Estas aquíBlogs / Blog de ezamorano

Blog de ezamorano


Configurando Host v2 - Nagios

Ahora que ya tenemos configurado los hosts a monitorear identifiquemos con una imagen en su icono y status map.

Editemos el archivo /etc/nagios3/server.cfg previamente creado con los parametros de configuracion de host, donde debemos agregar las siguiente lineas

icon_image base/server.gif
statusmap_image base/server.gd2

Existe una lista de iconos en /usr/share/nagios3/htdocs/images/logos/ el cual solo se referencia el subdirectorio dentro de "logos"

A modo de ejemplo:

############################################################
# Switch Core
define host{
use generic-host
host_name switch-core
alias Switch Core
icon_image base/ng-switch40.gif
statusmap_image base/ng-switch40.gd2
address 192.168.88.3
check_command check-switch-alive
max_check_attempts 20
notification_interval 60
notification_period 24x7
notification_options d,u,r
}

#############################################################
# Configuracion Server1
define host{
use generic-host
host_name server1
alias Server Linux 1
icon_image base/redhat.gif
statusmap_image base/redhat.gd2
address 192.168.88.4
parents switch-core
check_command check-host-alive
max_check_attempts 20
notification_interval 60
notification_period 24x7
notification_options d,u,r
}

Realizamos un reload al servicio

nagios-debian:~# invoke-rc.d nagios3 reload

Ahora hacemos un refresh en el monitor de nagios y veremos las imagenes de cada uno de los hosts.

NagiosHostExt

Configurando Host - Nagios

Ahora a configurar nuestro servidor Nagios para monitoreo remoto, luego realizaremos configuracion del cliente nrpe para monitorear recursos locales.

1.- Editamos el archivo /etc/nagios3/nagios.cfg agregando el nuevo archivo de configuracion.

# Servidores a Monitorear
cfg_file=/etc/nagios3/server.cfg

2.- Dentro del archivo de configuracion de nagios.cfg se debe habilitar el chequeo de comandos externos

check_external_commands=1

Por defecto en la instalacion el comando /var/lib/nagios3/rw/nagios.cmd que nos permite realizar chequeos a traves del browser queda con owner nagios:nagios es por eso que debemos modificar esto dandole permisos para que el usuario de nuestro apache si pueda ejecutarlo, esto lo arreglamos con:

nagios-debian:~# dpkg-statoverride --update --add nagios www-data 2710 /var/lib/nagios3/rw

nagios-debian:~# dpkg-statoverride --update --add nagios nagios 751 /var/lib/nagios3

Ahora es necesario reiniciar nagios que tome los cambios, no olvidar crear el archivo server.cfg

nagios-debian:~# invoke-rc.d nagios3 restart
Restarting nagios3 monitoring daemon: nagios3
.

2.- Editamos archivo server.cfg dentro de /etc/nagios3

vi /etc/nagios3/server.cfg

Y comenzamos a crear el hosts a monitorear

a modo de ejemplo:

############################################################
# Switch Core
define host{
use generic-host
host_name switch-core
alias Switch Core
address 192.168.88.3
check_command check-switch-alive
max_check_attempts 20
notification_interval 60
notification_period 24x7
notification_options d,u,r
}
#############################################################
# Configuracion Server1
define host{
use generic-host
host_name server1
alias Server Linux 1
address 192.168.88.4
parents switch-core
check_command check-host-alive
max_check_attempts 20
notification_interval 60
notification_period 24x7
notification_options d,u,r
}

Una vez agregado todos los servidor a monitorear reiniciar o reload a nagios

nagios-debian:~# invoke-rc.d nagios3 reload
Reloading nagios3 monitoring daemon configuration files: nagios3.

Finalmente deberian tener algo asi.

NagiosHost

NagiosHostMap

Instalando - Nagios

Instalando componentes

nagios-debian:~# apt-get install nagios3

Nos preguntara una password para nuestro administrador de nagios y autoconfigurara configuracion de apache, ahora puedes ver la instalacion por defecto en http://localhost/nagios3

Si no recuerdas la clave ingresada, puedes crearla nuevamente con el comando htpasswd, este comando lo utilizaremos para crear usuarios con distintos perfiles en el sistema como es un administrador u operador.

nagios-debian:/etc/nagios3# htpasswd htpasswd.users nagiosadmin

New password:
Re-type new password:
Updating password for user nagiosadmin

* Todo la instalacion la estoy realizando con debian testing.

Limpiando nuestro sistema - dpkg --purge

Eliminando e instalando paquetes en el sistema comenzamos a generar una serie de componentes (mucha de esas simples configuraciones) en nuestro sistema que nunca jamas volvemos a utilizar, para saber que esta instalado y no usamos podemos realizar el siguiente comando:

debian:~# dpkg -l | grep -v ^ii | awk '{print $2}' | sed '1,5d'

y si el resultado lo queremos eliminar bastaria enviando la salida a un dpkg --purge

debian:~# dpkg -l | grep -v ^ii | awk '{print $2}' | sed '1,5d'|xargs dpkg --purge

Espero sea de utilidad.

Cual es mi IP?

Escenario: tengo un servidor remoto con conexion PPP? cambio la IP? = perdi conectividad para controlar el servidor, que hacemos?

Creemos un script que nos diga cual es la nueva ip :)

#!/bin/bash

set -e -u

MAILTO='sysadmin@dominio.cl'
IPADDR=`ifconfig | egrep -A 1 '^ppp[0-9]' | grep 'inet addr:' | awk '{print $2}' | sed -e 's/.*://'`

echo "[${IPADDR}]" > /etc/mailname
postfix reload

mail -s "`date`: Servidor PEPITO cambio de direccion IP!" ${MAILTO} < El servidor PEPITO (VPN) tiene la direccion IP: ${IPADDR}

EOF

Firewall iptables avanzado v1

Scrip que a traves de MASQUERADE envia trafico de una Pequeña LAN a la LAN principal, esto se podria realizar con VPN (ipsec, openvpn, openswan, etc).

#!/bin/bash

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -X
iptables -X -t nat
iptables -X -t mangle

case "$1" in
start|"")
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -d 192.168.1.255 -j DROP #Eliminamos broadcast de la LAN
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -p tcp --dport 135 -j DROP #Eliminamos a M$ :)
iptables -A INPUT -p udp --dport 137 -j DROP
iptables -A INPUT -p udp --dport 138 -j DROP
iptables -A INPUT -p tcp --dport 139 -j DROP
iptables -A INPUT -p tcp --dport 445 -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
iptables -A INPUT -i icmp -j ACCEPT
iptables -A INPUT -j LOG --log-prefix 'REJECT INPUT: '
iptables -A INPUT -j REJECT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix 'REJECT OUTPUT: '
iptables -A OUTPUT -j REJECT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state NEW -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix 'REJECT FORWARD: '
iptables -A FORWARD -j REJECT

iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.1 \
-d ! 172.16.32.0/24 -j MASQUERADE #Enviamos a nuestra LAN Principal
;;
stop)
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

100FullDuplex?

1.- De forma Dinamica:

# mii-tool eth0 -F 100baseTx-FD

2.- De forma estatica:

Editar archivo /etc/network/interfaces

up /sbin/mii-tool eth1 -F 100baseTx-FD

Ejemplo:

auto eth0
iface eth0 inet static
address 10.0.0.2
netmask 255.0.0.0
gateway 10.0.0.1
dns-nameservers 10.30.20.1
dns-search dominio.cl
up /sbin/mii-tool eth0 -F 100baseTx-FD

Saludos espero les sirva.

Autenticacion Centralizada LDAP+SSH

Unas de las tareas de un sysadmin es controlar el acceso a los equipos de nuestra red, cuando la suma de estos es grande se deben crear politicas, y una de esas politicas debe ser la centralizacion de usuarios, a continuacion les mostrare como se puede realizar esto con un ejemplo del servidor y los clientes.

apt-get install slapd libnss-ldap libpam-ldap

Una vez instalado los paquetes necesarios editamos slapd.conf dentro de /etc/ldap

# Schema y ObjectClass
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema

# Definicion Basica
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
loglevel 0
modulepath /usr/lib/ldap
moduleload back_bdb
sizelimit 500
tool-threads 1
backend bdb
checkpoint 512 30
database bdb

# Definicion del Directorio
suffix “dc=dominio,dc=cl”

# DB
directory “/var/lib/ldap”

# Definicion de dbconfig
dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index objectClass eq
lastmod on

# Definicion de acceso a la DB
access to attrs=userPassword,shadowLastChange
by dn=”cn=admin,dc=dominio,dc=cl” write
by anonymous auth
by self write
by * none

access to dn.base=”" by * read

access to *
by dn=”cn=admin,dc=dominio,dc=cl” write
by * read

Una vez realizada la configuracion de slapd.conf, se debe editar /etc/nsswitch.conf

passwd: compat ldap
group: compat ldap
shadow: compat ldap

Debemos editar ademas el archivo pam_ldap.conf dentro de /etc

host 127.0.0.1
base dc=dominio,dc=cl
ldap_version 3
rootbinddn cn=admin,dc=dominio,dc=cl
pam_check_host_attr yes

Ahora reiniciamos el servidor slapd

invoke-rc.d slapd restart

Ahora editamos el archivo ldap.conf de los clientes este puede estar en /etc/ldap.conf

# Por defecto
host 200.0.0.1 # server ldap
base dc=dominio,dc=cl
ldap_version 3
rootbinddn cn=admin,dc=dominio,dc=cl
timelimit 120
bind_timelimit 120
idle_timelimit 3600

# Control de acceso por host
pam_check_host_attr yes
pam_filter &(objectClass=posixAccount)(host=mail)

A continuacion editamos /etc/nsswitch.conf

passwd: files ldap
shadow: files ldap
group: files ldap

Ahora editamos el archivo para la conexion del cliente /etc/openldap/ldap.conf

BASE dc=dominio,dc=cl
URI ldap://200.0.0.1/ # server ldap

Esta configuracion es para cualquier cliente este archivo puede ser un archivo unico o separados.

# Esta definicion permite al root entrar sin pasar por servidor LDAP, en el caso si el servidor de autenticacion esta down.

auth [success=1 default=ignore] pam_unix.so
auth required pam_ldap.so use_first_pass
auth required pam_permit.so

account [success=1 default=ignore] pam_unix.so
account [success=ok new_authtok_reqd=ok ignore=ignore default=bad perm_denied=bad] pam_ldap.so
account required pam_permit.so

password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5

session required pam_unix.so
session optional pam_ldap.so
session required pam_mkhomedir.so umask=0066 skel=/etc/skel

Ahora solo nos falta cargar los ldif para armar nuestro directorio LDAP. 2 Ejemplo de host y usuarios.

ldapadd -x -D “cn=admin,dc=dominio,dc=cl” -W -f hosts.ldif

dn: cn=mail,ou=hosts,ou=ssh,ou=service,dc=dominio,dc=cl
objectClass: ipHost
objectClass: device
objectClass: extensibleObject
ipHostNumber: 200.0.0.3
cn: mail.dominio.cl
cn: mail

dn: cn=dns,ou=hosts,ou=ssh,ou=service,dc=dominio,dc=cl
objectClass: ipHost
objectClass: device
objectClass: extensibleObject
ipHostNumber: 200.0.0.4
cn: dns.dominio.cl
cn: dns

dn: cn=web,ou=hosts,ou=ssh,ou=service,dc=dominio,dc=cl
objectClass: ipHost
objectClass: device
objectClass: extensibleObject
ipHostNumber: 200.0.0.5
cn: web.dominio.cl
cn: web

ldapadd -x -D “cn=admin,dc=dominio,dc=cl” -W -f usuario.ldif

dn: uid=operador,ou=users,ou=ssh,ou=service,dc=dominio,dc=cl
uid: test
cn: Test
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
loginShell: /bin/bash
uidNumber: 786
gidNumber: 100
homeDirectory: /home/test
userPassword: {crypt}GoYLwzMD6cuZE
host: mail,dns

Se crean 3 hosts en el directorio LDAP y un usuario con solo acceso a mail y dns, si se requiere que el usuario test entre ademas a web, bastaria con modificar la linea host: mail,dns,web

Configuracion DHCPD

Bueno a continuación un muestra de un servidor DHCPD para un segmento.

apt-get install dhcpd

una vez instalado el paquete editamos el dhcpd.conf en /etc

option domain-name “dominio.cl”;
option domain-name-servers dhcp.dominio.cl;
option subnet-mask 255.255.255.224;
default-lease-time 600;
max-lease-time 7200;

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.100 192.168.0.254;
option domain-name-servers ip-dns;
option domain-name “dominio.cl”;
option routers 192.168.0.2;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
default-lease-time 600;
max-lease-time 7200;
}

Reiniciamos el servicio

invoke-rc.d dhcpd restart

Y listo tenemos un servidor dhcpd en nuestra LAN.

* Podemos decidir por que interfaz asignar el servicio de DHCP editando /etc/default/dhcp

Firewall Workstation con iptables

Bueno a continuación les muestro como hacer un pequeño firewall para un workstation, el cual puede ser mejorado según los servicios que disponen en su sistema y el nivel de seguridad que deseen.

Les recomiendo crear el script en /etc/init.d/ con el nombre de firewall y asignar permisos de ejecución.

touch /etc/init.d/firewall

chmod 755 /etc/init.d/firewall

Luego agregar el script en los distintos run levels en los cuales podria iniciar el sistema.

update-rc.d firewall start 00 2 3 4 5 .

Una vez realizada estas acciones podemos modificar el script firewall, a continuacion un ejemplo de un sistema el cual tiene un servidor web y ssh, en el cual como politica realizaremos DROP de toda el INPUT y FORWARD, en el cual solo permitiremos acceder al puerto 22 desde $Internet y desde la LAN a nuestro servidor Web. la salida “OUTPUT” es por política ACCEPT.

#!/bin/bash

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Definición de Variables

iptables=’/sbin/iptables’
internet=’0/0′
lan=’200.1.2.0/24′
dev=’eth0′

$iptables -F
$iptables -F -t nat
$iptables -F -t mangle

$iptables -X
$iptables -X -t nat
$iptables -X -t mangle

# Definición de Políticas

$iptables -P INPUT DROP
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD DROP

# Definición de Cadena lan_to_host

$iptables -N lan_to_host
$iptables -A lan_to_host -p tcp –dport 80 -j ACCEPT

# Definición de INPUT

$iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
$iptables -A INPUT -p icmp -j ACCEPT
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A INPUT -p tcp –dport 22 -j ACCEPT
$iptables -A INPUT -i $dev -s $lan -j lan_to_host
$iptables -A INPUT -j LOG –log-prefix ‘REJECT INPUT: ‘
$iptables -A INPUT -j REJECT