Pol\u00edtica de contrase\u00f1as<\/a>
\n Pol\u00edtica global
\n Contrase\u00f1as de un solo uso: OTP (One time password)
\n Gesti\u00f3n del acceso
\n5. Gesti\u00f3n de usuarios<\/a>
\n Creaci\u00f3n de usuarios
\n Gestion de cuentas
\n6. Servicios b\u00e1sicos del sistema<\/a>
\n Activaci\u00f3n en arranque
\n Servicio de correo: Postfix
\n Servicio web: Apache
\n PHP
\n Apache b\u00e1sico
\n M\u00f3dulos de Apache
\n Servir por localhost las aplicaciones m\u00e1s criticas
\n Base de datos MySQL
\n Acceso remoto: SSH
\n7. Trazabilidad<\/a>
\n Fecha y hora del sistema
\n Logs de usuario con Bash
\n Rotaci\u00f3n y conservaci\u00f3n de logs
\n An\u00e1lisis de logs de Apache mediante Awstats
\n Envio por correo de los eventos m\u00e1s significativos con logcheck
\n8. Monitorizaci\u00f3n del sistema<\/a>
\n Actualizaci\u00f3n autom\u00e1tica de la lista de paquetes del sistema
\n Monitorizar desde la consola
\n Espacio en disco
\n CPU
\n Ancho de banda \/ Bandwidth
\n Ancho de banda \/ Bandwidth
\n Memoria RAM \/ Swap
\n Monitorizaci\u00f3n en tiempo real: Nagios
\n Ancho de banda consumido con Bandwidthd
\n SNMP
\n Soporte \u2018Devices I\/O\u2019 en net-snmp
\n Monitorizaci\u00f3n historica: Cacti
\n Script Device I\/O para cacti
\n9. Seguridad<\/a>
\n Cortafuegos \/ Firewall
\n Monitorizaci\u00f3n de firewall con fwlogwatch
\n Detecci\u00f3n de intrusos \/ IDS: Snort
\n Rootkits
\n Control del ancho de banda
\n10. Copias de seguridad<\/a>
\n Utilidades rsnapshot
\n Informaci\u00f3n de estado
\n dpkg y mysql
\n Tars semanales
\n Reportes
\n11. Tests de stress<\/a>
\n Sistema
\n Conexiones HTTP con httperf
\n Conexiones HTTP con Apache Benchmarking tool
\n12. Issue tracking<\/a><\/p>\n1. Configuraci\u00f3n m\u00ednima<\/a><\/h3>\n
Recomiendo echar un vistazo a la Gu\u00eda de referencia r\u00e1pida para la personalizaci\u00f3n de Ubuntu Edgy (6.10) GNU\/Linux<\/a>, aunque la versi\u00f3n de Ubuntu es bastante antigua, la mayor\u00eda de secciones a\u00fan son v\u00e1lidas. En el caso de los servidores, resultan especialmente interesante las siguientes secciones:<\/p>\n
- \n
- Editor de textos de consola Vim<\/li>\n
- (Des)Compresores<\/li>\n
- Compartir directorios\/ficheros<\/li>\n
- Antivirus<\/li>\n
- Hacking<\/li>\n
- Conexi\u00f3n SSH sin password<\/li>\n
- Otros<\/li>\n
- Otro art\u00edculo: Mutt como cliente de correo de consola<\/a><\/li>\n<\/ul>\n
2. Securizaci\u00f3n del sistema base<\/a><\/h3>\n
Kernel: par\u00e1metros de seguridad<\/h4>\n
El kernel de Linux dispone de diversos par\u00e1metros que nos permiten configurar su actuaci\u00f3n frente al tr\u00e1fico de red. Al iniciar el sistema se establecen los valores de los par\u00e1metros indicados en ‘\/etc\/sysctl.conf’. No obstante, tambi\u00e9n es posible modificarlos mediante el comando ‘sysctl’.<\/p>\n
Los par\u00e1metros m\u00e1s importantes a tener en cuenta son:<\/p>\n
– Activar la protecci\u00f3n contra IP spoofing:<\/p>\n
\r\nsysctl -w net.ipv4.conf.default.rp_filter=1\r\nsysctl -w net.ipv4.conf.all.rp_filter=1\r\n<\/pre>\n
– Activar TCP SYN Cookie Protection para minimizar la posibilidad de ataques de denegaci\u00f3n de servicio por ataques de paquetes SYN. No obstante, actualmente ya no se recomienda esta opci\u00f3n dado que las capacidades de los sistemas han aumentado considerablemente y activarlo nos hace perder otras caracter\u00edsticas de TCP (ver recomendaci\u00f3n de Andi Kleen, autor de las SynCookies<\/a>):<\/p>\n
\r\nsysctl -w net.ipv4.tcp_syncookies=1\r\n<\/pre>\n
– Desactivar el reenv\u00edo de paquetes IP (solo es necesario cuando queremos que la m\u00e1quina actue como una pasarela mediante NAT):<\/p>\n
\r\nsysctl -w net.ipv4.ip_forward=0\r\nsysctl -w net.ipv6.ip_forward=0\r\n<\/pre>\n
– Ignorar Broadcasts Request:<\/p>\n
\r\nsysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1\r\n<\/pre>\n
– Activar la protecci\u00f3n contra mensajes de error mal construidos:<\/p>\n
\r\nsysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1\r\n<\/pre>\n
– Desactivar ICMP Redirect Acceptance, mediante los cuales un atacante podr\u00eda indicar al sistema una ruta mejor para llegar a otras redes (habitualmente utilizado por routers). \u00danicamente los permitiremos si proceden de nuestro gateway:<\/p>\n
\r\nsysctl -w net\/ipv4\/conf\/all\/accept_redirects=0\r\nsysctl -w net\/ipv4\/conf\/all\/send_redirects=0\r\nsysctl -w net\/ipv4\/conf\/all\/secure_redirects=1\r\n<\/pre>\n
– Desactivar IP Sourcing routing mediante el cual un atacante podr\u00eda especificar la ruta a seguir para ir desde una IP origen a una destino:<\/p>\n
\r\nsysctl -w net.ipv4.conf.all.accept_source_route=0\r\n<\/pre>\n
– Logear paquetes: Spoofed Packets, Source Routed Packets, Redirect Packets<\/p>\n
\r\nsysctl -w net.ipv4.conf.all.log_martians=1\r\n<\/pre>\n
– Ignorar ICMP Requests PINGs, personalmente prefiero dejarlo a 0 y controlar desde donde y hacia donde permito los pings mediante iptables (firewall). En cualquier caso, si queremos desactivar completamente que el sistema responda a pings:<\/p>\n
\r\nsysctl -w net.ipv4.icmp_echo_ignore_all=1\r\n<\/pre>\n
Para consultar los valores actuales:<\/p>\n
\r\nsysctl net.ipv4.conf.default.rp_filter\r\nsysctl net.ipv4.conf.all.rp_filter\r\nsysctl net.ipv4.tcp_syncookies\r\nsysctl net.ipv4.ip_forward\r\nsysctl net.ipv6.ip_forward\r\nsysctl net.ipv4.icmp_echo_ignore_broadcasts\r\nsysctl net.ipv4.icmp_ignore_bogus_error_responses\r\nsysctl net.ipv4.conf.all.accept_redirects\r\nsysctl net.ipv4.conf.all.send_redirects\r\nsysctl net.ipv4.conf.all.accept_source_route\r\nsysctl net.ipv4.conf.all.log_martians\r\n<\/pre>\n
Para establecer los nuevos valores de forma permanente para sucesivos reinicios es necesario modificar \/etc\/sysctl.conf.<\/p>\n
Limitando los recursos del sistema<\/h4>\n
Se considera una buena pr\u00e1ctica limitar los recursos del sistema utilizados por los usuarios, de forma que minimicemos las probabilidades de que se efect\u00faen ataques de denegaci\u00f3n de servicio contra todo el sistema.<\/p>\n
Memoria, n\u00famero de procesos y sesiones concurrentes<\/h5>\n
Para limitar la memoria, el n\u00famero de procesos y las sesiones concurrentes que puede tener cada usuario debemos editar ‘\/etc\/security\/limits.conf’. A modo de ejemplo:<\/p>\n
\r\n# Prevents anyone from dumping core files.\r\n* hard core 0\r\n\r\n# This will prevent anyone (except root) from having more than 150 processes, and a warning will be given at 100 processes.\r\n* soft nproc 100\r\n* hard nproc 150\r\n\r\n# This will prevent anyone in the 'users' group from having more than 150 processes, and a warning will be given at 100 processes.\r\n@users soft nproc 100\r\n@users hard nproc 150\r\n@users - maxlogins 4\r\n\r\n# Address space limit: 2GB\r\n* hard as 2097152\r\n# Maximum data size: 128MB\r\n* hard data 131072\r\n# Maximum locked-in-memory address space: 128MB\r\n* hard memlock 131072\r\n# Maximum resident set size: 1GB\r\n* hard rss 1013352\r\n<\/pre>\n
En este caso estamos limitando cada usuario (excepto root) a un m\u00e1ximo de:<\/p>\n
- \n
- 150 procesos para todos los usuarios<\/li>\n
- 100 procesos para los usuarios del grupo ‘users’<\/li>\n
- 2GB de RAM<\/li>\n
- 4 logins concurrentes<\/li>\n<\/ul>\n
Una vez configurado, podemos realizar una sencilla prueba para verificar que el sistema no nos permite crear m\u00e1s de 100 procesos:<\/p>\n
\r\n$ for i in `seq 500`; do sleep 5 & done\r\n<\/pre>\n
Espacio en disco<\/h5>\n
Para habilitar las limitaciones de espacio debemos tener montada las particiones afectadas con los par\u00e1metros ‘usrjquota’ y ‘grpjquota’ en ‘\/etc\/fstab’ (journalling quotas). Por ejemplo:<\/p>\n
\r\n\/dev\/sda4 \/ ext4 defaults,errors=remount-ro,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 1 1\r\n<\/pre>\n
Por otra parte, el servicio de quotas (\/etc\/init.d\/quota) debe estar activo. Podemos comprobarlo mediante la aplicaci\u00f3n ‘sysv-rc-conf’ (consultar secci\u00f3n de Servicios de esta gu\u00eda).<\/p>\n
Podemos activar inmediatamente las quotas mediante:<\/p>\n
\r\ntouch \/aquota.user \/aquota.group\r\nchmod 600 \/aquota.*\r\nmount -o remount \/\r\n\r\nquotacheck -avugm\r\nquotaon -avug\r\n<\/pre>\n
Si encontramos algun tipo de problema con quotacheck (p.ej. puede ser que entre en conflicto con gvfs), podemos probar a reiniciar el sistema. <\/p>\n
A continuaci\u00f3n, para modificar las quotas de un grupo de usuario determinado:<\/p>\n
\r\nEDITOR=\"vi\" edquota -g users\r\n<\/pre>\n
Tendremos que cambiar los n\u00fameros correspondientes, por ejemplo:<\/p>\n
\r\nDisk quotas for group users (gid 100):\r\n Filesystem blocks soft hard inodes soft hard\r\n \/dev\/sda6 23808 1048576 1572864 37 0 0\r\n \/dev\/sda7 10312844 47185920 52428800 8780 0 0\r\n<\/pre>\n
En este caso, el sistema realizar\u00e1 un aviso por mail local a los 45GB (45*1024*1024), mientras que el l\u00edmite real se encuentra en los 50GB (50*1024*1024) para el grupo ‘users’ y el dispositivo sda7 (p.ej. \/home\/). En el caso de sda6 (p.ej. ra\u00edz \/), el limite blando es 1GB (1*1024*1024) y el duro 1.5 GB (1.5*1024*1024).<\/p>\n
Los ficheros que contabilizan dentro de la quota de grupo son aquellos que tienen como propietario el mismo grupo. Es decir, un usuario que pertenece al grupo A y B puede crear archivos asign\u00e1ndolos a uno u a otro hasta agotar ambas quotas. Por este motivo, establecer los l\u00edmites por usuario permite un mayor control:<\/p>\n
\r\nEDITOR=\"vi\" edquota -u usuario\r\n<\/pre>\n
Es tambi\u00e9n interesante limitar todos aquellos grupos que corren servicios como apache2.<\/p>\n
Podemos ver un resumen de todas las quotas aplicadas:<\/p>\n
\r\n# repquota -s -a\r\n*** Informe para user quotas en dispositivo \/dev\/mapper\/isw_beahgicji_Volume07\r\nPer\u00edodo de gracia de bloque: 7d\u00edas; per\u00edodo de gracia de Inode: 7d\u00edas\r\n L\u00edmites de bloque l\u00edmites de archivo\r\nUsuario usado blando duro gracia usado bland duro gracia\r\n----------------------------------------------------------------------\r\nroot -- 63404 0 0 18960 0 0 \r\nusuario1 -- 457G 0 0 303k 0 0 \r\nusuario2 +- 10072M 5120M 5120M 6d\u00edas 8780 0 0 \r\nftp -- 4 0 0 1 0 0 \r\nfreevo -- 44 0 0 18 0 0 \r\nmythtv -- 48 0 0 15 0 0 \r\ncouchdb -- 132 0 0 33 0 0 \r\n<\/pre>\n
Un usuario puede consultar el estado de su cuota:<\/p>\n
\r\n$ quota -s\r\nDisk quotas for user usuario (uid 1000): \r\n Filesystem blocks quota limit grace files quota limit grace\r\n \/dev\/vzfs 24 26 28 6 0 0 \r\n<\/pre>\n
Cabe destacar que el periodo de gracia (grace limit) es el tiempo que transcurre antes de que el usuario es obligado a cumplir el “soft limit”. Para modificarlo:<\/p>\n
\r\n# edquota -t\r\n\r\nPer\u00edodo de gracia antes de imponer l\u00edmites blandos para users:\r\nLa unidad de tiempo puede ser: d\u00edas, horas, minutos, o segundos\r\n Sistema de archivos Per\u00edodo de gracia de bloque Per\u00edodo de gracia de inode\r\n \/dev\/mapper\/isw_beahgicji_Volume06 7d\u00edas 7d\u00edas\r\n \/dev\/mapper\/isw_beahgicji_Volume07 7d\u00edas 7d\u00edas\r\n<\/pre>\n
Finalmente, en caso de agotar la cuota, el usuario recibir\u00e1 el siguiente mensaje:<\/p>\n
\r\n$ cp \/usr\/bin\/dpkg .\r\ncp: writing `.\/dpkg': Disk quota exceeded\r\n<\/pre>\n
3. Interacci\u00f3n b\u00e1sica con el sistema<\/a><\/h3>\n
Shells<\/h4>\n
La shell es la aplicaci\u00f3n mediante la cual los usuarios pueden interactuar con el sistema. Es recomendable habilitar \u00fanicamente las shells que nos interesen editando ‘\/etc\/shells’:<\/p>\n
\r\n# \/etc\/shells: valid login shells\r\n#\/bin\/csh\r\n\/bin\/sh\r\n#\/usr\/bin\/es\r\n#\/usr\/bin\/ksh\r\n#\/bin\/ksh\r\n#\/usr\/bin\/rc\r\n#\/usr\/bin\/tcsh\r\n#\/bin\/tcsh\r\n#\/usr\/bin\/esh\r\n#\/usr\/bin\/screen\r\n#\/bin\/dash\r\n\/bin\/bash\r\n#\/bin\/rbash\r\n<\/pre>\n
\u00danicamente las shells no comentadas seran permitidas, siempre y cuando a\u00f1adamos al principio de ‘\/etc\/pam.d\/common-auth’:<\/p>\n
\r\n# This will not allow a user to change their shell unless\r\n# their current one is listed in \/etc\/shells. This keeps\r\n# accounts with special shells from changing them.\r\nauth required pam_shells.so\r\n<\/pre>\n
Shell Bash<\/h4>\n
Es interesante configurar la shell Bash para permitir el auto-completado inteligente de comandos (presionando [tab]) editando ‘\/etc\/bash.bashrc’ y descomentado:<\/p>\n
\r\n# enable bash completion in interactive shells\r\nif [ -f \/etc\/bash_completion ]; then\r\n . \/etc\/bash_completion\r\nfi\r\n<\/pre>\n
En ese mismo fichero, es recomendable a\u00f1adir los siguiente alias:<\/p>\n
\r\nalias mv='mv -i'\r\nalias cp='cp -i'\r\nalias rm='rm -i'\r\nalias ln='ln -i'\r\nexport EDITOR='vim' \r\nexport TMOUT=3600\r\n<\/pre>\n
Esto evitar\u00e1 borrados involuntarios de ficheros dado que cada vez que modifiquemos un fichero mediante mv, cp, rm o ln se pedir\u00e1 confirmaci\u00f3n.<\/p>\n
Por otra parte, la variable TMOUT provocar\u00e1 autom\u00e1ticamente un logout de la terminal si no se ejecuta nada durante los segundos especificados (si se est\u00e1 visualizando un programa interactivo como top, no se produce timeout). De esta forma reduciremos las probabilidades de que un usuario se deje su sesi\u00f3n abierta y accesible por otra persona que tenga acceso f\u00edsico a su ordenador.<\/p>\n
Cabe destacar que si se ejecuta screen despu\u00e9s de establecer la variable TMOUT, se hereda y se produce logout primero de las ventanas de screen y despues de la sesi\u00f3n que ejecut\u00f3 screen.<\/p>\n
Locales: configuraci\u00f3n del idioma<\/h4>\n
Para que el sistema muestre los mensajes en un idioma determinado (p.ej. Castellano):<\/p>\n
\r\napt-get install language-pack-es language-pack-en\r\n<\/pre>\n
Y a continuaci\u00f3n editamos ‘\/etc\/environment’ y ‘\/etc\/default\/locale’:<\/p>\n
\r\n#LANG=\"en_GB.utf8\"\r\nLANG=\"es_ES.UTF-8\"\r\n\r\nLANGUAGE=\"es_ES:en_EN\"\r\n#LANGUAGE=\"en_GB:en:es_ES:es\"\r\n<\/pre>\n
Mensajes legales e informativos: Issue & motd<\/h4>\n
Se recomienda establecer un mensaje legal que notifique a los usuarios que el acceso al sistema es exclusivo para aqu\u00e9llos que han sido autorizados. Para ello se debe editar los ficheros ‘\/etc\/issue’ y ‘\/etc\/issue.net’, por ejemplo:<\/p>\n
\r\n***************************************************************************\r\n NOTICE TO USERS\r\n\r\nThis computer system is for authorized use only. Use of this system \r\nconstitutes consent to security monitoring and testing. All activity is \r\nlogged with your host name and IP address.\r\n\r\nAny or all uses of this system and all files on this system may be\r\nintercepted, monitored, recorded, copied, audited, inspected, and disclosed \r\nto law enforcement personnel, as well as authorized officials of other \r\nagencies, both domestic and foreign.\r\n\r\nUnauthorized or improper use of this system may result in administrative\r\ndisciplinary action and civil and criminal penalties. By continuing to use\r\nthis system you indicate your awareness of and consent to these terms and\r\nconditions of use. LOG OFF IMMEDIATELY if you do not agree to the conditions\r\nstated in this warning.\r\n\r\n*****************************************************************************\r\n<\/pre>\n
Cabe destacar que si queremos que el banner se muestre a los usuarios que se conecten mediante SSH (ver secci\u00f3n de Servicios de esta gu\u00eda), debemos editar ‘\/etc\/ssh\/sshd_config’ y descomentar:<\/p>\n
\r\nBanner \/etc\/issue.net\r\n<\/pre>\n
Por otra parte, una configuraci\u00f3n segura implica proporcionar la m\u00ednima informaci\u00f3n sobre el sistema al usuario en cuanto a las caracter\u00edsticas del mismo (p.ej. distribuci\u00f3n, kernel, etc). Para minimizar ese aspecto podemos poner en blanco el mensaje de bienvenida (o incluir el mensaje gen\u00e9rico que nos interese):<\/p>\n
\r\necho > \/etc\/motd\r\necho > \/etc\/motd.tail\r\n<\/pre>\n
Si lo dejamos en blanco, debemos asegurarnos que el script de inicio ‘\/etc\/init.d\/bootmisc.sh’ no lo reconstruye. Para ello lo editamos y comentamos las siguientes lineas:<\/p>\n
\r\n # Update motd\r\n #uname -snrvm > \/var\/run\/motd\r\n [ -f \/etc\/motd.tail ] && cat \/etc\/motd.tail >> \/var\/run\/motd\r\n<\/pre>\n
Y por otra parte, editamos ‘\/etc\/cron.d\/update-motd’ y comentamos:<\/p>\n
\r\n#*\/10 * * * * root [ -x \/usr\/sbin\/update-motd ] && \/usr\/sbin\/update-motd 2>\/dev\/null\r\n<\/pre>\n
Usuarios privilegiados: sudo<\/h4>\n
Con el objetivo de garantizar la m\u00e1xima trazabilidad, se requiere que el usuario root no sea utilizado directamente. Para ello podemos configurar el sistema para que el grupo de usuarios que nos interese puedan adquirir privilegios de root editando ‘\/etc\/group’ y a\u00f1adiendo:<\/p>\n
\r\nadmin:x:114:miusuario\r\n<\/pre>\n
\r\n\r\nAdemas debemos tener en '\/etc\/sudoers' la siguiente l\u00ednea:\r\n\r\n<\/pre>\n
\r\n# Members of the admin group may gain root privileges\r\n%admin ALL=(ALL) ALL\r\n<\/pre>\n
Para editar sudoers siempre debemos utilizar el comando ‘visudo’. Con esta configuraci\u00f3n, el usuario o usuarios del grupo seleccionado (‘admin’ en este caso) podr\u00e1n acceder al sistema normalmente y una vez dentro ejecutar ‘sudo comando’ o ‘sudo -s’ para adquirir privilegios de root.<\/p>\n
Cabe destacar que Ubuntu suele venir configurada as\u00ed por defecto.<\/p>\n
Sistema de archivos<\/h4>\n
Esquema de los permisos de ficheros\/directorios<\/h5>\n
\n![](\"http:\/\/observatorio.cnice.mec.es\/images\/upload\/ccam0040\/seguridadlinux\/seguridad1.png\"\/)
\n<\/center><\/p>\nPermisos por defecto: UMASK<\/h5>\n
Es posible establecer los permisos con los que se crean los nuevos ficheros\/directorios, para ello tendremos que editar varios ficheros. El primero es ‘\/etc\/login.defs’:<\/p>\n
\r\nUMASK 022\r\n<\/pre>\n
El segundo ‘\/etc\/profile’:<\/p>\n
\r\numask 022\r\n<\/pre>\n
Y finalmente, editamos ‘\/etc\/pam.d\/common-session’ y a\u00f1adimos al final:<\/p>\n
\r\nsession optional pam_umask.so umask=0022\r\n<\/pre>\n
Son necesarios tantos cambios porque en funci\u00f3n de como nos conectemos a la m\u00e1quina (f\u00edsicamente, remotamente por ssh, X Window, etc.) se utilizaran unos scripts u otros.<\/p>\n
En cuanto a la mascara, nos podr\u00eda interesar establecer umask como 027 para que todos los ficheros\/directorios creados no tengan permisos de acceso para otros usuarios que no sean los del grupo del propietario.<\/p>\n
Ejemplo de funcionamiento de umask:<\/p>\n
\r\n$ umask 000\r\n$ touch file1\r\n$ ls -l file1\r\n-rw-rw-rw- 1 oracle oinstall 0 Dec 26 19:24 file1\r\n$ umask 002\r\n$ touch file2\r\n$ ls -l file2\r\n-rw-rw-r-- 1 oracle oinstall 0 Dec 26 19:24 file2\r\n$ umask 022\r\n$ touch file3\r\n$ ls -l file3\r\n-rw-r--r-- 1 oracle oinstall 0 Dec 26 19:25 file3\r\n<\/pre>\n
Permisos especiales: SUID y SGID<\/h5>\n
Cuando el bit SUID (set user ID) o SGID (set group ID) est\u00e1 activo en un ejecutable, esto implica que ese archivo se ejecutar\u00e1 con los permisos del propietario o grupo propietario respectivamente. Por ejemplo:<\/p>\n
\r\n# ls -la \/bin\/ping\r\n-rwsr-xr-x 1 root root 30856 2007-12-10 18:33 \/bin\/ping\r\n<\/pre>\n
Ping tiene activado el bit SUID y su propietario es root, por tanto cuando sea ejecutado por un usuario, el programa adquirir\u00e1 los privilegios de root. En ocasiones se requiere este comportamiento, pero en otras puede ser innecesario y \u00fanicamente contribuye a debilitar la seguridad del sistema (p.ej. se descubre una vulnerabilidad\/overflow en ping que permite al usuario obtener una shell, esta shell seria con permisos de root).<\/p>\n
Para identificar todos los ficheros SUID o GUID podemos utilizar:<\/p>\n
\r\nfind \/ -path \/proc -prune -o -type f -perm +6000 -ls\r\n<\/pre>\n
Solo SUID:<\/p>\n
\r\nfind \/ -path \/proc -prune -o -type f -perm +2000 -ls\r\n<\/pre>\n
Solo GUID:<\/p>\n
\r\nfind \/ -path \/proc -prune -o -type f -perm +4000 -ls\r\n<\/pre>\n
Una vez identificados, podemos proceder a seleccionar cuales queremos dejar con el bit SUID o SGID activado.<\/p>\n
Para activar\/desactivar SUID:<\/p>\n
\r\nchmod u+s fichero\r\nchmod u-s fichero\r\n<\/pre>\n
Y para activar\/desactivar SGID:<\/p>\n
\r\nchmod g+s fichero\r\nchmod g-s fichero\r\n<\/pre>\n
Directorios con permisos de escritura global<\/h5>\n
Para identificar directorios con permisos de escritura global ejecutaremos:<\/p>\n
\r\nfind \/ -path \/proc -prune -o -perm -2 ! -type l -ls\r\n<\/pre>\n
En ocasiones estos son necesarios, como por ejemplo ‘\/tmp’. Pero en otras puede suponer un peligro para el sistema. Est\u00e1 en nuestras manos decidir cuales dejar con dichos permisos.<\/p>\n
A modo de ejemplo, con el usuario user01 creamos un directorio con permisos de escritura universales:<\/p>\n
\r\n$ mkdir test\r\n$ chmod 777 test\r\n$ sudo chown -R root:root test\r\n$ cd test\r\n$ touch hola\r\n$ ls -la\r\ntotal 8\r\ndrwxrwxrwx 2 root root 4096 2008-08-22 13:56 .\r\ndrwxr-x--- 126 root root 4096 2008-08-22 13:55 ..\r\n-rw-r--r-- 1 user01 group1 0 2008-08-22 13:56 hola\r\n<\/pre>\n
En el ejemplo anterior, como el directorio tiene permisos de escritura para todo el mundo, el usuario user02 podr\u00eda borrar\/modificar el archivo ‘hola’ a pesar de que este pertenece a user01 y sus permisos sean -rw-r–r–. Por ejemplo, con el usuario user02 ejecutamos el borrado:<\/p>\n
\r\n$ rm hola\r\nrm: \u00bfborrar el archivo regular vac\u00edo \u00abhola\u00bb protegido contra escritura? (s\/n) y\r\n<\/pre>\n
Por otra parte, los directorios con permisos de escritura global que tienen el Sticky bit activado como ‘\/tmp’:<\/p>\n
\r\n$ ls -lad \/tmp\/\r\ndrwxrwxrwt 13 root root 49152 2008-08-22 13:54 \/tmp\/\r\n<\/pre>\n
Este comportamiento no tiene lugar, los ficheros creados \u00fanicamente pueden ser modificados por sus propietarios o por el propietario del directorio. Por ejemplo, con el usuario user02:<\/p>\n
\r\n$ rm hola\r\nrm: \u00bfborrar el archivo regular vac\u00edo \u00abhola\u00bb protegido contra escritura? (s\/n) y\r\nrm: no se puede borrar \u00abhola\u00bb: Operaci\u00f3n no permitida\r\n<\/pre>\n
Consecuentemente, del listado de directorios con permisos globales de escritura, los que tienen el bit Sticky activado son casos especiales que debemos tener en cuenta.<\/p>\n
Para activar\/desactivar el bit sticky en un directorio:<\/p>\n
\r\nchmod +t directorio\/\r\nchmod -t directorio\/\r\n<\/pre>\n
Archivos sin propietarios<\/h5>\n
Para identificar archivos sin propietarios:<\/p>\n
\r\n\r\nfind \/ -path \/proc -prune -o -nouser -o -nogroup\r\n<\/pre>\n
Si en el futuro se crease un usuario con el mismo ID, este adquirir\u00eda permisos autom\u00e1ticamente sobre estos ficheros y podr\u00eda suponer un problema de seguridad.<\/p>\n
Detecci\u00f3n de modificaciones de ficheros: Tripwire<\/h5>\n
Podr\u00edamos utilizar tripwire para detectar modificaciones en ficheros del sistema. Tripwire construye una BBDD con los MD5 de los ficheros:<\/p>\n
\r\napt-get install tripwire\r\n<\/pre>\n
4. Pol\u00edtica de contrase\u00f1as<\/a><\/h3>\n
Pol\u00edtica global<\/h4>\n
Todas las contrase\u00f1as deben ser cifradas y por tanto, contenidas en \/etc\/shadow. Para validar que passwd no contiene passwords:<\/p>\n
\r\n$ grep -v ':x:' \/etc\/passwd\r\n<\/pre>\n
En ‘\/etc\/passwd’ todos los usuarios deben tener el campo password una x.<\/p>\n
Se recomienda forzar a los usuarios a cambiar sus contrase\u00f1as de forma peri\u00f3dica (p.ej. 60 d\u00edas) y que no puedan ser cambiadas m\u00e1s de una vez en un d\u00eda (p.ej. en caso de que tengamos configurado el sistema para mantener un hist\u00f3rico de contrase\u00f1as irrepetibles, el usuario no podr\u00e1 cambiar su contrase\u00f1a N veces en el mismo d\u00eda hasta volver a tener la misma). Para ello editamos ‘\/etc\/login.defs’ y establecemos:<\/p>\n
\r\n# Maximum number of days a password is valid. \r\nPASS_MAX_DAYS 60\r\n# Minimum number of days before a user can change the password since the last change.\r\nPASS_MIN_DAYS 1\r\n#Number of days when the password change reminder starts.\r\nPASS_WARN_AGE 15\r\n<\/pre>\n
Adicionalmente, si un usuario no cambia su contrase\u00f1a 2 semanas despu\u00e9s de haberse caducado, se recomienda bloquear la cuenta. De esta forma el sistema desactivar\u00e1 las cuentas de usuario que no est\u00e9n siendo utilizadas y minimizaremos el riesgo de accesos indebidos. Debemos editar ‘\/etc\/default\/useradd’:<\/p>\n
\r\n# Number of days after password expiration that account is disabled. \r\nINACTIVE=14 \r\n<\/pre>\n
Por otra parte, es recomendable que el sistema lleve un control de contrase\u00f1as hist\u00f3ricas para evitar que el usuario reutilice los \u00faltimos N passwords. Adem\u00e1s, es interesante que el sistema tambi\u00e9n valide la robustez de las nuevas contrase\u00f1as. Con este objetivo, debemos instalar cracklib<\/a>:<\/p>\n
\r\napt-get install libpam-cracklib\r\nupdate-cracklib\r\n<\/pre>\n
A continuaci\u00f3n editamos ‘\/etc\/pam.d\/common-password’ y lo dejamos as\u00ed:<\/p>\n
\r\npassword required pam_cracklib.so retry=3 minlen=8 difok=1 lcredit=0 ucredit=1 dcredit=1 ocredit=2\r\npassword requisite pam_unix.so use_authtok obscure md5 remember=12\r\n<\/pre>\n
En este ejemplo hemos hecho que:<\/p>\n
- \n
- El usuario tiene que repetir 3 veces la nueva contrase\u00f1a para realizar el cambio.<\/li>\n
- Longitud m\u00ednima de 8 caracteres, no obstante puede ser inferior si se utilizan caracteres que valen m\u00e1s: May\u00fasculas, min\u00fasculas, d\u00edgitos, etc…<\/li>\n
- Al menos 1 caracteres deben ser diferentes al password anterior.<\/li>\n
- Seg\u00fan el manual, el par\u00e1metro ‘obscure’ provoca que se realicen las siguientes validaciones:\n
- \n
- Palindrome: Verifies that the new password is not a palindrome of (i.e., the reverse of) the previous one.<\/li>\n
- Case Change Only: Verifies that the new password isn\u00b4t the same as the old one with a change of case.<\/li>\n
- Similar: Verifies that the new password isn\u00b4t too much like the previous one<\/li>\n
- Simple: Is the new password too simple? This is based on the length of the password and the number of different types of characters (alpha, numeric, etc.) used.<\/li>\n
- Rotated: Is the new password a rotated version of the old password? (E.g., “billy” and “illyb”)<\/li>\n<\/ul>\n<\/li>\n
- Por su parte, cracklib realiza estas otras comprobaciones:\n
- \n
- Que los cambios de passwords no se simplemente invertir la palabra o cambiar may\u00fasculas por min\u00fasculas.<\/li>\n
- Comprobaciones contra un diccionario interno, construido a partir de datos que hay en los ficheros del sistema (update-cracklib)<\/li>\n<\/ul>\n<\/li>\n
- Finalmente ‘remember=12’ hace que el sistema recuerde las \u00faltimas 12 contrase\u00f1as y no deja que el usuario las repita. Para que funcione correctamente vamos a necesitar ejecutar tambi\u00e9n:\n
\r\ntouch \/etc\/security\/opasswd\r\nchown root:root \/etc\/security\/opasswd\r\nchmod 600 \/etc\/security\/opasswd\r\n<\/pre>\n<\/li>\n<\/ul>\n
Existen alternativas a cracklib como por ejemplo libpam-passwdqc<\/a>, el cual es m\u00e1s configurable aunque hoy por hoy menos popular.<\/p>\n
Finalmente, validamos el estado actual de alg\u00fan usuario del sistema:<\/p>\n
\r\n# chage -l miusuario\r\nLast password change : Aug 05, 2008\r\nPassword expires : Oct 04, 2008\r\nPassword inactive : never\r\nAccount expires : never\r\nMinimum number of days between password change : 1\r\nMaximum number of days between password change : 60\r\nNumber of days of warning before password expires : 15\r\n<\/pre>\n
Cabe destacar que para usuarios ya creados podemos modificar sus opciones mediante chage (ver man).<\/p>\n
Contrase\u00f1as de un solo uso: OTP (One time password)<\/h4>\n
Podemos configurar el sistema para que en el momento del acceso, si introducimos incorrectamente o en blanco nuestro password, el sistema nos ofrezca la alternativa de logearnos con un password de un solo uso. Esto puede ser de gran utilidad si nos conectamos a la m\u00e1quina desde un ordenador que no podemos confiar (p.ej. un cibercaf\u00e9).<\/p>\n
Para esto necesitamos instalar opie:<\/p>\n
\r\napt-get install opie-server\r\n<\/pre>\n
A continuaci\u00f3n, como usuario establecemos una contrase\u00f1a y el programa nos proporciona un challenge:<\/p>\n
\r\nopiepasswd -c -f\r\n\r\n ID marble OTP key is 499 vp5957\r\n CAB TILE YOU NINA BRED ELLA\r\n<\/pre>\n
Podemos obtener un listado de los 10 futuros password de un solo uso que vamos a poder usar mediante el comando siguiente:<\/p>\n
\r\n$ opiekey -n 10 499 vp5957\r\n490: WARD PIE ROSE SKY SKI SHAY\r\n491: I MITE VET AN IQ DENY\r\n492: BED BIEN TWIN WACK GELD SENT\r\n493: NECK MASH FLIT RICE GALE BY\r\n494: FLUB GET NOB MOOD TUM CITE\r\n495: WOO SNOB THEY SARA JILT GUSH\r\n496: VALE HOWE GAIT EEL HUED ODE\r\n497: I WON FOOL TOAD FEE HOFF\r\n498: FULL SOWN EGAN RICH WEAN HUGE\r\n499: CAB TILE YOU NINA BRED ELLA\r\n<\/pre>\n
No obstante, resulta interesante utilizar alg\u00fan programa escrito en J2ME para m\u00f3viles como vejotp<\/a>, con el cual podremos generar el password de un solo uso que necesitemos indicando el challenge correspondiente que nos indique el servidor al conectarnos.<\/p>\n
Por \u00faltimo, falta configurar el sistema para que acepte estas contrase\u00f1as. Editamos ‘\/etc\/pam.d\/common-auth’:<\/p>\n
\r\nauth sufficient pam_unix.so nullok_secure\r\nauth sufficient pam_opie.so\r\nauth required pam_deny.so\r\n#auth requisite pam_unix.so nullok_secure\r\n#auth optional pam_smbpass.so migrate missingok\r\n<\/pre>\n
Y en el caso de que usemos SSH, editamos ‘\/etc\/ssh\/sshd_config’:<\/p>\n
\r\nChallengeResponseAuthentication yes\r\n<\/pre>\n
Existen alternativas a OPIE como por ejemplo libpam-otpw<\/a>, el cual utiliza la t\u00edpica tarjeta de coordenadas en lugar de passwords de un solo uso.<\/p>\n
Gesti\u00f3n del acceso<\/h4>\n
Despu\u00e9s de 3 intentos fallidos de un usuario, es recomendable bloquear su cuenta para los siguientes 30 segundos por ejemplo (durante los cuales ser\u00e1 denegado su acceso aunque ponga correctamente sus credenciales). A partir de ese punto, cada nuevo intento fallido representar\u00e1 otros 30 segundos de bloqueo. Si el usuario indica su contrase\u00f1a correcta pasado ese tiempo, el contador de intentos fallidos se resetea a 0.<\/p>\n
Para ello utilizaremos ‘pam_tally’ editando ‘\/etc\/pam.d\/common-auth’:<\/p>\n
\r\n# 3 auth attempts, after that user will be locked for 30 seconds for each new failed attempt\r\nauth required pam_tally.so onerr=succeed deny=3 unlock_time=30 per_user\r\nauth sufficient pam_unix.so\r\nauth sufficient pam_opie.so\r\nauth required pam_deny.so\r\n\r\n# Reset user lock if auth suceeds\r\naccount required pam_tally.so onerr=succeed\r\n<\/pre>\n
El par\u00e1metro ‘per_user’ har\u00e1 que tally valide si se ha establecido alg\u00fan valor individual (diferente de 0) al usuario mediante faillog. Por ejemplo, para limita el n\u00famero de reintentos fallidos y establecer el tiempo de bloqueo para un usuario concreto:<\/p>\n
\r\nfaillog --maximum 5 --lock-time 120 -u miusuario\r\n<\/pre>\n
Otro ejemplo, no permitir que un usuario se bloquee aunque sobrepase los valores por defecto de intentos fallidos de autenticaci\u00f3n:<\/p>\n
\r\nfaillog --maximum -1 -u miusuario\r\n<\/pre>\n
Para ver el estado de los usuarios podemos utilizar:<\/p>\n
\r\npam_tally\r\npam_tally --user misusuario\r\nfaillog -a\r\nfaillog -u miusuario\r\n<\/pre>\n
Para desbloquear:<\/p>\n
\r\npam_tally --user miusuario --reset\r\nfaillog -u miusuario -r\r\n<\/pre>\n
Es importante eliminar todos los par\u00e1metros ‘nullok’ o ‘nullok_secure’ del modulo pam_unix.o dado que permiten passwords en blanco (tanto en common-password como en common-auth).<\/p>\n
Ver m\u00e1s en opciones (bloqueos permanentes, etc.) en el siguiente manual<\/a>.<\/p>\n
5. Gesti\u00f3n de usuarios<\/a><\/h3>\n
Creaci\u00f3n de usuarios<\/h4>\n
Para crear un usuario y asignarle un password:<\/p>\n
\r\nuseradd -d \/home\/miusuario -m -G admin,users -K PASS_MAX_DAYS=60,PASS_MIN_DAYS=1,PASS_WARN_AGE=15,UMASK=0022 -s \/bin\/bash miusuario\r\npasswd miusuario\r\n<\/pre>\n
Estos comando crean su directorio de usuario con el skeleton b\u00e1sico (-m), crea un grupo con el mismo nombre que el usuario y ser\u00e1 su grupo primario (-n) y adem\u00e1s pertenecer\u00e1 al grupo admin. Por otra parte, tambi\u00e9n se especifica la pol\u00edtica de contrase\u00f1as espec\u00edfica.<\/p>\n
Para establecer contrase\u00f1as aleatorios podemos ayudarnos del siguiente programa:<\/p>\n
\r\napt-get install makepasswd\r\nmakepasswd --chars=8\r\n<\/pre>\n
Gesti\u00f3n de cuentas<\/h4>\n
Tomando como ejemplo un usuario que dispone de la siguiente entrada en ‘\/etc\/shadow’:<\/p>\n
\r\nusuario:$1$ZyihUAz0$RqBWU1OINGOsUILv3g2Kh\/:14111:0:99999:7:::\r\n<\/pre>\n
Veamos diversas acciones de utilidad….<\/p>\n
- \n
- Expira la contrase\u00f1a de un usuario para obligarle a cambiarla:\n
\r\n\tpasswd -e usuario\r\n\t<\/pre>\n
\tEstablece el 3er campo de \/etc\/shadow a 0:<\/p>\n
\r\n\tusuario:$1$ZyihUAz0$RqBWU1OINGOsUILv3g2Kh\/:0:0:99999:7:::\r\n\t<\/pre>\n<\/li>\n
- Bloquea o desbloquea (recuperando password anterior) un usuario:\n
\r\n\tpasswd -l usuario\r\n\t<\/pre>\n
\tA\u00f1ade una exclamaci\u00f3n delante del hash de la contrase\u00f1a en \/etc\/shadow y en el octavo campo a\u00f1ade un 1 (cuenta caducada el 2 de Enero de 1970):<\/p>\n
\r\n\tusuario:!$1$ZyihUAz0$RqBWU1OINGOsUILv3g2Kh\/:14111:0:99999:7::1:\r\n\t<\/pre>\n
\tPara deshacer los cambios:<\/p>\n
\r\n\tpasswd -u usuario\r\n\t<\/pre>\n<\/li>\n
- Desactiva un usuario (sin posibilidad de recuperar el password):\n
\r\n\tpasswd -d usuario\r\n\t<\/pre>\n
\tSe asigna un hash en blanco y en el octavo campo a\u00f1ade un 1 (cuenta caducada el 2 de Enero de 1970):<\/p>\n
\r\n\tusuario::14111:0:99999:7::1:\r\n\t<\/pre>\n<\/li>\n
- Activar un usuario que ha sido desactivado: eliminar la expiraci\u00f3n y asignar una nueva contrase\u00f1a\n
\r\n\tchage -E -1 aurora\r\n\r\n\tpasswd aurora\r\n\t<\/pre>\n<\/li>\n
- Estado:\n
\r\n\tpasswd -S usuario\r\n\tchage -l usuario\r\n\t<\/pre>\n<\/li>\n
- Si no queremos que root pueda logearse directamente al sistema y que el acceso a la cuenta de administraci\u00f3n se realice mediante sudo. Aparte de configurar correctamente sudo, debemos bloquear y desactivar el usuario root:\n
\r\n\tpasswd -l -d root\r\n\t<\/pre>\n
\tQuedando algo parecido a:<\/p>\n
\r\n\troot:!:13449:0:99999:7::1:\r\n\t<\/pre>\n<\/li>\n<\/ul>\n
En resumen, campos del \/etc\/shadow:<\/p>\n
\r\n[username]:[password]:[date]:PASS_MIN_DAYS:PASS_MAX_DAYS:PASS_WARN_AGE:INACTIVE:EXPIRE:\r\n<\/pre>\n
Seg\u00fan el manual:<\/p>\n
\r\n \u00b7 login name\r\n \u00b7 encrypted password\r\n \u00b7 days since Jan 1, 1970 that password was last changed\r\n \u00b7 days before password may be changed\r\n \u00b7 days after which password must be changed\r\n \u00b7 days before password is to expire that user is warned\r\n \u00b7 days after password expires that account is disabled\r\n \u00b7 days since Jan 1, 1970 that account is disabled\r\n<\/pre>\n
Otras funcionalidades \u00fatiles:<\/p>\n
- \n
- Listar usuarios no bloqueados:\n
\r\n\tegrep -v '.*:*|:!' \/etc\/shadow | awk -F: '{print $1}'\r\n\t<\/pre>\n<\/li>\n - Listar archivos de un usuario concreto (nos puede servir para identificar usuarios que no disponen de informaci\u00f3n en el sistema):\n
\r\n\tfind \/ -path \/proc -prune -o -user usuario -ls\r\n\t<\/pre>\n<\/li>\n
- Comprobamos que el fichero de grupos es correcto:\n
\r\n\t# grpck -r\r\n\t'www-data' is a member of the 'adm' group in \/etc\/group but not in \/etc\/gshadow\r\n\t'miusuario' is a member of the 'users' group in \/etc\/group but not in \/etc\/gshadow\r\n\tno matching group file entry in \/etc\/gshadow\r\n\tadd group 'admin' in \/etc\/gshadow ?No\r\n\tgroup marble: no user 0\r\n\tdelete member '0'? No\r\n\tno matching group file entry in \/etc\/gshadow\r\n\tadd group 'marble' in \/etc\/gshadow ?No\r\n\t'miusuario' is a member of the 'adm' group in \/etc\/gshadow but not in \/etc\/group\r\n\tgrpck: no changes\r\n\t<\/pre>\n<\/li>\n<\/ul>\n
6. Servicios b\u00e1sicos del sistema<\/a><\/h3>\n
Activaci\u00f3n en arranque<\/h4>\n
Para la activaci\u00f3n\/desactivaci\u00f3n de los servicios que queremos en arranque podemos utilizar la herramienta de consola ‘sysv-rc-conf’:<\/p>\n
\r\napt-get install sysv-rc-conf\r\n<\/pre>\n
Ejecutando ‘sysv-rc-conf’ podremos marcar los servicios\/scripts\/demonios que queremos arrancar al iniciar el sistema. La aplicaci\u00f3n aplica los cambios de forma instantanea al situarnos sobre alguna de las X y pulsar ‘espacio’. Para salir pulsamos la ‘q’.<\/p>\n
Si queremos saber en que runlevel arranca el sistema por defecto:<\/p>\n
\r\n$ grep ':initdefault' \/etc\/inittab\r\nid:2:initdefault:\r\n<\/pre>\n
En caso de que no exista el fichero, es porque probablemente tengamos el sistema de arranque Upstart<\/a>, el runlevel por defecto suele ser el 2 (es posible verificarlo en ‘\/etc\/event.d\/rc-default’).<\/p>\n
Suele ser recomendable desactivar la posibilidad de reiniciar el ordenador mediante CTRL+ALT+SUPR para evitar reinicios involuntarios (p.ej. la se\u00f1ora de la limpieza). <\/p>\n
En caso de que utilicemos el tradicional sistema de arranque de Unix\/Linux (System V init), bastar\u00e1 con comentar (\/etc\/inittab):<\/p>\n
\r\n# What to do when CTRL-ALT-DEL is pressed.\r\n#ca:12345:ctrlaltdel:\/sbin\/shutdown -t1 -a -r now\r\n<\/pre>\n
Y aplicar los cambios:<\/p>\n
\r\n# init q\r\n<\/pre>\n
O si como mecanismo de arranque usamos Upstart<\/a> (como es el caso de Ubuntu), editamos ‘\/etc\/event.d\/control-alt-delete’ y comentamos:<\/p>\n
\r\n#exec \/sbin\/shutdown -r now \"Control-Alt-Delete pressed\"\r\n<\/pre>\n
Servicio de correo: Postfix<\/h4>\n
El sistema requerir\u00e1 un servicio de correo aunque \u00fanicamente sea para uso local, dado que varias tareas autom\u00e1ticas reportaran su estado mediante correo.<\/p>\n
En caso de que nuestro sistema venga configurado con sendmail, es recomendable desinstalarlo e instalar alg\u00fan otro sistema m\u00e1s robusto como postfix (historicamente sendmail ha tenido muchos fallos de seguridad):<\/p>\n
\r\napt-get purge sendmail sendmail-base sendmail-bin sendmail-cf sendmail-doc\r\napt-get install procmail\r\napt-get install postfix\r\n<\/pre>\n
Para una configuraci\u00f3n b\u00e1sica y segura, primero definiremos que usuario del sistema recibir\u00e1 los correos destinados a root (p.ej. muchas tareas autom\u00e1ticas del sistema env\u00edan correo a root). Editamos ‘\/etc\/aliases’ y a\u00f1adimos:<\/p>\n
\r\nroot: miusuario\r\n<\/pre>\n
Y ejecutamos:<\/p>\n
\r\nnewaliases\r\n<\/pre>\n
A continuaci\u00f3n, securizaremos la instalaci\u00f3n de postfix de forma que muestre la informaci\u00f3n m\u00ednima necesaria. Editamos ‘\/etc\/postfix\/main.cf’:<\/p>\n
\r\n#smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)\r\nsmtpd_banner = Welcome\r\nbiff = no\r\n\r\n# Rewrite \"user\" to \"user@$myorigin\" with locally submitted mail\r\n\r\n# Or \"user\" to \"user@$remote_header_rewrite_domain\" with remote connection\r\n# only if $remote_header_rewrite_domain is not empty (by default it is empty)\r\n#\r\n# By default: myorigin = $mydomain = \/etc\/mailname\r\nappend_at_myorigin = yes\r\n<\/pre>\n
Asi ocultamos la versi\u00f3n y obligamos a que todo mail enviado por los procesos autom\u00e1ticos del sistema tengan como dominio el especificado en ‘\/etc\/mailname’ (si se envian a usuario@localhost se reescribira como usuario@dominio).<\/p>\n
Editamos ‘\/etc\/mailname’ para establecer el dominio que queremos, por ejemplo:<\/p>\n
\r\nun.ejemplo.com\r\n<\/pre>\n
Si no vamos a utilizar Postfix como un servicio de correo remoto y \u00fanicamente lo queremos usar de forma local, editamos ‘\/etc\/postfix\/master.cf’ para asegurarnos que \u00fanicamente se aceptan conexiones localhost:<\/p>\n
\r\n127.0.0.1:smtp inet n - - - - smtpd\r\n<\/pre>\n
Con esto ya tenemos postfix preparado:<\/p>\n
\r\n\/etc\/init.d\/postfix restart\r\n<\/pre>\n
Finalmente, si nos interesa que el correo local que reciba un usuario sea reenviado a otra direcci\u00f3n, en el directorio personal del usuario creamos ‘.procmailrc’:<\/p>\n
\r\n:0 c\r\n\/var\/mail\/miusuario\r\n\r\n# Copia del correo personal a gmail\r\n:0\r\n!miotrousuario@gmail.com\r\n<\/pre>\n
Para realizar configuraciones m\u00e1s complejas de Postfix<\/a> podemos consultar esta otra gu\u00eda.<\/p>\n
Servicio web: Apache<\/h4>\n
Una vez instalado apache (habitualmente con soporte PHP), podemos proceder a realizar una securizaci\u00f3n de su configuraci\u00f3n.<\/p>\n
PHP<\/h5>\n
En primer lugar, nos aseguramos que PHP no informe de su presencia editando ‘\/etc\/php5\/apache2\/php.ini’ y modificando:<\/p>\n
\r\n; Misc\r\n;\r\n; Decides whether PHP may expose the fact that it is installed on the server\r\n; (e.g. by adding its signature to the Web server header). It is no security\r\n; threat in any way, but it makes it possible to determine whether you use PHP\r\n; on your server or not.\r\nexpose_php = On\r\n<\/pre>\n
por:<\/p>\n
\r\nexpose_php = Off \r\n<\/pre>\n
Por otra parte, tambi\u00e9n se recomienda establecer l\u00edmites a los recursos que puede utilizar una web PHP:<\/p>\n
\r\n;;;;;;;;;;;;;;;;;;;\r\n; Resource Limits ;\r\n;;;;;;;;;;;;;;;;;;;\r\n\r\nmax_execution_time = 30 ; Maximum execution time of each script, in seconds\r\nmax_input_time = 60 ; Maximum amount of time each script may spend parsing request data\r\n;max_input_nesting_level = 64 ; Maximum input variable nesting level\r\nmemory_limit = 16M ; Maximum amount of memory a script may consume (16MB)\r\n<\/pre>\n
Apache b\u00e1sico<\/h5>\n
Veamos como mejorar la configuraci\u00f3n de apache. Por un lado editamos ‘\/etc\/apache2\/apache2.conf’ y cambiamos los siguientes par\u00e1metros para que Apache no muestre informaci\u00f3n innecesaria:<\/p>\n
\r\n#ServerTokens Full\r\nServerTokens Prod\r\n\r\n#ServerSignature On\r\nServerSignature Off\r\n<\/pre>\n
Tambi\u00e9n debemos aseguramos que no se cambian estos par\u00e1metros en los sites activos (‘\/etc\/apache2\/sites-enabled\/*).<\/p>\n
En general los comando HTTP TRACE y TRACK no son utilizados para servir p\u00e1ginas y por tanto, podemos desactivarlos para evitar que un usuario malintencionado los utilice para intentar atacar. Para cada uno de los sites-enabled, lo editamos y a\u00f1adimos dentro del VirtualHost:<\/p>\n
\r\n RewriteEngine on\r\n RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)\r\n RewriteRule .* - [F]\r\n<\/pre>\nActivamos el modulo ‘rewrite’ y reiniciamos el servicio:<\/p>\n
\r\na2enmod rewrite\r\n\/etc\/init.d\/apache2 restart\r\n<\/pre>\n
A continuaci\u00f3n podemos validar que realmente ha surgido efecto el bloqueo de los comandos TRACE y TRACK:<\/p>\n
\r\n$ telnet 127.0.0.1 80\r\nTrying 127.0.0.1...\r\nConnected to 127.0.0.1.\r\nEscape character is '^]'.\r\n\r\n\r\nTRACE \/ HTTP\/1.0\r\nA: b\r\nC: d\r\nHost: foo\r\n\r\nHTTP\/1.1 403 Forbidden\r\nDate: Tue, 05 Aug 2008 17:09:34 GMT\r\nServer: Apache\r\nContent-Length: 255\r\nConnection: close\r\nContent-Type: text\/html; charset=iso-8859-1\r\n\r\n<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">\r\n<html><head>\r\n<title>403 Forbidden<\/title>\r\n<\/head><body>\r\n<h1>Forbidden<\/h1>\r\n<p>You don't have permission to access \/\r\non this server.<\/p>\r\n<hr>\r\n<address>Apache Server at foo Port 80<\/address>\r\n<\/body><\/html>\r\nConnection closed by foreign host.\r\n<\/pre>\n
Otra medida de seguridad consiste en desactivar el uso de FollowSymLinks para no permitir que un usuario pueda crear enlaces simb\u00f3licos hacia directorios que no deseamos que est\u00e9n expuestos. Para ello, en las opciones de los sites-enabled debemos indicar:<\/p>\n
\r\n Options None\r\n<\/pre>\n
Finalmente, es conveniente que le indiquemos a Apache exactamente en que IPs queremos que escuche. De esta forma podemos limitarlo por ejemplo \u00fanicamente para uso local. Para ello editamos ‘\/etc\/apache2\/ports.conf’ y cambiamos Listen 80 por Listen ip_maquina:80.<\/p>\n
Otro aspecto importante es proteger el servicio de ataques de denegaci\u00f3n de servicio (DoS). En el fichero ‘\/etc\/apache2\/apache2.conf’ podemos realizar algunos cambios:<\/p>\n
- \n
- Si establecemos un timeout bajo, minimizamos el impacto de los ataques pero puede que algunos CGIs que requieran m\u00e1s tiempo dejen de funcionar (p.ej. 300 segundos):\n
\r\n Timeout 300\r\n<\/pre>\n<\/li>\n
- Si tenemos activado el HTTP KeepAlive, definir un timeout bajo minimiza el impacto de ataques (p.ej. 15 segundos):\n
\r\n KeepAliveTimeout 15\r\n MaxKeepAliveRequests 100\r\n<\/pre>\n<\/li>\n
- Habitualmente, aunque apache2-mpm-worker, se utiliza apache2-mpm-prefork como versi\u00f3n de apache por defecto dado que esta es compatible con PHP. Prefork puede ser customizado, pero estos son los valores recomendados por defecto:\n
\r\n<IfModule mpm_prefork_module>\r\n # Number of child server processes created on startup\r\n StartServers 5\r\n # Sets the desired minimum number of idle child server processes\r\n MinSpareServers 5\r\n # Sets the desired maximum number of idle child server processes\r\n MaxSpareServers 10\r\n # Sets the limit on the number of simultaneous requests that can be supported;\r\n MaxClients 150\r\n # Sets the limit on the number of requests that an individual child server process will handle\r\n MaxRequestsPerChild 0\r\n<\/IfModule>\r\n<\/pre>\n
De todos ellos, los \u00fanicos par\u00e1metros con los que se suele jugar son MaxClient y MaxRquestPerChild. Con este \u00faltimo, indicar un valor diferente de cero nos permitir\u00eda limitar la memoria utilizada por procesos que tienen memory leakages.\n<\/li>\n
- Limitar el tama\u00f1o del BODY de las peticiones puede ser muy \u00fatil por ejemplo para evitar que los usuarios suban ficheros excesivamente grandes (p.ej. 500 KB = 1024*500 bytes):\n
\r\n LimitRequestBody 512000\r\n<\/pre>\n<\/li>\n
- Limitamos el n\u00famero de campos que puede tener una petici\u00f3n en el HEADER (de media suelen tener 20) y su tama\u00f1o (7KB = 8190 bytes)\n
\r\n LimitRequestFields 50\r\n LimitRequestFieldSize 8190\r\n LimitRequestLine 8190\r\n<\/pre>\n<\/li>\n<\/ul>\n
M\u00f3dulos de Apache<\/h5>\n
Apache se encuentra programado con funciones residentes en m\u00f3dulos independientes al core de la aplicaci\u00f3n, eso nos permite activar \u00fanicamente aquellas caracter\u00edsticas que vamos a utilizar para minimizar riesgos. Desactivaci\u00f3n de m\u00f3dulos:<\/p>\n
\r\na2dismod alias\r\na2dismod auth_basic\r\na2dismod authn_file\r\na2dismod authz_default\r\na2dismod authz_groupfile\r\na2dismod authz_host\r\na2dismod authz_user\r\na2dismod autoindex\r\na2dismod cgi\r\na2dismod dir\r\na2dismod env\r\na2dismod mime\r\na2dismod negotiation\r\na2dismod php5\r\na2dismod rewrite\r\na2dismod setenvif\r\na2dismod ssl\r\na2dismod status\r\n<\/pre>\n
Activaci\u00f3n de modulos m\u00ednimos:<\/p>\n
\r\n# Default page (e.g. index.html)\r\na2enmod dir\r\na2enmod mime\r\n# Language preference\r\na2enmod negotiation\r\na2enmod php5\r\na2enmod rewrite\r\n# Workarounds for certain browser bugs\r\na2enmod setenvif\r\n# Allows access rules based on hosts (allow from...)\r\na2enmod authz_host\r\n<\/pre>\n
Servir por localhost las aplicaciones m\u00e1s criticas<\/h5>\n
Finalmente, si vamos a utilizar Apache como servidor web remoto pero queremos tambi\u00e9n instalar aplicaciones de gesti\u00f3n como phpmyadmin, cacti, nagios, etc… Es recomendable que estas se encuentren en una instancia del servidor que solo sea accesible desde local para los usuarios de la m\u00e1quina, pero no para el resto del mundo. Es decir, vamos a evitar que cualquier persona pueda acceder libremente por ejemplo a ‘http:\/\/www.midominio.com\/phpmyadmin’, pero si vamos a permitir que un usuario con cuenta en el sistema pueda acceder mediante SSH realizando Port Forwarding:<\/p>\n
\r\nssh -L 8080:localhost:80 miusuario@IP_DEL_SERVIDOR\r\n<\/pre>\n
Con el anterior comando, ssh abrir\u00e1 el puerto 8080 en la m\u00e1quina del cliente y redireccionar\u00e1 todo lo que le llegue al puerto 80 de la interfaz localhost del servidor. Por tanto, el cliente (una vez se ha autenticado con su usuario por SSH) podr\u00e1 acceder a phpmyadmin mediante ‘http:\/\/localhost:8080\/phpmyadmin’. Adicionalmente, todo el tr\u00e1fico viajar\u00e1 cifrado sin necesidad de configurar el SSL de Apache.<\/p>\n
Con este objetivo, vamos a crear ‘\/etc\/apache2\/sites-available\/localhost’:<\/p>\n
\r\nNameVirtualHost 127.0.0.1:80\r\n<VirtualHost 127.0.0.1:80>\r\n ServerAdmin admin@admin.com\r\n ServerName localhost\r\n ServerAlias localhost.localdomain\r\n\r\n DocumentRoot \/var\/www\/localhost\r\n <Directory \/var\/www\/localhost>\r\n AllowOverride All\r\n Options FollowSymLinks\r\n Order allow,deny\r\n allow from all\r\n <\/Directory>\r\n\r\n # Possible values include: debug, info, notice, warn, error, crit,\r\n # alert, emerg.\r\n LogLevel warn\r\n\r\n\r\n ErrorLog \/var\/log\/apache2\/localhost\/error.log\r\n CustomLog \/var\/log\/apache2\/localhost\/access.log combined\r\n ServerSignature Off\r\n\r\n\r\n\r\n Include \/etc\/apache2\/conf.d\/\r\n\r\n<\/VirtualHost>\r\n<\/pre>\n
Activamos el site:<\/p>\n
\r\nmkdir \/var\/www\/localhost\r\nmkdir \/var\/log\/apache2\/localhost\r\na2ensite localhost\r\n\/etc\/init.d\/apache2 restart\r\n<\/pre>\n
Cuando instalamos phpmyadmin (u otras aplicaciones web similares) mediante el sistema de paquetes de Ubuntu, se generan ficheros de configuraci\u00f3n en ‘\/etc\/apache2\/conf.d\/’ para que apache pueda encontrar la aplicaci\u00f3n web (p.ej. mediante alias). Esto nos resta control y por defecto hace que la web sea accesible remotamente. Para minimizar riesgos, comentamos la l\u00ednea de ‘\/etc\/apache2\/apache2.conf’ que carga estas configuraciones est\u00e1ndar:<\/p>\n
\r\n# Include generic snippets of statements\r\n#Include \/etc\/apache2\/conf.d\/\r\n<\/pre>\n
Y en contrapartida, tendremos que copiar\/enlazar todo aquello que queramos que sea accesible \u00fanicamente por localhost en el directorio ‘\/var\/www\/localhost’.<\/p>\n
Base de datos MySQL<\/h4>\n
Securizamos la instalaci\u00f3n b\u00e1sica ejecutando ‘mysql_secure_installation’. Seg\u00fan el manual, este comando permite:<\/p>\n
- \n
- You can set a password for root accounts.<\/li>\n
- You can remove root accounts that are accessible from outside the local host.<\/li>\n
- You can remove anonymous-user accounts.<\/li>\n
- You can remove the test database, which by default can be accessed by anonymous users.<\/li>\n<\/ul>\n
Se recomienda aplicar las 4 acciones. Por otra parte, en la configuraci\u00f3n de ‘\/etc\/mysql\/my.cnf’:<\/p>\n
\r\n# Both location gets rotated by the cronjob.\r\n# Be aware that this log type is a performance killer.\r\n# log = \/var\/log\/mysql\/mysql.log\r\n#\r\n# Error logging goes to syslog. This is a Debian improvement :)\r\n#\r\n# Here you can see queries with especially long duration\r\nlog_slow_queries = \/var\/log\/mysql\/mysql-slow.log\r\nlong_query_time = 2\r\n<\/pre>\n
Logeamos las queries que tardan m\u00e1s de 2 segundos en ejecutarse.<\/p>\n
\r\n\/etc\/init.d\/mysql restart\r\n<\/pre>\n
Finalmente, para crear un usuario con su propia base de datos:<\/p>\n
\r\nCREATE USER 'miusuario'@'localhost' IDENTIFIED BY 'YB9gYu6I';\r\n\r\nGRANT USAGE ON *.* TO 'miusuario'@'localhost' IDENTIFIED BY 'YB9gYu6I' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ;\r\n\r\nCREATE DATABASE IF NOT EXISTS miusuario;\r\n\r\nGRANT ALL PRIVILEGES ON miusuario.* TO 'miusuario'@'localhost';\r\n\r\nFLUSH PRIVILEGES;\r\n<\/pre>\n
Acceso remoto: SSH<\/h4>\n
Para la securizaci\u00f3n de SSH, vamos a hacer que \u00fanicamente un grupo de usuario pueda conectarse. Creamos el grupo ‘sshlogin’ y a\u00f1adimos usuarios al mismo:<\/p>\n
\r\nsudo groupadd sshlogin\r\nsudo adduser miusuario sshlogin\r\n<\/pre>\n
Importante:<\/b> Si utilizamos FreeNX<\/a> o NX<\/a> (art\u00edculo sobre FreeNX<\/a>) para el acceso remoto al escritorio, tambi\u00e9n tendremos que a\u00f1adir al grupo ‘sshlogin’ el usuario ‘nx’.<\/p>\n
Editamos ‘\/etc\/ssh\/sshd_config’ para impedir que root pueda acceder directamente y no se forwardeen las X:<\/p>\n
\r\nPermitRootLogin no\r\nX11Forwarding no\r\n\r\nAllowGroups sshlogin\r\n<\/pre>\n
Reiniciamos el servicio:<\/p>\n
\r\nsudo \/etc\/init.d\/ssh restart\r\n<\/pre>\n
En caso de que desde nuestra m\u00e1quina tengamos que acceder a diversos servicios SSH y no queremos tener que recordar las diferentes contrase\u00f1as, podemos generar una pareja de claves RSA (p\u00fablica y privada) en la m\u00e1quina cliente (se recomienda que asignar password para proteger la clave privada):<\/p>\n
\r\n$ ssh-keygen \r\nGenerating public\/private rsa key pair.\r\nEnter file in which to save the key (\/home\/user\/.ssh\/id_rsa): \r\nEnter passphrase (empty for no passphrase): \r\nEnter same passphrase again: \r\nYour identification has been saved in \/home\/user\/.ssh\/id_rsa.\r\nYour public key has been saved in \/home\/user\/.ssh\/id_rsa.pub.\r\nThe key fingerprint is:\r\n18:0f:fe:29:b2:17:c2:a0:8d:6e:11:80:de:01:21:be user@localhost\r\n<\/pre>\n
Con ssh-keygen hemos creado una clave privada ‘~\/.ssh\/id_rsa’ que no debemos compartir con nadie y una clave p\u00fablica ‘~\/.ssh\/id_rsa.pub’ que hay que copiar en el directorio ‘~\/.ssh\/authorized_keys’ de los servidores a los que queramos conectar con SSH:<\/p>\n
\r\nscp ~\/.ssh\/id_rsa.pub usuario@servidor:\/home\/user\/\r\n<\/pre>\n
Y desde cada servidor:<\/p>\n
\r\n$ cat id_rsa.pub >> .ssh\/authorized_keys\r\n$ rm id_rsa.pub\r\n<\/pre>\n
Podemos poner determinadas condiciones bajo las cuales se utilizaran estas claves, por ejemplo:<\/p>\n
\r\nfrom=\"81.11.105.10\",command=\"\/bin\/ls\",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa AAAABdZjH4WE5y5EH\/O9nHoplj8sZz0iIb1XPU5e5ZTxd7tWhMf9p391yAfM6ybjabmFXZZuFm9q\/AjD53qjX+q7YhQUXC0I5JhFU0CAHxKuvuguogWio39x36Ag\/zgJ5IJXcrCNsuoDw== root@servidor.com\r\n<\/pre>\n
Al inicio de la clave hemos especificado:<\/p>\n
- \n
- from=”81.11.105.10″: \u00fanicamente puede ser utilizada desde un cliente con esa IP.<\/li>\n
- command=”\/bin\/ls”: \u00fanicamente se permitir\u00e1 la ejecuci\u00f3n de ese fichero.<\/li>\n
- no-port-forwarding: no permite redirigir puertos.<\/li>\n
- no-X11-forwarding: no permite la redirecci\u00f3n gr\u00e1fica de programas (X Window)<\/li>\n
- no-agent-forwarding: no permite redirigir peticiones entre servidores a agentes ssh de autenticaci\u00f3n.<\/li>\n
- no-pty: el cliente no obtendr\u00e1 una terminal con shell, solo podra ejecutar comando (p.ej. ‘ssh usuario@servidor \/bin\/ls’)<\/li>\n<\/ul>\n
A partir de este momento, cada vez que queramos conectarnos a uno de estos servidores SSH, ssh nos preguntar\u00e1 por la contrase\u00f1a que le hemos puesto a nuestra clave privada y por tanto, solo hace falta recordar 1 contrase\u00f1a. No obstante, aun podemos simplificar m\u00e1s la gesti\u00f3n:<\/p>\n
- \n
- En la generaci\u00f3n de las claves RSA no asignamos contrase\u00f1a y por tanto esta no ser\u00e1 requerida para conectarnos a los servidores por SSH (en caso de que ya la hayamos asignado, podemos cambiarla mediante ‘ssh-keygen -p’). Este punto tiene el inconveniente de que en caso de que alguien se haga con el fichero que contiene la clave privada, tendr\u00e1 acceso completo a los servidores configurados.<\/li>\n
- Uso de keychain (ssh-agent) para que \u00fanicamente tengamos que teclear la contrase\u00f1a que protege la clave privada una vez.<\/li>\n<\/ul>\n
Veamos como configurar el segundo punto:<\/p>\n
\r\n$ sudo apt-get install keychain\r\n<\/pre>\n
Editamos el fichero ‘~\/.bashrc’ y a\u00f1adimos al final:<\/p>\n
\r\n## SSH Agent\r\n# Do not execute if I am root (sudo -s)\r\nif [ \"$(id -u)\" != \"0\" ]; then\r\n keychain id_rsa --nocolor --quiet\r\n . ~\/.keychain\/`uname -n`-sh\r\nfi\r\n<\/pre>\n
Salimos del sistema y volvemos a entrar para que sean efectivos los cambios de bashrc. La primera vez que se ejecute ‘keychain’ nos preguntar\u00e1 la contrase\u00f1a que protege a la clave privada:<\/p>\n
\r\nEnter passphrase for \/home\/user\/.ssh\/id_rsa: \r\nIdentity added: \/home\/user\/.ssh\/id_rsa (\/home\/user\/.ssh\/id_rsa)\r\n<\/pre>\n
Mientras permanezca la m\u00e1quina en marcha podremos acceder a los servidores mediante SSH sin que nos solicite de nuevo la contrase\u00f1a.<\/p>\n
En el siguiente enlace pod\u00e9is encontrar una descripci\u00f3n detallada de c\u00f3mo funciona SSH<\/a>.<\/p>\n
7. Trazabilidad<\/a><\/h3>\n
Fecha y hora del sistema<\/h4>\n
Para que los logs resulten de utilidad y tengamos una buena trazabilidad de todo lo que ocurre en el sistema, es necesario que la m\u00e1quina disponga de la fecha\/hora correcta. Para ello podemos configurar la sincronizaci\u00f3n autom\u00e1tica con otros servidores de Internet via NTP:<\/p>\n
\r\napt-get install ntpdate\r\n<\/pre>\n
Creamos ‘\/etc\/cron.daily\/ntpdate’:<\/p>\n
\r\n#! \/bin\/bash\r\n\/usr\/sbin\/ntpdate -u ntp.ubuntu.com\r\n<\/pre>\n
Y damos permisos de ejecuci\u00f3n:<\/p>\n
\r\nchmod 755 \/etc\/cron.daily\/ntpdate\r\n<\/pre>\n
Por defecto el sistema utilizar\u00e1 los servidores de Ubuntu (ntp.ubuntu.com) para la sincronizaci\u00f3n.<\/p>\n
En caso de que fuese necesario, tambi\u00e9n conviene asegurarnos que el sistema tiene configurada la zona horaria que nos interese (p.ej. Europa\/Madrid):<\/p>\n
\r\n# date\r\nWed Aug 6 07:14:36 EDT 2008\r\n# cd \/etc\r\n# mv timezone timezone.old\r\n# echo \"Europe\/Madrid\" > timezone\r\n# mv localtime localtime.old\r\n# ln -s \/usr\/share\/zoneinfo\/Europe\/Madrid localtime\r\n# date\r\nWed Aug 6 13:16:08 CEST 2008\r\n<\/pre>\n
Logs de usuario con Bash<\/h4>\n
En ‘\/etc\/profile’ podemos a\u00f1adir las siguientes variables de entorno (personalmente \u00fanicamente a\u00f1ado la que permite tener hist\u00f3rico con timestamp, visualizable con el comando history de cada usuario):<\/p>\n
\r\n########\r\n## declare -r: Variables de entorno que no pueden ser modificadas\r\n## readonly -p: Lista variables que no pueden ser modificadas\r\n\r\n# Nombre del archivo de historial (default '~\/.bash_history')\r\nexport HISTFILE='~\/.bash_history'\r\n#declare -r HISTFILE='~\/.bash_history'\r\n\r\n# n\u00ba m\u00e1ximo de comandos que puede contener el archivo (default 500).\r\nexport HISTFILESIZE='500'\r\n\r\n# n\u00ba de comandos por los que podr\u00e1 navegar el usuario con las teclas de cursor (default 500)\r\nexport HISTSIZE='500'\r\n\r\n# Ignorar comandos duplicados y espacios en blanco delante (default blank)\r\nexport HISTCONTROL=ignorespace:ignoredups\r\n\r\n# Save history with timestamp (default blank)\r\nexport HISTTIMEFORMAT=\"%Y-%m-%d %H:%M:%S \"\r\n\r\n# No guardar en el historial los siguientes comandos (por defecto en blanco)\r\nexport HISTIGNORE=\u201d:ls:cd ..:cd \/:\u201d\r\n<\/pre>\n
Esto mismo tambi\u00e9n lo podemos establecer en ‘\/etc\/bash.bashrc’ si queremos que no solo afecte a las login shells.<\/p>\n
Rotaci\u00f3n y conservaci\u00f3n de logs<\/h4>\n
En el sistema debemos tener instalado anacron o cron, si tenemos ambos simultaneamente (aunque uno de los dos demonios est\u00e9 parado) no se ejecutaran las tareas de \/etc\/cron.daily, weekly, etc.. (debido a como viene por defecto \/etc\/crontab). En nuestro caso, al ser un servidor y estar siempre en marcha usaremos cron:<\/p>\n
\r\napt-get purge anacron\r\napt-get install cron\r\n<\/pre>\n
La pol\u00edtica de gesti\u00f3n de logs ser\u00e1:<\/p>\n
- \n
- Rotaci\u00f3n mensual<\/li>\n
- Mantenimiento de las \u00faltimas 24 copias (2 a\u00f1os de log)<\/li>\n
- Incorporar la fecha de creaci\u00f3n al nombre del fichero<\/li>\n<\/ul>\n
Preparamos las tareas de rotacion de log a ejecutar por cron de forma mensual:<\/p>\n
\r\nchmod 644 \/etc\/cron.daily\/sysklogd\r\nchmod 644 \/etc\/cron.weekly\/sysklogd\r\ncp \/etc\/cron.weekly\/sysklogd \/etc\/cron.monthly\/\r\nchmod 755 \/etc\/cron.monthly\/sysklogd\r\n<\/pre>\n
Editamos ‘\/etc\/cron.monthly\/sysklogd’ y modificamos la linea que llama a save_log para incluir en la rotaci\u00f3n todos los ficheros log gestionados por syslogd:<\/p>\n
\r\nlogs=$(syslogd-listfiles --weekly)\r\n<\/pre>\n
por:<\/p>\n
\r\nlogs=$(syslogd-listfiles --all)\r\n<\/pre>\n
Tambi\u00e9n modificaremos:<\/p>\n
\r\n savelog -g adm -m 640 -u ${USER} -c 4 $LOG >\/dev\/null\r\n<\/pre>\npor:<\/p>\n
\r\n # Rotate monthly (script placed at \/etc\/cron.monthly\/)\r\n # Keep 24 copies: -c 24\r\n # Clean older copies than 24: -C\r\n # Add date instead of .0 .1: -d\r\n # Create a new file owned by adm and syslog with permission 640\r\n savelog -g adm -m 640 -u ${USER} -c 24 -d -C $LOG >\/dev\/null\r\n<\/pre>\nDe esta forma, syslogd cumplir\u00e1 con la pol\u00edtica de gesti\u00f3n de logs que hemos definido.<\/p>\n
Mediante ‘syslogd-listfiles –all’ podemos ver todos los ficheros que ser\u00e1n rotados, por ejemplo:<\/p>\n
\r\n\/var\/log\/mail.warn\r\n\/var\/log\/uucp.log\r\n\/var\/log\/user.log\r\n\/var\/log\/daemon.log\r\n\/var\/log\/messages\r\n\/var\/log\/debug\r\n\/var\/log\/auth.log\r\n\/var\/log\/mail.err\r\n\/var\/log\/syslog\r\n\/var\/log\/mail.log\r\n\/var\/log\/mail.info\r\n\/var\/log\/kern.log\r\n\/var\/log\/lpr.log\r\n<\/pre>\n
El resto de logs que no son generados por syslogd, los gestionaremos a trav\u00e9s de logrotate.<\/p>\n
Editamos \/etc\/logrotate.conf y establecemos la pol\u00edtica general de logs:<\/p>\n
\r\n# rotate log monthly\r\nmonthly\r\n# keep 24 months of backlog\r\nrotate 24\r\n\r\n# uncomment this if you want your log files compressed\r\ncompress\r\n\r\n# Postpone compression of the previous log file to the next rotation cycle\r\ndelaycompress\r\n\r\n\r\n\r\n\r\n\r\n\r\n# create new (empty) log files after rotating old ones\r\ncreate\r\n\r\n# uncomment this if you want your log files compressed\r\ncompress\r\n\r\n# Postpone compression of the previous log file to the next rotation cycle\r\ndelaycompress\r\n\r\n# Archive old versions of log files adding a daily extension like YYYYMMDD instead of simply adding a number.\r\ndateext\r\n\r\n# Rotate the log file even if it is empty\r\nifempty\r\n\r\n# packages drop log rotation information into this directory\r\ninclude \/etc\/logrotate.d\r\n\r\n# no packages own wtmp, or btmp -- we'll rotate them here\r\n\/var\/log\/wtmp {\r\n missingok\r\n# monthly\r\n create 0664 root utmp\r\n# rotate 1\r\n}\r\n\r\n\/var\/log\/btmp {\r\n missingok\r\n# monthly\r\n create 0664 root utmp\r\n# rotate 1\r\n}\r\n<\/pre>\nEn ‘\/etc\/logrotate.d’ tenemos ficheros con los logs a rotar y en algunos casos, con pol\u00edticas concretas diferentes a la global. Para nos aseguramos que no haya pol\u00edticas diferentes a la global para logs espec\u00edficos podemos ejecutar:<\/p>\n
\r\nfind \/etc\/logrotate.d\/ -type f -exec sed -i 's\/daily\/#daily\/g' {} ;\r\nfind \/etc\/logrotate.d\/ -type f -exec sed -i 's\/weekly\/#weekly\/g' {} ;\r\nfind \/etc\/logrotate.d\/ -type f -exec sed -i 's\/monthly\/#monthly\/g' {} ;\r\nfind \/etc\/logrotate.d\/ -type f -exec sed -i 's\/rotate\/#rotate\/g' {} ;\r\n\r\nfind \/etc\/logrotate.d\/ -type f -exec sed -i 's\/post#rotate\/postrotate\/g' {} ;\r\nfind \/etc\/logrotate.d\/ -type f -exec sed -i 's\/pre#rotate\/prerotate\/g' {} ;\r\n\r\nfind \/etc\/logrotate.d\/ -type f -exec sed -i 's\/notifempty\/#notifempty\/g' {} ;\r\nfind \/etc\/logrotate.d\/ -type f -exec sed -i 's\/size\/#size\/g' {} ;\r\n<\/pre>\nCabe destacar que es necesario revisar la configuraci\u00f3n existente en ‘\/etc\/logrotate.d’ por si faltase realizar alguna modificaci\u00f3n extra (p.ej. logs extra de apache como ‘\/var\/log\/apache2\/localhost\/*.log’).<\/p>\n
Del resto de logs del sistema que queramos rotar y no est\u00e9n ya incluidos, tendremos que crear un fichero nuevo en ‘\/etc\/logrotate.d’ indic\u00e1ndolo (en general, todo paquete de Ubuntu ya viene preparado para que sus logs sean gestionados autom\u00e1ticamente por syslogd o logrotate). Es importante tener en cuenta que no debemos rotar:<\/p>\n
- \n
- Binarios como \/var\/log\/faillog o \/var\/log\/lastlog<\/li>\n
- Logs de nagios dado que romper\u00edamos el historial interno. Mejor que lo gestione la propia aplicaci\u00f3n directamente.<\/li>\n
- Logs generados directamente por syslogd (como hemos visto antes). Visualizar con syslogd-listfiles –all<\/li>\n<\/ul>\n
An\u00e1lisis de logs de Apache mediante Awstats<\/h5>\n
Con awstats podremos ver las visitas, tr\u00e1fico y otros aspectos relacionados con cada uno de los dominios virtuales que tengamos configurados en Apache. Para su instalaci\u00f3n presuponemos que ya tenemos configurado Apache y que awstats va ser accesible \u00fanicamente de forma local:<\/p>\n
\r\napt-get install awstats\r\nmkdir \/var\/lib\/awstats\/localhost\r\nchown www-data:www-data \/var\/lib\/awstats\/localhost\r\n<\/pre>\n
Creamos ‘\/etc\/awstats\/awstats.localhost.conf’ apuntando al log que queramos analizar:<\/p>\n
\r\nLogFile=\"\/var\/log\/apache2\/localhost\/access.log\"\r\nLogFormat=1\r\nDNSLookup=1\r\nDirData=\"\/var\/lib\/awstats\/localhost\"\r\nDirCgi=\"\/cgi-bin\"\r\nDirIcons=\"\/icon\"\r\nSiteDomain=\"localhost\"\r\nAllowToUpdateStatsFromBrowser=1\r\nAllowFullYearView=3\r\n<\/pre>\n
Copiamos iconos b\u00e1sicos:<\/p>\n
\r\ncp -r \/usr\/share\/awstats\/icon \/var\/www\/localhost\/\r\n<\/pre>\n
Actualizamos output HTML:<\/p>\n
\r\n\/usr\/lib\/cgi-bin\/awstats.pl -config=localhost -update\r\n<\/pre>\n
Creamos el fichero ‘\/etc\/apache2\/conf.d\/awstats.conf’ con el siguiente contenido:<\/p>\n
\r\nScriptAlias \/cgi-bin\/awstats.pl \/usr\/lib\/cgi-bin\/awstats.pl\r\n<\/pre>\n
Reiniciamos apache:<\/p>\n
\r\n\/etc\/init.d\/apache2 restart\r\n<\/pre>\n
Y accedemos a la web mediante ‘http:\/\/localhost:8080\/cgi-bin\/awstats.pl?config=localhost’.<\/p>\n
Para que se actualice peri\u00f3dicamente el an\u00e1lisis de Awstats, editamos \/etc\/cron.d\/awstats (cada noche):<\/p>\n
\r\n0 1 * * * www-data \/usr\/lib\/cgi-bin\/awstats.pl -config=localhost -update >\/dev\/null\r\n<\/pre>\n
Env\u00edo por correo de los eventos m\u00e1s significativos con logcheck<\/h5>\n
Con logcheck podremos resumir los eventos del sistema registrados en los logs y enviarlos a nuestro correo de forma diaria:<\/p>\n
\r\napt-get install logcheck logcheck-database\r\n<\/pre>\n
Editamos ‘\/etc\/logcheck\/logcheck.logfiles’:<\/p>\n
\r\n# Estos 2 ficheros incluyen todos los mensajes enviados a syslog ()\/etc\/syslog.conf)\r\n\/var\/log\/syslog\r\n\/var\/log\/auth.log\r\n# Apache\r\n\/var\/log\/apache2\/error.log\r\n\/var\/log\/apache2\/localhost\/error.log\r\n# MySQL\r\n#\/var\/log\/mysql\/mysql.log # En debian, si descomentas la linea de log de \/etc\/mysql\/my.cnf, el log va por syslog\r\n#\/var\/log\/mysql\/mysql-slow.log\r\n<\/pre>\n
La tarea cron que se encarga de la ejecuci\u00f3n diaria es ‘\/etc\/cron.d\/logcheck’.<\/p>\n
Por otra parte, la configuraci\u00f3n de logcheck se encuentra en ‘\/etc\/logcheck\/logcheck.conf’:<\/p>\n
\r\n# Controls the address mail goes to:\r\n# *NOTE* the script does not set a default value for this variable!\r\n# Should be set to an offsite \"emailaddress@some.domain.tld\"\r\n\r\nSENDMAILTO=\"miusuario\"\r\n\r\n# Send the results as attachment or not.\r\n# 0=not as attachment; 1=as attachment\r\n# Default ist 0\r\nMAILASATTACH=1\r\n<\/pre>\n
Una vez configurado, podemos probar su funcionamiento ejecutando:<\/p>\n
\r\nsudo -u logcheck logcheck\r\n<\/pre>\n
Logcheck incorpora por defecto toda una serie de reglas para la selecci\u00f3n o el descarte de las lineas del log a enviar en el resumen. Es posible que nos interese refinar estas reglas, haciendo que sean descartadas cadenas que no nos aporten nada. Por ejemplo, veamos como ignorar las lineas generadas por el firewall o nagios (ver secciones correspondientes), dado que esa informaci\u00f3n ya la analizamos con otras herramientas.<\/p>\n
Creamos ‘\/etc\/logcheck\/ignore.d.server\/000-custom’ y a\u00f1adimos:<\/p>\n
\r\n^w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: [FW:[ ._[:alnum:]-]+]\r\n^w{3} [ :0-9]{11} [._[:alnum:]-]+ nagios2: CURRENT SERVICE STATE:\r\n^w{3} [ :0-9]{11} [._[:alnum:]-]+ nagios2: CURRENT HOST STATE:\r\n^w{3} [ :0-9]{11} [._[:alnum:]-]+ nagios2: Warning: A system time change of [0-9]+ seconds (backwards in time) has been detected. Compensating...\r\n<\/pre>\nSi queremos incluir m\u00e1s reglas, podemos validarlas contra el log que nos interese:<\/p>\n
\r\nsed -e 's\/[[:space:]]*$\/\/' \/var\/log\/ulog\/syslogemu.log | egrep '^w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: [FW:[ ._[:alnum:]-]+]'\r\nsed -e 's\/[[:space:]]*$\/\/' \/var\/log\/syslog | egrep '^w{3} [ :0-9]{11} [._[:alnum:]-]+ nagios2: CURRENT SERVICE STATE:'\r\nsed -e 's\/[[:space:]]*$\/\/' \/var\/log\/syslog | egrep '^w{3} [ :0-9]{11} [._[:alnum:]-]+ nagios2: CURRENT HOST STATE:'\r\nsed -e 's\/[[:space:]]*$\/\/' \/var\/log\/syslog | egrep '^w{3} [ :0-9]{11} [._[:alnum:]-]+ nagios2: Warning: A system time change of [0-9]+ seconds (backwards in time) has been detected. Compensating...'\r\n<\/pre>\nSi la regla funciona, aparecer\u00e1n los mensajes que queremos eliminar.<\/p>\n
8. Monitorizaci\u00f3n del sistema<\/a><\/h3>\n
Actualizaci\u00f3n autom\u00e1tica de la lista de paquetes del sistema<\/h4>\n
Para comprobar que nuestro sistema se encuentra actualizado, primero necesitamos que se actualice la lista de paquetes autom\u00e1ticamente. Creamos ‘\/etc\/apt\/apt.conf.d\/10periodic’:<\/p>\n
\r\nAPT::Periodic::Update-Package-Lists \"1\";\r\nAPT::Periodic::Download-Upgradeable-Packages \"0\";\r\nAPT::Periodic::AutocleanInterval \"0\";\r\n<\/pre>\n
De esta forma se actualizar\u00e1 el listado de paquetes (apt-get update) cada d\u00eda mediante el fichero ‘\/etc\/cron.daily\/apt’.<\/p>\n
Si hemos instalado nagios (ver Secci\u00f3n correspondiente), este nos informar\u00e1 de cuando hay paquetes pendientes de ser actualizados.<\/p>\n
Aviso de actualizaciones pendientes<\/h4>\n
Con apticron podremos hacer que el sistema nos env\u00ede un correo cada vez que se disponga de paquetes pendientes de ser actualizados (p.ej. parches de seguridad):<\/p>\n
\r\napt-get install apticron \r\n<\/pre>\n
Para su uso necesitamos tener configurado un servidor de correo (SMTP), podemos configurar un postfix (ver secci\u00f3n anterior de servicios) o utilizar ssmtp para conectar contra un servidor de correo ya configurado.<\/p>\n
En el segundo caso, instalamos mediante ‘apt-get install ssmtp’ y editamos ‘\/etc\/ssmtp\/ssmtp.conf’:<\/p>\n
\r\n# Config file for sSMTP sendmail\r\n#\r\n# The person who gets all mail for userids < 1000\r\n# Make this empty to disable rewriting.\r\nroot=miusuario\r\n\r\n# The place where the mail goes. The actual machine name is required no\r\n# MX records are consulted. Commonly mailhosts are named mail.domain.com\r\nmailhub=servidor.correo.com:25\r\n\r\n# Where will the mail seem to come from?\r\n#rewriteDomain=nonsense.non\r\n\r\n# The full hostname\r\nhostname=el.dominio.de.esta.maquina.com\r\n\r\n# Are users allowed to set their own From: address?\r\n# YES - Allow the user to specify their own From: address\r\n# NO - Use the system generated From: address\r\nFromLineOverride=NO\r\n<\/pre>\n
En el fichero anterior indicamos a quien redirigimos los correos de root, el servidor de correo que utilizaremos y el dominio con el que saldr\u00e1n los correos de la m\u00e1quina actual. <\/p>\n
Tanto si ya tenemos un servidor postfix configurado como si hemos optado por SSMTP, debemos probar que el comando 'mail' nos permite enviar correos:<\/p>\n
\r\necho \"Prueba\" | mail -s \"Prueba\" miusuario@otrolugar.com\r\n<\/pre>\n
Una vez validado, podemos continuar con la configuraci\u00f3n de apticron editando ‘\/etc\/apticron\/apticron.conf’ y estableciendo el correo al que queremos recibir las alertas:<\/p>\n
\r\nEMAIL=\"miusuario@otrolugar.com\"\r\n<\/pre>\n
Esto es todo. Cron ejecutar\u00e1 diariamente el script ‘\/etc\/cron.daily\/apticron’, el cual comprobar\u00e1 las actualizaciones pendientes y enviar\u00e1 un correo en caso de que sea necesario.<\/p>\n
Cabe destacar que para que funcione, el sistema debe estar configurado para que actualice autom\u00e1ticamente el listado de paquetes (ver secci\u00f3n anterior).<\/p>\n
Monitorizar desde la consola<\/h4>\n
Espacio en disco<\/h5>\n
Para la monitorizaci\u00f3n del espacio en disco podemo usar los comandos:<\/p>\n
\r\ndf -h\r\ndu -ms\r\n<\/pre>\n
El primero muestra el estado de todas las particiones, el segundo presenta los megas que ocupa el directorio actual.<\/p>\n
Puede que nos interese ordenar los directorios en funci\u00f3n de su tama\u00f1o, para ello podemos descargar un script espec\u00edfico:<\/p>\n
\r\ncd \/usr\/local\/bin\r\nwget http:\/\/www.pixelbeat.org\/scripts\/dutop\r\nchmod 755 \/usr\/local\/bin\/dutop\r\n<\/pre>\n
Que al ejecutar facilita la siguiente informaci\u00f3n:<\/p>\n
\r\n# dutop\r\n27% 183.8M .\/Fotos\r\n26% 180.5M .\/Fotos.zip \r\n19% 135.0M .\/Documentos\r\n 5% 37.4M .\/Trabajo\r\n 5% 35.6M .\/Musica \r\n<\/pre>\n
CPU<\/h5>\n
La monitorizaci\u00f3n de la CPU (m\u00e1s otros par\u00e1metros) podemos llevarla a cabo mediante ‘top’ o ‘htop’:<\/p>\n
\r\napt-get install htop\r\n<\/pre>\n
Ancho de banda \/ Bandwidth<\/h5>\n
Aplicaciones recomendadas:<\/p>\n
\r\napt-get install bwm-ng\r\n<\/pre>\n
Y tambi\u00e9n:<\/p>\n
\r\napt-get install jnettop\r\n<\/pre>\n
Para este \u00faltimo debemos crear el fichero ‘~\/.jnettop’:<\/p>\n
\r\n#interface \"eth0\"\r\n# Show IP and Ports per separate\r\nlocal_aggregation none\r\n# I don't care about remote port\r\nremote_aggregation port\r\n# Do not generate more traffic resolving every IP\r\nresolve off\r\n<\/pre>\n
Al ejecutar jnettop podemos interactuar con la aplicaci\u00f3n para cambiar los par\u00e1metros establecidos. Por ejemplo:<\/p>\n
- \n
- ‘l’: cambia la agregaci\u00f3n local<\/li>\n
- ‘r’: cambia la agregaci\u00f3n remota<\/li>\n<\/ul>\n
Conexiones de red<\/h5>\n
Conexiones de la m\u00e1quina:<\/p>\n
\r\n# netstat -atunp\r\n<\/pre>\n
Si la m\u00e1quina se encuentra haciendo NAT en una red, podemos ver tambi\u00e9n las conexiones “NATeadas”:<\/p>\n
\r\n# apt-get install netstat-nat\r\n# netstat-nat -N\r\n<\/pre>\n
Si hemos configurado el firewall con iptables (ver secci\u00f3n correspondiente), podremos ver las conexiones controladas por el m\u00f3dulo CONNTRACK:<\/p>\n
\r\n# apt-get install iptstate\r\n# iptstate\r\n<\/pre>\n
Memoria RAM \/ Swap<\/h5>\n
Para obtener un listado de los procesos del sistema ordenados por la memoria consumida:<\/p>\n
\r\n\r\nps -A --sort=-rsz -o pid,vsz,rssize,pmem,comm\r\n<\/pre>\n
Cada par\u00e1metro indica:<\/p>\n
- \n
- pid: Process ID<\/li>\n
- vsz: Virtual Memory Size (includes RAM & Swap)<\/li>\n
- rssize: Resident Memory Size (only RAM)<\/li>\n
- pmem: Ratio of the process\u2019s resident set size to the physical memory on the machine<\/li>\n<\/ul>\n
Para ver la memoria total utilizada tenemos dos opciones:<\/p>\n
\r\n# vmstat -S M \r\nprocs -----------memory---------- ---swap-- -----io---- -system-- ----cpu----\r\n r b swpd free buff cache si so bi bo in cs us sy id wa\r\n 0 0 34 6 12 134 0 0 348 60 556 521 10 1 75 14\r\n<\/pre>\n
\r\n# free -m\r\n total used free shared buffers cached\r\nMem: 502 494 8 0 12 132\r\n-\/+ buffers\/cache: 349 153\r\nSwap: 972 34 938\r\n<\/pre>\n
Cada columna significa:<\/p>\n
- \n
- Cache: Bloques de informaci\u00f3n le\u00eddos del disco duro<\/li>\n
- Buffer: Memoria temporal utilizada por el kernel (p.ej. comunicaciones con dispositivos, envio\/recepci\u00f3n de informaci\u00f3n por red, etc.)<\/li>\n
- Swap: Cuando la memoria RAM escasea, el kernel transfiere partes de la memoria RAM a la memoria SWAP, la cual realmente se encuentra en el disco duro y por tanto es mucho m\u00e1s lenta (pero nos permite cargar m\u00e1s aplicaciones de las que podriamos con nuestra RAM actual).<\/li>\n<\/ul>\n
Cuando se requiere m\u00e1s memoria, el kernel debe decidir si reducir la cache\/buffers o enviar bloques de memoria a la Swap. Esta decisi\u00f3n se encuentra parametrizada mediante el valor swappines:<\/p>\n
\r\ncat \/proc\/sys\/vm\/swappiness\r\n<\/pre>\n
Habitualmente su valor es de 60, pero puede situarse entre 0 (poco probable que se realice swap) y 100 (m\u00e1xima prioridad a realizar swap). Seg\u00fan las aplicaciones de nuestro sistema quiz\u00e1s nos interese cambiarlo, p.ej. en un desktop, cuando se ejecutan procesos cron que consumen mucho disco duro (por ejemplo slocate), la cache crecer\u00e1 y puede que se env\u00eden aplicaciones a la swap (swap-in) y el usuario notar\u00e1 una ralentizaci\u00f3n notable del sistema en el momento que quiera acceder a ellas (swap-out). Para cambiar el par\u00e1metro:<\/p>\n
\r\n# echo \"10\" > \/proc\/sys\/vm\/swappiness\r\n# cat \/proc\/sys\/vm\/swappiness\r\n<\/pre>\n
Este cambio se perder\u00e1 en el siguiente reinicio, para que sea permanente editamos \/etc\/sysctl.conf y a\u00f1adimos la linea:<\/p>\n
\r\nvm.swappiness=10\r\n<\/pre>\n
‘ps_mem’ es un script (python) que imprime el total de memoria RAM sumarizada por proceso padre (p.ej. si apache realiza varios forks, al mostrar la informaci\u00f3n los unificar\u00e1):<\/p>\n
\r\ncd \/usr\/local\/bin\r\nwget http:\/\/www.pixelbeat.org\/scripts\/ps_mem.py\r\nchmod 755 \/usr\/local\/bin\/ps_mem.py\r\n<\/pre>\n
Resultado de ejemplo:<\/p>\n
\r\n# ps_mem.py |less\r\nWarning: Shared memory is slightly over-estimated by this system\r\nfor each program, so totals are not reported.\r\n Private + Shared = RAM used Program \r\n\r\n 68.0 KiB + 320.0 KiB = 388.0 KiB klogd\r\n116.0 KiB + 288.0 KiB = 404.0 KiB atd\r\n 80.0 KiB + 416.0 KiB = 496.0 KiB mysqld_safe\r\n 88.0 KiB + 416.0 KiB = 504.0 KiB dd\r\n 68.0 KiB + 436.0 KiB = 504.0 KiB logger\r\n152.0 KiB + 520.0 KiB = 672.0 KiB syslogd\r\n 96.0 KiB + 584.0 KiB = 680.0 KiB init\r\n152.0 KiB + 720.0 KiB = 872.0 KiB less\r\n208.0 KiB + 740.0 KiB = 948.0 KiB cron\r\n308.0 KiB + 1.3 MiB = 1.6 MiB pickup\r\n332.0 KiB + 1.3 MiB = 1.7 MiB master\r\n352.0 KiB + 1.4 MiB = 1.7 MiB qmgr\r\n 1.2 MiB + 856.0 KiB = 2.0 MiB screen (2)\r\n780.0 KiB + 2.3 MiB = 3.0 MiB sshd (3)\r\n 1.2 MiB + 1.9 MiB = 3.1 MiB mutt\r\n 1.8 MiB + 2.3 MiB = 4.1 MiB snmpd\r\n840.0 KiB + 7.0 MiB = 7.8 MiB apache2 (6)\r\n 9.0 MiB + 1.4 MiB = 10.4 MiB bash (6)\r\n 15.4 MiB + 5.1 MiB = 20.6 MiB mysqld\r\n<\/pre>\n
Monitorizaci\u00f3n en tiempo real: Nagios<\/h4>\n
Con Nagios podemos monitorizar diversos sistemas en tiempo real, generando alertas cuando se incumpla alguno de los par\u00e1metros especificados. Tambi\u00e9n vale la pena considerar la opci\u00f3n de utilizar Monit<\/a> en su lugar.<\/p>\n
\r\n# apt-get install nagios2 nagios-images nagios-plugins\r\n<\/pre>\n
Configuramos un usuario para nagios:<\/p>\n
\r\n# sudo htpasswd -c \/etc\/nagios2\/htpasswd.users nagiosadmin\r\nNew password: \r\nRe-type new password: \r\nAdding password for user nagiosadmin\r\n<\/pre>\n
Preparamos el sistema:<\/p>\n
\r\n# chown nagios:nagios \/var\/log\/nagios2\/\r\n# chown -R nagios:www-data \/var\/cache\/nagios2\/\r\n\r\n# cd \/bin\/\r\n# ln -s \/usr\/bin\/mail mail\r\n<\/pre>\n
Creamos nuestra configuraci\u00f3n espec\u00edfica:<\/p>\n
\r\nmkdir \/etc\/nagios2\/mysite\r\ncd \/etc\/nagios2\/mysite\r\ncp \r\ncp ..\/conf.d\/contacts_nagios2.cfg contacts.cfg\r\ncp ..\/conf.d\/timeperiods_nagios2.cfg timeperiods.cfg\r\ncp ..\/conf.d\/localhost_nagios2.cfg localhost.cfg\r\ncp ..\/conf.d\/generic-service_nagios2.cfg generic-service.cfg\r\ncp ..\/conf.d\/generic-host_nagios2.cfg generic-host.cfg\r\n<\/pre>\n
En estos ficheros de configuraci\u00f3n especificaremos los servidores y servicios que queremos monitorizar. Para una gu\u00eda m\u00e1s detallada consultar el wiki de Ubuntu sobre Nagios<\/a> para as\u00ed configurar Nagios seg\u00fan nuestras necesidades..<\/p>\n
Hay que tener en cuenta que si alguno de los servicios a comprobar es una mysql, debemos asegurarnos que nagios tiene su propio usuario con acceso:<\/p>\n
\r\nmysql -u root -p\r\n\r\nCREATE USER 'nagios'@'localhost';\r\nFLUSH PRIVILEGES;\r\n<\/pre>\n
Nagios depende de apache, dado que su interfaz principal es via web. Para ello apache va a requerir algunos m\u00f3dulos extra:<\/p>\n
\r\na2enmod auth_basic\r\na2enmod authn_file\r\na2enmod authz_default\r\na2enmod authz_groupfile\r\na2enmod authz_host\r\na2enmod authz_user\r\na2enmod cgi\r\na2enmod alias\r\n\r\n\/etc\/init.d\/apache2 restart\r\n<\/pre>\n
Una vez configurado, la puesta en marcha:<\/p>\n
\r\n# \/etc\/init.d\/nagios2 stop\r\n# \/etc\/init.d\/nagios2 start\r\n<\/pre>\n
Cabe destacar que los plugins de nagios se encuentran en ‘\/usr\/lib\/nagios\/plugins’, y puede que nos interese tener soporte SNMP (ver secci\u00f3n SNMP):<\/p>\n
\r\napt-get install nagios-snmp-plugins\r\n<\/pre>\n
Ancho de banda consumido con Bandwidthd<\/h5>\n
Bandwidthd dibuja gr\u00e1ficas y tablas HTML con el tr\u00e1fico generado, as\u00ed podemos controlar lo que sucede en el servidor:<\/p>\n
\r\napt-get install bandwidthd\r\ncd \/var\/www\r\nln -s \/var\/lib\/bandwidthd\/htdocs\/ bandwidthd\r\n<\/pre>\n
Configuraci\u00f3n en \/etc\/bandwidthd\/bandwidthd.conf:<\/p>\n
\r\nsubnet 0.0.0.0\/0\r\n<\/pre>\n
Cabe destacar que bandwithd consume bastante memoria RAM (200 MB aprox. de media) y quiz\u00e1s con otras herramientas como Cacti ya tenemos informaci\u00f3n suficiente sobre el ancho de banda.<\/p>\n
SNMP<\/h4>\n
SNMP es un protocolo que permite monitorizar servidores y dispositivos de red de forma remota. Nos puede resultar \u00fatil activarlo en nuestra m\u00e1quina de forma local para que sea utilizado en conjunto con Nagios y\/o Cacti. <\/p>\n
\r\n# apt-get install snmpd snmp\r\n<\/pre>\n
Nos aseguramos que solo sea accesible por localhost \/etc\/default\/snmpd y desactivamos los m\u00f3dulos smux, ipv6 :<\/p>\n
\r\n\r\n# snmpd options (use syslog, close stdin\/out\/err).\r\n# Log by Syslog only: warning messages, errors, alerts and critical.\r\n# ingore: notice info and debug\r\nSNMPDOPTS='-Ls 01234 -Lf \/dev\/null -A -u snmp -I -smux,ipv6 -p \/var\/run\/snmpd.pid 127.0.0.1'\r\n<\/pre>\n
En la configuraci\u00f3n ‘\/etc\/snmp\/snmpd.conf’ indicamos::<\/p>\n
\r\n## sec.name source community\r\n## ======== ====== =========\r\n#com2sec local localhost public\r\n#com2sec network_1 172.16.1.0\/24 public\r\n#com2sec network_2 192.168.2.0\/24 public\r\n\r\n## Access.group.name sec.model sec.name\r\n## ================= ========= ========\r\n#group MyROGroup_1 v1 local\r\n#group MyROGroup_1 v1 network_1\r\n#group MyROGroup_2 v2c network_2\r\n\r\n## MIB.view.name incl\/excl MIB.subtree mask\r\n## ============== ========= =========== ====\r\n#view all-mibs included .1 80\r\n\r\n## MIB \r\n## group.name context sec.model sec.level prefix read write notif\r\n## ========== ======= ========= ========= ====== ==== ===== =====\r\n\r\n#access MyROGroup_1 \"\" v1 noauth exact all-mibs none none\r\n#access MyROGroup_2 \"\" v2c noauth exact all-mibs none none\r\n#\r\n\r\nrocommunity public\r\n\r\nsyslocation NewYork\r\nsyscontact admin@localhost\r\n\r\n\r\n#ignoredisk \/dev\/rdsk\/c0t2d0\r\ndisk \/\r\n#disk \/usr\r\n#disk \/var\r\n\r\nproc apache2\r\nproc mysqld\r\n<\/pre>\n
La configuraci\u00f3n anterior hace que SNMP sea accesible en modo lectura para cualquier usuario, adem\u00e1s monitorizar\u00e1 el disco principal “\/” y los procesos apache2 y mysqld.<\/p>\n
Reiniciamos el servicio:<\/p>\n
\r\n\/etc\/init.d\/snmpd restart\r\n<\/pre>\n
Si queremos lanzar consultas SNMP desde la terminal:<\/p>\n
\r\nsnmpwalk -v 1 -c public localhost interface|less\r\nsnmpwalk -v 1 -c public localhost system|less\r\nsnmpget -v 1 -c const1payted localhost ifPhysAddress.2\r\n<\/pre>\n
Para una explicaci\u00f3n m\u00e1s detallada vale la pena leer el siguiente tutorial: Monitoring Server Performance<\/a>.<\/p>\n
Soporte ‘Devices I\/O’ en net-snmp<\/h5>\n
En Ubuntu, net-snmp no viene compilado con soporte para proporcionar informaci\u00f3n de I\/O de los dispositivos del sistema (disco duro). Tenemos la opci\u00f3n de recompilar activando la funcionalidad, o delegar esta tarea a un script que consultar\u00e1 \/proc\/diskstats. Optamos por la segunda por su sencillez:<\/p>\n
Editamos\/etc\/snmp\/snmpd.conf y a\u00f1adimos al final:<\/p>\n
\r\npass .1.3.6.1.4.1.2021.13.15 \/usr\/local\/bin\/snmp-diskio-collector\r\n<\/pre>\n
Creamos el script \/usr\/local\/bin\/snmp-diskio-collector<\/a>:<\/p>\n
\r\n#!\/bin\/sh\r\n\r\n# by Jamie Wilkinson jamie @anchor.net.au\r\n# this code is in the public domain\r\n# based on passtest from the net-snmp distribution examples\r\n# WARNING there is shitloads of IO required to get this information :)\r\n\r\ndebug_flag=0\r\n\r\ndebug () {\r\n if [ $debug_flag -eq 1 ]; then\r\n echo $* >> \/tmp\/snmp-diskio-collector-debug.log\r\n fi\r\n}\r\n\r\nPLACE=\".1.3.6.1.4.1.2021.13.15\"\r\nREQ=\"$2\"\r\n\r\ndebug\r\ndebug \"new run\" \r\ndebug \"args $*\" \r\nif [ \"$1\" = \"-s\" ]; then\r\n exit 0\r\nfi\r\n\r\n# the 'tail' of the oid, everything after $PLACE\r\noidtail=`echo $REQ | sed \"s\/^$PLACE\/\/\"`\r\ndebug \"oidtail=$oidtail\" \r\n\r\n# number of devices we can export\r\ndevcount=`wc -l \/proc\/diskstats | cut -f1 -d' '`\r\ndebug \"devcount=$devcount\" \r\n\r\nitem=`echo $oidtail | cut -f4 -d.`\r\nindex=`echo $oidtail | cut -f5 -d.`\r\ndebug \"oidtail=$oidtail, item=$item, index=$index\" \r\n\r\nif [ \"$1\" = \"-n\" ]; then\r\n if [ -z \"$item\" ]; then\r\n item=1\r\n index=1\r\n elif [ -z \"$index\" ]; then\r\n index=1\r\n else\r\n index=`expr $index + 1`\r\n if [ \"$index\" -gt \"$devcount\" ]; then\r\n index=1\r\n item=`expr $item + 1`\r\n if [ \"$item\" -gt 6 ]; then\r\n # break out of the loop\r\n exit 0;\r\n fi\r\n fi\r\n fi\r\n RET=$PLACE.1.1.$item.$index\r\nelse\r\n case \"$REQ\" in\r\n $PLACE) exit 0;;\r\n *) RET=$REQ ;;\r\n esac\r\nfi\r\n\r\ndebug \"after -n, item=$item, index=$index\" \r\ndebug \"RET is now $RET\" \r\n\r\necho \"$RET\"\r\n\r\ndebug \"oidtail=$oidtail, item=$item, index=$index\" \r\n\r\n# awk uses this variable in the environment below\r\nexport index\r\n# see linux kernel Documentation\/iostats.txt for format\r\nif [ -n \"$index\" ]; then\r\n case \"$item\" in\r\n 1)\r\n # diskIOIndex\r\n debug \"result: diskIOIndex $index\" \r\n echo \"integer\"\r\n echo $index\r\n exit 0\r\n ;;\r\n 2)\r\n # diskIODevice\r\n debug \"result: diskIODevice $index\" \r\n echo \"string\"\r\n awk 'FNR == ENVIRON[\"index\"] { print $3 }' \/proc\/diskstats\r\n exit 0\r\n ;;\r\n 3)\r\n # diskIONRead\r\n debug \"result: diskIONRead $index\" \r\n echo \"counter\"\r\n awk 'FNR == ENVIRON[\"index\"] { print $6 }' \/proc\/diskstats\r\n exit 0\r\n ;;\r\n 4)\r\n # diskIONWritten\r\n debug \"result: diskIONWritten $index\" \r\n echo \"counter\"\r\n awk 'FNR == ENVIRON[\"index\"] { print $10 }' \/proc\/diskstats\r\n exit 0\r\n ;;\r\n 5)\r\n\r\n # diskIOReads\r\n debug \"result: diskIOReads $index\" \r\n echo \"counter\"\r\n awk 'FNR == ENVIRON[\"index\"] { print $4 }' \/proc\/diskstats\r\n exit 0\r\n ;;\r\n 6)\r\n # diskIOWrites\r\n debug \"result: diskIOWrites $index\" \r\n echo \"counter\"\r\n awk 'FNR == ENVIRON[\"index\"] { print $8 }' \/proc\/diskstats\r\n exit 0\r\n ;;\r\n *) exit 0; #echo \"string\"; echo \"debug... $RET $REQ\"; exit 0 ;;\r\n esac\r\nelse\r\n exit 0\r\nfi\r\n<\/pre>\nDamos permisos de ejecuci\u00f3n y reiniciamos SNMP:<\/p>\n
\r\nchmod 755 \/usr\/local\/bin\/snmp-diskio-collector\r\n\/etc\/init.d\/snmpd restart\r\n<\/pre>\n
Para probar que funciona correctamente:<\/p>\n
\r\nsnmpwalk -m ALL -v1 -c public localhost diskIOTable\r\n<\/pre>\n
Monitorizaci\u00f3n historica: Cacti<\/h4>\n
Cacti es una herramienta que almacena un hist\u00f3rico del estado de diferentes aspecto del sistema local (p.ej. CPU, Memoria, ancho de banda, etc.) o remoto via SNMP. Vale la pena considerar tambi\u00e9n muni<\/a> como alternativa.<\/p>\n
Cacti requerir\u00e1 Apache y SNMP para funcionar (ver secciones correspondientes).<\/p>\n
\r\napt-get install cacti\r\nln -s \/usr\/bin\/php5 \/usr\/bin\/php\r\n<\/pre>\n
Una vez instalado, podemos acceder v\u00eda web por defecto en ‘http:\/\/localhost\/cacti’ (aunque puede variar depende de como configuremos apache).<\/p>\n
A trav\u00e9s de la web, crearemos un “dispositivo SNMP” que realmente ser\u00e1 nuestro sistema y a\u00f1adiremos unas gr\u00e1ficas est\u00e1ndar:<\/p>\n
- \n
- Crear dispositivo “ucd\/net SNMP Host” apuntando a localhost.<\/li>\n
- A\u00f1adir graph templates:
\n1) ucd\/net – CPU Usage
\n2) ucd\/net – Load Average
\n3) ucd\/net – Memory Usage
\n4) Unix – Logged in Users
\n5) Unix – Ping Latency
\n6) Unix – Processes\n<\/li>\n - A\u00f1adir data queries:
\n1) SNMP – Get Mounted Partitions
\n2) SNMP – Get Processor Information
\n3) SNMP – Interface Statistics
\n4) ucd\/net – Get Monitored Partitions\n<\/li>\n - A\u00f1adir gr\u00e1ficas desde “New graphs”<\/li>\n
- Desde “Graph Management”, seleccionar las nuevas gr\u00e1ficas y a\u00f1adirlas al al \u00e1rbol (Place on a Tree)<\/li>\n<\/ul>\n
M\u00e1s informaci\u00f3n en la web de cacti<\/a>.<\/p>\n
Script Device I\/O para cacti<\/h5>\n
Si hemos activado el soporte I\/O para dispositivos (disco duro) en el servicio SNMP, podemos hacer que cacti monitorice tambi\u00e9n esa informaci\u00f3n.<\/p>\n
Lo mejor es seguir las instrucciones del foro de cacti<\/a>, pero a grandes rasgos los pasos a seguir son los siguientes:<\/p>\n
\r\n# cd \/usr\/share\/cacti\/resource\/snmp_queries\/\r\n# wget http:\/\/forums.cacti.net\/download.php?id=2635\r\n# mv download.php?id=2635 Cacti_Net-SNMP_DevIO_v2.zip\r\n# unzip Cacti_Net-SNMP_DevIO_v2.zip\r\n# rm -f *TMPL.xml Cacti_Net-SNMP_DevIO_v2.zip\r\n<\/pre>\n
Desde un PC cliente, descargamos el mismo fichero e importamos via web los ficheros:<\/p>\n
- \n
- ‘net-snmp_devIO-BytesRW_graphTMPL.xml’:\n
\r\nCacti has imported the following items:\r\n\r\nGPRINT Preset\r\n[success] Normal [update]\r\n\r\nData Input Method\r\n[success] Get SNMP Data (Indexed) [update]\r\n\r\nData Template\r\n[success] ucd\/net - Device I\/O [new]\r\n\r\nGraph Template\r\n[success] ucd\/net - Device I\/O - Bytes Read\/Written [new]\r\n<\/pre>\n<\/li>\n
- ‘net-snmp_devIO-ReadsWrites_graphTMPL.xml’\n
\r\nCacti has imported the following items:\r\n\r\nGPRINT Preset\r\n[success] Exact Numbers [update]\r\n\r\nData Input Method\r\n[success] Get SNMP Data (Indexed) [update]\r\n\r\nData Template\r\n[success] ucd\/net - Device I\/O [update]\r\n\r\nGraph Template\r\n[success] ucd\/net - Device I\/O - Reads\/Writes [new]\r\n<\/pre>\n<\/li>\n
- ‘net-snmp_devIO-LoadAVG_graphTMPL’: solo es compatible con sistemas BSD. No lo cargamos en Linux.<\/li>\n<\/ul>\n
Creamos el Data Query mediante “Data Queries – Add”:<\/p>\n
\r\nName: ucd\/net - Get Device I\/O\r\nDescription:\r\nXML Path: <path_cacti>\/resource\/snmp_queries\/net-snmp_devio.xml\r\nData Input Method: Get SNMP Data (indexed)\r\n<\/pre>\n
Pulsamos “Create”. <\/p>\n
Ahora es el momento de a\u00f1adir las gr\u00e1ficas asociadas. En el recuadro associate graph, pulsamos sobre Add y rellenamos el formulario:<\/p>\n
\r\nName: Device I\/O - Bytes Read\/Written\r\nGraph template: ucd\/net Device I\/O - Bytes Read\/Written\r\n<\/pre>\n
Pulsamos Create.<\/p>\n
A continuaci\u00f3n, asociamos las siguientes fuentes seleccionando del desplegable la fuente que concuerde seg\u00fan la descripci\u00f3n y marcando el checkout de la derecha:<\/p>\n
\r\nData Source: Bytes_Read\r\nData Source: Bytes_Written \r\n<\/pre>\n
Volvemos a a\u00f1adir una nueva gr\u00e1fica al Data Query:<\/p>\n
\r\nName: Device I\/O - Reads\/Writes\r\nGraph template: ucd\/net Device I\/O - Reads\/Writes\r\n<\/pre>\n
Asociamos las siguientes fuentes:<\/p>\n
\r\nData Source: Device_Reads\r\nData Source: Device_Writes\r\n<\/pre>\n
Finalmente al Host template “ucd\/net SNMP Host” asociamos la Data Query “ucd\/net – Get Device I\/O “. A partir de aqu\u00ed, todos los nuevos hosts que se asignen la plantilla “ucd\/net SNMP Host”, podran crear gr\u00e1ficas de lectura\/escritura al disco duro.<\/p>\n
9. Seguridad<\/a><\/h3>\n
Cortafuegos \/ Firewall<\/h4>\n
Antes de configurar el cortafuegos, vamos a preparar el sistema ULOG que nos permitir\u00e1 registrar eventos procedentes de iptables:<\/p>\n
\r\napt-get install ulogd ulogd-mysql\r\n<\/pre>\n
Por defecto ULOG viene configurado para que el fichero de log sea ‘\/var\/log\/ulog\/syslogemu.log’. No obstante, ULOG tambi\u00e9n nos permite almacenar la informaci\u00f3n en una MySQL. Para activarlo descomentamos de ‘\/etc\/ulogd.conf’:<\/p>\n
\r\nplugin=\"\/usr\/lib\/ulogd\/ulogd_MYSQL.so\"\r\n<\/pre>\n
Y, en el mismo fichero, configuramos el acceso a la MySQL:<\/p>\n
\r\n[MYSQL]\r\ntable=\"ulog\"\r\npass=\"secret\"\r\nuser=\"ulog\"\r\ndb=\"ulog\"\r\nhost=\"localhost\"\r\n<\/pre>\n
Finalmente, en la MySQL creamos el usuario y la BBDD con su correspondiente estructura:<\/p>\n
\r\nCREATE USER 'ulog'@'localhost' IDENTIFIED BY 'secret';\r\n\r\nGRANT USAGE ON * . * TO 'ulog'@'localhost' IDENTIFIED BY 'secret' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ;\r\n\r\nCREATE DATABASE IF NOT EXISTS `ulog` ;\r\n\r\nGRANT ALL PRIVILEGES ON `ulog` . * TO 'ulog'@'localhost';\r\n\r\nFLUSH PRIVILEGES;\r\n\r\nUSE ulog;\r\n\r\nsource \/usr\/share\/doc\/ulogd-mysql\/mysql.table;\r\n<\/pre>\n
- ‘net-snmp_devIO-BytesRW_graphTMPL.xml’:\n
- Si establecemos un timeout bajo, minimizamos el impacto de los ataques pero puede que algunos CGIs que requieran m\u00e1s tiempo dejen de funcionar (p.ej. 300 segundos):\n
- Listar usuarios no bloqueados:\n
- Expira la contrase\u00f1a de un usuario para obligarle a cambiarla:\n