Hoy una receta interesante para Nagios, que permitirá recibir alertas por consumo de ancho de banda en vuestros servidores, algo muy util para detectar rápidamente un uso fraudulento de vuestra red.

Detectamos tráfico anomalo (picos altos de salida o entrada) cuando algo “no está funcionando de forma normal”, lo mas habitual es encontrar estos picos por alguno de estos motivos:

- Un aumento significativo en el numero de conexiones a alguna web que alojamos (tráfico de salida)
- Estamos sufriendo un DDoS contra nuestro servidor (tráfico de entrada)
- Algun alojamiento ha sido hackeado y han conseguido colocar algun script maligno

Si se dá el tercer caso, el tráfico que generen con el script puede ser de cualquier tipo, todo depende de lo que se “permita” hacer en el servidor y lo bien bastionado que lo tengamos todo.

Detectar el aumento en el ancho de banda es relativamente sencillo si estamos permanentemente monitorizando el servidor, pero lo que queremos, es que nuestro sistema de monitorización sea capaz de avisarnos de ese aumento de tráfico extraño, sin tener los ojos puestos en las gráficas en todo momento.

Para este manual, nos encontramos con que ya disponemos de un monitor instalado basado en Nagios (ya hemos hablado de el en otras ocasiones) y NRPE instalado en el servidor que vamos a monitorizar, con esta base lo que nos permitirá monitorizar el ancho de banda será el plugin “check_tcptraffic” podemos instalarlo siguiendo estos pasos:

EN EL SERVIDOR A MONITORIZAR:

Descargar check_tcptraffic de aqui: 

http://exchange.nagios.org/components/com_mtree/attachment.php?link_id=1483&cf_id=24

Y ejecutamos:

tar zxvf check_tcptraffic-2.2.4.tar.gz
cd check_tcptraffic-2.2.4
perl Makefile.PL
make
make install

Una vez instalado es probable que a la hora de ejecutarlo tengamos algun problema con modulos de perl que nos faltan, por ejemplo, si ejecutamos nuestro plugin y obtenemos algun error similar a esto:

# /usr/lib/nagios/plugins/contrib/check_tcptraffic
Can't locate Nagios/Plugin/Threshold.pm in @INC (@INC contains: /usr/lib64/perl5/site_perl/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/site_perl/5.8.8 /usr/lib/perl5/site_perl /usr/lib64/perl5/vendor_perl/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/vendor_perl/5.8.8 /usr/lib/perl5/vendor_perl /usr/lib64/perl5/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/5.8.8 .) at /usr/lib/nagios/plugins/contrib/check_tcptraffic line 36.
BEGIN failed--compilation aborted at /usr/lib/nagios/plugins/contrib/check_tcptraffic line 36.

o esto otro:

# /usr/lib/nagios/plugins/contrib/check_tcptraffic
Can't locate Readonly.pm in @INC (@INC contains: /usr/lib64/perl5/site_perl/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/site_perl/5.8.8 /usr/lib/perl5/site_perl /usr/lib64/perl5/vendor_perl/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/vendor_perl/5.8.8 /usr/lib/perl5/vendor_perl /usr/lib64/perl5/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/5.8.8 .) at /usr/lib/nagios/plugins/contrib/check_tcptraffic line 40.
BEGIN failed--compilation aborted at /usr/lib/nagios/plugins/contrib/check_tcptraffic line 40.

La solución pasa por instalar los modulos que nos falten, mediante CPAN o el sistema de paquetes de nuestra distribución, si teneis CentOS, seria tan sencillo como hacer esto:

yum install perl-Nagios-Plugin perl-Readonly

Y si queremos hacerlo desde CPAN seria algo así:

perl -MCPAN -e 'shell'
cpan> install Nagios::Plugin::Threshold
cpan> install Readonly

Una vez solucionadas las dependencias, comprobamos que el comando no da errores:

# /usr/lib/nagios/plugins/contrib/check_tcptraffic
Usage: check_tcptraffic [OPTIONS]

Missing argument: critical
Missing argument: warning
Missing argument: interface
Missing argument: speed

Enhorabuena! tenemos el plugin listo para funcionar, tan solo nos falta decidir el ancho de banda a partir del cual nos enviará un warning o un critical, en nuestro caso decidimos que 10mbits/s es un síntoma de alerta y que a partir de 14mbits/s será un critical, como al plugin le tenemos que pasar los valores en bytes/s tendríamos que ejecutar algo así:

# /usr/lib/nagios/plugins/contrib/check_tcptraffic -i eth0 -s 100 -w 1310720 -c 1835008
TCPTRAFFIC OK - eth0 288305 bytes/s | TOTAL=288305B;1310720;1835008 IN=282888B;; OUT=5417B;; TIME=1B;;

OJO! la primera vez que ejecutemos el script, nos indicará que no encuentra la BD y que la inicializa, en la siguiente ejecución tendremos ya datos reales.

Los parametros que tenemos que cambiar en esta llamada son:

-i
-s
-w
-c

Con estos valores configurados, editamos el fichero de configuración de NRPE, normalmente: /etc/nagios/nrpe.cfg y agregamos la linea:

command[check_traffic]=/usr/lib/nagios/plugins/contrib/check_tcptraffic -i eth0 -s 100 -w 1310720 -c 1835008

Una vez agregada, reiniciamos nrpe.

EN EL SERVIDOR NAGIOS:

Agregamos el en el nagios el servicio que monitorizará el tráfico, si disponeis de un front end como centreon para el nagios esta tarea se simplifica al máximo, en caso contrario se tendria que crear un servicio similar a este:

define service{
	use generic-service
	host_name host.domain.com
	service_description Ancho de banda
	is_volatile 0
	check_period 24x7
	max_check_attempts 4
	normal_check_interval 5
	retry_check_interval 1
	contact_groups admins
	notification_options w,u,c,r
	notification_interval 10
	notification_period 24x7
	check_command check_nrpe!check_traffic
}

Una vez introducido el servicio, lo asignamos al servidor que vamos a monitorizar y reiniciamos nagios.

Espero que os haya sido de utilidad!

Si tienes un wordpress esto te interesa y mucho!

Desde hace aproximadamente 2 dias, se está produciendo un ataque distribuido a gran escala contra toda instalación wordpress que se encuentre online.

Es posible que si mantienes un cierto control sobre las visitas de tu blog, hayas notado un incremento de visitantes que solo acceden al fichero wp-login.php, como ya te habrás imaginado, estos visitantes no buscan nada bueno, se trata de un ataque de fuerza bruta contra tu blog y lo único que pretenden es conseguir hacerse con el acceso admin de tu blog, para posteriormente subir código malicioso en tu blog.

Este ataque distribuido que estámos sufriendo puede mitigarse desde varios frentes:

1. Configuración desde Wordpres.
2. Configuración a nivel de servidor.

Lamentablemente,  si tu WordPress está alojado en un servidor compartido, tendrás que descartar la segunda alternativa, pero te animo a que lo comuniques a tu proveedor de hosting, nunca está de más informar para que se tomen las medidas adecuadas, en cualquier caso si que puedes tomar medidas que protegerán bastante bien tu blog frente a atacantes, aquí tienes unas cuantas ideas interesantes, también puedes añadir el plugin “limit login attempts” es un método extremadamente sencillo de protegerte y el conocido Better WP Security

En este post nos ocuparemos del segundo caso, tenemos control sobre el servidor en el que tenemos instalaciones de wordpress, y aunque seguro que nuestros clientes con wordpress toman las medidas necesarias para evitar estos ataques (ehem…) no está de más que nosotros tengamos previstas ciertas medidas de contingencia.

En concreto y ya que en otro post hemos explicado como se instala fail2ban para proteger nuestro servidor de ataques de otro tipo, vamos a centrarnos en la configuración de fail2ban, simplemente tendremos que agregar una regla para ayudarnos a sortear este ataque.

Si nos hemos fijado en los accesos en los logs, podemos encontrar algo asi:

204.**** - - [12/Apr/2013:12:55:16 +0200] "POST /wp-login.php HTTP/1.1" 200 3673 "-" "-"
109.**** - - [12/Apr/2013:13:27:29 +0200] "GET /wp-login.php HTTP/1.1" 200 2768 "-" "Python-urllib/2.7"
109.**** - - [12/Apr/2013:13:27:38 +0200] "GET /wp-login.php HTTP/1.1" 200 2768 "-" "Python-urllib/2.7"
204.**** - - [12/Apr/2013:14:29:59 +0200] "GET /wp-login.php HTTP/1.1" 200 2768 "-" "-"
204.**** - - [12/Apr/2013:14:29:59 +0200] "GET /wp-login.php HTTP/1.1" 200 2768 "-" "-"
204.**** - - [12/Apr/2013:14:30:13 +0200] "POST /wp-login.php HTTP/1.1" 200 3673 "-" "-"
204.**** - - [12/Apr/2013:14:30:13 +0200] "POST /wp-login.php HTTP/1.1" 200 3673 "-" "-"
...
...

De modo que simplemente tendremos que agregar en nuestro fichero /etc/fail2ban/jail.conf la siguiente entrada:

[apache-wp-login]
enabled = true
port    = http,https
filter  = apache-wp-login
action   = iptables-multiport[name=ATAQUE-WP, port="http,https"]
           sendmail-buffered[name=ATAQUE-WP, lines=5, dest=TU EMAIL]
logpath = /var/log/httpd/access_log
maxretry = 5
findtime = 120

Lo que estamos haciendo es indicar un máximo de 5 reintentos (maxretry) en 2 minutos (findtime) en un fichero de logs concreto (logpath).

Ojo: hay que buscar un log donde se almacenen TODAS las entradas de nuestros alojamientos, si usais plesk probablemente tengais que utilizar la linea: logpath = /var/www/vhosts/*/statistics/logs/access_log

Posteriormente agregamos el FILTRO en /etc/fail2ban/filters.d/ creando el fichero apache-wp-login.conf con este contenido:

# Fail2Ban configuration file
#
#

[Definition]

# Option:  failregex
# Notes.:  Regexp to catch Apache dictionary attacks on WordPress wp-login
# Values:  TEXT
#
failregex = .*] "(GET|POST) /wp-login.php

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Una vez creado el fichero, reiniciamos fail2ban, y desde ahora banearemos por iptables las ip que intenten acceder mas de 5 veces a nuestra zona de administración de wordpress en menos de dos minutos, lo malo es que esto te incluye a ti… asi que si has olvidado la clave de tu blog, no lo intentes más veces!!! en cualquier caso, el baneo por defecto es de 10minutos, de modo que podrás volver a intentarlo pasado ese tiempo.

Te recuerdo que esta medida de contingencia por si sola no es suficiente para prevenir ataques, siempre es recomendable incorporarla a los métodos de prevención de ataques de los que ya se disponga (firewall, mod_evasive…) y comunicar a los clientes los problemas que van a encontrarse si no mantienen su blog actualizado.

Fail2Ban es un pequeño script programado en python que se encarga de observar los logs en busca de “patrones” sospechosos, y es capaz de tomar medidas para bloquear a los atacantes ya sea con iptables o lanzando un comando de nuestra elección.

Para instalarlo en CentOS, podemos instalar el repositorio de EPEL siguiendo los siguientes pasos:

rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpm

Una vez instalado el repositorio, instalamos fail2ban:

yum -y install fail2ban

El directorio de configuracion de fail2ban es /ec/fail2ban/ allí encontraremos 2 directorios: action.d y filter.d.

En action.d, encontraremos las acciones que fail2ban realizará cuando alguno de nuestros filtros “cace” alguna IP haciendo maldades. Estas acciones pasan por filtrado con iptables, envio de mails de aviso etc, mientras que en filter.d, tenemos todos los filtros que utilizaremos a modo de “trampa” para cazar a nuestros atacantes.

En nuestro caso, vamos a configurar fail2ban en un servidor web, al que ultimamente se le ha detectado un alto numero de intentos de ataque de inyección, tanto SQL como XSS, y como mínimo pretendemos bloquear los accesos que hemos detectado en los logs.

Para eso tendremos que editar el fichero jail.conf del directorio /etc/fail2ban/ en este fichero tendremos todas las trampas o “jails” y sus correspondientes acciones, acompañados de unos parametros por defecto, de entrada, es recomendable que agreguemos en la linea “ignoreip” nuestra ip local, o la de algun servidor con el que podamos conectar en caso de que por error nos bloqueemos nosotros mismos.

ignoreip = 127.0.0.1 <nuestra ip>

Una vez hecho esto, revisamos todas las entradas de este fichero, la primera entrada que encontramos es la de ssh, esta “jail” en nuestro caso es asi:

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=root, sender=fail2ban@mail.com]
logpath  = /var/log/secure
maxretry = 5

Tenemos por orden los siguientes campos:

• El nombre
• Si está habilitado
• La accion a ejecutar (una por linea), en este caso filtramos con el “action” iptables el puerto ssh y mandamos un mail con el action sendmail-whois a fail2ban@mail.com
• Indicamos el fichero de logs que leera el filtro /var/log/secure es donde logea SSH.
• Y le indicamos el numero de intentos con el que ejecutamos la accion (en este caso 5)

Nosotros no tenemos acceso SSH al exterior en nuestras máquinas de modo que vamos a dejar “enabled=false“, y procederemos a configurar las siguientes “jails” que si que son interesantes para el servicio web:

[apache-tcpwrapper]
enabled  = true
filter   = apache-auth
action   = hostsdeny
logpath  = /var/www/vhosts/*/statistics/logs/error_log
maxretry = 6

[apache-badbots]
enabled  = true
filter   = apache-badbots
action   = iptables-multiport[name=BadBots, port="http,https"]
           sendmail-buffered[name=BadBots, lines=5, dest=you@mail.com]
logpath  = /var/www/vhosts/*/statistics/logs/access_log
bantime  = 172800
maxretry = 1

# Para prevenir ataques de inyeccion de codigo
[php-url-fopen]
enabled = true
port    = http,https
filter  = php-url-fopen
logpath = /var/www/vhosts/*/statistics/logs/access_log
maxretry = 1

# Evitamos ataques de ips que accedan a urls que contengan passthru o system o similares
[apache-hacks]
enabled  = true
port     = http,https
filter   = apache-hacks
action   = iptables-multiport[name=AtaqueApache, port="http,https"]
           sendmail-buffered[name=AtaqueApache, lines=5, dest=you@mail.com]
logpath  = /var/www/vhosts/*/statistics/logs/access_log
maxretry = 3

Lo realmente importante aqui, es cambiar las lineas logpath, ya que nuestro servidor es un plesk la ruta de los logs es “/var/www/vhosts/*/statistics/logs/access_log” o “/var/www/vhosts/*/statistics/logs/error_log” el resto, son cambios en el mail de destino al que mandaremos el mail, y los nombres de los filtros a aplicar, nosotros aplicamos estos:

apache-tcpwrapper:

Bloquea con el fichero /etc/hosts.deny los hosts que se intentan conectar a dominios protegidos con contraseña (estos fallos de autenticación aparecen en el error_log)

apache-badbots

Bloquea por iptables los hosts que se conectan haciendo uso de un “User Agent” sospechoso, y nos envia un mail para avisarnos.

php-url-fopen

Bloqueamos los hosts, que intentan una inyeccion de código del tipo: GET /index.php?n=http://www.dominio.com/fichero.htm

apache-hacks

Bloquea los hosts que acceden a urls sospechosas, haciendo un SCAN o directamente acceden a urls intentando inyectar llamadas al sistema desde php (system, passthru…) esta regla se va rellenando con las expresiones que vamos encontrando en los logs, al final del post, adjuntamos el contenido del filtro en nuestro caso.

En el ultimo caso, hemos creado un fichero apache-hacks.conf en el directorio filters.d, para empezar podemos agregar entradas como estas:

failregex = ^<HOST> -.*”(GET|POST).*\?.*passthru.* HTTP\/.*$
^<HOST> -.*”(GET|POST).*\?.*system.* HTTP\/.*$

Y mas adelante agregar nuevas reglas.

Con estos 4 casos, podemos evitar algunos de los intentos de ataque mas comunes, pero no podemos ni por un momento pensar que con solo aplicar esto estamos a salvo.

En otro post vamos a explicar las medidas de seguridad básicas que todo servidor de alojamiento tiene que aplicar para no ser demasiado vulnerable, mod_security, apache ITK, Hardening de PHP, SuHoshin…

Hoy en dia el uso de cufón para agregar tipografias a nuestra web se ha extendido mucho, la mayor parte de themes que encontramos para WordPress lo utilizan para dar un mejor aspecto a los títulos y encabezados.

Para el que no lo sepa, cufón es un sistema de reemplazo de fuentes, que nos permite ofrecer una tipografia en la web sin necesidad de que el visitante la tenga instalada en su equipo, para ello, usa javascript y renderiza la tipografía para el navegador, si usamos IE, nos mostrará capas VML, y si nuestro navegador soporta html5, utilizará la etiqueta <canvas>.

La técnica en si es de lo mas sencilla de usar, tan solo tendremos que incluir el archivo javascript canvas-yui y luego generar otro javascript con la utilidad web de cufón, en la que subiremos los archivos TTF de la tipografía que queremos generar (a ser posible en todos los formatos: regular, negrita, cursiva y negrita-cursiva), indicaremos un nombre para nuestra fuente y la web nos ofrecerá el archivo para descargar que tendremos que incluir en la cabecera.

<script type="text/javascript" src="js/jquery-1.5.2.min.js"></script>
<script type="text/javascript" src="js/cufon-yui.js"></script>
<script type="text/javascript" src="js/WalkWaySemiBold_400.font.js"></script>

Para mi, uno de los problemas de este sistema, es que no es ni estándar ni accesible, además, no podremos seleccionar la fuente que veremos en la web, ya que nos aparecerá como una imagen.

Para solucionar estos problemas de accesibilidad, ha nacido una alternativa basada en CSS3, que hace exactamente lo mismo siendo accesible, y permitiendo seleccionar el texto que vemos en pantalla, simplemente usando declaraciones @font-face.

¿Y como funciona? es mas sencillo aún que utilizar cufón, hay multiples alternativas (generadores, hosted webfonts…) yo he optado por utilizar un generador de webfonts que se llama fontsquirrel.

Una vez estamos en su generador, tan solo tenemos que subir los TTF igual que hacemos para cufón, y el sistema nos descargará los archivos necesarios para nuestra web, y el código que tendremos que colocar en nuestra hoja de estilos, en mi caso, subi la fuente WalkWaySemiBoldRegular, el código que he tenido que agregar es este:

@font-face {
    font-family: 'WalkwaySemiBoldRegular';
    src: url('css/walkway_semibold-webfont.eot');
    src: url('css/walkway_semibold-webfont.eot?#iefix') format('embedded-opentype'),
         url('css/walkway_semibold-webfont.woff') format('woff'),
         url('css/walkway_semibold-webfont.ttf') format('truetype'),
         url('css/walkway_semibold-webfont.svg#WalkwaySemiBoldRegular') format('svg');
    font-weight: normal;
    font-style: normal;

}

El resultado funciona en estos navegadores: Safari 5.03, IE 6-9, Firefox 3.6-4, Chrome 8, iOS 3.2-4.2, Android 2.2-2.3, Opera 11

Podeis ver el resultado en nuestra web, todos los encabezados y títulos de esta página se renderizan con CSS accesible, sin javascript y sin usar canvas o VML.

Lo habitual es que de entrada los permisos en el directorio web de ese alojamiento no sean “correctos”, correctos para este software significa que tendremos que asignar permisos totales a los usuarios con los que se ejecuta ASP.NET en el servidor, asi como el usuario con el que funciona el pool de aplicaciones de ese dominio, normalmente IIS_WPG(nombredominio) y su correspondiente IUSR_

Estos permisos los tendremos que dar en la carpeta httpdocs del alojamiento, con boton derecho->propiedades y en la pestaña seguridad tendremos que marcar en esos usuarios la opcion de “control total”.

Una vez asignados los permisos “correctos” podemos encontrarnos con un nuevo error, en nuestro caso:

Este se produce porque el usuario PSACLN no tiene acceso al GAC dentro de c:/windows/assembly (aunque no aparezca por ningun lado), podemos solucionar este error de dos formas:

Error de servidor en la aplicación '/'.
--------------------------------------------------------------------------------

Acceso denegado. (Excepción de HRESULT: 0x80070005 (E_ACCESSDENIED))
Descripción: Excepción no controlada al ejecutar la solicitud Web actual. Revise el seguimiento de la pila para obtener más información acerca del error y dónde se originó en el código.

Detalles de la excepción: System.UnauthorizedAccessException: Acceso denegado. (Excepción de HRESULT: 0x80070005 (E_ACCESSDENIED))

ASP.NET no está autorizado para obtener acceso al recurso solicitado. Considere la posibilidad de conceder derechos de acceso al recurso para la identidad de solicitud de ASP.NET. Si la aplicación no se va a suplantar, ASP.NET utiliza una identidad de proceso base (normalmente {MACHINE}\ASPNET en IIS 5 o Network Service en IIS 6). Si la aplicación se va a suplantar mediante , la identidad será el usuario anónimo (generalmente IUSR_MACHINENAME) o el usuario solicitado autenticado.

Para conceder a ASP.NET acceso a un archivo, desde el Explorador, haga clic con el botón secundario del mouse en el archivo, elija "Propiedades" y seleccione la ficha Seguridad. Haga clic en "Agregar" para agregar el usuario o grupo adecuado. Resalte la cuenta de ASP.NET y active las casillas según el acceso deseado.

Error de código fuente:

Se ha generado una excepción no controlada durante la ejecución de la solicitud Web actual. La información sobre el origen y la ubicación de la excepción pueden identificarse utilizando la excepción del seguimiento de la pila siguiente.

Seguimiento de la pila:

[UnauthorizedAccessException: Acceso denegado. (Excepción de HRESULT: 0x80070005 (E_ACCESSDENIED))]

[FileLoadException: No se puede cargar el archivo o ensamblado 'System.ServiceModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' ni una de sus dependencias. Acceso denegado.]
System.Reflection.Assembly._nLoad(AssemblyName fileName, String codeBase, Evidence assemblySecurity, Assembly locationHint, StackCrawlMark& stackMark, Boolean throwOnFileNotFound, Boolean forIntrospection) +0
System.Reflection.Assembly.nLoad(AssemblyName fileName, String codeBase, Evidence assemblySecurity, Assembly locationHint, StackCrawlMark& stackMark, Boolean throwOnFileNotFound, Boolean forIntrospection) +43
System.Reflection.Assembly.InternalLoad(AssemblyNa me assemblyRef, Evidence assemblySecurity, StackCrawlMark& stackMark, Boolean forIntrospection) +127
System.Reflection.Assembly.InternalLoad(String assemblyString, Evidence assemblySecurity, StackCrawlMark& stackMark, Boolean forIntrospection) +142
System.Reflection.Assembly.Load(String assemblyString) +28
System.Web.Configuration.CompilationSection.LoadAs semblyHelper(String assemblyName, Boolean starDirective) +46

[ConfigurationErrorsException: No se puede cargar el archivo o ensamblado 'System.ServiceModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' ni una de sus dependencias. Acceso denegado.]
System.Web.Configuration.CompilationSection.LoadAs semblyHelper(String assemblyName, Boolean starDirective) +613
System.Web.Configuration.CompilationSection.LoadAs sembly(AssemblyInfo ai) +57
System.Web.Compilation.BuildManager.GetReferencedA ssemblies(CompilationSection compConfig) +178
System.Web.Compilation.BuildProvidersCompiler..cto r(VirtualPath configPath, Boolean supportLocalization, String outputAssemblyName) +54
System.Web.Compilation.ApplicationBuildProvider.Ge tGlobalAsaxBuildResult(Boolean isPrecompiledApp) +232
System.Web.Compilation.BuildManager.CompileGlobalA sax() +51
System.Web.Compilation.BuildManager.EnsureTopLevel FilesCompiled() +337

[HttpException (0x80004005): No se puede cargar el archivo o ensamblado 'System.ServiceModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' ni una de sus dependencias. Acceso denegado.]
System.Web.Compilation.BuildManager.ReportTopLevel CompilationException() +58
System.Web.Compilation.BuildManager.EnsureTopLevel FilesCompiled() +512
System.Web.Hosting.HostingEnvironment.Initialize(A pplicationManager appManager, IApplicationHost appHost, IConfigMapPathFactory configMapPathFactory, HostingEnvironmentParameters hostingParameters) +729

[HttpException (0x80004005): No se puede cargar el archivo o ensamblado 'System.ServiceModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' ni una de sus dependencias. Acceso denegado.]
System.Web.HttpRuntime.FirstRequestInit(HttpContex t context) +8897659
System.Web.HttpRuntime.EnsureFirstRequestInit(Http Context context) +85
System.Web.HttpRuntime.ProcessRequestNotificationP rivate(IIS7WorkerRequest wr, HttpContext context) +333

A la manera plesk:

1. Editar el fichero: %plesk_dir%\etc\DiskSecurity\disksecurity.xml

2. Agregar esta linea en el XML:

3. Ejecutar: "%plesk_bin%\applysecurity" --apply

4. Esperar un buen rato...

5. Reiniciar el pool de aplicaciones y probar si se ha arreglado el problema.

A la manera “tradicional” (cacls es tu amigo)

1. Abre una consola en modo administrador (boton derecho ejecutar como administrador)

2. ejecuta esto en el terminal:

cacls C:\Windows\assembly\GAC_MSIL /E /R psacln /T /C
cacls C:\Windows\assembly\GAC_MSIL /E /R psaadm /T /C

(tardara un rato y tiene una salida por pantalla de lo mas entretenida)

3. Reinicia el pool de aplicaciones del dominoi y comprueba que funciona.

Si con estos permisos sigue sin funcionarte, es posible que aun falte una cosa mas: asignar permisos al usuario “network” en el alojamiento web (y en general a todos a los directorios que use el DNN y se indiquen en los errores)

Espero que despues de todo esto funcione correctamente y no tengais mas problemas de permisos.

Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos.

1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.
2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.
3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.
4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.
5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.
6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.
7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.
8. Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.
9. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.
10. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.
11. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.

La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.

Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir. La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.

Si te sientes representado por este manifiesto te pedimos encarecidamente que lo copies y lo publiques en tu blog o que lo menciones en tu cuenta de Twitter o en Facebook usando el hashtag #redneutral. ¡Muchas gracias!

En nuestro caso tenemos servidores de dos tipos, dependiendo de la controladora que tengamos, unos pueden ser monitorizados con la utilidad de DELL OMSA (OpenManage Server Administrator) imagino que cualquiera que disponga de servidores DELL ya conoce la herramienta, en el otro caso utilizaremos la utilidad mpt-status.

La instalación en ambos casos es muy sencilla, en máquinas con CentOS 5 de 64 bits para instalar OMSA:

# wget -q -O - http://linux.dell.com/repo/hardware/latest/bootstrap.cgi | bash
# yum install srvadmin-all
# srvadmin-services.sh start

Lo que hemos hecho ha sido instalar el repositorio oficial de DELL en la máquina (con las firmas y todo lo que necesita) instalar todos los modulos y luego arrancar los servicios de monitoring, incluyendo el interfaz web del omsa.

Una vez hecho esto podemos comprobar que funciona:

# omreport storage controller
 Controller  PERC 6/i Integrated (Embedded)

Controllers
ID                                            : 0
Status                                        : Non-Critical
Name                                          : PERC 6/i Integrated
Slot ID                                       : Embedded
State                                         : Degraded
Firmware Version                              : 6.0.3-0002
Minimum Required Firmware Version             : 6.2.0-0012
Driver Version                                : 00.00.04.08-RH2

Minimum Required Driver Version               : Not Applicable
Storport Driver Version                       : Not Applicable
Minimum Required Storport Driver Version      : Not Applicable
Number of Connectors                          : 2
Rebuild Rate                                  : 30%
BGI Rate                                      : 30%
Check Consistency Rate                        : 30%
Reconstruct Rate                              : 30%
Alarm State                                   : Not Applicable
Cluster Mode                                  : Not Applicable
SCSI Initiator ID                             : Not Applicable
Cache Memory Size                             : 256 MB
Patrol Read Mode                              : Auto
Patrol Read State                             : Stopped
Patrol Read Rate                              : 30%
Patrol Read Iterations                        : 111
Abort Check Consistency on Error              : Not Applicable
Allow Revertible Hot Spare and Replace Member : Not Applicable
Load Balance                                  : Not Applicable
Auto Replace Member on Predictive Failure     : Not Applicable
Redundant Path view                           : Not Applicable
Persistent Hot Spare                          : Not Applicable
Security Capable                              : Not Applicable
Security Key Present                          : Not Applicable
Spin Down Unconfigured Drives                 : Not Applicable
Spin Down Hot Spares                          : Not Applicable

Y para instalar mpt-status, podemos optar por descargar un RPM o compilarlo, yo optaria por lo sencillo si podeis elegir, en mi caso descargo el RPM de la version de 64bits:

# wget http://repo.nixval.com/nixval-centos/5/updates/mpt-status-1.2.0-72.x86_64.rpm
# rpm -i mpt-status-1.2.0-72.x86_64.rpm

Una vez tenemos los 2 sistemas de monitorización para cada tipo de servidor, nos queda enlazarlo con nuestro Nagios, para ello utilizaremos 2 plugins que podemos descargar de su propia web de nagios exchange, en el primer caso utilizaremos el check_openmanage, y para el mpt-status el check_mpt.

Para poder utilizar estas herramientas en nuestros servidores vamos a instalar el plugin NRPE, este plugin permite a nuestro servidor Nagios ejecutar comandos y obtener los resultados de servidores remotos, hay otras alternativas por snmp que ofrecen similares resultados, pero esta es de las mas sencillas de configurar.

En nuestro caso, hemos instalado el paquete RPM de NRPE del repositorio rpmforge, si no lo teneis activo tendreis que instalarlo primero (en caso de tener una CentOS 5 de 64 bits, en caso contrario visitad la web de Dag para seleccionar el correcto):

# rpm -Uhv http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS//rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm

Una vez instalado el repositorio, instalamos el paquete nagios-nrpe:

# yum install nagios-nrpe

Una vez instalado, nos descargamos los plugins check_openmanage, o check_mpt segun proceda, y los ponemos en un directorio de nuestra elección, en nuestro caso el RPM de check_openmanage nos crea la estructura de directorios de nagios “/usr/lib64/nagios/plugins/” en el caso del check_mpt podemos optar por crear ese mismo directorio y darle permisos de ejecución.

Ahora tendremos que configurar en el fichero /etc/nagios/nrpe.cfg las lineas importantes que son estas (en el caso de openmanage):

command[check_storage]=/usr/lib64/nagios/plugins/check_openmanage -b ctrl_fw=all/ctrl_driver=all --only storage

Una vez configurado, reiniciamos nrpe:

service nrpe reload

Y ya tendriamos acceso desde nuestro nagios a la monitorización del estado del RAID.

Web corporativa de empresa de maquinaria en la que se muestran los productos que se fabrican, las noticias de la empresa y las ferias a las que asisten.

La programacion permite subir multiples imágenes por cada producto y dispone de una gestion de categorias multinivel (categorias y subcategorias) para cada producto.

El sistema genera dinámicamente urls SEF para que los buscadores indexen de forma correcta cada producto en cada idioma, asi como las categorias que se introducen desde la zona de administración.

Se ha creado zona de gestión para los idiomas de forma que el cliente puede realizar las traducciones de forma sencilla, así como incorporar información de cada modulo en varios idiomas.

Disponen de zona privada para clientes con información sobre sus productos, videos y manuales asociados.

Red social para deportistas.

Sportfactor es una red Social orientada a deportistas, el sistema permite la creación de rutinas y dietas personalizadas por usuario, se incluye un “muro” en el que los usuarios pueden colgar sus fotos, videos y enlaces y compartirlos con la comunidad de una forma muy sencilla.

Se incluye un sistema de micrositios de deportes en el que se han programado agregadores de noticias categorizadas en cada deporte, ademas de un sistema de comentarios para los usuarios registrados.

El desarrollo hace uso intensivo de llamadas AJAX mediante jquery para los envios de información, obtención de los datos y consultas de todo tipo, ademas de urls amigables para una optima indexación.

El sistema genera de forma automática un siemap en XML y HTML con los datos en tiempo real del sitio.

Web corporativa de empresa de maquinaria para el packaging.

Web corporativa de empresa de maquinaria para el packaging en la que se muestran los productos que se fabrican, las noticias de la empresa y las ferias a las que asisten.

La programacion permite subir multiples imágenes por cada producto y dispone de una gestion de categorias multinivel (categorias y subcategorias) para cada producto.

El sistema genera dinámicamente urls SEF para que los buscadores indexen de forma correcta cada producto en cada idioma, asi como las categorias que se introducen desde la zona de administración.

Se ha creado zona de gestión para los idiomas de forma que el cliente puede realizar las traducciones de forma sencilla, así como incorporar información de cada modulo en varios idiomas.