Solusan » Red Hat http://www.solusan.com ..:: Solusan - Otro blog más ::.. Thu, 25 Aug 2011 16:39:27 +0000 en hourly 1 http://wordpress.org/?v=106 Analizando logs http://www.solusan.com/analizando-logs.html http://www.solusan.com/analizando-logs.html#comments Thu, 02 Jul 2009 09:35:17 +0000 Solusan http://www.solusan.com/?p=1193 Un pequeño apunte para sacar datos de /var/log/secure

En este caso un listado de ataques a uno de los servidores.

root@elserver [~]#  cat /var/log/secure | grep Failed | cut -d: -f7 | cut -d' ' -f1 | sort| uniq -c
 8 148.228.20.240
 5 190.196.23.163
 8 200.164.76.166
 8 200.234.201.121
 12 202.103.25.132
 6 61.37.158.250
 11 77.51.250.130
 3 80.108.210.147

root@elserver [~]#  netstat -np | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | awk '{if ($1>2){print $0}}'
 49
 16 127.0.0.1
 19 DGRAM
 70 STREAM
]]> http://www.solusan.com/analizando-logs.html/feed 0 iptables TIP http://www.solusan.com/iptables-tip.html http://www.solusan.com/iptables-tip.html#comments Fri, 25 Apr 2008 11:49:06 +0000 Solusan http://www.solusan.com/?p=1008 Necesitamos que un equipo tenga acceso a toda la red corporativa y a si mismo, pero no al ‘resto del mundo’.

#!/bin/bash
iptables -F
iptables -X
iptables -Z

# abrimos trafico a la red interna

iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -s 10.120.0.0/16 -j ACCEPT
iptables -A INPUT -s 10.120.0.0/16 -j ACCEPT

iptables -A OUTPUT -d ! 10.120.0.0/16 -j DROP

]]> http://www.solusan.com/iptables-tip.html/feed 1 Sombreros rojos… http://www.solusan.com/sombreros-rojos.html http://www.solusan.com/sombreros-rojos.html#comments Wed, 16 Apr 2008 09:42:30 +0000 Solusan http://www.solusan.com/?p=995 1) Para buscar un RPM _instalado_ en tu máquina, p. ej. el
very-good_foo-4.3.2-1.rpm:
shell# rpm -qa | grep -i ‘foo’
Si /var/log/rpmpkgs es reciente:
shell# grep -i ‘foo’ /var/log/rpmpkgs
Nota: el ‘foo’ no hace falta que vaya entre comillas; sí que es aconsejable cuando utilizas expresiones regulares:
shell# echo “Very_Good_Foo-4.3.2.rpm” | grep -i ‘^ve.*foo.4′
2) Si el RPM no está instalado:
  • en el CD/DVD de la distro, en un directorio media/RPMS
  • en la propia web de Red Hat
Otras webs con repositorios de RPMs:
3) Actualizar la BBDD de ficheros. Es preferible esto que hacer una sola búsqueda con ‘find’!
Hay que encontrar el ejecutable, que puede ser…

shell# /etc/cron.daily/slocate.cron
shell# /etc/cron.daily/slocate
shell# /etc/cron.daily/updatedb
shell# /usr/bin/updatedb

4) de 2 a 5 minutos mas tarde, ya puedes hacer cuantas búsquedas quieras, y se harán en décimas:
(a veces el ejecutable se llama slocate, o mlocate)
(lo puedes buscar, con # ‘find’ /{,s}bin /usr/{,s}bin -name “*locate” ;-)

shell# locate -i 'foo'
shell# locate -i crond | grep bin/ ### lo encontrara en /usr/sbin/
shell# locate -i tkconf | grep lib/

Gracias McArm
]]> http://www.solusan.com/sombreros-rojos.html/feed 0