viernes, 17 de febrero de 2017

Instalar zabbix-agent en debian

Instalar agente zabbix en debian:
apt-get install zabbix-agent

Editar el archivo /etc/zabbix/zabbix_agentd.conf
Y entre otros parametros se puede indicar el puerto de escucha y la ip
ListenPort=10050
ListenIP=0.0.0.0
ServerActive=127.0.0.1

Como ejemplo se monitorea el propio servidor zabbix, que luego de unos minutos ya empieza a colectar datos.





Hay que recordar que zabbix-agent no es lo mismo que zabbix-server.
Zabbix-agent: aplicacion que sirve para recolectar datos y luego entregar al servidor zabbix-server.
Zabbix-server: aplicacion que almacena (BD) y procesa (triggers, actions, etc) los datos recolectados.

snmpd | no registrar eventos Connection from UDP

Configurar snmpd para no registrar las consultas snmp hechas al servidor:
Feb 17 03:25:31 myserver snmpd[3892]: Connection from UDP: [192.168.1.26]:60996->[192.168.1.27]

Agregar la siguiente linea en el archivo de configuracion:

/etc/snmp/snmpd.conf
...
dontLogTCPWrappersConnects yes



Reenviar logs de suricata a servidor remoto syslog

En el servidor Suricata
Editar archivo /etc/suricata/suricata.yaml

...
# a line based alerts log similar to fast.log into syslog
- syslog:
enabled: yes
# reported identity to syslog. If ommited the program name (usually
# suricata) will be used.
#identity: "suricata"
facility: local5
#level: Info ## possible levels: Emergency, Alert, Critical,
## Error, Warning, Notice, Info, Debug

..

Editar archivo /etc/rsyslog.conf. a.b.c.d es la ip del servidor remoto syslog que escuchara en el puerto 514 UDP.
local5.* @a.b.c.d:514

miércoles, 8 de febrero de 2017

Enviar logs Ban/Unban de ips en fail2ban

Para enviar logs, hacemos uso de la herramienta logger.
El comando lo agregamos en el/los archivos de action que estemos utilizando, por ejemplo en el archivo iptables-allports.conf se agrega las lineas del comando logger que dirigen los logs al servidor syslog centralizador (192.168.0.112):

vi /etc/fail2ban/action.d/iptables-allports.conf


actionban = -I f2b- 1 -s -j
logger -n 192.168.0.112 -p local6.crit -t fail2ban "Banhost: [] jailname: [] numberoffailures: [] ]"


#
actionunban = -D f2b- -s -j
logger -n 192.168.0.112 -p local6.crit -t fail2ban "UnBanhost: [] jailname: []"

Referencia:
Man logger

jueves, 2 de febrero de 2017

Cambiar puerto de escucha snmpd (Centos)

Si no se tiene instalado el paquete net-snmp. En Centos:

yum install net-snmp

Editar el archivo el archivo de configuracion snmpd.conf que por defecto se encuentra en el directorio /etc/snmp/. Si se desconoce la ubicacion del archivo se pude leer el manual (man snmpd) y en la seccion "CONFIGURATION FILES" se indicara la ubicacion del archivo snmpd.conf

vi /etc/snmp/snmpd.conf

modificar la siguiente directiva indicando el protocolo, ip y puerto (ejem: udp, 127.0.0.1 y 1611)

agentAddress udp:127.0.0.1:1611

Reiniciar el servicio:

service snmpd restart


Nota:
Selinux no permitira que se pueda utilizar el puerto 1611 para el protocolo snmp por lo que nos ayudaremos de semanage para agregar el puerto antes de iniciar el servicio.

Verificando los puertos destinados a snmp:

# semanage port -l | grep snmp
snmp_port_t tcp 199, 161-162
snmp_port_t udp 161-162


# semanage port -a -t snmp_port_t -p udp 1611

Finalmente aparecera el puerto listo para ser usado:

# semanage port -l | grep snmp
snmp_port_t tcp 199, 1161, 161-162
snmp_port_t udp 1161, 161-162

jueves, 19 de enero de 2017

Cambiar tiempo de chequeo de nuevos correos (POP3) en OTRS

Por defecto los correos se revisan cada 10 minutos. Para cambiar este tiempo se debe cambiar la configuracion en las opciones:

Sysconfig
=>
Daemon → Daemon::SchedulerCronTaskManager::Task
=>
Daemon::SchedulerCronTaskManager::Task###MailAccountFetch

Si se desea cambiar el valor a 5 minutos, se debe modificar el valor Schedule al valor: */5 * * * *




O si se utiliza la aplicacion fetchmail:






Referencia:
https://otrs.github.io/doc/manual/admin/5.0/en/html/ConfigReference_Daemon.html

domingo, 15 de enero de 2017

Activar ipv4 en apache (Debian)

Se debe editar el archivos ports.confg

Debian
/etc/apache2/ports.conf
...
Listen 0.0.0.0:80


Listen 443
...