Para los que no saben de que se trata, Nginx ("Engine X" o Motor X) es un servidor web de alto rendimiento que viene ganando mercado a pasos agigantados por ser extremadamente rápido. PHP-FPM (PHP FastCGI Process Manager) es un manejador de procesos para usar PHP en modo FastCGI.

Antes que nada necesitamos agregar una fuentes a nuestro sources.list en donde se encuentran ya los paquetes de PHP 5.3, para eso solo necesitamos ejecutar (como root):

[code]
echo "deb http://php53.dotdeb.org stable all" >> /etc/apt/sources.list
[/code]

Luego agregamos la clave GPG pública:

[code]
gpg --keyserver keys.gnupg.net --recv-key E9C74FEEA2098A6E
gpg -a --export E9C74FEEA2098A6E | sudo apt-key add -
[/code]

Y luego actualizamos la DB de paquetes:

[code]
apt-get update
[/code]

Desde este paso ya disponemos de los paquetes de PHP 5.3 y del PHP-FPM, de este modo vamos a poder manejar la instalación de estos de forma natural en la distro, ahora a instalar!

[code]
apt-get install nginx php5-cli php5-common php5-suhosin php5-fpm php5-cgi
[/code]

Puede que si ya lo tienen salte algún problema, yo recomendaría desinstalar todo antes de empezar con esto.

Una vez todo instalado, nos toca el tema de la configuración, para esto, nuestros archivos de configuración van a estar en /etc/php5/ habiando directorios para cada modo de ejecución, por apache, cli (consola) y demas, a nosotros lo que nos importa es fpm.

Luego de configurar (o no) el archivo php.ini a su gusto, nos toca configurar el archivo php5-fpm.conf que tendrá las opciones del dæmon (o demonio) que manejara las instancias de PHP. Las partes que nos importan descomentar son:

[code=ini]
pid = /var/run/php5-fpm.pid
error_log = /var/log/php5-fpm.log
[/code]

Tambien debemos crear ambos archivos y darles permiso a www-data (en el caso de Debian):

[code]
touch /var/run/php5-fpm.pid
chown www-data:www.data /var/run/php5-fpm.pid
touch /var/log/php5-fpm.log
chown www-data:www.data /var/log/php5-fpm.log
[/code]

Es importante ya que sin el archivo de PID no nos funcionará bien el manejo mediante los scripts de inicio.

Todo el resto de la configuración queda a su gusto.

Ahora nos toca configurar el Nginx, si bien la configuración es sencilla, también es bastante extensible, básicamente lo que vamos a hacer, es decirle que todo lo que es estático es servido, y todo lo que sea php, que lo pase al PHP-FPM, para eso podemos reemplazar la configuración de /etc/nginx/sites-aviables/default que es el virtual por defecto de Nginx, y reemplazar el contenido por:

[code]
server {
listen 80;
server_name misitio.com;
access_log /var/log/nginx/misitio.access.log;

# Servimos todo contenido estático:
location ~* ^.+.(jpg|jpeg|gif|css|png|js|ico|xml)$ {
access_log off;
expires 30d;
root /var/www;
}

# Pasamos el resto (que suponemos es dinámico) al FPM
location / {
fastcgi_split_path_info ^(.+\.php)(.*)$;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www$fastcgi_script_name;
fastcgi_intercept_errors on;
fastcgi_ignore_client_abort off;
fastcgi_connect_timeout 60;
fastcgi_send_timeout 180;
fastcgi_read_timeout 180;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
include fastcgi_params;
}

}
[/code]

Bien, de esta forma ya tendriamos el servidor funcionando solo hace falta reiniciar los servicios para que tomen la nueva conf:

/etc/init.d/nginx restart
/etc/init.d/php-fpm restart

Podemos chequear todo creando un archivo (index.php) en /var/www y entrar en nuestro navegador: http://localhost.

Bueno, de esta forma concluye el tema, ahora le pasare un par de posibles problemas que puedan quedar por ahí:

El browser me muestra el código fuente de los scripts: Ok, este es seguro el primer problema con el que se pueden topar muchos, y eso es por la configuración por defecto del php.ini, si usan los "short_tags", osea abrir y cerrar un script con <? ?> y no con <?php ?>, estos no se tomaran, aparte de cambiar de hábitos, pueden habilitarlos desde /etc/php5/fpm/php.ini cambiando la linea:

short_open_tag = On

De este modo debería empezar a andar.

Una cosa!!! recuerden que ahora los procesos los maneja un demonio, así que para que se tome el cambio no habrá que reiniciar el Nginx, sino que vamos a reiniciar el php-fpm.

No me anda nada: Jajaja esta es medio general pero debia ponerla, en este artículo solo puse como instalar PHP 5.3 sin mas, con que su aplicación use MySQL ya no debería andar, ahí, al igual que como si instalasen PHP5 original de Debian, deben instalar todos los paquetes de extensiones, como php5-mysql, php5-gd, php5-memcache, y etc. Tambien hay que tener en cuenta que si se trabaja en un entorno de desarrollo se deben habilitar la muestra y logueo de errores, los errores se loguearan en /var/log/nginx/error.log dependiendo de lo que allamos configurado en el virtual.

No me anda algún valor de $_SERVER: Bien, la variable super-global $_SERVER en un array que contiene información que envía nuestro servidor al script, hay que tratar estos valores con cuidado ya que puede variar en distintas configuraciones, este puede ser el ejemplo, si nosotros necesitamos mandar alguna personalizada al servidor, podemos hacerlo con la directiva fastcgi_param seguida de la variable y el valor, las definiciones por defecto se encuentran en el archivo /etc/nginx/fastcgi_params podemos editar este archivo y ponerlas a mano, por ejemplo una que no esta es $_SERVER['REDIRECT_URL'], solo deberemos agregar al final del archivo:

fastcgi_param  REDIRECT_URL $request_uri;

$request_uri es un valor que nos tira el Nginx, para ver mas solo se deben dar un paso a la documentación.

Si quiero que todo pase por un solo archivo: Esto se usa bastante y es desviar todas las peticiones a un único archivo, por ejemplo "index.php", lo que comúnmente se hace en el Apache con el mod_rewrite:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Aunque el Nginx tiene un modulo de rewrite, algo mas limpio sería cambiar el script pedido al FPM, en el parametro SCRIPT_FILENAME:

fastcgi_param  SCRIPT_FILENAME index.php;

Bueno eso es todo lo que tengo para contar, si les queda alguna duda no duden en comentarla.

Compártelo

Click here to view the embedded video.

http://diadeladmin.com.ar/

Compártelo

El grupo de usuarios de GNU/Linux de la ciudad de Lanús “LANUX”, los invita el sábado 17 de Julio próximo a su reunión mensual con charlas técnicas a realizarse en la sede de la Universidad Kennedy ubicada en la Av. Hipolito Yrigoyen 4651 a 50 mts, de la  estación Lanús.

La temática este més será la networking y los temas desarrollados serán los siguientes:

- 13:00 hs:  Conceptos de Networking, e implementación en GNU/Linux
- 14:30 hs:  Optmizando un webserver (nginx y apache)
- 15:30 hs:  Usando nagios.
- 17:00 hs:  Fin de la reunión.

La entrada como siempre es LIBRE y GRATUITA. Están todos invitados.

Post original: http://www.lanux.org.ar/2010/07/05/lanux-reunion-de-julio/

Compártelo

Si quieren ver la nota original de Tribuna es esta: Cadáver en la puerta de la SIDE habría sido homicidio.

En fin, no había pasado ni unos minutos de publicada la nota y nos llamó el dueño del periodico para decirnos que estaba el sitio caido, cuando chequeo la conexión se quedaba colgada, tanto era el lag que la conexión al ssh era inhumana.

En fin el apache reventaba de conexiones, Mysql pedia piedad y los logs como locos, lo primero que pensé  fue en un ataque DoS (Denial of Service o Denegación de Servicio).

Lo primero que hago es bajar algunos servicios por las dudas, refortalecer las contraseñas (cosa que le debia a ese servidor) y reconfigurar el sshd para limitar aun mas el acceso (esto por las dudas), luego instalé el módulo de apache mod_evasive.

Al rato todo parecia estabilizarse, el mismo módulo bloqueó un ataque DoS desde mas de 70 ips, de distintos proveedores de internet y de conexiones normales, supongo que infectadas con algún malware explotado por este organismo. Otras 4 ips, 2 proxys extranjeros y 2 nacionales colmaron los logs intentando logearse por ssh.

Esto podria haber sido casualidad, muy rara casaualidad, hasta que un informante al medio confirmó que el ataque venía de la Secretaria de Inteligencia.

En fin, no es la primera vez que pasa, ya es el segundo hackeo a este medio en el que estoy involucrado (contrarestandolo obviamente), el primero fue al viejo sitio por un ataque de SQL Injection, y en otra ocación fueron borrados los datos del dominio directamente en el Nic (Net Information Center).

La verdad veo vergonzoso como puden poner en práctica la censura, y como la mayoría de los medios se cayan todo esto.

Nota original del hackeo: http://www.periodicotribuna.com.ar/6757-otra-vez-nos-quieren-callar-por-meternos-con-la-side.html

Actualización: Arreglada la ortografía (:P)

Compártelo

- 13:00: Introducción a la programación web, Conceptos y herramientas.
- 14:00: Desarrollo Web Usando PHP
- 15:00: Desarrollo Web Usando Python-Django
- 16:00: Tema Libre, preguntas para los recién iniciados, dudas generales.
- 17:00 : Fin de la reunión.

Yo voy a estar en la primer charla y voy a dar la segunda sobre PHP, la entrada es libre y gratuita (obviamente)  asi que estan todos invitados.

La reunion se hace en la universidad Kennedy de Lanus (Av. Hipolito Yrigoyen 4651) a 50 metros de la estacion de trenes.
Ver mapa más grande

Nos vemos ahi

Mas info: http://www.lanux.org.ar/2010/05/30/lanux-reunion-de-junio-2/

Compártelo

Primero instalamos el Subversion que nos va a traer el resto de las herramientas, para eso como root ejecutamos:

# apt-get install subversion

Eso descargara tanto el cliente como el servidor y en administrador. El servidor es el ejecutable svnserve, que si lo ejecutamos empezará a servir en el directorio donde estemos hubicados, pero esto no es lo que queremos, asi que vamos a ver la lista de opciones:

sheldon:/var/lib# svnserve  --help
usage: svnserve [options]

Valid options:
-d [--daemon]            : daemon mode
--listen-port ARG        : listen port (for daemon mode)
--listen-host ARG        : listen hostname or IP address (for daemon mode)
--foreground             : run in foreground (useful for debugging)
-h [--help]              : display this help
--version                : show program version information
-i [--inetd]             : inetd mode
-r [--root] ARG          : root of directory to serve
-R [--read-only]         : force read only, overriding repository config file
-t [--tunnel]            : tunnel mode
--tunnel-user ARG        : tunnel username (default is current uid's name)
-T [--threads]           : use threads instead of fork
-X [--listen-once]       : listen once (useful for debugging)
--config-file ARG        : read configuration from file ARG
--pid-file ARG           : write server process ID to file ARG

En este caso hay dos parametros que nos importan mucho: -d o --daemon para que se ejecute en modo de servicio, y -r o --root para especificarle la ruta de los repositorios.

Como lo que queremos es hacer las cosas bien, vamos a integrarlo a nuestro server, asi que vamos primero a definir un directorio para los repositorios, yo uso normalmente /var/lib/subversion, pero se puede usar el que uno quiera como /srv/subversion o etc.

Si creamos el susodicho directorio creamos de paso un repositorio test y arrancamos el demonio deberia andar:

# mkdir /var/lib/subversion
# mkdir /var/lib/subversion/test
# svnadmin create /var/lib/subversion/test
# svnserve -d -r /var/lib/subversion

De este modo ya arrancamos el svnserve en modo daemon, y creamos un repositorio de prueba, si ejecutamos:

# svn info svn://localhost/test

Este nos da la informacion de nuestro primer repositorio

Hasta aqui todo bien, pero hay un tema, de esta forma estariamos ejecutando el daemon o servicio con el usuario root, cosa que no es una buena práctica, ya que cualquier malfuncionamiento del software o vulnerabiliad tocar al sistema operativo, asi que para limitar el acceso de este server vamos a correrlo bajo un usuario espesifico, que tambien crearemos para este fin:

Primer creamos el grupo:

# groupadd svnd

Luego creamos el usuario sin password y asignandole como su home el directorio /var/lib/subversion

# useradd -d /var/lib/subversion/ -g svnd -r -s /bin/bash svnd

Ahi me diran, epro estas loco, crear un user sin pass... a lo que aclaro, en Unix hay una diferencia entre no tener contraseña y tener una contraseña vasia, el no tener una contraseña no quiere decir que nos vamos a logear aprentando enter en el cuadro de password, sino que directamente no nos vamos a poder logear, nadie ecepto el usuario root va a tener acceso a esta cuenta. Con el parametro -r tambien aclaramos que es de sistema asi que no tendria que aparecer en listados de usuarios como los de los *dm graficos.

Ahora una vez que creamos el usuario y gropo con los que correra, recordemos que el directorio de trabajo y todos los archivos del repositorio deben poder ser modificados por este usuario, para eso le asignaremos el usuario y grupo a todos los repositorios:

# chown -R svnd:svnd /var/lib/subversion

Una vez creado esto, podemos correr el servidor con estos usarios con el comando su, siempre desde root:

# su -c "svnserve -d -r /var/lib/subversion" svnd

eso corre la orden entre comillas, bajo el usuario svnd.

Con esto se puede decir que ya lo tenemos andando, pero falta un ultimo paso, y es crear su archivo de inicio de servicio (los famosos rc), este lo hice a mano y me andubo, espero que les sirva a ustedes tambien:

http://pastebin.com/wiLXcrgb

Este archivo lo copian a  /etc/init.d, le dan acceso de ejecucion (chmod +x) y luego podran manejar el demonio como cualquier otro en debian

# /etc/init.d/subversion start

# /etc/init.d/subversion stop

Compártelo

Mas especificamente la HP Pavilion DV7 3085DX. Les dejo una foto para que vayan saboreando. El review? en una semanita

Compártelo

El Gran Hermano (Consepto creado por George Orwell, luego usado como nombre de un programa de televisión vasio y carente de cualquier virtud), es la imagen omnipotente que todo lo ve, desde que prendes tu computadora hasta que te vas a dormir y aun en equipos como celulares y demas te esta espiando, y tiene todos tus movimientos ya registrados, pero y si es real?Hace poco se filtró, gracias al sitio Cryptome, el cual por cierto fue víctima de la censura, un documento llamado "Microsoft® Online Services Global Criminal Compliance Handbook", que trata de un Manual que facilita a las autoridades como obtener datos que los servicio de Microsft guardan en sus bases de datos, datos que vos pensas que son privados o simplemente pensaste que borraste o sacaste de linea, son conservados, al igual que ciertas actividades, para poder ser entregadas a las autoridades con faciliadad.

Con este documento nos enteramos de cosas como que las listas de contacto del MSN de cualquier usuario puede ser entregado a la NSA con solo pedirlo, o que la consola de Video Juegos de la emrpesa, la XBox 360, mantiene un log de las direcciones IP de donde tuvo conexión a internet, o que muchos datos que supuestamente "borras" de servicios como Microsoft Live Spaces relamente permanecen en los servidores intactos y pueden ser accedidos por esta misma gente.

De antemano se habia hecha publica una serie de IPS usados por la NSA y otras organizacions gubernamentales amigas de USA, desde donde la NSA accedia a equipos con Microsoft Windows por un agujero de seguridad dejado a propósito por esta empresa para tal fin, algo que informática llamamos "backdoor" o Puerta trasera.

Un bug en GMail donde se podía tener acceso a emails aunque estos allan sido borrados demostró tambien que GMail no eliminaba realmente los correos borrados por sus usuarios, hoy sabemos según rumores que Gmail tiene backdoors para que los agentes pueden entrar en cualquier cuenta y tener acceso a emails, no importa si fue borrado, sigue estando ahí.

Por otra lado tambien se filtro hace un tiempo un documento de Yahoo, donde se rebelavan una lista de precios que esta empresa cobraba por acceder a cuentas de email de sus usuarios.

Ya se se sabe que Facebook tiene propietarios de la mismisima CIA, y que ya ha entragado datos a esta, y los contenidos tampoco son borrados aunque el usuario asi lo disponga, si subes yna foto y una descripción a Facebook esto permanecerá en sus disco rígidos aunque ya no lo decees, esperando a ser investigados por la NSA, la CIA o algun servicio de inteligencia mas.

La gran red de Echelon, tanto de USA (NSA) como de Inglaterra filtra constantemente cominicaciones en la red en busca de palabras o terminos sospechosos, estos atravez de satelites y antenas capturadoras de señales tienen acceso a casi cualquier comunicación del mundo.

El monopolio que hay hoy por hoy en internet Google-Microsoft-Yahoo, facilita a estas instituciones gubernamentales de altos presupuestos como la NSA al espionaje, uno tiene una cuenta de email en yahoo, gmail o hotmail, estas ultimas de Google y Microsoft repectivamente, tiene una cuenta en Facebook donde da a conocer sus amigos, familiares, contactos cercanos y atravez de los "grupos" saber sus aficiones, gustos y demas. Utilizando el navegador de Google "Chrome" envias el listado de sitios visitados a Google,  ademas de servicios como Google DNS que les iforma a esta empresa por que páginas navegan los usuarios, todo está hecho para recoger datos, para "estadísticas" y las políticas de privacidad cada vez son mas débiles.

Realmente hay un Gran Hermano, llamado NSA y llamado Gobierno de los Estados Unidos, ya no es cosa de paranoia, las pruebas estan sobre la mesa y solo hay que mirar para otro lado para no creer en esto. Realmente nos vigilan, blogger es de Google, las principales servicios de Correo, las redes sociales, todo servicio que usas dia a dia, incluyendo el sistema operativo de Microsoft (Windows), tanto de escritorio como móvil (los famosos SmartPhones con Windows Mobile) son un ojo de este Gran Hermano.

La solución a esto es posible, con los estandares y el software libre.

El Software Libre, es software gratiuto, de libre uso y de libre acceso al código fuente, de esta manera se puede saber como funciona desde adentro evitando programas con "espias" y agujeros de seguridad tipo backdoors, usando una distribución confiable de Linux por ejemplo sabes que solo vos tenés en control de este y de tu información, tambien la libertad de hacer lo que quieras con esta en tu plena privacidad. Otro punto en la solucion a contra el Gran Hermano, es la utilización de estandares abiertos e informacion encriptada. Por ejemplo el "XMPP" es un protocolo de mensajeria instantanea, pero uno puede tener su propio servidor,  y así no depender de empresas como Microsof (MSN) o Yahoo (Yahoo messenger), por otro lado soporta encriptacion de la comunicación para que esta no sea legible aún capturando los datos, programas libres que utilizan este protocolo como por ejemplo el Pidgin, cuentan ademas con agregados de encriptacion para usar un sistema libre llamado GPG (Gnu PG), donde se encriptan los datos fuertemente con la utilización de llaves y certificados privados, tambien hay una extencion para el popular clinete de correo libre "Thunderbird" llamada Enigmail, soporta también este sistema de encriptación llamad GPG, y dicho este tambien contamos con una extensión pra Firefox que nos dejará mandar y recibir correos encriptados desde GMail y otros, llamada FireGPG.

Por último solo dejo un par de liks sobre el asunto:

• http://cryptome.org/ (ingles)
• http://www.uberbin.net/archivos/microsoft/lo-que-microsoft-sabe-de-vos-y-le-muestra-a-las-autoridades.php#more-10005
• http://www.informaticat.com.ar/echelon_valenti.html
• http://www.cubadebate.cu/noticias/2010/02/25/microsoft-obliga-a-cerrar-cryptome-por-filtrar-y-publicar-su-manual-de-espionaje-para-el-fbi-la-cia-y-la-nsa/
• http://www.kaosenlared.net/noticia/caso-yahoo-filtrado-pruebas-como-venden-datos-personales
• http://www.rebelion.org/noticia.php?id=100694&titular=clinton-google-y-la-guerra-fr%EDa-cibern%E9tica-contra-china-
• http://www.youtube.com/watch?v=xzTgIdNW6lg

Compártelo

Pero bueno, el gran número de usuarios que lo usan nos obligan a seguir haciendo nuestras webs compatibles con este virus. Fueron muchas las webs que cerraron el soporte al MSIE6 (Internet Explorer versión 6) por ser ya demaciado "viejo" (ya tiene casi 9 años!!!!), entre ellas algunas importantes como Facebook y Youtube, pero ahora, el gran Google apartir del primero de Marzo cerrará oficialmente el soporte a este browser para algunas aplicaciones como Google Docs y Google sites.

Recuerden que aunque tiene 9 años, llega a conformar a veces el 20% de los visitantes de un site, que es un numero importante, pero si nadie les avisa a los usuarios que su browser es inutilmente viejo, estos seguiran con este.

Tambien hay un site que se mufa de esto y hace burla llamado SaveIE6, que nos dan razones para salvar al IE 6, una tabla comparativa con otros browsers puede ser el ejemplo, esta la traduje al español, la versión original esta aca:

Feature	IE6	IE7	Firefox	Safari	Chrome
Deja un icono color azul en el escritorio.
Alta seguridad (mas updates)
Mas tamaño de pantalla al no tener pestañas
Soporte para Active-X
Compatible con los departamentos de tecnología que le temen a los cambios
Ligero (por no soportar transparencia de los PNG, etc)
Integrado con el Sitema Operativo
No necesitas instalarlo (ya viene por defecto)

En fin, espero que ahora que el mismo Google le da la espalda a este software, muchas empresas tomen ese paso que tanto miedo les daba.

Compártelo

En fin:

Feature
3G	NO	NO
GPS	NO	NO
USB	NO	NO
Card Reader	NO	NO
Conexión HD	NO	NO
Multitarea	NO	SI
Betería	10H	No necesita
Precio	u$ 500	ar$20

Compártelo