Mostrando entradas con la etiqueta tips. Mostrar todas las entradas
Mostrando entradas con la etiqueta tips. Mostrar todas las entradas

martes, 26 de junio de 2012

Arrancar/bootear Mandriva sin X

Mini historia:

  Aunque parezca mentira hacer arrancar Mandriva sin interfaz gráfica (X) ha sido una verdadera pesadilla.

  Quizás algunos de ustedes agradezcan este post :)  en fin solo deseo que sea útil. Allí va:


Objetivo:
  Arrancar Mandriva Linux sin interfaz gráfica (para ahorrar memoria, CPU, seguridad, no lo necesito o sencillamente no quiero X)


Intentos infructuosos:
  Luego de muchos intentos donde se incluye la teoria de colocar Unix en runlevel 3 para multiuser en /etc/inittab, bueno, todo eso no funciona.

  Entre otras cosas también intenté link al estilo:



ln -sf /lib/systemd/system/multi-user.target /etc/systemd/system/default.target
(tampoco funciona)



Intenté también:

chkconfig --level 234567 dm off
(tampoco funciona)


   Y muchas otras cosas que me hicieron perder el tiempo

Solución definitiva:
  La solución ni siquiera fue por el OS, sino por el GRUB!, la solución es indicar en menu.lst al final de la linea el runlevel con el que deseas arrancar.
  Por ejemplo:

#more /boot/grup/menu.lst



title linux
kernel (hd0,0)/boot/vmlinuz BOOT_IMAGE=linux root=UUID=c578d361-dc13-4821-ba42-e
f01abc2c55c  nokmsboot logo.nologo quiet resume=UUID=48a9d362-4b8c-40da-a0a4-775
c6072f2ac splash=silent vga=788 3
initrd (hd0,0)/boot/initrd.img


  Noten el "3" al final de la linea.

  Luego reinician el equipo y listo!!

Importante:
  Es posible que deben utilizar la combinación ALT+F2, ALT+F3, etc para moverse entre los vty, de igual manera recordemos que runleven 3 es multiuser y networking.


Suerte!,







viernes, 19 de noviembre de 2010

Redistribuir ruta por default con BGP. Cisco

Escenario:
El dia de hoy estuve un cliente que me pidio que por BGP le anunciara una ruta por default. En fin, es algo muy sencillo y espero sea de tu utilidad.

Solucion:
En el router Cisco configurar:

router bgp XXXX
neighbor 10.0.1.5 remote-as NNN
neighbor 10.0.1.5 default-originate

Donde:
XXXX: es tu sistema autonomo
10.0.1.5: Direccion IP del peer con quien estas levantando la sesion BGP
NNN: El sistema autonomo de tu peer
El comando default-originate es quien hace posible la publicacion de una ruta 0.0.0.0 al peer remoto.

Mas informacion:
https://learningnetwork.cisco.com/message/83023
http://blog.ioshints.info/2007/11/bgp-default-route.html

Espero haya sido util,

lunes, 11 de enero de 2010

9 Consejos en administracion de routers Cisco

Tip 1. Mas información en la descripción de las interfaces
Colocar en la descripción de la interfaz en el nro de circuito y nombre del proveedor. Por Ejemplo

interface Serial0/0/0
description Mi cliente-A. CKT ID: A-1000123. Proveedor. Sprint
bandwidth 2048
ip address 10.0.0.61 255.255.255.252
ip load-sharing per-packet
no ip mroute-cache
load-interval 30
no fair-queue
crc4
ts16
no cdp enable

Tip 2. Prevencion del uso de debug
Al momento de realizar un debug recomiendo realizar ejecutar el comando undebug all, de esta manera luego eliminar el debug es tan rapido con darle dos veces a la flecha hacia arriba y luego enter.


Tip 3. Utilizar Reload at y reload in
En repetidas oportunidades nos vemos en la necesidad de ejecutar comandos que probablemente nos dejen sin adminitración del equipo remoto (pe. cambiar una dirección IP, configurar un trunking, etc). Dentro de un mismo datacenter no existe mucha preocupación, pero si el equipo a modificar se encuentra a 500KM es muy riesgoso. En esta oportunidad recomiendo tomar ventaja del comando "reload at" o del comando "reload in".
Por ejemplo, digamos que vamos a modificar la dirección IP del equipo remoto y luego comprobaremos que seguimos con administración del mismo. ¿Cuanto tiempo toma esto?, ¿8 minutos?.
Hariamos lo siguiente:

a) Telnet/SSH al router remoto
b) #reload in 8
Reload scheduled for 14:31:22 CARACAS Mon Jan 11 2010 (in 8 minutes)
Proceed with reload? [confirm]
c) Luego de lo anterior tenemos 8 minutos para configurar todo lo que sea necesario (IP, ACLs, etc).
d) Si los resultados son satisfactorios cancelamos el reload con el comando "reload cancel":
#reload cancel

***
*** --- SHUTDOWN ABORTED ---
***


e) Si los cambios no son satisfactorios (por ejemplo perdimos la administración del equipo remoto) el equipo se reiniciará en 8 minutos y podremos seguir trabajando debido a que no hemos hecho write mem

Tip 4. Asociar subinterfaces
Al momento de crear subinterfaces (por ejemplo Dot1Q o FrameRelay) recomiendo asociar el nunero de subinterfaz con el numero de DLCI o VLAN. Por ejemplo:

interface FastEthernet1/1/0.6
description Red 10.0.0.0/29
encapsulation dot1Q 6
ip address 10.0.0.1 255.255.255.248
no cdp enable

Tip 5. Uso de atajos de teclados
Cisco ofrece gran variedad de atajos con el teclado al momento de manipular comandos. Por ejemplo podemos borrar el comando (la linea), ir al comienzo del comando o al final de manera muy rápida, todo esto se traduce en ahorro de tiempo. Aquí te dejo los más utilizados:

Flecha hacia arriba: Muestra el comando previo
Flecha hacia abajo: Muestra comandos mas recientes referentes a la posición actual
Ctrl+P = Flecha hacia arriba
Ctrl+N = Flecha hacia abajo
Ctrl+A: Mueve el cursos al comienzo de la linea
Ctrl+E: Mueve el cursos al final de la linea
Esc+F: Salta una palabra hacia adelante
Esc+B: Salta una palabra hacia atras
Ctrl+U: Borra la linea de comando
Ctrl+W: Borra una palabra
Tab: Completa el comando
Ctrl+Z: Sale del modo de configuracion, regresa a modo privilegiado

Tip 6. Manipulación de salida de comandos
Parecido al Tip 5, el IOS de Cisco ofrece cierta facilidad para manipular las salidas de los comandos. Por ejemplo, uno puede buscar cierto string luego de ejecutar un comando. Por ejemplo una salida de show arp puede ser muy larga.
Digamos que queremos buscar la mac-address del equipo con la dirección ip 10.0.1.26, hariamos lo siguiente:

#sh arp | include 10.0.1.26
Internet 10.0.1.26 234 001c.9020.d01b ARPA FastEthernet1/1/0.14

Similar a include podemos conseguir: include, exclude y begin

Tip 7. Syslog Server
Cisco tiene la desventaja que luego de reiniciar el router/switch se pierden los logs del mismo, esto trae como consecuencia perdida de información por ejemplo de cuando levanta/cae una sesión eigrp, bgp, estado de las interfaces, etc. Por ello recomiendo tener un syslog server externo (tal como syslog server ng en Linux) compilar los logs de tus equipos. El comando en Cisco puede ser tan sencillo como:
MiSwitch(config)#logging 10.0.0.76

Donde 10.0.0.76 es el Syslog Server

Tip 8. Uso de NTP Server.
Es muy ventajoso tener todos los equipos de la red con la misma hora y el mismo huso horario, esto trae como ventaja ofrecer un troubleshooting más sencillo y conseguir errores más rápido. Al momento de un inconveniente si todos los equipos tienen horas diferentes es muy complicado hacer seguimiento de los errores y determinar si los mismos estan relacionados uno con otros.
En Cisco para configuar un NTP y el timezone se realiza de la siguiente manera:

clock timezone CARACAS -4 30
ntp server 128.250.36.2 prefer
ntp server 128.250.36.3
ntp server 136.159.2.254

En el ejemplo anterior CARACAS es el timezone, -4 30 correnponde al huso horario de Caracas y los siguientes comandos son servidor NTP publicos. También puedes utilizar servidor NTP internos si tus equipos Cisco no cuentan con acceso a Internet

Tip 9. Ajustar el log y el timestamp
Otro ajuste que me agrada hacer en la configuración de los equipos Cisco es ajustar el log interno y la manera como marca los mismos. Luego de tener el NTP, ajusto el tamaño de los logs y quiero que me indique hora y fecha de los mismos del lado izquierdo, para ello los comandos son los siguientes:

service timestamps debug uptime
service timestamps log datetime localtime
logging buffered 32000 debugging

Un ejemplo de lo anterior sería lo siguiente:

Jan 13 07:03:49: %CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on FastEther
net1/0/10 (not half duplex), with Torondoy-NOC Ethernet0 (half duplex).

Notese que me aprece la fecha y hora al comienzo del registro del log



Eso es todo, espero estos tips sean de utilidad,

miércoles, 16 de diciembre de 2009

Windows 2003. Windows no tiene acceso al dispositivo, ruta de acceso o archivo especificado

Problema:
Al intentar ejecutar un archivo en Windows 2003 aparece el siguiente mensaje:

"windows no tiene acceso al dispositivo, ruta de acceso o archivo especificado".




Solucion:

Si copiastes el archivo por la red en un recurso compartido probablemente Windows haya protegido dicho archivo por seguridad.
Haz click derecho, haz click sobre propiedades y haz click sobre el boton desbloquear al lado de donde indica: "Este archivo provino de otro equipo y puede que se bloquee para ayudar a proteger este equipo"



Posteriormente podras ejecutar dicho archivo.

Suerte!,

viernes, 5 de junio de 2009

Tips de Seguridad para Linux

A la hora de instalar un Servidor en Linux, el paso del tiempo me ha dado ciertas experiencia a la hora de ajustar politicas de seguridad. Muchas de ellas van a ayudar a que nuestro servidor se encuentre mas seguro.

A continuacion, comparto varias de las politicas que siempre mantengo en mente a la hora de configurar un servidor.

Siempre despues de instalar un servidor, aprovecho para hacer estos cambios.

1) Con el comando chkconfig, elimino los siguientes daemons:
ppp, bind9 ( a menos que sea un servidor DNS), lwresd, portmap, exim4, netatalk, samba, fam, nfs-common, atd, apache2.

E inclusive, sino son necesarios, los elimino

2) Me aseguro de que el siguiente parametro este en el archivo /etc/security/limits.conf

* hard core 0

3) Asegurarse tambien de que las siguientes lineas esten en el archivo /etc/pam.d/login

session required /lib/security/pam_limits.so

4) Comento la siguiente linea en el archivo /etc/inittab

ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

ejm:

#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

5) Las claves deben de expirar cada 90 dias, esto se hace editando el siguiente parametro en /etc/logins.def

MASS_MAX_DAYS 90

6) Elimino las siguientes cuentas (/etc/passwd, /etc/shadow)

games, lp, news, uucp, proxy, irc, gnats, list


7)Cambio el shell por defecto de los siguientes usuarios a /bin/false
bin, daemon, mail, nobody, sync, sys

8) Elimino cualquier informacion que contengan los archivos

/etc/issue
/etc/issue.net

9)Todo los ejecutables que tenga el setuid y setgid, por defecto, ninguno puede ser escrito por el grupo "others"

find / -perm -4000 -exec ls -l {} \;
find / -perm -2000 -exec ls -l {} \;

Ejm
-rwsr-xr-x 1 root root 31640 2008-11-22 11:01 /usr/bin/passwd
||



9) Modifico el parametro a continuacion en el archivo /etc/login.defs:

LOGIN_RETRIES 3

( crear el archivo /var/log/faillog para grabar todo los intentos de acceso)

10) Editamos el archivo /etc/pam.d/common-password y nos aseguramos de que la opcion min=8 este en la configuracion de pam_unix


Estos tips van a ayudar de cierta manera a asegurar el servidor, mas adelante, colocare unas herramientas que van a ayudarnos a realizar tareas sobre el sistema y verificar la integridad del mismo.

Una mejora práctica en el Transporte DNS sobre UDP en IPv6

Por Hugo Salgado y Alejandro Acosta Introducción y planteamiento del problema En el presente documento queremos discutir sobre un draft (bor...