Instalar monitorización Zabbix en linux

HowTo: Como instalar y configurar Zabbix 3.0 en una Debian 8.6

Vamos a instalar un Zabbix 3.0 en una Debian 8.6, para ello primero tenemos que configurar nuestro servidor como LAMP, para ello seguiremos los siguientes pasos:

PASOS PARA INSTALAR ZABBIX

Instalamos el servidor Apache

Instalamos el servidor de MySQL

Nos solicitará la contraseña de root para el servidor de MySQL

zaabix03

Una vez finalice la instalación del MySQL, ejecutamos un comando para securizarlo:

 

Instalamos el PHP:

 

Reiniciamos el servidor Apache para que se apliquen los cambios

 

Comprobamos el estado del Apache

 

Parece que está todo correcto así que vamos a crear un PHPinfo para ver que funciona bien

Insertamos el siguiente codigo:
<?php

// Show all information, defaults to INFO_ALL

phpinfo();

?>

 

Y accedemos a la web para comprobar que el PHP está funcionando correctamente (http://ipservidor/info.php), nos aparecerá una web con toda la información del PHP de nuestro servidor:

How to - Como instalar Zabbix en Linux - Configurar Zabbix

Una vez hemos finalizado la configuración del LAMP, vamos a descargar e instalar el repositorio de Zabbix para nuestra Debian

 

Actualizamos los repositorios

 

Instalamos el Zabbix

 

Como veis es bastante simple, ahora nos toca crear a mano la BBDD para el Zabbix y el usuario. Para ello accedemos al MySQL:

 

Entramos a la carpeta donde esta la estructura de la BBDD por defecto del Zabbix y lo exportamos a nuestra nueva BBDD:

Usamos el password zabbix

 

Ya solo nos queda modificar un par de archivo y podemos acceder al wizard de configuración via web, lo primero modificamos el archivo de configuración del servidor de Zabbix

Cambiamos las siguientes entradas del archivo de configuración:

DBHost=localhost

DBName=zabbix

DBUser=zabbix

DBPassword=zabbix

 

Reiniciamos el servicio para que aplique los cambios

 

Ahora vamos a cambiar el «timezone» por defecto

Descomentamos y cambiamos el uso horario

php_value date.timezone Europe/Madrid

 

Modificamos las directivas necesarias del PHP

Descomentamos la siguiente directiva

always_populate_raw_post_data = -1

 

Y volvemos a reiniciar el servidor Apache para que se reflejen todos los cambios

 

Ya podemos acceder a la web del Zabbix:

http://ipservidor/zabbix/setup.php o http://dnsservidor/zabbix/setup.php

zaabix05

Nos realiza un chequeo de pre-requisitos, si hemos modificado correctamente todos los archivos, nos deberían salir todos como correctos:

zaabix06

Por defecto nos aparece la configuración que hemos medido para este tutorial, tenemos que tener en cuenta que si hemos realizado cualquier modificación tanto en el nombre de la BBDD o en el usuario tenemos que modificarlo aquí. Añadimos el password de acceso a la BBDD:

zaabix07

Le ponemos el nombre al Servidor de Zabbix:

zaabix08

Y finalizamos la instalación:

zaabix09

Nos aparecerá una pantalla de bienvenida solicitando el usuario contraseña (por defecto Admin | zabbix, es case sensitive, por lo que recordad que la A tiene que ser mayuscula):

zaabix10

Y ya tenemos nuestro servidor de Zabbix configurado

zaabix11

Solo nos queda empezar a meter servicios y servidores para monitorizar… pero eso la contaremos en otro momento.

 
error-correo

7 Razones por las que tu envío de correo ha podido ser rechazado

Si eres un usuario que utiliza asiduamente el correo electrónico, sabrás perfectamente que inevitablemente un pequeño porcentaje de esos correos que envías acaban siendo rechazados, posiblemente no sea directamente culpa tuya (o sí) y lo sea del destinatario, de tu proveedor de correo electrónico, un problema de DNS, etc. Entiendo que es difícil identificar la causa del rechazo en un correo el cual la mayoría de las veces un usuario «normal» no se para a leer, ya que la mayoría entienden que estos rechazos son genéricos y que no muestran información sobre el motivo del rechazo.

Habitualmente, cuando recibimos un correo devuelto, normalmente puede ser por un error temporal (4.x.x) o permanente (5.x.x), en lugar de centrarme en dar una descripción de cada código, voy a intentar explicar los posibles motivos más comunes por los que un correo puede llegar a ser rechazado, de esta forma podremos identificar más fácilmente el origen del problema y no echarle la culpa siempre al » dichoso Outlook».

1.- Verifica la dirección de correo a la que envías

Muchas veces cuando enviamos un correo electrónico y recibimos un rechazo obviamos la posibilidad de que la culpa sea nuestra y creerme que muchas veces lo es. Verifica que la dirección de correo a la que escribes es la correcta y no tenga ninguna errata, si ya lo has revisado, asegúrate de que tu contacto te ha dado correctamente la dirección de correo. Este es un problema muy común, normalmente cuando un correo es rechazado por este motivo el mensaje de error suele mostrar alguno de los siguientes errores:

<usuario@ejemplo.com>: host servidor.ejemplo.com said:
550 <usuario@ejemplo.com>… User unknown

<usuario@ejemplo.com>: host servidor.ejemplo.com said:
550 Requested action not taken: mailbox unavailable

<usuario@ejemplo.com>: host servidor.ejemplo.com said:
550 5.1.1 <usuario@ejemplo.com> is not a valid mailbox

<usuario@ejemplo.com>: Sorry, no mailbox here by that name. (#5.1.1)

<usuario@ejemplo.com>: host servidor.ejemplo.com said:
550 Invalid recipient <user@example.com>

The message that you sent was undeliverable to the following:
usuario@ejemplo.com (user not found)

Como puedes ver todos los ejemplos hacen mención al usuario o el buzón, indicando que no están disponibles o que no existen.

2.- El dominio al que envías el correo puede no estar disponible

Cuando envías a una dirección de correo, puede que por alguna razón su servidor DNS no esté disponible, que la zona DNS haya expirado o directamente que el dominio haya dejado de existir hace algún tiempo. Normalmente cuando se da este caso recibiremos una notificación de este tipo:

<usuario@ejemplo.com>: Name service error for domain domain.com:
Host not found, try again

También puede darse el caso que el dominio no esté disponible de forma temporal debido a una saturación del sistema o algún problema relacionado con el servidor del destinatario, habitualmente cuando sucede esto nos encontraremos un error similar al siguiente:

<usuario@ejemplo.com>: Name service error for domain domain.com:
Host not found, try again

3.- Problema de autenticación

Cuando configures tu cuenta en tu gestor de correo recuerda marcar la opción «Mi servidor SMTP requiere autenticación», ya que suele ser un problema común cuando configuramos una cuenta de correo nueva, el correo rebotado suele mostrar algo así:

550 Authentication is required for relay

4.- Buzón de correo del destinatario lleno

Otro problema muy común es que el buzón del correo del destinatario haya llegado al límite de tamaño establecido por su proveedor de correo, este correo rebotado suele ser muy sencillo de identificar si nos fijamos bien, aquí algunos ejemplos:

<user@example.com>: User is over the quota. You can try again later.

<user@example.com>: host servidor.ejemplo.com said:
552 <user@example.com>… Mailbox is full

5.- Mensaje demasiado grande

Vigila el tamaño de los adjuntos cuando envías un correo, ya que suele ser otra causa común de correos rechazados, tanto por parte de tu proveedor de correo o el del propio remitente, suelen ser similares al siguiente:

<usuario@ejemplo.com>: host servidor.ejemplo.com said:
552 Message size exceeds fixed maximum message size (3000000)

<usuario@ejemplo.com>: host servidor.ejemplo.com said:
552 message size exceeds maximum message size

<usuario@ejemplo.com>: host servidor.ejemplo.com said:
552 Message size exceeds fixed maximum message size: 3252990 bytes

 

6.- Reenvíos de correo mal configurados

Esto realmente es un problema de configuración de cuentas del destinatario, cuando se configuran dos o más reenvíos. (Por ejemplo, un reenvío desde una cuenta «A» a una «B» y desde esta cuenta «B» de nuevo a la cuenta «A»). Normalmente cuando sucede esto recibiremos un correo indicando que se ha alcanzado el límite de reenvíos:

554 Too many hops 27 (25 max): from <usuario@ejemplo.com>
via  servidor.ejemplo.com, to <usuari2o@ejemplo.com> 

 

7.- Rechazo por posible spam

Aquí podemos englobar varios casos, puede ser que tu correo sea rechazado porque el contenido de tu correo se asemeja mucho a otros correos catalogados anteriormente como spam, que tu dirección de correo o dominio esté en lista negra, que la IP de tu servidor de correo está listada en listas negras públicas o que tu registro SPF está mal configurado. Aquí os dejo algunos ejemplos para cada caso:

Spam / Virus:

552 This message has been rejected due to content judged to be spam by the Internet community. IB212

552 Virus infected message rejected. IB705

SPF:

< #5.5.0 smtp;550 [IP] is not allowed to send mail from [ejemplo.com]. Please see http://www.openspf.net/Why?scope=mfrom;identity=name@domainname.com;ip=xxx.xx.xxx.xxx> #SMTP#

Este error tiene fácil solución, ya que basta con añadir la IP o nombre DNS de tu servidor de correo a tu registro SPF.

Lista negra:

<<< 554 Service unavailable; Client host [servidor.ejemplo.com] blocked using Barracuda Reputation; http://bbl.barracudacentral.com/q.cgi?ip=192.168.1.1
554 5.0.0 Service unavailable

Este error significa que tu IP está en una o varias listas negras, para solucionarlo ponte en contacto con tu proveedor de correo, ya que esto suele ser causado por envíos ilícitos desde esa IP (puede ser problema tuyo directamente o de alguien que también envíe a través de esa misma IP).

 

 

 
dag-exchange

DAG de Exchange – Felicidad replicada en forma de base de datos de correo para el Sysadmin

Desde hace bastantes años Microsoft nos ofrece los grupos de disponibilidad de base de datos, también conocidos como DAG. Estos grupos de disponibilidad nos permiten tener todas las bases de datos de correo de Exchange replicadas en diferentes servidores. Vamos a revisar algunos de los pros y los contras de un DAG de Exchange:

Pros del DAG Exchange:

  • Replicación de Base de Datos de Exchange de manera síncrona
  • Posibilidad de disponer de varios CAS (Servidor de acceso cliente) dependiendo del sitio geográfico o como simple redundancia.
  • Balanceo de carga a nivel de BBDD entre los distintos servidores de Exchange
  • Podemos instalar las actualizaciones sin perder la conectividad de corro del cliente
  • Replicación de BBDD de Exchange “offsite“ a modo de disater recovery del sitio principal

Contras del DAG Exchange:

  • Coste más elevado a nivel de licencias
  • Coste elevado a nivel de infraestructura
  • El espacio en disco utilizado se multiplica por la cantidad de servidores que estén dentro del DAG con las BBDD replicadas
  • Mayor tiempo de mantenimiento por parte de los sysadmins

Una buena estructura de DAG sería algo similar al siguiente esquema:

DAG Exchange

DAG Exchange, revisamos los beneficios y problemas sobre los grupos de disponibilidad de base de datos. Pros y contras del DAG (Data Base Availability)

En este esquema tenemos tres hosts físicos cada uno con una máquina virtual con Exchange dentro del DAG, dos en el sitio principal con balanceo de las BBDD de Exchange y una tercera máquina virtual con todas las BBDD en sincronizadas y desactivadas.

Esto no quiere decir que necesitemos toda esta infraestructura para tener un DAG, simplemente con un par de máquinas virtuales con Exchange en dos hosts diferentes de nuestra infraestructura nos va a dar muchas de las ventajas que ofrece el DAG, pero siempre es preferible tener nuestra replicación fuera de las oficinas por si necesitamos tirar de disaster recovery.

Es importante tener en cuenta que el DAG de Exchange realiza una replicación y según mi punto de vista, las réplicas son réplicas y las copias son copias, por lo que tener montado un DAG no nos exime de tener que realizar copias de los distintos servidores miembro. En algunos libros de Mastering de Exchange o foros de internet podemos encontrar recomendaciones del uso de “Lagged Database Copies” pero por nuestra parte siempre vamos a recomendar realizar copias de cada uno de los servidores del DAG.

02

*Extracto del libro “Mastering Microsoft Exchange Server 2016” de los autores Clifton Leonard,

Brian Svidergol, Byron Wright y Vladimir Meloski de lectura indispensable.

Por último, os dejo algunas de las recomendaciones a la hora de montar un DAG, algunas pueden parecer obvias, pero nunca está de más tenerlas en cuenta:

Recomendaciones para montaje de un DAG Exchange

  • Actualiza los equipos siempre antes de instalar el Exchange
  • Si vas a migrar desde una versión anterior de Exchange asegúrate de que la versión de Exchange anterior es compatible con la que vas a instalar y antes de instalar los Exchange en el active directory asegúrate de que la versión antigua tiene la última CU o SP dependiendo de la versión.
  • Asegúrate de tener copia del active directory antes de instalar el nuevo servidor Exchange, si algo sale mal te alegraras de haberlo comprobado
  • Una vez ha finalizado la instalación del primer servidor de Exchange, el resto los puedes lanzar a la vez, pero el primero hace el ADPrep por lo que no está demás que dejemos que finalice antes de empezar con el resto de instalaciones.
  • Es posible que cuando metáis las primeras BBDD en el DAG os aparezcan con los índices en mal estado en los servidores de réplica, antes de volveros locos para arreglarlo, dejarles algo de tiempo (horas y horas) y se suele solucionar solo.
  • Y por último asegúrate de tener una buena provisión de refrescos y aperitivos cerca… ya sabéis que los tiempos de instalación de Exchange no son pequeños… así que multiplícalo por dos o por tres.

Espero que os guste y que os lancéis a probarlo, tengo que reconocer que desde que monte mi primer DAG las actualizaciones del Exchange han dejado de ser un quebradero de cabeza y lo mejor de todo, es que ya no existe el fuera de horario, ahora actualizo a la hora que mejor me viene.

 
Dnsstuff-siemlab

DNSSTUFF: Herramienta online para ayudarte a identificar problemas de red y DNS

En mi día a día como administrador de sistemas, son varias las herramientas online que me ayudan a identificar problemas relacionados con correo, DNS, etc. Hoy os voy a mostrar las principales utilidades que tenemos disponibles de forma gratuita en DNSSTUFF.

DNSStuff, herramientas de red, dns, correo y dominios

Raro es el día en el que no utilice alguna de las herramientas online que ofrece DNSSTUFF para intentar identificar problemas, hace poco era necesario un registro para poder utilizar todas las herramientas pero ahora ni siquiera te va a hacer falta, entre sus múltiples herramientas las que más suelo utilizar son las siguientes:

 

DNSStuff – Herramientas para dominios.

  • Whois Lookup / IPWHOIS: No hace falta decir mucho, realiza un Whois Lookup sobre el dominio o IP que le indiquemos, ofreciendo información sobre el propietario, NS, fecha de expiración…
  • DNSReport: Informe completo sobre el dominio que le indiquemos, concretamente realiza 55 tests sobre el dominio indicando si el test es correcto, muestra error o tiene alguna advertencia. Los test son básicamente sobre NS, SOA, MX, conexión a servidor de correo, SSL, SPF…
  • WWW Co-Host Tool: Indicándole una IP o dominio podremos saber que otros sitios web están alojados bajo la misma IP (Muy útil si tienes alojada tu web en un hosting compartido).
  • Top Level Domain (TLD) Lookup: Esta herramienta nos mostrará un listado de los dominios disponibles indcándole un nombre, por ejemplo si introducimos la palabra siemlab consultará con más de 200 TLD y nos dirá cuales están disponibles y cuales no.
  • SSL Examination: Indicando un dominio o IP, nos mostrará la versión de SSL utilizada, características del cifrado, información acerca del certificado, etc.
  • ISP Cached DNS Lookup: Indicándole un dominio nos mostrará el resultado de diferentes servidores DNS alrededor del mundo, de esta forma si realizamos un cambio a nivel de DNS podemos hacernos una idea de cuando ha sido detectado el cambio.
  • DNS Lookup: La herramienta que más utilizo, nos permite realizar un DNS Lookup indicando un dominio, podemos elegir que nos muestre información sobre cualquier registro o filtrar por tipo, también podemos indicarle el servidor que queremos usar y como queremos que nos muestre la información.

DNSStuff – Herramientas IP.

  • Ping: Esta herramienta realiza cuatro ICMP pings a la IP o hostname que le indiquemos.
  • Reverse DNS Lookup: Insertando una IP, nos mostrará el registro PTR asociado.

DNSStuff – Herramientas de Red.

  • DNS Timing: Insertando un dominio realizará un test para verificar el tiempo que tarda el servidor DNS en responder y según los resultados mostrará una puntuación.
  • MAC Address: Muestra el fabricante del dispositivo al indicarle una dirección MAC.
  • Traceroute: Traza una ruta desde los servidores de DNSSTUFF hacia el destino que quieras.

DNSStuff – Herramientas para correo.

  • Sender Policy Framework (SPF): Verifica si un registro SPF está correctamente configurado indicándole la dirección IP del servidor SMTP y una dirección de correo / dominio
  • Spam Blacklist Lookup: Insertando una IP realiza una comprobación para saber si la IP se encuentra en alguna de las principales listas negras.
  • Open Relay: Este test comprueba si tu servidor actúa como «Open Relay» y saber si puede ser utilizado para enviar spam.
 
Windows-evitar-envio-datos

Privacidad en Windows 10: Pasos a seguir para evitar el envío de datos sobre lo que haces a Microsoft

Desde su salida oficial el 29 de Julio de 2015, Windows 10 se ha convertido en el último sistema operativo de Microsoft dentro de la familia Windows NT. Desde entonces Microsoft se ha empeñado en que todos sus usuarios de Windows 7 y Windows 8/8.1 sean actualizados a Windows 10 a través de sus actualizaciones «opcionales». Y pongo entre comillas la palabra opcional ya que muchos usuarios han reportado que sus equipos han sido actualizados sin permiso a Windows 10.

El nuevo sistema operativo no desagrada, la vuelta del botón de inicio, los escritorios virtuales, el asistente cortana y el nuevo navegador Edge son algunas de las novedades más destacadas de este sistema operativo, no obsante, Windows 10 trae por defecto una serie de opciones activadas por defecto que afectan a tu privacidad (sobretodo si al instalar el sistema operativo utilizaste la opción más sencilla de configuración «Usar la configuración rápida»). Al aceptar esta opción, estamos autorizando a Microsoft a lo siguiente:

  • Para personalizar la entrada de voz, de escritura y la entrada manuscrita, envía a Microsoft los datos de entrada. Permite que Microsoft use esa información para mejorar las plataformas de sugerencias y reconocimiento.
  • Permite que Windows y las aplicaciones soliciten conocer tu ubicación, incluido el historial de ubicaciones, activen Encontrar mi dispositivo y puedan usar tu id. de publicidad para personalizar tus experiencias. Envía a Microsoft datos de ubicación para que puedan mejorar los servicios de ubicación.
  • Protégete contra contenido web malintencionado y usa la predicción de páginas para mejorar la lectura, acelerar la exploración y mejorar la experiencia global a la hora de usar los exploradores de Windows. Tus datos de exploración se enviarán a Microsoft.
  • Obtén actualizaciones de Internet y envíalas a tus PC. Envía datos de uso y de diagnóstico completos a Microsoft.

Resumiendo un poco: enviarás datos a Microsoft sobre lo que «hablas» con Cortana, lo que escribes, donde has estado, por donde has estado navegando y además y como no es suficiente, usará tu equipo a modo de «servidor» para proporcionar actualizaciones a otros equipos alrededor del mundo. Eso sí, siempre para mejorar «tu experiencia con el sistema operativo«. Esto no es algo nuevo y no es un secreto que esta práctica la utilizan la gran mayoría de compañías tecnológicas.

En este artículo te enseñaré cómo acceder a esta configuración para cambiarla según tu criterio, ya que la configuración que vas a ver a continuación se basa en la configuración que tengo en mi propio equipo, pero esto no significa que sea la idónea o correcta, ya esta configuración puede cambiar según tus necesidades o lo que quieras exprimir las nuevas características de Windows 10.

Privacidad en Windows 10 «General»

Para empezar tenemos que ir a Inicio>Configuración>Privacidad. En este apartado nos encontramos con la mayoría de ajustes sobre la privacidad del equipo. En la pestaña general nos encontramos con las siguientes opciones:

  • Permitir que las aplicaciones usen mi id. de publicidad para experiencias entre aplicaciones.
  • Enviar información a Microsoft sobre cómo escribo y ayudar a mejorar el tecleo y la escritura en el futuro.
  • Activar el filtro SmartScreen para comprobar el contenido web (URL) que usan las aplicaciones de la Tienda Windows.
  • Dejar que los sitios web ofrezcan contenido relevante a nivel local mediante el acceso a mi lista de idiomas.
  • Permitir que las aplicaciones de otros dispositivos abran aplicaciones  y continúen con las experiencias en este dispositivo.
  • Permitir que las aplicaciones de mis otros dispositivos usen Bluetooth para abrir aplicaciones y continuar con las aexperiencias de este dispositivo.

Privacidad Windows 10

 

Aquí yo personalmente tengo todas las opciones desactivadas, quizás la opción de SmartScreen podría dejarla activada si usase las aplicaciones de la tienda, este filtro envía información a Microsoft sobre los sitios que visitas a través de las aplicaciones pero puede ayudar para evitar visitar sitios maliciosos.

En la pestaña ubicación también tengo todas las opciones desactivadas, ya que en mi equipo de escritorio no me es de gran utilidad tener la ubicación activada.

ubicacion

 

En los apartados Cámara y Micrófono por defecto también los tengo desactivados, ya que como he comentado antes no suelo utilizar las aplicaciones de Windows 10 y no me interesa que tengan acceso a mi cámara y micrófono.

En los apartados Notificaciones, Información de cuenta, Contactos, Calendario, Historial de llamadas, Correo electrónico y Mensajes también tengo desactivadas todas las opciones, ya que también hace referencia al acceso a este tipo de información desde las aplicaciones.

Desactivar Cortana

Lo que hemos visto hasta ahora lo podríamos catalogar como las opciones de Privacidad generales de Windows 10 y sobre todo del acceso a la información a través de la aplicaciones, no obstante si utilizas Cortana tienes que saber que utiliza gran parte de tu información personal para ofrecerte una mejor experiencia. Si quieres desactivarlo puedes escribir «Cortana» en el buscador de Windows y acceder a «Configuración de búsqueda y Cortana».

Quitar Desactivar Cortana

En este apartado también puedes desactivar todas las opciones si no vas a hacer uso de Cortana y no quieres que acceda a tu historial.

Adicionalmente en Inicio>Configuración>Privacidad  y hacer click en la opción «Dejar de conocerme».

cortana2

Desactivando esta opción te aseguras de que Windows no almacene datos en tu equipo, aunque posiblemente tengas también que acceder a la configuración de Bing para eliminar todo rastro de información personal.

Comentarios y envío de información de diagnóstico en Windows 10

A través de Inicio>Configuración>Privacidad también tenemos la posibilidad de acceder a la configuración de Envío de informes de Microsoft, en principio no podemos evitar que nuestro Windows envíe datos de diagnóstico a Microsoft, pero sí que podemos restringir esta información dejándolo en «Básico» por lo que en principio sólo se enviará información relacionada con actualizaciones, riesgos potenciales de seguridad y evitamos enviar información sobre uso de aplicaciones, etc.

diagnostico

 

Desactivar actualizaciones Windows 10

Otra de las novedades de Windows 10 es la posibilidad de configurar tu equipo para recibir actualizaciones a través de otros equipos, pero esto significa que tu equipo también será usado para este propósito (Afectando a la velocidad tu velocidad de subida) . Para desactivar esta opción tenemos que ir a Inicio>Configuración>Actualización y Seguridad>Opciones avanzadas>Elige el modo en que quieres que se entreguen las actualizaciones. A través de este apartado tenemos la posibilidad de desactivar la opción.

desactivar actualizaciones windows 10

Ahora ya sabes algo más sobre la privacidad en Windows 10, así que ya puedes evitar que tus datos privados y personales se conviertan en material interesante para Microsoft.

 
3-2-1-Veam-backup

Cómo configurar la regla del 3-2-1 en nuestro Veeam

Una de las reglas básicas de la protección de nuestros datos es tener siempre un punto de restauración disponible cuando nos haga falta… lo sé, puede sonar demasiado obvio, pero por la experiencia sé que con un sistema de copias tradicional normalmente cuando sufrimos una pérdida de datos la última copia no es funcional y nos toca viajar al pasado de nuestras copias para encontrar una de la que podamos sacar los datos íntegros.

Tal y como nos explicaron en el último VeeamON Tour de Madrid, la regla del 3-2-1 para hacer un backup se le ocurrió a Peter Krogh, un fotógrafo que escribió estas sabias palabras:

hay dos tipos de personas: aquellos que ya han sufrido un fallo en el almacenamiento y aquellos que lo van a sufrir.”

Preocupado por la posible pérdida de su trabajo almacenado digitalmente Peter tuvo en cuenta tres premisas que definen la regla del 3-2-1 la cual todo sea dicho a mí me deja dormir más tranquilo por las noches desde que la conozco y la implemento:

Premisas 3 2 1 Backup

  • Guardar como mínimo tres backups de nuestros datos
  • Almacenar las copias en al menos dos soportes físicos distintos
  • Tener siempre un backup “offsite”

3 2 1 Backup con Veeam, configurar 3 2 1 Rule con Veeam

Dicho lo dicho, esto lo podemos realizar cualquier sistema de copias, la ventaja que nos da Veeam Backup sobre el resto de sistemas es que ha sido diseñado con este propósito, por lo que nos ofrece las herramientas necesarias para aplicar esta regla sin someter a nuestros hosts a cargas innecesarias.

Dentro del software de Veeam Backup tenemos 3 herramientas básicas para cumplir esta regla:

  • Backup
  • Backup Copy
  • Replication

La idea es realizar una sola copia de nuestras VMs en producción y a partir de la misma sacar las copias adicionales e incluso las réplicas para tener redundancia de copias y de VMs. Para ellos lo primero que tenemos que configurar es una tarea básica de backup copy vacía, para eso seguimos los siguientes pasos:

backupcopy3-2-1-1

Le ponemos el nombre a la tarea y pinchamos en next:

backupcopy3-2-1-2

No seleccionamos nada en esta pantalla y pinchamos en next:

backupcopy3-2-1-3

Elegimos un repositorio externo a nuestro host, configuramos la política de retención (se supone que al ser un repositorio externo debe ser disco “barato” por lo que podemos crear un histórico muy amplio como el que aparece en el ejemplo, nos aseguraría copias de los últimos 7 días, 4 semanas, 3 meses, 4 semestres y 5 años). Pinchamos en next:

backupcopy3-2-1-4

No tocamos nada en esta pantalla a menos que tengamos una versión Enterprise de Veeam y queramos sacarlo a un repositorio externo por nuestra WAN

backupcopy3-2-1-5

Dejamos el “Schedule” como completo:

backupcopy3-2-1-6

Y creamos la tarea. Una vez realizado esto, pasamos a configurar la tarea de copia, la única que debe afectar al rendimiento del Host:

backup3-2-1-1

Le ponemos el nombre a la tarea y pinchamos en next:

backup3-2-1-2

Seleccionamos las VMs que queremos copiar:

backup3-2-1-3

Configuramos el repositorio, en este caso aconsejo utilizar disco del servidor, solo se van a realizar siete copias en este disco y es el repositorio de restauración que más utilizaremos, ya que el del backup copy job se utilizara solo cuando nos haga falta tirar de histórico o en caso de pérdida total del host. Seleccionamos un destino secundario para nuestra tarea y pinchamos en next:

backup3-2-1-4

En esta pantalla añadimos la tarea de Backup Copy Job que acabamos de crear:

backup3-2-1-5

Aunque aquí no lo he seleccionado, es muy recomendable activar el “Application-aware processing” para mantener la consistencia de nuestras aplicaciones en las copias:

backup3-2-1-6

Configuramos el “Schedule” y creamos la tarea

backup3-2-1-7

Ahora mismo ya tendríamos configurado la mitad de nuestra regla del 3-2-1, ya que cumpliríamos los siguientes puntos:

  • Guardar dos backups de nuestros datos (nos faltaría uno)
  • Almacenar las copias en al menos dos soportes físicos distintos
  • Todos nuestros backups estarían en nuestro sitio de producción.

Para solventarlo, vamos a utilizar la última de las herramientas que os he comentado, la replicación. Con ella vamos a sacar una réplica de nuestros servidores a un repositorio “Offsite” y lo vamos a realizar desde los repositorios de copias para evitar sobrecargar el host con más carga:

replica3-2-1-1

Le ponemos el nombre a la tarea y pinchamos en next:

replica3-2-1-2

En esta pantalla, pinchamos sobre “Source”, y seleccionamos el repositorio de copias desde el que queremos que se haga la replica, en este caso he seleccionado el repositorio externo al host, pero se podría hacer también con el del host:

replica3-2-1-3

Una vez hemos modificado el “Source”, desde el botón “Add” añadimos la VM del host que previamente hemos copiado:

replica3-2-1-4

Seleccionamos el host de réplica del sitio de DR (como sabéis tiene que estar añadido al Veeam como servidor de HyperV para poder configurarlo) y la carpeta donde queremos realizar las réplicas. Por comodidad, este servidor está conectado por un túnel de capa 2 entre el sitio de producción con el sitio de Disaster Recovery, por lo que es visible desde la red del Veeam Backup:

replica3-2-1-5

Seleccionamos el repositorio para los metadatos y el número de puntos de replica que queremos conservar:

replica3-2-1-6

No tocamos nada en esta pantalla:

replica3-2-1-7

Seleccionamos el mejor horario para sacar la réplica (hora en la que menos consumo de WAN tengamos y creamos la tarea:

replica3-2-1-8

Con esto ya cumpliríamos la regla del 3-2-1, existen muchas variables para configurar esto de forma diferente y Veeam nos da otras herramientas como el replica seeding para realizar de forma más ágil la replicación inicial a través de la WAN.

Como os comento este es un ejemplo básico, aunque bastante efectivo de asegurarnos tener varias copias en nuestro sitio de producción y en nuestro offsite con una sola licencia de Veeam, un repositorio interno y otro externo.

Si no disponemos de un host offsite, existen proveedores que nos ofrecen los servicios de Veeam Cloud para poder almacenar las copias en la nube como un repositorio más de nuestro propio Veeam.

Espero que lo pongáis en práctica, como os he asegurado antes, dormiréis mejor.

 
seguridad-SSH

Tips de seguridad básicos para tu servidor SSH

No hace falta explicar mucho sobre las consecuencias que puede tener un servidor ssh mal protegido, puerto 22 por defecto, reintentos ilimitados, acceso root… son algunas características que vienen configuradas por defecto en tu servidor openssh y que debes de cambiar. En este artículo vamos a explicar cómo modificar la configuración de tu servidor ssh para darle un plus de seguridad.

Configuración de Seguridad en un Servidor SSH

Todas las configuraciones que vamos a realizar las haremos sobre el archivo de configuración de openssh, su localización en Debian 8 que es la distribución que vamos a utilizar se encuentra en /etc/ssh/sshd_config.

Cambia el puerto 22.

Cambiar el puerto 22 por otro distinto es lo primero que tienes que hacer, ten en cuenta que tener este puerto configurado en tu servidor y abierto es como indicarle a un atacante donde está la puerta de acceso. (Está claro que alguien realmente malintencionado podría hacer un escaneo de puertos y averiguar el nuevo puerto, pero es un primer paso). Para cambiarlo modificamos en el fichero de configuración la línea «Port» indicando el nuevo puerto, para este ejemplo yo he utilizado el puerto 22090.

Seguridad ssh

Deniega el acceso root, limita por usuario.

A no ser que sea indispensable, es aconsejable deshabilitar el usuario root para que no pueda acceder directamente por SSH, para ello basta con añadir la línea PermitRootLogin no en el fichero de configuración.

root

Además de denegar el usuario root, también podemos limitar los demás usuarios a través de AllowUser, de esta manera podemos indicarle al servidor ssh los usuarios que queremos que accedan vía ssh.

users

De esta forma sólo los usuarios saave y pruebas podrán acceder, una vez dentro del sistema y si lo deseamos, podemos hacer un «su -» para pasar a root.

Limita los reintentos y pantallas de login.

El número de reintentos se configura con la variable MaxAuthTries y con ella se pueden establecer el número de veces que nos podemos equivocar antes de que la conexión sea denegada. Con MaxStartups establecemos el número de pantallas de login simultáneas para una misma IP. Para ejemplo he configurado un máximo de 4 reintentos y sólo una pantalla de login a través de una misma IP.

reintentos

Y aquí un ejemplo de lo que muestra al realizar un intento de login incorrecto más de 4 veces:

ejemplo

Limita el tiempo de conexión inactiva.

Limitar el tiempo que una conexión ssh puede estar inactiva también es aconsejable y aunque a veces sea algo desquiciante, es aconsejable tenerlo configurado por si algún usuario deja su sesión desatendida.

Para cambiar el límite, basta con cambiar la directiva ClientAliveInterval, para este ejemplo he establecido unos 500 segundos antes de que la conexión finalice:

alive

Para aplicar toda la configuración anterior tendremos que reiniciar el servicio ssh: /etc/init.d/ssh restart.

Las configuraciones que hemos visto son las que considero básicas para proteger tu servidor ssh, en futuros artículos profundizaremos más sobre lo que podemos hacer para mejorar todavía más la seguridad ssh.

 
Mikrotik01

Mikrotik RouterOs Series #1 – Escenario y configuración básica

Mikrotik RouterOs Series #1 – Escenario y configuración básica

 

Vamos a empezar una serie de artículos que van a tratar sobre el sistema operativo creado por la empresa letona Mikrotik, RouterOS, sistema que funciona sobre el hardware Routerboard diseñado por la misma marca.

El sistema operativo del router Mikrotik, basado en el kernel de Linux, nos permite utilizarlo como router, firewall, switch, VPN, establecer enlaces inalámbricos, …

Vamos a intentar, poco a poco, ir viendo todos, o la mayoría de aspectos para los que lo podemos utilizar.

Lo interesante sería poder contar con un dispositivo Routerboard, con el que poder hacer todas las pruebas que queramos, sobre todo para el apartado Wireless. Como puede que no sea el caso para todos los que estemos leyendo esto, y como siempre es mejor realizar pruebas en un entorno controlado antes que en producción, vamos a aprovechar para ver distintas formas de utilizar el sistema de Mikrotik, primero con Virtualbox (tanto las imángenes .iso, como las CHR), y más tarde usando GNS3.

Vamos a completar el escenario con un sistema operativo de escritorio virtualizado. En mi caso, voy a utilizar un Windows 7.

La idea final sería, en Virtualbox tener una MV con el sistema RouterOS, con dos interfaces de red, una será nuestra WAN (adaptador puente con nuestro host), otra la LAN para comunicar con nuestra MV de escritorio (adaptador red interna). Nos quedaría así.

Configurar Mikrotic Router Series #1 - Configuración Mikrotic

Lo primero que vamos a hacer es crear una MV de RouterOS que utilizaremos como plantilla, ya que en el futuro realizaremos pruebas que necsiten de más de un sistema RouterOS, y además, tenemos una licencia gratuita de 24 horas de uso, más que suficiente para nuestros laboratorios.

Primero descargamos la imagen de Mikrotik, tenemos varias ramas, utilizaremos la rama current y descargaremos la ISO:

configuracion mikrotik

Tras esto generamos una nueva máquina virtual. Le vamos a asignar 256MB de RAM, vamos a crear un disco duro virtual nuevo, con 512MB (tamaño dinámico, VDI):

mikrotik configurar

Tras esto, modificamos la MV. Vamos a quitar el disco del controlador SATA, y lo vamos a añadir al controlador IDE. Además, en la unidad de disco ponemos la ISO que hemos descargado anteriormente.

Ahora iniciamos la máquina y veremos los paquetes que podemos instalar. Seleccionamos los que vemos en la imagen con la barra espaciadora, y tras esto instalamos pulsando ‘i’:

Al terminar tendremos la MV instalada. Se reiniciará, la apagamos, quitamos la ISO y nos vamos en Virtualbox a Archivo, Administrador de medios virtuales, seleccionamos la imagen VDI, pulsamos en copiar y la copiamos a otra ubicación. Este archivo VDI será nuestra imagen origen para generar otras MV con RouterOS.

Ahora ya tenemos una MV con RouterOs instalado. Vamos a asignarle dos interfaces de red. La primera la habilitamos como Adaptador Puente con la interfaz de nuestro host, la segunda la habilitamos como Red Interna, le podemos dar de nombre LAN.

En nuestra MV de escritorio ponemos habilitamos el adaptador como Red Interna y seleccionamos en el desplegable la red que acabamos de generar, LAN.

Iniciamos ambas MV y ya tenemos todo dispuesto para empezar. Es recomendable haber descargado previamente Winbox, que es el software que nos va a permitir conectar a la gestión de Mikrotik con una interfaz gráfica.

Si todo ha ido bien, al iniciar Winbox e ir al menú de Neighbors, encontraremos la MV que hemos creado, con IP 0.0.0.0 y la MAC que haya generado. Vamos a hacer click sobre la MAC para conectar mediante esta, con usuario admin y contraseña en blanco.

Tras conectar nos sale la advertencia de ausencia de licencia y nos indica el tiempo que tenemos disponible para utilizar el router. Aceptamos.

Hecho esto vamos a conseguir que, primero nuestra MV con Mikrotik tenga Internet, y luego que nuestro sistema operativo virtualizado, en mi caso Windows 7, pueda acceder también a Internet a través de la MV Mikrotik.

Para ello, en Winbox, en el menú de la Izquierda tenemos la gran mayoría de aspectos que se pueden configurar, primero nos vamos a Interfaces. Veremos que tenemos dos, ether1 y ether2, en nuestro caso ether1 es nuestra WAN y ether2 es nuestra LAN. Mi recomendación es comentar siempre todo para que quede más claro.

Además, en las últimas versiones tenemos disponible la creación de Interface List, que no es más que un alias donde agrupamos distintas interfaces de red que cumplen una misma función de cara a su uso en reglas de Firewall (lo que se conoce como zonas en otras soluciones). En nuestro caso, de momento, no se nos da el caso, no obstante, vamos a generar nuestra lista WAN con ether1 y nuestra lista LAN con ether2, de cara a que en el futuro añadamos alguna interfaz adicional.

Ahora lo que vamos a hacer es que nuestra Mikrotik Virtual sea capaz de acceder a Internet. Para ello lo único que tenemos que hacer es añadir un cliente dhcp en la interfaz WAN, en nuestro caso que tenemos un servidor DHCP accesible desde la interfaz WAN (como podría ser el router ADSL de nuestro ISP). Vamos a dejar las opciones por defecto, obtendrá IP, ruta por defecto, DNS y NTP.

Al hacerlo vemos en el menú DHCP Client que obtenemos una dirección IP:

Además, en IP → Adresses vemos que se nos ha generado una entrada dinámica (D) con la IP obtenida:

En IP → Routes, tenemos la entrada de la ruta por defecto, y la entrada del rango de la IP obtenida.

Con esto ya salimos a Internet, si vamos a Tools → Ping, podemos hacer la prueba:

Lo único que queda es que nuestra MV con sistema operativo de escritorio tenga acceso a Internet. En IP → Adresses, añadimos una nueva IP, por ejemplo la siguiente, en la interfaz ether2, que es nuestra LAN. Esta IP será la puerta de enlace y DNS de la MV.

Ahora que tenemos IP, si nos configuramos una IP del rango 192.168.77.0/24, tendremos comunicación entre la Mikrotik y la MV a nivel de ping. Lo único que falta es enmascarar el tráfico de ese rango para que además el PC sea capaz de salir a Internet.

Nos vamos a IP → Firewall → NAT y generamos una regla srcnat (nat del origen), donde pondremos el rango origen (LAN), la interface list por la que sale el tráfico (WAN) y la acción (masquerade).

Con esto tenemos la configuración básica. Para poder trasladar esta configuración a cualquier otro dispositivo, teniendo en cuenta que además estamos trabajando con licencias de 24 horas, lo ideal es poder exportar la configuración actual para poderla importarla.

Nos vamos al menú de la izquierda y pulsamos sobre New Terminal. Tras pulsar se nos abre una ventana de terminal, como la de cualquier linux, en la que podemos escribir todos los comandos ( y más) que podemos realizar gráficamente, nosotros para exportar toda la configuración escribiremos lo siguiente:

Y al hacerlo, en el menú Files, nos encontraremos con el archivo generado por la exportación:

Ese archivo, lo podemos copiar y pegarlo en el escritorio de nuestro PC. Si lo abriésemos con un bloc de notas encontraríamos lo siguiente:

# dec/21/2016 08:38:11 by RouterOS 6.37.3

# software id = XYXY-ZZB3

#

/interface ethernet

set [ find default-name=ether1 ] comment=WAN

set [ find default-name=ether2 ] comment=LAN

/ip neighbor discovery

set ether1 comment=WAN

set ether2 comment=LAN

/interface list

add name=WAN

add name=LAN

/interface list member

add interface=ether1 list=WAN

add interface=ether2 list=LAN

/ip address

add address=192.168.77.254/24 interface=ether2 network=192.168.77.0

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \

interface=ether1

/ip firewall nat

add action=masquerade chain=srcnat out-interface-list=WAN src-address=\

192.168.77.0/24

Y todo esto no es más que la configuración que hemos aplicado.

Hemos ido poco a poco, mucha gente ya conocerá el sistema, pero en las próximas entregas iremos entrando a fondo en cosas más interesantes.

Hasta la próxima.