La idea de hoy es revisar la herramienta pflogsumm, un excelente analizador de log que genera un reporte de lo que acontece en el servidor de correos para mantenerlo bien monitorizado y bajo control.

Para instalar a pflogsumm en sistemas operativos basados en Debian:

Como todo analizador de archivos diarios, pflogsumm posee varios argumentos para utilizarlo a la hora de generar un reporte, pero la forma más primitiva sería identificar el archivo log de postfix, donde provablemente se encuentre en el directorio /var/log/mail.log

es importante agregar con una tubería la paginación less por la cantidad de información que se imprime en pantalla, otra estrategia válida que ví en muchos administradores es redireccionar la salida a otro archivo de reporte.

Sumado a que a esta herramienta lo podríamos incorporar al crontab del super usuario para que posteriormente sea enviado por mail todo el reporte. Pflogsumm es una muy buena herramienta desarrollada en perl y con un alto rendimiento en expresiones regulares para analizar todos los log.

En lo personal utilizo pflogsumm de la siguiente manera:

El parámetro -u indica la cantidad de usuarios que queremos ver en el reporte, su valor por defecto sería 0 para ver todos, yo simplemente con saber los 5 usuarios que más enviaron mail es suficiente.

De forma similar utilizo el parámentro -h para ver los host y dominios de donde se recibió y donde se envió los mails.

Por otro lado utilizo el parámetro –problems_first sencillamente para identificar primero los posibles problemas detectados en el análisis al servidor en cuanto al envío y recepción de mails.

Y por último el parámetro -d para indicar la fecha en la cuál quiero que filtre, es un filtro bastante importante.

No se olviden de paginar su salida o redireccionarlas a otro archivo para almacenarlo como otro histórico.

Yo creo que si nos ponemos de acuerdo entre todos llegamos a la conclusión lo inseguro que es la web, mucho más cuando montamos nuestros propios servidores web, siempre tenemos que estar alerta antes intrusiones y estar pegados a los archivos log, por lo menos eso es lo que intento hacer desde mi experiencia.

Muchos de los problemas de inseguridad está dado por la falta de experiencia de los programadores, cuando realizan sus validaciones o concatenan sus consultas SQL y donde los posibles atacantes pueden llegar a tomar partido de esa situación. Pero muchas veces el problema puede estar del lado de los administradores de sistemas al no chequear bien los parámetros de configuración de esos servicios.

Hoy por ejemplo estaba viendo un archivo en formato .flv desde la web, cuando yo se que es posible descargarlo y poder verlo desde mi celular o directamente en otro momento, entonces realmente es muy simple conseguir la URL del archivo y descargarlo con wget. Cuando por esas cosas de la vida se me ocurre comenzar a escalar algunos directorios y me doy con que es posible navegar en los directorios del servidor sin ninguna restricción, con lo cuál encotré que había muchos más videos, archivos pdf, imágenes, etc.

Efectivamente desde mi navegador web me encontré navegando y con la posibilidad de descargarme todo lo que estaba allí, y todo esto saben por que? Por no haber configurado un parámetro en el servidor web, así es, un solo parámetro.

Les propongo entonces buscar algunas soluciones para que no pasen este tipo de navegación de directorios por una mala configuración en el servidor Web Apache2.

La primera estrategia que se aplicó hace varios años y que hoy ya se encuentra obsoleta era de crear un archivo con el nombre “index.html” en todos los directorios. Como les comentaba, algo que ya quedó obsoleto, pero sin embargo ayudaría a evitar este problema aunque tendríamos un esfuerzo extra en agregar el archivo en cada uno de los directorios.

Otra estrategia muy usada, simple y sencilla es editar el archivo “.htaccess” que se encuentra en el directorio raíz del sitio y agregarle la opción

Con lo cuál estaríamos evitando que dentro del sitio no sea posible visualizar los directorios.

Como tercera estrategia que les recomiendo en caso de tener la posibilidad de editar el archivo de configuración de Apache2 o más precisamente el de su VirtualHost es el de incorporar el parámetro:

Con lo cuál nuevamente estaríamos negando la posibilidad de navegar archivos y directorios desde la web.

Entonces este es un buen ejemplos como con una simple línea de configuración podemos dejar expuesto mucha información de empresas, imágenes, videos, documentos, etc. Es una sola línea y que vale la pena tenerla en cuenta.

Este problema no es por un error de programación en el sitio web, en el CMS o en lo que fuese, es simplemente por una mala configuración en el servidor web.

Profesionalmente estamos hablando de un servicio con gran escalabilidad, dándonos la facilidad de configuración en texto plano donde nos permite personalizar sus funciones, con un gran repositorios de módulos para instalar, soporte para diferentes lenguajes de programación y una comunidad detrás de su desarrollo, Apache hoy por hoy sigue siendo uno de los servicios más importantes e instalados por muchos de los administradores.

1. Implementa protocolo HTTP/1.1 y la noción de sitios virtuales.
2. Inicialmente se basó en el servidor NCSA HTTPd, y luego fue reescrito por completo.
3. Ejecutable en múltiples plataformas UNIX (BSD, GNU/Linux, etc), Microsoft Windows, Mac OS X y otros sistemas.
4. Servidor Web de código abierto, modular, extensible y muy popular.
5. Comenzó su desarrollo en 1995.
6. Su nombre se debe a que Behelendorf quería que tuviese la connotación de algo que es firme y enérgico pero no agresivo, y la tribu Apache fue la última en rendirse al que pronto se convertiría en gobierno de EEUU.
7. Codificado en el Lenguaje de Programación C y actualmente en su versión estable 2.2.17 liberada el 19 de Octubre del 2010.
8. Desde 1996, Apache es el servidor HTTP más utilizado entre las redes.
9. En el 2005 alcanza su mayor cuota en el mercado, siendo empleado en el 70% de los sitios web en el mundo.
10. Se encuentra bajo los términos de la Licencia Apache, creada por la Fundación Apache. La licencia Apache permite entre otras cosas la distribución de derivados de código abierto y cerrado a partir de su código fuente original.

Hoy por hoy es posible acceder a diferentes guías de instalación para este servidor, en todas las plataformas, para los usuarios que recién se encuentran dando los primeros pasos e incluso para administradores más avanzados. Por ejemplo pueden acceder a esta “Guía de instalación y configuración de Apache”.

Enlace | apache.org

Nuevamente como cada Lunes en busca de documentos y enlaces nuevos, encontré un documento muy interesante escrito hace poco tiempo sobre DNS implementados con Bind9 y no quería dejar pasar esta oportunidad para compartirlo con todos ustedes tal y como los escritores Alberto Molina Coballes, José Domingo Muñoz Rodríguez y José Luis Rodríguez Rodríguez lo hicieron al liberar este manterial bajo licencia Creative Commons.

En este documento se describe de forma breva las características fundamentales del protocolo de resolución de nombres DNS y la configuración elemental de un servidor DNS con Bind9 en Debian GNU/Linux. Este documento se elaboró para el curso Servicios en GNU/Linux. Portal Educativo, organizado por el CEP de Lora del Río (Sevilla) en 2010.

Enlace | DNS con Bind9

Por lo general cuando ocurren estos errores comenzamos a ver línea por línea en su archivo de configuración para conocer cuáles son los posibles problemas, pues bueno esto se terminó por que encontré una pequeña herramienta que lo hace por nosotros.

Con tan solo implementar un parámetro en la herramienta apache2ctl bastará para que nos realice un chequeo de sintaxis en los archivos de configuración.

En caso de ocurrir algún tipo de error, apache2ctl es capás de determinar la línea en la que se encuentra y cuál es el error para poder corregirlo rápidamente.

En este tiempo me encontré refinando en uno de los servidores de correo que administro, específicamente su sistema detector de SPAM llamado SpamAssassin, un excelente detector de SPAM utilizando filtros Bayesianos, blacklist, bases de datos, etc.

Entonces me preguntaba si existía un mail de prueba para comprobar que SpamAssessin esta actuando correctamente y me encontré con el siguiente mail, que yo la denomino “la prueba del SPAM”

Para hacer uso del mismo copiamos el siguiente texto y lo enviamos por mail, el detector de SPAM tiene que ser capaz de reconoce que se trata de un SPAM, caso contrario debemos ajustar algunos tornillos en la configuración.

Para esta tarea contamos con las herramientas a2enmod y a2dismod que realmente nos va a facilitar la tarea.

Antes de activar algún modulo, tenemos la posibilidad de conocer los módulos que el servidor Apache tiene cargados, de no encontrarlo allí podemos verificar nuevamente en el siguiente directorio:

Además podemos ver aquellos módulos disponibles y listos para ser cargados en:

Ahora vamos a suponer que deseamos cargar uno de los módulos más habituales y utilizados como mod_rewrite para las URL limpias.

solo nos quedará utilizar la herramienta a2enmod para activar este módulo

Con esto nuestro módulo se encuentra cargado y listo para ser usado, recuerde reiniciar el servidor para que los cambios puedan ser activos.

Ahora bien para desactivar un módulo solo debemos realizar:

y nuevamente reiniciamos el servidor apache para que los cambios tomados.

En estos días me encontré con la necesidad de implementar un Servidor Web Hosting, hasta el momento la mejor implementación es la de administrar cada uno de los servicios sin ninguna integración, hasta que me encontré con GNUPanel.

GNUPanel tal y como lo indica su web oficial, es una implementación de licencia GNU/GPL en la automatización de tareas en un Web Hosting, además nos indican que es un proyecto en pleno desarrollo, hasta el momento lo podemos encontrar para distribuciones basadas en Debian, un punto a favor mio pero más adelante pretenden equiparar más distribuciones.

Es una aplicación escrita principalmente en PHP 5, nacida para funcionar en servidores con Debian GNU/linux en sus versiones de 32 o 64 bits.

El administrador puede crear planes de hosting públicos y privados, aceptar pagos con Paypal, CuentaDigital o DineroMail, enviar mensajes a sus usuarios, utilizar un sistema de tickets de soporte integrado, controlar la transferencia, el espacio en disco y establecer políticas de suspensión de cuentas.

Respecto a la instalación les puedo asegurar que realmente es muy simple y sencillo, su configuración se almacena en bases de datos PostgreSQL 8.3 y provee tres interfaces web a nivel de usuario, revendedor y administrador con acceso SSL.

Realmente una alternativa muy interesante para tenerlo en cuenta, actualmente estoy en mi etapa de prueba para ver el comportamiento del mismo, aprender a configurarlo y dejarlo a punto. Tengo que aclarar que existen más alternativas libres para los web hosting y prometo seguir investigando.

Enlace | GNUPanel

Enlace | LaREPAWEB

Ampliamente extendido entre los usuarios, se caracteriza por permitir un control completo del ordenador servidor a través de un intérprete de órdenes o a través de X para ejecutar aplicaciones gráficas en caso de disponer de un servidor corriendo.

La propuesta de LinuxZone es explicarnos varios conceptos propios de SSH para llevarlos rápidamente a la práctica.

Enlace | LinuxZone