fernandocba26

Gente , les paso unas recomendaciones de como proteger los datos. ¿En que fallamos cuando se quiere proteger la información? Primera parte. Hace tiempo ya que vemos casos de que sale a la luz información privada de figuras públicas o simplemente datos de entidades gubernamentales que tendrían que estar reservada. Pero... ¿En que se falla a la hora de preservar esos datos? ¿Estamos haciendo algo mal o simplemente el sistema informático es inseguro? Veamos... Actualmente nos hablan de virus, malware, hackers, fraude bancario, fraude con tarjetas de creditos, información "borrada" que sale a luz, cuentas de correo kackeadas, perfiles de redes sociales también hackeadas, etc... ¿Qué hacer frente a todo esto? ¿Se puede hacer algo? La repuesta es Sí. Primero veamos como funciona todo en un estado "normal" para poder comprendrer lo que se debe hacer y tomar algunos recaudos. La mayoria de los servicios que ofrece internet, ya sea, correo electrónico, redes sociales, home banking, etc son sistemas bastantes seguros. Todos utilizan un sistema de "login" doble mediante el cual se deben saber dos cosas para ingresar correctamente, el usuario y la contraseña. Es aquí donde se encuentran algunas falencias. Muchas entidades obligan al usuario a tener contraseñas tan complicadas, incluyendo números, letras y símbolos, lo cuál tratando de securizar el sistema producen el efecto contrario ya que dicha contraseña es tan dificil de memorizar que el usuario la guarda escrita en algun lugar, algo que se quiere evitar. ¿Como hacemos entonces para recordar algo imposible de memorizar? Muy simple, utilizando este sistema que les describo ahora. Supongamos que una entidad bancaria nos solicita que ingresemos una contraseña que contenga letras y numeros. Si yo les digo que memoricen esta contraseña "Mphne1990", pocos podrán hacerlo y los que lo logren se la olvidarán en un tiempo. Pero si les muestro que esa palabra que a simple vista parace amorfa o carente de sentido, si lo tiene realmente. Prestemos atención a las primeras letras de cada palabra de la siguiente frase. "Mi primer hijo nació en 1990", o sea "Mphne1990", simplemente es una regla nemotécnica. Ahora hablemos de los virus. ¿Como poder estar seguro que nuestro sistema esta libre de virus? Realmente no se puede estar seguro el 100%, pero si se puede lograr aumentar dicha seguridad tomando algunos recaudos. La primera regla es mantener los antivirus funcionando correctamente y escanear nuestros discos y pen drives regularmente. Lo segunda es tener nuestros sistemas lo más actualizados posibles, ya que muchas actualizaciones se crean para corregir errores que podrian permitir a un virus o hackers tomar el control de nuestra PC. Y la tercera es ser muy cautos a la hora de abrir correos electrónicos, ya que aunque sean de personas que conocemos, pueden tener su computadora infectada y es el mismo virus quién se está enviando para expander la infección. En cuanto a las redes sociales y contraseñas de correo, lo primero es tener una contraseña como la que describimos arriba y lo segundo es configurar bien nuestras opciones de seguridad y de recuperación de contraseñas, por lo cual se deben elegir bien las preguntas de seguridad y sus respuestas. Y en cuanto a las redes sociales, la configuración más óptima es que nuestros contactos sean confiables y mostrar la menor cantidad de información privada. En la segunda parte hablaremos de como borrar información de forma segura y evitar que otros la recupere. ¿En que fallamos cuando se quiere proteger la información? Segunda parte Les dejo el facebook de esta gente que escribe cosas interesantes. https://www.facebook.com/netconredes

Configuración de red en Solaris 11 Una de las diferencias más marcadas de Solaris 11 respecto a su antecesor fue la forma en la que se configura la red.Oracle Solaris 11 utiliza una configuración de red basada en el perfil, que se compone de dos modos de configuración de red: manual (fijo) y automático (reactivo). Según el modo de configuración de red que seleccione durante la instalación, se activa el perfil de configuración de red (NCP, Network Configuration Profile) DefaultFixed o el NCP Automatic en el sistema. Si el perfil de configuración de red DefaultFixed está activo, la red se configura manualmente mediante los comandos dladm e ipadm. Si el perfil de configuración de red Automatic o un perfil de configuración de red definido por el usuario que haya creado anteriormente está activo, los comandos netcfg y netadm se utilizan para crear y gestionar la configuración de red. Hay dos tipos principales de perfil: el perfil de configuración de red (NCP) y el perfil de ubicación. Un NCP especifica la configuración de interfaces y enlaces de red, por ejemplo, direcciones IP. El perfil de ubicación gestiona la configuración de red de todo el sistema; por ejemplo, de los servicios de nombres y los valores de IPfilter. Al menos un NCP y un perfil de ubicación deben estar activos en el sistema en todo momento cuando esté usando la configuración automática de la red. En esta imagen se ve como están activado el NCP "prueba" y el LOC "prueba" además de las NCU que se utilizan dentro del los NCP. El NCP Automatic es un perfil definido por el sistema que no se puede modificar ni suprimir. Las ubicaciones definidas por el sistema son Automatic y NoNet. A diferencia de los NCP definidos por el sistema, las ubicaciones definidas por el sistema se pueden modificar después de que se activa el perfil en un sistema por primera vez. Configuración Manual: Si va a configurar manualmente la red, tenga en cuenta los siguientes aspectos principales: Para configurar manualmente la red mediante los comandos dladm y ipadm, el NCP DefaultFixed debe estar activo. Utilice el comando netadm para verificar qué NCP está activo actualmente en el sistema. Ej: #netadm list Si no está activado lo puede activar mediante el comando #netadm enable -p ncp DefaultFixed La configuración de red persistente ahora se administra mediante SMF, no editando los siguientes archivos: /etc/defaultdomain /etc/dhcp.* /etc/hostname.* /etc/hostname.ip*.tun* /etc/nodename /etc/nsswitch.conf Para fijar la IP, primero se ejecuta el comando dladm para ver las interfaces conectadas. Este dato se utiliza para cuando se ejecute el comando ipadm. Salida del comando dladm. Luego se crea la direccion de red fija: # ipadm create-ip net0 # ipadm create-addr -T static -a local=10.9.8.7/24 net0/addr Para configurar la interfaz por DHCP: # ipadm create-ip net0 # ipadm create-addr -T dhcp net0/addr Una vez realizado esto se modifican los parametros en los servicios. Ej: # svccfg svc:> select dns/client svc:/network/dns/client> setprop config/search = astring: ("us.company.com" "eu.company.com" "companya.com" "companyb.com" "company.com" ) svc:/network/dns/client> setprop config/nameserver = net_address: ( 138.2.202.15 138.2.202.25 ) svc:/network/dns/client> select dns/client:default svc:/network/dns/client:default> refresh svc:/network/dns/client:default> validate svc:/network/dns/client:default> select name-service/switch svc:/system/name-service/switch> setprop config/host = astring: "files dns" svc:/system/name-service/switch> select system/name-service/switch:default svc:/system/name-service/switch:default> refresh svc:/system/name-service/switch:default> validate svc:/system/name-service/switch:default> # svcadm enable dns/client # svcadm refresh name-service/switch Ahora vemos si los cambios se realizaron: # grep host /etc/nsswitch.conf hosts: files dns # cat /etc/resolv.conf # opyright (c) 2011, Oracle and/or its affiliates. All rights reserved. # # # _AUTOGENERATED_FROM_SMF_V1_ # # WARNING: THIS FILE GENERATED FROM SMF DATA. # DO NOT EDIT THIS FILE. EDITS WILL BE LOST. # See resolv.conf(4) for details. search us.company.com eu.company.com companya.com companyb.com company.com nameserver 138.2.202.15 nameserver 138.2.202.25 Otro ejemplo sería: Definir múltiples opciones de /etc/resolv.conf. # svccg svc:> select /network/dns/client svc:/network/dns/client> setprop config/options = "ndots:2,retrans:3,retry:1" svc:/network/dns/client> listprop config/options config/options astring ndots:2,retrans:3,retry:1 # svcadm refresh dns/client # grep options /etc/resolv.conf options ndots:2,retrans:3,retry:1 Perfecto!!! Ya sabemos como configurar manualmente la red en Solaris 11. Configuración Automática: La configuración automática de la red se compone de un conjunto de propiedades que determinan el modo en que se configura la red. Se configuran mediante NCP, NCU y LOC. Los LOC son perfiles de locación o ubicación. Si bien las LOC no tiene la configuración de red (ya que la tienen los NCP), las LOC tienen el resto de configuración de red, como por ejemplo, el servicio de nombres que se utiliza, cuales son los servidores, las reglas ipfilter e ipnat, etc. HAY QUE TENER EN CUENTA QUE SI, POR EJEMPLO, EN UN LOC TENEMOS REGLAS IPFILTER Y ACTIVAMOS OTRO LOC LAS REGLAS SE BORRAN DE LA CACHE DE FORMA AUTOMATICA. Un NCP configura las interfaces y los enlaces de red mediante objetos de configuración individuales que se denominan unidades de configuración de red (NCU, Network Configuration Unit). Cada NCU representa un enlace físico o una interfaz que incluye las propiedades que definen la configuración para ese enlace o esa interfaz concretos, como se muestra en la salida del comando netcfg list, en el siguiente ejemplo: netcfg> select ncp myncp netcfg:ncp:myncp:ncu:nge0> list ncu:nge0 type interface class ip parent "myncp" enabled true ip-version ipv4,ipv6 ipv4-addrsrc dhcp ipv6-addrsrc dhcp,autoconf Los NCP definidos por el usuario y las ubicaciones se crean mediante el comando netcfg, ya sea en el modo de la línea de comandos o de manera interactiva. Por ejemplo, se crearía un nuevo NCP denominado myncp mediante el comando netcfg de forma interactiva, de la siguiente manera: # netcfg netcfg> create ncp myncp Veamos entonces un ejemplo práctico: Configuración de una dirección IP estática para un NCP existente En el ejemplo siguiente, el comando netcfg se utiliza interactivamente para seleccionar el NCP recién creado, myncp y, luego, una dirección IP estática se configura para ese NCP. netcfg> select ncp myncp netcfg:ncp:myncp:ncu:nge0> list ncu:nge0 type interface class ip parent "myncp" enabled true ip-version ipv4,ipv6 ipv4-addrsrc dhcp ipv6-addrsrc dhcp,autoconf netcfg:ncp:myncp:ncu:nge0> set ipv4-addrsrc=static netcfg:ncp:myncp:ncu:nge0> set ipv4-addr=1.2.3.4/24 netcfg:ncp:myncp:ncu:nge0> set ipv4-default-route=1.2.3.1 netcfg:ncp:myncp:ncu:nge0> end Committed changes netcfg:ncp:myncp> Habilitación de un NCP En el ejemplo siguiente, se habilita un nuevo NCP definido por el usuario denominado myncp con el comando netadm. #netadm enable -p myncp Enabling ncp 'myncp' Configuración de los servicios de nombres en el modo automático La configuración de red de todo el sistema, como la configuración de servicios de nombres, se gestiona en el perfil de ubicación. Las propiedades se configuran mediante el comando netcfg. El perfil de ubicación automática permite al sistema configurar automáticamente los servicios de nombres. El perfil de ubicación automática se utiliza para configurar el DNS por medio de DHCP únicamente. Tenga en cuenta que la ubicación automática difiere del NCP automático, que configura enlaces e interfaces IP. Antes de configurar las propiedades del servicio de nombres en una ubicación, es necesario actualizar el archivo al que hará referencia la propiedad nameservices-config-file de la ubicación especificada. Este archivo se puede almacenar en cualquier ubicación del sistema. Sin embargo, no utilice el nombre de archivo /etc/nsswitch.conf, ya que este archivo se sobrescribe. Por ejemplo, puede crear un nuevo perfil de ubicación y, a continuación, configurar NIS como se indica a continuación: $ netcfg netcfg> create loc officeloc Created loc 'officeloc'. Walking properties ... activation-mode (manual) [manual|conditional-any|conditional-all]> conditional-all conditions> advertised-domain contains oracle.com nameservices (dns) [dns|files|nis|ldap]> nis nameservices-config-file ("/etc/nsswitch.dns"> /etc/nsswitch.nis nis-nameservice-configsrc [manual|dhcp]> dhcp nfsv4-domain> ipfilter-config-file> ipfilter-v6-config-file> ipnat-config-file> ippool-config-file> ike-config-file> ipsecpolicy-config-file> netcfg:loc:officeloc> end Committed changes netcfg> En el siguiente ejemplo, se ha configurado NIS para una ubicación existente. $ netcfg> select loc origloc netcfg:loc:origloc> set nameservices=dns,nis netcfg:loc:origloc> set nis-nameservice-configsrc=manual netcfg:loc:origloc> set nis-nameservice-servers="1.2.3.38.1.3.3.36" netcfg:loc:origloc> set default-domain="org.company.com" netcfg:loc:origloc> set nameservices-config-file="/etc/nsswitch.dns" netcfg:loc:origloc> end Committed changes netcfg> exit En resumen, primero se de crear el LOC, luego el NCP y luego crear los NCU para ese NCP. Como conclusión podemos decir que a simple vista parace más complicado pero ofrece una gran flexibilidad y velocidad a la hora de realizar cambios, ya que solo debemos activar o desactivar el perfil que nos interesa. Pueden ver los comandos utilizados en Oracle Solaris 11 para la configuración de red en este post http://netconredes.blogspot.com.ar/2013/09/comandos-que-se-utilizan-para-la.html

Sistemas de archivo ZFS en Solaris ZFS (Zettabyte File System) es un sistema de archivos desarrollado por Sun Microsystems para su sistema operativo Solaris. Dicho nombre proviene de la capacidad de direccionamiento, se dice que tal sistema de archivos puede direccionar cada granito de arena del mundo. En 2004, cuando se creó, el cambio de paradigma fue rotundo ya que no solo era un sistema de archivos sino que contenia incorporado el manejo de volumenes. En tal sentido, ya no era necesario utilizar Solaris Volume Manager para implementar volumenes y sistemas RAID. Las primcipales características de este sistema son: ZFS trabaja con grupos de almacenamiento, donde allí administra los dispositivos físicos. ZFS es un sistema de archivo transaccional, lo que hace que su estado mantenga la coherencia e integridad dentro del disco. Utiliza la copia tras escritura. Los datos nunca se sobrescriben y cualquier operación se confirma por completo o se descarta por completo. Esto hace que el sistema de archivos no se deteriorará por un fallo eléctrico o caída del sistema, por lo cual tampoco necesita un comando como el fsck. Con ZFS se efectúa la suma de comprobación de todos los datos y metadatos utilizando un algoritmo seleccionado por el usuario. Estas se almacenan de modo que los fallos se detecten y puedan recuperarse automáticamente. Todo este proceso es transparente para el usuario. También ZFS admite redundancia usando RAID. Cuando ZFS detecta datos en mal estado, busca la copia en la réplica y repara los datos automáticamente. ZFS está diseñado para gran expansión. Es un sistema de 128 Bits. Los metadatos se asigna en forma dinámica, por lo que no es preciso pre asignar inodos. Lo directorios pueden tener hasta 256 billones de entrada. Y no existe limite de archivos para el sistema de archivos. Una instantánea de ZFS se puede hacer con facilidad y no consume espacio adicional. ZFS tiene un modo de administración más sencilla. Nomenclatura de los componentes: No se permiten componentes vacios. Cada componente puede contener únicamente caracteres alfanuméricos, además de los caracteres especiales indicados a continuación: “_”, ”-”, ”:” y ”.”. Los nombres de los grupo de almacenamiento deben empezar por una letra, pero no se admiten nombres como c[0-9] y palabras como mirror, raidz o spare. Los nombres de los conjuntos de datos deben empezar por un carácter alfanumérico. Requisitos y recomendaciones de software y hardware: Solaris 10 6/06 o superior. Disco con un espacio mínimo de 128 Mbytes. La cantidad mínima para un grupo de almacenamiento es de 64 Mbytes. Se recomienda tener 1 Gb de RAM. Si se crea una configuración de duplicación, se recomienda usar varios controladoras. Creación de un sistema de archivos ZFS básico: Existen dos comando básicos para el manejo de este sistemas de archivos: zfs y zpool. El ejemplo muestra cómo crear un grupo de almacenamiento denominado tank y el sistema de archivos también llamado tank con un solo comando. Se da por supuesto que la totalidad del disco /dev/dsk/c1t0d0 está disponible para utilizarse: #zpool create tank c1t0d0 El nuevo sistema de archivos ZFS tank puede utilizar todo el espacio disponible en c1t0d0 y se monta automáticamente en /tank. Si se quiere crear más sistemas de archivos dentro del grupo, ejemplo el sistema var dentro del grupo tank: #zpool create tank c1t0d0 #zfs create tank/var El nuevo sistema de archivos ZFS tank puede utilizar todo el espacio disponible en c1t0d0 y se monta automáticamente en /tank/var. Creamos también los sistemas /tank/usr, /tank/home y /tank/root: #zfs create tank/usr #zfs create tank/home #zfs create tank/root En la segunda parte veremos opciones más avanzadas y volúmenes. Hay mas fotos en el blog original. http://www.netconredes.blogspot.com.ar/2013/11/sistemas-de-archivo-zfs-en-solaris.html http://www.facebook.com/netconredes

Administración de Memorias de intercambio Solaris (SWAP) Vamos a ver comos se maneja el espacio de intercambio en Solaris. Ante todo, vamos a aclarar algunos puntos. Memoria virtual: es la suma de la memoria RAM y de la SWAP. Direcciones virtuales y físicas: el sistema de administración de la memoria virtual convierte los archivos del disco a direcciones virtuales y luego convierte las direcciones virtuales en direcciones físicas de la memoria. Espacio de intercambio: es un espacio que se usa como memoria. Puede ser en disco o en archivo. Paginacion: es el proceso de transferir paginas de memoria entre la RAM y la SWAP. Proceso de paginación. - Con el comando vmstat vemos infomacion de la memoria. Ver los r(read) b( blocked) w(wainting). - Con el comando pagesize: vemos el tamaño de una página de memoria en bytes. Es Sparc es de 8192, en x86 4096. Configuración del espacio de intercambio: se utiliza el comando swap para agregar o quitar espacio. - Swap –s (Muestra el espacio de intercambio virtual. No se tiene en cuenta lo que no se ha usado) - Swap –l (Muestra detalles del área de intercambio físico del sistema.) - Para agregar slices de intercambio: 1- Se agrega el slice en el /etc/vfstab. 2- Se utiliza el comando swap –a /dev/dsk/c1d0s3. - Para agregar archivos de intercambio: 1- Crear el directorio ( mkdir –p /SWAP ) 2- Crear el archivo (mkfile 20m /SWAP/NOBORRAR ) 3- Agrega el espacio. (swap –a /SWAP/NOBORRAR) 4- Agregar el archivo en el vfstab. - Eliminar slice de intercambio: swap –d /dev/dsk/c1d0s3 - Eliminar archivo de intercambio: swap –d /SWAP/NOBORRAR *** La memoria SWAP recomendada varia de acuerdo al sistema, a la RAM que posee el servidor y a la opinión del administrador. Muchos recomiendan que la memoria de intercambio debe ser por lo menos la misma cantidad de memoria física. (En la mayoria de veces esto se configura así por el sistema de volcado de fallos de Solaris. Aunque esto puede modificarse.) ***El directorio /tmp es un espacio en memoria.

Actualizando Fedora 19 a Fedora 20 en linea sin reinstalar A la luz de una versión de Linux Fedora (20), es necesario conocer como hacer el upgrade sin reinstalar. Para esto existe una herramienta llamada fedup que nos permite hacer el upgrade desde un repositorio, una imagen ISO o directamente con repositorios en linea. Veamos como es el procedimiento, dicho sea de paso, muy sencillo. Lo primero es decidir desde donde vamos a hacer el upgrade. Network Este método usa los repositorios a través de internet. 1- Primero instalamos la aplicación fedup y luego ejecutamos el upgrade. #sudo yum update fedup fedora-release #sudo fedup --network 20 2- Una vez que el proceso de fedup finalizó sin errores se hace un reboot y seleccionamos la opción System Upgrade. 3- Ya finalizado el upgrade realizamos una limpieza ejecutando: #rpm --rebuilddb #yum distro-sync --setopt=deltarpm=0 ISO Con esta opción utilizamos la ISO previamente descargada. La ISO debe estar dentro del sistema de archivos local. El procedimiento es similar: 1- Primero instalamos la aplicación fedup y luego ejecutamos el upgrade. # sudo fedup-cli --iso /home/user/fedora-20.iso 2- Una vez que el proceso de fedup finalizó sin errores se hace un reboot y seleccionamos la opción System Upgrade. 3- Ya finalizado el upgrade realizamos una limpieza ejecutando: #rpm --rebuilddb #yum distro-sync --setopt=deltarpm=0

Gente les copio este instructivo me que ayudo mucho. Configurar Servidor DNS en Solaris - Bind en Solaris Configurar un servidor DNS en Solaris es muy simple ya que traen incorporado alguna versión del BIND. Solo hay que crear la configuración apropiada. En Solaris 10, solo hay que configurar y luego levantar el servicio /network/dns/server. Para Solaris 11 se debe instalar la versión de Bind desde el repositorio mediante el comando #pkg install pkg:/service/network/dns/[email protected] o la versión que esté disponible. Instalando Bind en Solaris 11 desde el repositorio online. Para que BIND funcione solo hace falta generar 5 archivos donde tendremos la configuración de la zona y demás datos. Los archivos son: /etc/named.conf ( Se guarda la configuración del Bind ) /var/named/named.root ( Contiene la información sobre los root servers ftp://ftp.rs.internic.net/domain/named.root ) /var/named/forward.zone ( Zona directa ) /var/named/reverse.rzone ( Zona inversa ) /var/named/loop.back ( Zona loop ) Veamos un ejemplo de configuración: La zona será "prueba.com" y en la red 172.20.0.0/16. /etc/named.conf options { DIRECTORY "/var/named"; # Directorio que contendrá los archivos de configuración }; # Con esto definimos una ACL que permite el acceso a la red 172.20.0.0 acl "nets"{ {172.20.0.0/16;}; }; # Definimos el archivo que contendrá los servidores root de internet. zone "." in { type hint; file "named.root"; }; # Definimos el archivo que contendrá la zona directa del dominio. zone "prueba.com" in { type master; file "forward.zone"; # Esta linea se agrega si se quiere que el servidor dns permita las actualizaciones dinámicas por parte de los clientes. allow-update { nets; }; allow-transfer { nets; }; }; file "named.root"; }; # Definimos el archivo que contendrá la zona inversa del dominio. zone "20.172.in-addr.arpa" in { type master; file "reverse.rzone"; allow-update { nets; }; }; file "named.root"; }; # Definimos el archivo que contendrá la zona loopback del dominio. zone "0.0.127.in-addr.arpa" in { type master; file "loop.back"; }; /var/named/forward.zone $TTL 86400 ;me} {ttl} Class SOA Origin Postmaster ;---------------------------------------------------------------------------------- @ IN SOA nodoA.prueba.com root. nodoA.prueba.com ( 2005010101 ; Serial 3600 ; Refresh (1 Hour) 1800 ; Retry (30 Minutes) 6048000 ; Expire (1 Week) 86400 ) ; Minimum (24 Hours) ;{name} {ttl} Class NS Nameserver Name ;------------------------------------------------------ prueba.com. IN NS NodoA.prueba.com. ; ;{name} {ttl} Class A IP Address ;------------------------------------------------- #Aquí creamos las asociaciones que necesitamos. NodoA IN A 172.20.3.178 Firewall IN A 172.20.3.254 NodoB IN A 172.20.3.185 localhost A 127.0.0.1 ; ;{name} {ttl} Class CNAME Canonical Name ;------------------------------------------------------- ;router IN CNAME sys11 ;dns IN CNAME sys12 /var/named/reverse.rzone $TTL 86400 ; ;{name} {ttl} Class SOA Origin Postmaster ;---------------------------------------------------------------------------------- @ IN SOA NodoA.prueba.com. root.localhost. ( 2005010101 ; Serial 3600 ; Refresh (1 Hour) 1800 ; Retry (30 Minutes) 6048000 ; Expire (1 Week) 86400 ) ; Minimum (24 Hours) ; ;{name} {ttl} Class NS Nameserver Name ;------------------------------------------------------ @ IN NS NodoA.prueba.com. ; #Aquí creamos las asociaciones que necesitamos. ;{name} {ttl} Class PTR Real Name ;------------------------------------------------ 1 IN PTR NodoA.prueba.com. 2 IN PTR Firewall.prueba.com. 3 IN PTR NodoB.prueba.com. /var/named/loop.back $TTL 86400 ;me} {ttl} Class SOA Origin Postmaster ;---------------------------------------------------------------------------------- @ IN SOA nodoA.prueba.com. root.nodoA.prueba.com. ( 2005010101 ; Serial 3600 ; Refresh (1 Hour) 1800 ; Retry (30 Minutes) 6048000 ; Expire (1 Week) 86400 ) ; Minimum (24 Hours) ; ;{name} {ttl} Class NS Nameserver Name ;------------------------------------------------------ @ IN NS NodoA.prueba.com. ; ;{name} {ttl} Class PTR Real Name ;------------------------------------------------ 1 IN PTR localhost. Por último buscamos en ftp://ftp.rs.internic.net/domain/named.root y copiamos toda la información tal cual está y lo pegamos dentro de /var/named/named.root. /var/named/named.root ; This file holds the information on root name servers needed to ; initialize cache of Internet domain name servers ; (e.g. reference this file in the "cache . <file>" ; configuration file of BIND domain name servers). ; ; This file is made available by InterNIC ; under anonymous FTP as ; file /domain/named.cache ; on server FTP.INTERNIC.NET ; -OR- RS.INTERNIC.NET ; ; last update: Jan 3, 2013 ; related version of root zone: 2013010300 ; ; formerly NS.INTERNIC.NET ; . 3600000 IN NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:BA3E::2:30 ; ; FORMERLY NS1.ISI.EDU ; . 3600000 NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201 ; ; FORMERLY C.PSI.NET ; . 3600000 NS C.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12 ; ; FORMERLY TERP.UMD.EDU ; . 3600000 NS D.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. 3600000 A 199.7.91.13 D.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2D: ; ; FORMERLY NS.NASA.GOV ; . 3600000 NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10 ; ; FORMERLY NS.ISC.ORG ; . 3600000 NS F.ROOT-SERVERS.NET. F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241 F.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2F: ; ; FORMERLY NS.NIC.DDN.MIL ; . 3600000 NS G.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4 ; ; FORMERLY AOS.ARL.ARMY.MIL ; . 3600000 NS H.ROOT-SERVERS.NET. H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53 H.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:1::803F:235 ; ; FORMERLY NIC.NORDU.NET ; . 3600000 NS I.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17 I.ROOT-SERVERS.NET. 3600000 AAAA 2001:7FE::53 ; ; OPERATED BY VERISIGN, INC. ; . 3600000 NS J.ROOT-SERVERS.NET. J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30 J.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:C27::2:30 ; ; OPERATED BY RIPE NCC ; . 3600000 NS K.ROOT-SERVERS.NET. K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129 K.ROOT-SERVERS.NET. 3600000 AAAA 2001:7FD::1 ; ; OPERATED BY ICANN ; . 3600000 NS L.ROOT-SERVERS.NET. L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42 L.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:3::42 ; ; OPERATED BY WIDE ; . 3600000 NS M.ROOT-SERVERS.NET. M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33 M.ROOT-SERVERS.NET. 3600000 AAAA 2001C3::35 ; End of File Eso sería todo, solo deberiamos reiniciar el servicio de BIND. Para chequear que todo haya salido bien primero nos aseguramos que el servicio inicie correctamente y luego podemos conectarnos al propio servidor mediante nslookup y le pedimos que nos resuelva algo.

Hace una semana publiqué la primera parte de la configuracion de Squid. Aca les paso la segunda y les dejo los links ya que tienen imagenes. Squid en 3 pasos II En la primera parte Squid en solaris en 3 pasos vimos como dejar funcionando un firewall/proxy rapidamente. Ahora veremos más en detalle algunas configuraciones más que se pueden agregar al squid.conf. Definir una lista de permitidos a la navegación. 1- Crear un archivo (/etc/squid/permitidos) que contenga las direcciones IP a las cuales se les permite el acceso a internet. Ej: #cat /etc/squid/permitidos 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.5 2- Luego creamos una ACL (Lista de control de acceso) para vincular el archivo creado en el paso 1. Para esto agregamos en el squid.conf la siguiente linea. acl permitidos src "/etc/squid/permitidos" 3- Ahora solo nos resta crear la regla. En la seccion "Rules" del squid.conf la definimos de la siguiente manera: http_access [deny o allow] [lista de control de acceso] En este ejemplo sería: http_access allow permitidos Opción http_port Como lo indica el título, esta opción define en que puerto squid escuchará solicitudes. Por defecto viene configurado como: http_port 3128 Solo cambiando el número definimos otro puerto. Opción cache_dir Esta opción se utiliza para establecer que tamaño se desea que utilice Squid para almacenar el caché en el disco duro. El directorio en este ejemplo es /disco2/cache y un caché de 500 MB, dividido en jerarquías de 16 directorios subordinados, hasta 256 niveles cada uno: cache_dir ufs /disco2/cache 500 16 256 Estos datos son totalmente modificables. El caché se puede aumentar. Mientras más más grande, menos ancho de banda se consumirá. Tambien se puede especificar el porcentaje en el cual el caché comienza a limpiarse. Se pueden especificar dos opciones: cache_swap_low 85 cache_swap_high 95 La primera linea indica que el porcentaje en cual el caché comienza la limpieza. La segunda linea indica el porcentaje donde la limpieza comienza a ser más brusca.

Administración de fallos del kernel (dumpadm coreadm) En esta entrega veremos como administrar los fallos del kernel en un sistema Solaris. Cuando se produce un error grave en el sistema operativo, éste envía un mensaje a la consola en la que describe el error. El sistema operativo genera un volcado de la memoria en un slice de disco (POR LO GENERAL LA SWAP)(para luego ser analizado) y luego se reinicia. Hay dos tipos: Crash dump (panic del sistema. Se usa el dumpadm). Core dump (panic de un proceso. Se usa coreadm). VOLCADO POR FALLO DEL SISTEMA (Crash Dump) El archivo que contiene la configuración se llama /etc/dumpadm.conf. Dicho archivo no se modifica a mano, se modifica por medio del comando dumpadm. #dumpadm Dump content: kernel pages Dump device: /dev/dsk/c0d0s1 (swap) Savecore directory: /var/crash/sys-02 Savecore enabled: yes El “Dump content” puede variar entre paginas del kernel, all o cuproc. Se cambia mediante el comando # dumpadm –c contenido. El “Dump device” es el lugar de volcado. Por defecto es la SAWP. Pero puede ser otro lugar. Se cambia mediante #dumpadm –d /directorio. El “Savecore directory” es el directorio donde se crea el archivo. Este directorio debe estar en un slice que tenga como minimo una cantidad de espacio libre del tamaño de la SWAP. Es conveniente llevarlo a otro slice que no sea el /. Se modifica con #dumpadm –s directorio. “Savecore enabled” indica si el comando savecore se ejecuta automáticamente durante el inicio. 2. VOLCADO POR PANIC DEL PROCESO(Core Dump) Cuando un proceso falla, el sistema crea un archivo de nucleo central con una copia del espacio de memoria manejada por los procesos. Cuando se crea un archivo del nucleo central, el sistema genera dos copias del mismo: un archivo global y otro por proceso. (Se puede configurar que se creen ambos archivos, uno solo o ninguno.) Para ver la configuración actual se utiliza el comando #coreadm. El archivo que contiene la confiGuracion es /etc/coreadm.conf. Algunos ejemplos sobre el uso de los comandos. Uso del comando dumpadm para mostrar la ubicación del directorio de archivos del núcleo central Lleve a cabo los pasos siguientes: 1. Utilice el comando dumpadm sin argumentos para ver la configuración de volcado actual. # dumpadm Dump content: kernel pages Dump device: /dev/dsk/c1d0s1 (swap) Savecore directory: /var/crash/sys01 Savecore enabled: yes # Explicación de la salida del comando: Contenido del volcado: kernel pages Dispositivo de volcado: /dev/dsk/c1d0s1 (swap) Directorio savecore: /var/crash/sys01 ¿Está savecore habilitado? Sí 2. Utiliczar el comando dumpadm para cambiar el dispositivo de volcado al slice 5 de la segunda unidad de disco. # dumpadm -d /dev/dsk/c2d0s5 Dump content: kernel pages Dump device: /dev/dsk/c2d0s5 (dedicated) Savecore directory: /var/crash/sys01 Savecore enabled: yes # 4. Obligue al kernel a guardar una instantánea en tiempo real del sistema en ejecución y escriba una nueva serie de archivos de volcado del sistema utilizando el comando savecore -L. # savecore -L dumping to /dev/dsk/c2d0s5, offset 65536, content: kernel 100% done: 63380 pages dumped, compression ratio 4.28, dump succeeded System dump time: Fri Apr 20 13:40:20 2007 Constructing namelist /var/crash/sys01/unix.0 Constructing corefile /var/crash/sys01/vmcore.0 100% done: 63380 of 63380 pages saved # 4. Utilice el comando file para asegurarse de que el volcado se ha realizado correctamente e identificar los archivos del directorio savecore. La salida debería ser similar a la siguiente si utiliza un sistema x86/x64: # cd /var/crash/sys01 # ls bounds unix.0 vmcore.0 # file vmcore.0 vmcore.0: SunOS 5.10 Generic_118855-33 64-bit Intel crash dump from '' # Usando el comando coreadm para configurar la posición de almacenamiento de los archivos del núcleo central. Lleve a cabo los pasos siguientes: 1. Utilice el comando coreadm para mostrar la configuración predeterminada de los archivos del núcleo central. # coreadm global core file pattern: global core file content: default init core file pattern: core init core file content: default global core dumps: disabled per-process core dumps: enabled global setid core dumps: disabled per-process setid core dumps: disabled global core dump logging: disabled # 2. Cree un directorio para los archivos del núcleo central y habilite una ruta de archivo del núcleo central global en la que se utilice el directorio creado. # mkdir /var/core # coreadm -e global -g /var/core/core.%f.%p 3. Active el registro de volcados del núcleo globales para que se genere un mensaje cuando el sistema cree un archivo del núcleo central global. # coreadm -e log 4. Acceda a la información de configuración de los archivos del núcleo central para verificar los cambios. # coreadm global core file pattern: /var/core/core.%f.%p global core file content: default init core file pattern: core init core file content: default global core dumps: enabled per-process core dumps: enabled global setid core dumps: disabled per-process setid core dumps: disabled global core dump logging: enabled # 5. Abra otra ventana de terminal. En esta ventana, cree un directorio nuevo que se denomine /var/tmp/dir y cambie a ese directorio. # mkdir /var/tmp/dir # cd /var/tmp/dir # 6. Verifique que el directorio de trabajo actual es /var/tmp/dir. # pwd /var/tmp/dir 7. Ejecute el comando ps para mostrar el PID del shell asociado con la nueva ventana de terminal. A continuación, utilice el comando kill para enviar una señal SIGFPE (señal 8) al shell. (SIGFPE hace que se cree un archivo del núcleo central.) # ps PID TTY TIME CMD 1204 pts/2 0:00 ksh 1208 pts/2 0:00 ps # kill -8 1204 Nota – El comando kill -8 interrumpe la actividad del shell y de la ventana de terminal en la que se ejecuta. 8. En la ventana de terminal original, compruebe que el directorio de trabajo actual del shell antiguo presenta un archivo del núcleo central. Utilice el comando file para verificar que el archivo del núcleo central pertenece al shell anterior. # cd /var/tmp/dir # ls core # file core core: ELF 32-bit LSB core file 80386 Version 1, from 'sh' 9. Utilice el comando ls para localizar un archivo del núcleo central en el directorio /var/core. # ls /var/core core.sh.1204 10. Lea el mensaje que se genera en la ventana de la consola y el archivo /var/adm/messages a causa de la habilitación del registro de coreadm. # tail /var/adm/messages ... Apr 20 13:58:46 sys01 genunix: [ID 603404 kern.notice] NOTICE: core_log: sh[1204] core dumped: /var/core/core.sh.1204

TCP Wrappers (Envoltorio de TCP) es un sistema de red ACL que trabaja en terminales y que se utiliza para filtrar el acceso de red a servicios de protocolos de internet que corren en sistemas Unix o sus variantes Linux. Permite que las direcciones IP, los nombres de terminales y/o subredes sean usadas como tokens sobre los cuales filtrar para propósitos de control de acceso. Permite: - Abrir el sistema local solo a aquellos a los que quiero permitir el acceso. - Permitir solo el servicio que uno quiere que ese host remoro acceda. Se puede utilizar como medida de seguridad o seguridad adicional a un sistema que estamos protegiendo un IPTABLES o IPFILTER. Para su funcionamiento, se utilizan dos archivos: /etc/hosts.allow (Permite el acceso) y el /etc/hosts.deny (deniega el acceso). Cuando un cliente requiere una conexión, ambos archivos son consultados y se toma una desición: 1- Si el daemon está en el hosts.allow se brinda el acceso. 2- Si el daemon está en el hosts.deny se deniega el acceso. 3- Si no hay macheo en hosts.allow ni en hosts.deny, se brinda acceso. La primera linea que coincida determina la resolución. Si ambos archivos no existen o estan vacios se deja que todos los clientes accedan a todos los demonios. El funcionamiento es sencillo. Los formatos para /etc/hosts.allow y /etc/hosts.deny son idénticos. Cualquier línea en blanco que comience con un símbolo de numeral o almohadilla (#) será ignorada, y cada regla debe estar en su propia línea. Las reglas se tienen que formatear de la siguiente manera: <daemon list>: <client list> [: <option>: <option>: ...] <daemon list> — Una lista separada por comas de los nombres de procesos (no de los nombres de servicios) o el comodín ALL . La lista de demonios también acepta operadores para permitir mayor flexibilidad. <client list> — Una lista separada por comas de nombres de host, direcciones IP, patrones especiales o comodines especiales la cual identifica los hosts afectados por la regla. La lista de clientes también acepta operadores para permitir mayor flexibilidad. <option> — Una acción opcional o una lista separada con puntos y comas de acciones realizadas cuando la regla es activada. Los campos de opciones soportan expansiones , lanzan comandos desde el shell, otorgan o prohiben el acceso y alteran el comportamiento de la conexión . Les dejo el link donde está el articulo completo y las fotos. https://www.facebook.com/netconredes http://netconredes.blogspot.com.ar/2014/10/agregando-una-capa-adicional-de.html

Configuración de RAID en Solaris Si bien, el hacer raid en Solaris ha sido casi reemplazado usando el sistema ZFS, en algunos casos podemos llevar a necesitar hacerlo usando Solaris Volume Manager. Aquí vemos como se realiza. RAID es un método orientado a la copia de seguridad y almacenamiento de datos en varias unidades de disco. Además de las implementaciones redundantes existe una que no es redundante que es RAID 0. Con el software de Solaris Volume Manager podemos implementar RAID 0, RAID1, RAID 1+0 y RAID 5. RAID 0: Es una matriz no redundante que permite ampliar la capacidad de almacenamiento del disco. Existen dos clases: Volumenes concatenados y Volumenes Fraccionados. Los volúmenes concatenados escriben en el primer slice disponible, cuando éste se llena se comienza a escribir en el siguiente disponible y los Volumenes Fraccionados distibuyen los datos en forma uniforme en todos los slices que lo componen. El problema del RAID 0 es que no proporcionan redundancia de datos, y en el caso que falla un slice no se puede acceder al volumen total. Tenemos dos formas de hacerlo: Volumenes concatenados: se pueden combinar slices de diferente tamaño. Incluso se pueden ir agregando conforme al crecimiento. Volumenes fraccionados: en volúmenes RAID 0 los datos se distribuyen en segmentos de igual tamaño entre los slices. Este método permite leer datos de vario slices al mismo tiempo, lo que aumenta el rendimiento de entrada y salida. RAID 1: es una matriz de discos en espejo. Puede contener volúmenes RAID 0. Tiene como desventaja que se pierde la mitad del espacio disponible. RAID 0+1: Se crean 2 RAID 0 y a estos se los configura como RAID1. RAID 1+0: Se crean varios RAID 1 y luego a estos se los configura como RAID 0. RAID 5: Son volúmenes fraccionados en los que se emplea un esquema de paridad distribuida con un esquema de paridad. Los datos se distribuyen en los discos y también se distribuyen los datos de paridad. En caso de falla de un disco, estos se reconstruyen con los datos de las otras unidades. Es tolerante al fallo de un disco. El sistema operativo se entera del fallo solo para dar aviso del fallo, mientras tanto los datos y los programas pueden seguir funcionando sin problemas, pero con el rendimiento degradado. Consejos para hacer RAID: Mantenga los Slices de subduplicaciones diferentes en discos y controladoras diferentes. Esto reduce la posibilidad de falla. Utilice el mismo tipo de discos y controladores para la subduplicación- No montar un slice que forma parate de una duplicación. Solaris Volume Manager: Es la herramienta de Solaris para administrar volúmenes en RAID. Conceptos: Volumen Lógico: es una unidad lógica de almacenamiento. Un volumen puede ser un slice de disco, una parte de este o una concatenación de varios slice para hacer un volumen más grande. Particiones de Software: son subdivisiones de discos o volumen lógicos para crear unidades más manejables. Ej: Se puede crear 1000 particiones de software sobre un volumen RAID 1 o RAID 5 para que cada usuario disponga de un espacio. La ventaja de una partición de software que la podemos ir ampliando o reduciendo a medida que necesitamos. Consejos para partiones de software: Es posible crear una partición de software de un slice. Para eso hay que crear un slice que ocupe todo el disco y luego crear la partición de software sobre ese slice. Para expandir y administrar el espacio, primero cree fracciones en los slices del disco y luego genere las particiones de software en las fracciones. Para tener mayor flexibilidad, primero cree el RAID y luego haga particiones de software dentro del RAID. Base de datos de estado: es un conjunto de varias copias de la base de datos. Esta base contiene toda la información de configuración y estado de todos los volúmenes. Solaris Volume Manager contiene varias copias de la base de datos para redundancia. Cuando el sistema pierde una réplica de la base de datos de estado, Solaris Volume Manager debe determinar cuales son las réplicas que todavía contienen datos no dañados, para esto usa un algoritmo. El Solaris Volume Manager no inicia a menos que la mitad +1 de las réplicas esté disponible. Configuración de Solaris Volume Manager: Creación de una base de datos de estado: metadb -a [-f] [-c n] [-l nnnn] slice_disco donde: -a Agrega una réplica de la base de datos de estado. -f Fuerza la operación, incluso cuando no existen réplicas. Utilice este indicador para forzar la creación de las réplicas iniciales. -c n Especifica el número de réplicas que se van a agregar al slice. -l nnnn Especifica el tamaño de las nuevas réplicas, expresado en bloques. slice_disco Especifica el nombre del slice_disco que va a contener la réplica. Ej: #metadb –a –f c0d0s0 c0d1s0 Creación de RAID-0 Concatenacion y striped: metainit -f concat/fracc númfracc ancho componente... donde: -f Obliga al comando metainit a continuar, incluso cuando uno de los slices contiene un sistema de archivos montado o se usa como espacio de intercambio. Esta opción es útil cuando se configuran duplicaciones o concatenaciones en sistemas de archivos raíz (/), swap y /usr. concat Especifica el nombre del volumen de la concatenación o fracción que se está definiendo. númfracc Especifica el número de fracciones separadas del metadispositivo. La variable númfracc siempre tiene el valor 1 cuando se trata de una fracción simple. En el caso de la concatenación, númfracc equivale al número total de slices. ancho Especifica el número de slices que componen una fracción. Los slices están fraccionados cuando el valor de ancho es mayor que 1. componente Especifica el nombre lógico del slice físico (partición) de una unidad de disco, como /dev/dsk/c0t0d0s1. Ej: #metainit -f d0 1 2 c0d1s0 c1d1s0 ( Striped) Ej: # metainit –f d0 2 1 c0d1s0 1 c1d1s0 (Concatenado) Este comando crear el raid, solo falta ejecutar el newfs o e growfs y montarlo. Si estamos ampliando un slice que actualmente esta montado. 1- Se desmonta. 2- Se crea el d0 con el slice actual y el que queremos agregar. 3- Se monta el /dev/md/dsk/d0 en el mismo punto de montaje. 4- se hace el growfs para hacer crecer el volumen. #growfs –M /puntodemontaje /dev/md/rdsk/d0 (Los datos no se pierden) **** Haciendo #metastat se puede diferencia si el RAID 0 es striped o concatenado. El stripe muestra una sola banda. El concatenado muestra tantas bandas como slice tenga en raid 0. Creación RAID 1: Los Raid 1 son duplicaciones. El uso de subduplicaciones para crear un RAID 1, es cuando se usan 2 o más RAID 0 para crear luego un RAID 1. En este caso los RAID 0 son subduplicaciones y el RAID 1 una duplicación. Para crear: 1- # metadb –a –f –c 3 /dev/rdsk/c0d0s7 /dev/rdsk/c0d1s7 (Crea las base de datos) 2- # metainit –f d11 1 1 /dev/rdsk/c0d0s0 ( Crea la primera subduplicación – Volumen logico ) 3- # metainit –f d12 1 1 /dev/rdsk/c0d1s0 ( Crea la segunda subduplicación – Volumen logico) 4- # metainit -f d10 -m d11 ( Se crea el volumen principal que va a contener a los lógicos, donde d10 es el nombre del volumen principal y el d11 es el volumen lógico que se quiere espejar ) 5- # metattach d10 d12 (Atachamos el volumen lógico d12 al principal d10) RAID 1 en el /: Cuando creamos un RAID 1 del /, tenemos que hacer los mismos pasos de crear un RAID 1 en otro disco agregando el comando metaroot. 1- # metadb –a -f -c3 /dev/rdsk/c0d0s7 /dev/rdsk/c1d1s7 ( Crea las bases de datos ) 2- # metainit –f d11 1 1 /dev/rdsk/c0d0s0 ( Creamos la primera subduplicación - Volumen lógico ) 3- # metainit -f d12 1 1 /dev/rdsk/c1d1s0 ( Creamos la segunda subduplicacion – Volumen lógico ) 4- # metainit d10 -m d11 ( Se crea el columen principal que va a contener los lógicos, donde d10 es el nombre del volumen principal y el d11 es el volumen lógico que se quiere espejar ) 5- # metaroot d10 ( Esta línea modifica el /etc/vfstab ) 6- # init 6 7- # metattach d10 d12 ( Atachamos el volumen lógico destino del espejo, en este caso d12 ) ***Para arrancar del otro disco en x86 hay que instalar grub en el otro disco: #/sbin/installgrub /boot/grub/stage1 /boot/grub/stage2 /dev/rdsk/c1d1s0 ***Para arrancar del otro disco en SPARC se cambia el disco de booteo desde la OBP. RAID 5: Es un raid que contiene paridad. Debe contener al menos 3 slices. EL RAID 5 no puede ser striped, concatenado ni duplicado. Este tipo de RAID no se debe hacer con un file system con datos, ya que este proceso borra todos los datos. Para reemplazar un disco por otro se utiliza metareplace. Ej: # metainit d3 -r c1t4d0s7 c2t4d0s7 c1t5d0s7 d3: RAID is setup