Lo primero que hacemos es instalar desde consola, lighttpd:

aptitude install lighttpd

Ya está, tenemos funcionando nuestro servidor web.. muy dificil ..
Ahora lo que vamos a hacer es darle soporte para php, entonces instalamos el paquete:

aptitude install php5-cgi

Para que PHP5 funcione correcamente deberemos agregar un par de cositas a nuestra configuración tanto de php.ini como de lighttpd.conf.

Empezamos por agregar al final del archivo php.ini lo siguiente:

nano /etc/php5/cgi/php.ini

cgi.fix_pathinfo = 1

Y ahora editamos lighttpd.conf y agregamos al final del archivo lo siquiente:

nano /etc/lighttpd/lighttpd.conf

Y agregamos:

fastcgi.server = ( “.php” => ((
“bin-path” => “/usr/bin/php-cgi”,
“socket” => “/tmp/php.socket”,

Para cambiar el puerto de escucha del lighttpd editamos nuevamente lighttpd.conf y agregamos estas lineas (en este caso ponemos en escucha el puerto 8080)

server.port = 8080
server.socket = “[::]:8080″

Ahora habilitamos el módulo fastcgi:

lighttpd-enable-mod fastcgi

Reiniciamos la configuracion de lighttpd para que tome los cambios:

/etc/init.d/lighttpd force-reload

Ahora creamos el popular phpinfo para ver si funciona nuestro php:

nano /var/www/info.php

Agregamos:

< ?php
phpinfo();
?>

Ahora deberiamos ingresar a la ip del servidor poniendo /info.php y debería aparecernos algo como esto:

Listo, ya está funcionando .. sigamos con cherokee que es más lindo! (aptitude purge lighttpd)

Comenzamos por instalarlo con el querido amigo aptitude:

aptitude install cherokee

Y ya deberia estar funcionando!

Ahora para poder ingresar al panel de control de Cherokee vamos a escribir lo siguiente, (fijandonos que ip tenemos en la maquina anfitriona, en mi caso por ejemplo tengo la 192.168.1.101 entonces pondria)

cherokee-admin -b 192.168.1.101

Eso nos va a generar un usuario y contraseña con los que debemos ingresar al panel de control (NO PARAR CON CTRL+C)

El panel se ve parecido a esto, para agregar soporte a php5 vamos a seguir los mismos pasos que con lighttpd salvo lo de agregar lineas en lighttpd por obvias razones..

O sea que vamos a necesitar el php5-cgi y la linea en php.ini, sigamos estos pasos para activar php:

Listo .. pase el que sigue!

Nginx

Primero, usamos el dificilisimo aptitude:

aptitude install nginx

Ya deberíamos poder ingresar al sitio..

Ahora terminamos de instalar todos los paquetes para php5 ..

aptitude install php5-cgi php5-fpm php5-dev php5-curl php5-cli php5-imagick php5-sqlite php-pear

Ahora vamos a darle soporte con FastCGI, lo que hacemos es abrir el archivo defaults situado en /etc/nginx/sites-available

nano /etc/nginx/sites-available/default

Agregamos esto (antes podriamos hacer un echo > para borrar todo)

# You may add here your
# server {
# …
# }
# statements for each of your virtual hosts

server {

listen 80; ## listen for ipv4
listen [::]:80 default ipv6only=on; ## listen for ipv6

server_name localhost;

access_log /var/log/nginx/localhost.access.log;

location / {
root /var/www;
index index.php index.html index.htm;
}

location /doc {
root /usr/share;
autoindex on;
allow 127.0.0.1;
deny all;
}

location /images {
root /usr/share;
autoindex on;
}

#error_page 404 /404.html;

# redirect server error pages to the static page /50x.html
#
#error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /var/www;
}

# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
#proxy_pass http://127.0.0.1;
#}

# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www$fastcgi_script_name;
include fastcgi_params;
}

# deny access to .htaccess files, if Apache’s document root
# concurs with nginx’s one
#
location ~ /\.ht {
deny all;
}
}

¿Qué es NFS?

El Network File System , o NFS, es un protocolo de nivel de aplicación, según el Modelo OSI. Es utilizado para sistemas de archivos distribuido en un entorno de red de computadoras de área local. Posibilita que distintos sistemas conectados a una misma red accedan a ficheros remotos como si se tratara de locales. Originalmente fue desarrollado en 1984 por Sun Microsystems, con el objetivo de que sea independiente de la máquina, el sistema operativo y el protocolo de transporte, esto fue posible gracias a que está implementado sobre los protocolos XDR (presentación) y ONC RPC (sesión) . El protocolo NFS está incluido por defecto en los Sistemas Operativos UNIX y la mayoría de distribuciones Linux.

Características de NFS

* El sistema NFS está dividido al menos en dos partes principales: un servidor y uno o más clientes. Los clientes acceden de forma remota a los datos que se encuentran almacenados en el servidor.

* Las estaciones de trabajo locales utilizan menos espacio de disco debido a que los datos se encuentran centralizados en un único lugar pero pueden ser accedidos y modificados por varios usuarios, de tal forma que no es necesario replicar la información.

* Los usuarios no necesitan disponer de un directorio “home” en cada una de las máquinas de la organización. Los directorios “home” pueden crearse en el servidor de NFS para posteriormente poder acceder a ellos desde cualquier máquina a través de la infraestructura de red.

* También se pueden compartir a través de la red dispositivos de almacenamiento como disqueteras, CD-ROM y unidades ZIP. Esto puede reducir la inversión en dichos dispositivos y mejorar el aprovechamiento del hardware existente en la organización.

Todas las operaciones sobre ficheros son síncronas. Esto significa que la operación sólo retorna cuando el servidor ha completado todo el trabajo asociado para esa operación. En caso de una solicitud de escritura, el servidor escribirá físicamente los datos en el disco, y si es necesario, actualizará la estructura de directorios, antes de devolver una respuesta al cliente. Esto garantiza la integridad de los ficheros.

Vamos a ver cómo funciona, empezamos por descargar los archivos para montar nuestro servidor NFS.

apt-get install portmap

apt-get install nfs-kernel-server

apt-get install nfs-common

La configuración de NFS consta de 3 archivos, /etc/exports, /etc/hosts.deny y /etc/hosts.allow.

En /etc/exports irán los directorios que vamos a compartir, la estructura es bastante simple.

CARPETA-A-COMPARTIR – MODO EN QUE SE COMPARTE – CLIENTE/S QUE VA A TENER ACCESO

Ejemplo:

// Ejemplo de archivo /etc/exports de configuración del servidor NFS:

# Compartir la carpeta home del servidor
# en modo lectura y escritura y accesible desde la red 10.0.0.1/24
/home 10.0.0.1/255.255.255.0(rw)

# Compartir carpeta tmp a todos como ‘solo-lectura’
/tmp *(ro)

# Compartir carpeta /var/log a un PC como ‘solo-lectura’
/var/log 10.0.0.5(ro)

Los archivos /etc/hosts.allow y /etc/hosts.deny tienen la siguiente estructura:

SERVICIO: HOST/S

El servicio será justamente al que tendrá acceso el cliente, en este caso portmap y rpc.nfsd

En el caso de hosts.deny lo aconsejable es dejar el portmap:ALL puesto que sin este servicio será imposible acceder a los archivos compartidos.

Una vez que seteamos la configuración, tendremos que reiniciar el servicio de NFS:

/etc/init.d/nfs-kernel-server restart

Iniciamos portmap

/etc/init.d/portmap start

Listo, ya tenemos configurada la parte del Servidor NFS, ahora nos toca configurar nuestro cliente para acceder a los archivos compartidos:

Instalamos nfs-common en la maquina cliente:

apt-get install nfs-common

Creamos una carpeta en /mnt o donde tengamos ganas para luego montarla:

mkdir /mnt/compartido

y montamos la carpeta compartida de nuestro Servidor NFS:

mount -t nfs IP.SERVER:/carpeta-compartida /mnt/compartido

Listo, ya tenemos montada la carpeta compartida, para que quede automáticamente montada al iniciar el sistema sólo debemos añadirla a nuestro fstab

nano /etc/fstab

y añadimos al final:

ip-del-servidor:/CARPETA-COMPARTIDA /mnt/compartido nfs

Instalando Samba ..

aptitude install samba samba-common samba-client smbfs

Lo primero que vamos a hacer es agregar un usuario, de una manera distinta, puesto que la mayoría de las veces que un usuario se conecte vía Samba no va a necesitar acceso a la consola, por lo tanto crearemos el usuario de la siguiente manera:

Planteemos el escenario, hagamos de cuenta que vamos a crear al usuario “patito” y su ip es la 10.0.0.7

useradd -s /bin/nologin patito

Lo que sigue es asignarle una clave al usuario con smbpasswd:

smbpasswd -a patito

Listo, hasta acá ya creamos un usuario en el sistema y su respectiva clave para Samba.

Pasemos a la configuración de Samba:

El archivo de configuración se encuentra en /etc/samba/smb.conf

Editamos la configuración y vamos viendo un par de parámetros dentro de ella..

nano /etc/samba/smb.conf

workgroup = instel: Define el grupo de trabajo donde trabajará Samba.
server string = Servidor Samba Instel: Mensaje de Bienvenida de Samba
netbios name = debian: Se indica el nombre del equipo (en mi caso, debian)
interfaces = lo eth0 192.168.1.1/24 : Las interfaces que tendrán permiso, cualquiera no incluída será ignorada.
log file = /var/log/samba/log.%m : Lugar donde se guardará el log
max log size = 50 : Tamaño del log

Todo muy lindo, y cómo compartimos algo acá ?

Muy fácil, creamos un “entorno” dentro de la misma configuración, un ejemplo acá abajo y luego la explicación de cada parámetro:

[fotitos]

comment = “esto esta compartido..”
path = /home/patito/fotos
public = yes
writable = yes
printable = no
write list = prueba

Aquí debajo tienen algunas de las opciones que pueden agregarse y su descripción:

Entonces, ya sabiendo qué parámetros podríamos utilizar, debajo les dejo un ejemplo de una Empresa que comparte un recurso llamado “Facturación” a la que por obvias razones sólamente deberían tener acceso ciertos usuarios y más aún a la hora de escribir datos.

[FacturasDiarias]
comment = Facturas
path = /var/facturas
guest ok = no
write list = jefe
directory mask = 1770
create mask = 0660
browseable = yes
admin users = jefe contador
valid users = jefe contador
writable = yes
public = yes

Iniciando, Reiniciando o Deteniendo Samba

/etc/init.d/samba start: Inicia el Servicio
/etc/init.d/samba stop: Detiene el Servicio
/etc/init.d/samba reload: Carga cualquier actualización a la configuración
/etc/init.d/samba restart: Reinicia el Servicio
/etc/init.d/samba status: Muestra el estado del Servicio

Bueno, suponiendo que agregamos la carpeta /home/patito/fotos como recurso compartido, vamos a conectarnos desde fuera de esa máquina con el siguiente comando:

smbclient -U patito -L 10.0.0.7

-U hace referencia al usuario en Samba, en este caso: patito

Eso nos devolverá información sobre la ip introducida (o el nombre de la máquina) con sus respectivos recursos compartidos.
En este caso, nuestro recurso compartido se llama “fotitos” y está ubicado en /home/patito/fotos

Para acceder al recurso compartido podemos hacerlo de la siguiente manera:

smbclient //10.0.0.7/fotitos -U patito

Eso nos pedirá la clave de “patito” y luego nos dará acceso al recurso en la misma consola.

Si queremos montar el recurso en nuestro Sistema utilizando GNU/Linux tenemos dos formas:

PRIMERA OPCION:

mkdir /mnt/fotitos

Creamos un directorio donde montar el recurso compartido..

smbmount //10.0.0.7/fotitos /mnt/fotitos

Montamos el recurso ..

SEGUNDA OPCION

mount -t smbfs -o username=patito,password=clave-de-patito //10.0.0.7/fotitos /mnt/fotitos

ATENCION: ESTOS DOS METODOS SON TANTO PARA CUANDO UNA MAQUINA GNU/LINUX COMPARTE UN RECURSO; COMO PARA CUANDO UNA MAQUINA CON MICROSOFT WINDOWS LO HACE.

Existe una tercera opción, que sería la gráfica .. ingresando simplemente a “Lugares” > “Red” (en Gnome)

Para ingresar a un recurso compartido en GNU/Linux desde Windows es aún más fácil, desde “Mis Sitios de Red” (siempre que tengamos el mismo nombre de grupo de trabajo) podemos ingresar y nos pedirá usuario y contraseña dependiendo de cómo hayamos configurado el smb.conf

Hasta acá vimos cómo configurar de manera “manual” nuestro Samba, ahora vamos a ver cómo hacerlo de manera asquerosamente fácil, con entorno web utilizando Swat (no, no son esos polis yankees)

Vamos a instalarlo con el difícil y complejo comando, aptitude:

aptitude install swat

Listo, ya está funcionando .. ahora entramos a la ip del servidor Samba con el puerto 901, ej:

http://10.0.0.7:901

Nos logueamos y luego podemos configurar de manera gráfica nuestros recursos a compartir, editarlos, compartir impresoras, manipular el servicio, etc.

Bueno.. ahora vamos a hablar un rato de CUPS, un
Podemos decir a grandes rasgos que CUPS es un Sistema de Impresión que trabaja como Servidor de Impresión.

CUPS es libre con licencia GNU, como requisitos mínimos pide un procesador de al menos 1 Ghz y 256 de ram, (recomendando 512 para un mejor funcionamiento).

Para instalarlo vamos a recurrir a nuestro querido/odiado aptitude:

aptitude install cups

Una vez instalado vamos a instalar nuestra impresora, y cuando ésta esté funcionando correctamente haremos lo siguiente:

a) Compartiremos esa impresora para que otros Clientes (GNU/Linux o Windows) puedan utilizarla
b) Usaremos una impresora funcionando en Windows (seremos clientes)

Todos pensarán que es difícil, pero no .. es tan fácil que da verguenza tener que contarlo.

Para el primer paso lo único que haremos es ingresar a nuestra ip con el puerto 631:

http://localhost:631

Nos logueamos como root y dejamos tildadas las siguientes opciones:

Vamos a ir a “Añadir Impresora” y elegiremos la impresora local (la que está correctamente instalada y funcionando)

En mi caso no tengo ninguna impresora conectada, pero esto no me va a impedir que pueda añadir una impresora :D

Me toma como “SCSI Printer”, voy a seleccionar esa .. y hago click en “Siguiente”

En la siguiente ventana haremos algo parecido a esto:

Le damos a Siguiente y yo completé con estos datos:

Le di click a Siguiente y ahora tengo que mentirle diciéndole que tengo X MARCA de impresora..

Seguimos (Siguiente) con nuestra mentirita .. ahora a seleccionar un modelo.. (damos click a Añadir Impresora)

Un último paso y listo ..

Tiene que habernos quedado algo así:

Ahora supongamos que queremos agregar la impresora estando en Windows XP seguimos estos pasos:

Hasta acá llegamos.
Para quien le interese dejo material para leer muy interesante ..

Libro de Samba (viejito pero muy muy muy bueno)
Implementación de Samba y Active Directory
Autentificación en Samba con LDAP

O sea, un PC x86 con GNU/Linux puede virtualizar Windows, pero un Mac PowerPC no podría hacerlo. Eso tendría que ser emulado, lo que también significa lentitud. La virtualización es mucho más rápida ya que es básicamente una abstracción del hardware.

Qemu – KVM

KVM significa Kernel Virtual Machine y, como su nombre lo dice, es un “virtualizador” que fue incluído en el propio kernel de Linux desde su versión 2.6.20.
Es decir que desde esa versión de kernel se pueden abrir instancias de otros S.O nativamente en GNU/Linux sin necesidad de utilizar un Software Externo.

fuente: bootlog

¿Cómo saber si puedo virtualizar?

Simplemente escribimos esto en consola:

egrep -c '(vmx|svm)' /proc/cpuinfo

Si el resultado de la consulta es 0, no podemos virtualizar.
Si el resultado de la consola es 1 o más, podemos virtualizar. (a veces es necesario habilitar la opción en el BIOS)

Suponiendo que nos haya arrojado el valor 1, procedemos con la instalación de kvm y qemu

En consola y como root vamos a instalar los paquetes necesarios ..

aptitude install kvm qemu-kvm libvirt-bin virtinst virt-manager openssh-server

Luego, vamos a agregar al usuario “común” del sistema, a los grupos libvirt y kvm

adduser tu-usuario libvirt && adduser tu-usuario kvm

Ahora vamos a chequear si todo salió bien ..

virsh -c qemu:///system list

Si el resultado es parecido a esto:

root@dysloke:~# virsh -c qemu:///system list
Id Name State

Entonces podemos seguir, de lo contrario vamos a volver con el proceso de instalación para ver si no salteamos ningún paquete..

Una vez hecho esto, vamos a reiniciar las X, o si les resulta más cómodo .. reiniciamos la máquina :)

Listo, ya reiniciamos .. ahora vamos a “puentear” la interfaz nuestra con una nueva, llamada “br0″

Primero instalamos bridge-utils y luego editamos nuestras interfaces:

aptitude install bridge-utils

nano /etc/network/interfaces

Ejemplo de cómo dejé yo mi archivo “interfaces”

# The primary network interface
allow-hotplug eth0
iface eth0 inet manual
auto br0
iface br0 inet static
address 192.168.1.10
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.1
bridge_ports eth0
bridge_fd 9
bridge_hello 2
bridge_maxage 12
bridge_stp off


Ovbiamente cada uno modificará según corresponda en su red, si el gateway es el 10.0.0.2 tendrán que cambiar los datos.

Una vez hecho los cambios, procedemos a reiniciar nuestra red:

/etc/init.d/networking restart

Ahora escribimos ifconfig y debería largarnos algo como esto:


root@dysloke:/home/dke# ifconfig
br0 Link encap:Ethernet HWaddr 6c:f0:49:a5:90:01
inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::6ef0:49ff:fea5:9001/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:19 errors:0 dropped:0 overruns:0 frame:0
TX packets:42 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2931 (2.8 KiB) TX bytes:7204 (7.0 KiB)

eth0 Link encap:Ethernet HWaddr 6c:f0:49:a5:90:01
inet6 addr: fe80::6ef0:49ff:fea5:9001/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:913094 errors:0 dropped:0 overruns:0 frame:0
TX packets:782281 errors:0 dropped:0 overruns:0 carrier:1
collisions:0 txqueuelen:1000
RX bytes:1072795056 (1023.0 MiB) TX bytes:69528171 (66.3 MiB)
Interrupt:27


Planteemos el escenario .. supongamos que queremos virtualizar un Windows XP, darle 5 gigas de espacio al disco, 512 de ram, 2 cpus y que la imagen del disco tenga como nombre “dke”, escribiremos lo siguiente:

virt-install --connect qemu:///system -n dke -r 512 --vcpus=2 --disk path=/var/lib/libvirt/images/dke.img,size=5 -c /lugar/donde/esta/el/iso/del/xp.iso --vnc --noautoconsole --os-type windows --os-variant winxp --accelerate --network=bridge:br0 --hvm

Si todo salió bien, debería devolvernos algo parecido a esto:


root@dysloke:/home/dke# virt-install --connect qemu:///system -n dke -r 512 --vcpus=2 --disk path=/var/lib/libvirt/images/dke.img,size=5 -c /home/dke/xp.iso --vnc --noautoconsole --os-type windows --os-variant winxp --accelerate --network=bridge:br0 --hvm

Empezando la instalación...
Asignando 'dke.img' | 5.0 GB 00:00
Creando dominio... | 0 B 00:00
La instalación del dominio continúa en progreso. Esperando para que se complete la instalación.


Esperamos unos minutos a que termine de generar la imagen, nos daremos cuenta porque nos “devolverá” el control a la consola.

Luego de esto (si es que reiniciamos anteriormente cuando agregamos nuestro usuario a los grupos libvirt y kvm), vamos a irnos hasta “Aplicaciones > Herramientas del Sistema > Administrador de Máquina Virtual”

O en su defecto si tienen en inglés: Applications > System Tools > Virtual Machine Manager

Si nos salta un error al toque, es porque no reiniciamos :)
Nos debería aparecer una pantallita linda como esta:

Luego de esto ya podríamos empezar a instalar el SO que vamos a Virtualizar, haciendo doble click sobre el nombre de la máquina virtual creada debería abrirnos una ventana con la instalación del SO:

Hasta acá podrían instalar el S.O tranquilamente .. en un rato sigo con el tuto agregando cómo instalar el SO si estamos fuera de nuestra máquina, usando un túnel SSH.

Para empezar vamos a asegurarnos de tener los repositorios correctos:

deb http://ftp.uk.debian.org/debian squeeze main contrib
deb-src http://ftp.uk.debian.org/debian squeeze main contrib
deb http://ftp.uk.debian.org/debian squeeze main contrib non-free
deb-src http://ftp.uk.debian.org/debian squeeze main contrib non-free

Donde dice “uk” podemos cambiarle por “us”, “de” “br” “fr”, etc.

Luego de hacer un apt-get update vamos a disponernos a instalar los siguientes paquetes:

aptitude install module-assistant wireless-tools

Una vez instalado esto, vamos a usar module-assistant para instalar de forma automática el paquete broadcom-sta

m-a a-i broadcom-sta

Ahora quedaría reconstruir nuestro “initial ramdisk” con el siguiente comando:

update-initramfs -u -k $(uname -r)

Ya casi estamos terminando, ahora removermos los módulos que no necesitamos:

modprobe -r b44 b43 b43legacy ssb

Finalmente cargamos el módulo wl (driver que vamos a utilizar)

modprobe wl

Ahora solo nos resta reiniciar y ya tendremos funcionando nuestra placa Broadcom B43xx

Otra solución es bajar este .deb que utiliza el driver b43 openfwwf.

Y lo instalamos con

dpkg -i b43*.deb

Hace unos días hablaba con un amigo que realmente sabe de Asterisk y le comentaba que quería implementar algo de seguridad extra en mi servidor, especialmente para los script-kiddies que se dedican a intentar loguearse via SSH con ataques de fuerza bruta.

En mi caso, utilizo la última versión de Elastix, que incorpora Logwatch ya configurado para que nos envíe un correo local sobre la actividad en nuestro servidor.

Para quien no sepa, Logwatch es un programa que se encarga de verificar los logs del sistema y darnos aviso ya sea mediante un correo local, o directamente a una cuenta de correo. (Siempre y cuando tengamos salida por SMTP)
Se instala en Debian con aptitude install logwatch, y en mi caso en CentOS con yum install logwatch

Siguiendo con la idea de securizar el servidor se me había ocurrido como primer medida instalar un Honeypot para SSH así los nenes se cansaban de probar y probar, mientras el tráfico verdadero se establecía en otro puerto.
Como honeypot SSH utilicé Kippo.

Como segunda medida, en caso que “descubrieran” el verdadero puerto donde corría SSH necesitaba algo que no sólo logueara a los picarones atacantes, sino que también los bloqueara.
Logwatch lo único que me hace es registrarme intentos fallidos de logueo en los distintos tipos de servicios instalados, debajo un ejemplo como para ilustrar cómo funciona:

################### Logwatch 7.3 (03/24/06) ####################
Processing Initiated: Thu Jun 30 10:54:15 2011
Date Range Processed: yesterday
( 2011-Jun-29 )
Period is day.
Detail Level of Output: 0
Type of Output: unformatted
Logfiles for Host: xxx.com.ar
##################################################################

——————— httpd Begin ————————

Requests with error response codes
401 Unauthorized
/admin/config.php: 2 Time(s)
404 Not Found
/modules/pbxadmin/js/script.legacy.js: 2 Time(s)

———————- httpd End ————————-

——————— pam_unix Begin ————————

runuser-l:
Unknown Entries:
session closed for user cyrus: 1 Time(s)
session opened for user cyrus by (uid=0): 1 Time(s)

sshd:
Authentication Failures:
root (urban.atmos.pccu.edu.tw): 29 Time(s)
root (60.216.12.25): 27 Time(s)
root (server2.tanintechnology.net): 25 Time(s)
root (94.102.213.133): 4 Time(s)
unknown (server2.tanintechnology.net): 4 Time(s)
bin (server2.tanintechnology.net): 3 Time(s)
unknown (urban.atmos.pccu.edu.tw): 3 Time(s)
Invalid Users:
Unknown Account: 7 Time(s)

———————- pam_unix End ————————-

——————— postfix Begin ————————

28443 bytes transferred
4 messages sent
4 messages removed from queue

Database files are not up-to-date (probably rehash is needed): 1 File(s), 1 Time(s)

**Unmatched Entries**

975C52B8AD7: to=, orig_to=, relay=local, delay=0.34, delays=0.03/0/0/0.31, dsn=5.1.1, status=bounced (unknown user: “faxmaster”)
975C52B8AD7: sender non-delivery notification: ECB932B8AD8

———————- postfix End ————————-

——————— Connections (secure-log) Begin ————————

New Users:
vnstat (101)

New Groups:
vnstat (102)

———————- Connections (secure-log) End ————————-

——————— SSHD Begin ————————

Failed logins from:
60.216.12.25: 27 times
94.102.213.133: 4 times
140.137.32.110 (urban.atmos.pccu.edu.tw): 29 times
184.107.18.248 (server2.tanintechnology.net): 28 times

Illegal users from:
140.137.32.110 (urban.atmos.pccu.edu.tw): 3 times
184.107.18.248 (server2.tanintechnology.net): 4 times

Users logging in through sshd:
root:
192.168.1.100: 1 time

Received disconnect:
11: Bye Bye : 95 Time(s)

**Unmatched Entries**
pam_succeed_if(sshd:auth): error retrieving information about user cvs : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user jack : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user nagios : 3 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user test : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user http : 1 time(s)

———————- SSHD End ————————-

——————— vsftpd-messages Begin ————————

User FTP Logins:
(192.168.1.100): ****** – 2 Time(s)

Incoming FTP Files:
/videos_df.avi < - 192.168.1.100 (User: *******)

(Los asteriscos los pongo para ocultar el nombre de usuario, en el log sale el usuario)
TOTAL KB IN: 215771KB (210MB)

---------------------- vsftpd-messages End -------------------------

--------------------- XNTPD Begin ------------------------

**Unmatched Entries**
sendto(198.137.202.16) (fd=21): Invalid argument: 84 time(s)
sendto(216.45.57.38) (fd=21): Invalid argument: 84 time(s)
sendto(169.229.70.64) (fd=21): Invalid argument: 84 time(s)

---------------------- XNTPD End -------------------------

--------------------- yum Begin ------------------------

Packages Installed:
vnstat-1.6-1.el5.i386

---------------------- yum End -------------------------

--------------------- Disk Space Begin ------------------------

Filesystem Size Used Avail Use% Mounted on
/dev/mapper/VolGroup01-LogVol00
71G 6.0G 61G 9% /
/dev/hda1 99M 12M 82M 13% /boot

---------------------- Disk Space End -------------------------

###################### Logwatch End #########################

Como podemos ver hubo varios intentos fallidos de logueo como root en SSH.
Tiene la particularidad de no tener que tocar ni agregar nada, por ejemplo .. el Servidor de FTP (vsftpd) lo instalé hace unos días y automáticamente va y busca en los logs para botonearme día a día vía correo..

Pero bueno, ya vimos que podemos empezar por instalar logwatch como para enterarnos qué sucede en nuestro sistema ..

Luego de instalar y configurar logwatch me puse a investigar algo que bloquee un rango de ips y encontré esto:

#!/bin/bash
### Block all traffic from AFGHANISTAN (af) and CHINA (CN). Use ISO code ###
ISO=”af cn”

### Set PATH ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep

### No editing below ###
SPAMLIST=”countrydrop”
ZONEROOT=”/root/iptables”
DLROOT=”http://www.ipdeny.com/ipblocks/data/countries”

cleanOldRules(){
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
}

# create a dir
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

# clean old rules
cleanOldRules

# create a new iptables list
$IPT -N $SPAMLIST

for c in $ISO
do
# local zone file
tDB=$ZONEROOT/$c.zone

# get fresh zone file
$WGET -O $tDB $DLROOT/$c.zone

# country specific log message
SPAMDROPMSG=”$c Country Drop”

# get
BADIPS=$(egrep -v “^#|^$” $tDB)
for ipblock in $BADIPS
do
$IPT -A $SPAMLIST -s $ipblock -j LOG –log-prefix “$SPAMDROPMSG”
$IPT -A $SPAMLIST -s $ipblock -j DROP
done
done

# Drop everything
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST

# call your other iptable script
# /path/to/other/iptables.sh

exit 0

El anterior script lo que hace es bloquear directamente un rango de ips gigante ..
Pero no sirve, no porque no funcione, sino porque no le encuentro sentido a bloquear absolutamente todo, eso no es securizar un servidor, es simplemente ser paranoico ..

Entonces me topé con un amigo que me tiró un script hecho por él, este “pibe” no es ni más ni menos que uno de los desarrolladores de X-wrt – Fabian Omar Franzotti (fofware)

El script se llama logtrigger

Veamos una descripción de lo que es:

Fue escrito para correr en embedded linux como OpenWRT por tal motivo es pequeño, pero funciona muy bien en sistemas más grandes con linux, realizando una tarea muy especifica leer los registros de logs de otros programas y/o servicios para poder lanzar procesos externos cuando uno de estos registros coincide con una regla creada.

Logtrigger lee cada evento registrado, extrae información del mismo y la publica en variables de sistema para que pueda ser leida por un proceso externo llamado por Logtrigger.

Esto lo hace muy flexible y con un gran potencial ya que los procesos pueden ser escritos en cualquier lenguaje de script o programación dándole la posibilidad de automatizar infinidad de tareas en el momento en que el evento sucede.

Todo administrador de un host o una red, en ocasiones necesita leer archivos de logs para poder encontrar porque sucedieron algunas cosas o realizar procesos de mantenimiento cada vez que un error o evento fue registrado en el sistema.

Con Logtrigger ya no necesitará revisar archivos de eventos para ejecutar los procesos necesarios.
Logtrigger lo hace por Ud.

Muchos de estos procesos pueden ser realizados con CRON pero esto puede que sobrecargue mucho nuestro procesador o que la acción llegue tarde, (ej.: un ataque a nuestro ssh, asterisk, o algún otro porceso, donde estan tratando de robarnos una cuenta), ya que en el momento en que CRON ejecuta el proceso esto ya terminó.

Como Logtrigger puede lanzar procesos especificos ante cada evento se convierte en una herramienta de gran ayuda para:

Analizar Eventos
Detección de Errores
Mantenimiento
Seguridad
Auxiliar de otros procesos

Entonces pasando en limpio, lo que hace logtrigger es analizar los logs de los distintos tipos de servicios y actuar en consecuencia ante determinadas alertas..
Por ejemplo, si un usuario intenta loguearse a nuestro SSH y no logra conectarse tras 5 intentos, logtrigger directamente bloquea el puerto que utiliza SSH para la ip de ese usuario, del mismo modo actúa ante logins fallidos en nuestro Asterisk, que es lo que me interesaba a mi :)

Lo podemos correr de 2 formas, una con el “debug” activado

logtrigger -D 5

O directamente lo dejamos corriendo y ante algún evento nos guardará el log en /tmp/blockedip

logtrigger &

Imagen de cómo funciona al recibir un login incorrecto en nuestro Asterisk

Bueno si, todo muy lindo pero entonces qué onda, qué instalo ?

Yo, recomiendo tener instalado

1) logwatch
2) kippo (honeypot ssh)
3) logtrigger
4) iptables

Y listo, con eso ya estaríamos un poquito más seguros ..

Según Wikipedia:

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.

Entonces, y ya sin citar a Wikipedia, básicamente (y muy básicamente) un Honeypot tiene como función atraer a los mal llamados “hackers” para conocer e investigar los compartamientos.
Por ejemplo, supongamos que tenemos un servidor ofreciendo servicios tales como SSH, FTP, WEB, etc.
Con una Honeypot podríamos emular esos servicios en los puertos stándars (22, 21, 80, en este caso) y distraer a los atacantes para que pierdan el tiempo y de paso ver qué hacen, qué exploits utilizan, si explotan alguna vulnerabilidad nueva, etc..
Eso, nos dará tiempo para ir a nuestros verdaderos servicios y “parchear” o securizar sabiendo qué es lo que los atacantes podrían hacer.

El diagrama de red de un honeypot sería más o menos así:

Vamos a los bifes, en este caso (porque vamos a ver más adelante varios ejemplos de honeypots)
Instalaremos kippo un honeypot destinado a emular un Servidor SSH.

Lo primero que vamos a hacer es instalar python-twisted

apt-get install python-twisted

Y luego (como usuarios comunes) vamos a descarganos kippo.

wget http://kippo.googlecode.com/files/kippo-0.5.tar.gz

Descomprimimos:

tar -xvzf kippo*

Entramos al directorio y lo ejecutamos:

cd kippo*
./start.sh

Listo, eso es todo .. demasiado fácil no?
Ya tenemos corriendo un honeypot de baja-media interacción, emulando ser un servidor SSH.
Si ustedes pueban conectarse van a ver que pueden hacer exactamente las mismas cosas que podrían hacer en un servidor SSH común y corriente.

Este tipo de honeypots son totalmente inofensivos para el sistema, puesto que (justamente) el servicio emulado no existe y jamás podrán acceder al sistema real.
Se trata de un software hecho en python que emula cada uno de los módulos de una distribución (wget, apt-get, ping, uptime, ls, cd, cat, etc etc etc)

Ahora seguimos, porque en mi caso tuve que cambiar el puerto del servidor SSH original, para que si el atacante quiere conectarse al 22 lo lleve al 2222 (que es el puerto del servidor SSH emulado)

Esto lo hacemos con IPTABLES de la siguiente manera:

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 22 -j REDIRECT –to-port 2222

(Puede variar la interface, en mi caso es eth0)

Si usteden tienen un cliente SSH como Putty (click acá para bajarlo) pueden probarlo contra un VPS mío.

Pongan en host name o ip: www.efe4.com.ar
Y el puerto queda como está, el 22

Logueense como root con la clave 123456 y vean cómo funciona kippo.

Entre otras cosas, kippo tiene la opción de loguear todo lo que el atacante hizo y luego reproducirse en tiempo real como si estuvieran frente a la consola, un ejemplo pueden verlo aquí:

http://kippo.rpg.fi/playlog/?l=20100316-233121-1847.log

La función “playlog” se encuentra en la carpeta “utils” y la ejecutan con:

python playlog.py -b -m 2 ubicacion-del-log 0

Eso es todo .. después seguimos con un par de honeypots un poco más complejos y completos.

Salutes!

Lo primero que hacemos es instalar mysql-server, mysql-client y libpam-mysql:

apt-get install mysql-server mysql-client libpam-mysql

Seteamos la clave de root de nuestro SQL y vamos a usar la base de datos mysql.

mysql -u root -p

Nos pide la contraseña de root, la insertamos y seguimos:

use mysql;

Creamos el usuario en mysql:

INSERT INTO user (Host, User, Password) VALUES ('localhost','vsftpd',password('ftppass'));

Le damos privilegios :)

INSERT INTO db (Host, Db, User, Select_priv) VALUES ('localhost','vsftpd','vsftpd','Y');

Actualizamos los privilegios:

FLUSH PRIVILEGES;

Ahora creamos la base de datos vsftpd

CREATE DATABASE vsftpd;

Usamos la base de datos creada:

use vsftpd

Creamos la table con sus dos campos:

CREATE TABLE `usuarios` (
  `usuario` varchar(30) NOT NULL default '',
  `password` varchar(50) NOT NULL default ''
);

Salimos de mysql:

quit

Ahora instalamos vsftpd:

apt-get install vsftpd

Editamos el archivo de configuración:

nano /etc/vsftpd.conf

Y vamos a ir descomentando las líneas para que quede más o menos así:

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
nopriv_user=vsftpd
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/vsftpd.pem

Al final del archivo agregamos éstas líneas:

guest_enable=YES
guest_username=vsftpd
local_root=/home/vsftpd/$USER
user_sub_token=$USER
virtual_use_local_privs=YES
user_config_dir=/etc/vsftpd_user_conf

Agregamos un usuario “fantasma” :

useradd –home /home/vsftpd –gid nogroup -m –shell /bin/false vsftpd

Ahora editamos el archivo vsftpd dentro de /etc/pam.d/, borramos todo y agregamos éstas dos líneas:

nano /etc/pam.d/vsftpd

auth required pam_mysql.so user=vsftpd passwd=ftppass host=localhost db=vsftpd table=usuarios usercolumn=usuario passwdcolumn=password crypt=2

account required pam_mysql.so user=vsftpd passwd=ftppass host=localhost db=vsftpd table=usuarios usercolumn=usuario passwdcolumn=password crypt=2

Nuevamente usamos nuestro sql ..

mysql -u root -p

Creamos un usuario para probar nuestro FTP:

INSERT INTO usuarios (usuario, password) VALUES ('test',password('12345'));

Creamos el directorio para nuestro usuario:

mkdir /home/vsftpd/test

Cambiamos de grupo al usuario:

chown vsftpd:nogroup test

Ahora intentamos conectarnos con el usuario “test” y la clave “12345″ a nuestro FTP :)

FTP, (File Transfer Protocol)  es un programa especial que se ejecuta en un servidor conectado normalmente en Internet (aunque puede estar conectado en otros tipos de redes, LAN, MAN, etc.). La función del mismo es permitir el desplazamiento de datos entre diferentes servidores / ordenadores.

En una imagen sería algo así:

Observamos que intervienen tres elementos:

* El servidor FTP, donde subiremos / descargaremos los archivos.
* Usuario 1, es el usuario que en este ejemplo, sube un archivo al servidor FTP.
* Usuario 2, es el usuario que en este ejemplo, se descarga el archivo subido por el usuario 1 y a continuación sube otro archivo.

fuente: http://servidorftp.es/

En esta ocasión vamos a instalar un par de Servidores FTP, con distintas variantes y tipos de funcionamiento.

Empezaremos por uno de los más utilizados, Proftpd

ProFTPd es un servidor FTP bajo licencia GPL y multiplataforma, aunque no está para Microsoft Windows. ProFTPd puede ser fácilmente configurable, siendo sus archivos de configuración muy parecidos a los de Apache. Puede ser enjaulado independientemente del sistema de archivos sobre el que trabaje y soporta IPv6.

Lo primero, la instalación:

apt-get install proftpd

Listo, muy difícil de instalarlo hasta ahora eh ..

Ahora pasemos a la configuración..

nano /etc/proftpd/proftpd.conf

Al final del archivo vamos a agregar estas dos líneas:

AccessGrantMsg “¡Bienvenido al Servidor FTP! ”
AccessDenyMsg “¡Acceso denegado!”

Claramente serán las líneas de bienvenida y de “no” bienvenida a los usuarios que se conecten.

Seguimos con nuestra instalación, ahora vamos a crear una shell falsa para los usuarios.
Creamos el primer usuario:

Creamos primeramente su home..

mkdir /home/dysloke

Y luego sí, su usuario:

useradd -d /home/dysloke -s /bin/false dysloke

Ahora lo hacemos dueño y amo de su home:

chown -R dysloke /home/dysloke

Le asignamos un password al usuario “dysloke”

passwd dysloke

(repetir 2 veces la clave)

Listo, ya tenemos creado el primer usuario, repetimos los pasos y creamos otro usuario, ej: “dke”

Cuando tengamos los dos usuarios creados vamos a volver al archivo de configuración del proftpd.

nano /etc/proftpd/proftpd.conf

Y nuevamente al final del archivo añadiremos estas líneas:

<Limit LOGIN>

   AllowUser dysloke

   DenyAll

</Limit>

RequireValidShell   off

De esta manera sólo permitiremos el acceso al usuario “dysloke”.

Reiniciamos el servicio:

/etc/init.d/proftpd restart

Y nos conectamos con cualquier cliente FTP como Filezilla o Fireftp para Firefox

Listo, ya lo tenemos funcionando. !

ProFTPd seguro con TLS

Ahora vamos a pasar a una cosa un poquito más segura, como muchos sabrán los datos hasta ahora se pasan en texto plano con la peligrosidad de poder ser sniffeados o robados.

Qué vamos a hacer? Vamos a utilizar un protocolo seguro para nuestro Proftpd (TLS)

Empecemos como si no hubíeramos instalado absolutamente nada..

Instalamos entonces ProFTPd y OpenSSL:

apt-get install protftpd openssl

Editamos el archivo de configuración del ProFTPd:

nano /etc/proftpd/proftpd.conf

Agregamos al final éstas líneas:

DefaultRoot ~
IdentLookups off
ServerIdent on “FTP listo.”

Ahora vamos a crear el certificado SSL, para ello crearemos un directorio llamado ssl dentro de la carpeta del ProFTPd:

mkdir /etc/proftpd/ssl

Y luego sí, creamos el certificado con el siguiente comando:

openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem

Completamos los datos que nos pida y listo, tenemos certificado SSL :)
Ahora vamos a activar la opción del TLS en nuestra configuracion:

nano /etc/proftpd/proftpd.conf

Buscamos la línea “Include /etc/proftpd/tls.conf” y la descomentamos.

Finalmente configuramos el archivo tls.conf

nano /etc/proftpd/tls.conf/

Y seteamos los valores de las líneas que aparecen abajo de la misma manera:

TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient off
TLSRequired on

Sólo nos quedaría reiniciar el servicio:

/etc/init.d/proftpd restart

Ahora, en el cliente seguiremos los siguientes pasos (Filezilla)

Listo, ya tenemos configurado y funcionando todo :)

En esta ocasión vamos a instalar un Servidor de Correo con otro MTA, anteriormente lo habíamos hecho con Postfix y luego con Axigen, ahora le toca el turno a Qmail utilizando un pack que incluye todos los paquetes que necesitamos: Qmailrocks

No voy a contarles la historia de Qmail, o por qué lo elegí, simplemente vamos a ir al grano, ya que la instalación es bastante larga..

Lo primero que tenemos que hacer es cumplir un par de requisitos (paquetes instalados):

apt-get install apache2 mysql-server php5 perl-modules patch patchutils openssl libssl-dev build-essential

Con eso ya podemos EMPEZAR..

Ahora necesitamos instalar un par de módulos de nuestro Perl, vamos a usar el queridísimo CPAN

En nuestra consola escribimos:

perl -MCPAN -e shell

Nos aparece algo parecido a esto:

cpan shell — CPAN exploration and modules installation (v1.9205)
ReadLine support available (maybe install Bundle::CPAN or Bundle::CPANxxl?)

cpan[1]>

Allí vamos a ir escribiendo uno por vez estos comandos para ir instalando los módulos necesarios:

NOTA: (son :: DOS puntos)

install Digest::SHA1
install Digest::HMAC
install Net::DNS
install Time::HiRes
install HTML::Tagset
install HTML::Parser

Una vez que tenemos todo instalado para comenzar (todavía ni siquiera descargamos nuestro Qmail)

Creamos un directorio llamado downloads en el directorio raiz ( / )

cd /
mkdir downloads

Entramos al directorio:

cd /downloads

Descargamos Qmailrocks y luego lo descomprimimos:

wget http://www.qmailrocks.org/downloads/qmailrocks.tar.gz
tar zxvf qmailrocks.tar.gz

Vamos a editar los archivos /etc/hosts y /etc/hostname ..

nano /etc/hosts

Yo lo dejé así, ustedes como quieran (es 127.0.0.1 DOMINIO mail) el “mail” es obligatorio.

127.0.0.1 dysloke.net mail

Edito /etc/hostname

nano /etc/hostname

Y solo dejo escrito “mail” (sin comillas obviamente)

Comenzamos la instalación ejecutando el script siguiente:

/downloads/qmailrocks/scripts/install/qmr_install_linux-s1.script

Con eso iniciamos la instalación, ahora vamos a parchear varias fallas que Qmailrocks corrige..

/downloads/qmailrocks/scripts/util/qmail_big_patches.script

Ahora compilamos Qmail. Seguimos estos pasos:

cd /usr/src/qmail/qmail-1.03

make man && make setup check

Ahora lo configuramos:

./config-fast TUDOMINIO

Ej: ./config-fast dysloke.net

Luego, generamos un certificado seguro que va a usarse para encriptar el servidor con TLS,

make cert

Nos va a empezar a hacer un par de preguntas, algo así contesté yo:

Country Name (2 letter code) [GB]:AR
State or Province Name (full name) [Berkshire]:Corrientes
Locality Name (eg, city) [Newbury]:Corrientes
Organization Name (eg, company) [My Company Ltd]:dysloke.net
Organizational Unit Name (eg, section) []:mail
Common Name (eg, your name or your server’s hostname) []: dysloke.net
Email Address []:postmaster@dysloke.net

Si el certificado se instaló bien, va a generar el certificado acá: /var/qmail/control/servercert.pem y otro archivo que linkea a ese certificado en /var/qmail/control/clientcert.pem

Ahora manifestamos el propietario que utilizará estos archivos:

chown -R vpopmail:qmail /var/qmail/control/clientcert.pem /var/qmail/control/servercert.pem

Vamos a compilar ahora ucspi-tcp:

cd /usr/src/qmail/ucspi-tcp-0.88/

Le damos un make && make setup check

patch < /downloads/qmailrocks/patches/ucspi-tcp-0.88.errno.patch

Seguramente nos tire un error, así que vamos a parchearlo ;)

Escribimos esto (tal cual)

patch < /downloads/qmailrocks/patches/ucspi-tcp-0.88.errno.patch

Ahora si ejecutamos make && make setup check

make && make setup check

Proximo turno: daemontools

cd /package/admin/daemontools-0.76

Para no perder tiempo, vamos a tener que parchear así que vamos directo:

cd /package/admin/daemontools-0.76/src

patch < /downloads/qmailrocks/patches/daemontools-0.76.errno.patch

cd /package/admin/daemontools-0.76

Y lo armamos:

package/install

Instalando EZmlm ..
EZmlm es un mailing-list (un addon) para Qmail, se integra al qmailadmin (más adelante lo vamos a ver)

Seguimos estos pasos:

cd /downloads/qmailrocks/

tar zxvf ezmlm-0.53-idx-0.41.tar.gz

cd ezmlm-0.53-idx-0.41

make && make setup

Listo? Sin errores? Seguimos ..

Instalamos Autoresponder que hace exáctamente lo que ustedes piensan, así que no me gasto en explicarlo ..

Seguimos los pasos:

cd /downloads/qmailrocks

tar zxvf autorespond-2.0.5.tar.gz

cd autorespond-2.0.5

make && make install

Le toca el turno a uno de los pulmones de nuestro Servidor de Correo, Vpopmail el cual permite usar dominios virtuales.

Seguimos los pasos:

cd /downloads/qmailrocks

tar zxvf vpopmail-5.4.13.tar.gz

cd vpopmail-5.4.13

Ahora lo configuramos con la opción de logging=p para que loguee los intentos fallidos de logueo.

./configure –enable-logging=p

make && make install-strip

Si no saltó un error, seguimos .. (es largo, avisé ..)

Ahora le toca a Vqadmin, que como sabrán es un gestor de vpopmail, pero con una interface (fea, pero interfaz al fin) web.

Atención porque acá tenemos que hacer todo perfecto y sin errores, seguimos estos pasos:

cd /downloads/qmailrocks

tar zxvf vqadmin-2.3.6.tar.gz

cd vqadmin-2.3.6

./configure –enable-cgibindir=/var/www/cgi-bin –enable-htmldir=/var/www

make && make install-strip

Vamos a editar el archivo /etc/apache2/sites-available/default

Y vamos a agregar estas líneas:

deny from all
Options +ExecCGI
AllowOverride AuthConfig
Order deny,allow

Luego, más abajo en el mismo archivo buscamos la línea que dice ScriptAlias /cgi-bin y nos aseguramos de que quede de la siguiente manera:

ScriptAlias /cgi-bin /var/www/cgi-bin/

Guardamos, salimos y nos vamos hasta /var/www/cgi.bin/vqadmin

cd /var/www/cgi-bin/vqadmin

Editamos el archivo .htaccess

nano .htaccess

Y debería quedarnos así:

AuthType Basic
AuthUserFile /var/www/cgi-bin/vqadmin/.htpasswd
AuthName vQadmin
require valid-user
satisfy any

Hacemos que “nobody” use el .htaccess

chown nobody .htaccess

Damos permisos:

chmod 644 .htaccess

Creamos el archivo .htpasswd

htpasswd -bc /var/www/cgi-bin/vqadmin/.htpasswd admin CLAVE

Damos permisos:

chmod 644 /var/www/cgi-bin/vqadmin/.htpasswd

Reiniciamos apache:

apachectl stop
apachectl start

Y si todo salió bien, deberíamos poder ingresar vía URL.

http://IP-DEL-MAILSERVER/cgi-bin/vqadmin/vqadmin.cgi

En mi caso, uso una máquina virtual con la ip 192.168.62.63 así que ingreso a:

http://192.168.62.63/cgi-bin/vqadmin/vqadmin.cgi

Nos perdirá usuario y clave

usuario: admin
clave: la que hayan creado en el .htpasswd

Y nos muestra una interfaz:

Creamos un nuevo dominio yendo a “Add Domain”

En la parte de “Options” configuramos las cantidades de cuentas virtuales que podrá tener ese domino, los alias, los autoresponders, las listas de correo y la capacidad en bytes, lo configuramos a gusto..

Listo, ahora vamos con Maildrop un agente que filtra mensajes que vayan llegando a nuestro server..

Hacemos lo siguiente:

cd /downloads/qmailrocks

tar zxvf maildrop-1.6.3.tar.gz

cd maildrop-1.6.3

./configure –prefix=/usr/local –exec-prefix=/usr/local –enable-maildrop-uid=root –enable-maildrop-gid=vchkpw –enable-maildirquota

make && make install-strip && make install-man

Todo bien hasta ahora ? si no tiró errores .. sigamos! falta mucho todavía ;)

Bueno, ahora empieza la parte más “linda?” donde al menos vamos a ver un par de imágenes! ..

Instalaremos Qmailadmin, un administrador con interface gráfica para crear cuentas de correo, listas de correo, fowards, robots, etc .. siempre y cuando exista el dominio creado en el anterior vqadmin

Hacemos lo siguiente:

cd /downloads/qmailrocks

tar zxvf qmailadmin-1.2.9.tar.gz

cd qmailadmin-1.2.9

./configure –enable-cgibindir=/var/www/cgi-bin –enable-htmldir=/var/www

make && make install-strip

Listo, si todo salió bien, deberíamos poder acceder vía browser a http://IP-DEL-SERVER/cgi-bin/qmailadmin
En mi caso: http://192.168.62.63/cgi-bin/qmailadmin

Vemos algo así (nos logueamos con los datos que creamos en vqadmin)

Creamos una nueva cuenta:

Finalizando con la instalación de Qmail .. (no se hagan ilusiones, sólo de Qmail..)

Ejecutamos este script:

/downloads/qmailrocks/scripts/finalize/linux/finalize_linux.script

Editamos este archivo: /var/qmail/supervise/qmail-pop3d/run

y donde dice “mail.example.com” lo reemplazamos por nuestro dominio.

nano /var/qmail/supervise/qmail-pop3d/run

Hacemos lo mismo con el archivo /var/qmail/supervise/qmail-smtpd/run

Abajo de todo reemplazamos con nuestro dominio.

nano /var/qmail/supervise/qmail-smtpd/run

Paramos Qmail:

qmailctl stop

Hacemos que sólo nuestro localhost sea el relay

echo ’127.:allow,RELAYCLIENT=”"‘ >> /etc/tcp.smtp

Atención, en esta parece: RELAYCLIENT= van: DOS COMILLAS DOBLES y UNA SIMPLE todo junto

Actualizamos..

qmailctl cdb

Creamos las direcciones de root, postmaster y mailer-daemon, en mi caso llevan @dysloke.net, en el suyo, sus dominios.

echo root@dysloke.net > /var/qmail/alias/.qmail-root
echo postmaster@dysloke.net > /var/qmail/alias/.qmail-postmaster
echo mailer@dysloke.net > /var/qmail/alias/.qmail-mailer-daemon

Enlazamos:

ln -s /var/qmail/alias/.qmail-root /var/qmail/alias/.qmail-anonymous

Damos permisos:

chmod 644 /var/qmail/alias/.qmail*

Y si todo salió bien, seguimos..

Falta poco ..
Vamos a desinstalar cualquier rastro de exim4 y sendmail que hubiera existido ..

/etc/init.d/exim4 stop

cd /etc/rc2.d

mv S20exim4 K20exim4

Ahora volamos lo que haya quedado de sendmail

rm -f /usr/lib/sendmail

rm -f /usr/sbin/sendmail

Creamos unos enlaces “de mentirita”:

ln -s /var/qmail/bin/sendmail /usr/lib/sendmail

ln -s /var/qmail/bin/sendmail /usr/sbin/sendmail

Y ya que estamos si llegó a existir alguna vez postfix lo volamos:

dpkg –purge –force-depends postfix

Si todo va bien, ya deberíamos tener nuestro servidor totalmente .. vamos a probar si realmente está funcionando todo:

Ejecutamos esto:

/downloads/qmailrocks/scripts/util/qmr_inst_check

Si nos dice Congratulations, bla bla bla.. es porque somos muy buenos siguiendo un tutorial!
De lo contrario, a arrancar de nuevo ..

Paramos Qmail

qmailctl stop

Lo arrancamos:

qmailctl start

Hago un telnet al 110 para ver si funciona todo bien, debería mostrarnos algo como esto (modifiquen los datos del dominio y la clave obviamente)

Trying 127.0.0.1…
Connected to 127.0.0.1.
Escape character is ‘^]’.
+OK <16658.1054485137@dysloke.net>
user postmaster@dysloke.net
+OK
pass LA-CLAVE-DE-USTEDES
+OK
quit
+OK
Connection closed by foreign host.

Bien, funciona!

Ahora veamos con el 25 (SMTP)

telnet localhost 25

Trying 127.0.0.1…
Connected to localhost.
Escape character is ‘^]’.
220 dysloke.net ESMTP
ehlo localhost
250-dysloke.net
250-AUTH LOGIN CRAM-MD5 PLAIN
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-STARTTLS
250-PIPELINING
250 8BITMIME
starttls
220 ready for tls
quit
quit
Connection closed by foreign host.
[root@somewhere control]#

Bien, funciona!