Userlinux

OpenBSD 4.4: reservas disponibles

Sat, 06 Sep 2008 12:19:56 +0200

Hasta el 1 de noviembre -te�ricamente- no saldr� la nueva versi�n 4.4 de nuestro sistema operativo favorito, sin embargo las reservas ya est�n disponibles.

Comentan en undeadly que la release de este a�o es especialmente simb�lica al coincidir en versi�n con su padre 4.4BSD-Lite (de Junio del 94). Como siempre, con gratas - sorpresas en su interior.

Compilando Gnome2

Fri, 18 Apr 2008 22:37:57 +0200

Cuaderno de bit�cora, 22:46. Esto es una locura, el �nico equipo sobremesa que tengo por casa lleva desde las 14:30 -aproximadamente- compilando Gnome2 (en FreeBSD-7.0) y todav�a no ha acabado.

Ni idea de lo que le queda pero teniendo en cuenta sus 256 Mb. de RAM y el gigahertzio con el que trabaja, es posible que se le haga la noche muuuy larga.

Uptime: New world record

Fri, 29 Feb 2008 19:51:07 +0200

Luego si me encuentro con �nimo explicar� el motivo, pero dejo de administrar este pedazo de uptime y me apetec�a fardar de ello:

# uname
FreeBSD
# uptime
 7:52PM  up 442 days,  8:29, 4 users, load averages: 0.04, 0.06, 0.02

�Qu� todo vaya bien en sus nuevas manos!.

CVS: cvsweb con y sin chroot

Wed, 14 Nov 2007 18:45:48 +0200

CVSweb es un cgi que podemos instalar en el httpd para acceder al c�digo fuente de nuestros repositorios y m�dulos cvs navegando por ellos como si de una p�gina web se tratara (ejemplo).

Al ser un .cgi lo l�gico es que vaya en el directorio cgi-bin/ del servidor, pero esto puede presentar m�s de un problema, bien porque no funcionen enlaces internos, hojas de estilo... y nos obligue a colocar ciertos archivos en ubicaciones predeterminadas que no gustan demasiado, bien porque queramos poner restricciones de acceso a trav�s de .htaccess y presente un inconveniente dentro de cgi-bin.

Instalaci�n

Por ello intentaremos instalar cvsweb fuera de su ubicaci�n determinada y con unas condiciones especiales. Descomprimimos la descarga en donde la queramos instalar. Antes de continuar damos permisos de ejecuci�n al cgi dentro del directorio destino, por ejemplo /var/www/dev.midominio.com/. Hecho esto modificamos el VirtualHost del dominio para que permita ejecutar cgi-scripts:


	...
	
		Options +ExecCGI
		AddHandler cgi-script cgi pl

Ahora colocamos cvsweb.cgi -con los convenientes permisos de ejecuci�n si no queremos obtener un Error 500 ;)- y cvsweb.conf en ese directorio comprobando que ambos se ven (en versiones antiguas con estos 2 ficheros bastaba, ahora es posible que tambi�n haya -al menos- un directorio css/):

# grep cvsweb.conf cvsweb.cgi | head -1
 for ("$mydir/cvsweb.conf", 'cvsweb.conf') {

Ajustando la ruta si fuera necesario (en este caso est�n en la misma ubicaci�n). Editamos tambi�n cvsweb.conf para configurar la ruta en la que est� el repositorio (/cvs/public en este entorno):

# grep Repository cvsweb.conf | more
        'public' => ['Public Repository', '/cvs/public'],

En el siguiente reinicio del servidor web ya estar�a todo funcionando.

Con contrase�a

Ahora queremos proteger nuestro repositorio con una contrase�a para que nadie esp�e el c�digo fuente :P, nos servimos del t�pico .htaccess:

AuthName "Zona Restringida"
AuthType Basic
AuthUserFile conf/users

require user miusuario

Y creamos el archivo conf/users con htpasswd:

# htpasswd -c conf/users miusurio      
New password: 
Re-type new password: 
#

Dos repositorios

Para rizar el rizo ahora quiero dos repositorios, uno con c�digo fuente visible para todo el mundo y otro solo para desarrolladores de ciertos m�dulos, con lo que, dentro del mismo Virtualhost creo dos carpetas distintas public/ y private/.

Las directivas anteriores (Options +ExecCGI y AddHandler cgi-script cgi pl) est�n aplicadas a todo el dominio (subdominio en este caso) as� que no tendr� problema. Dentro de esas carpetas ubicamos los cvsweb y el .htaccess donde corresponda:

# ls -las private/
  4 drwxr-xr-x  2 root  r0sk      512 Nov 14 18:22 .
  4 drwxr-xr-x  4 root  r0sk      512 Nov 12 20:37 ..
  4 -rw-r--r--  1 www   www        88 Nov 12 19:00 .htaccess
192 -r-xr-xr-x  1 root  r0sk    96278 Nov 12 20:06 cvsweb.cgi
 32 -rw-r--r--  1 root  daemon  15557 Nov 12 20:07 cvsweb.conf

# ls -las public/
  4 drwxr-xr-x  2 root  r0sk      512 Nov 12 20:06 .
  4 drwxr-xr-x  4 root  r0sk      512 Nov 12 20:37 ..
192 -r-xr-xr-x  1 root  r0sk    96278 Nov 12 20:06 cvsweb.cgi
 32 -rw-r--r--  1 root  daemon  15557 Nov 12 20:06 cvsweb.conf

Private est� protegido por contrase�a (como hemos visto en el apartado anterior) mientras que Public est� abierto a todo el mundo. Ojo, estoy utilizando dos repositorios cvs distintos:

# cat private/cvsweb.conf | grep Repository
'private' => ['Private Repository', '/cvs/private'],

# cat public/cvsweb.conf | grep Repository
        'public'  => ['Public Repository', '/cvs/public'],

Chrooted httpd

Si tu servidor web est� enjaulado -chrooted- (como por ejemplo el httpd de OpenBSD) tendr�s un poco m�s de trabajo copiando las librer�as necesarias dentro del chroot para que todo funcione. A mayores todas las rutas de configuraci�n ser�n absolutas al chroot (siendo /var/www la jaula, /var/www/conf pasa a ser /conf, etc). Instrucciones de enjaulado:

$ cd /var/www
# mkdir {tmp,usr}
# chown www:www tmp

$ cd /var/www/usr
# mkdir -p {bin,lib,libdata/perl5,libexec}

$ cd /var/www/usr/libdata/perl5
# mkdir -p {File,IPC,Time,warnings,`machine`-openbsd/5.8.6}

$ cd /var/www/usr/bin
# cp -p /usr/bin/{co,cvs,diff,perl,rcsdiff,rlog,uname} .

$ cd /var/www/usr/lib
# cp -p /usr/lib/lib{c,crypto,des,gssapi,krb5,m,perl,util,z}.so* .

$ cd /var/www/usr/libexec
# cp -p /usr/libexec/ld.so .

$ cd /var/www/usr/libdata/perl5
# cp -p /usr/libdata/perl5/{Carp,Exporter,Symbol,base,integer}.pm .
# cp -p /usr/libdata/perl5/{strict,warnings,vars}.pm .
# cp -p /usr/libdata/perl5/File/Basename.pm ./File/
# cp -p /usr/libdata/perl5/IPC/Open{2,3}.pm ./IPC/
# cp -p /usr/libdata/perl5/Time/Local.pm ./Time/
# cp -p /usr/libdata/perl5/warnings/register.pm ./warnings/

$ cd /var/www/usr/libdata/perl5/`machine`-openbsd/5.8.6
# cp -p /usr/libdata/perl5/`machine`-openbsd/5.8.6/{Config,Cwd}.pm .

Cuidado en los ficheros de configuraci�n:

/var/www/cgi-bin/cvsweb:
  for ("$mydir/cvsweb.conf", '/var/www/conf/cvsweb/cvsweb.conf') {   (default)
  for ("$mydir/cvsweb.conf", '/conf/cvsweb/cvsweb.conf') {           (chroot)

/var/www/conf/cvsweb/cvsweb.conf:
  @CVSrepositories = (
    'local'   => ['Local Repository', '/home/cvs'],   (default)
    'local'   => ['Local Repository', '/cvs'],        (chroot)

    $mime_types = '/var/www/conf/mime.types';         (default)
    $mime_types = '/conf/mime.types';                 (chroot)

Screenshot

cvsweb en acci�n

Jugando con mailq

Fri, 26 Oct 2007 13:39:24 +0200

Cuando falla la entrega en un servidor de correo lo l�gico es que la cola se vaya llenando hasta reparar el problema. En ese momento las peticiones ir�n saliendo con cierto orden de prioridad. Hay varios comandos con los que podemos jugar para ayudar al servidor en el proceso de peticiones.

Con un poco de paciencia, conocimientos m�nimos de bash y usando tanto mailq como postsuper (Postfix) podremos facilitar el flujo de correos encolados. Vamos a ello.

Primero miramos el n�mero de correos que tenemos en cola. Esta operaci�n se puede hacer de diversos modos:

# mailq | tail -n1
-- 70865 Kbytes in 1654 Requests.
# mailq | grep Requests
-- 70865 Kbytes in 1654 Requests.

Una vez sabemos el n�mero exacto de correos que est�n esperando a ser procesados podemos hacernos una idea del tiempo que nos puede llevar reestablecer el normal funcionamiento del servicio.

Para ver una descripci�n algo m�s detallada de los correos (id, fecha, origen, destino...) podemos usar mailq sin m�s modificadores, obviamente el resultado ser� un chorizo tremendo si hay muchos Requests. Probemos a ver las 20 primeras lineas:

# mailq | head -n20
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
9A792414C6B*   30256 Fri Oct 26 11:41:30  tequilasunrise270@liberotta.it
                                         alguien@server

387924150E9*   41997 Fri Oct 26 11:26:53  1784@lavoca.es
                                         mas@server

1AB8D4141C3*    1163 Fri Oct 26 11:29:51  AIMEE-Jenksya@ariastone.com
                                         otrouser@server

D5808414C6F*   22998 Fri Oct 26 11:41:35  sateve@zongati.com
                                         alguien@server

81983414DDC*     518 Fri Oct 26 11:28:13  otrouser@server
                                         alguien@server

274104137A6*  170349 Fri Oct 26 11:28:19  tequilasunrise270@liberotta.it
                                         mas@server

CCC684141CC*   38295 Fri Oct 26 11:29:20  sateve@zongati.com

Nota: He modificado las direcciones de correo por no facilitar datos reales que puedan afectar al ejemplo ni al correcto funcionamiento de dichas cuentas.

Podemos comprobar que algunos de los correos en cola son correctos, otros spam o correo no deseado. Como trataremos de facilitar la tarea del servidor, podemos borrar los que veamos como no deseados.

Pongamos que tequilasunrise270@liberotta.it es uno de los correos a eliminar, nos fijamos en su ID (primer campo): 9A792414C6B y lo referenciamos con postsuper -d:

# postsuper -d 9A792414C6B
postsuper: 9A792414C6B: removed
postsuper: Deleted: 1 message
#

Sencillo -aunque tedioso- si la cola no llega a 50 correos, si jugamos con n�meros m�s grandes el asunto se complica y el proceso empieza a alargarse notablemente en el tiempo. Es la hora de aplicar un poco de scripting.

Imaginemos que tequilasunrise270@liberotta.it nos ha estado inundando a correos en casi todas las cuentas del servidor, en vez de ir buscando el ID de una en una:

# mailq | grep tequilasunrise270@liberotta.it

Podemos sacar de forma m�s directa el ID con cut y pasarlo como par�metro a postsuper para que el trabajo sea m�s r�pido (el ejemplo se ejecuta con una cuenta de correo, pero podr�amos filtrar todo un dominio de la misma forma):

# for i in `mailq | grep tequilasunrise270@liberotta.it | cut -f1 -d*`; do postsuper -d $i; done
postsuper: 769024147F2: removed
postsuper: Deleted: 1 message
postsuper: 93A4B415197: removed
postsuper: Deleted: 1 message
postsuper: BD9FC414BFB: removed
postsuper: Deleted: 1 message
postsuper: 024EF4150C2: removed
postsuper: Deleted: 1 message
postsuper: 12114414813: removed
postsuper: Deleted: 1 message
...
#

Otra opci�n que se me ocurre as� a bote pronto es generar a partir de mailq una lista negra de direcciones spam y borrar todos los correos est�n en cola y hagan referencia a ellas.

Empezamos creando un archivo con la lista de todas las direcciones de correos implicados en cola, por ejemplo:

# mailq | grep : | cut -f3 -d":" | cut -f3 -d" " | sort  > ~/mailq.log
# cat ~/mailq.log
14479TDJAR@rrew.com
1919@intl-error.mail.info
3F2ZB9R@barriage.com
4QC5TBFN4Y@rarnyne.net
5minnews.com@kingofthedirt.com
71V8V5@rarrgoico.net
7AP31N@rarrlolico.com
96ZEXFSXB@rarrisolidp.com
9DTOUY@rarrgoldmine.com
aalguien@server.com
Aprafivo69@abebooks.com
BenaeMilne@meiselania.cc
Boospq@123456.com
bueno@server.com
Casey.Wood@jermanyfromhome.net
DAVEY879@RUBIAZA.DE
dario@server.com
DKG40BZ@chickenstolen.de
...

Observamos que en mailq.log hay direcciones "buenas" y "malas", bien manualmente o con alguna otra operaci�n que se nos ocurra podemos quedarnos solamente con las "malas" para pasarle a postsuper. Podr�amos eliminar de una tacada las direcciones propias del servidor, convirtiendo el cribado en algo m�s sencillo:

# cat mailq.log | grep -v server.com > mailq.log

Desde que tenemos el fichero con la lista de direcciones de correo "sobrante" podemos lanzar el siguiente comando, que buscar� en mailq todas las referencias a esas cuentas, sacando el ID y proces�ndolo mediante postsuper:

# for i in `cat ~/mailq.log`; do `mailq | grep $i| cut -f1 -d* | postsuper -d -`; done

Una vez aplicados estos peque�os trucos la cola deber�a haberse limpiado bastante y lo que es m�s importante, en mucho menos tiempo que si vamos procesando los correos uno a uno.

Todo depende de las manos del administrador y de su capacidad de filtrado con las cuentas, pero realmente... �qu� sistema no depende de un administrador?. M�s sencillo ser�a un postsuper -d ALL aunque apuesto a que m�s de uno tendr�a cargo de conciencia.

FreeBSD: Arrancando Postfix

Wed, 17 Oct 2007 14:27:51 +0200

Hay circunstancias en las que un problema no se resuelve de la forma m�s eficiente. Suele ser bajo presi�n, cuando las cosas no se ven del todo claras y -sin motivo l�gico- acaba funcionando con la condici�n no escrita de no tocarle m�s.

Algo as� pas� hace tiempo en una FreeBSD, intentando reiniciar el servicio de correo (Postfix) no atend�a a razones:

# /usr/local/etc/rc.d/postfix start
#

Rabia e impotencia se un�an a la presi�n de tener colgado un servicio de varios cientos de clientes, indagando -deprisa y corriendo- por la sintaxis de postfix al final se solucion� con un inadecuado:

# postfix start
postfix/postfix-script: starting the Postfix mail system
#

Y ya sabeis lo que pasa cuando algo funciona, se repite hasta la saciedad por si las moscas rompe de alguna otra manera. Vicios que tiene uno. Hoy ya con m�s calma y razonando el problema me he dado cuenta de que en /etc/rc.conf no exist�a ninguna variable para arrancar postfix:

# echo postfix_enable="YES" >> /etc/rc.conf

Ahora el sistema ya me hace caso cuando quiero usar el script del daemon. Empanadas que tiene uno de vez en cuando pero... m�s vale tarde que nunca.

PD: Esta entrada se ha escrito en formato nota mental, como recordatorio para posteriores ocasiones.

Courier Authlib (de nuevo)

Wed, 03 Oct 2007 17:00:04 +0200

Increible, o como dir�a Andr�s Montes: "dos de dos!... jug�n!". Segunda actualizaci�n fuerte en la misma m�quina y de nuevo falla el mismo paquete: courier-authlib.

Aunque esta vez he leido y repasado el /usr/ports/UPDATING creo que a alguien se le ha ido la mano con el principal fichero de configuraci�n. Ahora la actualizaci�n machaca tus configuraciones y coloca unas por defecto. Cierto es que antes genera una copia de seguridad pero solo faltar�a que se quedara tan ancho.

# ls -flash /usr/local/etc/authlib/authmy*
10 -rw-------   1 courier  courier   8.3K Oct  3 16:45 authmysqlrc
 2 -rw-------   1 courier  courier   521B Nov 17  2006 authmysqlrc.bak

Nada que cp/mv no arreglen pero a�n as� resulta molesto perder el control de esta forma. Tir�n de orejas para oliver@freebsd.org ;).

Arreglando pkgdb

Wed, 03 Oct 2007 10:52:34 +0200

Hay veces que FreeBSD tambi�n juega malas pasadas. Este ha sido el caso de una m�quina dejada en el olvido. Estoy intentando recuperar su uso y ponerla al d�a. Me gusta utilizar portupgrade para estas tareas de mantenimiento, con lo que, -despu�s de un make update- al hacer un listado de los paquetes que necesitaban actualizarse procedo con uno de ellos:

# portupgrade ruby-1.8.5_4,1
[Updating the pkgdb (format:bdb_btree) in /var/db/pkg ... /var/db/pkg/pkgdb.db: unexpected
file type or format -- Invalid argument; rebuild needed] [Rebuilding the pkgdb
(format:bdb_btree) in /var/db/pkg ... [Updating the pkgdb (format:bdb_btree) in /var/db/pkg ... /var/db/pkg/pkgdb.db:
unexpected file type or format -- Invalid argument; rebuild needed]
[Rebuilding the pkgdb (format:bdb_btree) in /var/db/pkg ... /var/db/pkg/pkgdb.db: unexpected file type or format -- Invalid 
argument: Cannot update the pkgdb!]: Cannot update the pkgdb!]
Command failed [exit code 1]: /usr/local/sbin/pkgdb -aFOQ

Vaya, era previsible tener algo roto despu�s de tanto tiempo. A ver si obtenemos m�s informaci�n de lo que ocurre realmente:

# pkgdb -aFOQ
[Updating the pkgdb (format:bdb_btree) in /var/db/pkg ... /var/db/pkg/pkgdb.db: unexpected file type or format -- Invalid argument; rebuild needed] [Rebuilding the pkgdb (format:bdb_btree) in /var/db/pkg ... /var/db/pkg/pkgdb.db: unexpected file type or format -- Invalid argument: Cannot update the pkgdb!]: Cannot update the pkgdb!]

Parece que falla la base de datos de paquetes (pkgdb.db), intentamos forzar su recuperaci�n:

# pkgdb -F
--->  Checking the package registry database
[Updating the pkgdb (format:bdb_btree) in /var/db/pkg ... /var/db/pkg/pkgdb.db: unexpected file type or format -- Invalid argument; rebuild needed] [Rebuilding the pkgdb (format:bdb_btree) in /var/db/pkg ... /var/db/pkg/pkgdb.db: unexpected file type or format -- Invalid argument: Cannot update the pkgdb!]: Cannot update the pkgdb!]

Sin �xito. Pues a lo bruto. Hacemos copia de seguridad de INDEX-6.db y pkgdb.db y procedemos a la actualizaci�n manual (make, make install...) de portupgrade, ruby-bdb y db4 (el gestor de base de datos de paquetes):

# mv /usr/ports/INDEX-6.db --> INDEX-6.db.org
# mv /var/db/pkg/pkgdb.db --> pkgdb.db.org
# pkg_delete portupgrade-2.3.1,2
# pkg_delete ruby18-bdb-0.6.2
# pkg_delete ruby18-bdb1-0.2.2

Es posible que nos advierta de dependencias insatisfechas en el borrado de alguno de estos paquetes, no nos preocupamos demasiado puesto que su eliminaci�n solo ser� temporal. De necesitarlo, forzamos (-f) su desinstalaci�n:

# pkg_delete db41-4.1.25_4
pkg_delete: package 'db41-4.1.25_4' is required by these other packages
and may not be deinstalled:
amavisd-new-2.4.3_1,1
p5-BerkeleyDB-0.31

# pkg_delete -f db41-4.1.25_4
pkg_delete: package 'db41-4.1.25_4' is required by these other packages
and may not be deinstalled (but I'll delete it anyway):
amavisd-new-2.4.3_1,1
p5-BerkeleyDB-0.31

Ahora reinstalamos portupgrade a la antigua usanza y desde cero (make clean para borrar antiguas compilaciones y configuraciones). Seleccionamos BDB4 de nuevo como backend de datos (�veis como era temporal!). Y por �ltimo recomponemos de nuevo la base de datos de paquetes (pkgdb -F):

# cd /usr/ports/ports-mgmt/portupgrade
# make clean
# make config
  [X] BDB4  Use Berkeley DB >=2 as backend 
# make
# make install
# pkgdb -F

Finalmente ya estamos en disposici�n de volver al proceso de instalaci�n/actualizaci�n del software obsoleto:

# portupgrade ruby-1.8.5_4,1

Imagino que habr� m�ltiples formas - y m�s simples- de recomponer este error, yo lo he hecho as� ;).

CVS: primeros pasos

Mon, 03 Sep 2007 17:58:54 +0200

Hay quien dice que el uso de un servidor de versiones cuando el n�mero de desarrolladores tiende a uno es injustificado, es posible que tengan raz�n pero llevo algunos a�os con la doble tarea -programar y versionar- y creo adecuado delegar responsabilidades en algo m�s fiable que yo.

As� que he tomado la decisi�n de probar CVS. Antes de ir corriendo a por unos algodones para los oidos intentar� explicar el motivo de usar estas siglas y no otras. Lo primero que se me ocurre es que OpenBSD lo trae de serie. �Correcto! la m�quina que versionar� mi c�digo fuente es un pez globo. Entiendo que pueda parecer demasiado c�modo, pero para no haber usado nunca un sistema de control de versiones y poder evaluar la utilidad del mismo es m�s que suficiente.

A diferencia de casi cualquier otro software servidor, no ha sido doloroso ponerlo en funcionamiento, tres sencillas �rdenes. Primero creamos el directorio donde ir�n nuestros m�dulos (proyectos), lo acomodamos con permisos generosos e iniciamos el repositorio:

# mkdir /home/cvs
# chown -R cvs:cvs /home/cvs
# cvs -d /home/cvs init

Del lado del cliente el asunto tampoco se complica en exceso siguiendo una cierta l�gica. Las variables de sesi�n son indispensables para un uso correcto as� que primero exportamos el directorio de trabajo del servidor y luego obligamos a CVS a conectrase mediante ssh:

# export CVSROOT=:ext:cvs@servidor:/home/cvs/
# export CVS_RSH=/usr/bin/ssh

Ahora tendr�amos que hacer el commit inicial del c�digo fuente, base del proyecto sobre el que trabajaremos, para ello y dentro del directorio donde tengamos el c�digo haremos:

# cvs import -m "Commit Inicial" proyecto1 cvs start

Autom�ticamente se conecta a cvs@servidor y sube a /home/cvs/proyecto1/ la primera revisi�n de c�digo fuente. Una vez hecho �sto debemos borrar (o cambiar de ubicaci�n) el fuente del lado cliente para bajar la versi�n ya versionada -valga la redundancia- que acabamos de subir:

# cvs co proyecto1

Sencillo pero algo lioso, a partir de aqu� ya podemos editar y trabajar en cliente para commitear los cambios sin temor:

# cvs ci proyecto1
Log message unchanged or not specified
Checking in cake/app/app_controller.php;
/home/cvs/cake/app/app_controller.php,v  <--  app_controller.php
new revision: 1.2; previous revision: 1.1
done
#

Referencias:

Dudando por un nuevo muro

Fri, 20 Jul 2007 10:49:08 +0200

Es posible que sea el momento adecuado de hacer reflexi�n y volver a levantar el muro. Me refiero a la m�quina m�s importante de la red local, la que reparte conexi�n, filtra y se come los deshechos org�nicos del resto del mundo.

Reciclemos, en dicha m�quina hay varios servicios que llevan 1 a�o -desde la visita del amigo Juanjo- en funcionamiento y no se han explotado demasiado, l�ase ftpd, proxy e incluso httpd. Otros -servicios/aplicaciones- como symon, symux, snort y cacti ser�n caso de estudio, porque o no se han acabado de configurar eficientemente o no se est�n usando como debieran.

Por un lado me apetece actualizar a OpenBSD-4.1, pero por otro lado pAvL0 -sin enlace todav�a- me ha estado hablando maravillas de SmoothWall (aunque a mi me tiren m�s pfsense y m0n0wall).

Finalmente siempre cabe la -lazy- posibilidad de dejar todo como est� haciendo hincapi� en los servicios "a medias" y la conexi�n wireless. Depender� del tiempo, del espacio y de las sensaciones c�smicas que reciban mis mermados sentidos.

Snort + Base en OpenBSD

Mon, 23 Apr 2007 12:54:15 +0200

Snort es uno de los sistemas de detecci�n de intrusos (IDS) m�s populares. Base es una de sus m�ltiples herramientas de an�lisis b�sico y OpenBSD es uno de los sistemas operativos m�s seguros. Haremos una instalaci�n b�sica para guardar todas las alertas en base de datos (MySQL) y veremos los primeros resultados.

Antes de nada un poco de teor�a de Sistemas de detecci�n de intrusos, tipos y caracter�sticas...

IDS, HIDS

Los IDS, en principio, solo capturan alertas ocurridas en el host local donde est�n instalados. Aunque, por extensi�n, todos los Sistemas de Intrusion, del tipo que sean, son tambien llamados IDS:

IDS: Intrusion Detection System
HIDS: Host Intrusion Detection System
NIDS: Network Intrusion Detection System

Estos sistemas detectan alertas snifando el tr�fico que pasa por su tarjeta de red. Por lo que si son colocados en los lugares correctos (p.e. los firewalls, gateways etc) nos detectan los ataques producidos a cualquiera de los hosts de nuestra red. Los DIDS (Distributed Intrusion Detection System) son NIDS donde los sensores que detectan y recolectan informaci�n est�n distribuidos en diferentes puntos/hosts en la red. Snort tambi�n puede actuar como NIDS. (leer m�s).

Instalaci�n de Snort

Usaremos binarios puesto que la m�quina es bastante obsoleta y no queremos sufrir un infierno compilando. Como podeis comprobar, se trata de una OpenBSD-3.9:

# pkg_add -r ftp://ftp.openbsd.org/pub/OpenBSD/3.9/packages/i386/snort-2.4.3-mysql.tgz
snort-2.4.3-mysql:pcre-6.4p1: complete
snort-2.4.3-mysql: complete
--- snort-2.4.3-mysql -------------------
An up-to-date set of rules is needed for Snort to be useful as an IDS.
These can be downloaded manually or net/oinkmaster can be used to
download the latest rules from several different sources.

It is recommended that snort be run as an unprivileged chrooted user.
An _snort user/group and log directory has been created for this
purpose.  You should start snort with the following options to take
advantage of this:
        -u _snort -g _snort -t /var/snort
and if you want to log:
        -l /var/snort/log
#

Bajamos las RULES de la versi�n 2.4 (usuarios no registrados, para probar):

# wget -c http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
# mkdir -p /etc/snort/rules
# mv snortrules-pr-2.4.tar.gz /etc/snort/rules/
# tar xfvvz snortrules-pr-2.4.tar.gz

Configuraci�n MySQL

Conectamos con mysql para crear base de datos, usuario y dem�s (ojo con el socket si lo tenemos configurado para httpd chrooted):

# mysql -u root --socket=/var/www/var/run/mysql/mysql.sock -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 7 to server version: 5.0.22

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> CREATE DATABASE snort;
Query OK, 1 row affected (0.29 sec)

mysql> GRANT INSERT, SELECT ON snort.* to snort@localhost;
Query OK, 0 rows affected (0.53 sec)

mysql> SET PASSWORD FOR snort@localhost = PASSWORD('password');
Query OK, 0 rows affected (0.05 sec)

mysql> GRANT CREATE, UPDATE, INSERT, DELETE, SELECT ON snort.* TO snort@localhost;
Query OK, 0 rows affected (0.00 sec)

Importamos la estructura de la base de datos. En OpenBSD no instala ning�n archivo donde importarla, con lo aqu� dejo una copia: create_mysql.gz.

# gunzip -d create_mysql.gz
# mysql -u root --socket=/var/www/var/run/mysql/mysql.sock -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 7 to server version: 5.0.22

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> USE snort;
Database changed
mysql> source create_mysql;
Query OK, 0 rows affected (0.27 sec)
Query OK, 1 row affected (0.11 sec)
Query OK, 0 rows affected (0.04 sec)
Query OK, 0 rows affected (0.02 sec)
Query OK, 0 rows affected (0.00 sec)
...
mysql>

Configuraci�n Snort

En OpenBSD el fichero de configuraci�n principal de Snort se encuentra en /etc/snort/snort.conf, donde tendremos que indicarle al menos que guarde las alertas y los logs en MySQL, par�metros de red y poco m�s:

var HOME_NET 192.168.0.0/24

var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET

var RULE_PATH ../rules/rules

output database: log, mysql, user=snort password=password dbname=snort host=localhost
output database: alert, mysql, user=snort password=password dbname=snort host=localhost

Arrancando Snort

Recomiendan:

# snort -bDI -A fast -c /etc/snort/snort.conf

-b �> Log paquetes en formato binario ( tcpdump -r file)
-D �> Modo daemon
-I �> Indica la interfaz por la que llego el paquete
-A �> Tipo de alerta ( fast= una linea en el fichero alert)
-c �> Fichero de reglas

Aunque mi opci�n ha sido m�s simple (con un ojo siempre en /var/log/daemon y /var/log/messages por posibles problemas de permisos, logs...):

# snort -bDI -A fast -c /etc/snort/snort.conf

Instalando BASE

Basic Analysis and Security Engine. Desgargamos la �ltima release (19.04.07) dentro del DocumentRoot y descomprimimos:

# wget -c http://kent.dl.sourceforge.net/sourceforge/secureideas/base-1.3.5.tar.gz
# tar xvvz base-1.3.5.tar.gz

Una vez dentro del directorio, encontramos en sql/ lo necesario para montar las tablas que BASE usar� para sus propios an�lisis. Agregaremos el esquema a la base de datos snort anteriormente creada:

# cat sql/create_base_tbls_mysql.sql | mysql -u root --socket=/var/www/var/run/mysql/mysql.sock  -D snort -p
# mysql -u root --socket=/var/www/var/run/mysql/mysql.sock -p
...
   mysql> show tables;
+------------------+
| Tables_in_snort  |
+------------------+
| acid_ag          |
| acid_ag_alert    |
| acid_event       |
| acid_ip_cache    |
| base_roles       |
| base_users       |
| data             |
| detail           |
| encoding         |
| event            |
| icmphdr          |
| iphdr            |
| opt              |
| reference        |
| reference_system |
| schema           |
| sensor           |
| sig_class        |
| sig_reference    |
| signature        |
| tcphdr           |
| udphdr           |
+------------------+

Vemos que se han creado nuevas tablas con el prefijo acid, esto es porque BASE est� basado en ACID -muerto o desactualizado desde el 2003-.
En las instrucciones hay que resolver algunas dependencias de BASE para que funcione correctamente, ADODB es una de ellas:

# wget -c http://puzzle.dl.sourceforge.net/sourceforge/adodb/adodb494.tgz
# tar xfvvz adodb494.tgz

Image_Graph la otra:

# wget -c http://download.pear.php.net/package/Image_Graph-0.7.2.tgz
# wget -c http://pear.php.net/get/Image_Canvas-0.3.0.tgz
# wget http://pear.php.net/get/Image_Color-1.0.2.tgz

Una vez hemos descargado Image_Graph de Pear lo descomprimimos en el directorio Images/ que previamente tendremos que crear, quedando de la siguiente forma:

 base/
   |- Images/
   |- Canvas/
   |- Graph/
   |- docs/
   |- tests/
   |- Canvas.php
   |- Color.php
   |- Graph.php

El siguiente paso ser� acceder v�a web al BASE reci�n instalado: http://localhost/base/ -donde proceda- y seguir las instrucciones:

Nota: He tenido que tocar m�s de una vez durante la instalaci�n el archivo base_conf.php para editar la variable $DBlib_path del adodb dependiendo del punto de la instalaci�n en el que te encuentres. Al final ha quedado $DBlib_path = �adodb/�;

Referencias

Bowlfish

Mon, 02 Apr 2007 13:21:26 +0200

http://www.kernel-panic.it/software/bowlfish/

OpenBSD en dispositivos flash

Secure by default

Wed, 14 Mar 2007 17:16:42 +0200

OpenBSD es un Sistema Operativo cuya filosof�a (tanto de uso como de desarrollo) se centra en la seguridad. Theo de Raatd ha descubierto recientemente el segundo bug remoto en la instalaci�n por defecto durante los �ltimos 10 a�os.

Se trata de un buffer overflow del kernel en alguna parte del c�digo (mbuf) que toca IPv6, pudiendo deshabilitarse f�cilmente en PF a trav�s de una regla 'block in inet6' o aplicando el correspondiente parche en sys/mbuf.h.

Ahora el slogan: OpenBSD, toda una garant�a de seguridad.

Muchos grupos, muchos permisos

Wed, 07 Feb 2007 10:38:36 +0200

Ayer durante el curso -si, docente de nuevo- me plantearon una duda que hizo tambalear mis (repito, mis) cimientos de Software Libre (los cuales no est�n tan arraigados como debieran). Un usuario con -supongo- conocimientos en otros sistemas operativos propietarios se qued� dubitativo mientras intentaban comprender propietarios y permisos en *nix.

Despues de ver que un archivo tiene los permisos clasificados en su usuario propietario (u), grupo propietario (g) y otros (o) surgi� la temida pregunta: �Y si tengo 3 � 4 grupos y quiero dar distintos permisos a cada uno?. Pensadlo, porque chown, chmod y chgrp no solucionan esa papeleta (que yo sepa).

Suponiendo cuatro grupos de usuarios: curritos, usuarios, jefes y jefazos y un archivo informe.xml queremos el siguiente esquema:

grupos			permisos
--------------------------------
curritos:		---
usuarios:		r--
jefes:			rw-
jefazos:		rwx

Por muchas combinaciones que pudi�ramos pensar, entre grupos o algo as�, siempre se puede aumentar el grado de complejidad agregando m�s grupos con distintos permisos. El caso es que la pregunta era buena, demasiado como para que quede sin responder. Como �buen? docente, la apunt� para buscar soluciones y esto fue lo que encontr� (thanks Wu):

# mkdir testfolder
# setfacl -m group:group1:rwx,group:group2:r-x,group:group3:---,other:---,mask:rwx testfolder/

�Listas de acceso, claro!. Aunque se limita a sistemas de archivos capaces de usarlas (ext3, xfs...), esa podr�a ser una buena soluci�n al problema planteado. En distribuciones deb like el comando setfacl se encuentra en el paquete acl (apt-get install acl)... el resto todav�a est� por probar.

Cambios de portupgrade

Tue, 06 Feb 2007 17:07:48 +0200

En FreeBSD a veces pasa, despu�s de un make update intentamos instalar un paquete del que creemos saber ubicaci�n en el �rbol de ports:

# cd /usr/ports/sysutils/portupgrade
/usr/ports/sysutils/portupgrade: No such file or directory.
#

��Qu� nooooo!! dir�a el bueno de Borat, �qu� ya no est� ah�!. Aunque si me f�o del make search sigo en las mismas:

# cd /usr/ports/ ; make search name=portupgrade | grep Path
Path:   /usr/ports/sysutils/portupgrade
#

�Habr�n cambiado su ubicaci�n?... malas costumbres las de no actualizar el �ndice de la base de datos local, pero como de todo se aprende:

# make fetchindex
/usr/ports/INDEX-6.bz2                        100% of  869 kB  118 kBps
# cd /usr/ports/ ; make search name=portupgrade | grep Path
Path:   /usr/ports/ports-mgmt/portupgrade
Path:   /usr/ports/ports-mgmt/portupgrade-devel
#

Venga va, la pr�xima vez ya s� donde buscar. Los hombres sabios aprenden con los errores que otros cometen, los tontos con los propios.