Pages

Monday, August 18, 2008

Extraindo conteúdo de arquivos rpm

Esta dica é meio útil as vezes.... já tive a necessidade de extrair algum arquivo de dentro de um arquivo .rpm .

O processo é simples e utiliza o cpio.

rpm2cpio pacote.rpm | cpio -idmv


Feito isso, você pode verificar no diretório que está os novos arquivos presentes, são os arquivos do rpm.

Para melhor organizar, crie um diretório antes de extrair e copie o arquivo rpm para dentro dele, só então faça a extração.

Valeu!!
Posted by at No comments:
Labels: ,

Sunday, August 17, 2008

Habilitando SSH no appliance Cisco ASA

Para ter uma conexão remota e segura ao equipamento é preciso habilitar o serviço SSH em vez de utilizar o telnet.

Os passos abaixo servem de auxílio para a ativação do serviço.

Criar a chave

asa# conf t
asa(config)# crypto key generate rsa general-keys modulus 2048


Ativar o ssh em sí para a interface desejada e/ou para o endereço IP desejado, neste caso estamos liberando o acesso a partir de qualquer endereço IP vindo da interface outside.

asa# conf t
asa(config)# ssh 0.0.0.0 0.0.0.0 outside


Criar um usuário na database local do equipamento para a conexão

asa# conf t
asa(config)# username secureuser password 123456 privilege 15


Ativar AAA para autenticação do ssh via database local

asa# conf t
asa(config)# aaa authentication ssh console LOCAL


Feito isso, pode-se abrir uma conexão através do Putty ou via linha de comando linux para o ASA.
Posted by at No comments:
Labels:

Wednesday, August 13, 2008

VPN Site-to-Site IPSec entre Cisco ASA e Linux

Este howto explica como configurar uma conexão VPN site-to-site entre um equipamento Cisco ASA 5510 e uma máquina Linux. Ambos os sites tem que ter IP fixo neste exemplo.

Softwares utilizados:
ASA: asa803-k8.bin


Linux: OpenSuse 11 e pacote openswan (da prória distribuição)


A topologia do ambiente está definido abaixo.



A configuração do openswan é realizada no arquivo /etc/ipsec.conf o conteúdo do arquivo está abaixo, nada mais é necessário para o funcionamento deste exemplo. A criptografia utilizada é 3des-sha.


version 2.0
config setup
interfaces="ipsec0=eth0"
nat_traversal=yes

conn cisco
authby=secret
pfs=yes
auto=start
keyingtries=3
disablearrivalcheck=no
#IPsec Params
type=tunnel
auth=esp
compress=no
keylife=60m
#IKE params
keyexchange=ike
ikelifetime=240m
ike=3des-sha1
# Left security gateway (lado do linux)
left=192.168.2.245
leftsubnet=192.168.10.0/24
leftnexthop=192.168.2.244
# Right security gateway, (lado do ASA)
right=192.168.2.244
rightsubnet=192.168.1.0/24
rightnexthop=192.168.2.245
rightsourceip=192.168.2.244



Arquivo /etc/ipsec.secret

# PSK
192.168.2.245 192.168.2.244: PSK "cisco"


Feito isso, é preciso iniciar o serviço.
rcipsec start



Na sequência a configurar do ASA

Configuração relevante do Cisco ASA


interface Ethernet0/0
nameif outside
security-level 0
ip address 192.168.2.244 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
!
....
....
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list management_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list outside_1_cryptomap extended permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0
nat (management) 0 access-list management_nat0_outbound
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 192.168.2.245
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
tunnel-group 192.168.2.245 type ipsec-l2l
tunnel-group 192.168.2.245 ipsec-attributes
pre-shared-key cisco
!



A partir dai, é só tentar pingar o site remoto a partir dos hosts internos.

PC na rede ASA
ping 192.168.10.2


PC na rede Linux
ping 192.168.1.2



Para verificar se o túnel está UP no ASA

ASA# show isakmp stats
Global IKE Statistics
Active Tunnels: 1
.....


Se correu tudo certo... deve estar funcionando... aqui está :D

Qualquer dúvida entre em contato.

Abraços
Fabio
Posted by at 3 comments:
Labels: , ,

Tuesday, June 24, 2008

Ajude a sustentar a Wikipédia e outros projetos, sem colocar a mão no bolso, e concorra a um Eee PC!

Ajude a sustentar a Wikipédia e outros projetos, sem colocar a mão no bolso, e concorra a um Eee PC!
…e também a pen drives, card drives, camisetas geeks, livros e mais! O BR-Linux e o Efetividade lançaram uma campanha para ajudar a Wikimedia Foundation e outros mantenedores de projetos que usamos no dia-a-dia on-line. Se você puder doar diretamente, ou contribuir de outra forma, são sempre melhores opções. Mas se não puder, veja as regras da promoção e participe - quanto mais divulgação, maior será a doação do BR-Linux e do Efetividade, e você ainda concorre a diversos brindes!
Posted by at No comments:
Labels:

Tuesday, June 03, 2008

Acertando o timezone no Linux

Esta dica é útil para acertar o timezone do linux.

É importante que o timezone esteja correto pois ao sincronizar o horário com um servidor ntp, a informação da hora será sincronizada com o horário errado devido ao timezone.

Para verificar o timezone que está utilizando utilize o comando date.

linux# date
Tue Jun 3 11:59:07 AMT 2008


Pode-se ver que a saída do comando indica que o timezone configurado é AMT, e deveria estar como BRT.

Para isso, é preciso executar o comando abaixo:

linux# ln -sf /usr/share/zoneinfo/America/Sao_Paulo /etc/localtime


Este comando define que o timezone a ser utilizado pelo S.O. é referente ao timezone de Sao_Paulo.


linux# date
Tue Jun 3 13:14:40 BRT 2008


Fim.
Posted by at No comments:
Labels: ,

Sunday, May 18, 2008

Log do squid legível

Este comando faz com que a saída do log do squid se torne legível em vez de ficar com aqueles números na frente que são informações sobre data e hora do acesso realizado.

Em conjunto com o awk, estes códigos são transformados do formato Unix Time para um formato que seja possível ser lido por humanos.
tail -f access.log | awk '{print strftime("%c",$1)$3" "$8" "$7}'

Veja que isso é feito em tempo real utilizando o comando tail, diferente desta outra opção postada a algum tempo atrás http://www.fabiosilva.eti.br/site/2007/09/15/squid-log/ .

Valeu
Posted by at No comments:
Labels: ,

Thursday, April 17, 2008

RedHat Enterprise Linux 5.1 Cluster Suite

Recentemente precisei configurar um ambiente com RHEL 5.1 Cluster Suite.

Em contato com o pessoal do canal #linux-cluster no irc.freenode.net, eles me esclareceram algumas dúvidas e então consegui montar o ambiente.

Assim, resolvi criar um howto em português para que fosse disponibilizado na página do projeto de cluster da redhat, e aqui está o link para os interessados.

http://sources.redhat.com/cluster/wiki/QuickStart-Portuguese

Qualquer dúvida entre em contato.
Posted by at 5 comments:
Labels: ,

Tuesday, March 04, 2008

Definindo os parâmetros do ethtool no boot

A ferramenta ethtool serve para modificar a velocidade de transmissão da placa de rede e também se irá transferir dados em modo full duplex ou half duplex.

Serve para verificar se existe link na interface, se está definido para autonegociar os dados de transmissão e mais algumas coisas.

A saída do comando é como está abaixo.
linux:~ # ethtool eth0
Settings for eth0:
Supported ports: [ MII ]
Supported link modes: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
Supports auto-negotiation: Yes
Advertised link modes: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
Advertised auto-negotiation: Yes
Speed: 100Mb/s
Duplex: Full
Port: Twisted Pair
PHYAD: 1
Transceiver: internal
Auto-negotiation: on
Supports Wake-on: g
Wake-on: d
Current message level: 0x000000ff (255)
Link detected: yes
linux:~ #

Para alterar os parâmetros de speed, duplex e remover a opção de autonegociação, o comando fica da seguinte forma.
linux:~ # ethtool -s eth0 speed 100 duplex full autoneg off

Mas, se a máquina é reiniciada, o comando não é executado novamente, o que pode ser feito é adicionar o comando acima ao arquivo /etc/rc.local, ou algum outro arquivo de inicialização de sua distribuição.

Mas também pode-se colocar a linha abaixo no arquivo /etc/sysconfig/network-scripts/ifcfg-eth0 isso faz com que quando o serviço de rede for iniciado, ele já repasse estes comandos para a interface de rede, e o comando manual ou o comando definido no arquivo /etc/rc.local não seja mais necessário.
ETHTOOL_OPTS="speed 100 duplex full autoneg off"

Essa dica foi feita no OpenSuse.

Sem mais.
Posted by at No comments:
Labels: ,

Tuesday, February 05, 2008

Monitorando performance de máquinas linux com o nmon

Existem diversos programas para monitorar performance de máquinas linux como vmstat, ioscan, etc... porém, um que é muito interessante é o nmon, um software da IBM que roda em ambientes linux e AIX.

O site oficial é este, após abrir o site, tem as opções de download, eu utilizo o pacote para o SO SLES 10 neste link

Após o download, é preciso descompactar o arquivo e setar permissão de execução para o mesmo.
linux# unzip nmon_x86_11f.zip
linux# chmod +x nmon_x86_sles10

A partir dai é só executar o mesmo.
linux# ./nmon_x86_sles10

Para ficar mais fácil e acessível, aconselho que o arquivo seja renomeado para nmon e então movido para /usr/sbin/
linux# mv nmon_x86_sles10 nmon
linux# mv nmon /usr/sbin


Pois assim é possível executar o programa de qualquer lugar dentro do linux.

As opções são bem intuitívas... para informações sobre cpu aperte C, para memória M, para disco D...

Valeu...
:D
Posted by at No comments:
Labels: ,
Subscribe to: Posts (Atom)