Una de las primeras medidas a tomar en toda nueva instalación de vCenter Server Appliance es el cambio del certificado SSL autofirmado por uno de una entidad certificadora de confianza. Para esta entrada se tratará el proceso de reemplazo del certificado Positive SSL en una instancia de vCenter Center Appliance 6.5 (este proceso indica los pasos a seguir desde el momento en que recibimos el certificado así que no cubre la request a la entidad certificadora)

Subida de ficheros a vCenter Server Appliance

La subida de ficheros del certificado suele realizarse a través de un cliente como WinSCP o Filezilla pero para ello antes es necesario cambiar la shell del usuario a bash con el comando siguiente:
chsh -s /bin/bash $username
Si no se hace este cambio será imposible hacer login para subir los ficheros. Una vez subidos los ficheros del certificado podrá volver al estado anterior con el comando siguiente:
chsh -s /bin/appliancesh $username

Creación de un bundle del certificado

A la hora de recibir el certificado de una entidad es posible que no reciba un único certificado sino un conjunto de certificados que deberán combinarse para formar uno solo en el orden correcto. En el caso de un certificado PositiveSSL estos suelen ser los siguientes:
COMODORSAAddTrustCA.crt

COMODORSADomainValidationSecureServerCA.crt

COMODORSAAddTrustCA.crt

Una concatenación de los mismos en un bundle constituirá el certificado a instalar en Certificate Manager. Podrá construir el mismo con el siguiente comando en una terminal SSH:

cat COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > $machine_name.crt

Una vez completado este paso podrá proceder a la instalación del certificado.

Uso de certificate manager para llevar a cabo la instalación de un certificado

La instalación de un certificado en vCenter Server se lleva a cabo a través de certificate manager. Podrá invocar el mismo con el siguiente comando:

/usr/lib/vmware-vmca/bin/certificate-manager

Una vez llevado a cabo el mismo encontrará una imagen similar a la que encabeza esta entrada. Para reemplazar el certificado deberá seguir los siguientes pasos en la herramienta:

Replace Machine Certificate with custom certificate

Import custom certificate(s) and key(s) to replace existing Machine SSL certificate

Please provide valid custom certificate for Machine SSL: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)
Please provide valid custom key for Machine SSL: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)
Please provide the signing certificate of the Machine SSL certificate: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)

Una vez hecho esto comenzará el reemplazo del certificado original de vcenter y tan solo quedará esperar a que finalice el mismo para que el certificado se instale correctamente en el appliance

abril 6th, 2018

Posted In: Tutoriales

Leave a Comment

(Este artículo es una traducción al español del artículo publicado en el blog de cPanel. Encontraréis un enlace al texto original al final del mismo)

Se envían más de 100 mil millones de correos electrónicos por día. Todo, ya sean simples alertas de fuera de la oficina hasta resúmenes de cuenta y facturación, se transfiere a través de la web, de un servidor a otro. Si bien esperamos que las cosas que enviamos y entregamos se mantengan seguras, sabemos que no siempre es así. Hay varias maneras en que los servidores de correo pueden verse comprometidos, sin embargo, también hay varias cosas que se pueden hacer, como proveedor de alojamiento, para evitar el abuso de correo electrónico en su servidor cPanel & WHM. A continuación incluimos algunas de las medidas de seguridad que CanarCloud recomienda a sus clientes para evitar este tipo de problemas.

1. Requerir una fuerza mínima de contraseña

El primer paso para proteger la integridad de una cuenta consiste en garantizar que las contraseñas de sus usuarios no sean fácilmente obtenibles mediante un ataque de fuerza bruta.

Contraseña insegura: amy1234

Contraseña segura: ~4my0n3tw0thr334

Con esto en mente, asegurarse de que los titulares de sus cuentas de correo usen contraseñas seguras es una de las formas más simples de proteger su información. Si bien las mayúsculas, el uso de símbolos y la ortografía son aspectos a tener en cuenta la seguridad de las contraseñas, como proveedor de alojamiento, puede establecer un mínimo de caracteres para garantizar que todos sus usuarios tengan un nivel de protección básico. Para ello, tan solo tendrá que definir el nivel de fuerza mínimo de una contraseña en el centro de seguridad de su panel de control WHM.

2. Habilitar cPHulk

cPanel & WHM incluye una función que fue específicamente desarrollada para defenderse contra la embestida de los ataques de fuerza bruta. Al habilitar cPHulk, puede evitar drásticamente que los ataques de fuerza bruta afecten a sus usuarios, sus cuentas o su máquina. Simplemente active la función desde su Centro de seguridad y evite que el software malicioso intente fortalecer la seguridad de su contraseña.

Gracias a cPhulk podrá configurar una protección que se adapte a sus necesidades ya sea estableciendo la protección a nivel de nombre de usuario, el número de intentos de autenticación fallidos máximos o el periodo de tiempo que una cuenta permanece bloqueada cuando este límite se excede. Además, cPhulk no se revela como la fuente del bloqueo por lo que resulta mucho más difícil identificarlo para un atacante.

3. Habilitar las restricciones SMTP

Toda la actividad en línea ocurre a través de una serie de reglas llamadas protocolos. Cuando hablamos de correo, el SMTP o Protocolo simple de transferencia de correo, es el método empleado para enviar mensajes entre servidores de correo para su entrega al destinatario. Con las restricciones de SMTP, una función que puede habilitar directamente desde WHM, puede evitar que los remitentes de spam interactúen directamente con sus servidores de correo remotos limitando de esta manera las posibilidades de que el servicio quede comprometido.

Esta interfaz le permitirá configurar su servidor para que solo el agente de transporte de correo (MTA), el software de la lista de correo Mailman y el usuario root puedan conectarse a servidores SMTP remotos. De esta manera negará a otros usuarios y servicios la posibilidad de eludir su servidor de correo para enviar directamente el correo, que es una práctica común para los remitentes de spam.

Por supuesto, esto no es todo a la hora de proteger un servicio de correo. Hay muchas más maneras de aumentar la seguridad en su servidor de correo y proteger a sus clientes y en CanarCloud tomamos todas las precauciones necesarias para que su cuenta de correo sea exclusivamente suya.

Fuente: https://blog.cpanel.com/3-ways-to-prevent-email-abuse/

Obtenga toda la información que necesite sobre los planes de correo y cPanel de CanarCloud:

Comparar planes de correo Más información sobre cPanel

noviembre 17th, 2017

Posted In: cPanel, Productos, Recomendaciones y Actualizaciones, Tutoriales

Leave a Comment

Entre las herramientas antispam para cPanel, ASSP Deluxe es una de las más potentes debido al alto grado de personalización que confiere al usuario. Este post tratará de explicar las principales características de esta herramienta y sus opciones de personalización para ayudar a una configuración de la misma acorde a las necesidades de cada cliente.

Características principales de ASSP:

  • Motor anti-spam proporcionado por ASSP
  • Whitelisting automático
  • El antivirus Clamd se encuentra habilitado por defecto para todo el correo entrante
  • Logs detallados para cada dominio/subdominio y para cada filtro
  • Protección contra ataques basados en diccionarios y bombers
  • Avanzado buzón de spam y sistema de reportes

¿Dónde se almacenan los correos bloqueados?

ASSP Antispam ha sido diseñado teniendo muy en cuenta que, en contadas ocasiones, correos válidos pueden ser bloqueados. ASSP revisa todos los correos entrantes hacia su cuenta y les asigna una puntuación mediante el uso de múltiples filtros antispam, suma la puntuación obtenida para cada uno de estos filtros y determina en base al valor obtenido si el correo es considerado SPAM o no. Todos los correos marcados como SPAM son almacenados en un directorio de spam desde el cual pueden inspeccionarse y gestionarse como se requiera.

 

  • Puede leer el directorio IMAP /spambox (solución más rápida) utilizando cualquier cliente de correo que soporte IMAP. También puede accederse al directorio desde un Webmail como Horde, Squirrelmail o Roundcube accediendo a la cuenta info@domain.com y comprobando el buzón de spam en dicha cuenta. Si encuentra correo válido dentro de dicho buzón, puede reenviarlo mediante la opción “reenviar como un adjunto” o “reenviar” si su cliente de correo no admite la primera opción a la dirección assp-notspam@mydomain.com lo que resultará en un whitelist automático de la dirección del remitente, evitando que este vuelva a ser bloqueado de nuevo.
  • Puede recibir una lista de todos los correos bloqueados enviando un correo a la dirección asspblock@mydomain.com. Como respuesta recibirá una lista con todos los correos bloqueados. Si encuentra algún correo válido, puede seleccionar el link de reenvío para recibir/liberar el correo bloqueado en su buzón. Al usar esta opción, el remitente sera incluido en la whitelist automáticamente.

asspblock

  • Whitelisting automático: cada vez que envíe un email, la dirección de correo del destinario pasará a formar parte de la whitelist. Por este motivo, no debería responder a spam debido a que esta acción implicará el whitelisting de la dirección de correo. Podrá añadir cualquier cuenta de correo o dominio a la whitelist enviando un correo a la dirección assp-white@mydomain.com especificando las direcciones de correo que desee incluir en la whitelist en el asunto o en el cuerpo del mensaje. Para incluir un dominio en la whitelist, deberá emplear la wildcard *@domain.com en el asunto o en el cuerpo del mensaje. También es posible enviar una lista de dominios a incluir en la whitelist de esta manera.
  • Es posible ver una lista de todos los correos bloqueados en cPanel leyendo los LOGS en el frontend de ASSP Deluxe. Puede leer el corre (S) o solicitar que este sea liberado en su buzón (I).

resend

  • También puede almacenar spam mediante el uso de un spambox POP3 collector. Si no se siente cómodo usando el protocolo IMAP puede utilizar esta opción. Todo el spam que se envíe a @mydomain.com será almacenado en la cuenta spambox@mydomain.com. Para configurar esta opción tan solo tendrá que crear una cuenta de correo pop3 llamada spambox@mydomain.com. Una vez hecho esto, podrá gestionar el correo entrante en esta cuenta tal y como la gestionaría si estuviera en IMAP /spambox.
  • Si muchos remitentes de correo válidos han sido bloqueados, puede configurar la sensibilidad de su filtro antispam entre las siguientes opciones: normal, bajo o el más bajo. Si disminuye la sensibilidad del filtro antispam podría pasar algún spam, pero se reducirá considerablemente el riesgo de que correo válido sea bloqueado.

spam_filter

  • Cuando un correo ha sido clasificado como spam, el remitente recibirá un correo indicando que su envío ha sido bloqueado e indicará un código (va9ytu5y) para que sea incluido en el asunto del correo. Si el correo es reenviado con el código incluido en el asunto, este será liberado en su buzón:

554 5.7.1 Mail (SESSIONID) appears to be unsolicited – resend with the code va9ytu5y appended to subject and ask to have your email whitelisted (the code va9ytu5y changes each 24 hours).

Informar a ASSP

Si recibe un mensaje de spam en su correo puede, o bien eliminarlo y seguir adelante, o bien notificarlo a nuestro servidor para que nuestro filtro antispam pueda revisar y corregir el error mencionando su funcionamiento.

¿Podría ASSP bloquear mi correo local?

No, ASSP permite automáticamente el envío a los usuarios locales. Habrá que tener en cuenta lo siguiente:

  • Que el correo enviado se envíe desde el servidor SMTP mail.mydomain.com
  • Que la opción “mi servidor de correo saliente requiere autenticación” está activada en su cliente de correo.

Demasiado SPAM está pasando los filtros.

Si está recibiendo demasiado SPAM (a pesar de que está reenviando los errores a assp-spam@mydomain.com) puede incrementar la sensibilidad de su sistema antispam de normal a alta, más alta o la más alta. Esta medida incrementará ligeramente el riesgo de que correos válidos sean bloqueados. Si, a pesar de esto, sigue recibiendo SPAM (probablemente debido a que la dirección se encuentre en la whitelist) póngase en contacto con su administrador de sistemas para comprobar si la dirección se encuentra en la whitelist y, si fuera necesario, eliminarla.

Se están bloqueando demasiados remitentes legítimos

Si disminuir la sensibilidad de los filtros y reportar los errores a assp-notspam@mydomain.com no evita que remitentes legítimos continúan siendo bloqueados, por favor consulte los headers del email ya que es posible que el remitente se encuentre en alguna lista negra o que su IP se encuentre en la lista de bloqueadas. En este caso informe al administrador de sistemas, que se encargará de llevar a cabo los ajustes necesarios para que estos remitentes puedan pasar.

Deshabilitar el antispam para uno o más dominios

Si desea deshabilitar un dominio o cuenta de correo perteneciente a su cuenta, informe a su administrador de sistemas para que agregue los mismos a ASSP noProcessing list.

Correos devueltos con un error de servicio denegado

Si alguien recibe este mensaje al enviar un correo, significa que la IP de su servidor de correo ha sido bloqueada por ASSP. Esto puede deberse a que la IP del remitente se encuentre en una blacklist consultada por ASSP. Para resolver este problema, póngase en contacto con su administrador de sistemas, el cual deberá hacer los ajustes necesarios para garantizar que los mensajes del remitente puedan pasar el filtro de ASSP.

¿Como funciona el greylisting?

Delaying o greylisting es una opción que introduce ASSP para detener spam a nivel de servidor de correo, pero sin llevar a cabo un análisis en profundidad u otro tipo de aproximación heurística.

Greylisting toma como principio que todo servidor de correo bien configurado va a tratar de reenviar un correo si este no es enviado a causa de un error de software. Este comportamiento es un comportamiento estándar para garantizar el envío de correos incluso si el servidor de destino se encuentra desconectado de red durante un tiempo concreto debido a labores de mantenimiento u otras razones.

¿Cómo funciona exactamente?

Cuando alguien que no se encuentra en nuestra whitelist envía un correo a nuestro servidor y el filtro de delaying se encuentra activado, creará una terna (IP, dominio, cuenta de correo) y se enviará un error 451 en respuesta al servidor de correo remitente, el cual tratará de realizar la entrega de nuevo. Si el servidor de correo del remitente se encuentra bien configurado , durante las próximas 24 o 48 horas tratará de enviar el correo de nuevo a intervalos de tiempo regulares de X minutos (definidos en la configuración del mismo). En cuanto se produzca el siguiente intento, la terna (IP, dominio, cuenta de correo), pasará a la whitelist y el correo será liberado en el buzón del destinatario.

¿Cuándo recibirá el correo?

Si el servidor de correo del remitente se encuentra correctamente configurado, el próximo intento de envío se realizará 2 minutos después de recibir el error 451 (tiempo de embargo por defecto) y en un máximo de 24 horas (tiempo de espera por defecto). Si el servidor del remitente no vuelve a intentar el envío el correo será rechazado pasadas 24 horas.

¿Se perderá correo válido?

Un correo sólo será rechazado si el servidor de correo del remitente está configurado para no reintentar el envío. Todo servidor de correo legítimo que se encuentre correctamente configurado intentará el envío de nuevo. Sin embargo, en el improbable caso de que vea algún correo valido en la sección delaying log page, puede utilizar el botón report para que la dirección sea agregada a la whitelist.

Listado de comandos disponibles a través de la interface de ASSP-Deluxe (actualización)

  • assp-spam@: cualquier correo enviado o redirigido hacia este nombre de usuario por un usuario autenticado del dominio será tratado como spam que atravesó los filtros. Para hacer uso de esta funcionalidad debería enviarse como adjunto el correo o copiados como un correo nuevo a la dirección assp-spam@mydomain.com ya que en caso contrario, el header original será eliminado.
  • assp-notspam@:  si encuentra un correo legítimo en la carpeta SPAMBOX, puede reportarlo a esta dirección de forma que el sistema antispam puede corregir el error y mejorar su funcionamiento. Para enviar un reporte a esta dirección, seleccione el mensaje bloqueado de forma incorrecta y elija la opción “forward as attachment”. Transcurridos unos minutos, recibirá un mensaje de confirmación del sistema y el remitente no volverá a ser bloqueado.
  • assp-white@: Un correo enviado a esta dirección permite agregar a la whitelist múltiples direcciones de correo. Para hacer uso de esta funcionalidad deberá incluirse en el cuerpo del mensaje todas aquellas direcciones de correo que se desee agregar separadas por un salto de linea. También es posible agregar dominios completos mediante el uso de la wildcard *@mydomain.com. Pasados unos minutos recibirá un correo confirmando la modificación en la whitelist.

white2

  • assp-notwhite@: Un correo enviado a esta dirección permite eliminar una dirección de correo o dominio de la whitelist. Unos minutos después le llegará un correo de confirmación de la modificación de la misma.
  • asspanalyze@: Los correos enviados a la dirección asspanalyze@mydomain.com serán interpretados como una petición de análisis de los mismos por parte del sistema. Unos minutos después de la petición recibirá un correo con los resultados del análisis.
  • assp-block@: Los correos enviados  la dirección assp-block@mydomain.com serán interpretados como una petición de informe acerca contenido de la lista de correos bloqueados. Cualquier dígito  incluido al inicio del asunto del mensaje será considerado como el número de días que se han de reflejar de informe. Si no se especifica este valor, el informe será enviado con los resultados de los últimos 5 días. Cualquier caracter incluido tras el número de días se interpreta como una expresión regular que sobrescribirá los filtros.

Los siguientes comandos están disponibles mediante una petición a su soporte técnico el cual, a su discreción, puede decidir habilitarlos para su uso agregándole a la lista de usuarios autorizados (Emailadmins).

  • asspof@: Un correo enviado a esta dirección por un usuario local es interpretado como una petición para agregar al remitente a la llamada noProcessing address list. La dirección del remitente será ignorada por los filtros antispam de ASSP
  • asspon@: Un correo enviado a esta dirección por un usuario local es interpretado como una petición para eliminar al remitente de la llamada noProcessing address list.
  • assp-persblack@: Correos enviados a esta dirección por usuarios locales son considerados una petición para agregar una dirección de correo o dominio (mediante la wildcard *@domain.com) a la lista negra personal del remitente. Es posible recibir un listado del contenido de esta blacklist enviando un correo en blanco a esta dirección.
  • assp-notpersblack@: Correos enviados a esta dirección son tratados como una petición para eliminar direcciones de correo de la lista negra personal del remitente.

 

 

marzo 18th, 2014

Posted In: Productos, Tutoriales

Etiquetas: , ,

Leave a Comment

Uno de los aspectos más complejos de abordar en cPanel es el control de recursos por usuario. Con el fin de satisfacer esta necesidad, CloudLinux y cPanel llevan varios años trabajando a través de un acuerdo de partnership para mejorar la integración entre este sistema operativo y el panel de control. A continuación se aclarará que aporta CloudLinux a la hora de gestionar recursos y cómo se gestiona desde cPanel.

  • Estabilidad mejorada al limitar recursos por usuario: en hosting compartido, la causa más común de falta de disponibilidad es que una cuenta esté ralentizando a las demás por un consumo de recursos excesivo. La implementación de cPanel y CloudLinux utiliza la tecnología Lightweight Virtual Environment (LVE), mejorando la densidad y estabilidad de su entorno de  hosting compartido para todos los inquilinos
  • Transparente para el administrador y el usuario final: debido a que LVE es una tecnología implementada a nivel de kernel, es totalmente transparente.
  • Eficiencia del servidor incrementada: Mediante la monitorización y contención de picos de reursos, CloudLinux elimina la necesidad de dejar recursos del servidor no asignados, incrementando el número de cuentas que se pueden alojar en un servidor de cPanel.
  • Interface administrativa dentro de cPanel y WHM para gestionar fácilmente  el uso de recursos por cuenta: dentro de cPanel y WHM, CloudLinux proporciona una interface de administración que permite la visualización de recursos consumidos por cada sitio web.

Gestión de CloudLinux a través de WHM

El acceso a la gestión de CloudLinux a través de WHM se encuentra ubicado en la sección Server Configuration -> CloudLinux LVE manager

whm_lve_location

LVE Manager proporciona una forma sencilla de monitorizar el uso de recursos en tiempo real

whm_current_usage

Ajuste de la configuración por usuario

whm_settings_zoom79

Ver el historial de uso de recursos por cuenta

whm_history_zoom73

Las tablas de estadísticas permiten obtener datos acerca del uso del LVE. Es posible obtener las cuentas con el mayor número de fallos o las que dan valores máximos de CPU/RAM/IO/etc… mediante la opción top LVEs. Puede ajustarse el número de entradas en el reporte eligiendo el número deseado en la opción limit.

La opción LVE Approaching Limits muestra aquellas cuentas que estén usando un X% del uso especificado en Using de sus recursos asignados. Fault LVE muestra aquellas cuentas con problemas debido a que han alcanzado algún límite de recursos. Esta opción permite configurar el número de errores a partir de los cuales se mostrará la cuenta en Threshold.

whm_statistics_zoom77

Desde la sección Statistic Results pueden verse gráficas de uso de recursos para un LVE en concreto.

whm_chart_zoom84

En la pestaña Packages se puede gestionar el límite en función del paquete asociado en la cuenta. Cada una de las cuentas asociadas a ese paquete deberá respetar el limite impuesto.

whm_plan_settings_zoom91

Editar el límite de recursos por paquete es muy similar a editar límites para cada cuenta individualmente.

whm_edit_package

La pestaña opciones permite definir si los datos de uso y los límites asignados por LVE serán visibles para el usuario final a través de la interface de cPanel.

whm_options

Más información en: http://docs.cloudlinux.com/index.html?cpanel_lve_manager.htmlhttp://cpanel.net/cpanel-whm/cloudlinux/

marzo 10th, 2014

Posted In: Productos, Tutoriales

Etiquetas: , , , ,

Leave a Comment