file descriptors (i de ii)

La potencia de los shells de Linux (como puede ser Bash) radica en la posibilidad de unir comandos pasando la información de uno hacia el otro. Tareas que a primera vista pueden resultar complicadas con un simple comando se hacen bastante sencillas con la unión de comandos usando conductores y redirectores.

En Linux/UNIX tenemos tres archivos llamados STDIN, STDOUT y STDERR. Estos archivos y las capacidades de la "standard I/O" nos ofrecen la posibilidad de controlar el flujo de datos que entran, salen o muestran información de error.
Como comportamiento estandard, un flujo de STDIN o entrada está provocado por las pulsaciones de un teclado. Por ejemplo, cuando arrancamos el programa "mail" este estará leyendo de STDIN todas las pulsaciones de teclado para ir construyendo el mail.
Para el caso de STDOUT, este como comportamiento estandard está enlazado con el monitor. Por tanto todo lo que enviemos aquí se verá reflejado por el monitor.
El caso de STDERR es similar al de STDOUT. Por defecto su contenido se enviará al monitor.

Estos archivos también reciben el nombre de "standard input", "standard output" y "standard error". También se les puede indentificar con un numero, "file descriptor 0", "file descriptor 1" y "file descriptor 2" respectivamente.

Cada vez que lanzamos un proceso asociamos estos tres file descriptors correspondientes.

Veamos ahora las dos herramientas que me permiten cambiar el flujo de datos de un sitio a otro. Estas herramientas son las pipes y los redirectors.
Las pipes se representan por el carácter "|" y su función es redirigir la STDOUT de un proceso a la STDIN de otro proceso igual o diferente. Es decir, el resultado que produzca un procesos (que normalmente lo veremos por el monitor) lo redireccionamos como si fueran pulsaciones de teclado a otro proceso.

Por ejemplo:

# cat /var/log/messages | grep kernel

El resultado de cat que sale por STDOUT se redirecciona al STDIN del comando grep. Por tanto lo que estamos haciendo es listar el contenido de /var/log/messages y sobre este resultado filtrar y buscar las lineas que contengan la palabra kernel.

Las pipes se pueden anidar formando comandos más complicados.

Por ejemplo:

# cat /etc/passwd | cut -d: -f6 | uniq | sort | nl
     1 /bin
     2 /bin
     3 /bin
     4 /dev
     5 /home/amperis
     6 /home/clamav
     7 /home/klog
     8 /home/saned
     9 /home/syslog
    10 /nonexistent
    11 /root
    12 /usr/games
    13 /usr/sbin
    14 /var/backups
    15 /var/cache/man
    16 /var/lib/avahi-autoipd
    17 /var/lib/gdm
    18 /var/lib/gnats
    19 /var/lib/libuuid
    20 /var/list
    21 /var/mail
    22 /var/run/avahi-daemon
    23 /var/run/dbus
    24 /var/run/hald
    25 /var/run/hplip
    26 /var/run/ircd
    27 /var/run/PolicyKit
    28 /var/run/pulse
    29 /var/spool/lpd
    30 /var/spool/news
    31 /var/spool/uucp
    32 /var/www

Con la siguiente anidación de pipes, listamos el contenido de /etc/passwd, luego recortamos para obtener la columna donde están los homes, ordenados el resultado y enumeramos las lineas. Lo que estamos haciendo es pasar el resultado que proporciona un proceso a la entrada del siguiente proceso. El ultimo proceso como no tiene ningún tipo de redirección mostrará su resultado por su STDOUT, es decir por el monitor.
No confundir "cat /etc/passwd | cut -d: -f6 | uniq | sort | nl" con "cat /etc/passwd; cut -d: -f6 ; uniq; sort; nl". En este último caso los procesos se ejecutan uno por uno, pero no existe ninguna relación entre ellos.

Con la herramienta de los redirectors lo que podemos hacer es redireccionar el contenido de un archivo a la entrada de un proceso o la salida de un proceso enviarla a un archivo.
Veamos un ejemplo de como enviar el contenido de un archivo a un proceso. Supongamos que tenemos un archivo llamado "email.txt" con el cuerpo del mensaje de un correo electrónico. Se lo queremos enviar a un usuario llamado "paco":

# mail paco < email.txt

Lo que estamos haciendo es redireccionar el contenido de fichero a la STDIN del proceso mail.

Veamos el caso contrario, es decir, cómo guardar el contenido de un proceso en un fichero. Supongamos que queremos guardar en un fichero de log las 10 ultimas lineas de otro log:

# tail /var/log/messages > mini.log

El comando tail muestras las 10 últimas lineas de /var/log/menssages. Esta salida la redireccionamos al fichero mini.log.
La redirección utilizando ">", siempre crear el archivo en caso de no existir. Si existe el archivo lo sobreescribe. También tenemos la posibilidad de hacer un append, es decir, si existe continuar por su ultima linea y si no existe crearlo. Para ello utilizamos los caracteres ">>":

# tail /var/log/messages >> minilog.log; sleep 60; tail /var/log/messages >> minilog.log

Ahora que ya conocemos estas dos herramientas podemos utilizarlas en conjunción. Veamos como almacenar el resultado del segundo ejemplo en un fichero:

# cat /etc/passwd | cut -d: -f6 | uniq | sort | nl > /tmp/homes.txt

Otro ejemplo utilizando todas las herramientas:

# tr '[a-z]' '[A-Z]' < /etc/passwd | cut -d: -f6 > homes.txt
# head homes.txt
/ROOT
/USR/SBIN
/BIN
/DEV
/BIN
/USR/GAMES
/VAR/CACHE/MAN
/VAR/SPOOL/LPD
/VAR/MAIL
/VAR/SPOOL/NEWS

En el ejemplo anterior enviamos el contenido de /etc/passwd al proceso tr que nos lo convierte todo en mayúsculas. El resultado de esto los cortamos para quedarnos con los homes de los usuarios y lo guardamos en el fichero homes.txt.

prioridades en linux (ii de ii)

Los comandos nice y renice nos permiten cambiar las prioridades de los procesos. Las prioridades van en un rango entre el -20..0 y el 0..19. El -20 es máxima prioridad y por tanto máxima apropiación de la CPU y el 19 es la mínima apropiación de la CPU. El 0 es la prioridad que se da por defecto a todos los usuarios del sistema. Otra cosa muy importante es que solo root puede dar prioridades negativas.

Para ser más correcto lo que estamos cambiando no es exactamente la prioridad sino "el valor de nice". Como hemos explicado anteriormente la apropiación y tiempo de uso de una CPU se calcula en base a uno o varios algoritmos de planificación y en base a muchos parámetros entre ellos, el valor de nice.

Para lanzar un nuevo proceso con un valor de nice haremos lo siguiente:

# nice -n -15 xeyes (lanzamos xeyes con una prioridad alta)

Si por el contrario queremos cambiar la prioridad a un proceso ya en ejecución, utilizaremos el comando renice:

# renice 10 -p 1967 (lanzamos el proceso con PID 1967 con una prioridad baja)

Para ver que nice tiene asignado cada proceso hay que consultar la columna NI que muestra el comando top:

top - 23:18:30 up 10:52,  5 users,  load average: 0.00, 0.31, 0.40
top - 23:25:57 up 10:59,  5 users,  load average: 0.28, 0.19, 0.28
Tasks: 139 total,   3 running, 136 sleeping,   0 stopped,   0 zombie
Cpu(s): 11.3%us,  3.7%sy,  1.0%ni, 84.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   3989648k total,  3425068k used,   564580k free,    97340k buffers
Swap:  4000176k total,        0k used,  4000176k free,  2796996k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                                                           
 3035 root      20   0  495m  60m  15m R  7.0  1.6   9:37.19 Xorg                                                                                                                                              
 3638 amperis   20 -20  317m  49m  17m S  4.3  1.3   2:42.72 bucle.sh                                                                                                                                       
17023 amperis   39  19  578m 122m  27m S  2.0  3.1   1:05.72 bucle.sh                                                                                                                                           
17067 amperis   20 -15  199m  20m  10m R  1.7  0.5   0:58.31 xeyes                                                                                                                                    
17959 root      20   0 19116 1344  988 R  0.3  0.0   0:02.62 top 
...

Como regla general Linux por si mismo ya es lo suficiente eficiente para mantener el buen uso de la CPU, por tanto, no es necesario ir cambiando los nice. Si este no fuera tú caso, lo normal es cambiarlo o jugar con ellos en aplicaciones como audio, video, diseño, donde los retardos en los resultados es muy apreciable.

Para los que le gusta tunear su Kernel existen parches para compilarlo utilizando opciones de tuning y real-time. Existen proyectos dedicados al real-time del Kernel.

Para hacer notar el poder del nice podéis crear un script con un bucle infinito que vaya mostrando números por pantalla. Lo lanzáis dos veces en dos terminales diferentes. Por defecto, los dos procesos entraran en ejecución con un nice 0. Ahora a uno le ponéis un -20 y al otro un 19. Veréis como uno incrementará su velocidad y el otro irá más lento. En verdad no va más lento, sino que recibe la CPU menos veces por unidad de tiempo.

#!/bin/bash

while [ 1 ] 
do
  echo $RANDOM
done

prioridades en linux (i de ii)

Todos los sistemas operativos tienen algún tipo de algoritmo de planificación más o menos eficiente que permite a todos los procesos del sistema y del usuario poder hacer uso de la CPU. Un buen algoritmo de planificación debe ser capaz de controlar todos estos parámetros:

+ equitatividad: cada proceso debe recibir su parte justa de CPU y recursos.
+ eficiencia: la CPU debe ser usada todo el tiempo. No desaprovecharla.
+ throughput: producir el mayor numero de trabajos terminados por hora.
+ respuesta: minimizar el tiempo de respuesta en las aplicaciones interactivas.

Manejar todos estos parámetros es muy difícil ya que dentro de un sistema podemos encontrar diferentes tipos de procesos y tareas cada una con sus propias características y necesidades. Por ejemplo, tenemos procesos que utilizan intensamente la CPU y otros que estarían todo el día parados esperando E/S. Por tanto, cuando Linux empieza a ejecutar un proceso, no sabe 100% cuanto tiempo necesitará ese proceso la CPU.

Durante el diseño de sistemas de compartición y scheluding han ido surgiendo diferentes tipos de algoritmos de palanificación:

+ planificación por round-robin: quizás el más conocido y que se estudia más durante la carrera informática. Es uno de los más antiguos y tal vez el más sencillo de implementar y justo. Se basa en mantener una cola o lista de procesos, asignándoles un tiempo de ejecución a cada proceso. Pasado ese tiempo le quitamos al proceso la CPU y se la damoss a otro. Lo más difícil de calcular es el ¿cuanto tiempo?. Si ponemos poco tiempo haremos mucho swaping entre procesos y eso puede ser malo porque podemos perder mucho tiempo en cambiar de contexto. Si decidimos poner mucho tiempo, podemos perjudicar a otros procesos que son muy interactivos con el usuario.

+ planificación por prioridades: consiste en dar una prioridad al proceso. Contra más prioridad tenga un proceso antes utilizará la CPU. Dentro de este tipo de planificación podemos encontrar que las prioridades se pueden asignar estática o dinámicamente.

+ planificación por colas: consiste en tener varias colas donde los procesos alojados en una cola utilizan la CPU X ms., los alojadas en la segunda cola la utilizan 2X ms., y así sucesivamente. Una vez los procesos utilizan todo su tiempo van rotando por las diferentes colas.

+ planificación en tiempo real: quizás estos algoritmos son los más complicados ya que deben asegurar respuestas a posibles eventos. Por ejemplo, un sistema que controle la altura de un vuelo. Si salta la alarma de altura, el proceso que controla este evento tiene que estar dentro de la CPU para poder tomar el control. Una respuesta correcta pero tarde, puede ser peor que no obtener respuesta.

+ otros planificadores: planificación por lotería, planificación garantizada, planificación en varios niveles, etc.

En Linux tenemos una mezcla de varios de los planificadores que he explicado, pero básicamente sería algo como un round-robin con prioridades. En realidad podemos planificar cada proceso con una política diferente. Estas son las políticas de Linux:

+ SCHED_OTHER: en Unix es la planificación clásica. No es aplicable en tiempo real. Examina las prioridades dinámicas (calculadas como combinación de las especificadas por el usuario y las calculadas por el sistema). Los procesos que llevan más tiempo en el sistema van perdiendo prioridad.

+ SCHED_FIFO: El primero en entrar en la cola es el primero en ser servido. Los procesos esperan en cola y se ejecutan secuencialmente. Se sigue calculando un cuanto de tiempo para el proceso, aunque normalmente no se use porque con esta planificación no se fuerza al proceso a abandonar la CPU. Se usa en procesos de tiempo real.

+ SCHED_RR: round-robin. Funciona como el FIFO pero ahora cuando un proceso acaba su cuanto de tiempo (time slice) se le desaloja. El siguiente proceso se escoge de la lista de procesos con SCHED_RR o de la lista SCHED_FIFO. Son procesos en tiempo real.

+ SCHED_YIELD: No es una política de planificación, sino un modificador que afecta a las tres políticas anteriores. El proceso cede la CPU a cualquier otro que esté listo.

Más información:
- Understanding the Linux 2.6.8.1 CPU Scheduler

envio de sms en linux

Una de las cosas chulas de Nagios es que puedes ir creando servicios de notificación para enviar mensajes por diferentes medios cuando un servicio cae. Lo normal es hacer que Nagios te envíe un mail cuando un disco se llene, cuando una impresora deje de funcionar o cuando el ancho de banda de un router esté al 80%.
Otra forma curiosa de enviar notificaciones es enviar todas estas a Twitter. Simplemente echando un vistazo a tú Twitter puedes ver que está pasando con tus servidores... ¿arriesgado?.

Lo más efectivo es el envio de SMS a tú móvil en caso de que un servicio importante deje de funcionar. El uso de la notificación por correo (o el Twitter) solo funciona si tú conexión a Internet está funcionando. ¿Que pasa si monitorizas tú conexión a Internet y esta ha caído?.
Para ello he rebuscado y rebuscado entre todos lo móviles de la empresa hasta encontrar uno con conexión USB y sobre todo que sea capaz de cargarse la batería también por el mismo cable USB... al final encontré uno muy chulo: un Motorola V3.

Lo primero que tenemos que hacer es verificar si es capaz de detectar el móvil. Para ello lanzamos un lsusb (todos los resultados están bajo un Fedora 7):

[root@server ~]# lsusb
Bus 001 Device 001: ID 0000:0000
Bus 004 Device 001: ID 0000:0000
Bus 002 Device 001: ID 0000:0000
Bus 003 Device 007: ID 22b8:4902 Motorola PCS E398 GSM Phone
Bus 003 Device 001: ID 0000:0000

Como resultado también obtendremos un nuevo dispositivo mapeado en /dev/ttyACM0. Un dispositivo ttyACM identifica a un módem USB, y como tal módem es capaz de ser atacado vía comandos AT. Los comandos AT son cadenas de texto que nos permiten interactuar con cualquier módem para inicializarlo, marcar un número, transferir un fichero o colgar una llamada. Los móviles son modems GSM y, por tanto, también acepta comandos AT.

Los comandos AT que debemos enviar para que el móvil envie un SMS son los siguientes:

AT+CMGF=1 (le dice al módem que enviamos los SMS en formato texto).
AT+CSCA="+34607003110" (le decimos que el número del centro de mensajes es el 
                        +34607003110)
AT+CMGS="696342572" (le decimos el número donde debe enviar el SMS)
> Hola caracola <Ctrl+Z> (escribimos el mensaje y lanzamos un Ctrl+Z).

Lo único que necesitamos saber es el número del centro de mensajes SMS de nuestra operadora. En mi caso el SIM de la tarjeta es Vodafone y el centro de mensajes es el +34607003110. Esta información la puedes encontrar dentro de la configuración del móvil o te la puede dar la operadora.

Una vez sabemos como funciona todo, podemos crear un script en Perl que nos permita hacer todo esto en una simple línea de comandos.

#!/usr/bin/perl

$_SMS_CM="+34607003110";
$_SMS_MODEM="/dev/ttyACM0";

if ($#ARGV != 1 ) {
   print "sendsms.pl v0.1b, por amperis[@]gmail.com\n\n";
   print "Uso:\n";
   print "   ./sendsms.php <numero destino> \"<mensaje>\"\n\n";
   exit;
}

use Device::Modem;

my $modem = new Device::Modem( port => $_SMS_MODEM );

if ( $modem->connect( baudrate => 115200 ) ) {
   $modem->echo(1);
   $modem->verbose(1);

   $modem->atsend( 'AT S7=45 S0=0 L1 V1 X4 &c1 E1 Q0'.Device::Modem::CR);
   print $modem->answer()."\n";

   $modem->atsend( 'AT+CMGF=1'.Device::Modem::CR);
   print $modem->answer()."\n";

   $modem->atsend( 'AT+CSCA="' . $_SMS_CM. '"'.Device::Modem::CR);
   print $modem->answer()."\n";

   $modem->atsend( 'AT+CMGS="' .$ARGV[0]. '"'.Device::Modem::CR);
   print $modem->answer()."\n";

   $modem->atsend( $ARGV[1].chr(26));
   print $ARGV[1]."\n\n";

   print "\nFin de la conexion.\n\n";


} else {
   print "ERROR: No encuentro el modem.\n";
}

Nota: Tenemos que tener instalado en Perl el paquete Device::Modem. Para instalar paquetes en Perl hacemos un "perl -e shell -MCPAN" y luego haremos un ">install Device:Modem".

Ahora solo queda dar permisos de ejecución al script (chmod +x sendsms.pl) y ejecutarlo:

# ./sendsms.pl 696342572 "Error a las 19:35h. Router Cisco 877 sin conexión"

Más información:
+ Using AT commands to Send and Receive SMS

calcular el tamaño de una instalación zimbra

Este es un script para calcular el tamaño físico que debería tener tú instalación de Zimbra en función del numero de usuarios y del tamaño máximo de los buzones.
Naturalmente el resultado final es orientativo.

Más informacion:
+ Zimbrablog

estadísticas de un mailbox

De la cantidad de script que hay dentro de /opt/zimbra/bin uno muy útil es el zmmailbox. Su utilización es muy parecida al zmprov. Este comando se utiliza para manejar los buzones. Lo podemos lanzar (al igual que zmprov) por línea de comandos o simplemente utilizar su consola.

[zimbra@zimbra ~]$ zmmailbox --help
zmmailbox [args] [cmd] [cmd-args ...]

  -h/--help                                display usage
  -f/--file                                use file as input stream
  -u/--url      http[s]://{host}[:{port}]  server hostname and optional port. must
                                           use admin port with -z/-a
  -a/--admin    {name}                     admin account name to auth as
  -z/--zadmin                              use zimbra admin name/password from
                                           localconfig for admin/password
  -y/--authtoken {authtoken}               use auth token string(has to be in JSON
                                           format) from command line
  -Y/--authtokenfile {authtoken file}      use auth token string(has to be in JSON
                                           format) from command line
  -m/--mailbox  {name}                     mailbox to open
  -p/--password {pass}                     password for admin account and/or mailbox
  -P/--passfile {file}                     read password from file
  -r/--protocol {proto|req-proto/response-proto} specify request/response protocol
                                                 [soap11,soap12,json]
  -v/--verbose                             verbose mode (dumps full exception stack 
                                           trace)
  -d/--debug                               debug mode (dumps SOAP messages)

 zmmailbox is used for mailbox management. Try:

     zmmailbox help admin           help on admin-related commands
     zmmailbox help account         help on account-related commands
     zmmailbox help appointment     help on appoint-related commands
     zmmailbox help commands        help on all commands
     zmmailbox help contact         help on contact-related commands
     zmmailbox help conversation    help on conversation-related commands
     zmmailbox help filter          help on filter-realted commnds
     zmmailbox help folder          help on folder-related commands
     zmmailbox help item            help on item-related commands
     zmmailbox help message         help on message-related commands
     zmmailbox help misc            help on misc commands
     zmmailbox help permission      help on permission commands
     zmmailbox help search          help on search-related commands
     zmmailbox help tag             help on tag-related commands

Este es un ejemplo de como obtener una estadística (tamaño, carpetas, correos leídos) de un buzón. En mi caso voy a sacar las estadísticas del buzón admin@dominio.com:

[zimbra@zimbra ~]$ zmmailbox
mbox> adminAuthenticate admin@dominio.com mipsw1234

mbox> selectMailbox admin@dominio.com
mailbox: admin@dominio.com, size: 7.01 MB, messages: 531, unread: 330

mbox admin@dominio.com> GetAllFolders
        Id  View      Unread   Msg Count  Path
----------  ----  ----------  ----------  ----------
         1  conv           0           0  /
        16  docu           0           0  /Briefcase
        10  appo           0           1  /Calendar
        14  mess           0           0  /Chats
         7  cont           0           0  /Contacts
         6  mess           0           0  /Drafts
        13  cont           0           1  /Emailed Contacts
         2  mess           0           6  /Inbox
      4818  mess           3           9  /Inbox/jupiter
      8509  mess           2          15  /Inbox/asterisk
      4817  mess           0           0  /Inbox
      5279  mess          91         111  /Inbox/antivirus
      6025  mess           0           1  /Inbox/backup
      5283  mess           1           1  /Inbox/mail report
      5280  mess           7          24  /Inbox/virus
      5281  mess           9          48  /Inbox/xtras
         4  mess          26          26  /Junk
        12  wiki           0           0  /Notebook
         5  mess           0           3  /Sent
        15  task           0           0  /Tasks
         3  conv         191         285  /Trash

También es posible sacar las estadísticas sin necesidad de entrar en la consola del comando:

zmmailbox -z -m user@domain.com gms -> Tamaño de un buzón
zmmailbox -z -m user@domain.com gaf -> Estadisticas de un buzón

Más información:
+ zmmailbox

bind para el correo (parte iii de iii)

Por último vamos a securizar un poco nuestros dos servidores. Cuando un DNS quiere descargar la zona de otro servidor DNS, este realiza peticiones AXFR. Es decir si no tenemos correctamente configurado nuestro servidor de DNS es posible que alguien pueda descargarse nuestra base de datos de zona.

Aquí tenéis un ejemplo de un servidor DNS mal configurado que responde a las peticiones AXFR (actualmente el bug lo tienen arreglado):

amperis@akoya:~$ dig @ns2.microXXXX.net microXXXX.net axfr

; <<>> DiG 9.5.1-P2 <<>> @ns2.microXXXX.net microXXXX.net axfr
; (1 server found)
;; global options:  printcmd
microXXXX.net.          86400   IN      SOA     ns1.microXXXX.net. sysop.microXXXX.net.
2009051302 86400 7200 2419200 86400
microXXXX.net.          86400   IN      NS      ns1.microXXXX.net.
microXXXX.net.          86400   IN      NS      ns2.microXXXX.net.
microXXXX.net.          86400   IN      A       62.97.115.117
microXXXX.net.          3600    IN      MX      5 tauri.microXXXX.net.
microXXXX.net.          3600    IN      MX      10 dsl1.microXXXX.net.
microXXXX.net.          3600    IN      MX      20 mx.microXXXX.net.
abydos.microXXXX.net.   86400   IN      A       213.27.212.92
actuava.microXXXX.net.  86400   IN      CNAME   atlantis.microXXXX.net.
adminwww.microXXXX.net. 86400   IN      CNAME   asgar.microXXXX.net.
algerie.microXXXX.net.  86400   IN      CNAME   atlantis.microXXXX.net.
altas.microXXXX.net.    86400   IN      CNAME   asgar.microXXXX.net.
altes.microXXXX.net.    86400   IN      CNAME   asgar.microXXXX.net.
ambitogrupo.microXXXX.net. 86400 IN     CNAME   atlantis.microXXXX.net.
anubis.microXXXX.net.   86400   IN      CNAME   tauri.microXXXX.net.
arianconstruccion.microXXXX.net. 3600 IN CNAME  asgar.microXXXX.net.
asgar.microXXXX.net.    86400   IN      A       62.97.115.112
asuran.microXXXX.net.   86400   IN      A       213.27.212.32
atlantis.microXXXX.net. 86400   IN      A       213.27.212.72
baal.microXXXX.net.     86400   IN      A       62.97.115.62
... (la zona es mucho más larga)

Nota: el dominio real ha sido alterado por seguridad.

Si realizamos la misma consulta a nuestros servidores DNS obtenemos:

[root@dns2 var]# dig @192.168.1.8 amperisblog.com axfr

; <<>> DiG 9.3.4-P1 <<>> @192.168.1.8 amperisblog.com axfr
; (1 server found)
;; global options:  printcmd
amperisblog.com.        86400   IN      SOA     dns1.amperisblog.com. 
admindns.amperisblog.com. 20090522 21600 3600 604800 86400
amperisblog.com.        86400   IN      NS      dns1.amperisblog.com.
amperisblog.com.        86400   IN      NS      dns2.amperisblog.com.
amperisblog.com.        86400   IN      MX      10 mail1.amperisblog.com.
amperisblog.com.        86400   IN      MX      20 mail2.amperisblog.com.
amperisblog.com.        86400   IN      A       222.222.222.223
dns1.amperisblog.com.amperisblog.com. 86400 IN A 222.222.222.221
dns2.amperisblog.com.amperisblog.com. 86400 IN A 222.222.222.222
ftp.amperisblog.com.amperisblog.com. 86400 IN CNAME 
server1.amperisblog.com.amperisblog.com.
mail1.amperisblog.com.amperisblog.com. 86400 IN CNAME 
server1.amperisblog.com.amperisblog.com.
mail2.amperisblog.com.amperisblog.com. 86400 IN CNAME 
server2.amperisblog.com.amperisblog.com.
server1.amperisblog.com.amperisblog.com. 86400 IN A 222.222.222.224
server2.amperisblog.com.amperisblog.com. 86400 IN A 222.222.222.223
www.amperisblog.com.amperisblog.com. 86400 IN CNAME 
server2.amperisblog.com.amperisblog.com.
amperisblog.com.        86400   IN      SOA     dns1.amperisblog.com. 
admindns.amperisblog.com. 20090522 21600 3600 604800 86400
;; Query time: 10 msec
;; SERVER: 192.168.1.8#53(192.168.1.8)
;; WHEN: Sat May 23 18:01:22 2009
;; XFR size: 15 records (messages 1)

El objetivo es evitar que la transferencia de zona pueda realizarse desde Internet. Solo debe realizarse entre los dos servidores de DNS de confianzza.

Para ello en el servidor de DNS primario añadimos al named.conf la siguiente config:

options {
   allow-transfer { none; };
   ...
};


zone "amperisblog.com" in {
   allow-transfer { 192.168.1.9; };
   ...
};

Al DNS principal le decimos que solo puede transferir la zona al DNS secundario (192.168.1.9).

Por otro lado, el DNS secundario no tiene que transferir ninguna zona a nadie. Pondremos la siguiente config en el secundario:

options {
   allow-transfer { none; };
   ...
};

Para entornos en producción donde podemos tener muchos servidores de DNS existe la posibilidad de utilizar firmas para garantizar la autenticidad de una transferencia de zona. Aquí teneis un ejemplo de la utilización de firmas en Bind 9.

bind para el correo (parte ii de iii)

Para el servidor de DNS secundario realizaremos los mismos pasos de instalación que con el DNS primario.
Una vez instalado todo el software de Bind editamos el /etc/named.conf con el siguiente contenido:

options {
   directory "/var/named/slaves";
};

logging{
  channel simple_log {
    file "/var/log/named.log" versions 3 size 5m;
    severity warnings;
    print-time yes;
    print-severity yes;
    print-category yes;
  };
  category default{
    simple_log;
  };
};

zone "amperisblog.com" in {
   type slave;
   file "amperisblog.com.zone";
   masters{ 192.168.1.8; };
};

Si reiniciamos Bind con un "sevice named restart" veremos como solo al arrancar se creará un archivo de backup de la zona en /var/named/slaves/amperisblog.com.zone.

Si observamos named.log del DNS secudario veremos como inicialmente la zona no existe y como se contacta con el servidor de DNS principal para descargar la zona:

23-May-2009 17:14:37.957 general: debug 1: zone amperisblog.com/IN: no database 
exists yet, requesting AXFR of initial version from 192.168.1.8#53
23-May-2009 17:14:37.960 xfer-in: info: transfer of 'amperisblog.com/IN' from 
192.168.1.8#53: connected using 192.168.1.9#58874
23-May-2009 17:14:37.964 general: debug 1: zone amperisblog.com/IN: zone transfer 
finished: success

Las direcciones 192.168.1.9 y 192.168.1.8 son las direcciones IP internas de los servidores de DNS que se encuentran dentro de la DMZ. Las direcciones 222.222.222.221 y 222.222.222.222 son las direcciones IP públicas de los servidores de DNS desde Internet.

bind para el correo (parte i de iii)

Como todos sabéis el DNS es uno de los principales servicios que sustentan Internet y, por tanto, es fundamental para la distribución del correo (y otras cosas)... Quien no sepa como funciona el DNS que se vaya leyendo la Wikipedia.

El objetivo de estos tres post son:

+ Configuración de dos maquinas Linux (master+slave) servidoras de DNS por Bind.
+ Configuración de varias zonas de DNS en especial para su uso con el correo.
+ Replicación de zona de un servidor a otro (mensajes AXFR).
La distribución que utilizaré para los dos servidores será CentOS 5.2. Antes de empezar a instalar Bind necesitaremos las dos maquinas perfectamente configuradas (TCP/IP), parcheadas y conectadas a Internet.

Instalamos el soft necesario:

# yum search bind | grep ^bind
# yum install bind.i386

Como resultado tendremos instalado bind, bind-libs y bind utils.

Configuraremos el firewal de iptables para que cualquiera pueda realizar consultas DNS sobre esta maquina. Para ello abrimos el puerto 53/UDP.

Editamos /etc/sysconfig/iptables:

-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT 

Reiniciamos iptables:

# service iptables restart

Intentamos iniciar Bind, pero debería fallar ya que aun no lo tenemos correctamente configurado:

# service named restart

Empezamos primero configurando el DNS principal y cuando este todo correcto montaremos el secundario.
El archivo de configuración de Bind se encuentra dentro de /etc/named.conf. Lo crearemos y colocaremos el siguiente contenido:

options {
   directory "/var/named/data";
};


zone "amperisblog.com" in {
   type master;
   file "amperisblog.com.zone";
   allow-update { none; };
};

zone "." {
   type hint;
   file "root.cache";
};

Nota: He creado una zona llamada "." que apunta a un fichero de configuración llamado "root.cache". Esto nos sirve por si queremos que nuestro DNS sepa resolver otros dominios. Es decir, que nuestro servidor de DNS haga a la vez de cache de DNS. Para ello hay que crear /var/named/data/root.cache y pegar el contenido de: http://www.tux.org/~mayer/linux/book/node155.html

El parámetro "directory" nos está diciendo dónde se encontrarán los archivos de configuración de nuestro dominio. En mi caso tenemos un archivo de configuración para mi dominio amperisblog.com que se encontrará dentro de /var/named/data/amperisblog.com.zone.
El parámetro "type" nos indica si ese dominio será master o slave. Para un DNS principal este campo será master.

Creamos ahora el archivo de configuración para la zona ampeisblog.com. En ella se encontraran todos los campos A, CNAME, MX, NS, etc. Creamos el archivo /var/named/data/amperisblog.com.zone con el siguiente contenido:

$TTL 86400
amperisblog.com.  IN     SOA    dns1.amperisblog.com.     admindns.amperisblog.com. (
                    20090522   ; serial
                    21600      ; refresh after 6 hours
                    3600       ; retry after 1 hour
                    604800     ; expire after 1 week
                    86400 )    ; minimum TTL of 1 day

      IN     NS     dns1.amperisblog.com.
      IN     NS     dns2.amperisblog.com.

      IN     MX     10     mail1.amperisblog.com.
      IN     MX     20     mail2.amperisblog.com.

             IN     A       222.222.222.223

server1      IN     A       222.222.222.224
server2      IN     A       222.222.222.223
dns1         IN     A       222.222.222.221
dns2         IN     A       222.222.222.222

ftp          IN     CNAME   server1
mail1        IN     CNAME   server1
mail2        IN     CNAME   server2
www          IN     CNAME   server2

Vamos a explicar la configuración de este archivo de zona. Lo primero que se especifica es el registro de SOA, donde aparece el nombre de nuestro dominio, el DNS primario (dns1.amperisblog) y la dirección de correo del administrador del DNS (admindns.amperisblog.com).

Otros datos que encontramos dentro de SOA son los tiempos de cacheo y refresco:

20090522: es un número de serie autoincremental que deberíamos incrementar cada vez que hagamos una modificación en la zona.
21600: indica al DNS esclavo cada cuando tiempo tiene que chequear la configuración del DNS maestro. En nuestro caso no tiene sentido porque este servidor es primario.
3600: si el refresco del esclavo falla, esto indica cada cuanto tiempo tiene que probar.
604800: si el refresco del esclavo sigue fallando, esto indica cuando el DNS esclavo debe dejar de funcionar.
86500: indica a un cache de DNS el tiempo de vida de la traducción DNS.
NS: indica los nombres de los dos servidores de DNS de nuestra zona.
MX: indica con peso 10 y peso 20 cuales son los servidores de correo que deben responder al dominio amperisblog.com.
A: indica las direcciones IP de todas las maquinas publicas en Internet. En este caso tenemos dos servidores de DNS (dns1, dns2) y dos servidores (server1, server2).
CNAME: indica los alias. Tenemos dos alias de mailX que apuntan a nuestros server1 y server2. Tenemos un alias de www para alojamiento Web que apunta a server2 y por ultimo tenemos un alias de ftp que apunta al server1.

Si todo ha ido bien ya podemos arrancar otra vez el DNS con un "service named restart" y comprobar el archivo de log para ver si todo a ido bien:

# cat /var/log/messages | grep named
May 23 15:33:29 dns1 named[13573]: starting BIND 9.3.4-P1 -u named
May 23 15:33:29 dns1 named[13573]: found 1 CPU, using 1 worker thread
May 23 15:33:29 dns1 named[13573]: loading configuration from '/etc/named.conf'
May 23 15:33:29 dns1 named[13573]: listening on IPv4 interface lo, 127.0.0.1#53
May 23 15:33:29 dns1 named[13573]: listening on IPv4 interface eth0, 192.168.1.8#53
May 23 15:33:29 dns1 named[13573]: command channel listening on 127.0.0.1#953
May 23 15:33:29 dns1 named[13573]: command channel listening on ::1#953
May 23 15:33:29 dns1 named[13573]: zone amperisblog.com/IN: loaded serial 20090522
May 23 15:33:29 dns1 named[13573]: running
May 23 15:33:29 dns1 named[13573]: zone amperisblog.com/IN: sending notifies (serial
20090522)

Ahora ya podemos realizar peticiones de consultas sobre nuestro nuevo servidor de DNS:

[root@dns1 data]# dig @localhost amperisblog.com

; <<>> DiG 9.3.4-P1 <<>> @localhost amperisblog.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14375
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;amperisblog.com.               IN      A

;; ANSWER SECTION:
amperisblog.com.        86400   IN      A       222.222.222.223

;; AUTHORITY SECTION:
amperisblog.com.        86400   IN      NS      dns1.amperisblog.com.
amperisblog.com.        86400   IN      NS      dns2.amperisblog.com.

;; Query time: 12 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat May 23 15:

Veamos también si es capaz de cachear/traducir otros dominios:

[root@dns1 data]# dig @localhost google.com

; <<>> DiG 9.3.4-P1 <<>> @localhost google.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38954
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 0

;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             300     IN      A       74.125.45.100
google.com.             300     IN      A       74.125.67.100
google.com.             300     IN      A       209.85.171.100

;; AUTHORITY SECTION:
google.com.             345600  IN      NS      ns1.google.com.
google.com.             345600  IN      NS      ns2.google.com.
google.com.             345600  IN      NS      ns3.google.com.
google.com.             345600  IN      NS      ns4.google.com.

;; Query time: 699 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat May 23 15:38:55 2009
;; MSG SIZE  rcvd: 148

Si queremos controlar las peticiones podemos añadir un log dentro del /etc/named.conf:

logging{
  channel simple_log {
    file "/var/log/named.log" versions 3 size 5m;
    severity warning;
    print-time yes;
    print-severity yes;
    print-category yes;
  };
  category default{
    simple_log;
  };
};

Si estamos debugeando nuestro DNS cambiaremos "severity warning;" por un "severity debug;".

¿qué pasa cuando google street no llega?