Encuentro Alternativo

Access Denied
The server was configured to not permit you access to the specified resource. If you believe this is in error or inadvertent, please contact thesystem administrator and ask them to update the host access files.

cPanel 11 al parecer trae nuevos demonios, los cuales, están limitados a ser accesados por el archivo /etc/hosts.allow, eso significa, que a diferencia de cPanel 10.x, si no defines los hosts que pueden acceder a estos demonios, tus usuarios tendrán problemas al ingresar a WHM ( reseller o root ), cPanel, y serviciios de Webmail.

Para solucionar esto, debemos agregar estos demonios en el archivo mencionado antes de la siguiente manera:

cpaneld : ALL
whostmgrd : ALL
webmaild : ALL

Grantizando así que cualquier usuario podrá usar dichos servicios.

Hoy sin querer perdí el password de una reciente instalación de Urchin, y tuve que resetear el password del mismo, aquí esta la solución para sistemas Unix-like y Windows, esto reseteará el password a “urchin”. Tipear desde las terminales de cada sistema lo siguiente:

Unix:

cd util
./uconf-driver action=set_parameter table=user \ name="(admin)" ct_password=urchin

Windows:

cd \Program Files\Urchin\util
uconf-driver action=set_parameter table=user \ name="(admin)" ct_password=urchin

Este artículo lo escribí para una revista, pero consideraron que era demasiado “corto” :@, asi que lo publicaré aquí, esperando que le sirva a alguien

Introducción

Correr aplicaciones webs en muchos casos puede llegar a implicar muchos riesgos a nivel de seguridad, si bien una seguridad completa a nivel web puede llegar a establecerse, siempre hay puntos vulnerables. Tan solo en un par de lineas de código erróneo, pueden comprometer una base de datos, un sitio web, en un caso extremo incluso el servidor.

Día a día son más los ataques que se realizan a nivel de HTTP: XSS, Command Injection, Buffer Overflows, Sql Injection, etc. La lista de vulnerabilidades va creciendo y las soluciones no siguen su ritmo.

Si tienes aplicaciones web a nivel público programadas (o no) por ti, hay muchas posibilidades de que tengas algún tipo de problemas de seguridad.

¿Que es Mod_Security?

Mod_Security es comunmente llamado un “Firewall de aplicaciones”, porque actúa como tal, pero solo a nivel web. Funciona analizando el tráfico del servidor y aplicando las reglas a dicho tráfico, si las mismas no se cumplen, la petición es denegada, igual caso que sucede con cualquier firewall de sistemas.

¿Por qué debería usar Mod_Security?

1.- Es open source, puedes obtenerlo gratuitamente.

2.- Puedes desarrollar medidas de seguridad personalizadas adaptadas a las vulnerabilidades de tus aplicaciones webs.

3.- Es de gran utiliadad para proteger aplicaciones conocidas por sus innumerables bugs, ejemplos: PHPNuke, PostNuke, Wordpress, phpBB, etc.

4.- Permite inclusión de reglas antispam, deteniendo tanto spam entrante como saliente.

5.- Es muy fácil de instalar, configurar y analizar su funcionamiento.

6.- Si quieres maximizar la seguridad a nivel web, este módulo te ayudará en un 75 % a lograrlo.

(more…)

Hoy detecté un problema en uno de los servidores virtuales cPanel, los mails no llegaban a destinatario, el error exacto era:

Failed to open /etc/relayhosts for linear search: Input/output error

El problema era que este archivo estaba corrupto y constantemente daba un error de entrada/salida, aquí esta la solución

rm /etc/relayhostsusers -fv
rm /etc/relayhosts -fv
touch /etc/relayhostsusers
touch /etc/relayhosts
service exim restart

Done, todo debería funcionar bien ahora, aunque si no llega a ser este el caso, luego prueba correr estos comandos, y luego restartea exim nuevamente:

/scripts/upcp --force
/scripts/eximup --force
/scripts/fixrelayd

Hoy dije, voy a adelantarme a la release oficial de cPanel 11, así que instalé la versión en desarrollo en un servidor sin tráfico. Había visto desde el propio sitio de cPanel, unas reviews muy buenas sobre seguridad, software y usabilidad que esta nueva versión traería. Éstas son mis impresiones:

Novedades de Seguridad

cPanel anuncia que ha integrado las funciones de seguridad bajo el nuevo “Security Center“, han agregado nuevas opciones, como “cPHulk Bruce Force Protection“, y “Host Access Control“, 2 utilidades gráficas. La primera intenta reemplazar a “BFD” y/o “LFD” (parte de CSF), en otras palabras, no hay ninguna innovación, le dan una vista gráfica, a algo que ya viene usándose hace años desde la consola. La segunda, es más de lo mismo, han hecho gráfico el archivo “/etc/hosts.allow” que también desde hace siglos viene manejándose perfectamente desde la consola, otra mierda más.

Protecciones contra ataques XSS también ha sido una adición, aunque van directamente en el código, cosa que no vemos, hasta que no salgan vulnerabilidades importantes, creo que no sabemos si son tan efectivas.

Conclusión, esta bueno que haya un poco más de aspecto visual, los nuevos admins y personas sin experiencia podrán sin tener acceso shell securizar un poco más su servidor, para los que ya hacemos esto desde hace tiempo, no vale la pena.

Novedades de Software y Performance

Soporte para las versiones 2.0.x.x y 2.2.x de Apache, era algo que cPanel tendría que haber incluido hace tiempo, finalmente, esta listo, un gran salto para este panel de control. Ya una vez en el server, fui a ver que tal era el renovado EasyApache 2.0.2. No pude lograr correr Apache 2.2.4 por lo que desistí e intenté con Apache 2.0.49, luego de 45 minutos de problemas y problemas, logré correr Apache 2.0.59 bajo cPanel, aleluya!!, lo que logré fue una configuración básica, sin muchos módulos compilados, o sea, una cagada también. Lo bueno, es que se seguirá usando Apache 1.3.3.7, para mi gusto (y el de muchos otros) el Apache con mejor performance en el mercado.

EasyApache esta en pañales todavía. Igualmente cabe aclarar que cPanel 11 bajo la release Ege, trae EasyApache 1, yo he forzado a que use la versión 2.0.2 (la ansiedad!) para probar las nuevas opciones.

Comentan desde cPanel Inc. que otra de las mejoras ha sido la reducción de carga de las páginas de WHM y cPanel, y debo decir, que es cierto, ahora son muy rápidas, lo que hará que todos los clientes que usen cuentas Resellers y/o paneles independientes cPanel puedan sentirse más a gusto. Otra cosa que vi que me gustó es el soporte para Ruby, que no existía en versiones anteriores (al menos no me había dado cuenta).

Usabilidad

Igual que siempre, no hay grandes cambios que mejoren este aspecto.

Hoy tuve que investigar un problema con Ensim, habían ciertas casillas que estaban recibiendo e-mails duplicados o simplemente con una copia en blanco, luego de recorrer foros, investigar e investigar más, llegué a la solución, es muy simple:

pico /etc/MailScanner/MailScanner.conf

Editamos el archivo, y buscamos el texto ( CTRL + W ) “#Lock Type”, allí, descomentamos dicha variable, y le cambiamos el valor a “posix”, o sea, quedaría así:

Lock Type = posix


Luego, reiniciamos el servicio

service MailScanner restart

Este problema no se ha presentado usando MailScanner bajo cPanel, solo Ensim.

Hoy estaba removiendo algunos firewalls APF en servidores cPanel, e instalando CSF, un firewall ue si bien tiene poca trayectoria ( respecto a APF ), posee buenas reglas, además de un muy buen sistema de chequeo de seguridad integrado, posee su propio login failure daemon ( lfd ) que vendría a ser lo mismo que el ya clásico BFD, además escaneo de procesos, scripts, mails, conexiones por IP, listas negras e SPAMHAUS y DSHIELD integradas, también una excelente herramienta, parsea logs de mod_security para luego enegar las IPs atacantes. En fin, y el hecho es que hacer todo a mano te paspa realmente, asi que aquí esta el script para remover APF, e instalar CSF, todo de una sola pasada

Disponible su descarga desde aquí.

Luego renombralo a getcsf.sh para hacerlo ejecutable.

Hoy me di cuenta que en un servidor determinado, se estaba corriendo una versión algo vieja de ZendOptimizer, por ello, fui a correr /scripts/installzendopt para actualizar a la última versión, pero recordé que este script que usa cPanel, aún no posee la versión nueva de este software, que es la 3.2.6. Si bien mis conocimientos de perl, son tan básicos como php y otros lenguajes, con ver el pequeño script enseguida pude darme cuenta que para que cPanel instale la última versión, tan solo hay que modificar una variable y especificar el número de versión que deseamos actualizar.

La variable esta definida en la linea 12 del archivo /scripts/installzendopt, y se muestra así:

my $ver = '3.0.1';

Por lo que solo tendrán que reemplazar el número de versión, y que tome la actual, por ejemplo:

my $ver = '3.2.6';

Luego correr:

/scripts/installzendopt

Lo he probado, y funciona bien, al momento no he encontrado ningún desperfecto

El dia de ayer, tuve que instalar el sistema de estadísticas Urchin en un sistema con Ensim… hacía casi 1 año que no lo instalaba ni configuraba, por lo que era como “empezar de nuevo”. Todo salió bien, instalé y configure los sitios webs que necesitaban las estadísticas, generé las estadísticas en tiempo real, como esperaba, las gráficas y demás aparecieron instantáneamente.

Pero, cuando procedía a setear el cron diario para actualizar dichas estadísticas, aparecía un error: Warning! Task scheduler disabled.

Por lo que luego de investigar e investigar pude ver que esto ocurre debido a que o :

1.- el demonio que corre las estadísticas (urchinctl) no esta corriendo
2.- no posee el propietario que debería

En mi caso, era justamente esto, debería ser iniciado como apache, y estaba siendo iniciado como root, se solucionó corriendo el siguiente comando:

sudo -u apache ./urchinctl start

[root@server.mysql.com:~]/etc/init.d/mysql start
Starting MySQL Couldn’t find MySQL manager or server [FAILED]

El otro día hice mi primer upgrade (en un server con mucho tráfico) desde MySQL 4.1.x hacia MySQL 5.x. El proceso de conversión fue rápido y las bases de datos quedaron intactas, todo estaba perfecto… hasta que fui a restartear el demonio.. y ahi la vi oscura realmente, me fije los pasos de instalación varias veces, hice todo de acuerdo a varios manuales, paso a paso, lentamente, verifique que nada del sistema operativo u otros servicios pudieran estar “jodiendo”, y todo parecía perfecto. Hasta que investigando pude encontrar la solución desde un bug de MySQL.

Para solucionar esto, solo debemos loguearnos desde el shell y editar my.cnf, generalmente ubicado desde /etc/my.cnf ( hablando siempre de sistemas RedHat ), y comentar la variable “basedir”, luego de esto reiniciar el servicio y debería funcionar bien.

Según he leido esto es solo un error de los rpms de RHES 4, y no ocurre con instalaciones realizadas desde codigo fuente.