2.28.2013

sftp/chroot + selinux

Dado que en un ambiente de hosting los webmaster necesitan subir cosas a su web, Nessus sugirió sFTP, ni modo... Debemos activar los booleanos ssh_chroot_rw_homedirs, httpd_enable_homedirs, fenced_can_ssh (no descarto otro que no recuerde ahora..)

El archivo de configuración /etc/ssh/sshd_config lo deje así:


# override default of no subsystems
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem       sftp    internal-sftp
Match Group apache

        ChrootDirectory /data/web
        ForceCommand internal-sftp
        AllowTcpForwarding no


Creamos el usuario "webmaster" asignandolo al grupo apache el cual no debería tener shell y en mi caso con un home particular por ejemplo "incoming".

useradd -g apache -d /incoming -s /sbin/nologin  webmaster

Nótese que éste comando crea el directorio /incoming conteniendo:

[root@rusia incoming]# ls -lZa
drwx------. adminer apache system_u:object_r:default_t:s0   .
dr-xr-xr-x. root    root   system_u:object_r:root_t:s0      ..
-rw-r--r--. webmaster apache system_u:object_r:default_t:s0   .bash_logout
-rw-r--r--. webmaster apache system_u:object_r:default_t:s0   .bash_profile
-rw-r--r--. webmaster apache system_u:object_r:default_t:s0   .bashrc
-rw-r--r--. webmaster apache system_u:object_r:default_t:s0   .kshrc


Importante: Al final de todo el proceso y verificar que todo lo requerido funcione eliminé este directoio feo "/incoming" de la raiz y en /etc/passwd editar:
webmaster:x:613:48::/hosting/web1:/sbin/nologin

Luego bajo el directorio "Document Root" donde el webmaster subira sus htmls (en mi caso /hosting/web1/) deberá tener los propietarios y contextos:

/hosting : drwxr-xr-x. root root system_u:object_r:home_root_t:s0
/hosting/web1/  : drwxr-xr-x. root root unconfined_u:object_r:user_home_dir_t:s0
/hosting/web1/public_html : drwxr-xr-x+ wemaster apache unconfined_u:object_r:user_home_dir_t:s0 
/hosting/web1/public_html/* : webmaster apache unconfined_u:object_r:user_home_t:s0

Donde * son los directorios, archivos y cosas html

Finalmente revisar mediante un cliente sftp subiendo un file de nombre piedra.html por ejemplo.
Esta piedra.html tendra el contexto : adminer apache system_u:object_r:user_home_t:s0, el cual es válido e interpretado por apache normalmente.
Este escenario esta basado en http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/ considerando RHEL6 con selinux enforcing. 

2.22.2013

nessus on rhel6

Descarge de  http://www.tenable.com/products/nessus/select-your-operating-system Nessus-5.0.3-es6.x86_64.rpm, me he basado en esta guia http://static.tenable.com/documentation/nessus_5.0_installation_guide.pdf
Despues del rpm -ivh iniciamos el servicio como indica el manual:

[root@oc7213008534 sbin]# pwd
/opt/nessus/sbin
[root@oc7213008534 sbin]# ./nessus-service -D
[root@oc7213008534 sbin]# nessusd (Nessus) 5.0.3 [build R23221] for Linux
(C) 1998 - 2013 Tenable Network Security, Inc.
Processing the Nessus plugins...
[##################################################]
All plugins loaded
El demonio se llama nessusd, por lo que si se quiere bajar, una opcion es kill. Luego iniciar el asistente web en https://localhost:8834

2.14.2013

eager & lazy thick

Si se instalara un servidor de bases de datos que consumirá mucho espacio en poco tiempo y muchas transacciones es recomendable usar desde el principio eager thick ya que se asignará todos los bloques a usar en una.
Si por el contrario va a ser una máquina virtual donde el espacio usado no crezca rápido, como un servidor web, se podría usar Thin. 
Por otro lado si nuestro proyecto se trata de FT es requerimiento oficial que las VMs tengan discos tipo eager zeroed thick. Antes de la versión 5 solo existía la opción thin y thick (que en realidad es Lazy zeroed). La opción eager zeroed es un feature nuevo que como indicaba arriba es utilizado como requerimiento en soluciones FT o cuando se clusterize con Microsoft.
Tanto lazy como eager monoliticamente presentan disponibilidad en el uso del disco sin embargo eager  crea/llena todo el espacio de "ceros" de inicio a fin (en la totalidad de bloques)

Por otro lado si se usa thin hay que considerar (tener cuidado tambien) redimensionar los block size dado que podríamos atentar contra una alta latencia en el acceso al disco (dado que el uso del disco es en linea / a demanda).


La creación de eager involucra mas tiempo, .. por que pone mas ceros... millones de ceros jaja... pero según mi instructor este espacio es mas optimizado!! 
Thin, usa mas recursos del vmm (vmware monitor) por lo que consume mas recursos del ESXi por el monitoreo constante y asignacion de espacio a "demanda".  Y si no me creen, aquí papelito manda.

2.12.2013


2.09.2013

enable new asdm

Después del clásico "copy  tftp  flash:" es necesario indicarle al Cisco ASA que utilice el nuevo ASDM, en mi caso:
ciscoasa2# sh ver
Cisco Adaptive Security Appliance Software Version 9.1(1)
Device Manager Version 7.1(1)52 ........... 
ciscoasa2(config)# asdm image disk0:asdm-711-52.bin
ciscoasa2(config)# http server enable
ciscoasa2(config)# http 0 0 inside
Ahora desde un browser :


2.07.2013

human brain model


Tal cual existe el modelo OSI, TCP/IP o el  modelo cloud computing aquí pues intento esbozar el modelo de funcionamiento del cerebro humano:

[4]  capa fisica       /actuar/     Obtención de resultados, consecuencias.
[3]  capa cortical*   /pensar/     Planificación, cognitivo, raciocinio, etc
[2]  capa limbica    /sentir/       Lugar de las emociones
[1]  capa reptiliana /percibir/    Respirar, defenderse, sobre-vivencia, etc)

Después de actuar (inmediatamente luego de la capa [4], tenemos resultados / consecuencias, lo que implicaría el éxito o fracaso por decirlo nominalmente.

La Capa limbica, osea nuestras emociones están justo entre lo que percibimos y pensamos, pero lo que percibimos sucede primero, 

Linux, android, IOS, JUNos, los servidores, los robots, etc no tienen sistema límbico...
Si no percibiéramos y sintiéramos fuéramos robots..  ¿ seria mejor ?

Dentro del sistema límbico se tiene 4 emociones básicas/primarias: (tristeza, alegria, ira y miedo).
Una persona con miedo en un determinado contexto tiene menor rendimiento..  Existen muchas otras, como duda, cansancio sicologico, sorpresa, verguenza, etc..

A todo esto .. la inteligencia  o el conocimiento técnico en alguna disciplina no precisamente es una garantía de éxito en los resultados ... !

Este post esta basado en  http://www.youtube.com/watch?v=DbJGcbyxuO8, y aqui algo didactico sobre el la capa [1]  http://www.youtube.com/watch?v=dq-XBnW9_3g