2015-05-31

#IaaS Introducción a OpenStack

OpenStack es un proyecto de Cloud Computing que permite desplegar Infraestructura como Servicio (IaaS).


Es un proyecto OpenSource bajo licencia Apache y en este momento se encuentra gestionado por la fundación OpenStack sin fines de lucro creada en el 2012 para promover el uso de esta infraestructura y colaborar con su comunidad.

Es muy interesante el concepto de OpenStack, ya que no hablamos de un solo producto, sino más bien de un conjunto de componentes independientes que en armonía resulta una solución integradora.

De forma visual y para comenzar a tomar contacto con este nuevo concepto, es posible identificar 4 componentes de forma global:

OpenStack Compute

Administra y gestiones las redes de máquinas virtuales

OpenStack Storage

Gestiona un bloque de almacenamiento para el uso de servidores y aplicaciones

OpenStack Networking

Permite gestionar redes IPv4 e IPv6 complejas, con routers y firewalls

OpenStack Dashboard

Desde el cuál se implementa una forma simple de administrar todos estos componentes.


Esta es la primera mirada a esta solución que desde hace tiempo se fue incorporando en diferentes empresas e instituciones para gestionar sus infraestructuras Cloud.

Saludos!

2015-05-27

Actualizaciones de Seguridad en Symfony2

Se acaban de publicar las actualizaciones correspondientes para varias de las versiones de Symfony2 que podemos utilizar en nuestros proyectos y que deberíamos utilizar los parches para 2.3.19 a 2.3.28, 2.4.9 y 2.4.10, 2.5.4 a 2.5.11 y 2.6.0 a 2.6.7La versión 2.7 ha sido corregida en su versión de desarrollo porque todavía no se ha lanzado de manera estable.



Las aplicaciones con soporte de ESI o SSI activado, que usan el FragmentListener, son vulnerables a un acceso no autorizado. Un usuario malicioso puede llamar a cualquier controlador de la aplicación mediante la ruta /_fragment pasando un hash inválido en la URL (o incluso eliminándolo). Esto hace que los sistemas de seguridad que validan el hash no se ejecuten y por tanto se permita el acceso no autorizado.


El FragmentListener lanza una excepción de tipo AccessDeniedHttpException cuando la firma incluida en la URL no es válida. El problema es que después, el ExceptionListener hace una subpetición que lanza de nuevo los eventos del kernel. Como el FragmentListener no firma las subpeticiones, el controlador se ejecuta aunque en la petición original no se autorizó su ejecución. El resultado es que el usuario recibe una respuesta con código 403 y con el contenido generado por el controlador.

La solución implementada añade una comprobación en el FragmentListener para que no se ejecute en el caso de que el atributo _controller haya sido definido previamente. Puedes ver el código del patch en el pull request 14759 de Symfony.

Enlace | symfony.es

2015-05-26

Infraestructura como Servicio

Infraestructura como servicio, es una de las formas de sacar partido sobre el concepto de la Nube, por otro lado, proporciones prácticamente ilimitadas a las empresas que necesitan adaptar sus recursos de servidores y almacenamiento rápidamente y por sobre todas las cosas, a demanda.




La infraestructura como servicio (infrastructure as a service, IaaS) -también llamado en algunos casos hardware as a service, HaaS) se encuentra en la capa inferior y es un medio de entregar almacenamiento básico y capacidades de cómputo como servicios estandarizados en la red. Servidores, sistemas de almacenamiento, conexiones, enrutadores, y otros sistemas se concentran (por ejemplo a través de la tecnología de virtualización) para manejar tipos específicos de cargas de trabajo —desde procesamiento en lotes (“batch”) hasta aumento de servidor/almacenamiento durante las cargas pico. 

Conociendo este concepto, me gustaría invitarlos desde el blog a ver y analizar las alternativas que encontramos en el mercado como System Canter, OpenStack, OpenNebula, CloudStack, entre los más populares, para poder implementar IaaS en nuestras organizaciones y lograr consolidar nuestra infraestructura, generando confianza en la robustez, escalabilidad y seguridad.

Saludos!

2015-05-13

Ver el historial de comandos en Redis

Redis es un excelente motor de Base de Datos en memoria, basado en el concepto key/value, pero con la posibilidad de utilizarlo con persistencia.


Se trata nada más y nada menos que de este nuevo paradigma de trabajo basado en NoSQL que aporta una mejora en el acceso a la información utilizando estrategias diferentes que las que estamos acostumbrados a utilizar en los modelos relacionales.

Cuando comenzamos a realizar las primeras operaciones dentro de Redis, estoy seguro que nos conectamos con el cliente que trae por defecto llamado redis-cli, que no es más que una consola interactiva con redis para almacenar y consultar las key/value.

$ redis-cli
127.0.0.1:6379>

Para recordar todos los comandos que fuimos ejecutando, Redis almacena en el directorio $HOME de cada usuario un archivo oculto llamado .rediscli_history donde podremos consultarlo en todo momento.

$ less ~/.rediscli_history

Saludos!

2015-05-11

Plataforma de Logueo y Monitoreo dinámico

Los sistemas de monitoreo son indispensables en toda infraestructura de servidores, como saber qué componente funciona bien o mal, cuándo es que ocurren los problemas y conocer las estadísticas del funcionamiento es algo que no debemos dejar pasar por alto.

Los chicos de nerdear.la en un tweet me pasaron el enlace de su canal de YouTube para disfrutar algunas de las charlas del 2014 y la verdad que me gustó mucho la charla llamada "Plataforma de Logueo y Monitoreo dinámico" y es por ello que les recomiendo que a medida que vean la conferencia, papel y lápiz en mano por que hay muchas herramientas y mucha data para investigar.


Fantástico verdad?

Saludos!

2015-05-07

Actualización de Seguridad y Mantenimiento en WordPress 4.2.2

Abril y Mayo del 2015 son meses que el equipo de desarrolladores de WordPress van a querer olvidar, y esto se debe a la cantidad de actualizaciones críticas reportadas recientemente y que por fortuna gracias a un gran esfuerzo todas lograron ser solucionadas.


Hace muy pocos minutos, se publicó de forma oficial una nueva versión de WordPress 4.2.2 básicamente solucionando dos fallos importantes:


  • El paquete de iconos Genericons, que es utilizado en muchos Themes y Plugins, contenía un archivo HTML vulnerable a un tipo de ataque XSS. Esta nueva versión de WordPress escanea de forma proactiva el directorio wp-content para eliminar dicho archivo.


  • En las versioes de WordPress 4.2 y anteriores, se encontró un XSS crítico que permitiría a un posible atacante anónimo comprometer el sitio. La versión 4.2.2 incluye una solución integral para este problema.


Por otro lado se aprovecha esta actualización para reforzar el editor visual ante posibles ataques de tipo XSS.

No solamente esta nueva versión corrige los fallos de seguridad mencionados, sino que además corrige otros 13 errores más publicados y que podemos ver en detalle en la lista de cambios.

Por mi parte, me queda verificar si WPHardening, la herramienta para mejorar la seguridad y adicionar algunos niveles de seguridad va a ser compatible con esta nueva versión.

No se olviden de actualizar cuanto antes todos los wordpress hace esta nueva versión para evitar dolores de cabezas futuros.

Saludos!

Enlace | WordPress 4.2.2 Security and Maintenance Release

Entradas populares