Servidor de Correo + Seguridad + antivirus

paso 1 :

Repo de EPEL

nano /etc/yum.repos.d/epel.repo

---------------------------------------------------------------------------------------------------
[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7

[epel-debuginfo]
name=Extra Packages for Enterprise Linux 7 - $basearch - Debug
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch/debug
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-debug-7&arch=$basearch
failovermethod=priority
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
gpgcheck=1

[epel-source]
name=Extra Packages for Enterprise Linux 7 - $basearch - Source
#baseurl=http://download.fedoraproject.org/pub/epel/7/SRPMS
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-source-7&arch=$basearch
failovermethod=priority
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
gpgcheck=1
-----------------------------------------------------------------------------------------------------------------------------------------------------

yum install postfix spamassassin amavis-new clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-lib clamav-server-systemd

Paso 1: Postfix

nano /etc/postfix/main.cf

----------------------------------------------------------------------------------------------------
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
mail_owner = postfix
myhostname = server
mydomain = dominio.com
myorigin = $mydomain
inet_interfaces = all
inet_protocols = all
mydestination = $myhostname, localhost.$mydomain, $mydomain, otrodominio.com
unknown_local_recipient_reject_code = 550
mynetworks = 127.0.0.1 , x.y.z.t
relay_domains = $mynetworks
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mail_spool_directory = /data/mail
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.6.6/samples
content_filter=smtp-amavis:[127.0.0.1]:10024
##smtpd_banner = $myhostname ESMTP $mail_name
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
disable_vrfy_command = yes
delay_warning_time = 10h
default_destination_concurrency_limit = 2
smtpd_recipient_restrictions = permit_mynetworks,
reject_unauth_destination,
check_policy_service unix:private/policy,
reject_unknown_recipient_domain,
reject_invalid_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unauth_pipelining,
smtpd_helo_restrictions = permit_mynetworks,
reject_invalid_helo_hostname,
reject_unknown_helo_hostname,
reject_non_fqdn_helo_hostname
smtpd_recipient_restrictions = permit_mynetworks,
reject_unauth_destination,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain
data_directory = /var/lib/postfix
--------------------------------------------------------------------------------------------------------------------------

nano /etc/postfix/master.cf

----------------------------------------------------------------------------------------------------------------------
smtp-amavis unix - - y - 2 smtp
-o smtp_data_done_timeout=1200
-o disable_dns_lookups=yes
127.0.0.1:10025 inet n - y - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.1
-o strict_rfc821_envelopes=yes
--------------------------------------------------------------------------------------------------------------------------

nano /etc/amavisd/amavisd.conf

Los cambios a realizar son :

$max_servers = 2; # num of pre-forked children (2..30 is common), -m
$daemon_user = 'amavis'; # (no default; customary: vscan or amavis), -u
$daemon_group = 'amavis'; # (no default; customary: vscan or amavis), -g

$mydomain = 'midominio.com'; # a convenient default for other settings

$MYHOME = '/var/spool/amavisd'; # a convenient default for other settings, -H

@mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 );

$unix_socketname = "$MYHOME/amavisd.sock"; # amavisd-release or amavis-milter
# option(s) -p overrides $inet_socket_port and $unix_socketname

$inet_socket_port = 10024; # listen on this local TCP port(s)

$sa_tag_level_deflt = 2.0; # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 6.2; # add 'spam detected' headers at that level
$sa_kill_level_deflt = 6.9; # triggers spam evasive actions (e.g. blocks mail)
$sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent
$sa_crediblefrom_dsn_cutoff_level = 18; # likewise, but for a likely valid From
# $sa_quarantine_cutoff_level = 25; # spam level beyond which quarantine is off
$penpals_bonus_score = 8; # (no effect without a @storage_sql_dsn database)
$penpals_threshold_high = $sa_kill_level_deflt; # don't waste time on hi spam
$bounce_killer_score = 100; # spam score points to add for joe-jobbed bounces

$sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger
$sa_local_tests_only = 0; # only tests which do not require internet access?

@addr_extension_virus_maps = ('virus');
@addr_extension_banned_maps = ('banned');
@addr_extension_spam_maps = ('spam');
@addr_extension_bad_header_maps = ('badh');
# $recipient_delimiter = '+'; # undef disables address extensions altogether
# when enabling addr extensions do also Postfix/main.cf: recipient_delimiter=+

$path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin';
# $dspam = 'dspam';

$MAXLEVELS = 14;
$MAXFILES = 3000;
$MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced)
$MAX_EXPANSION_QUOTA = 500*1024*1024; # bytes (default undef, not enforced)

$sa_spam_subject_tag = '***Spam*** ';

$notify_method = 'smtp:[127.0.0.1]:10025';
$forward_method = 'smtp:[127.0.0.1]:10025'; # set to undef with milter!

$final_virus_destiny = D_DISCARD;
$final_banned_destiny = D_BOUNCE;
$final_spam_destiny = D_DISCARD; #!!! D_DISCARD / D_REJECT
$final_bad_header_destiny = D_BOUNCE;
# $bad_header_quarantine_method = undef;

# read_hash("/var/amavis/sender_scores_sitewide"),

{ # a hash-type lookup table (associative array)
'nobody@cert.org' => -3.0,
'cert-advisory@us-cert.gov' => -3.0,
'owner-alert@iss.net' => -3.0,
'slashdot@slashdot.org' => -3.0,
'securityfocus.com' => -3.0,
'ntbugtraq@listserv.ntbugtraq.com' => -3.0,
'security-alerts@linuxsecurity.com' => -3.0,
'mailman-announce-admin@python.org' => -3.0,
'amavis-user-admin@lists.sourceforge.net'=> -3.0,
'amavis-user-bounces@lists.sourceforge.net' => -3.0,
'spamassassin.apache.org' => -3.0,
'notification-return@lists.sophos.com' => -3.0,
'owner-postfix-users@postfix.org' => -3.0,
'owner-postfix-announce@postfix.org' => -3.0,
'owner-sendmail-announce@lists.sendmail.org' => -3.0,
'sendmail-announce-request@lists.sendmail.org' => -3.0,
'donotreply@sendmail.org' => -3.0,
'ca+envelope@sendmail.org' => -3.0,
'noreply@freshmeat.net' => -3.0,
'owner-technews@postel.acm.org' => -3.0,
'ietf-123-owner@loki.ietf.org' => -3.0,
'cvs-commits-list-admin@gnome.org' => -3.0,
'rt-users-admin@lists.fsck.com' => -3.0,
'clp-request@comp.nus.edu.sg' => -3.0,
'surveys-errors@lists.nua.ie' => -3.0,
'emailnews@genomeweb.com' => -5.0,
'yahoo-dev-null@yahoo-inc.com' => -3.0,
'returns.groups.yahoo.com' => -3.0,
'clusternews@linuxnetworx.com' => -3.0,
lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0,
lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0,

# soft-blacklisting (positive score)
'sender@example.net' => 3.0,
'.example.net' => 1.0,

},
], # end of site-wide tables
});

@av_scanners_backup = (

### http://www.clamav.net/ - backs up clamd or Mail::ClamAV
['ClamAV-clamscan', 'clamscan',
"--stdout --no-summary -r --tempdir=$TEMPBASE {}",
[0], qr/:.*\sFOUND$/m, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ],

Luego
cp /usr/share/clamav/template/clamd.conf /etc/clamd.d/clamd.conf
sed -i ‘/^Example/d’ /etc/clamd.d/clamd.conf <--- comentar la linea #example

cp /etc/freshclam.conf /etc/freshclam.conf.bak
sed -i ‘/^Example/d’ /etc/freshclam.conf <--- comentar la linea #Example

Crear : /usr/lib/systemd/system/clam-freshclam.service
----------------------------------------------------------------------
# Run the freshclam as daemon
[Unit]
Description = freshclam scanner
After = network.target
[Service]
Type = forking
ExecStart = /usr/bin/freshclam -d -c 4
Restart = on-failure
PrivateTmp = true
[Install]
WantedBy=multi-user.target
-----------------------------------------------------------------------

systemctl enable clam-freshclam.service
systemctl start clam-freshclam.service

mv /usr/lib/systemd/system/clamd@.service /usr/lib/systemd/system/clamd.service

nano /etc/clamd.d/clamd.conf

LogFileMaxSize 0
LogTime yes
LogSyslog yes
PidFile /var/run/clamd.amavisd/clamd.pid
TemporaryDirectory /var/tmp
DatabaseDirectory /var/lib/clamav
User amavis
LocalSocket /var/run/clamd.amavisd/clamd.sock
LocalSocketGroup clamscan
FixStaleSocket yes
TCPSocket 3310
TCPAddr 127.0.0.1
MaxConnectionQueueLength 30
MaxThreads 50
ReadTimeout 300
AllowSupplementaryGroups yes
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanPDF yes
ScanMail yes
ArchiveBlockEncrypted no
BytecodeSecurity TrustSigned

Finalmente :

nano /etc/mail/spamassassin/local.c
required_hits 5
report_safe 0
rewrite_header Subject [SPAM]

systemctl start spamassassin
systemctl enable spamassassin
systemctl start clamd
systemctl enable clamd
systemctl start amavisd
systemctl enable amavisd
systemctl start postfix
systemctl enable postfix

Un buen para el soporte de mas temas :

https://www.centos.org/forums/viewtopic.php?t=6771

Tags: 

Postgresql Centos 7- Reload

Luego de reinstalar mi servidor es necesario la documentación , solo subiré información que realmente complementa a una instalación tipica .

Paso1: yum -y install postgresql postgresql-server php php-pgsql php-xml php-gd (Para el soporte de Drupal con PG)

Paso 2:
Editar :
nano /usr/lib/systemd/system/postgresql.service
Editar la linea :
# Location of database directory
Environment=PGDATA=/data/dbpg

Paso3:

Inicializar la db : previamente creo una carpeta para que esté la db
mkdir /data/dbpg
chown postgres.postgres /data/dbpg -R
postgres initdb -D /data/dbpg <--- inicializando

Luego edito el pg_hba.conf

host all all 127.0.0.1/32 md5
host all all ::1/128 md5
host all all 192.168.155.2/32 md5

Finalmente :

systemctl start postgresql
systemctl enable postgresql

Paso4:

Reconstrucción de la db

Creación de la base de datos:
create database DB;

Creación de usuarios :
create user miusuario PASSWORD 'password';

Asignar roles a la DB
GRANT ALL PRIVILEGES ON DATABASE nanotutoriales_website TO nanotutoriales;
Respaldar y restablecer la DB:

Paso5:

Subir la data
pg_dump -c NOMBRE_DE_LA_BD > ARCHIVO.sql
cat ARCHIVO.sql | psql NOMBRE_DE_LA_BD

Tags: 

Como los viejos tiempos !!!

yeeee !!! luego de 1 semana de experimentos .. en mi lab de casa , jugando con vmware en todas sus modalidades y versiones , luego de experimentar con XEN .. llegué a una linda conclusión , aun para mi LAB merezco un OS nativo , vuelvo a Linux Centos , pero mas renovado que nunca , con un disco tipo LUN .. es decir con procesamiento en red y storage mismo una granja de servidores que tengo la suerte de trabajarla ... realmente me emociona poder hacer las cosas que me agradan y lo hago con mucha pasión y entrega .. realmente vuelvo a la vida !!! ... como los viejos tiempos ..

¿Configuración de cifrado de WhatsApp?

El pasado 5 de abril, la compañía de mensajería instantánea WhatsApp anunció su decisión y aplicación para cifrar sus mensajes y llamadas a través del cifrado de extremo a extremo, lo que proporciona una absoluta confidencialidad entre el emisor y el receptor en el campo de las telecomunicaciones, hecho que ha analizado la revista Wired.

La idea de cifrar y codificar las comunicaciones por WhatsApp empezó a gestarse en 2013 en la cabeza del programador, emprendedor y cofundador de la aplicación, Brian Acton. Pero fue en 2014 cuando el experto en seguridad y creador de Open Whisper Systems, Moxie Marlinspike, se unió WhatsApp y se empezó a desarrollar el proyecto de cifrado.

Pero, ¿hasta qué punto es importante esta medida? Como explicó Raj Samani, directivo de Intel Security, "esto ofrece la garantía de que los mensajes no sean interceptados por terceras partes no autorizadas e indeseadas, ni siquiera el propio WhatsApp podrá acceder a los mensajes, llamadas, documentos, imágenes o videos que compartamos". Así, los millones de usuarios de esta aplicación "tienen la confianza de saber que únicamente los destinatarios están leyendo el mensaje", opina.
A su vez, Brian Acton considera que desarrollar un producto con una protección de esas características hará la vida más segura en todo el mundo, ya que cualquier persona puede chatear con su médico, hacer negocios entre empresas o gestiones dentro de las mismas, por ejemplo, sin peligro de fugas ni de perder la confidencialidad, ya que el cifrado de extremo a extremo es indescifrable. Asimismo, Marlinspike afirma que "de algún modo, el cifrado es un intento de regresar a un pasado cercano en el que Internet aún era libre, donde los correos personales no eran objeto de análisis de masas como lo son ahora".

La otra cara de la moneda es la reacción de los gobiernos y el riesgo que puede acarrear esta aplicación de mensajería en manos del hampa y de organizaciones terroristas. En diciembre pasado, Brasil suspendió el servicio de WhatsApp por 48 horas al negarse la empresa a proporcionar ¡nformación para una investigación policial vinculada al narcotráfico.

De momento, ni el FBI ni el Ministerio de Justicia de EE.UU. han comentado nada respecto al nuevo sistema de cifrado de WhatsApp, que aparece en medio del conflicto entre Silicon Valley y el Gobierno estadounidense en materia de privacidad, ya que el mismo Ministerio prepara una demandada contra la empresa de telecomunicación instantánea igual que se hizo con Apple tras los atentados terroristas de San Bernardino.

Tags: 

Whatsapp Cifrado


El servicio de mensajería móvil WhatsApp ha confirmado que ahora ofrece el cifrado de mensajería completa de serie en todas las plataformas.

En un blog corporativo, fundadores Brian Acton y Jan Koum dijo que ahora está dando prioridad a la total privacidad de los usuarios para garantizar el intercambio de mensajes o llamadas son como una conversación cara a cara. "La idea es simple: cuando se envía un mensaje, la única persona que puede leer es la persona o grupo de chat que envíe ese mensaje a. Nadie puede ver el interior de ese mensaje ", dijeron los fundadores Whatsapp.

Un artículo técnico explicar el cifrado en más detalle dijo una vez una sesión de mensaje se ha establecido, los clientes que intercambian mensajes están protegidos con una clave de mensaje único, que utiliza un código de cifrado diferente para cada mensaje transmitido. Whatsapp describe la clave de ser efímero, lo que significa que expira inmediatamente y no se puede construir-inversa. Por lo tanto, si un tercero logró poner sus manos en mensajes cifrados, no serían capaces de descodificar.

El mensaje en el blog de Whatsapp cita criminales, piratas informáticos y los gobiernos en busca de detalles del mensaje de sus usuarios como la principal motivación para la introducción de cifrado completo; un tema que ha aumentado regularmente durante los últimos 18 meses a medida que los gobiernos buscan maximizar la visibilidad de las redes de comunicación en medio de crecientes temores de seguridad nacional.

Apple ha cavado sus talones firmemente durante una reciente batalla contra el FBI de los Estados Unidos ya que éste trató de obligar a la antigua en grietas abrir una puerta trasera en sus modelos de iPhone en la ayuda de una investigación en curso. A pesar de las protestas de Apple, el FBI supuestamente se dirigió a la firma forense móvil israelí CelleBrite el que afirma que es capaz de craqueo dispositivos seguros.

El gobierno del Reino Unido también se supone que tienen intentó sin éxito prohibir cualquier aplicación de comunicación que ya sea totalmente o cifrar mensajes se negó a entregar los datos del cliente y de la historia de mensajería bajo petición.

"El cifrado es una de las herramientas más importantes de los gobiernos, las empresas y los individuos tienen para promover la seguridad y la seguridad en la nueva era digital", dijo Whatsapp. "Recientemente ha habido mucha discusión acerca de los servicios codificados y el trabajo de aplicación de la ley. Aunque reconocemos la importante labor de aplicación de la ley en mantener a la gente segura, los esfuerzos para debilitar el riesgo de cifrado que exponen la información de las personas a abusos por parte de los criminales cibernéticos, hackers y estados delincuentes ".

El cifrado de extremo a extremo es de efecto inmediato para todos los usuarios que utilicen la última versión de la aplicación.

Tags: 

Páginas