Unas pocas horas es lo que tengo para poner en marcha esta herramienta, al menos hasta un punto mínimamente funcional. Voy a echar de menos esa máquina.
ContinueTag: Seguridad
Tareas: viernes, 31 de diciembre de 2021
31 diciembre 2021Hora de descubrir gozoso nuevos errores acontecidos durante las tareas administrativas de la noche e intentar resolverlos.
ContinueCampaña de refuerzo de seguridad en servidores
10 noviembre 2020Así, sin anestesia, y todo porque empecé a instalar algo y tuve que ir paso a paso hacia atrás hasta el mismísimo cortafuegos.
ContinueMucho trabajo en el servidor de correo …
4 septiembre 2020… para un viernes por la mañana, aunque ha sido satisfactorio porque he entendido lo que fallaba con suficiente rapidez.
ContinueContraseñas y poco más
23 junio 2020lunes, 22 de junio de 2020
Hoy está siendo un día difícil. Mira que llevo mal tener sueño y asuntos aburridos. La combinación es mortal y me desespera el bostezo imparable y la sensación neblinosa.
ContinueAsegurando las defensas
5 junio 20205 de junio de 2020
Porque empezamos a estar demasiado abiertos al mundo y en algunos casos, con dos proxies intermedios, la cadena de certificados digitales y la protección se complican mucho.
ContinueMigrando cuentas de usuario en LDAP
20 septiembre 2014Hace tiempo ya que vengo observando un molesto problema con los identificadores numéricos de usuarios (uid) dentro de la red. Sus valores son lo bastante bajos como para colisionar con los usuarios normales que crean algunos paquetes, especialmente aquél que me fuerza a crear la instalación de una nueva máquina y que por el momento (hasta que no tenga automatizado dicho proceso) no puedo evitar.
Necesitaba efectuar un cambio y mover todos los valores numéricos a un rango válido pero fuera de uso. Lo que he hecho ha sido lo siguiente:
- Instalar el paquete ldap-account-manager y habilitarlo como servicio en https://admin.venexma.net/lam.
- Crear un perfil que incluyese atributos para una cuenta POSIXy una inetOrgPerson para disponer también de correo electrónico y teléfono móvil.
- Volver a crear los grupos y los usuarios, ambos con valores numéricos por encima de 10000.
- Añadir un servicio de cambio de contraseñas para los usuarios:
- Instalar el paquete self-service-password.
- Crear un servidor virtual en https://usuarios.venexma.net.
- Comenzar el proceso de cambio y testeo individualmente.
Proceso de cambio
El proceso de cambio de identificador de usuario consiste en:
- Tomar nota del identificador antiguo y del nuevo.
- Eliminar la entrada antigua del directorio.
- Asignar una contraseña a la nueva
- Buscar archivos asignados al identificador antiguo y cambiarlos por el nuevo:
- Buscar y reemplazar en los archivos compartidos y los archivos propios en red.
- Buscar y reemplazar en los archivos de su máquina personal.
El script que empleo para ello es el siguiente:
#!/bin/bash set -e # Variables VERSION=0.2 LOGFILE="/tmp/$(basename $0).log" # Parámetros OLD_UID=$1 NEW_UID=$2 OLD_GID=$3 NEW_GID=$4 if [ $# -ne 4 ]; then cat <<EOF >&2 $0 - $VERSION uso: $0 old_uid new_uid old_gid new_gid
Busca en el directorio actual los archivos que pertenezcan al identificador
antiguo (old_uid) y los cambia al nuevo (new_uid). Realiza después la misma
operación con el grupo antiguo (old_gid) y el nuevo (new_gid).
Directorio actual: $(pwd)
Archivo de registro: $LOGFILE
EOF
exit 1
fi
echo «${0}: Buscando archivos en $(pwd)»
cat <<EOF >$LOGFILE
— $(date)
$(pwd)
cambio de UID ${OLD_UID} a ${NEW_UID}
cambio de GID ${OLD_GID} a ${NEW_GID}
—
EOF
echo -e «tcambiando usuario propietario …»
find . -user $OLD_UID -print -exec chown $NEW_UID {} ; | tee -a $LOGFILE
echo -e «tcambiando grupo propietario …»
find . -group $OLD_GID -print -exec chown $NEW_GID {} ;
echo «${0}: proceso registrado en $LOGFILE»
exit 0
[/sourcecode]
Gestor de contraseñas
12 septiembre 2014Llevo ya dos días intentando instalar y configurar el gestor de contraseñas teampass con resultados dispares.
La instalación no ha sido complicada, no más allá de descargar, desempaquetar, cambiar permisos y crear la base de datos. La configuración es vía web y se ha encargado de todo sin más problemas.
La configuración sí que está resultando pesada. Una vez con la cuenta del administrador he procedido a seguir estos pasos:
- Crear roles: administración y gerencia
- Crear usuarios y asignarles roles: luismi, mariano y yo
- Crear carpetas y asignar acceso a los roles a éstas.
También he activado la creación de carpetas personales y todo bien hasta que me he encontrado con un problema un tanto absurdo con las rutas de las carpetas upload y files.
En la documentación recomiendan que ambas carpetas estén fuera de la raíz del servidor y eso es lo que he hecho. Mientras que el programa está instalado en /opt/teampass las dos carpetas las he situado en /var/lib/teampass. El problema es que el URL de acceso a teampas (configurable en el panel del administrador) está situada en un subdirectorio de una máquina virtual y entonces no me queda otra que situar un enlace simbólico de /opt/teampass/upload a /var/lib/teampass por lo que dichas carpetas vuelven a estar, teóricamente, en la carpeta raíz del programa.
Veo dos soluciones:
- Crear alguna regla de reescritura en la configuración del servidor web específica para esos dos sitios (con el programa de no saber si aceptaría más de un componente en el URL de filtrado).
- Situar la instalación en una máquina virtual concreta: algo como pass.venexma.net.
Tengo que analizarlo con más calma.
Latch integrado en el blog
9 septiembre 2014Para controlar el acceso con mi usuario (victor) a este blog he integrado la herramienta Latch sin prácticamente ningún problema.
Ahora puedo, desde el móvil,. monitorizar y controlar el acceso a este sitio 🙂