La idea final es prescindir de los cds/dvd de instalación (el DVD hay que armarlo porque la licencia que compramos no incluía DVDs ni manuales, claro…pregunten a los ejecutivos), y poder instalar rápidamente (a velocidad de gigabit) el SLES9, plus serv.pack 2 level.

Lo hice rápido una vez que pude ver el (muy) simple procedimiento de instalación en red en SLES9 del que no pude encontrar ninguna entrada en Google, bah suponiendo que las palabras clave “SLES9 network install” y derivados en un par de idiomas fueran las indicadas para localizar algún tipo de tutorial sobre cómo lanzar efectivamente una instalación en red. En primera instancia lo que obtuve fueron muchas páginas contando cómo se arma un repositorio Yast.

Lo bueno de todo fue que al finalizar pocos minutos después tenía un SLES9 Serv. Pack 2 Level (lo certificó la release-note que se muestra al final de la instalación).

El punto clave para lanzar la ejecución de una instalación remota está en el GRUB del CD/imagen de instalación. En un costado, abajo dice “CDROM-F2″, si durante la selección “Installation” (para empezar a instalar), elegimos “F2″ antes de hacer enter, elegimos el tipo de medio a usar para la instalación. Más tarde, luego de autodetectar y cargar los módulos de la/s placas de red, se nos pregunta por los datos de conectividad de las varias eth’s. Puede usarse DHCP o cargarse una configuración estática típica. A partir de ahí solo queda ingresar la ip o nombre del server de instalación (para que el nombre del server funcione, claro, el DNS tiene que estar bien cargado).

Un tip para los primerizos con estas versiones viejas de Yast: el directorio de instalación remota exportado en el server del repositorio puede ser algo como:

/srv/sles9

sin embargo, al cargarlo generalmente tendrán otro directorio más que tipear hasta tener en el raíz relativo los directorios típicos de la estructura que pueden ver en cualquier CD 1 de instalación.

A partir de ahí con un enter ya se inicia la instalación típica. -

Powered by ScribeFire.

Method # 1
(the classic usual)
Use command make uninstall or equivalent supported command, Read INSTALL or README file in source code file to find out more about this method.

# make uninstall

Sure, this method sounds very easy but not supported by all tar balls.

Method # 2
(a) Make a list of all files on the system before installing software i.e. a pre-installation list of all files on your system.
find /* > packgetlist.b4

(b) Now install the software (use configure & make to compile it)
make
make install

(c) Now make a list of all files on the system after installing software i.e. postinstall list
find /* > packagelist.after

(d) Next, compare both lists using the diff utility to find out what files are placing where. This list can be use to uninstall all files installed using source tar ball.
diff packagelist.b4 packagelist.after > package.uninstall.list

(e) After some time if you wish to uninstall files then you need to get list of files from package.uninstall.list file. Use following small for loop at shell prompt to remove all files:
for i in $(grep “>” package.uninstall.list | awk ‘{ print $2 }’)
do
rm -i $i
done

To be frank there is no direct RPM option available via rpm command to extract an RPM file. But there is a small nifty utility available called rpm2cpio. It Extract cpio archive from RPM Package Manager (RPM) package. With the following hack you will be able to extract an RPM file.

So rpm2cpio converts the .rpm file specified as a single argument to a cpio archive on standard out. If a – argument is given, an rpm stream is read from standard in.

Syntax is as follows:
rpm2cpio myrpmfile.rpm
rpm2cpio – < myrpmfile.rpm
rpm2cpio myrpmfile.rpm | cpio -idmv

Example

Download an RPM file:
$ mkdir test
$ cd test
$ wget http://www.cyberciti.biz/files/lighttpd/rhel4-php5-fastcgi/php-5.1.4-1.esp1.x86_64.rpm

Extract RPM file using rpm2cpio and cpio command:
$ rpm2cpio php-5.1.4-1.esp1.x86_64.rpm | cpio -idmv

Output:
/etc/httpd/conf.d/php.conf
./etc/php.d
./etc/php.ini
./usr/bin/php
./usr/bin/php-cgi
./usr/lib64/httpd/modules/libphp5.so
./usr/lib64/php
./usr/lib64/php/modules
….
…..
..
./var/lib/php/session
./var/www/icons/php.gif
19188 blocks

Output of rpm2cpio piped to cpio command (see how to use cpio) with following options:
i: Restore archive
d: Create leading directories where needed
m: Retain previous file modification times when creating files
v: Verbose i.e. display progress

Verify that you have extracted an RPM file in current directory:
$ ls

Output:
etc php-5.1.4-1.esp1.x86_64.rpm usr var

This is useful if you want to extract configuration file or other file w/o installing an RPM file.

Bien, el problema se dió cuando el sysadmin del server instaló un python compilado a mano SOBRE el python original (el que se instala desde rpm). No me detuve mucho a ver qué había ocurrido y porqué el python compilado (exitosamente al parecer) no respondía bien, aunque presumo algun problema con los PATHs de carga de las librerías y el frecuente problema del linkeo a versiones específicas (la 1-0.8 aunque esté disponible la full-compatible-binaria 1-10).

Hay varias soluciones en este caso, en particular me inclino por el camino elegante de desinstalar el python compilado a mano (make uninstall), teniendo en cuenta que en este caso particular es posible sin ninguna consecuencia; luego lo idea sería forzar la instalación del/los rpms de python que sean necesarios (cuando alguna app diga q falta X o Y librería te entererás de que falta algo todavía!).

Un detalle, el comando rpm (ni hablar de yum) seguramente no va a funcionar antes de que esté en su lugar el viejo python. O sea que lo que hay que hacer es tomar (usando mc o algún cd de recuperación) el contenido del/los rpm de python que hicieran falta y sobreescribir manualmente los binarios y librerías a los directorios que corresponda (puedes ver cuales son en el rpm).

Aclaro que todo este trajín de borrado/copia manual no tendrá ninguna consecuencia sobre tu BD rpm ni tus dependencias ya que todo el tiempo estuviste trabajando con archivos y no alteraste la BD rpm en absoluto.

Este es un típico problema fácil de solucionar, pero que en principio produce pequeños espasmos cardíacos a los sysadmin novatos ya que su “navaja suiza” de reparación de problemas (la “reinstalación a cero” de cualq. paquete o aplicación) desaparece del mapa de soluciones factibles junto con el sist. de adm. de paquetes (YUM) y su subsist. base (RPM).

La idea de esta explicación puede ser fácilmente portada a equivalentes en comandos en Debian y otros Linux con sist. de adm. de paquetes. automatizados.

Desde Fernando he leído el siguiente artículo, son temas básicos pero que a menudo se olvidan y son muy importantes:

Los errores más típicos a la hora de pedir empleo se pueden subsanar fácilmente. Aquí les dejo con algunas sugerencias para tener más posibilidades de ser elegido para un trabajo, o para obtener mejores condiciones al ser contratado:

Ser correcto.
Esto voy a decirlo claramente: Lo primero es saber expresarte correctamente. No puedes hablar a tu empleador como a un amigo, o como alguien que está a tu mismo nivel.
Si ese paso en la relación se lleva a cabo, debe ser el empleador el que de el primer paso, y debes de llegar solamente hasta donde él llegue. Trata a tu empleador de “usted(es)“, y no de “tú“. Esto demostrará que eres una persona seria y que sabes mantener una relación cordial con personas que no conoces.

Contar tus problemas.
A la empresa que te va a contratar no le interesan tus problemas, en absoluto. No quieren un empleado que tenga problemas incluso antes de venir a trabajar con ellos. Si tienes problemas, tu solicitud de empleo no es el mejor sitio para contarlos. Lo único que dice de ti contar el problemas personales, es que probablemente vas a dar muchos más en el futuro.
Si tienes alguna limitación o problema para el trabajo, busca la manera de camuflarla. Frases como: “Ahora mismo estoy muy ocupado“, “No contacten con las empresas de mi CV porque la relación profesional terminó bastante mal“… no ayudan a generar una confianza con tu futura empresa.

Mostrar ilusión.
Algunas empresas lo llaman “carta de motivación“, pero yo creo que es necesaria una actitud de motivación. Tienes que demostrarle a la empresa que el proyecto que te proponen es algo que te hace feliz, que te encantaría dedicar tu tiempo a esta idea, que es una oportunidad para tí. Esto va a jugar a tu favor, y no es muy difícil de hacer. ¿A qué no?

Ser proactivo.
En las entrevistas para entrar en Google, una de las preguntas que te hacen es: “¿En qué mejorarías Google?“. Esto es un filtro básico: Si no eres capaz de mejorar la empresa en la que trabajas, no te molestes en venir.
Esto se aplica más o menos a cualquier empresa y proyecto. Una persona que pueda sugerir nuevas maneras de generar dinero, siempre será más bienvenida. Sugiere mejoras. Sugiere alternativas. Esto demostrará que vas a ser una persona que resuelve problemas y aporta soluciones. Créeme cuando digo que esto es precisamente lo que quieren las empresas, y que tu puedes conseguirlo si te lo propones.

Curriculum Interesante
He tenido, por una razón o por otra, la oportunidad en mi vida de revisar multitud de CV, y hay algunos fallos que considero de la magnitud “enormes”, y que se repiten una y otra vez. Empecemos por los básico:
Escribe lo más importante en tu vida al principio. No es seguro que la empresa vaya a leer todo tu CV, muchas veces se descartan candidatos antes de pasar la primera página. Por eso, tienes que hacer lo posible porque la primera página sea suficientemente llamativa.
Destaca con negritas lo mas importante. Cuando RRHH lee tu CV lo ojea por encima, no se lo estudia con detalle. Destaca lo que quieras que esa persona lea en negrita y que si le interesa, que lea el texto normal.
Imagen profesional. Una cuenta en hotmail para pedir trabajo no denota mucha profesionalidad. Si no tienes posibilidad de tener tu propio dominio, al menos usa un correo más profesional.
Elimina lo irrelevante. Muchísima gente, por miedo y falta de confianza, trata de parecer mucho más de lo que es a base de llenar líneas en el CV. Por las manos de un gestor de RRHH en una gran empresa pasan al menos 20 nuevos CV cada día. Intenta ir al grano para conseguir una entrevista, no pongas tu colegio en primaria, ni que de pequeño fuiste campeón de atletismo o que una vez hicistes un curso de flauta travesera. Al grano chicos.
Adapta el CV para la oferta. Tu eres una persona con muchas cualidades, pero no todas son válidas para todos los trabajos. Realza las cualidades que te ayudarían más para esa oferta, y camufla (o elimina) las que te podrían perjudicar.

“¿Cómo hago para escribir el CV? No se por dónde empezar!”
Hay muchísimas herramientas para hacer un buen CV. Mi experiencia es que hay que dedicarle unas cuantas horas para que lea llamativo y provoque que el entrevistador se fije en ti. Esto NO quiere decir empezar a poner colores, líneas por aquí y por allá, o una tipografía de lo más “cool”, quiere decir el pensar y repensar la estructura de la información que quiero presentar.Para los primerizos, les recomiendo que visiten la web del Europass, y usen el modelo de CV Europeo.

Analiza lo que se pide en la oferta
Cuando la empresa va a buscar a alguien, se pasan un tiempo pensando en lo que quieren y al final se condensa en un pequeño párrafo con las preferencias de la empresa. Esta información es lo más valioso que tienes. La empresa sabe que encontrar a alguien con esas características no es sencillo, si bajan los requisitos, es porque piensan pagar poco. Y esto, amigos mios, es ley inmutable.
Si te piden inglés, no digas que sabes alemán para defenderte. Si piden 2 años de experiencia y no los tienes, di que tienes X años en un sector relacionado y que estarías muy ilusionado en dar un nuevo giro a tu carrera con una empresa como esa.
Asegurate, antes de mandar el CV y la carta de motivación, que has mostrado a la empresa lo cerca que estás de cada uno de los requisitos que piden. Que no digan que no les he avisado.

Analiza la empresa
Muchas veces, las empresas buscan a alguien que se adapte a su manera de pensar y sentir la vida. En una consultora de gran prestigio, buscan a alguien con una gran seguridad en si mismo. En un hospital buscan a alguien con mucho tacto. En technorati buscan a gente famosa en el mundo de internet
Analiza cómo es la empresa, cómo son sus empleados, qué dicen, qué opina la gente de la empresa. Toda esta información servirá para adaptar el tono de tu carta de motivación al que sea más cercano al de la empresa. Esto generará una empatía que te dará más puntos para ser “el elegido”.

Retribución
No negocies las condiciones hasta que ellos lo hagan. No puedes pedir empleo diciendo: “Quiero cobrar X€ bruto al mes y tener un variable del…”. No. Debe ser tu empleador el que lance la cuestión, y entonces te sientas a negociar.
Aunque parezca increíble, he tenido casos de gente que, antes de saber las característica concretas del proyecto, ya me decían cuanto querían cobrar. Esto es un fallo gordo por varias razones: podría ser que yo estuviera dispuesto a pagar mucho más, o incluso podría pagar menos dinero y ofrecer otro tipo de compensaciones. Espera a que ellos muevan ficha.

Infíltrate!
Conocer a alguien dentro de la empresa que tenga una buena opinión de ti, te podrá dar muchos puntos a tu favor. Mientras más respetada sea esa persona, más puntos.
Hay veces que es imposible, pero el crearte una red de contactos en el sector en el que quieras trabajar puede cambiar la balanza a tu favor en muchas circunstancias. Un Responsable de RRHH tiene en sus manos CVs de personas que no conoce, pero si resulta que un compañero le dice que tú vales, seguro que mira con otros ojos tu CV ante tanta persona anónima.
El Networking requiere un post aparte, pero les dejo con una cita para pensar: “Si nadie te conoce, nadie te llama”.

dpkg-awk -f /var/lib/dpkg/avaliable ‘kdelibs4′ –Package | egrep . | cut -d\ -f2 | xargs apt-get install

- …te cargas todo lo que no vale para nada

for a in `deborphan` ; do apt-get remove -y $a ; done

- file-rc, excelente aplicación que facilita la gestión de demonios arrancados o detenidos al inicio del sistema.

- ejemplo de uso de bash en consola directamente,

* para crear directorios
for ((i=1; $i<=25; i++)); do mkdir slot$i;done

* para ejecutar un comando sobre una lista de algo
for ((i=1; $i<=9;i++)); do amlabel DailySet1 DailySet1-0$i slot $i; done

- You can find programs that run setuid to root with the command:

# find / -user root -perm -4000

mmm frases sueltas

“En cualquier empresa, el jefe siempre quiere el trabajo para ayer, es un axioma. Cuando dan cursillos de formación a los jefes esto es lo primero que les enseñan. Lo siguiente es que se laven las manos después de mear. Y si triunfan y hacen algún master, les enseñan a no mearse en las manos.”

El viejo top y netstat son un par de las primeras que se usan cuando un caso como el anterior se presenta, sin embargo la cosecha de herramientas de monitoreo para S.O. tipo *nix es tan variada como variadas son las necesidades de sus usuarios. Los datos que siguen fueron fielmente copiados de Planet Malasya Blog y son un listado bastante bueno de algunas herramientas de monitoreo en vivo no tan conocidas y sus características y utilidad consecuente.

ibmonitor
It is an interactive linux console application which shows bandwidth consumed and total data transferred on all interfaces. Its main features are:

- Shows received, transmitted and total bandwidth of each interface
- Calculates and displays the combined value of all interfaces
- Displays total data transferred per interface in KB/MB/GB
- Values can be displayed in Kbits/sec(Kbps) and/or KBytes/sec(KBps)
- Can show maximum bandwidth consumed on each interface since start of utility
- Can show average bandwidth consumption on each interface since start of utility
- The output with all features (max, avg and display in Kbps and KBps) easily fits on a 80×24 console or xterm
- Can interactively change its output display format depending on key pressed by user.

Download latest version of ibmonitor (I guess long time no update last release is 19th December 2004)

[root@planetmy]# tar xvfz ibmonitor-1.3.tar.gz
[root@planetmy]# cd ibmonitor
[root@planetmy]# ./ibmonitor

BandwidthD
Tracks usage of TCP/IP network subnets and builds html files with graphs to display utilization. Charts are built by individual IPs, and by default display utilization over 2 day, 8 day, 40 day, and 400 day periods. Furthermore, each ip address’s utilization can be logged out at intervals of 3.3 minutes, 10 minutes, 1 hour or 12 hours in cdf format, or to a backend database server. HTTP, TCP, UDP, ICMP, VPN, and P2P traffic are color coded.

Download bandwidthd

[root@planetmy]# tar xvfz bandwidthd-2.0.1.tgz
[root@planetmy]# cd bandwidthd
Configure and install the Bandwidthd source:
[root@planetmy]# ./configure && make install

Please make sure you have:
libpcap from http://www.tcpdump.org/
libpng from http://www.libpng.org/
libgd from http://www.boutell.com/gd/

Edit /usr/local/bandwidthd/etc/bandwidthd.conf
to suit your network environment.

Start Bandwidthd
/usr/local/bandwidthd/bandwidthd

Point your Apache Virtual Host to
/usr/local/bandwidthd/htdocs for browse
the bandwidthd graph.

Note: The installation guide below running either with RHEL3/4 and FC4.

(——- Second Part)

A. tcptrack
is a sniffer which displays information about TCP connections it sees on a network interface. It passively watches for connections on the network interface, keeps track of their state and displays a list of connections in a manner similar to the unix ‘top’ command. It displays source and destination addresses and ports, connection state, idle time, and bandwidth usage.

[root@planetmy download]#wget
http://www.rhythm.cx/~steve/devel/tcptrack/release/1.1.5/source/tcptrack-1.1.5.tar.gz
[root@planetmy download]#tar xvfz tcptrack-1.1.5.tar.gz
[root@planetmy download]#cd tcptrack-1.1.5
[root@planetmy tcptrack-1.1.5]#./configure
[root@planetmy tcptrack-1.1.5]#make
[root@planetmy tcptrack-1.1.5]#make install
#(I skip this step)
[root@planetmy tcptrack-1.1.5]#cd src

[root@planetmy tcptrack-1.1.5]#./tcptrack -i eth0
[root@planetmy tcptrack-1.1.5]#./tcptrack -i eth0 port 443
[root@planetmy tcptrack-1.1.5]#
./tcptrack -i eth0 src 10.10.10.1
[root@planetmy tcptrack-1.1.5]#
./tcptrack -i eth0 dst 10.10.10.1

B. pktstat
display a real-time list of active connections seen on a network interface, and how much bandwidth is being used by what. Partially decodes HTTP and FTP protocols to show what filename is being transferred. X11 application names are also shown. Entries hang around on the screen for a few seconds so you can see what just happened. Also accepts filter expressions á la tcpdump.

[root@planetmy download]#wget
http://www.adaptive-enterprises.com.au/~d/software/pktstat/pktstat-1.8.1.tar.gz
[root@planetmy download]#tar xvfz pktstat-1.8.1.tar.gz
[root@planetmy download]#cd pktstat-1.8.1
[root@planetmy pktstat-1.8.1]#./configure
[root@planetmy pktstat-1.8.1]#make
[root@planetmy pktstat-1.8.1]#make install
#(I skip this step)

[root@planetmy pktstat-1.8.1]#./pktstat
[root@planetmy pktstat-1.8.1]#./pktstat -i eth0
[root@planetmy pktstat-1.8.1]#./pktstat –help

C. bwm-ng – Bandwidth Monitor NG
is a small and simple console-based live bandwidth monitor for Linux, BSD, Solaris, Mac OS X and others.

[root@planetmy download]#wget
http://www.gropp.org/bwm-ng/bwm-ng-0.5.tar.gz
[root@planetmy download]#tar xvfz bwm-ng-0.5.tar.gz
[root@planetmy download]#cd bwm-ng-0.5
[root@planetmy bwm-ng-0.5]#./configure
[root@planetmy bwm-ng-0.5]#make
[root@planetmy bwm-ng-0.5]#make install
#(I skip this step)

[root@planetmy bwm-ng-0.5]#cd src
[root@planetmy bwm-ng-0.5]#./bwm-ng -a
[root@planetmy bwm-ng-0.5]#./bwm-ng –help

D. iftop
display bandwidth usage on an interface. iftop does for network usage what top(1) does for CPU usage. It listens to network traffic on a named interface and displays a table of current bandwidth usage by pairs of hosts.

[root@planetmy download]#wget
http://www.ex-parrot.com/~pdw/iftop/download/iftop-0.17.tar.gz
[root@planetmy download]#tar xvfz iftop-0.17.tar.gz
[root@planetmy download]#cd iftop-0.17
[root@planetmy iftop-0.17]#./configure
[root@planetmy iftop-0.17]#make
[root@planetmy iftop-0.17]#make install
#(I skip this step)

[root@planetmy iftop-0.17]#./iftop -B -P -i eth0
[root@planetmy iftop-0.17]#./iftop –help

E. Speedmeter
monitor network traffic or speed/progress of a file transfer.

Download and install Urwid (recommended)
[root@planetmy download]#wget
http://excess.org/urwid/urwid-0.9.5.tar.gz
[root@planetmy download]#tar xvfz urwid-0.9.5.tar.gz
[root@planetmy download]#cd urwid-0.9.5
[root@planetmy urwid-0.9.5]#python setup.py install

[root@planetmy download]#cd /usr/local/bin
[root@planetmy bin]#./speedometer.py -rx eth0 -tx eth0
[root@planetmy bin]#./speedometer.py –help

F. CBM
the color bandwidth meter. CBM is a small program to display the traffic currently flowing through your network devices.

you may require xmlto for cbm to work
[root@planetmy download]#wget
http://cyberelk.net/tim/data/xmlto/stable/xmlto-0.0.18.tar.bz2
[root@planetmy download]#tar xvfj xmlto-0.0.18.tar.bz2
[root@planetmy download]#cd xmlto-0.0.18
[root@planetmy xmlto-0.0.18]#./configure
[root@planetmy xmlto-0.0.18]#make
[root@planetmy xmlto-0.0.18]#make install

[root@planetmy cbm-0.1]#/usr/local/bin/cbm

De inmediato no me interesó pasar por el proceso de ver el procedimiento y detalles potencialmente engorrosos de actualizar un (muy viejo) Mambo a Joomla! y elegí instalar desde cero.

OK, tuve un pequeño problema: durante los intentos de ver cómo es la organización de MySQL en Debian corrí un

dpkg-reconfigure mysql-server

y éste falló a mitad de camino. Ok, ningun problema, intento reiniciar mysql;

/etc/init.d/mysqld restart

…tarda un momento y después me muestra un cierto “Error 2002″ y algo sobre que no puede acceder a cierto archivo “/var/lock/mysqld/mysql.algo” porque no existe. La ayuda a la (novata) pregunta de cómo salir rápidamente de ese problema consiste mayormente en crear el archivo manualmente y darle los permisos apropiados para que mysqld pueda usarlo. Bien, eso no funcionó.

Podía seguir indagando en la red un rato más (un par de hs. más), pero tenía que instalar un simple CMS en principio, así que decidí cederle el turno a los cuasi-mágicos scripts de dpkg-reconfigure, esta vez directamente borrando primero MySQL y luego instalando de nuevo.

Antes de borrarlo tuve la precaución de pensar en los artículos del viejo Mambo, y un amigo me comentó que los archivos en /var/lib/mysql/nombre_de_la_DB, resguardados en un directorio seguro podrían ser simplemente copiados de nuevo a un nuevo MySQL y recuperados sin mayor problema.

Bueno, eso realmente debo comprobarlo de mano propia, porque lo que ocurrió a continuación fue, un simple

apt-get remove mysql-server

que borró el server y cualquier problema asociado con su ejecución (como más tarde me iba a enterar), aunque no borró ninguna DB en /var/lib/mysql, aún más durante la posterior instalación, apt-get actualizó MySQL de 4.0 a 5.0 y los scripts aparentemente autoconfiguraron a MySQL 5.0 para trabajar con viejas DB 4.0.

No sé si nota demasiado que soy un novato de medio pelo en MySQL

Al fin realmente todavía tengo que revisar un par de libros (de los gordos) de MySQL y ver si el tipo de recuperación (tosco y simple) de bases MySQL que expliqué arriba funcionaría; pero sí funcionó la actualización de 4.0 a 5.0 en Debian Unstable y las DBs viejas fueron automágicamente bien tomadas por la versión 5.0 y pude recuperar los artículos del viejo Mambo.

If we‘re honest every one of us imagine what we’d do with a few million in the bank. The yacht in Cannes, the private jet in Nice, possibly our own football team, and maybe a few other high maintenance accessories top our list of must-haves. But of course the question is how to get there. Working till I’m too old to enjoy it is one option but of course there is an alternative; the lottery, online poker, a rich widow, stocks and shares – increasingly risky these days – or why not simply help myself to something very valuable.

After all if I’m working in IT I probably have access to the corporate crown jewels. And that could be anything; source code for the next money spinning application that will be released, credit card details for thousands of customers. Recently a Coca-Cola employee and two accomplices were arrested in Atlanta for allegedly stealing confidential information from the Coca-Cola and trying to sell it to PepsiCo.

In fact it’s actually quite easy because if I’m working in IT I have access to systems with all kinds of privileged information. Here is my employer thinking that his M&A data is safe and I’m allowed to a free access to the servers storing the data. I can help myself to whatever I want and no one will ever know. And of course it’s much easier now than it was when I first started this job. Then I somehow had to get out of the building with everything under my arm, but now I have dozens of ways to get it out. Just make my choice – mobile, USB stick, email attachments, VPN access from home and no one will ever know! And of course it may not even be my employer, just some company that we provide outsourcing services for – it’s never been easier!

The problem often lies in the fact that we are constantly tempted because the corporate jewels are literally just lying around where anyone can find them. The problem for today’s enterprise is that the transfer of information is increasingly time-critical and the traditional approaches such as FTP and secure email are awkward to manage, and often lack the security mechanisms that sensitive data demands, thus making the risk of leakage very possible. And where it becomes really challenging is when you need to share information with business partners. So here are a few suggestions

Do not expose your internal network
The process of transferring files in and out of the enterprise must be carried out without exposing and risking the internal network. No type of direct or indirect communication should be allowed between the partner and the enterprise.

Make sure that intermediate storage is secure

While information is waiting to be retrieved by the enterprise or sent to the business partner, it must reside in a secure location. This is especially critical when the intermediary storage is located on an insecure network, such as the enterprise’s DMZ, outsourced site, or even the internet.

But encryption and other security mechanisms are not helpful if the security layers where the data is being stored can be circumvented, for example by a systems administrator. Encryption is good for confidentiality, but does not protect data from intentional deletion or accidental modifications. It is important to have a single data access channel to the storage location and ensuring that only a strict protocol, that prohibits code from entering, is available for remote users. In September 2004, an unauthorized party placed a script on the CardSystems system that caused records to be extracted, zipped into a file, and exported to an FTP site. The result was the exposure of millions of credit card details and the eventual demise of CardSystems.

Ensure that Data at Rest is protected

The cornerstone of protecting storage while at rest is encryption. Encryption ensures that the data is not readable and thus maintains its confidentiality. But encryption that places high demands on managing is ineffective. By using transparent key management there is absolutely no need for user level or administrator level encryption key management or awareness, and the use of advanced cryptographic protocols, such as AES 256bit for both storage and session encryption and signing, guarantees the protection of the data :

Protection from data deletion, data loss

The protection of data by encryption is simply one part of the problem. Files may be accidentally or intentionally deleted or changed. Always keep older versions, ensuring an easy way to revert to the correct file content or recover from data deletion.

Protection from data tampering

Data inside protected storage must be tamper proof by integrating authentication and access control that ensures that only authorized users can change the data. In addition, to ensure that data manipulation that somehow bypasses the access control doesn’t go unnoticed, digital signatures must be employed to detect unauthorized changes in the files.

Auditing and monitoring

Comprehensive auditing and monitoring capabilities are essential for security for several reasons. First, it allows the enterprise to ensure that its policy is being carried out. Secondly, it provides the owner of the information with the ability to track the usage of its data. Thirdly, it is a major deterrent for potential abusers, knowing that tamper-proof auditing and monitoring can help in identification. Finally, it provides the security administrator with tools to examine the security infrastructure, verify its correct implementation and expose inadequate or unauthorized usage.

End-to-End network protection

Security must also be maintained while the data is being transported over the network. The process of transferring data must be in itself secure. Users that store or retrieve data must be authenticated, sometimes using strong authentication mechanisms. In addition Access control must ensure that users only take appropriate action, and that only authorized actions are carried out.

Auditing is required to ensure that a detailed history of activities can be reviewed and validated

A sophisticated user management scheme along with strong authentication capabilities is essential. Access control must allow the ability to departmentalize the data and the access to it, and detailed logs auditing and tracking of every activity must be available.

Process Integrity

As data transfer is an essential part of a larger business process, it is critical to be able to validate that this step in the process was executed correctly. This requires the solution to provide auditing features, data integrity verification and guaranteed delivery options.

It’s always comforting to know that there is still some honesty in the business world when we hear about Pepsi’s action in alerting their main competitor. But I guess we have to accept that this is the exception rather than the rule; so who’s deciding today whether to alert you to the fact that your corporate jewels are being hawked around, or are they just accepting that fate has dealt them a favourable hand.

“Windows is inherently harder to secure than Linux. There I said it. The simple truth.
Many millions of words have been written and said on this topic. I have a couple of pictures. The basic argument goes like this. In its long evolution, Windows has grown so complicated that it is harder to secure. Well these images make the point very well. Both images are a complete map of the system calls that occur when a web server serves up a single page of html with a single picture. The same page and picture. A system call is an opportunity to address memory. A hacker investigates each memory access to see if it is vulnerable to a buffer overflow attack. The developer must do QA on each of these entry points. The more system calls, the greater potential for vulnerability, the more effort needed to create secure applications.

The first picture is of the system calls that occur on a Linux server running Apache; the second image is of a Windows Server running IIS.

Thanks to Sana Security for generating and providing these images.”

Linux server running Apache