Actualizando ISC DHCP server desde Debian Lenny hacia Squeeze

Recientemente actualicé el servidor dhcp 3.1.1-6+lenny4 desde Lenny hacia Squeeze, el cual provee la versión 4.1.1-P1-15 . Después de hacer unas pruebas aparentemente todo funcionó con normalidad, por lo cual me desentendí del caso.

Pero no fue hasta que tuve que agregar una hoja estática cuando me di cuenta que algo estaba mal. Los cambios simplemente no tenían efecto, pero la configuración “antigua” si.

Después de revisar configuraciones, me di cuenta que aparte del usual directorio /etc/dhcp3 se había creado el directorio /etc/dhcp , el cual contenía el archivo de configuración dhcpd.conf . Al hacer un diff entre ambas configuraciones, eran efectivamente los cambios que hice recientemente.

Así que en términos sencillos isc dhcp server utiliza el directorio /etc/dhcp e ignora /etc/dhcp3, y al momento de hacer hacer la actualización, hizo la copia de la configuracion “automágicamente”. Esto suena muy lógico debido a que la versión ha cambiado de 3 hacia 4, pero sin estar advertido anteriormente de dicho cambio no fue algo tan divertido.

Así que listo, aquellos que actualicen isc dhcp server desde debian Lenny hacia Squeeze, deben de utilizar el directorio /etc/dhcp y /var/lib/dhcp

ldap_sasl_interactive_bind_s: Unknown authentication method (-6)

Al intentar hacer búsquedas en la base LDAP de un Domino Directory (La base LDAP de un servidor Lotus Domino) utilizando el comando:

ldapsearch -h 127.0.0.1 “objectclass=foo”

obtuve la respuesta:

SASL/EXTERNAL authentication startedldap_sasl_interactive_bind_s: Unknown authentication method (-6)        additional info: SASL(-4): no mechanism available

El error se debe a que el comando ldapsearch, provisto por Openldap, por defecto trata de autenticarse utilizando Simple Authentication and Security Layer (SASL),  cuando este tipo de autenticación no está provisto por Lotus Domino.

Para poder hacer consultas a este tipo de servidores que no soporten SASL, se recurre al parámetro -x , el cual utiliza autenticación simple en lugar de SASL.

ldapsearch -x -h 127.0.0.1 “objectclass=foo”

El parámetro -x aplica por igual a los demás comandos ldap, tales como ldapmodify y ldapadd.



Instalando linux en un tejón

Este artículo es viejo, pero realmente muestra la creatividad de un linuxero, que al igual que muchos, desea instalar Linux en cualquier dispositivo.

http://www.strangehorizons.com/2004/20040405/badger.shtml

net-fs/cifs-utils as a replacement of net-fs/mount-cifs

mount-cifs has been the way to mount samba shares without installing samba and as many samba users would know, it is heavily outdated and hasn’t been updated in a while.

So recently I’ve added net-fs/cifs-utils which is precisely a replacement for mounting SMB/CIFS shares on Linux and I encourage you that you try it instead of the old mount-cifs, as it will become the future way to mount shares without samba. Currently it has only ~x86 and ~amd64 keywords but I’ll look forward to ask to the good arch-teams boys to match keywords of mount-cifs.

chroot y grsec

Tengo configurado un par de equipos con grsecurity activado en sus kernels, que consisten en una serie de parches que mejoran considerablemente la seguridad en el kernel y en términos generales, un sistema se puede configurar para que cada proceso tenga los privilegios justos (mínimos) necesarios para funcionar.

Para los interesados ocupo lo que se denomina “Gentoo Hardened” que facilita en gran medida la configuración de un kernel de esa manera.

Pero volviendo al tema del post, yo ocupo chroots para efectos de pruebas de software y otras hierbas, y al intentar realizar un chmod, fallaba silenciosamente y al revisar dmesg me encontré con el siguiente mensaje:

grsec: From 192.168.xxx.yyy: denied chmod +s of /chroots/chroot-glibc213/var/tmp/portage/dev-libs/libgcrypt-1.4.6/work/libgcrypt-1.4.6/random by /chroots/chroot-glibc213/bin/tar[tar:24801] uid/euid:0/0 gid/egid:0/0, parent /chroots/chroot-glibc213/usr/lib/portage/bin/ebuild.sh[ebuild.sh:24792] uid/euid:0/0 gid/egid:0/0

Prácticamente grsec está negando la ejecución de chmod dentro de un chroot, como una de las múltiples medidas de seguridad que implementa. Como el kernel fue compilado con soporte de sysctl en grsec, se puede desactivar esta protección temporalmente ejecutando:

sysctl kernel.grsecurity.chroot_deny_chmod=0

Probando un nuevo buscador: http://duckduckgo.com/

Viendo que el buscador (y los sitios) de google son cada día más invasivos y aprovechando la recomendación de varias personas, me encuentro utilizando http://duckduckgo.com/ . En mi caso personal trabajo todo el día con el sin ningún problema, pero les recomiendo probarlo y hacer su propio juicio.

Quick and Dirty: Diskette grub

Tengo una usb de arranque la cual utilizo para esos casos de emergencia, pero de vez en cuando sucede que la máquina tiene puertos USB pero no puede arrancar desde USB.

Entonces la alternativa es crear un diskette de arranque que tenga grub y desde él, arrancar el live usb.

Bueno, los pasos para preparar el diskette son los siguientes:

# dd if=/boot/grub/stage1 of=/dev/fd0 bs=512 count=1
# dd if=/boot/grub/stage2 of=/dev/fd0 bs=512 seek=1

Encontrando fingerprint de una llave pública

ssh-keygen -lv -f /ruta/a/la/llave.publica

Para todos los que han ocupado ssh, el fingerprint es aquella cadena de texto que se presenta la primera vez que nos conectamos a un usuario@servidor desde ssh:

$ ssh host.tld
The authenticity of host ‘host.tld (aa.bb.xx.yy)’ can’t be established.
RSA key fingerprint is D7:8e:76:10:2c:63:d4:87:71:d1:03:aa:c6:51:01:tr.
Are you sure you want to continue connecting (yes/no)?

Obtener el fingerprint de una llave ayuda a asegurarnos de manera previa si el host es realmente el que esperamos que sea.

Error en parámetros DefaultRights / MinimumRights en Mysecureshell

He configurado un servidor sftp con la ayuda del software mysecureshell , el cual es bastante conveniente debido a que permite personalizar el acceso a archivos tomando como parámetros IP origen, usuarios, grupos entre otros evitando al mismo tiempo que tengan una shell válida a nivel de sistema operativo.  Un vistazo a mysecureshell.sourceforge.net les dará una idea de las capacidades de este programa.

El punto es que la versión 1.20 del mismo tiene un bug el cual hace que no funcionen los parámetros DefaultRights / MinimumRights. Estos parámetros hacen que los archivos y directorios creados tengan permisos específicos (tales como 0644) . La recomendación, utilizar la version 1.15 . Obviamente este detalle me llevó un buen tiempo deducirlo después de perder el tiempo revisando toda la configuración hasta que encontré el vínculo siguiente:

http://mysecureshell.free.fr/forum/viewtopic.php?id=206

Planning to drop deprecated samba releases in Gentoo

Currently, the releases 3.0 , 3.2, 3.4 and 3.5 of samba are available in Gentoo, but upstream has discontinued releases 3.0 and 3.2 for a while, and currently they are actively maintaining 3.4 and 3.5 .
For the above reason and in order to avoid security issues, I’m planning to drop releases 3.0 and 3.2 from the tree soon, but I’m interested in to know why you, fellow users, are using those old releases. Haven’t you updated your system? Perhaps something is not working right for you with currently stable samba 3.4?
Let me know your thoughts

Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds. Valid XHTML and CSS.