PREREQUISITO: INSTALACIÓN DE MYSQL
Configurar Nombre de Host
$> hostnamectl set-hostname srvzabbix.dominio.local
$> exit
Volver a loguearse
$> hostnamectl
Configurar la ip del host en /etc/hosts
$> vim /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.2.X srvzabbix.dominio.local srvzabbix
$> yum -y install epel-release
$> yum update
Descargar y añadir el repositorio, a continuación, actualizar.
$> wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
$> rpm -ivh mysql-community-release-el7-5.noarch.rpm
$> yum install -y mysql-server httpd
$> systemctl start mysqld
$> systemctl enable mysqld
$> systemctl start httpd
$> systemctl enable httpd
Habilitar firewall mysql http (80) y https (443)
$> firewall-cmd --add-service=mysql --permanent
$> firewall-cmd --add-service=http --permanent
$> firewall-cmd --add-service=https --permanent
$> firewall-cmd --reload
INSTALACION ZABBIX
=======================
Descargar e instalar Zabbix
$> rpm -ivh http://repo.zabbix.com/zabbix/3.2/rhel/7/x86_64/zabbix-release-3.2-1.el7.noarch.rpm
$> yum install zabbix-server-mysql zabbix-web-mysql zabbix-agent
Editar archivo zabbix.conf:
$> vim /etc/httpd/conf.d/zabbix.conf
19: php_value date.timezone America/Lima
Reiniciar servicio web
$> systemctl restart httpd
Conectarme al servidor MYSQL
$> mysql -u root
Establecer una contraseña al usuario root
mysql> SET PASSWORD FOR root@localhost=password("clave123");
Crear una base de datos:
mysql> show databases;
mysql> create database zabbixdb character set utf8;
mysql> GRANT ALL PRIVILEGES ON zabbixdb.* TO zabbixuser@localhost IDENTIFIED BY '12345';
mysql> flush privileges;
mysql> quit
Importación de plantillas zabbix a la base de datos Zabbix
$> zcat /usr/share/doc/zabbix-server-mysql-3.2.7/create.sql.gz | mysql -uzabbixuser -p zabbixdb
Configurar el servidor Zabbix
Editar archivo zabbix_server.conf
$> vim /etc/zabbix/zabbix_server.conf
:91 DBName=zabbixdb
:107 DBUser=zabbixuser
:115 DBPassword=12345
Configurar para monitoriar el servidor
$> vim /etc/zabbix/zabbix_agentd.conf
:95 Server=192.168.2.67
:136 ServerActive=192.168.2.67
:147 Hostname=server1.midominio.local
Ajustar la configuración de PHP
Editar archivo php.ini
$> vim /etc/php.ini
:384 max_execution_time = 600
:394 max_input_time = 600
:405 memory_limit = 256M
:672 post_max_size = 32M
:800 upload_max_filesize = 16M
:878 date.timezone = America/Lima
SELinux
$> setsebool -P httpd_can_network_connect=1
$> setsebool -P httpd_can_connect_zabbix=1
$> setsebool -P zabbix_can_network=1
Firewall
$> firewall-cmd --permanent --add-port=10050/tcp
$> firewall-cmd --permanent --add-port=10051/tcp
$> firewall-cmd --reload
$> systemctl restart httpd
$> systemctl restart firewalld
$> systemctl restart zabbix-server
$> systemctl restart zabbix-agent
$> systemctl enable zabbix-server
$> systemctl enable zabbix-agent
*******************************************************************
Si se presenta errores aplicar lo siguiente:
$> yum install policycoreutils-python
SELINUX para Zabbix-server:
$> cat /var/log/audit/audit.log | grep zabbix_agentd | grep denied | audit2allow -M zabbix_agent_setrlimit
$> semodule -i zabbix_agent_setrlimit.pp
SELINUX for Zabbix-agent:
$> cat /var/log/audit/audit.log | grep zabbix_server | grep denied | audit2allow -M zabbix_server_setrlimit
$> semodule -i zabbix_server_setrlimit.pp
************************************************************
Permitir la consola web de Zabbix para un rango de IP específico (Opcional)
$> vim /etc/httpd/conf.d/zabbix.conf
Alias /zabbix /usr/share/zabbix
<Directory "/usr/share/zabbix">
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from 192.168.1.0/24
</Directory>
$> systemctl restart httpd
Ingresar al navegador:
http://server/zabbix
***********************************
Configure DB connection
Database type: MYSQL
Database Host: localhost
Database port: 0
Database name: zabbixdb
User : zabbixuser
Password : 12345
Zabbix server detalils
Host: localhost
Port: 10051
Name: My Zabbix monitor
USERNAME: Admin
PASSWORD: zabbix
--------------------------
Agregar Equipo
Ir a Configuration -> Hosts
Create Host
Hostname:srvzabbix.dominio.local
Groups: Zabbix servers
IP: 192.168.2.67
Ir a Templates -> Añadir Template Linux
Regresar a Host y Añadir
Ir a Monitoring -> graphs
Seleccionar Grupo y host
Mostrar Grafica: Memoria usage
lunes, 31 de julio de 2017
domingo, 30 de julio de 2017
INSTALACION OCS INVENTORY | CENTOS 7
PREREQUISITO: INSTALACIÓN DE MYSQL
$> yum -y install epel-release
$> yum update
Descargar y añadir el repositorio, a continuación, actualizar.
$> wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
$> rpm -ivh mysql-community-release-el7-5.noarch.rpm
$> yum install -y mysql-server httpd
$> systemctl start mysqld
$> systemctl enable mysqld
$> systemctl start httpd
$> systemctl enable httpd
Habilitar firewall mysql http (80) y https (443)
$> firewall-cmd --add-service=mysql --permanent
$> firewall-cmd --add-service=http --permanent
$> firewall-cmd --add-service=https --permanent
$> firewall-cmd --reload
Dependendias de OCS_INVENTORY
$> yum install mod_perl mod_perl-devel make gcc httpd php php-mysql php-gd php-xml php-mbstring php-curl perl-CPAN perl-Archive-Zip php-pclzip php-soap perl-YAML perl-XML-Simple perl-Compress-Zlib perl-DBI perl-DBD-MySQL perl-Archive-Zip perl-Switch perl-Net-IP perl-SOAP-Lite perl-Mojolicious perl-Plack perl-BSD-Resource perl-Apache-DBI perl-Apache2-SOAP perl-XML-Entities
------------------------------------------------
Los modulos perl-Apache-DBI y perl-Apache2-SOAP no se encuentran en los repositorios de yum, así que hay que instalarlos por CPAN.
Invocar CPAN:
$> perl -MCPAN -e shell
Si es la primera vez que se ejecuta, aceptar todos los cambios [ENTER] y esperar que se configure.
Recomendado - actualizar CPAN (demora algunos minutos).
CPAN[]> install Bundle::CPAN
CPAN[]> reload cpan
Instalar los modulos
CPAN[]> install Apache::DBI
CPAN[]> install Apache2::SOAP
CPAN[]> exit
------------------------------------------------
INSTALACIÓN OCS INVENTORY
===========================
Descargar OCS INVENTORY 2.6
$> wget https://github.com/OCSInventory-NG/OCSInventory-ocsreports/releases/download/2.6/OCSNG_UNIX_SERVER_2.6.tar.gz
Descomprimir archivo
$> tar -zxvf OCSNG_UNIX_SERVER_2.6.tar.gz
$> cd OCSNG_UNIX_SERVER_2.6
Ver las Dependencias de OCS INVENTORY:
$> cat INSTALL
Ingresar a la carpeta para instalar OCS INVENTORY:
$> cd OCSNG_UNIX_SERVER_2.6
$> ./setup.sh
ENTER A TODOS
$> systemctl restart httpd
Ingresar al navegador:
http://server/ocsreports
Cambiar los permisos de los directorios:
$> chown -R apache.apache /usr/share/ocsinventory-reports/ocsreports
$> chown -R apache.apache /var/lib/ocsinventory-reports
Restaurar los contextos web SELINUX:
$> restorecon -FRvv /usr/share/ocsinventory-reports/ocsreports/
$> chcon -t httpd_sys_script_rw_t /usr/share/ocsinventory-reports/ocsreports
$> chcon -t httpd_sys_script_rw_t /usr/share/ocsinventory-reports/ocsreports/dbconfig.inc.php
$> systemctl restart httpd
Conectarme al servidor MYSQL
$> mysql -u root
Establecer una contraseña al usuario root
mysql> SET PASSWORD FOR root@localhost=password("clave123");
Crear una base de datos:
mysql> show databases;
mysql> create database ocsweb;
mysql> GRANT ALL PRIVILEGES ON ocsweb.* TO ocs@localhost IDENTIFIED BY '12345';
mysql> flush privileges;
mysql> quit
Cambiar valores de archivo
$> vim /etc/php.ini
:800 upload_max_filesize = 150M
:672 post_max_size = 150M
$> systemctl restart mysqld
$> systemctl restart httpd
Ingresar al navegador:
http://server/ocsreports
Mysql Login: root
password: clave123
Name of database: ocsweb
Mysql Hostname: localhost
-->Send
USER:admin
PASSWORD:admin
----------------------------------------------------------------
SECURITY ALERT!
The install.php exists in ocsreports directory
The default sql login/password is activate on your database: ocs
----------------------------------------------------------------
Eliminar archivo install.php
$> rm -r /usr/share/ocsinventory-reports/ocsreports/install.php
Editar archivo para actualizar el usuario_BD y contraseña
$> vim /etc/httpd/conf.d/z-ocsinventory-server.conf
:29 PerlSetEnv OCS_DB_USER ocs
:31 PerlSetVar OCS_DB_PWD 12345
Editar archivo para actualizar el nombre de BD, el usuario y la contraseña:
$> vim /usr/share/ocsinventory-reports/ocsreports/dbconfig.inc.php
define(“DB_NAME”, “ocsweb”);
define("COMPTE_BASE","ocs");
define("PSWD_BASE","12345");
$> systemctl restart httpd
$> yum -y install epel-release
$> yum update
Descargar y añadir el repositorio, a continuación, actualizar.
$> wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
$> rpm -ivh mysql-community-release-el7-5.noarch.rpm
$> yum install -y mysql-server httpd
$> systemctl start mysqld
$> systemctl enable mysqld
$> systemctl start httpd
$> systemctl enable httpd
Habilitar firewall mysql http (80) y https (443)
$> firewall-cmd --add-service=mysql --permanent
$> firewall-cmd --add-service=http --permanent
$> firewall-cmd --add-service=https --permanent
$> firewall-cmd --reload
Dependendias de OCS_INVENTORY
$> yum install mod_perl mod_perl-devel make gcc httpd php php-mysql php-gd php-xml php-mbstring php-curl perl-CPAN perl-Archive-Zip php-pclzip php-soap perl-YAML perl-XML-Simple perl-Compress-Zlib perl-DBI perl-DBD-MySQL perl-Archive-Zip perl-Switch perl-Net-IP perl-SOAP-Lite perl-Mojolicious perl-Plack perl-BSD-Resource perl-Apache-DBI perl-Apache2-SOAP perl-XML-Entities
------------------------------------------------
Los modulos perl-Apache-DBI y perl-Apache2-SOAP no se encuentran en los repositorios de yum, así que hay que instalarlos por CPAN.
Invocar CPAN:
$> perl -MCPAN -e shell
Si es la primera vez que se ejecuta, aceptar todos los cambios [ENTER] y esperar que se configure.
Recomendado - actualizar CPAN (demora algunos minutos).
CPAN[]> install Bundle::CPAN
CPAN[]> reload cpan
Instalar los modulos
CPAN[]> install Apache::DBI
CPAN[]> install Apache2::SOAP
CPAN[]> exit
------------------------------------------------
INSTALACIÓN OCS INVENTORY
===========================
Descargar OCS INVENTORY 2.6
$> wget https://github.com/OCSInventory-NG/OCSInventory-ocsreports/releases/download/2.6/OCSNG_UNIX_SERVER_2.6.tar.gz
Descomprimir archivo
$> tar -zxvf OCSNG_UNIX_SERVER_2.6.tar.gz
$> cd OCSNG_UNIX_SERVER_2.6
Ver las Dependencias de OCS INVENTORY:
$> cat INSTALL
Ingresar a la carpeta para instalar OCS INVENTORY:
$> cd OCSNG_UNIX_SERVER_2.6
$> ./setup.sh
ENTER A TODOS
$> systemctl restart httpd
Ingresar al navegador:
http://server/ocsreports
Cambiar los permisos de los directorios:
$> chown -R apache.apache /usr/share/ocsinventory-reports/ocsreports
$> chown -R apache.apache /var/lib/ocsinventory-reports
Restaurar los contextos web SELINUX:
$> restorecon -FRvv /usr/share/ocsinventory-reports/ocsreports/
$> chcon -t httpd_sys_script_rw_t /usr/share/ocsinventory-reports/ocsreports
$> chcon -t httpd_sys_script_rw_t /usr/share/ocsinventory-reports/ocsreports/dbconfig.inc.php
$> systemctl restart httpd
Conectarme al servidor MYSQL
$> mysql -u root
Establecer una contraseña al usuario root
mysql> SET PASSWORD FOR root@localhost=password("clave123");
Crear una base de datos:
mysql> show databases;
mysql> create database ocsweb;
mysql> GRANT ALL PRIVILEGES ON ocsweb.* TO ocs@localhost IDENTIFIED BY '12345';
mysql> flush privileges;
mysql> quit
Cambiar valores de archivo
$> vim /etc/php.ini
:800 upload_max_filesize = 150M
:672 post_max_size = 150M
$> systemctl restart mysqld
$> systemctl restart httpd
Ingresar al navegador:
http://server/ocsreports
Mysql Login: root
password: clave123
Name of database: ocsweb
Mysql Hostname: localhost
-->Send
USER:admin
PASSWORD:admin
----------------------------------------------------------------
SECURITY ALERT!
The install.php exists in ocsreports directory
The default sql login/password is activate on your database: ocs
----------------------------------------------------------------
Eliminar archivo install.php
$> rm -r /usr/share/ocsinventory-reports/ocsreports/install.php
Editar archivo para actualizar el usuario_BD y contraseña
$> vim /etc/httpd/conf.d/z-ocsinventory-server.conf
:29 PerlSetEnv OCS_DB_USER ocs
:31 PerlSetVar OCS_DB_PWD 12345
Editar archivo para actualizar el nombre de BD, el usuario y la contraseña:
$> vim /usr/share/ocsinventory-reports/ocsreports/dbconfig.inc.php
define(“DB_NAME”, “ocsweb”);
define("COMPTE_BASE","ocs");
define("PSWD_BASE","12345");
$> systemctl restart httpd
domingo, 23 de julio de 2017
Configuracion de PROXY-ENDIAN Y DOMINIO-ZENTYAL
INSTALACION ZENTYAL
====================
Instalar Modo Experto
Nombre de Equipo: adsserver
Usuario: soporte
Dominio: dominio.local
Acceder al navegador:
https://10.1.1.5:8443
Instalar módulo de Configuración Red
-------------------------------------------------------
--> Ir a Estado de los Módulos
Instalar: ✔ Network Configuration
--> Ir a Estado de los Módulos
Habilitar: ✔ Red
Configurar Red
--> Ir a Red -> Interfaces
IP: 10.1.1.5
MASK: 255.255.255.0
PTA: 10.1.1.20
DNS: 10.1.1.5
Actualizar el sistema
--> Habilitar Acceso SSH
Conectarse al adsserver por SSH
usuario:soporte
passwd:clave
Actualizar adsserver
$> sudo apt-get update
$> sudo reboot
--> Ir a Gestion de software ->Actualizaciones sistema
Actualizar todos los paquetes
Instalar módulos para el Active Directory
--> Ir a Gestion de software -> Componentes de Zentyal
Instalar: ✔ Domain Controller
✔ DNS SERVER
--> Ir a Estado de los Modulos
Habilitar: ✔ Red
✔ DNS
✔ Domain Controller
✔ NTP
Configurar Dominio
--> Ir a Sistema -> General
Nombre de maquina: adsserver
Dominio: dominio.local
Verificar el Dominio
--> Ir a Dominio -> Configuracion
Reino: dominio.local
Nombre Netbios: dominio
Nombre de maquina: adsserver
Crear usuarios y grupos del dominio
--> Ir a Usuarios y Equipos -> Gestionar
En Groups-> Añadir grupos: contabilidad,rrhh, gerentes, limitados, sistemas
En Users -> Añadir usuarios: domainadmin y rlopez,jmeza,mperez
--------------------------------------------------------------------------------
INSTALACION DE ENDIAN
====================
ETH0 : 10.1.1.20 -> LAN
ETH1 : 156.69.210.7 -> WAN
**********************
1.- Enter
2.- English
3.- OK
4.- Install Endian:YES
5.- Enable over console serial: NO
6.- IP: 10.1.1.20
MASK: 255.255.255.0
7.- OK
CONFIGURAR ENDIAN
Acceder al navegador:
https://10.1.1.20:10443
1.- >>>
2.- Language: Spanish
TimeZone: America/Lima
3.- Accept GPL
4.- Restaurar Backup: No
5.- Contraseña web y SSH
admin: clave
root: clave
6.- Paso 1/8 --> Enrutamiento
--> Ethernet Estatico
Paso 2/8 --> NingunO
Paso 3/8 --> LAN IP :10.1.1.20 Mask:255.255.255.0
Nombre host:EFW1
Nombre de dominio:dominio.local
Paso 4/8 --> WAN IP:156.69.210.7
MASK:255.255..255.252 Pta Enlace:156.69.210.1
Paso 5/8 --> DNS1: 10.1.1.5 --> IP Zentyal
DNS2: 10.1.1.5 --> IP Zentyal
Paso 6/8 --> >>>
Paso 7/8 --> Aceptar, Aplicar configuracion
Paso 8/8 --> Fin
7.- Nos autenticamos
user: admin
pass: clave
8.- Crear cuenta y Registrar su FW Endian Comunity para obtener actualizaciones gratuitas.
Omitir Actualizaciones
9.- Actualizar Sistema
Habilitar Acceso SSH
Conectarse al EFW por SSH
usuario:root
passwd:clave
Actualizar EFW
$> efw-upgrade
Produccion:1
username: email@example.com
$> reboot
10.- Desactivar DHCP
Ir a Servicios -> Configuracion
- Desactivar DHCP Verde
GUARDAR y Aplicar
---------------------------------------------------------------------------------------
1.- CONFIGURACION DEL PROXY - ENDIAN
***********************************************************
Ir a Proxy ----> Configuracion
- Habilitar Proxy HTTP
- Verde No transparente
- Puerto utilizado por el proxy: 3128
- Puerto SSL Agregar
10443 # endian
7071 # zimbra
- Configuracion del registro
Habilitar el registro
Registrar filtro de contenido
- Administracion del cache
Tamaño del cache en disco: 6000
GUARDAR ----> Aplicar
2.- Integracion de Active Directory
***********************************************
Ir a Proxy --> Autenticacion
- Metodo de autenticacion: Windows Active Directory (NTLM)
- Dominio de Autenticacion : DOMINIO.local
- Nombre del dominio del servidor AD : DOMINIO.local
- Nombre del host PDC del servidor AD : adsserver
- Direccion IP del PDC del servidor AD: 10.1.1.5
Click en Guardar ---> Aplicar
- Click en unirse al dominio
Nombre de usuario: domainadmin
Contraseña del active directory: xxxx
--> Click en unirse al dominio
No es recomendable usar Filtrado Web, porque no bloquea con totalidad los dominios por categorias.
3.- Filtrado Web
************************************
Crearemos 4 perfiles
a) gerente --> acceso total excepto warez
b) asistente --> acceso total menos: warez, porno, hack, proxys
c) usuario --> acceso total menos: warez, porno, hack, proxys, chat,video
d) limitado --> Solo acceso a webs de gobierno, google search y bancos
gerente
------------
Ir a Proxy --> Filtrado Web
- Click en Añadir nuevo perfil
- Nombre del perfil: gerente
- Click en Activar Analisis Antivirus
- Click en filtrar paginas (Filtro URL)
Denegar: (Click en flecha verde y que se ponga rojo)
Internet Threads, Hacking & Warez
- Click en Añadir --> Aplicar
asistente
------------
Ir a Proxy --> Filtro de contenido
- Click en Añadir nuevo perfil
- Nombre del perfil: asistente
- Click en Activar Analisis Antivirus
- Click en filtrar paginas (Filtro URL)
Denegar: (Click en flecha verde y que se ponga rojo)
Internet, Pirateria, adulto, citas, Violencia, WebProxies,Gambling
- Click en Añadir --> Aplicar
usuario
------------
Ir a Proxy --> Filtro de contenido
- Click en Añadir nuevo perfil
- Nombre del perfil: asistente
- Click en Activar Analisis Antivirus
- Click en filtrar paginas (Filtro URL)
Denegar: (Click en flecha verde y que se ponga rojo)
Citas,Internet,Pirateria,adulto,Violencia, Web
proxies,apuestas,drogas,juegos,media
- Click en Añadir --> Aplicar
LIMITADO
------------
El usuario limitado se creara en politica de Acceso no necesita filtro de contenido.
4.- POLITICAS DE ACCESO
****************************************
IR AL PROXY ---> POLITICAS DE ACCESO
a) Lista blanca Global (Limitados solo podran acceder a esta lista)
Click en añadir Politicas de acceso
- Tipo de origen: cualquiera
- Tipo de destino: dominio
Agregar dominios(uno por linea)
.gob.pe
.edu.pe
.google.com
.google.com.pe
.viabcp.com
- Autenticacion en base al grupo
Seleccionar en base al grupo con la tecla Control
asistentes
gerentes
limitados
usuarios
- Politica de acceso: Permitir acceso
- Filtro de perfil: ninguno
- Posiciom: primera posicion
Click en Crear politica --> Aplicar
b) Politica para gerentes
Click en añadir politicas de acceso
- Tipo de origen: cualquiera
- Tipo de destino: cualquiera
- Autenticacion: (en base al grupo)
gerentes
- Filtro de perfil: gerente
- Posicion ultima posicion
- Click en crear politica --> Aplicar
c) Politica para asistentes
Click en añadir politicas de acceso
- Tipo de fuente: cualquiera
- Tipo de destino: cualquiera
- Autenticacion: (en base al grupo)
asistentes
- Filtro de perfil: asistente
- Posicion ultima posicion
- Click en crear politica --> Aplicar
d) Politica para asistentes
Click en añadir politicas de acceso
- Tipo de fuente: cualquiera
- Tipo de destino: cualquiera
- Autenticacion: (en base al grupo)
usuarios
- Filtro de perfil: usuario
- Posicion ultima posicion
- Click en crear politica --> Aplicar
SARG
=====
Reportes SARG generados automaticos al final del dia
--> Ir a Registros e Informes --> Proxy
--> Click en Informe HTTP --> ✔ Activar
Reportes en Tiempo Real
--> Ir a Registros e Informes --> Proxy HTTP
click en Mostrar solo este registro
====================
Instalar Modo Experto
Nombre de Equipo: adsserver
Usuario: soporte
Dominio: dominio.local
Acceder al navegador:
https://10.1.1.5:8443
Instalar módulo de Configuración Red
-------------------------------------------------------
--> Ir a Estado de los Módulos
Instalar: ✔ Network Configuration
--> Ir a Estado de los Módulos
Habilitar: ✔ Red
Configurar Red
--> Ir a Red -> Interfaces
IP: 10.1.1.5
MASK: 255.255.255.0
PTA: 10.1.1.20
DNS: 10.1.1.5
Actualizar el sistema
--> Habilitar Acceso SSH
Conectarse al adsserver por SSH
usuario:soporte
passwd:clave
Actualizar adsserver
$> sudo apt-get update
$> sudo reboot
--> Ir a Gestion de software ->Actualizaciones sistema
Actualizar todos los paquetes
Instalar módulos para el Active Directory
--> Ir a Gestion de software -> Componentes de Zentyal
Instalar: ✔ Domain Controller
✔ DNS SERVER
--> Ir a Estado de los Modulos
Habilitar: ✔ Red
✔ DNS
✔ Domain Controller
✔ NTP
Configurar Dominio
--> Ir a Sistema -> General
Nombre de maquina: adsserver
Dominio: dominio.local
Verificar el Dominio
--> Ir a Dominio -> Configuracion
Reino: dominio.local
Nombre Netbios: dominio
Nombre de maquina: adsserver
Crear usuarios y grupos del dominio
--> Ir a Usuarios y Equipos -> Gestionar
En Groups-> Añadir grupos: contabilidad,rrhh, gerentes, limitados, sistemas
En Users -> Añadir usuarios: domainadmin y rlopez,jmeza,mperez
--------------------------------------------------------------------------------
INSTALACION DE ENDIAN
====================
ETH0 : 10.1.1.20 -> LAN
ETH1 : 156.69.210.7 -> WAN
**********************
1.- Enter
2.- English
3.- OK
4.- Install Endian:YES
5.- Enable over console serial: NO
6.- IP: 10.1.1.20
MASK: 255.255.255.0
7.- OK
CONFIGURAR ENDIAN
Acceder al navegador:
https://10.1.1.20:10443
1.- >>>
2.- Language: Spanish
TimeZone: America/Lima
3.- Accept GPL
4.- Restaurar Backup: No
5.- Contraseña web y SSH
admin: clave
root: clave
6.- Paso 1/8 --> Enrutamiento
--> Ethernet Estatico
Paso 2/8 --> NingunO
Paso 3/8 --> LAN IP :10.1.1.20 Mask:255.255.255.0
Nombre host:EFW1
Nombre de dominio:dominio.local
Paso 4/8 --> WAN IP:156.69.210.7
MASK:255.255..255.252 Pta Enlace:156.69.210.1
Paso 5/8 --> DNS1: 10.1.1.5 --> IP Zentyal
DNS2: 10.1.1.5 --> IP Zentyal
Paso 6/8 --> >>>
Paso 7/8 --> Aceptar, Aplicar configuracion
Paso 8/8 --> Fin
7.- Nos autenticamos
user: admin
pass: clave
8.- Crear cuenta y Registrar su FW Endian Comunity para obtener actualizaciones gratuitas.
Omitir Actualizaciones
9.- Actualizar Sistema
Habilitar Acceso SSH
Conectarse al EFW por SSH
usuario:root
passwd:clave
Actualizar EFW
$> efw-upgrade
Produccion:1
username: email@example.com
$> reboot
10.- Desactivar DHCP
Ir a Servicios -> Configuracion
- Desactivar DHCP Verde
GUARDAR y Aplicar
---------------------------------------------------------------------------------------
1.- CONFIGURACION DEL PROXY - ENDIAN
***********************************************************
Ir a Proxy ----> Configuracion
- Habilitar Proxy HTTP
- Verde No transparente
- Puerto utilizado por el proxy: 3128
- Puerto SSL Agregar
10443 # endian
7071 # zimbra
- Configuracion del registro
Habilitar el registro
Registrar filtro de contenido
- Administracion del cache
Tamaño del cache en disco: 6000
GUARDAR ----> Aplicar
2.- Integracion de Active Directory
***********************************************
Ir a Proxy --> Autenticacion
- Metodo de autenticacion: Windows Active Directory (NTLM)
- Dominio de Autenticacion : DOMINIO.local
- Nombre del dominio del servidor AD : DOMINIO.local
- Nombre del host PDC del servidor AD : adsserver
- Direccion IP del PDC del servidor AD: 10.1.1.5
Click en Guardar ---> Aplicar
- Click en unirse al dominio
Nombre de usuario: domainadmin
Contraseña del active directory: xxxx
--> Click en unirse al dominio
No es recomendable usar Filtrado Web, porque no bloquea con totalidad los dominios por categorias.
3.- Filtrado Web
************************************
Crearemos 4 perfiles
a) gerente --> acceso total excepto warez
b) asistente --> acceso total menos: warez, porno, hack, proxys
c) usuario --> acceso total menos: warez, porno, hack, proxys, chat,video
d) limitado --> Solo acceso a webs de gobierno, google search y bancos
gerente
------------
Ir a Proxy --> Filtrado Web
- Click en Añadir nuevo perfil
- Nombre del perfil: gerente
- Click en Activar Analisis Antivirus
- Click en filtrar paginas (Filtro URL)
Denegar: (Click en flecha verde y que se ponga rojo)
Internet Threads, Hacking & Warez
- Click en Añadir --> Aplicar
asistente
------------
Ir a Proxy --> Filtro de contenido
- Click en Añadir nuevo perfil
- Nombre del perfil: asistente
- Click en Activar Analisis Antivirus
- Click en filtrar paginas (Filtro URL)
Denegar: (Click en flecha verde y que se ponga rojo)
Internet, Pirateria, adulto, citas, Violencia, WebProxies,Gambling
- Click en Añadir --> Aplicar
usuario
------------
Ir a Proxy --> Filtro de contenido
- Click en Añadir nuevo perfil
- Nombre del perfil: asistente
- Click en Activar Analisis Antivirus
- Click en filtrar paginas (Filtro URL)
Denegar: (Click en flecha verde y que se ponga rojo)
Citas,Internet,Pirateria,adulto,Violencia, Web
proxies,apuestas,drogas,juegos,media
- Click en Añadir --> Aplicar
LIMITADO
------------
El usuario limitado se creara en politica de Acceso no necesita filtro de contenido.
4.- POLITICAS DE ACCESO
****************************************
IR AL PROXY ---> POLITICAS DE ACCESO
a) Lista blanca Global (Limitados solo podran acceder a esta lista)
Click en añadir Politicas de acceso
- Tipo de origen: cualquiera
- Tipo de destino: dominio
Agregar dominios(uno por linea)
.gob.pe
.edu.pe
.google.com
.google.com.pe
.viabcp.com
- Autenticacion en base al grupo
Seleccionar en base al grupo con la tecla Control
asistentes
gerentes
limitados
usuarios
- Politica de acceso: Permitir acceso
- Filtro de perfil: ninguno
- Posiciom: primera posicion
Click en Crear politica --> Aplicar
b) Politica para gerentes
Click en añadir politicas de acceso
- Tipo de origen: cualquiera
- Tipo de destino: cualquiera
- Autenticacion: (en base al grupo)
gerentes
- Filtro de perfil: gerente
- Posicion ultima posicion
- Click en crear politica --> Aplicar
c) Politica para asistentes
Click en añadir politicas de acceso
- Tipo de fuente: cualquiera
- Tipo de destino: cualquiera
- Autenticacion: (en base al grupo)
asistentes
- Filtro de perfil: asistente
- Posicion ultima posicion
- Click en crear politica --> Aplicar
d) Politica para asistentes
Click en añadir politicas de acceso
- Tipo de fuente: cualquiera
- Tipo de destino: cualquiera
- Autenticacion: (en base al grupo)
usuarios
- Filtro de perfil: usuario
- Posicion ultima posicion
- Click en crear politica --> Aplicar
SARG
=====
Reportes SARG generados automaticos al final del dia
--> Ir a Registros e Informes --> Proxy
--> Click en Informe HTTP --> ✔ Activar
Reportes en Tiempo Real
--> Ir a Registros e Informes --> Proxy HTTP
click en Mostrar solo este registro
sábado, 22 de julio de 2017
CONFIGURACION SQUID | CENTOS 7
Cambiar el hostname del servidor
$> hostnamectl set-hostname srvproxy.dominio.local
$> exit
Configurar IP del host
$> vim /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.2.50 srvproxy.dominio.local srvproxy
Instalar Proxy
$> yum -y install squid
Crear Carpetas para Areas y Categorias
$> mkdir /etc/squid/Areas
$> mkdir /etc/squid/Categorias
Crear archivo para las IPs en Areas
$> touch /etc/squid/Areas/rrhh
$> touch /etc/squid/Areas/logistica
Crear archivo para las Paginas Web en Categorias
$> touch /etc/squid/Categorias/bancos
$> touch /etc/squid/Categorias/educacion
$> touch /etc/squid/Categorias/redessociales
Editar archivo de rrhh
$> vim /etc/squid/Areas/rrhh
192.168.2.19
192.168.2.84
Editar archivo de logistica
$> vim /etc/squid/Areas/logistica
192.168.2.110
192.168.2.111
Editar archivo de bancos
$> vim /etc/squid/Categorias/bancos
.bcrp.gob.pe
.banbif.com.pe
.bbvacontinental.pe
.financiero.com.pe
.interbank.com.pe
.mibanco.com.pe
.pacifico.com.pe
.rimac.com.pe
.scotiabank.com.pe
.viabcp.com
Editar archivo de Educacion
$> vim /etc/squid/Categorias/educacion
.edu.pe
Editar archivo de Redes Sociales
$> vim /etc/squid/Categorias/redessociales
.facebook.com
.youtube.com
.twitter.com
Edite el archivo squid.conf:
$> vim /etc/squid/squid.conf
----------------------------------------------------------------------
#
# LISTAS DE CONTROL DE ACCESO
acl redlan src 192.168.2.0/24 # Red Lan
acl manager proto cache_objet
########### Listas por IPs_Areas #############################
acl rrhh src "/etc/squid/Areas/rrhh"
acl logistica src "/etc/squid/Areas/logistica"
acl sistemas src "/etc/squid/Areas/sistemas"
acl marketing src "/etc/squid/Areas/marketing"
acl contabilidad src "/etc/squid/Areas/contabilidad"
########### Listas por Categorias ########################
acl educacion dstdomain "/etc/squid/Categorias/educacion"
acl gobierno dstdomain "/etc/squid/Categorias/gobierno"
acl redessociales dstdomain "/etc/squid/Categorias/redessociales"
acl bancos dstdomain "/etc/squid/Categorias/bancos"
########### Listas por Tiempos ##########################
acl almuerzo time MTWHF 13:00-14:00
acl horarioOficina time MTWHF 08:00-19:00
acl FinSemana time SA 00:00-23:59
acl FueraOficina time MTWHF 19:01-23:59
#
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#
# REGLAS DE CONTROL DE ACCESO
#
http_port 192.168.2.50:3128
cache_dir ufs /var/spool/squid 2048 16 256
maximum_object_size 48 MB
cache_mem 48 MB
cache_swap_low 90
cache_swap_high 95
coredump_dir /var/spool/squid
#
http_access allow rrhh bancos horarioOficina
http_access allow rrhh redessociales fueraOficina
http_access allow rrhh gobierno
http_access allow logistica educacion
http_access allow sistemas
http_access deny all
----------------------------------------------------------------------
Permitir el acceso a los puertos de SQUID en el firewall:
$> yum -y install firewalld
$> systemctl start firewalld
$> systemctl enable firewalld
$> firewall-cmd --add-port 3128/tcp --permanent
$> firewall-cmd --reload
$> iptables -S
Iniciar el servicio SQUID
$> systemctl start squid
$> systemctl enable squid
Depurar errores
$> squid -k parse
REPORTES SARG
================
SARG:
$> wget -N http://www.alcancelibre.org/al/server/AL-Server.repo -O /etc/yum.repos.d/AL-Server.repo
$> yum -y install sarg httpd
Habilitar firewalld y permitir acceso a http (80)
$> firewall-cmd --add-service=http --permanent
$> firewall-cmd --reload
$> iptables -S
$> systemctl start httpd
$> systemctl enable httpd
Restaurando los contextos web SELINUX
$> restorecon -RFvv /var/www/sarg
Descomentar y editar el archivo sarg.conf:
$> vim /etc/sarg/sarg.conf
---------------------------
:232 lastlog 30
:438 charset UTF-8
Los reportes se almacenarán en /var/www/sarg/
Edite el archivo de web sarg.conf:
$> vim /etc/httpd/conf.d/sarg.conf
**********************************************
Alias /sarg /var/www/sarg
<Directory "/var/www/sarg">
<IfModule mod_authz_core.c>
# Apache 2.4
Options Indexes
AllowOverride all
Require all granted
Require local
Require ip 192.168.2.0/24
</IfModule>
</Directory>
*********************************************
Crear el archivo para la autenticacion dentro de sarg:
$> vim /var/www/sarg/.htaccess
AuthName "Solamente usuarios autorizados"
AuthType Basic
Require valid-user
AuthUserFile /var/www/claves-sarg
Crear arhivo claves-sarg:
$> touch /var/www/claves-sarg
$> chmod 600 /var/www/claves-sarg
$> chown apache:apache /var/www/claves-sarg
Crear usuario virtual y asignar contraseña para el administrador del servidor:
$> htpasswd /var/www/claves-sarg administrador
$> systemctl restart httpd
Ejecute sarg para generar primer reporte:
$> cd /var/www/sarg
$> sarg
Ejemplos para realizar reportes:
$> sarg -d 14/11/2016
$> sarg -d 14/11/2016-15/11/2016
$> sarg -d 14/11/2016 -t 16:30
****************************************
Ver Logs del Servicio
$> tail -80 /var/log/squid/squid.out
Ver logs de Acceso
$> tail -f /var/log/squid/access.log
Ver logs de Acceso de un usuario especifico
$> tail -f /var/log/squid/access.log | grep 192.168.2.19
$> more /var/log/squid/access.log |grep DENIED
Ver tamaño de archivo:
$> du -h /var/log/squid/access.log
Borrar contenido de archivo:
$> cat /dev/null > access.log
$> hostnamectl set-hostname srvproxy.dominio.local
$> exit
Configurar IP del host
$> vim /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.2.50 srvproxy.dominio.local srvproxy
Instalar Proxy
$> yum -y install squid
Crear Carpetas para Areas y Categorias
$> mkdir /etc/squid/Areas
$> mkdir /etc/squid/Categorias
Crear archivo para las IPs en Areas
$> touch /etc/squid/Areas/rrhh
$> touch /etc/squid/Areas/logistica
Crear archivo para las Paginas Web en Categorias
$> touch /etc/squid/Categorias/bancos
$> touch /etc/squid/Categorias/educacion
$> touch /etc/squid/Categorias/redessociales
Editar archivo de rrhh
$> vim /etc/squid/Areas/rrhh
192.168.2.19
192.168.2.84
Editar archivo de logistica
$> vim /etc/squid/Areas/logistica
192.168.2.110
192.168.2.111
Editar archivo de bancos
$> vim /etc/squid/Categorias/bancos
.bcrp.gob.pe
.banbif.com.pe
.bbvacontinental.pe
.financiero.com.pe
.interbank.com.pe
.mibanco.com.pe
.pacifico.com.pe
.rimac.com.pe
.scotiabank.com.pe
.viabcp.com
Editar archivo de Educacion
$> vim /etc/squid/Categorias/educacion
.edu.pe
Editar archivo de Redes Sociales
$> vim /etc/squid/Categorias/redessociales
.facebook.com
.youtube.com
.twitter.com
Edite el archivo squid.conf:
$> vim /etc/squid/squid.conf
----------------------------------------------------------------------
#
# LISTAS DE CONTROL DE ACCESO
acl redlan src 192.168.2.0/24 # Red Lan
acl manager proto cache_objet
########### Listas por IPs_Areas #############################
acl rrhh src "/etc/squid/Areas/rrhh"
acl logistica src "/etc/squid/Areas/logistica"
acl sistemas src "/etc/squid/Areas/sistemas"
acl marketing src "/etc/squid/Areas/marketing"
acl contabilidad src "/etc/squid/Areas/contabilidad"
########### Listas por Categorias ########################
acl educacion dstdomain "/etc/squid/Categorias/educacion"
acl gobierno dstdomain "/etc/squid/Categorias/gobierno"
acl redessociales dstdomain "/etc/squid/Categorias/redessociales"
acl bancos dstdomain "/etc/squid/Categorias/bancos"
########### Listas por Tiempos ##########################
acl almuerzo time MTWHF 13:00-14:00
acl horarioOficina time MTWHF 08:00-19:00
acl FinSemana time SA 00:00-23:59
acl FueraOficina time MTWHF 19:01-23:59
#
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#
# REGLAS DE CONTROL DE ACCESO
#
http_port 192.168.2.50:3128
cache_dir ufs /var/spool/squid 2048 16 256
maximum_object_size 48 MB
cache_mem 48 MB
cache_swap_low 90
cache_swap_high 95
coredump_dir /var/spool/squid
#
http_access allow rrhh bancos horarioOficina
http_access allow rrhh redessociales fueraOficina
http_access allow rrhh gobierno
http_access allow logistica educacion
http_access allow sistemas
http_access deny all
----------------------------------------------------------------------
Permitir el acceso a los puertos de SQUID en el firewall:
$> yum -y install firewalld
$> systemctl start firewalld
$> systemctl enable firewalld
$> firewall-cmd --add-port 3128/tcp --permanent
$> firewall-cmd --reload
$> iptables -S
Iniciar el servicio SQUID
$> systemctl start squid
$> systemctl enable squid
Depurar errores
$> squid -k parse
REPORTES SARG
================
SARG:
$> wget -N http://www.alcancelibre.org/al/server/AL-Server.repo -O /etc/yum.repos.d/AL-Server.repo
$> yum -y install sarg httpd
Habilitar firewalld y permitir acceso a http (80)
$> firewall-cmd --add-service=http --permanent
$> firewall-cmd --reload
$> iptables -S
$> systemctl start httpd
$> systemctl enable httpd
Restaurando los contextos web SELINUX
$> restorecon -RFvv /var/www/sarg
Descomentar y editar el archivo sarg.conf:
$> vim /etc/sarg/sarg.conf
---------------------------
:232 lastlog 30
:438 charset UTF-8
Los reportes se almacenarán en /var/www/sarg/
Edite el archivo de web sarg.conf:
$> vim /etc/httpd/conf.d/sarg.conf
**********************************************
Alias /sarg /var/www/sarg
<Directory "/var/www/sarg">
<IfModule mod_authz_core.c>
# Apache 2.4
Options Indexes
AllowOverride all
Require all granted
Require local
Require ip 192.168.2.0/24
</IfModule>
</Directory>
*********************************************
Crear el archivo para la autenticacion dentro de sarg:
$> vim /var/www/sarg/.htaccess
AuthName "Solamente usuarios autorizados"
AuthType Basic
Require valid-user
AuthUserFile /var/www/claves-sarg
Crear arhivo claves-sarg:
$> touch /var/www/claves-sarg
$> chmod 600 /var/www/claves-sarg
$> chown apache:apache /var/www/claves-sarg
Crear usuario virtual y asignar contraseña para el administrador del servidor:
$> htpasswd /var/www/claves-sarg administrador
$> systemctl restart httpd
Ejecute sarg para generar primer reporte:
$> cd /var/www/sarg
$> sarg
Ejemplos para realizar reportes:
$> sarg -d 14/11/2016
$> sarg -d 14/11/2016-15/11/2016
$> sarg -d 14/11/2016 -t 16:30
****************************************
Ver Logs del Servicio
$> tail -80 /var/log/squid/squid.out
Ver logs de Acceso
$> tail -f /var/log/squid/access.log
Ver logs de Acceso de un usuario especifico
$> tail -f /var/log/squid/access.log | grep 192.168.2.19
$> more /var/log/squid/access.log |grep DENIED
Ver tamaño de archivo:
$> du -h /var/log/squid/access.log
Borrar contenido de archivo:
$> cat /dev/null > access.log
Suscribirse a:
Entradas (Atom)
-
1) ingrese 2 números enteros diferentes y visualizar el mayor de ellos. package problema1; import java.util.Scanner; public class Proble... -
Atajos de Teclado Intellij-idea ========================= Formatear Codigo: Ctrl + Alt + L Comentar/Descomentar : ...
-
Agregar al final los repositorios oficiales de Ubuntu 18.04 $> sudo vim /etc/apt/sources.list ****************************************...