Sergio Sainz

Por circunstancias de la vida me veo obligado a trabajar con Plesk a diario. Cuando se trata de dar hosting a miles de usuarios está claro que hace falta automatizar estas cosas. Muchas empresas grandes cuentan con su propio panel de control, pero no es el caso de todas y las pequeñas normalmente no se pueden permitir el desarrollo de su propio panel .

Paralells Plesk Control Panel 8.6 lista 7 de sus “Advantages”, en este caso voy a centrarme en esta:

Most Secure

Not only does Plesk control panel contain new security measures but also, existing security features have been improved. The control panel’s redesigned subsystem improves overall system security as well as support for 3rd party FTP servers that make secure uploads possible.

Fuente: http://www.parallels.com/products/plesk/advantages/

Al probar la  versión 9 que aún está en BETA supuse que sería aún más “segura” que la actual. Lamentablemente me he llevado una desilusión en este aspecto.

Todo esto viene a cuento de que este panel mantiene una base de datos que es el corazón del mismo. PSA es el nombre de la base de datos que conoceréis de sobra si alguna vez habéis administrado un servidor Plesk. Y aunque la idea puede ser buena las formas en las que se utiliza no lo son.

• La bbdd NO guarda ninguna integridad referencial, y como es necesario meterla mano cada vez que falla una operación como crear o borrar alojamientos, bbdd, usuarios, buzones… sino se tiene cuidado es fácil perder el control.
• Cuando se hacen actualizaciones del panel a veces cambian tablas, columnas, … y el panel empieza a dar problemas. Un ejemplo es al pasar de Plesk 8.2 a la versión que hay en estos momentos, Plesk 8.6.
• Y el ultimo punto pero no por ello menos importante. Los datos de los usuarios se guardan en la bbdd en TEXTO PLANO.

Así que si eres usuario de este panel de control ten cuidado porque esas contraseñas que das SON visibles.

Algunos ejemplos:

Mostrar las contraseñas de administrador de mySQL, MSSQL, Postgresql o cualquier bbdd a la que este suscrito el panel de control:

SELECT type,admin_password FROM DatabaseServers

De la misma forma se almacenan los usuarios y contraseñas de buzones de correo, ftp, logins a Plesk, usuarios de bbdd, etc…

Todo esto hace que la seguridad de Linux, Windows, MySQL, MSSQL, Postgresql, Qmail, etc se vaya al traste teniendo en cuenta la regla de oro de que Un sistema es tan seguro como su eslabón más débil.

La verdad es que me pregunto si será tan difícil guardar las contraseñas encriptadas….

Un cliente quiere enfrentarse a la administración de su servidor web por sí mismo y me pregunta sobre cuales son las tareas básicas de un administrador de sistemas para hacerse una idea. En frío esto ha sido lo que se me ha ocurrido comentarle:

- Informarse de las vulnerabilidades y exploits que se detectan para poder responder a tiempo.

- Mantener actualizado el sistema, esto incluye además del propio SO a todas las aplicaciones que en el servidor haya instaladas.

- Desactivar aquellos servicios que no se utilicen y desinstalar todas las aplicaciones que no sean necesarias para el funcionamiento del servicio.

- Monitorizar los servicios críticos y tener un plan de contingencia que aplicar en caso de parada de cualquiera de ellos.

- Tener un backup disponible de los datos del servidor, este puede ser diario, varios al día. Depende de la criticidad y periodicidad de los cambios que se realicen y las perdidas que podamos asumir.

- Configurar alertas de sistema y revisar logs, sucesos, errores, que se vayan produciendo para poder tomar medidas.

- Monitorizar los recursos para detectar cuellos de botella, errores de memoria, prever fallos de discos, controlar el Raid…

Son sólo algunas de las tareas a las que debe enfrentarse a diario un sysadmin. El consejo es que si no puedes hacerlas, por el motivo que sea, busques a alguien que lo haga por ti.

Después de comentarle lo anterior se me han ido ocurriendo muchas más cosas…

- Diseñar y planificar.

- Tener controlados a los usuarios, los permisos de los mismos y las políticas.

- Formar a los usuarios para que sepan lo que pueden hacer, como deben hacerlo y aclarar sus dudas técnicas.

- Escribir scripts que sirvan a automatizar tareas habituales y configurar tareas programadas (crons) para diferentes tareas de mantenimiento (defrag, backups, limpieza de logs…).

- Documentar lo que se va haciendo, no para que el que venga detrás de ti a robarte el puesto tenga todo más fácil sino para que no se te olvide lo que vas haciendo y como lo has hecho ya que te será útil y evitarás romperte la cabeza cuando te enfrentes nuevamente a ese problema que te tuvo una noche o un fin de semana movidito, te lo aseguro.

- Intentar la configuración óptima del sistema para tratar de sacarle el mayor rendimiento posible. Muchas veces se amplía hardware innecesariamente cuando el problema real es que se desaprovechan recursos innecesariamente.

- Documentación e implantación de un buen plan de recuperación ante desastres que pueda llevar alguien a cabo si estás de vacaciones.

- Tener un sistema (puede ser virtualizado) para probar las cosas antes de ejecutarlas en producción.

Seguro que hay muchas más cosas, ¿se te ocurren?.

Esta es la última conferencia a la que he podido asistir en la OSWC debido a que esta misma tarde me vuelvo a Bilbao.

El nombre de la sesión tecnológica es “LINUX en el corazón del DATACENTER: cómo implantar infraestructuras basadas en estándares abiertos y optimizadas para aplicaciones de misión crítica”. Por Adriano Galano de Fujitsu-Siemens.

He anotado tan sólo los puntos que me han parecido interesante con intención de resumir lo que me interesaba y descartando todo el rollo comercial.

• Repaso sobre la evolución de los datacenters. Mainframes > Distributed Computing > Server Farms (Hoy) >  Vitualización > automatización > Utility computing (servicios en lugar de servidores).
• Servidores PRIMERGY: Desde 1 socket y 8 gb hasta 96 socket y 2.304 Gb de RAM.Preparados para Xen, VMWare, Hypervisor. Virtualización embebida, Tecnologia de virtualización de I/O y PAN Manager.
• Soporte técnico para Linux.
• kernel patch desarrollados para permitir reemplazar memoria y cpus en caliente.

Vamos a ver si nos da tiempo a dar una vuelta y ver algo más antes del viaje de vuelta a casa.

Acaba de finalizar el TUTORIAL: VIRTUALIZACIÓN al que hemos asistido durante la mañana de hoy. Este es un resumen de los puntos que hemos visto.

PARTE I : Entorno de virtualización open source xVM (Felipe Herrera)

xVM - VirtualBox

• Soporte Multiplataforma:
  • Hosts: Windows, Solaris, Linux, OSX.
  • Guests: Cualquier SO x86.
• Funcionalidades avanzadas:
  • Almacenamiento centralizado.
  • Servidor VirtualBox RDP (acceso remoto Guests)
  • Clonado, Snapshot, Metricas de VMs
  • Raw disk to VDI DISK (P2V-phisical disk to virtual disk)
• Hardware virtual:
  • Virtual SATA o IDE: Hasta 32 discos.
  • Virtual NICs: Gigabit Ethernet.

xVM SERVER

• Basado en Xen 3.X
• Compatible con Vmware
• Filesystem compartido NFS, CIFS, HTTP(s)
• Certificación Windows (Software certification validation program).
• Auto-Update (IPS)
• Open Source
• Funcionalidades heredadas: FMA, ZFS.
• APIS abiertas: WS-MAN
• Balanceo y optimización.
• xVM - Ops Center
• Gestión y monitorización de entornos físicos y virtuales.
• Gestión de VMs, firmware, SO y aplicaciones.
• Automatización del parcheado de sistemas.
• HA, Migración de VMs.
• Provisioning: CentOs, Scientific Linux…
• Grid Engine: Gestión de Entornos con Sun Grid Engine 6.1.
• Common Agent Container

www.openxvm.org

Parte II: Consolidación de CPDs mediante técnicas de virtalización en SL (Gerardo Puertas - www.iavante.es)

Algunas técnicas de virtualización

• Paravirtualización: Virtualizar sistemas software sin virtualizar el hardware.
• Virtualización mediante S.O. (Virtuozzo, …): Gestiona mejor los recursos pero depende del hosts huesped para funcionar por lo que carece de flexibilidad.
• Virtualización completa (vMware, virtualBox,…): Puede emular diferentes arquitecturas.

Consolidación:

• Aprovechamiento eficiente de todos los recursos del server para obtener una reducción del consumo de energía, espacio…

OpenVZ - Características:

• Reparticionamiento dinámico en tiempo real
• Live migration y checkpointing
• Posibilidad de compartir interfaz de red del anfitrión con los huéspedes
• Establecimiento de límites y garantías de los recursos (CPU, Memoria, Cuota de Disco, Red).
• Live migration: vzmigrate (manual o automática)

http://openvz.org

http://wiki.openvz.org

Parte III: Arquitectura de servicios modulares basados en máquinas virtuales- Caso práctico Grupo CPD - ModularIT (Miguel Angel Armas del Río, Grupo CPD).

• Objetivos y requerimientos. Definición:
  • Instalación de servicios simple
  • Monitorización
  • Integración de servicios para PYMES.
  • Simplificación.
• Requisitos:
  • Servicios virtualizados robustos.
  • Proceso de instalación automatizado y simplificado, basado en plantillas.
  • Funcionalidad bien definida. Seguridad
  • Backups sencillos y robustos. Garantizar la existencia de copias de seguridad de todo lo necesario.
  • Máquinas autónomas para detección y corrección de errores.
  • Entorno de monitorización distribuido. Escalabilidad.
  • Proyecto libre. Bajo coste de herramientas y alto rendimiento.
• Definición
  • Una arquitectura de servicios
    • Virtualización
    • Seguridad
    • Independencia e integración de servicios
  • Un grupo de servicios empaquetados en máquinas "precocinadas"
  • Un entorno de gestión y monitorización.
  • ModularIT es un proyecto Open Source.
• Consolidación de servidores
  • Número de máquinas independiente del número de servicios.
  • Tantas máquinas como servicios se necesiten.
  • Servicios adicionales (Alta disponibilidad…)
  • Asignación de recursos.
• Facilidad de despliegue de servicios
  • Se instala en 10 min.
  • Consiste en:
    • Instalar la máquina virtual
    • Definir las variables del servicio
    • Ejecutar el generador de plantillas (Puppet)
  • Es posible crear snapshots previos a un cambio relevante.
  • Rollback
• Facilidad de Monitorización y Gestión
  • Cada maquina es modelada por lo que es muy sencillo definir arámetros a monitorizar
  • Simplifica los backups.
• Almacenamiento y seguridad
  • LVM
  • SELinux, siemre activo con lo mínimo permitido
  • AIDE: Detector de intrusiones con comprobación de firmas diaria.
  • Configuraciones mínimas
• Monitorización y gestión
  • UPS
  • OpenPMI
  • Nagios:
    • Alertas activas (comprobaciones de nagios)
    • Alertas asíncronas (generadas por alertas "PIFIA")
    • Toda la configuración del entrono de gestión se hace por Puppet.
  • Puppet: Similar a cfengine pero mucho más potente
  • Monitorización distribuida: máquinas detrás de FW (iptables), acceso de los clientes al estado de sus máquinas y alertas básicas.
• Rendimiento
  • Munin
  • Establecimiento de lineas base para cada servicio y generación de alertas en caso de que la calidad del servicio se degrade.
• Servicios
  • Base de Virtualización
  • Backup
  • LDAP: Donde se centraliza toda la información de cuentas de usuario. Todos los servicios usan validación contra ese servicio LDAP.
  • Correo
  • Samba
  • AppDeploy
  • eGW (EgroupWare).
  • FAX
  • Firewall (Iptables)
  • Asterisk
  • Jabber
• Descripción
  • CentOS 5 + XEN
  • Instalación rápida (10 min) y desatendida (también opción instalación remota asistida).
  • Script de soporte remoto (conexión saliente)
  • Gestión de hardware y alimentación (UPS)
  • Alta disponibilidad si es necesario.
  • Sincronización horaria.
  • Soporte VLAN.
• Parámetros controlados
  • Estado UPS
  • Sincronización horaria NTP
  • Volúmenes incluidos en backups
  • Estado del RAID por software
  • Procesos
  • Discos
• Descripción de backup automático
  • Proceso automático
  • Se realizan mediante snapshots. No requiere agentes en la máquina de servicio (virtualizada). Ataca directamente a la máquina de virtualización con lo que la máquina virtualizada no se ve penalizada en rendimiento.
  • Dirvish (copias pseudo-incrementales). Hace una copia incrementa y lo demás lo vincula mediante enlaces.
  • Gran capacidad de almacenamiento de históricos
  • Compartidos por Samba
  • Backups en discos externos en espejo con diferentes configuraciones RAID.
  • Las copias pueden estar cifradas (LOPD)
  • Recuperación inmediata de cualquier máquina virtual.

http://modularit.com

http://www.modularit.grupocpd.com

Los días 20, 21 y 22 se celebra en el Palacio de Congresos de Málaga la OSWC. He tenido la oportunidad de acudir al evento junto a Jonathan López durante el día de apertura cuya sesión inaugural ha protagonizado el mismo Tim O´Reilly en la gran sala 1 del auditorium el cual se ha quedado pequeño.

Como había muchas ponencias y era por tanto imposible acudir a todas he confiado en que la organización colgará todas ellas y hemos aprovechado para ver las que más nos interesaban, la primera que ponencia a la que hemos podido asistir ha sido la de OpenSolaris de la mano de Victor M. Fernandez. Más o menos esto ha sido lo que se ha comentado durante esta presentación introductoria a OpenSolaris, la verdad es que no ha estado mal aunque me hubiese gustado que se profundizara más en los aspectos técnicos del SO y sobre todo del sistema de ficheros ZFS.

• Distribuciones (Nexenta, Indiana, Belenix, …).
• Servicios - SMF (Service Managemnt Facility)
  • Reemplaza por completo al sistema tradicional de RunLevels.
  • Usa XML para la configuración de procesos, sus dependencias y permisos en lugar de shellscripts.
  • Administración delegada (sin ser root).
  • Limitación de los recursos a los procesos lanzados.
  • 100% compatible con Perfiles, Roles y Privilegios.
  • Monitorización de los procesos y definir acciones a realizar.

• Almacenamiento - ZFS (Zettabyte File System)
  • Es un Sistema de ficheros local + Gestión de discos
  • Límite de 256 cuatrillones de zettabytes.
  • Alta fiabilidad, no más fsck! (Scrubbling)
  • Tolerancia a fallos (RAID 0,1 y Z (realmente es un raid 5 pero con posibilidad de doble paridad))
  • Snapshots y clones por filesystem
  • Cuotas, ACLs, compresión y soporte NFS.
  • Admin delegada por filesystem.
  • Diferentes niveles de protección de datos.
  • Soporte de Alta Disponibilidad (OHAC)
  • Cifrado por filesystem (en breve).

• Virtualización - Zonas/Contenedores
  • Anfitrión=Zona global e invitado=zona no global
    • El anfitrión es el único SO como tal con su kernel, los sistemas virtualizados son ENTORNOS (no SO completos) y por tanto comparten el kernel del anfitrión (no tienen kernel propio).

• Instrumentación - DTRACE
  • Herramienta de instrumentación para depurar problemas y errores en el SO y aplicaciones.
  • Permite analizar datos de kernel y espacio de usuario sin ninguna pérdida de rendimiento.
  • Lenguaje de scripting potente, similar en sintaxis a C y awk.

• RECURSOS:
  • Opensolaris.org
  • Kit de Inicio Open Solaris
  • Comunidad hispana de Open Solaris
  • Lista de correo de Open Solaris
  • Canales irc en freenode

Tras comer algo nos dimos una vuelta por el recinto donde pudimos visitar los stands de Oracle, Fujitsu, Sun, Cenatic, Atos Origin, Linux Magazine, O’Reilly y muchos más patrocinadores.

Como segunda ponencia tuvimos ocasión de ver una presentación de OpenSocial - Runtimes Web (gadgets) y OpenSocial de la mano de Santiago Gala. En ella nos explica que Open Social está aún muy “en el aire” y que mientras se le da forma han surgido múltiples entornos que deben tender a converger y unificarse a medida que vaya madurando. Comentó las posibilidades de Open Social en el mundo de la web y las grandes opciones en el mundo móvil.

Tras ello y otra vuelta cargada de cafés y algunas fotos pudimos acudir de nuevo al auditorio donde se cocía el debate de Software Libre y sostenibilidad el cual merece la pena que lo sigáis una vez lo cuelguen en la web los que no lo hayáis podido hacer en directo desde la sala o vía webcast en directo. Personalmente me parecieron muy buenas las intervenciones de Javier Romañach Cabrero con quien comparto prácticamente todas las cosas que comenta.

Para finalizar un espectáculo muy chulo de magia de Inés, la maga de Cuatro. Nos encantó.

Iré subiendo las fotos del evento a mi Flickr.

Para subir archivos pesados a través de phpMyAdmin hay que tener en cuenta el tiempo de ejecución máximo configurado tanto para el propio phpMyAdmin como para PHP.

PhpMyAdmin tiene un parámetro propio para el tiempo máximo de ejecución, hay que localizar config.inc.php y editarlo con valor a 0 si quieres que sea tiempo ilimitado o establecer un valor concreto (en segundos).

$cfg['ExecTimeLimit']=0;


Nota, si usas Plesk/Win estará en:
C:\Archivos de programa\SWsoft\Plesk\admin\htdocs\domains\databases\phpMyAdmin\config.inc.php

 También se debe tener en cuenta el tiempo máximo de ejecución para php y los límites de memoria máximos, para ello se edita php.ini con los valores deseados, este sería un ejemplo como el que tengo copiado en mis notas desde hace tiempo:

;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;

;max_execution_time = 30 ; Maximum execution time of each script, in seconds
max_execution_time = 3600 ; 

;max_input_time = 60 ; Maximum amount of time each script may spend parsing request data
max_input_time = 1800 ; 

;memory_limit = 8M ; Maximum amount of memory a script may consume (8MB)
memory_limit = 200M ;




;;;;;;;;;;;;;;;;;
; Data Handling ;
;;;;;;;;;;;;;;;;;

; You should do your best to write your scripts so that they do not require
; register_globals to be on; Using form variables as globals can easily lead
; to possible security problems, if the code is not very well thought of.
register_globals = Off ;

; Maximum size of POST data that PHP will accept.
;post_max_size = 8M
post_max_size = 200M ;

Como eliminar todas las líneas en blanco de un archivo de texto con el editor VIM.

:%s/^\n//g

Gracias Split ;-).

Si al acceder a WHM reproduces este error, prueba lo siguiente:

Editar el archivo de configuración de phpMyAdmin:

/usr/local/cpanel/base/3rdparty/phpMyAdmin/config.inc.php