Reading time: < 1 minute
Really useful command of ssh package to add public key of your user account to a remote SSH server and then access there with passwordless authentication method.
ssh-copy-id [-i [identity_file]] [user@]machine
In the past I wrote a simple cookbook to explain this process but now this is as simple as possible. Don’t forget ssh-copy-id is the most easy way to add your ssh public key in remote servers.
Reading time: < 1 minute Configure spamassassin is never easy to do. But when you look for information in Google usually you will be mad . The most common help method in linux is use 'man command' but it doesn't work or information is not enough usually. After a lucky search I found this command to get an extended information about how to configure spamassassin.conf file.
perldoc Mail::SpamAssassin::Conf
Reading time: 2 – 2 minutes
Aquesta setmana he tingut un expedient X’s amb el servidor d’oriolrius.cat que tinc virtualitzat en un servidor de Xen. La qüestió és que segons Xen la màquina estava corrent normal però encanvi no podia accedir ni a la consola ni enlloc. Ja que la màquina no estava a la llista de processesos del sistema. Així doncs, després de més d’1any he hagut d’aprendre alguna comanda de Xen CLI per poder solucionar el problema.
Per obtenir la llista de màquines virtuals que té el sistema:
xe vm-list
amb aquesta comanda podem obtenir el uuid, aquest identificador ens serà útil per poder forçar la màquina perquè es pari. Això ho podem fer així:
xe vm-reset-powerstate uuid=XXXXXXXXXXXXXXX force=true
En cas de que la comandi falli, per exemple, amb un error de:
The operation could not be performed because a domain still exists for the specified VM. vm: XXXXXXXXXXXXXXX (nom_servidor) domid: 1
Llavors podem eliminar el domini que ens causa problemes així:
/opt/xensource/debug/destroy_domain -domid 1
Si la comanda no retorna error vol dir que hem pogut eliminar el domini i ja podem tornar a executar la comanda xe vm-reset-powerstate.
Gràcies a això he pogut fer-li entendre al Xen server que la màquina estava parada i des de la GUI he tornat a iniciar la màquina sense problemes. En el meu cas aquesta anomalia s’havia donat degut a que el sistema s’havia quedat sense memòria, o sigui, que entenc que hi hauria alguna part del hypervisor que tindria leaks de memòria.
Reading time: < 1 minute Les noves versions d'Ubuntu incorporen AppArmor i a vegades això suposa un problema, així que cal recordar com anul·lar-lo completament per depurar els problemas abans de tornar-lo a activar.
/etc/init.d/apparmor teardown
Reading time: < 1 minute A vegades a l'accedir per SSH a un servidor necessitem connectar amb la sessió DBUS que té iniciat un usuari, la forma de fer-ho és tan senzilla com això:
eval `/usr/bin/dbus-launch –auto-syntax`
Reading time: 2 – 2 minutes
A aquestes altures tothom coneix screen i a quin més qui menos li ha solucionat més d’un problema. Pels que no el coneixeu, podeu donar un cop d’ull als posts que vaig fer sobre el tema:
Per començar un screenshot de l’eina:
Pel que fa a les funcionalitats hereda tota la potència i accessos ràpids que té screen, a més d’un entorn basat en ncurses per configurar l’aspecte de les pantalles i comportament de l’eina. És genial amb un cop d’ull poder saber les consoles que tenim obertes i monitoritzar el sistema des de la shell. A més també permet instal·lar-se al ~/.profile de l’usuari de forma senzilla (byobu-launcher-install) perquè al fer un login o un ssh tinguem la sessió directament dintre del byobu.
A la Ubuntu Lucid (10.04) i a Fedora 14 ja he trobat el paquet, pel que fa a MeeGo aquest no estava disponible però m’he baixat el tar.gz i compilar-lo ha estat 1s.
La pàgina web de: byobu.
Algunes referències interessants de les tecles d’screen:
Reading time: 1 – 2 minutes
Mai ho havia necessitat fins avui, tenia un samba que accedia a un AD per saber quins eren els seus usuaris i grups d’usuaris. Així doncs, el problema que tenia era com podia saber quins usuaris tenia i quins grups. Es veu que tot això es fa a través de la comanda wbinfo.
A continuació poso una petita referència dels paràmetres que més bé m’han anat:
# llista usuaris wbinfo -u # llista grups wbinfo -g # info d'un usuari wbinfo -i DOMINI+username # grups que té l'usuari wbinfo -r DOMINI+username # informació d'un grup a partir del GID wbinfo --gid-info=GID # obtenir el GID a partir del nom del grup wbinfo --group-info=DOMINI+groupname # informació d'un usuari a partir del UID wbinfo --uid-info=UID
Referència completa de la comanda: wbinfo
Reading time: 2 – 2 minutes
Amb les quatre notes que adjunto en aquest article es preten tenir una guia per tal de poder seguir i entendre els fitxers de configuració associats a PAM.
Quan PAM va associat a un servei aquest té un fitxer de configuració dins de /etc/pam.d sovint amb el mateix nom del servei o quelcom que ens el recorda. Dins de cada fitxer d’aquests es defineixen quatre categories pel procés d’autenticació:
No és obligatori definir les quatre categories per tots els serveis, hi ha serveis que amb la categoria auth, en tenen prou. O d’altres que les requereixen totes.
PAM té una selecció de diferents models per cada categoria que s’organitzen en una pila. Cada mòdul esta etiquetat amb el que s’anomena una bandera de control. A través d’aquestes eines és com l’administrador controla el procés d’autenticació dels usuaris sobre els serveis.
Les banderes de control suportades per PAM són:
Si un mòdul marcat amb required, requisite o sufficient respon de forma negativa es deté l’execusió de la pila de forma inmediata.
Si la resposta és positiva en un mòdul: required, requisite o optional llavors PAM seguirà examinant la resta de mòduls.
Si un mòdul sufficient respon positivament es considera positiva la resposta a tota la categoria que s’esta examinant.
Reading time: 4 – 6 minutes
L’autenticació d’Apache coneguda com a AuthBasic malgrat la seva inseguretat és una de les més usades, ja que ens permet de forma senzilla i ràpida protegir un directori o simplement un fitxer. La protecció d’aquest tipus d’autenticació és molt relativa perquè el password viatge en clar a través de la xarxa, a més, al viatjar a les capçaleres HTTP o fins hi tot en la propia URL de la pàgina pot arribar a ser indexat per un navegador.
Seguint la línia dels anteriors articles:
Ara el que toca és afegir a l’Apache aquest tipus d’autenticació de forma que podem donar les credencials d’accés a un directori/fitxer a algú però aquestes caducaran al cap del temps (uns 3 minuts) i els buscadors o d’altres agents amb més mala idea no podran accedir al recurs passat aquest temps. Com sempre la idea és la d’aprofitar-se del PAM/OTP.
En primera instància per aconseguir això ho he intentat amb el mòdul libapache2-mod-auth-pam però no n’he tret l’entrellat i he estat incapaç de completar la configuració. Així doncs, el que he fet és provar amb el mòdul libapache2-mod-authnz-external ambdós disponibles en l’Ubuntu 8.04 (Hardy). Aquest segon mòdul l’he combinat amb el checkpassword-pam.
Així doncs, la idea és ben senzilla configurem l’Apache perquè usi el libapache2-mod-authnz-external, en escència el que fa aquest mòdul és recolzar-se en agents externs per fer l’autenticació. Aquest agent extern és el checkpassword-pam que comentava i que com diu el seu nom el que fa és validar el password contra PAM, així doncs, malgrat no és una solució massa eficient a nivell de recursos ja que ha de carregar un segon programa per validar cada usuari considero que és una solució suficienment bona pel meu cas.
Instal·lem el mòdul d’apache i l’activem:
apt-get install libapache2-mod-authnz-external a2enmod authnz_external /etc/init.d/apache2 restart
Instal·lació del checkpassword-pam
cd /var/tmp wget "http://downloads.sourceforge.net/project/checkpasswd-pam/checkpasswd-pam/0.99/checkpassword-pam-0.99.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcheckpasswd-pam%2F&ts=1284649515&use_mirror=ignum" tar xvfz checkpassword-pam-0.99.tar.gz cd checkpassword-pam-0.99 ./configure make mkdir -p /opt/checkpassword-pam cp checkpassword-pam /opt/checkpassword-pam
Fitxer de configuració pel servei apache2 del PAM, /etc/pam.d/apache2:
auth sufficient pam_script.so onerr=fail dir=/etc/pam-script.d/ account required pam_script.so onerr=fail dir=/etc/pam-script.d/
Si us hi fixeu aquest fitxer és igual al que vaig usar per fer l’autenticació en l’article de PHP i PAM/OTP.
Ara anem a un dels fitxers de configuració d’Apache per un virtualhost i afegim el següent codi per protegir un directori servit per aquest virtualhost:
<Directory /var/www/virtualhost/directori_a_protegir> AuthType Basic AuthName "Restricted area for My Server" require user nom_usuari AuthBasicProvider external AuthExternal autenticador </Directory> AddExternalAuth autenticador "/opt/checkpassword-pam/checkpassword-pam -H --noenv -s php -- /bin/true" SetExternalAuthMethod autenticador checkpassword
Coses importants a destacar en aquest configuració, fixeu-vos que em cal afegir ‘require user nom_usuari’, això és perquè no disposo de cap fitxer d’usuaris on Apache pugui validar quins són els meus usuaris vàlids i la directiva ‘require valid-users’ no funcionaria, així doncs, hem d’especificar quins usuaris podran fer login a través d’aquesta comanda, o bé, afegir una altre directiva que li permiti a Apache trobar un llistat d’usuaris en algún lloc.
Un altre detall important són els paràmetres que he d’usar al checkpasswords-pam perquè aquest funcioni bé:
Reading time: < 1 minute Tan senzill com llençar un top i un cop dins l’interficie premer O (majúscula) i seguidament p, amb un intro tornem a la pantalla del top i apareix una nova columna anomenada SWAP que ens diu quantes pàgines de memòria consumeix un procés, a més la llista de processos que es poden veure estan ordenats per ordre descendent segons el que més memòria SWAP ocupa.
Aprofitant l’article adjunto una referència interessant: Controlling your linux processes via linux.com.
