PERMISOS NFS SYNOLOGY

febrero 11, 2017 en 2:11 am | Publicado en NFS, Synology | Deja un comentario

¿Qué es el squash en el NFS?

El squash sirve para que los usuarios de un cliente NFS utilicen los permisos de un determinado usuario de un servidor NFS.

En el caso de la synology permite por ejemplo que root se asigne a admin (el usuario local de la Synology), que root se asigne a guest y que todos los usuarios se asigne a admin.

¿Cuál es el problema?

Cuando se quiere mantener un esquema de permisos Linux, la opción de squash hay que deshabilitarla (opción “sin asignación” en la Synology). Pero si se hace ésto, la Synology utiliza un usuario y un grupo por defecto cuando se crean nuevos ficheros y directorios. Ese usuario por defecto tiene un uid y un gid distintos a los que usamos en el cliente NFS y por lo tanto no nos vale.

El primer paso es cambiar el uid y el gid que utiliza por defecto la Synology. Hay que modificar los valores anonuid y anongid del fichero /etc/exports para hacerlos coincidir con el uid y el gid del usuario del cliente Linux (p.ej. 1000)

/volume1/storage        192.168.10.150(rw,async,no_wdelay,no_root_squash,
insecure_locks,sec=sys,anonuid=1000,anongid=1000)

Una vez modificado ejecutamos el siguiente comando para que tome efecto:

# exportfs -ra

Por otro lado, desde el DSM, dentro del File Station, establecemos los permisos que van a tener los nuevos ficheros que se crean (botón derecho – propiedades – permiso).

Añadiremos los permisos para el “Owner” (control total) y para “Everyone” (Lectura), por ejemplo.

De esta forma, cuando se cree un fichero en esa carpeta compartida, se hará con el uid y con el gid que hemos especificado en el fichero exports, y con permisos “rwx” para el propietario y “r” para el grupo y para los demás, gracias a los permisos de “everyone”, es decir, un 744.

Una limitación que existe es que no se pueden crear grupos con GID bajo, que suelen ser los que tienen por defecto los equipos Linux (1000 p.ej.). Por este motivo, no podemos establecer permisos para un grupo con UID bajo. Si se crea un grupo en la Synology lo hará con un GID alto (65535 p.ej.) y si se cambia a uno bajo (1000 p.ej.) éste desaparece y no es reconocido en el DSM de la Synology.

Anuncios

REINICIO AUTOMÁTICO TÚNELES FIREWALL CHECK POINT

febrero 11, 2017 en 1:45 am | Publicado en Check Point, Firewall | Deja un comentario

Queremos reiniciar de forma periódica los túneles de un firewall Check Point.

Para ello accedemos al modo experto del firewall.

Primero debemos crear el script que reinicia los túneles (/sbin/restart_L2L_tunnel.sh):

#!/bin/bash
date
vpn tu << EOF
0
Q

Los firewalls Check Point (serie 11xx) no inician el demonio de cron de forma automática, por lo que debemos programar la ejecución de un script que lo inicie y configure en cada arranque. Aprovechamos ese script para que se ejecute el script de reinicio de los túneles.

Para ello creamos el fichero /pfrm2.0/etc/userScript (644) con el siguiente contenido:

mkdir -p /var/spool/cron/crontabs/
/usr/sbin/crond
echo ‘0 7 * * * /sbin/restart_L2L_tunnel.sh >> /var/log/restart_L2L_tunnel.log’ >> /var/spool/cron/crontabs/root
chmod 600 /var/spool/cron/crontabs/root

INSTALAR FIREFOX DE 32 BITS EN DEBIAN JESSIE DE 64 BITS

diciembre 3, 2016 en 2:15 am | Publicado en Firefox | Deja un comentario

Antes de ejecutar Firefox hay que instalar los siguientes paquetes:

dpkg –add-architecture i386

aptitude install libc6:i386 gcc-4.8-base:i386 libc6-i686:i386 libgcc1:i386 libfontconfig1:i386 libxrender1:i386 libfreetype6:i386 libx11-6:i386 lib32stdc++6 libxext6:i386 libxdamage1:i386 libxcomposite1:i386 libasound2:i386 libdbus-glib-1-2:i386 libgtk2.0-0:i386 libxt6:i386

ADMINISTRACIÓN DE RAID HP SMART ARRAY EN LINUX

noviembre 17, 2016 en 2:19 am | Publicado en Raid, Smart Array | Deja un comentario

La utilidad se llama HP Array Configuration Utility CLI for Linux (hpacucli)

Para instalarla hay que añadir el siguiente repositorio:

# wget http://downloads.linux.hp.com/SDR/repo/mcp/GPG-KEY-mcp -O /tmp/proliant.gpg

# apt-key add /tmp/proliant.gpg

# echo -e “deb http://downloads.linux.hp.com/SDR/repo/mcp/ wheezy/current non-free” > /etc/apt/sources.list.d/proliant.sources.list

# apt-get update && apt-get install hpacucli

Una vez instalado lanzamos la consola de hpacucli con

# hpacucli

Los comandos básicos son:

Mostrar controladoras y el slot en el que están conectados (necesario para otros comandos):

=> ctrl all show status

Smart Array P410 in Slot 1

  Controller Status: OK

  Cache Status: OK

Mostrar unidades lógicas y su estado:

=> ctrl slot=1 ld all show status

  logicaldrive 1 (931.5 GB, 1): OK

  logicaldrive 2 (3.6 TB, 5): Interim Recovery Mode

  logicaldrive 3 (5.5 TB, 5): OK

Mostrar discos de todas las unidades lógicas y su estado:

=> ctrl slot=1 pd all show status

  physicaldrive 1I:1:1 (port 1I:box 1:bay 1, 1 TB): OK

  physicaldrive 1I:1:2 (port 1I:box 1:bay 2, 1 TB): OK

  physicaldrive 1I:1:3 (port 1I:box 1:bay 3, 2 TB): OK

  physicaldrive 1I:1:4 (port 1I:box 1:bay 4, 2 TB): OK

  physicaldrive 2I:1:5 (port 2I:box 1:bay 5, 2 TB): Rebuilding

  physicaldrive 2I:1:6 (port 2I:box 1:bay 6, 3 TB): OK

  physicaldrive 2I:1:7 (port 2I:box 1:bay 7, 3 TB): OK

  physicaldrive 2I:1:8 (port 2I:box 1:bay 8, 3 TB): OK

PARAR UN PROCESO WINDOWS EN ESTADO “DETENIENDO” O “STOP PENDING”

octubre 28, 2016 en 2:21 am | Publicado en Windows | Deja un comentario

Hay que ejecutar los siguientes comandos desde una Powershell ejecutada como administrador y con todos los privilegios (importante!!):

Obtenemos la información del proceso en ese estado. Se incluye el ID que nos hará falta en el siguiente comando:

Get-WmiObject -Class win32_service | Where-Object {$_.state -eq ‘stop pending’}

Paramos el proceso usando su ID:

Stop-Process -Id XXXX  -Force -PassThru -ErrorAction Stop

INSTALACIÓN SPF SERVIDOR POSTFIX

septiembre 10, 2016 en 12:20 am | Publicado en Postfix | Deja un comentario

Instalamos los paquetes necesarios:

sudo apt-get install postfix-policyd-spf-perl

Añadimos lo siguiente al main.cf:

policy-spf_time_limit = 3600s

(en la sección smtpd_recipient_restrictions después de reject_unauth_destination)

check_policy_service unix:private/policy-spf

Añadimos al master.cf:

policy-spf  unix  –       n       n       –       –       spawn
user=nobody argv=/usr/sbin/postfix-policyd-spf-perl

Reiniciamos el demonio:

/etc/init.d/postfix reload

SHRINK LOG TRANSACCIONES SQL SERVER 2008

mayo 14, 2016 en 12:19 am | Publicado en SQL Server | Deja un comentario

USE dbname;

GO

— Truncate the log by changing the database recovery model to SIMPLE

ALTER DATABASE dbname

SET RECOVERY SIMPLE;

GO

— Shrink the truncated log file to 1 MB

DBCC SHRINKFILE (2, 1);  — here 2 is the file ID for trasaction log file,you can also mention the log file name (dbname_log)

GO

— Reset the database recovery model.

ALTER DATABASE dbname

SET RECOVERY FULL;

GO

SPF (SENDER POLICY FRAMEWORK)

febrero 26, 2015 en 1:24 pm | Publicado en Correo, Seguridad | Deja un comentario

Previene falsificación de remitentes en el envío de correo electrónico comprobando la dirección de envío de los remitentes.

Cuando se envía un correo, por ejemplo a “abuse@telefónica.net”, desde nuestros servidores, el servidor de telefónica analiza los datos del correo y los contrasta con la configuración de SPF de nuestro servidor DNS/correo para saber si son legítimos.

Lo mismo sucede cuando se recibe correo en nuestros servidores. Con el openspf instalado en el inbound de correo se comprueba si los correos recibidos son legítimos.

Tipos de direcciones de envío en el email:

The envelope sender address (sometimes also called the return-path) is used during the transport of the message from mail server to mail server, e.g. to return the message to the sender in the case of a delivery failure. It is usually not displayed to the user by mail programs.

The header sender address of an e-mail message is contained in the “From” or “Sender” header and is what is displayed to the user by mail programs. Generally, mail servers do not care about the header sender address when delivering a message.

El SPF permite indicar qué servidores IPs son legítimas para enviar correos en nombre de un dominio.

La configuración del SPF se especifica en la configuración del DNS del dominio.

Por ejemplo, si el dominio prueba.com tiene configurado el siguiente SPF:

v=spf1 a:mail.prueba.com/24 mx -all

Lo que quiere decir es:

v=spf1 – Versión 1 de SPF

mx=Los MX del dominio están autorizados para enviar correos en nombre del dominio (prueba.com)

a=El dominio mail.prueba.com y toda la clase C de la IP que resuelve, tienen permitido el envío de correos en nombre de “s21sec.com”

-all=Todos los demás servidores NO están autorizados a enviar correos en nombre de prueba.com y se rechazarán (se puede cambiar el rechazo por permitir el envío pero marcar el mensaje cambiando el guión medio por el símbolo de la ñ)

Los distintos parámetros de configuración se pueden consultar en:

http://www.openspf.org/SPF_Record_Syntax#redirect

Se puede comprobar el registro SPF de un dominio con:

dig @8.8.8.8 prueba.com TXT

También hay herramientas online para comprobar el funcionamiento de SPF de un dominio:

http://mxtoolbox.com

http://vamsoft.com/support/tools/spf-policy-tester

EVITAR LA CREACIÓN DE SNAPSHOTS EN VM DE VMWARE VSPHERE

febrero 26, 2015 en 1:19 pm | Publicado en vSphere | Deja un comentario

Hay que añadir el siguiente parámetro en las opciones de la máquina virtual:

snapshot.maxSnapshots = “n”

Si n=0 no se podrán hacer snapshots en la VM

GESTIÓN DE PARTICIONES CIFRADAS CON LUKS

febrero 26, 2015 en 1:18 pm | Publicado en Cifrado, Linux, Seguridad | Deja un comentario

Una vez creada la partición la ciframos con:

# cryptsetup -c aes -h sha256 -y -s 256 luksFormat <PARTICION>

Para abrir la partición cifrada usamos:

# cryptsetup luksOpen <PARTICION> <NOMBRE>

El NOMBRE es un nombre identificativo y es como aparecerá habilitada en el directorio /dev/mapper

Para crear un sistema de ficheros en la partición cifrada una vez montada utilizamos:

# mkfs.ext? /dev/mapper/<NOMBRE>

Para montar y desmontar la partición cifrada usaremos:

# mount /dev/mapper/<NOMBRE> <PTO_MONTAJE>

# umount <PTO_MONTAJE>; cryptsetup luksClose /dev/mapper/<NOMBRE>

Página siguiente »

Blog de WordPress.com.
Entries y comentarios feeds.