Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Topics - JuanjoA

Pages: [1] 2
1
Spanish / ¿zentyal PDC y bloqueo de contraseñas?
« on: April 11, 2011, 09:43:45 pm »
Hola, me preguntaba si es posible, el bloquear a un usuario cuando ha intentado iniciar su sesión en el dominio, por ejemplo a la de 3 fallos.

¿es posible?

¿poledit?

Gracias

2
Spanish / zentyal como PDC y políticas (caducidad de sesión)
« on: October 25, 2010, 04:32:39 pm »
Hola después de algún tiempo.

Veréis, tengo la duda si con el eBox que ya tengo funcionando como PDC, puedo aplicarle una política a los usuarios desde el servidor, de manera que caduque la sesión en el tiempo que yo establezca.

Si alguien puede orientarme, se lo agradezco.

Gracias
Juanjo A.

3
Instalación openerp-server 5.0.10 sobre eBox Ubuntu 8.04 LTS

Lo primero dar las gracias a la comunidad, que comparte desinteresadamente sus conocimientos.
Todo lo que voy a explicar proviene de los distintos sitios dedicados a openerp.
Gracias a todos.

Lo haremos desde los fuentes.

La verdad que la información que he encontrado es muy confusa, y a menudo desfasada en el tiempo.

Por ejemplo, el tema de que sobre Ubuntu 8.04 en la actualidad, con openerp-server 5.0.10 ya no hay problemas con python 2.6

En fín, de la siguiente manera a mi me funciona, además sobre un servidor con un monton de servicios corriendo (eBox)

También instalaré el cliente web.

Este pequeño tutorial se queda a las puertas de la configuración como demonios, para que cuando arranque el sistema también arranquen el
openerp-server y openerp-web

Más adelante, en otro post, lo completo con el tema de los scripts

Más o menos la cosa iría así:

   - instalación de bazar para descargar los fuentes
    - configurar postgresql (o instalarlo si no lo tienes)
   - descargar openerp-server
   - instalar dependencias openerp-server
   - crear un openerp-server.conf y modificar db_user, db_passwd y db_host
   - instalación / configuración de openerp-web
   - ejecuto openerp-server directamente pero indicando el archivo de configuración recien creado.
   - ya puedo crear la nueva base de datos con la configuración mínima, interfaz extendida, desde un cliente GTK (no web de momento)
   - instalo los módulos de la localización española

----------------------------------------------
---   Bazar                              ---
----------------------------------------------
Sistema tipo Git o SVN para descargar desde launchpad.

Se necesita una versión moderna de bazar, y hardy solo tiene hasta la 1.6, así que:

Añadimos a los repositorios:
   deb http://ppa.launchpad.net/bzr/ppa/ubuntu hardy main
   deb-src http://ppa.launchpad.net/bzr/ppa/ubuntu hardy main


Actualizamos con    $ sudo apt-get update

Si quieres metes las keys, de lo contrario cuando instales te preguntara si quieres instalar aunque no este verificado (le dices que si y ya esta)

Instalamos

   $ sudo apt-get install bzr

Con esto, en vez de la versión 1.6 nos mete la 2.1 (o más moderna según cuándo lo hagas)


----------------------------------------------
---   La base de datos PostgreSQL        ---
----------------------------------------------

Realmente los clientes que se conectan al servidor, desde otros equipos, no acceden directamente al gestor de bdd.

Sería   openerp-client ---  openerp-server  --- postgrsql

Debemos crear el usuario de la base de datos para OpenERP:

Entro como usuario administrador de la base de datos (bdd) (el usuario es postgres) y creo la bdd, esto me
pedirá la clave del sudo, que es la del primer usuario creado en el sistema,
vamos, la misma del eBox.

   $ sudo su - postgres
   $ createuser --createdb --username postgres --no-createrole --pwprompt openerp
   Enter password for new role:    aqui la password para el usuario openerp (p.e. de momento la misma)
   Enter it again:       repetimos
   Shall the new role be a superuser? (y/n) N   No lo ponemos superuser

Explicación:
   --createdb   el usuario openerp puede crear bases de datos
   --username postgres   el superusuario crea a openerp
   --no-createrole      openerp no puede crear usuarios
   --pwprompt   se te pregunta que contraseña asignar a openerp
   
Ahora exit del usuario postgres:

   postgres@ebox$ exit



----------------------------------------------
---   Parte Servidor  - Sources          ---
----------------------------------------------

Instalamos dependencias:

   $ sudo apt-get update
   $ sudo apt-get install python python-psycopg2 python-reportlab \
python-egenix-mxdatetime python-tz python-pychart \
python-pydot python-lxml python-vobject

Descargamos la parte servidor desde: 
http://www.openerp.com/index.php?option=com_content&view=article&id=18&Itemid=28

Cuando yo lo hice, la versión erá la 5.0.10, así que creo en mi home un directorio src y
lo descargo ahí mismo:

   $ mkdir src
   $ cd src
   $ wget http://www.openerp.com/download/stable/source/openerp-server-5.0.10.tar.gz

Lo descomprimimos:
   
   $ tar -xzf openerp-server-5.0.10.tar.gz

Entramos en el directorio:
   
   $ cd openerp-server-5.0.10/

Si queremos probarlo sin instalarlo podemos ejecutarlo:
(aunque de momento no tenemos con qué probarlo, cliente y demás, además no utiliza un archivo correcto de configuración)

   $ python bin/openerp-server.py

   CTRL-C para salir

Comprobar las posibles opciones en la línea de comandos:

   $ python bin/openerp-server.py -h


Cómo instalo a pelo, tengo que crear el script de init.d y también el openerp-server.conf, ponerlo donde quiera e indicarlo en el arranque del servicio.
Además tendré que indicar al ejecutable donde encontrar el archivo de configuración (--config=/etc/openerp-server.conf)

Creo openerp-server.conf en /etc/openerp-server.conf   con el siguiente contenido:
(debes ajustar db_name, db_password según lo que tengas puesto en el paso de la configuración de postgres)

[options]
without_demo = True
; This is the password that allows database operations:
; admin_passwd = admin
upgrade = False
verbose = False
netrpc = True
xmlrpc = True
port = 8069
interface =
; lo siguiente importante
db_host = 127.0.0.1               
db_port = False
; Please uncomment the following line *after* you have created the
; database. It activates the auto module check on startup.
; db_name = terp
db_user = openerp
db_password = openerp
; Uncomment these for xml-rpc over SSL
; secure = True
; secure_cert_file = /etc/openerp/server.cert
; secure_pkey_file = /etc/openerp/server.key
root_path = None
soap = False
translate_modules = ['all']
demo = {}
addons_path = None
reportgz = False



Ahora podemos probar:

   $ python ./bin/openerp-server.py --config="/etc/openerp-server.conf"

Y conectar desde un cliente (en el mismo equipo o bien en otro de la red)

En la primera conexión desde un cliente nos dirá que es necesario crear una base de datos.

La llamo 'prueba' y con password 'prueba' con lo que tendré los siguientes usuarios configurados:

   admin / admin   Dueño de todo el sistema (este está por defecto en openerp)
   admin / prueba   Administrador de la base de datos 'prueba' (que no del sistema completo como el anterior)
   demo  / demo   Usuario de ejemplo, también por defecto, para la base de datos 'prueba'

Si le vamos a meter la localización española, mejor escoger el perfil mínimo y la interfaz extendida.




Ahora para instalarlo:

   $ sudo python setup.py install

Ahora lo puedo ejecutar indicando el archivo de configuración:

   $ openerp-server --config="/etc/openerp-server.conf"      

Si la añado al final &  arrancará en background

   $ openerp-server --config="/etc/openerp-server.conf" &

Al cerrar la sesion se cierra el proceso.



----------------------------------------------
---   Parte Cliente Web                  ---
----------------------------------------------

Vamos con las dependencias:

   $ sudo apt-get install python python-dev build-essential
   $ sudo apt-get install python-setuptools

Utilizo bazar para bajar la última versión del trunk o bien bajo los fuentes si conozco su nombre y localización con wget:

   $ bzr clone lp:~openerp/openobject-client-web/trunk client-web

O bien Entro en src y descargo la versión actual (Mayo 2010):

   $ cd src
   $ wget http://openerp.com/download/stable/source/openerp-web-5.0.10.tar.gz

Descomprimo y entro en el directorio (esto para el caso de utilizar wget):

   $ tar xzf openerp-web-5.0.10.tar.gz

Entro en el directorio, para bazar:
   $ cd client-web/lib/
Para wget:
   $ cd openerp-web-5.0.10/lib/   
   
Este proceso descarga e instala dependencias necesarias y las guarda en openerp-web-5.0.10/lib

   $ ./populate.sh
   $ cd ..

Ahora ya podemos probar el cliente web ejecutandolo mediante:

   $ python openerp-web.py

Y nos conectamos desde cualquier navegador web a la ip del servidor  http://ip_servidor:8080

(Recuerda que tienen que estar corriendo la parte servidor y la parte cliente web)


----------------------------------------------
---   Módulos                            ---
----------------------------------------------

Cuando instales, al crear la base de datos, pones el sistema mínimo, y luego le metes los módulos españoles.
(Minimal Profile e interfaz extendida)

Para descargar los modulos para pyme y en español, con plan general contable español, necesitamos los siguiente:
(Mirate la parte de bazar, bzr)

La rama española

   joseba@ebox:~/src$ bzr branch lp:openerp-spain

y los addons

   joseba@ebox:~/src$ bzr branch lp:~openerp-commiter/openobject-addons/trunk-extra-addons

Añadimos los módulos de localización española, que están en la carpeta l10n_es_extras, a la carpeta de los addons del openerp-server:

   $ cp -R openerp-spain/extra_addons/* openerp-server-5.0.10/bin/addons/
   $ cp -R openerp-spain/l10n_es/* openerp-server-5.0.10/bin/addons/
   $ cp -R openerp-spain/l10n_es_extras/* openerp-server-5.0.10/bin/addons/
   $ cp -R trunk-extra-addons/* openerp-server-5.0.10/bin/addons/
   
Ahora desde el cliente web actualizamos los módulos:
   Administración --> Administración de módulos --> Actualizar lista de módulos

Ahora puedes instalarlos de la forma habitual, desde el cliente Administración --> Administración de módulos

El orden es:
   1.- l10n-ES-pyme_install
   2.- l10n_ES_pyme_custom
   
l10n_ES_pyme_account: este módulo es solo para instalar contabilidad

No crear durante la instalación el plan contable

Cuando intento instalar el paquete 1, el pyme_install obtengo el siguiente error:

   Error

   You try to install a module that depends on the module: account_renumber
   But this module is not available in your system

Sol:

Cuando lo copio a la carpeta addons del servidor, luego me meto en addons/account_renumber y cambio el siguiente nombre:
__openerp__.py   por __terp__.py
Actualizo y ya lo detecta y se instala.

Lo mismo con smtpclient, account_balance_reporting,



Bueno, espero que os sirva de algo, porque parece que openERP hay que lucharlo un poquito.


Un Saludo
Juanjo A.


4
Spanish / Backup alternativo encriptado remoto (texto largo)
« on: May 25, 2010, 10:41:36 pm »
Prepararos para el tochazo que os voy a soltar (tipo blog)

Estoy buscando un sistema de backup con cifrado y que se aproveche del sistema rsync, para ahorrar tiempo, ancho de banda y tener seguridad.
La mayoría de los servicios online de backup, permiten rsync y poco más.

También que permita a usuarios sin experiencia (y a ser posible desde Windows) que puedan
recuperar sus copias de respaldo sin la atención del servicio técnico (de momento me parece que inviable)

He estado luchando a muerte con scripts bash de rsync + gpg, pero es harto complicado mantener las sincronizaciones manteniendo las ventajas de ambos.
Esta sería una solución buena, porque así los usuarios podrían abrir los archivos de la copia de seguridad en pocos pasos y sin problemas.
No he obtenido buenos resultados, y si muchas horas de trabajo. (Si alguien está interesado, podemos comentarlo)

Yo pensaba que si cifraba con cualquier programa en formato AES 256, ese mismo archivo cifrado podría descifrarse con cualquier otro programa que también
trabaje con AES 256, pero no cuela. (No es así)

En fin, más pensamientos:

Duplicity
----------
Se ajusta algo a lo que necesito pero no me gusta demasiado, porque no tiene un uso sencillo para restaurar determinados archivos o carpetas,
aunque tiene muchas ventajas, como cifrado y rsync.

Si tuviera una manera gráfica de acceder a los datos sería lo ideal.

Podéis mirar Déjà-Dup en http://freshmeat.net/projects/deja-dup  
Es una interfaz gráfica GTK para Duplicity, pero lo que he probado solo me permite recuperar toda la copia de seguridad, aunque permite indicar en que carpeta lo quiero.
Muy útil, pero con algunos problemillas, y sólo para Linux. (Por los clientes; que parece que soy fan del Güindos)

Truecrypt
---------
Va sobre Linux y sobre Windows, pero parece que modifica el algoritmo AES para su uso, lo cual no me convence.

EncFS
-----
Tiene éxito, pero funciona sobre volúmenes, bien creando un archivo 'gordo' en el que se metes los archivos. Este archivo 'gordo' es el que se cifra.
El problema es que rsync no trabaja bien con ese archivo, ralentizando mucho el proceso.

EcryptFS
--------
Sistema de encriptación a nivel de archivos.

Monto una carpeta del tipo ecryptfs, y todos los archivos que tengo dentro son accesibles / visibles / utilizables, vamos, que están descifrados.
El hecho de trabajar con la carpeta cifrada ralentiza un poco cualquier trabajo sobre ella (creo que casi inapreciable)

Desmonto la carpeta con un simple $sudo umount nombre_carpeta   y los archivos están cifrados.
Esto quiere decir que tendremos encriptados los archivos, vemos sus nombres (aunque también se pueden ofuscar), pero al abrirlos nos encontramos con caracteres 'raros'

Facilita enormemente el uso de rsync.

Funciona sobre Linux, es rápido y moderno.

De hecho, Ubuntu lo tiene 'apadrinado'. Es el sistema que se utiliza cuándo instalamos y ciframos nuestro home.

Parece que al final me voy a quedar con una combinación de EcryptFS + rsync


Trabajaré con eBox Ubuntu Hardy 8.04 LTS aunque probablemente funcione con versiones más modernas.

INSTALACIÓN DE EcryptFS
-----------------------

Instalación:
   $ sudo apt-get update
   $ sudo apt-get install ecryptfs-utils

Cargamos el modulo correspondiente:
   $ sudo modprobe ecryptfs

Podemos crear los directorios desde la gui de eBox o a mano, pero luego a la hora de compartirlos vamos a tener que hacer algunas filigranas.

Ahora creamos el directorio para los backup encriptados. Yo he creado una carpeta “backup”:
(si quieres compartirla, lo dicho, mejor desde la gui)

   $ sudo mkdir /home/samba/shares/backup

Ahora le asignamos permisos seguros:

   $ chmod 700 /home/samba/shares/backup

Probamos montando el nuevo filesystem eCryptfs en la nueva carpeta creada:

   $ sudo mount -t ecryptfs /home/samba/shares/backup /home/samba/shares/backup

Nos hará una serie de preguntas como la palabra secreta a utilizar. Por defecto usa la encriptación AES, con una longitud de 16 bytes de longitud.
La opción Plaintext passtrough permite trabajar con ficheros desencriptados en el mismo directorio que se utiliza para los encriptados. (y guardarlos)

Mejor 32 bytes (256 bits)
Cada vez que monte de nuevo esta carpeta debo especificar los mismos parámetros que utilice para encriptarlos.
(tipo de key, tipo de cifrado, passphrasse, longitud de clave)
Es necesario recordar esos parámetros, de lo contrario no podremos recuperar los datos.

Puedo hacerlo metiéndolos a mano, en una sola linea en la consola:

Mediante linea de comandos

   $ sudo /bin/mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=no,\                                ecryptfs_unlink_sigs,ecryptfs_enable_filename_crypto=no,key=passphrasse:passwd='aqui la contraseña'\
   /home/samba/shares/backup /home/samba/shares/backup

AVISO!!!
El hecho de indicar la passphrasse en la línea de comandos o en un script no es buena idea. Cualquiera con acceso a nuestro servidor podría mirar el historial o
examinar el script (según dónde lo tengas y con que permisos)
Los servidores que monto llevan la partición de datos cifrada con dm-raid, con lo que me aseguro que nadie pueda mediante un live-cd o similar sacar la clave.

Asegurate antes de aplicar el script final que tienes la carpeta cifrada desmontada.


AUTOMATIZAR ACCESO SSH SIN NECESIDAD DE INTRODUCIR CONTRASEÑA
---------------------------------------------------------------

Solo necesario para cuando tenemos contratado un servicio de backup remoto

Esto es necesario para que el script funcione automaticamente, sin intervención del usuario, y podamos conectar con el servidor de backup remoto.

Creamos una clave rsa pública desde el usuario root, que es quien ejecutará el script desde crontab:

   $ sudo su
   # ssh-keygen -t rsa

Pulsamos enter para aceptar las opciones por defecto, y NO ponemos contraseña.

Ahora esta clave generada desde el ordenador que se quiere conectar al servidor remoto, debemos copiarla en el servidor remoto,
en nuestra carpeta personal y en el fichero .ssh/authorized_keys

   # scp ~/.ssh/id_rsa.pub miusuario@ch-s010.rsync.net:.ssh/authorized_keys

Ya tenemos acceso directo, y para comprobarlo:

   # ssh usuario@ch-s010.rsync.net ls

Debe mostrarnos el directorio remoto, y los archivos / carpetas que contiene.


PROCESO DE BACKUP
------------------

Voy a utilizar un script que he creado, con algunas partes que saque de la red hace tiempo (no me acuerdo del autor, pero Gracias)

A parte de la copia local, tambien conecta con un servidor remoto para guardar las copias de seguridad.
eBox ofrece este servicio y es económico. (Y recomendable)

Usa hardlinks, con lo que ahorro mogollón de espacio en las copias de seguridad. (solo en el backup local)

Explicación muy básica:

En Linux, el contenido de los ficheros se guarda en bloques, y los metadatos (fecha de modificación, último acceso o cambio, tamaño de fichero
, en que bloques está el contenido, etc.) en inodos.

Esto quiere decir que cuando tengo un archivo y lo copio a otra carpeta, realmente no ocupa el doble de espacio de almacenamiento.
Si que ocupa un inodo más (los inodos son finitos, pero tampoco creo que eso te cause problemas)
Si ahora modifico ese segundo archivo, entonces si se ocupan nuevos bloques y se duplica el espacio, con lo que tendré 2 archivos y 2 inodos.
Se que es algo complicado, si te animas: https://lists.ubuntu.com/archives/ubuntu-ni/2007-October/003606.html

Esto lo utilizo para tener la copia de seguridad de 5 días en una estructura de carpetas, haciendo que realmente no ocupe el espacio de
los datos x 5

Dentro de la carpeta del backup tendré back.0 (o el nombre base que tu elijas en el script) que siempre corresponde a la última copia realizada. También tengo un fichero de texto que me dice cuando se realizo esa copia de seguridad.
Una carpeta back.1 que corresponde a la penúltima copia realizada, y así sucesivamente.

El script:

#!/bin/bash

# OPCIONES DE RSYNC
#   -a   Equivale a –rlptgoD
#   -z   Utiliza compresión (mejor solo usarlo para los remoto)
#   --delete   Elimina del destino los archivos que no están en el origen
#   -e ssh    Para que la transferencia sea encriptada con ssh
#   --bwlimit 30   limita la subida a 30 KBps. OJO son KBytes por segundo, no Kbits (interesante para el remoto y no saturar la línea)
#
#VBLES

DATE=$(date +%A-%d-%B-%Y-%X)

# numero de rotaciones o copia de seguridad (si son 3 seran de 0 a 3=4)
# para 2, podre recuperar datos de hace 3 dias, si la copia es diaria
COUNT=2

# nombre base para las copias
BASE=back

# directorios de trabajo de origen y donde se realizan las copias de seguridad
# ojo al tema de la barra inclinada / al final de los path, que cambia el comportamiento de rsync
# con la / al final, nos referimos al contenido del path, sin la / incluimos el último directorio listado
DATOS=/home/samba/shares/documentos
BACKUP_LOCAL=/home/samba/shares/backup

# datos de acceso del  servidor remoto, aquí pon los de tu servidor remoto (por ejemplo los que te den en eBox)
# si utilizas eBox EU   usuario:password@ch-010.rsync.net
REMOTO_USER=mi_usuario
# no necesitamos el siguiente campo si automatizamos el acceso SSH mediante la creación de una clave pública rsa
# REMOTO_PASSWORD=xxxxxxx
REMOTO_SERVER=ch-s011.rsync.net
BACKUP_REMOTO=$REMOTO_USER@$REMOTO_SERVER
# si no tenemos automatizado el acceso ssh al servidor remoto necesitamos la siguiente linea en vez de la anterior
#BACKUP_REMOTO=$REMOTO_USER:$REMOTO_PASSWORD@$REMOTO_SERVER

# opciones para el rsync de la carpeta de datos a la carpeta de backup que guarda varios días
OPCIONES_RSYNC="-aq --delete"

# opciones especiales para el remoto, para por ejemplo no ocupar todo el ancho de banda, --bwlimit 50, OJO en kilobytes por segundo
# La opción -a equivale a –rlptgoD
OPCIONES_RSYNC_REMOTO="-aqze ssh --delete --bwlimit 50 --chmod=ug+x"

# monto la unidad de backup
# aunque el script muestra la passphrasse, la unidad debería estar cifrada por seguridad, por ejemplo con dm-raid

# Es necesario cambiar en la siguiente línea tu passphrasse
sudo /bin/mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=no,\
ecryptfs_unlink_sigs,ecryptfs_enable_filename_crypto=no,\
key=passphrase:passwd='esta es la passphrasse' $BACKUP_LOCAL $BACKUP_LOCAL

# ahora el backup local

cd $BACKUP_LOCAL

i=$COUNT
rm -rf $BASE.$i

while [ $i -gt 0 ]; do

        mv $BASE.$(($i-1)) $BASE.$i 2> /dev/null
        mv $BASE.$(($i-1))-info.txt $BASE.$i-info.txt 2>/dev/null
        i=$(($i-1))
done

echo "Copia realizada en la fecha : $DATE" > $BASE.0-info.txt

# ahora hacemos rsync con algo como:
rsync $OPCIONES_RSYNC --link-dest=../$BASE.1 $DATOS/ $BASE.0/

# salgo de la carpeta del backup local (si no $umount dará error device busy debido a que tenemos la carpeta abierta)
cd ..

# desmonto la carpeta del backup
sudo /bin/umount $BACKUP_LOCAL

# ya tengo la carpeta del backup cifrada, solo se puede descifrar mediante un nuevo montaje

# es muy importante verificar que la carpeta está desmontada antes de enviar los archivos, de lo contrario enviarás los archivos SIN CIFRAR

if grep -qs " $BACKUP_LOCAL ecryptfs " /proc/mounts; then
            echo 'ERROR, está montada'
else
   # Y sincronizo con remoto, para que pases los archivos encriptados (solo la última carpeta backup.0 que es la mas moderna)
   # para ahorrar espacio, aunque si tienes de sobra, puedes eliminar la coletilla $BASE.0 y te guarda todas las copias
   rsync $OPCIONES_RSYNC_REMOTO $BACKUP_LOCAL/$BASE.0 $BACKUP_REMOTO:
   
fi

# EOF


Sin duda queda mucho por depurar, como el control de errores, o el envio de email con información del proceso o fallos,
pero ya es operativo.

El script lo guardas como backup.sh y lo metes en la carpeta /usr/local/bin, poniendole permisos de ejecución.

   $ sudo chmod +x /usr/local/bin/backup.sh
   

EJECUCIÓN AUTOMÁTICA DEL SCRIPT DE BACKUP
-------------------------------------------

Entramos como root:

   $ sudo su
   

Modificamos el fichero crontab

   # nano /etc/crontab

Añadimos la siguiente línea:

   23 21   * * *  root     /usr/local/bin/backup.sh

Esto ejecuta el script /usr/local/bin/backup.sh a las 21:23 todos los días.

Es recomendable que pruebes el script manualmente para comprobar que funciona ok en tu sistema:

   $ sudo /usr/local/bin/backup.sh





RECUPERACIÓN DE ARCHIVOS ENCRIPTADOS CON ECRYPTFS
--------------------------------------------------

Tener en cuenta que nos hace falta conocer los siguientes parámetros del cifrado original:
   Passphrasse, método de cifrado (aes, blowfish,...), bytes, ...

Podemos recuperar el contenido del archivo/s o carpetas, en cualquier ordenador con linux.
Solo requerimos instalar el paquete ecryptfs-utils.
   
Instalación:
   $sudo apt-get install ecryptfs-utils

Cargamos el modulo correspondiente:
   $sudo modprobe ecryptfs

Ahora creamos el directorio dónde montaremos los archivos cifrados para descifrarlos.

   $ sudo mkdir /home/samba/shares/encriptado

Copiamos los archivos cifrados a la carpeta encriptados (mediante rsync, cp, alguna gui o como quieras)

Ahora montamos la carpeta pero del tipo ecryptfs:
(es necesario utilizar los mismos parámetros que utilizamos originalmente)

   $ sudo mount -t ecryptfs encriptado/ encriptado/
   Select key type to use for newly created files:
    1) tspi
    2) pkcs11-helper
    3) openssl
    4) passphrase
   Selection: 4
   Passphrase: aqui meto la passphrasse con la que tenía cifrados los archivos en el otro sistema
   Verify Passphrase:    la meto de nuevo

   Select cipher:          
    1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
     2) blowfish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
    3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
    4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
    5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
    6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
   Selection [aes]: 1

   Select key bytes:
    1) 16
    2) 32
    3) 24
   Selection [16]: 2
   Enable plaintext passthrough (y/n): n
   Attempting to mount with the following options:
     ecryptfs_key_bytes=32
     ecryptfs_cipher=aes
     ecryptfs_sig=7a60815c74324f10
   
   Mounted eCryptfs

Y ya podemos entrar en la carpeta y utilizar los archivos, que estarán desencriptados hasta que desmontemos la carpeta.

Para desmontar:

 $ sudo umount encriptado

Y de nuevo tenemos los archivos cifrados.


RESUMEN
----------

Con esto tenemos un sistema de backup independiente del de eBox. Me gusta porque ves los archivos y sus nombres, aunque el contenido está encriptado.
Esto favorece el restaurado selectivo.

La conexión a remoto también se hace cifrada mediante ssh, aunque los datos ya van cifrados es una doble protección.

Cuidado con que las carpetas existan, y tengas los correspondientes permisos.

También cuidado con el acceso remoto, inicia una conexión manualmente para añadir el servidor a tu .know_host

Tu proveedor de backup remoto debe confirmarte que operaciones y de que modo puedes acceder al mismo.

En el script queda al descubierto la frase-contraseña utilizada para cifrar los datos.
Comprueba que este script tiene los permisos adecuados:

   # chmod 770 /usr/local/bin/backup.sh         (solo para root)

Es un buen tocho, así que gracias si has llegado hasta este punto.

Agradezco cualquier corrección o sugerencia.

Juanjo A.







5
Spanish / eBox como PDC (Controlador Primario de Dominio)
« on: May 18, 2010, 02:12:53 pm »
¿Algún master se anima a explicar cómo funciona el tema del PDC con eBox?

¿Qué diferencias entre este y un dominio W2K o W2003?
(Sobre todo de la implementación de eBox / Ubuntu, aunque me imagino que esto depende más del tema samba)

¿Si funcionan las políticas de grupo que se hacen con poledit?

¿qué ocurre cuándo tenemos los perfiles móviles activados con los archivos que tenemos en el escritorio o Mis Documentos?

Ejemplos de instalaciones reales de scripts de netlogon

Podíamos hacer un post dedicado a los tips de esta implementación.

Un saludo
Juanjo A.

6
Spanish / Al reiniciar simpre pide guardar cambios
« on: May 17, 2010, 08:25:28 pm »
¿Alguien sabe porque siempre que reinicio me encuentro con la pestaña en rojo que me pide actualizar cambios, aunque no se haya hecho nada en la gui del eBox?

eBox 1.4.6

Gracias
Juanjo A.

7
Spanish / Duda Backup + GPG
« on: April 24, 2010, 03:37:00 pm »
Hola, quería saber cómo funciona exactamente el sistema de copia de seguridad con cifrado gpg.

He creado un par de claves desde la consola, pero desde la gui, aunque selecciono el modo de cifrado con gpg, el siguiente campo me aparece 'desactivado'.

En el manual no he encontrado más información al respecto.

Gracias
Un Saludo
Juanjo A.

8
Esto provoca que samba falle al no poder conectar con el antivirus, causando fallos en el acceso a los recursos compartidos del servidor.

Vuestros clientes empezaran a llamaros pronto si tienen el clamav < 0.95


De la página de clamav
IMPORTANT ANNOUNCEMENT

On 15 April 2010 all ClamAV installations older than 0.95 will be disabled. See http://www.clamav.net/eol-clamav-094/ for more details.


Os pongo el link de la cache de google, ya que parece que todo el mundo lo está consultando (lógico) y esto hace que no cargue la página oficial:

http://webcache.googleusercontent.com/search?q=cache:Vqfn6jMeTbEJ:www.clamav.net/+clamav+0.95&cd=1&hl=es&ct=clnk&gl=es&client=firefox-a

EDITO: La versión 0.95 si funciona.

Un saludo
Juanjo A.

9
Spanish / Borrar copia de seguridad en eBox
« on: April 14, 2010, 11:58:27 am »
Cuando tengo una copia de seguridad realizada con eBox (duplicity), ¿cómo puedo borrarla para liberar espacio en disco?

Ya se que según el ciclo se sobreescriben, pero según veo en
http://doc.ebox-platform.com/es/1.2/_images/ebox_backup.png

Debería existir un botón borrar para borrar la copia y no lo veo en la versión 1.4-1

Gracias
Juanjo A.

10
Spanish / How-to Freeswitch + FusionPBX (gui)
« on: March 02, 2010, 03:13:43 pm »
Bueno, os dejo como he configurado freeswitch + la gui fusionpbx en eBox (ubuntu 8-04LTS)

Ya me comentais si os viene bien:

Links de interes:
http://www.freeswitch.org/
http://www.freeswitch.es
http://fusionpbx.com/
http://wiki.fusionpbx.com/index.php/Ubuntu_Install

Lo siguiente lo hago sobre ebox 1.4 (de la iso) con ubuntu 8.04lts


Tips:

- no utiliza los usuarios del ldap, si no los propios creados desde su interfaz.
Los guarda en una base de datos sqlite ya que no he conseguido que me funcione en el postgresql del eBox

- Se accederá a su gui mediante http://ip_ebox/fusionpbx

- Los permisos:
1. 'www-data' tiene que tener permiso de lectura / escritura en '/opt/freeswitch'
2. 'www-data' tiene que tener lectura / escritura en el directorio de instalación de fusionpbx ('/var/www/fusionpbx')
3.- El usuario 'freeswitch' debe tener los permisos de lectura / escritura en '/opt/freeswitch'


---------------------------
---   Freeswitch        ---
---------------------------


Para instalar añado los siguientes repositorios (para Ubuntu 8.04) en /apt/sources.list

   deb http://ppa.launchpad.net/freeswitch-drivers/freeswitch-nightly-drivers/ubuntu hardy main
   deb-src http://ppa.launchpad.net/freeswitch-drivers/freeswitch-nightly-drivers/ubuntu hardy main


Actualizamos los repositorios:

   $sudo apt-get update

Aqui me da error de autenticacion al no tener la llave:
W: GPG error: http://ppa.launchpad.net hardy Release: Las firmas siguientes no se pudieron verificar porque su llave pública no está disponible: NO_PUBKEY 82EA05E4451AE93C
W: Tal vez quiera ejecutar 'apt-get update' para corregir estos problemas

Eso me impedirá instalar luego los paquetes de ese repositorio.

Para solucionarlo, primero obtengo la clave y luego la meto en el anillo de seguridad:
   $ gpg --keyserver subkeys.pgp.net --recv 82EA05E4451AE93C
   $ gpg --armor --export 82EA05E4451AE93C | sudo apt-key add -

EDITO: Si te da problenas el servidor de claves subkeys.pgp.net puedes usar otro como keyserver.ubuntu.com

Ahora vemos que paquetes están disponibles para la instalación, pueden variar segun el idioma:
(p.e. freeswitch-lang-es)

   $sudo apt-cache search freeswitch

Para instalarlo todo:

$sudo apt-get install freeswitch freeswitch-lang-es freeswitch-lang-en freeswitch-asr-tts freeswitch-lua \
freeswitch-sounds-en-us-callie-omega freeswitch-sounds-music-omega \
freeswitch-codec-passthru-g729 freeswitch-codec-passthru-g7231 \
freeswitch-codec-passthru-amr freeswitch-config freeswitch-spidermonkey \
freeswitch-perl freeswitch-phpmod freeswitch-python freeswitch-skypiax



Para activarlo edito /etc/default/freeswitch y cambio:

   #nano /etc/default/freeswitch
   FREESWITCH_ENABLED="true"


Despues de esto ya puedo iniciar a mano el freeswitch
   $ sudo /etc/init.d/freeswitch start
   joseba@ebox:/var/www$ sudo /etc/init.d/freeswitch start
   joseba@ebox:/var/www$ 23001 Backgrounding.


O bien para que se inicie al reiniciar el SO:

   $sudo invoke-rc.d freeswitch start

---------------------------
---   Gui FusionPBX     ---
---------------------------
Ahora instalamos FusionPBX (y dependencias):

FusionPBX requiere php5 y eBox trae php4, asi que para instalarlo:

   $sudo apt-get install php-db php5-sqlite php-xml-parser apache2-mpm-prefork libapache2-mod-php5 libtiff-tools

   $cd /var/www


Parece que esto no influye en eBox.

Instalamos subversion si no lo tenemos:

   $ sudo apt-get install subversion

Descargamos FusionPBX mediante subversion:

   $ sudo svn checkout http://fusionpbx.googlecode.com/svn/trunk/fusionpbx fusionpbx

Establecemos los permisos:

   $ sudo chown -R www-data:www-data fusionpbx

   $ sudo chown -R freeswitch:www-data /opt/freeswitch/

(verifica que tenga 770 para que el grupo tenga pleno acceso)

Añado al grupo www-data el usuario freeswitch
$sudo nano /etc/group
...
www-data:x:33:freeswitch
...


Para acceder a fusionpbx:

http://ip_ebox/fusionpbx

Y comienza la instalación del fusionpbx.

Con elegir sqlite y boton install lo tendremos ok:



Despues de esto ya está configurado y funcionando, los usuarios de la gui son por defecto:

user: superadmin
password: fusionpbx

user: admin
password: fusionpbx



Un saludo
JuanjoA

11
Installation and Upgrades / eGroupware + google APPS? (or GMAIL)
« on: February 23, 2010, 11:56:47 am »
Hi, it's possible this integration?

Send email from egw with the account of gmail? (no smarthost)
Same domain local and external.

Receive email form MTA gmail in egw?

Thx.
(sorry for my english)

12
Spanish / [SOLUCIONADO] egroupware - polls o sondeos
« on: February 21, 2010, 09:57:27 pm »
No aparece la opción de administración que si se puede ver en la demo de egroupware.
Como consecuencia no se pueden añadir sondeos y respuestas.
Tengo la plantilla por defecto con todos los modulos de egroupware.

Por cierto que el menu Admin tampoco aparece. Supongo que va relacionado con el hecho de que nadie meta la pata tocando el tema de usuarios y demas controlado por eBox.

Lo tengo sobre eBox 1.4 iso

¿Alguna idea?
¿Alguien lo tiene funcionando correctamente?

Gracias
JuanjoA

13
Spanish / Errores eBox 1.4 VIRTUALIZACION KVM (SOLUCIONADO)
« on: February 18, 2010, 11:35:22 am »
Usando Ubuntu Karmic 9.10 64 bits como host no he tenido problemas. Con la instalación por defecto de KVM he podido crear guest de cualquier tipo, incluido eBox.

El problema lo he tenido con Ubuntu Karmic 9.10 32 bits.
Tengo el kernel generic-pae. (para mas de 3GB RAM)

Cualquier máquina virtual fallaba, se corrompía el disco duro virtual, etc.

He instalado eBox como 10 veces intentando ver que podía fallar.

Al final creo que he dado con el problema:
- el formato del disco virtual; si es RAW la máquina se corrompe en pocos reinicios. Si utilizo el
formato QCOW2 no tengo ese problema.
Tanto es así, que si convierto un disco virtual RAW a QCOW2 ya puede trabajar correctamente esa máquina virtual.

El comando para convertir a QCOW2 una imagen RAW:

$kvm-img convert -O qcow2 eBox.img eBox.qcow2

Si te falla ponle el sudo delante (depende donde tengas las máquinas)

El formato QCOW2 parece que ha mejorado bastante en velocidad con respecto a la versión anterior, con lo que no perdemos mucho.

Para crear la imagen en formato QCOW2 que luego puedes asignar a cualquier máquina que crees desde virt-manager:

$ qemu-img create -f qcow2 maquinas_virtuales/ebox14.img 10G

En esto caso de 10 GB


En mis test mas o menos samba mueve 11 MB/s de lectura y 15 MB/s escritura.

Por si le sirve a alguien.

Un saludo
JuanjoA

14
Spanish / Servicios externos a ebox + ldap
« on: February 15, 2010, 02:09:52 pm »
¿Alguien tiene funcionando algun servicio que no esté integrado en ebox, y que este utilizando la base de datos de usuarios del ldap?

¿Mas o menos me podria orientar que archivos hay que modificar?

Entiendo que esos servicios no serían configurables desde la gui, pero es una forma de complementar el servidor con aquello que nos hace falta.

Gracias
Un saludo
JuanjoA

15
Spanish / Sobre el servidor de correo electrónico
« on: February 15, 2010, 12:22:51 pm »
Hola. Estoy probando postfix, y era para verificar si lo que pienso es correcto:

Como servidor de interno local, con dominio virtual, funciona sin problemas, tanto para enviar como para recibir localmente.

Para enviar al exterior:

Debes tener:
    - Un dominio tipo minombre.com ...
    - ip fija, y que además no provenga de algún rango dinámico anterior
    - que tu dominio resuelva DNS inverso (lo cual requiere que tu ISP ponga de su parte, incluso   se puede requerir una cuenta tipo empresa, segun el ISP)
    - que tu IP no esté en ninguna lista de spam (puedes verificarlo en spamhaus, http://www.spamhaus.org/lookup.lasso)

O bien, tener contratado algún servicio de relay host. A grosso modo es pagar por mail enviados (cada proveedor lo estipula como quiere, por ejemplo por tamaño de mail, número destinatarios, ...)

En el caso de que tengas IP dinámica, me parece que no queda mas salida que contratar el tema de los relays (te ahorras los 15€ de la IP estática que no te garantiza que puedas enviar correos y que estos lleguen a su destino, y a cambio pagas los relays). A esto hay que añadirle algún servicio que actualice la IP para el nombre de dominio. (los hay gratuitos)
O bien coges la IP fija, y tambien utilizas los relays...

Para el tema de la recepción parece que no hay tantos problemas. Teniendo configurado el registro MX de nuestro dominio, apuntando a nuestro servidor de correo, los mensajes llegarán.

¿Es esto mas o menos como lo pienso?

¿Es posible utilizar ebox / postfix y utilizar un sistema de correo como el que proporcionan los servidores de hosting?
¿Se pueden usar cuentas de correo de un dominio exterior en ebox, y que los usuarios envien/reciban su correo de forma normal?

Esto es porque veo muy interesante utilizar egroupware + correo local y exterior


Edito:
En el caso de utilizar smarthost (p.e. de gmail) todos los mail salientes iran ok, pero los destinatarios veran como dirección de respuesta la del smarthost de gmail.

¿Es posible utilizar un smarthost y que aparezca la dirección de correo del que envia?

Gracias y perdon por el tocho
JuanjoA

Pages: [1] 2