viernes, 5 de noviembre de 2010

Rootlinux sale de gira!

Rootlinux Live!

Queridos cat /etc/amigos y cat/etc/alumnos queremos contarles que el team de rootlinux se va de gira por el interior del país a rootear un poco por ahí.
Llevamos cursos para regalar, servicios de hosting por un año y muchas muchas cosas más.



12 y 13 de Noviembre - Salta
Estaremos en Salta, invitados por nuestros amigos de SaltaLug dando unas charlas de Alta Disponibilidad y Virtualización.

Más info acá:
http://saltalug.org.ar/jornadas/5/node/6


3 y 4 de Diciembre - La Pampa
La Pampa NO tiene el ombú, pero tiene gente que sabe de seguridad y organiza este serio evento a puro pulmón y buena onda!

Más info acá:
http://www.pampaseg.com/

Los esperamos a todos!!!!!

domingo, 31 de octubre de 2010

Un cuento de Halloween - Historias OpenSource -

Octubre - 2006 - Estados Unidos - Un día de lluvia, gris y frío -

Cuenta la leyenda que un día N, como todos los días N+1 en la vida de un Nerd, se desató una ola de violencia sin precedentes.
Hans Reiser llevaba una vida agitada y marcada por su separación con Nina de 31 años de edad. El destacado programador comenzó sus tareas laborales como todos los días. Su taza de café soportada en un calentador USB ofrecía un humo alentador con sabor a domingo. Los números insesantes no paraban de aparecer en la pantalla, click, debug, sorpresas y error. Un Filesystem como ReiserFS es una tarea de tiempo completo.
Cuenta la leyenda que el último error de Hans lo sacó de las casillas por completo, realizó una redirección de la furia a su amada Nina, quien no entendia el oscuro suceso que estaba por atormentarla.

Días después de la desaparición de la desgraciada Nina, las noticias no dejaban de publicar algo que días más tarde se confirmaría: Hans había asesinado a su esposa.

¿A sangre fría? ¿Enterrada viva? ¿Asesinada con un mouse? Es un misterio que todavía no está resuelto. Pero Hans pasa sus días en la carcel programando, quien sabe, ¿su próximo asesinato?

La historia es triste, sobre todo porque no se llegaron a arreglar varios bugs de ReiserFS4, gracias a Dios existe EXT4 y ZFS.

Nos veremos en la próxima historia de terror en el día de Halloween y recuerden: hay muchos proyectos Open Source llevados adelante por gente casada y , quien sabe, cansada.

Saludos tenebrosos.

Root "Kernel Panic" Linux

miércoles, 22 de septiembre de 2010

Una carta intersante

Es la carta de una Madre a un hijo Informatico, esta buena!!!, jaj

Querido hijo:

A la vista está que desde que comenzaste tus estudios de Informática tu nivel de comunicabilidad con el resto de tu familia ha ido en receso, al igual que tu capacidad para mantener un mínimo orden en tu mesa de trabajo y resto de tu habitación. Es por ello que he decidido tomar cartas en el asunto y ponértelo de manifiesto en los mismos términos que empleas a diario para dirigirte a nosotros, tu familia:

Viendo que tu sistema operativo no te permite mantener optimizado tu entorno de trabajo ni tus unidades de almacenamiento, he creído conveniente defragmentar el espacio libre y poner orden en tu sistema de archivos.

Así pues, he liberado cantidad de espacio en tus unidades de alta capacidad (estanterías) y en las unidades extraíbles (cajones). He habilitado, junto a tu acceso telefónico, un espacio reservado a tus documentos, en el cual se encuentra tu libreta de direcciones y tu portapapeles, y he dejado espacio suficiente para que tengas acceso directo a tus herramientas de escritura y dibujo.

También he vaciado la papelera y restaurado la configuración visual de tus paredes, eliminando esos wallpapers tan pasados de moda.

Al escanear el resto del entorno, encontré algunas particiones ocultas, tales como el espacio entre el colchón y el sommier. Te recomiendo que guardes el software de "anatomía visual" en carpetas poco accesibles a tus hermanos, que aún son menores de edad, si no quieres sufrir la censura de la B.S.A. o en su defecto, de tus padres.

La ropa sucia la he procesado con un programa largo y comprimido en tus unidades extraíbles.
Te recomiendo que actualices más a menudo tu ropa interior, o de lo contrario habrá que pasarles periódicamente un Antivirus.

Como sé que encontrarás cierta dificultad a la hora de adaptarte a este nuevo orden, he sobrescrito la tabla de contenidos de tus unidades para que te resulte más sencillo encontrar lo que busques.
Claro que puedes encontrar algún bug; es la primera vez que hago de administrador de sistemas. Si detectas alguno, comunícamelo y desarrollaré un patch.

Por último, he minimizado el desorden general de tu armario, he maximizado tu área de estudio y he puesto en funcionamiento un bucle condicionado que limitará tus recursos en caso de que no mantengas optimizado tu entorno.

Espero que todos estos cambios mejoren tu rendimiento y no sea preciso hacer overclocking en tus horas de estudio, ni limitarte el ancho de banda en tus comunicaciones.

Firmado: Tu madre

P.D.: Tu familia echa de menos una conversación normal.

----- End Text....

domingo, 12 de septiembre de 2010

Mark "Ubuntu" Shuttleworth y un interesante artículo

Les dejamos este link, es un artículo de Mark "viajo al espacio" Shuttleworth. Nos parece muy interesante y comulgamos con estas formas de pensar. Espero lo disfruten!

http://www.markshuttleworth.com/archives/439


sábado, 24 de julio de 2010

Motivos realmente importantes para brindar!!

Esos momentos como pocos... levantar la copa... pensar lo bueno... compartir en familia o con amigos los días festivos o simplemente festejar porque sí.
Estoy hablando del momento del brindis, chocar copas y mirarse a los ojos (ya sabemos lo que pasa si no), y con voz de denuncia decir:
brindo pooooor...!!

Bueno ese el tema de este post, porqué brindamos en rootlinux... Por cosas importantes, por esas cosas que no nos dejan dormir y sabemos que cambiarían la humanidad. A continuación una lista que se va alimentando fiesta a fiesta, cumpleaños a cumpleaños, reunión a reunión, clase a clase, fiesta a fiesta, fiesta a fiesta.

Porque Firefox consuma menos recursos
Por root
Por sudo
Por supuesto
Porque nano tenga split
Por un grabar y salir fácil en VI
Por un load average de 0.00 0.00 0.00
Por un Uptime de 100 días!
Porque OpenOffice se ponga las pilas con las macros
Porque BSD sea cada día más facil



miércoles, 21 de julio de 2010

Busco, luego pregunto - tips para buscar un centro de capacitación -

Es claro que nosotros somos un centro de capacitación, pero también somos alumnos y profesores de otros cursos y otros centros que tal vez no tengan nada que ver con nuestra actividad profesional, pero nos permitieron ir formando una opinión.

Lo que sí fuimos aprendiendo en el camino, y seguro nos queda por aprender, es la forma de buscar un centro y evaluarlo a la hora de someternos a que nos inunden con sus cononcimientos.

1 - Es importante saber lo que estoy buscando, pero más importantes es saber lo que NO estoy buscando de un curso, ya que si hacemos el curso es porque no tenemos, más que una idea general, de lo que vamos a ver en profundidad y siempre se ven cosas nuevas. Pero es importante saber lo que no quiero aprender porque lo sé o no me interesa o porque no tiene nada que ver con lo que hago.

2 - Tener claro porqué estoy haciendo el curso y dedicarle el tiempo indicado, ya que en los cursos lo más importante pasa fuera del aula, cuando los conocimientos son asimilados y los puedo aplicar en ambientes de testing o reales.

3 - Conocer el instituto a fondo, consultar los CV´s de los profesores, ya que finalmente dependo de ellos en el aula. Conocerlos personalmente y evaluar desde mi experiencia y percepción el conocimiento. Todo esto realizarlo siempre antes de contratar el curso, siempre consultar y comparar con gente que sabe.

4 - Conocer las certificaciones, consultar si los centros son certificados realmente y conocer si los profesores son certificados. Es cierto que, a veces la certificación no es una prueba total de conocimiento, pero por otro lado nos da la seguridad de un proceso transitado de estudio y tiempo dedicado.

5 - Investigar el temario a fondo, consultar y preguntar los alcances del curso.

Espero que sea de utilidad para las futuras capacitaciones. No quedarnos con la imagen de un lugar sino averiguar bien la trayectoria de los profesores creo es lo más importante.

domingo, 4 de julio de 2010

How to squid + delay pools + youtube facebook


Si son administradores de redes o tuvieron que implementar squid en alguna empresa con muchos usuarios y poco enlace, seguro saben de que les voy a hablar. Youtube y facebook pueden ser sitios que nos saquen los pelos de punta!....pero bloquearlos completamente puede hacer que los usuarios de la red nos quieran colgar . Una solución que nos dió resultado en varios lugares es crear un delay pool clase 1 para determinados sitios. Les paso este how to pequeño pero efectivo. Claro que si quieren saber como funcionan exactamente las delay pools pueden dirigirse a la web de squid que lo explica mucho mejor de lo que podría hacerlo yo!

1)
Instalar squid desde aptitude o compilar con soporte para delay pools, --enable-delay-pools.

1.2)
Crear un archivo que se llame lentos en /etc/squid y poner las ips que queremos que naveguen lento.

2)
Editar el archivo squid.conf y agregar lo siguiente:

acl usuarioslentos src "/etc/squid/lentos"

#PONER LENTO YOUTUBE, FACEBOOK
delay_pools 1
delay_class 1 1
delay_parameters 1 1000/100
acl lento url_regex \.flv$
acl lento url_regex -i watch?
acl lento url_regex -i youtube
acl lento url_regex -i facebook
delay_access 1 allow lento usuarioslentos

http_access allow usurarioslentos


Claro que esto lo pueden adecuar a su archivo, podrían tener los grupos por AD o OpenLDAP o usuarios comunes. También pueden agregar los dominios que quieran.

Reinician Squid y ya comenzaría a funcionar, también pueden jugar con lo valores del pool ya que con lo que puse yo va realmente lento.

Saludos!

How to Squid + Debian + Kerberos Auth + Windows 2003/08

Para integrar la navegación de Squid en GNU/Linux Debian como proxy con un controlador de Dominio Windows hace falta conocer algunos términos y tecnologías. Una buena página para empezar es la de Samba, en la sección de Samba 4 donde pueden leer cómo funciona la autenticación de Windows.

Claro está que la tecnología de autenticación Kerberos no fue inventada por Windows pero, lamentablemente, la vemos implementada en las empresas mayormente de la mano de la ventanita. En GNU/Linux es totalmente posible kerberizar un entorno, pero no es el tema de este Post.

Lo que vamos a hacer acá es usar Squid para autenticar vía kerberos los equipos Windows que quieran navegar por la red. De esta forma los usuarios de Windows que se autentiquen en el dominio AD 2003 o 2008 van a obtener un tiket HTTP/DOMINO que les permitirá navegar de acuerdo a las ACLS puestas en el squid. Doy por supuesto que tienen una instalación de GNU/Linux Debian.

El primer paso es testear algunas cosas en el servidor Windows 2003/08, sí sí lamentablemente tenemos que tocarlo o pedir al administrador amigo que lo haga por nosotros :). Vamos a llamar al dominio, AD (Active Directory), haciendo referencia al 2003 o 2008.

En el AD tienen que asegurarse que las zonas DNS estén bien configuradas, con todos sus equipos y zonas reversas respectivamente. Como política tiene que estar el sincronismo de la hora al iniciar sesión ya que Kerberos es muy estricto con esto.

AD domain: windows.dominio
WIndows: ad.windows.dominio
IP: 192.168.1.1
Debian: 192.168.1.2

En el DNS del AD deben crear una registro (A) con la IP del servidor Debian y su respectiva zona PTR.

En el Debian tiene que estar bien configurado el archivo hosts y el hostname haciendo referencia al nombre FQDN, en este caso: debian.windows.domino.

Antes de empezar en el Debian tenemos que hacer lo siguiente:

Instalar ntpdate y configurar que tome la hora del servidor AD, se configura en /etc/default/ntpdate colocando la IP del AD.

Luego corren ntpdate-debian y debería sincronizar con el AD.

En el resolv.conf poner como DNS al AD unicamente. NO hace falta reiniciar el servicio de red, prueben con el comando host (aptitude install host) que resuelva el nombre del AD en forma directa e inversa:

host ad.windows.dominio
host 192.168.1.1

#En el caso de Instalar el AD en Windows 2008 hacía falta un hotftix, pero si tienen el SP2 no hace falta, ya que viene incluido.

1)
En nuestro Debian tenemos que instalar los siguientes paquetes con aptitude:

libsasl2-modules-gssapi-mit
cvs
build-essential
automake
autoconf
slapd
libldap-dev
krb5-user
libkrb5-dev
wget

Una vez instalado tenemos que crear el tiket kerberos de HTTP que nos permitirá autenticar los equipos a través del AD. Esto se puede hacer utilizando la herrmienta ktutil y el comando ktpass en el AD o bajando una herramienta llamada msktutil. Nosotros vamos a usar la segunda opción.

2)
wget http://download.systemimager.org/~finley/msktutil/msktutil_0.3.16.orig.tar.gz
wget http://download.systemimager.org/~finley/msktutil/msktutil_0.3.16-7.diff.gz

Copiamos /usr/src para poder compilarla.

3)
cd /usr/src
tar zxvf msktutil_0.3.16.orig.tar.gz
gunzip msktutil_0.3.16-7.diff.gz
cd msktutil-0.3.16Cursiva
patch < ../msktutil_0.3.16-7.diff ./configure make make install

4)
Hay que bajar el helper que nos permite autenticar contra el AD y compilarlo.

cvs -z3 -d:pserver:anonymous@squidkerbauth.cvs.sourceforge.net:/cvsroot/squidkerbauth co -P squid_kerb_ldap
cd squid_kerb_ldap
./configure
make

5)
Configurar Kerberos, el archivo es /etc/krb5.conf

Tendría que quedar como el siguiente!

[libdefaults]
default_realm = DOMINIO.WINDOWS
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h

# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

[realms]
DOMINIO.WINDOWS = {
kdc = 192.168.1.1
admin_server = 192.168.1.1
default_domain = dominio.windows
}

[domain_realm]
.dominio.windows = DOMINIO.WINDOWS
dom.local = DOMINIO.WINDOWS

6)
Tenemos que crear el keytab, archivo que se pondrá en /etc y es nuestro tiket de autenticación kerberos.
kinit administrador

msktutil -c -b "CN=COMPUTERS" -s HTTP/debian.dominio.windows -h debian.dominio.windows -k /etc/HTTP.keytab --computer-name debian -http --upn HTTP/debian.dominio.windows --server ad.windows.dominio --verbose

Si no nos dá ningún error...Estamos!!

7)
klist -k para probar nos debería mostrar un tiket.

8)
A instalar Squid!, vamos a bajar el source squid 3

cd /usr/src
wget http://www.squid-cache.org/Versions/v3/3.0/squid-3.0.STABLE25.tar.gz
tar zxvf squid-3.0.STABLE25.tar.gz
cd squid-3.0.STABLE25
./configure --enable-negotiate-auth-helpers=squid_kerb_auth --enable-stacktraces --enable-delay-pools --prefix=/opt/squid
make
make install
cp helpers/negotiate_auth/squid_kerb_auth/squid_kerb_auth /opt/squid/sbin/
cp /usr/src/squid_kerb_ldap/squid_kerb_ldap /opt/squid/sbin/

9)
Configurar Squid, el archivo podría quedar algo así:

cd /opt/squid
vi squid.conf

#ARCHIVO MODIFICADO POR ROOTLINUX.COM.AR

#HELPER CONFIGURACION
auth_param negotiate program /opt/squid/sbin/squid_kerb_auth -d -s HTTP/debian.dominio.windows
auth_param negotiate children 10
auth_param negotiate keep_alive o

#HELPER DE CONSULTA DE GRUPO EN EL AD PARA ACCESO SIN RESTRICCIONES A INTERNET, EL GRUPO WINDOWS SE LLAMA INTERNETFULL
external_acl_type SQUID_KERB_LDAP ttl=3600 negative_ttl=3600 %LOGIN /opt/squid/sbin/squid_kerb_ldap -d -g internetfull
#LO MISMO PERO PARA EL GRUPO CON RESTRICCIONES, EN EL AD SE LLAMA INTERNETUSU
external_acl_type SQUID_KERB_LDAP1 ttl=3600 negative_ttl=3600 %LOGIN /opt/squid/sbin/squid_kerb_ldap -d -g internetusu


#OPTIMIZAR
cache_swap_low 95
cache_swap_high 98
maximum_object_size 16384 KB
maximum_object_size_in_memory 4096 KB


#CONFIGURACION POR DEFECTO
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemak
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl LDAP_GROUP_CHECK external SQUID_KERB_LDAP
acl LDAP_GROUP_CHECK1 external SQUID_KERB_LDAP1
acl localnet src 192.168.1.0/24
http_port 3128



#REGLAS PARA LOS LIMITADOS
# Bloquea Download para las next extensiones
acl dnld url_regex -i \.avi
acl dnld url_regex -i \.mp3
acl dnld url_regex -i \.fla
acl dnld url_regex -i \.flv
#acl dnld url_regex -i \.swf
acl dnld url_regex -i \.wav
acl dnld url_regex -i \.asf
acl dnld url_regex -i \.wmf
acl dnld url_regex -i \.pif
acl dnld url_regex -i \.bat
acl dnld url_regex -i \.scr
acl dnld url_regex -i \.wdm
acl dnld url_regex -i \.wmv
acl dnld url_regex -i \.mid
acl dnld url_regex -i \.mpg
acl dnld url_regex -i \.mpg
acl dnld url_regex -i \.mpeg
acl dnld url_regex -i \.ogg
acl dnld url_regex -i \.ogm
acl dnld url_regex -i \.exe
acl dnld url_regex -i \.zip
acl dnld url_regex -i \.arj
acl dnld url_regex -i \.rar
acl dnld url_regex -i \.iso
acl dnld url_regex -i \.nrg
acl dnld url_regex -i \.bin
acl dnld url_regex -i \.dmg
acl dnld url_regex -i \.img
acl dnld url_regex -i \.pl
acl streaming browser -i ^.*NSPlayer.*
acl streaming browser -i ^.*Player.*
acl streaming browser -i ^.*Windows-Media-Player.*

# Acls de dominios permitidos y negados
acl destinos_permitidos url_regex "/etc/squid/destinos_permitidos"
acl sitios_denegados url_regex "/etc/squid/sitios_denegados"

#ACL ACCESO PARA MAQUINAS QUE NO ESTAN EN EL DOMINIO
acl sindom src "/etc/squid/sindom"

httpd_suppress_version_string on
http_access allow sindom
http_access allow destinos_permitidos
http_access allow LDAP_GROUP_CHECK
http_access allow LDAP_GROUP_CHECK1 !dnld !streaming !sitios_denegados
http_access deny all
cache_effective_user squid
cache_dir ufs /var/cache/squid 1500 16 256
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
pid_filename /var/run/squid.pid
cache_effective_user squid
cache_effective_group squid
coredump_dir /var/cache/squid


#-------FIN DEL ARCHIVO----------------


10)
Squid va a correr con el usuario squid, por lo tanto debemos crear ese usuario para poder dar los permisos necesarios.

chown -R squid.squid /opt/squid /var/cache/squid /var/log/squid /etc/HTTP.keytab

11)
Creamos el archivo de Cache de squid:

/opt/squid/sbin/squid -Z

12)
Para levantar el squid en el inicio de GNU/Linux debian ponemos lo siguiente en el archivo
rc.local.

vi /etc/rc.local
KRB5.KTNAME=/etc/HTTP.keytab
export KRTB.KTNAME
/opt/squid/sbin/squid

13)
Para releer la configuración del servicio podemos hacer:

/opt/squid/sbin/squid -k reconfigure

Esto lo debemos hacer cada vez que cambiemos un parámetro en la conf. del squid o que agreguemos o saquemos usuarios de los grupos del AD.

14)
El último paso es poner el navegador del usuario que está en el dominio en modo proxy.

ATENCION: colocar el FQDN del servidor no la IP para el proxy, en este caso debería ser: debian.dominio.windows:3128, ahora al iniciar la navegación estaría autenticando el usuario del dominio y aplicando las restricciones correspondientes de acuerdo al grupo en que se encuentre.

Saludos!!!!

jueves, 24 de junio de 2010

Un premio bien merecido

Somos root



Si por un lugar se empieza, es por el principio. Nosotros somos principio, somos origen. Un proyecto que se formó y sigue en proceso infinito de avance. Somos root, el súper usuario, porque esa es nuestra ambición para con nuestros alumnos, que puedan ser súper usuarios. Que puedan ser #root.

Nuestro proceso de formación incluye a la persona, no al cliente. Vamos como matriz de enseñanza, pero una matriz abierta que permita enseñar a pensar, no a ejecutar.

Brindamos conocimiento, lo hicimos durante mucho tiempo en instituciones y ahora lo hacemos nosotros. Somos los mismos, pero centralizados, en la raíz de lo que nos gusta y nos mueve. Somos root u origen.

Sabemos lo que enseñamos, trabajamos de lo que sabemos, sabemos que te podemos ayudar. Juntos construimos un mundo IT circular. Las tecnologías crecen día a día y mutan, cambian, evolucionan.

El recurso humano es el mismo, que se adapta. Nosotros estamos ahí, listos para ayudarte.