migrar zimbra de 4 a 5

29 de mayo de 2008

Los procesos de migración (o actualización) siempre me ponen los pelos de punta... cuando pasamos de NT a 2003 o cuando subimos la versión de SAP/Oracle no dormimos tranquilos hasta que todo termina.

Más de una vez hemos tenido que echar todo atrás como fue en el caso de Zimbra.

Pues bien, le ha tocado el turno a una versión de Zimbra 4 que teníamos. El objetivo era migrar la versión 4 a la última que existiera.
Yo recomendaría que si algo funciona bien y se ajusta a tus necesidades, no veo porque migrar. Así que antes de migrar hay que pensarlo bien... Seguro que hay alguien que no esta de acuerdo... bueno digamos que lo atrasaría todo lo que pudiera.

Lo primero para upgradear Zimbra es documentarse bien tanto del proceso de actualización como del resultado final. Tendríamos que leer bien lo que dicen los foros de Zimbra, la documentación oficial y la Wiki de Zimbra. También tendríamos que hacernos una instalación limpia en otro servidor con la versión que tenemos y simular la actualización. Luego comprobaríamos que los parámetros se conservan, los buzones, el correo, etc.

El segundo paso es preparar la copia de seguridad del servidor y del planning a seguir si todo sale mal y hay que volver a dejarlo todo como estaba. En mi caso hice dos copias. Una copia de todo el contenido de /opt/zimbra (aquí están todos los archivos necesarios para restaurar Zimbra)
y luego una imagen del disco duro del servidor. La imagen la hicimos con un Knoppix y utilizando la herramienta Partimage. La imagen del disco la guardamos en un disco duro USB.

El tercer paso es pensar y valorar que va a pasar cuando el correo no funcione durante todo el proceso de migración. Naturalmente si no hay Zimbra los usuarios no accederán al Outlook, pero lo más importante será que pasará con todo el correo nuevo. En mi caso tengo contratado un relay de correo de backup. Por tanto todo el correo que no pueda entrar directamente a mi Zimbra ira al relay. Luego cuando esté migrado arrancaremos un Fetchmail para recuperar ese correo.

Según los foros de Zimbra para migrar correctamente lo mejor es ir migrando una por una la versión del Zimbra hasta llegar a la que queremos.
Zimbra dice que esto es lo mejor (lo leí en el foro y es lo que a mi me funciono), aunque si que es cierto que cada versión contiene las actualizaciones de todas las anteriores.

En mi caso la versión exacta que tengo es la 4.0.2. Por tanto según este planteamiento tendría que pasar por:

4.0.2 -> 4.0.5 -> 4.5.0 -> 4.5.11 -> 5.0 -> 5.0.4

Os dejo estos enlaces con todas las versiones de Zimbra:

+ Versiones de Zimbra para Fedora Core 4
+ Versiones de Zimbra para Fedora Core 5
+ Versiones de Zimbra para Fedora Core 7

El proceso de migración de Zimbra es muy sencillo, ya que en el propio proceso de instalación detecta que hay una versión de Zimbra y te pregunta si la quieres actualizar. El paso de la 4.5.11 a la 5.0 es la que puede tarda más ya que hay muchos cambios de una versión 4 a una versión 5.
Si os fijáis veréis como se añaden nuevas tablas y columnas de metadatos al MySql.

Otra cosa importante para migrar es el sistema operativo. En mi caso utilizo Fedora. Toda la rama de Zimbra 4 funciona con Fedora 4. Por tanto una vez hemos migrado a la 4.5.11 tendremos que migrar la versión de Fedora.
Aquí también tenemos el mismo problema. Tendremos que instalar el Fedora 5, luego el Fedora 6 y por último el Fedora 7.

Aunque todo esto parezca muy largo y pesado es lo mejor si queremos evitarnos problemas de librerías, versiones, dependencias, etc.

Una vez tenemos claro todo esto, os explico los pasos que seguí para migrar correctamente:

1. Hacer las copias necesarias de Zimbra que creamos oportunas y diseñar nuestro plan de emergencia.
2. Descargar todas las versiones de Zimbra que necesitemos y tener a mano los DVD de los Fedoras que necesitemos.
3. Cerrar con el Iptables los puertos de SMTP y POP/IMAP para que nadie envié correo y lo lea mientras estamos migrando.
4. Si tuviéramos alguna cuenta externa que la recogiéramos con Fetchmail también la pararíamos durante la migración.
5. Migrar a la 4.0.5, luego migrariamos a la 4.5.0 y por ultimo a la 4.5.11. Una vez finalizado esto yo probaría que todo funcionara, ya que en el siguiente paso tenemos que migrar el Fedora. Si tuviéramos algún problema bastaría con borrar /opt/zimbra y dejar la copia anterior.
El problema es si falla una vez migrado el Fedora, ya que tendríamos que utilizar la imagen del disco.
Para migrar basta con arrancar el programa de instalación de Zimbra "install.sh". El proceso de instalación detectará que hay una versión instalada y te pedirá si quieres actualizarla. Si le decimos que "Sí" desinstalará los RPMs de la versión antigua he instalará los nuevos.

Continuamos:

6. Migraría la versión del Fedora a la 5. Para migrar el Fedora basta con meter el DVD y decirle que actualice. No tiene mucho misterio, salvo comprobar durante el arranque que todos los servicios se levantan correctamente.
7. Migraria la versión del Fedora a la 6, y por último migraria la versión del Fedora a la 7. Una vez migrado el Fedora haría un "yum update" para actualizar el servidor con todas las actualizaciones pendientes.
8. Ya estamos terminando. Ahora solo queda migrar a la versión 5.0 de Zimbra y luego a la versión 5.0.4.

Puede ser que durante el proceso de actualización de la 5.0 nos diga que no encuentra la librería libssl.so.5 (a mí me paso). Basta con crear un link con el mismo nombre y listo:

# ln -s /lib/libssl.so.6 /lib/libssl.so.5
# ln -s /lib/libcrypto.so.6 /lib/libcrypto.so.5


Para finalizar arrancamos nuestro Fecthmail, abrimos los puertos (SMTP y POP/IMAP) y comprobamos que todo arranca bien y podemos enviar y recibir correo.

un nuevo jugete

26 de mayo de 2008

Hoy hemos comprado uno de esos gadgets que compras y no sabes bien bien si te funcionará para lo que lo quieres. Se trata de un hub USB con cinco puertos y una entrada Ethernet de la marca Belkin (88€). El objetivo era conectar dos impresoras laser USB y compartirlas desde nuestro servidor de impresión.





El tema es que funciono para lo que queríamos. Instalamos el software en el servidor, este software encontro el Hub en la red TCP/IP, le pusimos una IP correcta dentro de nuestra red y listo. Luego le empezamos a pinchar impresoras USB y la sorpresa es que el cacharro las detecta y las añade como una impresora más dentro de tu Windows. Me pregunto que hará si le pincho una Webcam.



Una vez pruebas que funcione la compartes para que la pueda utilizar la gente y ya está. He leído algunos blogs que dicen que este cacharro es también Wireless, pero es incorrecto. Necesita de otro modulo Wireless de Belkin.

picotux

25 de mayo de 2008

Navegando de vez en cuando te vas encontrando eso que dicen que es el ordenador más pequeño. Pues esta vez me he encontrado a Picotux.

Se trata de un ARM a 55Mhaz con 2Mb de flash para el su Linux uClinux y 8 Mb de RAM. Solo tiene tres conexiones: una Ethernet, un sérial (para conectarnos por consola via BusyBox) y una toma de corriente... ¿he dicho toma de corriente?, pero si tendría que ir con pilas... he leído que hay una versión PoE que no necesita corriente directa. Parece que uClinux está parado desde hace 4 años. En LinuxDevices hay muchos sistemas de estos con embedded Linux.

los coches de google

22 de mayo de 2008

No se porqué tantas noticias sobre el coche de Google. Supongo que será por su cuello de jirafa porque por su nuevo servicio no lo es. Desde hace tiempo QDQ ya tiene su propio callejero fotográficos de las principales ciudades. Más de una vez me ha servidor para ver el aspecto de la calle donde tenia que ir. Bueno he visto la demo de Google Street y hay que decir que le da mil vueltas... donde hay pasta hay pasta.

Tampoco será porque hayan inventado las fotos en 360 grados, porque eso ya estaba inventado, ¿no?:

Bueno la verdad es que quien ha inventado estas cámaras es la empresa Immersive Media. Se trata de una cámara del tamaño de un balón con 11 lentes con una resolución de 2400x1200 pixels y capaz de tomar 30 fotos por segundo.

Os recomiendo ver este vídeo y este sobre un ejemplo de uso de estas cámaras. En el segundo la utilizan para hacer un reportaje de surf y capturar una toma de 360 grados del interior del tubo de una ola.

Para los que somos españoles podemos ir siguiendo al cochecito por España:

distribución automática de certificados

21 de mayo de 2008

Tuve que crear hace un tiempo unos sitios Web en Apache bajo SSL y cree unos certificados para estos sitios. Con IE6 no había problema; se quejaba de que el certificado no era de una autoridad de certificación de confianza pero la gente lo aceptaba y no pasaba nada, pero desde que salio el IE7 el mensaje es para la gente más intimidatorio, y no se atreven a entrar en el sitio Web porque les dice que el sitio no es de confianza y puede ser peligroso. La solución era instalar a cada maquina el certificado en su "almacén de certificados".

Total que tenia 60 maquinas para ir instalando una por una el certificado. Suerte que todas las maquinas estaban en dominio y arrancaban un script de entrada.
Esto es un truco de como distribuir de forma automática nuestro certificado para que se instale en todas las maquinas al arrancar la sesión.

Microsoft tiene una utilidad llamada certutil (que ya esta instalada en tu server si instalas el servidor de certificados). A esta utilidad le dices el almacén donde quieres guardar el certificado y la ruta del nuevo certificado y te lo guarda en tu IE. El problema es que los usuarios cuando inician sesión no tienen permisos de administrador como para modificar el almacén de certificados, por ese motivo tenemos que arrancar certutil.exe con permisos de administrador para poder instalar el certificado. Aquí entra en juego arrancar certutil con un runas, pero a mí me gusta más esta otra utilidad que hace básicamente lo mismo pero tiene más opciones: CPAU.

Por tanto si editamos nuestro script de inicio de sesión tendríamos que poner algo como:

\\servidor\sysvol\dominio.com\scripts\CPAU.exe -LWP -u DOMINIO\administrator -p MIPSW 
-ex ""\\servidor\sysvol\dominio\scripts\certutil.exe -addstore root \\servidor\sysvol\dominio\scripts\micertificado.cer"" ",1,TRUE
Es un poco largo pero, ¿esta claro no?. Necesitaremos copiar en la carpeta scripts, nuestra utilidad CPAU, el certutil.exe (junto con las dlls certadm.dll, certcli.dll y certmgr.dll) y el certificado que queremos instalar.
Una vez sepamos que todas las maquinas han arrancado ya podemos borrar todo el comando, ya que tenemos un password de administrador en claro.

WSUS

17 de mayo de 2008

Hace tiempo que quería hablar de este producto de Microsoft desde la versión 2 (ahora ya tengo la 3 con SP1).
Cuando empiezas a tener más del 20 o 30 usuario en la oficina con Windows en sus estaciones se hace un poco pesado ir maquina por maquina y pasando un Windows Update. Aunque Microsoft hace tiempo de sigue la política de actualizaciones una vez al mes actualizar 100 maquinas como es mi caso pues se hace un poco pesado... y no acabo haciéndola.

Pues la gente de Microsoft tuvo la idea de por qué no hacer un producto para que los administradores tengan su propio servidor de Windows Update y que su maquinas ataquen contra su propio Windows Update. Pues esto es WSUS.

WSUS nos da un servidor Web para Windows Update y nosotros podemos controlar que actualizaciones poner a cada maquina o poner todas a la vez desde una interfaz Web. Y lo más bueno de esto es que este producto es gratuito. Solo necesitas un servidor Windows Server (un 2003 SP1 mejor) con su servicio de IIS, su .NET Framework 3, y las extensiones de ASP .NET activadas. Dado que este servidor contendrá todas las actualizaciones de Windows que necesiten nuestras maquinas será mejor que reservemos un buen espacio de disco. Las actualizaciones que ya no vayamos necesitando con el tiempo podremos ir borrándolas desde la consola de administración de WSUS.

Empezamos pues:

+ Descargamos WSUS SP1 desde la Web de Microsoft.
+ Arrancamos la instalación. Durante el proceso de instalación le diremos que almacene localmente las actualizaciones en nuestro servidor de esta forma cuando las maquinas se quieran actualizar ya tendrán las actualizaciones disponibles en nuestro servidor. Se recomienda que tengamos más 10Gb de espacio libre. Si no seleccionamos esta opción WSUS le dirá a las maquinas que actualizaciones necesitan y además deberán de bajárselas ellas misma desde la Web de Microsoft. Por tanto no es buena idea si tenemos unas 100 maquina porque todas intentaran bajarse las actualizaciones de Microsoft por nuestra preciada conexión a Internet.
+ El siguiente paso es seleccionar la base de datos donde irán almacenados todos los metadatos que necesita la aplicación de WSUS. Por defecto te instala un SQL Server Desktop Engine (un motor de SQL Sever pero en pequeño). También tenemos la posibilidad de utilizar una instancia de SQL Sever que ya tengamos en nuestra empresa... pero como yo no tengo.
+ Luego tenemos que configurar como será nuestra pagina Web de Windows Update. Por defecto WSUS instala sus paginas Web en el sitio Web por defecto 80, pero yo por ejemplo ya tengo una aplicación Web propia corriendo en el 80. Por tanto tendremos que cambiar de puerto.
+ El resto de pasos son todos por defecto.


Una vez instalado podemos ver como queda la cosa. Dentro de las herramientas administrativas de nuestro servidor nos aparecerá el icono de la consola de "Microsoft Windows Server Update Services 3 SP1". Para los más mañosos podríamos ir al IIS y ver como se ha creado un nuevo sitio Web. También podríamos instalarnos el SQL Sever Manager y conectarnos al Desktop Engine para ver como está la estructura interna de la base de datos de WUSUS.

Pasamos pues a la configuración:

+ Nos vamos a "Options" y configuramos "Products and Classifications". En esta ventana seleccionamos los productos que queremos actualizar. Lo normal será seleccionar Windows XP, Windows Vista y Office. En "Classifications" seleccionaremos los tipos de actuazaciones que queremos. Estas serán por ejemplo las "Security Updates" y las "Critical Updates".
+ En "Update Files and Languajes", seleccionaremos Spanish para que baje solo las actualizaciones en castellano.
+ En "Synchronization Schelude" le diremos que se actualice con Microsoft una vez al dia.
+ En "Automatic Approvals" no haremos nada, ya que quiero que las actualizaciones las acepte yo manualmente. En este apartado podríamos decir que todas las actualizaciones de seguridad que aparezcan se acepten e instalen automáticamente.
+ La opción "Server Cleanup Wizard" es la que nos permite hacer limpieza de todas aquellas actualizaciones que no utilicemos. Es muy útil cuando empecemos a quedarnos sin espacio.
El resto de opciones no las comentaré porque no son importantes.


Ahora que ya tenemos WSUS configurado le diremos a todas las maquina de nuestro dominio (¿lo tenéis en un dominio AD no?) que cuando se actualicen lo hagan a través de nuestro servidor WSUS. Para ello modificaremos las políticas de grupo del Active Directory. Al instalar WSUS nos ha dejado disponible una plantilla administrativa para las GPO llamada wuau.adm.

+ Abrimos el Active Directory, seleccionamos nuestro dominio y pulsamos propiedades. Nos vamos a "Group Policy" y editamos nuestra "Default Domain Policy".
+ Al abrir el editor de políticas de AD, seleccionamos "Computer->Administrative Templates". Botón derecho y seleccionamos "Add/Remove Templates". Seleccionamos la plantilla wuau.adm y aceptamos.


Ya tenemos la plantilla del WSUS instalada. Ahora configuramos nuestras maquinas. Desde este mismo editor de políticas hacemos:

+ Abrimos "Adminstrative Templates->Windows Components->Windows Update". Veremos que aparecen un montón de opciones no configuradas (Not configured).
+ Abriremos la opción Configurar las actualizaciones Automáticas y la activaremos. Marcaremos la opción de Programar la instalación, Todos los días por ejemplo a las 14:00h (la hora de comer). + Abriremos la opción de Especificar la ubicación de Servicio de Windows Update en la Intranet y le pondremos la URL de nuestro WSUS. Tenéis que recordar el numero de puerto seleccionado durante la instalación. Algo así como http://miservidor:8350.

El resto de opciones son opcionales, pero lo mejor es que las miréis una por una porque se puede afinar mucho, como por ejemplo cuanto tiempo tiene que pasar para que se reinicie la maquina después de una actualización que necesita reiniciar.


Una vez modifica la política de grupo tendremos que esperar un poquito a que todas las maquinas se refresquen. Si no queremos esperar podemos forzar la nueva política a todas las maquinas haciendo un "gpupdate /force".
No estaría mal también hacer una "wuauclt.exe /detectnow" para que el WSUS también comience a detectar maquinas.

Si nos vamos ahora a la consola de WSUS y entramos en "Computers->All computers" iremos viendo como por cuentagotas iran apareciendo máquinas. Poco a poco estas máquinas irán aportando su configuración y las actualizaciones que tienen y les faltan. Si hacemos doble click sobre una de ellas veremos un report con toda esta información.

Si nos vamos al enlace"Update needed" nos saldrán las actualizaciones que le faltan a esa maquina. Desde allí podremos aceptar la actualización que le falta y desde ese momento esta actualización estará disponible para todas las maquinas para instalarla. No hace falta ir máquina por máquina para aceptar la misma actualización.

Y eso es todo. Os paso estos links que resultarán útiles para montar todo esto.

Pagina principal de WSUS
Manual de inicio para instalar y configurar WSUS
Foros no oficiales de WSUS
WikiWSUS

cuidar de Internet

13 de mayo de 2008

Existen dos proyectos en Internet muy interesantes que intentan cuidar el buen funcionamiento de Internet y la transparencia de los ISPs que tenemos.

Uno de ellos es Glasnost (creado por el Instituto Max Planck de Ingeniería del Software) y lo conocí hace poco. Trata de descubrir si nuestro ISP implementa algún tipo de filtro priorizando más o menos según el tipo de trafico. El objetivo principal es saber si nuestro ISP cierra o no las conexiones P2P o modifica de alguna manera los paquetes TCP/IP generados por nuestras maquinas y de esta forma obtener unos resultado que se puedan mostrar por ejemplo geográficamente.

Estudios como estos demuestran como hay en españa ISPs (o en otros países) que manipulan este tipo de trafico sin dar muchas explicaciones técnicas.

Para participar podemos arrancar un test que dura 7 minutos o bajarnos el código fuente para Linux para probarlo y participar en su desarrollo.



El otro proyecto es la organización CAIDA que la conocí en mis tiempos mozo de la universidad y aun voy loco por encontrar un poster suyo.

CAIDA es una asociación que intenta estudiar la robustez y la escalabilidad de Internet. Para ello puedes utilizar un montón de utilidades y aportar tus resultados.

En la sección de Data están clasificados sus resultados por topología, seguridad, routing, performance, etc y podemos encontrar por ejemplo un estudio de como afecto el gusano Shapprire.

Pero para mi el gráfico más espectacular es el que muestra la interconexión de los IPS (o AS) con otros ISP.



El gráfico tiene que entenderse de la siguiente forma.

1. Cada punto del gráfico representa un ISP (hay más de 12.000).
2. El gráfico esta dividido por continentes en su extremo. (Asia, Oceanía, Europa, África...).
3. Las miles de lineas azules, representan las interconexiones que tiene un ISP con otro.
4. Los ISP que tienen más interconexiones son los que están más al centro.
Podéis ver como en el Pacifico casi no hay ISPs y como Level3, Tiscali o Deutsche Telekom son los ISPs más potentes.
Comparar ahora el mismo gráfico con el del año 2000 y ver el boom.

herramientas del administrador

10 de mayo de 2008

Tengo tantos iconos en el escritorio que no se por donde empezar... empezaré conforme los vaya viendo. Son tantos programas que decidí meterlos en un dvd y llamarlo " el kit de supervivencia informática". Son todos programas del dia a dia.

¿Qué teneis vosotros?

+ Internet Explorer y Firefox: navegadores necesarios si programas Intranets en ASP, PHP, Ajax o lo que sea.
+ Cliente de Terminal Server, RealVNC y UltraVNC: para conectarse repotamente a escritorios Win32. El UltraVNC me permite subir archivos estilo FTPs.
+ Putty y WinSCP: obras maestras y supernecesarios para conectarse SSH a los Linux.
+ FileZilla Cliente y FileZilla Server: cliente y servidor de FTP.
+ VMWare Server: otra obra maestra para probar sistemas operativos en local.
+ Notepat++: editor de texto parecido al UltraEdit, pero gratis.
+ Nero, CloneCD, CloneDVD y AnyDVD: estos no hace falta que los explique no?.
+ Kiwi Syslog: para montar un servidor de Syslog para hacer pruebas en un momento dado.
+ NetBeans, Delphi, Dev-C y el Visual Studio: para programar algo en un momento dado.
+ VPN Client y Cisco SDM: Herramientas necesarias y trabajas con Cisco.
+ doPDF: impresora de PDF.
+ TrueCrypt: cifrador de particiones y archivos. Para guardar cosas topsecrets.
+ PasswordSafe: otro cifrador para montar una bbdd de contraseñas y usuarios.
+ 7-Zip: otra maravilla gratuita y el WinZip a la basura.
+ XAMPP: MySql+Apache+PHP para Windows.
+ Azureus y Emule: por si tengo que bajar algun soft que necesitemos probar.
+ NSIS: generador de instalaciones. Los creadores son los del WinAmp.
+ DreamWeaver, Fireworks y PhotoShop: para maquetar HTML y programar en PHP.
+ ZendStudio: IDE PHP, aun lo utilizo poco.
+ Wiresharck: Analizador de paquetes, es decir el Ethereal.
+ Acrobar Reader: este tampoco necesita explicación.
+ DameWare: este es de pago, pero muy bueno para control remoto y mantenimiento de muchos puestos de trabajo.
+ Herramientas de SolarWinds: otra maravilla con muchas herramientas para administración TCP/IP. Creo que las tengo bastante desfasadas. Su Web ha cambiado mucho.
+ El Office 2003, con su Visio y su InfoPath. Aun me resisto al 2007.
+ DeskSpace: para tener múltiples escritorios y en 3D.
+ MySQL GUI Tools: para conectarme al MySQl.
+ SQLServer Manager: para conectarme al SQL Server.
+ LEX: Un LDAP explorer.
+ AVG 8 free: de antivirus. El resto de maquinas de la oficina un Kaspersky.
+ WinAmp y iTunes: para escuchar musiquilla y meterla en la iPod.
+ SAP GUI: cliente de SAP si en tu empresa se utiliza.
+ VirusTotal Uploader: para enviar una muestra de algun posible virus a VirusTotal.
+ FeedDemon: para estar al dia de mis RSS.
+ GMail Notifier: para que me avise cuando me llegue un mail al GMail.
+ CDEX: para para pasar de CD audio a MP3.
+ Hardcopy printer screen: para hacer un pantallazo por la impresora de una ventana de Windows. Muy util.
+ PDF Split y Merge: para dividir PDF y arrejuntar varios.
+ RaidenDNSD: un servidor DNS bueno, bonito y barato para hacer pruebas.
+ X-lite: un ip phone para cuando tengo que hacer pruebas con Asterisk.

Creo que no me dejo ninguno más. El próximo dia escribiré los programas para crack/hack, sobre todo que he utilizado para las pruebas del WarZone de elHacker.net. Hace tiempo que no juego pero aun estoy en el puesto 24 de 1026 participantes.

securizar mysql para tus webs

7 de mayo de 2008

He visto varios servidores donde el administrador utiliza el mismo usuario root del MySql por defecto para dar acceso a diferentes Webs PHP de diferentes clientes/amigos... todo hay que decir que el chaval estaba empezando.

Para definir permisos para las diferentes Webs tenemos que tener claro que cada aplicación Web PHP tendrá su usuario de conexión al MySql, que las conexiones de estos usuarios se realizarán en localhost (porque las paginas Web estan alojadas en el mismo servidor) y por ultimo tenemos que tener claro que instrucciones SQL ejecutan las paginas (lo normal es utilizar solo instrucciones DML).

Si queremos una mínima seguridad para los accesos PHP a MySql tendríamos que hacer esto como mínimo.

1) Borrar todas las bbdd no necesarias. Como por ejemplo la base de datos test que instala MySql por defecto.

mysql> DROP DATABASE test;
2) Añadir un buen password al usuario root (que por defecto no tiene), que root solo pueda conectar en local (localhost) y crear otro usuario admin para poder administrar remotamente solo desde ciertas IP (como la maquina del administrador, el dpt. de informática, etc). Supondremos que la maquina del administrador es la 192.168.1.45.

mysql> GRANT ALL PRIVILEGES ON *.* TO 'admin'@'localhost' identified by 'un_buen_pwd';
mysql> GRANT ALL PRIVILEGES ON *.* TO 'admin'@'192.168.1.45' identified by 'un_buen_pwd';
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('otro_buen_pwd');
Tambien podemos asignar un password al administrador con la utilidad de MySql "mysqladmin".

# mysqladmin -u root password "otro_buen_psw"
He visto manuales que dicen de eliminar el permiso de root para el conectarse localmente. Yo personalmente no lo haría.

3) Ahora solo nos queda añadir tantos usuarios MySql como paginas Web tengamos alojadas. Si tenemos tres Webs A, B y C haríamos:

mysql> GRANT select, insert, delete, update ON A.* TO 'usuarioA'@'localhost' identified by 'psw_de_A';
mysql> GRANT select, insert, delete, update ON B.* TO 'usuarioB'@'localhost' identified by 'psw_de_B';
mysql> GRANT select, insert, delete, update ON C.* TO 'usuarioC'@'localhost' identified by 'psw_de_C';
mysql> FLUSH PRIVILEGES;
Con estas instrucciones tenemos más que suficientes para una típica aplicación PHP que solo utiliza instrucciones DML en SQL. Si por ejemplo la pagina web A utilizara creación de tablas temporales, pues prodríamos poner:

mysql> REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'usuarioA'@'localhost':
mysql> GRANT select, insert, delete, update, create temporary tables ON A.* TO 'usuarioA'@'localhost' identified by 'psw_de_A';
4) Para finalizar podríamos comprobar todos los usuarios existentes y ver que permisos tienen mirando la tabla "user" de la bbdd del mysql.

mysql> USE mysql;
mysql> SELECT * FROM user;
También podemos ver los permisos otorgados con un "SHOW GRANTS".

Aunque estas reglas son sencillas lo mejor es el sentido común. Por ejemplo a la hora de dar permisos no de nunca permisos de GRANT ni REVOKE a usuarios que no sea el administrador. Tampoco de acceso a la tabla user que es donde estan todas las contraseñas (aunque estas esten cifradas).

Y sobre todo leer la guía de seguridad general y la gestión de usuarios.

basurero tecnológico más grande del mundo

4 de mayo de 2008

En Guiyu (China) se encuentra el basurero tecnológico más grande del mundo. En Inside the Digital Dump hace un reportaje sobre este sitio y de sus habitantes que viven completamente del reciclage de ordenadores, teléfonos moviles, pdas, etc. Es tal la cantidad de basura tecnológica que no existe agua potable a 50Km. devido a las filtraciones de los elementos químico que contiene toda la chatarra.

Resulta que es más barato enviar la basura fuera que reciclar el material en local. Y aunque los países Europeos tienen un acuerdo firmado para el no envió de basura en EEUU no se firmo ese acuerdo y lo envía todo para Asia generalmente.

mi primer grupo

3 de mayo de 2008

Zimbra Grupo Dado el numero de personas que me han ido preguntando cosas por correo desde que publique un manual de Zimbra y vista la falta de un grupo/foro/comunidad hispanohablante sobre la versión Open de Zimbra me he lanzadado a crear un grupo sobre Zimbra en Google. Espero que todos aquellos que contactasteis conmigo os hagáis miembros y entre todos podamos crear recursos y responder preguntas. Gracias a todos.