Difference between revisions of "Pandora: Configuracion alertas emails"

From Pandora FMS Wiki
Jump to: navigation, search
(Configuración Postfix)
(Configuración Postfix)
Line 53: Line 53:
 
<br>
 
<br>
 
</center>
 
</center>
 +
 +
=== Instalación Postfix ===
 +
 +
Los paquetes que debe tener instalados en el servidor de Pandora para el correcto funcionamiento del servidor postfix junto con una cuenta de GMAIL.
 +
 +
yum install postfix mailx cyrus-sasl-plain cyrus-sasl cyrus-sasl-lib cyrus-sasl-md5 cyrus-sasl-scram cyrus-sasl-gssapi
 +
  
 
=== Configuración Postfix ===
 
=== Configuración Postfix ===
Line 58: Line 65:
 
Asumiendo que ya tiene instalado Postfix en su servidor y todo funciona correctamente excepto el envío de mail via gmail, debe seguir estos pasos:
 
Asumiendo que ya tiene instalado Postfix en su servidor y todo funciona correctamente excepto el envío de mail via gmail, debe seguir estos pasos:
  
1-- Editar el fichero /etc/postfix/main.cf y añadir las siguientes líneas al final del archivo:
+
1-- Comprobar que tiene habilitada en su cuenta de Gmail la opción "less secure pass". Para ello puede habilitarlo en este link.(https://myaccount.google.com/lesssecureapps)
 +
 
 +
2-- Editar el fichero /etc/postfix/main.cf y añadir las siguientes líneas al final del archivo:
  
 
  relayhost = [smtp.gmail.com]:587
 
  relayhost = [smtp.gmail.com]:587
 
  smtp_sasl_auth_enable = yes
 
  smtp_sasl_auth_enable = yes
  smtp_sasl_password_maps = hash:/etc/postfix/sasl/passwd
+
  smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
 +
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
 
  smtp_sasl_security_options = noanonymous
 
  smtp_sasl_security_options = noanonymous
 
  smtp_use_tls = yes
 
  smtp_use_tls = yes
  smtp_tls_CAfile = /etc/postfix/cacert.pem
+
  smtp_tls_CAfile = /etc/pki/tls/cert.pem
 +
smtp_tls_security_level = encrypt
 +
  
2-- Crear el archivo /etc/postfix/sasl/passwd con su dirección de gmail y contraseña ( debe crear el directorio "sasl" y despues crear el fichero passwd aqui).
+
3-- Crear el archivo /etc/postfix/sasl_passwd con su dirección de gmail y contraseña.
  
Crear el directorio “sasl”:
+
  nano /etc/postfix/sasl_passwd
 
 
mkdir /etc/postfix/sasl
 
 
 
To create the passwd file:
 
 
 
  nano /etc/postfix/sasl/passwd
 
  
 
Añade la siguiente linea en el fichero con su propia dirección de gmail y contraseña:
 
Añade la siguiente linea en el fichero con su propia dirección de gmail y contraseña:
Line 81: Line 87:
 
  [smtp.gmail.com]:587 [email protected]:PASSWORD
 
  [smtp.gmail.com]:587 [email protected]:PASSWORD
  
Protegerlo adecuadamente mediante:
+
Protegerlo adecuadamente:
 
 
chmod 600 /etc/postfix/sasl/passwd
 
 
 
Esto permitirá que solo usuarios root accedan al fichero
 
 
 
3-- Transformamos /etc/postfix/sasl/passwd a un fichero indexado de tipo hash mediante la instrucción:
 
 
 
postmap /etc/postfix/sasl/passwd
 
 
 
Lo que creará el fichero /etc/postfix/sasl/passwd.db
 
 
 
4-- Ahora instalaremos los certificados de Gmail y Equifax. La Appliance de Pandora FMS no tiene estos certificados por defecto. Si ya tiene estos certificados instalados puede saltar este punto.
 
 
 
Para instalar el certificado de Gmail siga estos pasos:
 
 
 
El certificado SSL Google está firmado por Equifax - lo primero que necesitamos a buscarlo.
 
Nos movemos al directorio “tls”:
 
 
 
cd /etc/pki/tls/
 
 
 
Descargamos el certificado Equifax.
 
 
 
sudo wget -O Equifax_Secure_Certificate_Authority.pem https://www.geotrust.com/resources/root_certificates/certificates/Equifax_Secure_Certificate_Authority.cer
 
 
 
Añadimos los permisos al fichero descargado:
 
 
 
chmod 644 Equifax_Secure_Certificate_Authority.pem
 
 
 
También necesitamos solicitar la firma para el certificado:
 
 
 
openssl x509 -in Equifax_Secure_Certificate_Authority.pem -fingerprint -subject -issuer -serial -hash -noout
 
 
 
Instalamos a continuación el certificado de Gmail.  Lo primero que necesitamos es la utilidad c_rehash, instalando este paquete:
 
 
 
yum install openssl-perl
 
 
 
Si no tiene en ninguno de los repositorios este paqute, siguiendo estos pasos resolverá el problema:
 
 
 
  sudo su
 
  nano /etc/yum.repos.d/extra_repos.repo
 
  In the #percona repository I changed the baseurl line to:  http://repo.percona.com/centos/6/os/x86_64/
 
  ^O to write the edited file
 
  ^x to exit
 
  After returning to root terminal, enter "yum install openssl-perl" and accept the defaults
 
 
 
Lo siguiente que necesitamos es adquirir realmente el certificado para GMail. Usando openssl lo hacemos así:
 
 
 
openssl s_client -connect pop.gmail.com:995 -showcerts
 
 
 
La salida debe contener las líneas requeridas para el certificado y tenemos que copiarlos a /etc/pki/tls/gmail.pem archivo. Para ello, cree el archivo:
 
 
 
nano /etc/pki/tls/gmail.pem
 
 
 
y pega estas lineas en el mismo:
 
 
 
-----BEGIN CERTIFICATE-----
 
MIIDWjCCAsOgAwIBAgIKYgy3qQADAAAJ5zANBgkqhkiG9w0BAQUFADBGMQswCQYD
 
VQQGEwJVUzETMBEGA1UEChMKR29vZ2xlIEluYzEiMCAGA1UEAxMZR29vZ2xlIElu
 
dGVybmV0IEF1dGhvcml0eTAeFw0wOTA3MTcxNzE2NTVaFw0xMDA3MTcxNzI2NTVa
 
MGcxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1N
 
b3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMRYwFAYDVQQDEw1wb3Au
 
Z21haWwuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDTHqjJfnRXdpmZ
 
4iP/WNCpvzX4N97bEZ3rvS4aDYey/DJetKZqp9DK1Ie4/C5j8M1aakwiTNA/eHS/
 
wNWVgQx8+HxproYKUeeYj3shYKEkHGfrRYBcyCxc7Gd6NSGaaYru3Z7nJ+STIPUJ
 
E1N35JAwcjjdITVI2O4LckAL4b7GkwIDAQABo4IBLDCCASgwHQYDVR0OBBYEFIln
 
0T5I8Mw6cqhtUS4pyMGYRxOTMB8GA1UdIwQYMBaAFL/AMOv1QxE+Z7qekfv8atrj
 
axIkMFsGA1UdHwRUMFIwUKBOoEyGSmh0dHA6Ly93d3cuZ3N0YXRpYy5jb20vR29v
 
Z2xlSW50ZXJuZXRBdXRob3JpdHkvR29vZ2xlSW50ZXJuZXRBdXRob3JpdHkuY3Js
 
MGYGCCsGAQUFBwEBBFowWDBWBggrBgEFBQcwAoZKaHR0cDovL3d3dy5nc3RhdGlj
 
LmNvbS9Hb29nbGVJbnRlcm5ldEF1dGhvcml0eS9Hb29nbGVJbnRlcm5ldEF1dGhv
 
cml0eS5jcnQwIQYJKwYBBAGCNxQCBBQeEgBXAGUAYgBTAGUAcgB2AGUAcjANBgkq
 
hkiG9w0BAQUFAAOBgQCEGIebkDpktdjtzMiTTmEiN7e4vc73hEI4K0jYKyY0Wn5N
 
dc44AXTfIWOzsikwb886PCUSevGs9rcw2/kaHdPaBSuGrzSCf8ODQqTC3odry3lo
 
PtZGr6nf/81F5UW71+bE1iWOQlJ5/olWOr2SlqYla1iOmosEctD/GyoFnDh+BA==
 
-----END CERTIFICATE-----
 
 
 
Ejecutamos la utilidad c_rehash:
 
 
 
cd /etc/pki/tls
 
 
 
y
 
  
  c_rehash
+
  chmod 600 /etc/postfix/sasl_passwd
 +
chown postfix:postfix /etc/postfix/sasl_passwd
  
Finalmente lo testeamos con la siguiente ejecución:
+
4-- Creamos el archivo /etc/postfix/tls_policy con la siguiente información:
  
  openssl s_client -connect pop.gmail.com:995 -CApath /etc/pki/tls
+
  nano /etc/postfix/tls_policy
  
El punto importante es verificar el código de retorno: 0 (ok), y permiso definitivo Gpop ready. Si usted los consigue, entonces puede conectarse a Gmail.
+
[smtp.gmail.com]:587 encrypt
  
Creamos el archivo Equifax_secure_CA.pem:
+
Protegerlo adecuadamente:
  
  nano /etc/ssl/certs/Equifax_Secure_CA.pem
+
  chmod 600 /etc/postfix/tls_policy
 +
chown postfix:postfix /etc/postfix/tls_policy
  
Pegamos las siguientes líneas:
 
  
-----BEGIN CERTIFICATE-----
+
5-- Transformamos /etc/postfix/sasl_passwd y /etc/postfix/tls_policy a un fichero indexado de tipo hash mediante la instrucción:
MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV
 
UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2Vy
 
dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE4MDgyMjE2NDE1
 
MVowTjELMAkGA1UEBhMCVVMxEDAOBgNVBAoTB0VxdWlmYXgxLTArBgNVBAsTJEVx
 
dWlmYXggU2VjdXJlIENlcnRpZmljYXRlIEF1dGhvcml0eTCBnzANBgkqhkiG9w0B
 
AQEFAAOBjQAwgYkCgYEAwV2xWGcIYu6gmi0fCG2RFGiYCh7+2gRvE4RiIcPRfM6f
 
BeC4AfBONOziipUEZKzxa1NfBbPLZ4C/QgKO/t0BCezhABRP/PvwDN1Dulsr4R+A
 
cJkVV5MW8Q+XarfCaCMczE1ZMKxRHjuvK9buY0V7xdlfUNLjUA86iOe/FP3gx7kC
 
AwEAAaOCAQkwggEFMHAGA1UdHwRpMGcwZaBjoGGkXzBdMQswCQYDVQQGEwJVUzEQ
 
MA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2VydGlm
 
aWNhdGUgQXV0aG9yaXR5MQ0wCwYDVQQDEwRDUkwxMBoGA1UdEAQTMBGBDzIwMTgw
 
ODIyMTY0MTUxWjALBgNVHQ8EBAMCAQYwHwYDVR0jBBgwFoAUSOZo+SvSspXXR9gj
 
IBBPM5iQn9QwHQYDVR0OBBYEFEjmaPkr0rKV10fYIyAQTzOYkJ/UMAwGA1UdEwQF
 
MAMBAf8wGgYJKoZIhvZ9B0EABA0wCxsFVjMuMGMDAgbAMA0GCSqGSIb3DQEBBQUA
 
A4GBAFjOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJXRmm/kEd5jhW6Y
 
7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh
 
1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4
 
-----END CERTIFICATE-----
 
  
Guardamos y salimos
+
postmap /etc/postfix/sasl_passwd && postmap /etc/postfix/tls_policy
  
Con el fin de añadir la autoridad Equifax certificar, que certifica correos electrónicos de Gmail, en el archivo de certificado que utiliza postfix, ejecute el siguiente comando en una consola como root:
+
Lo que creará el fichero /etc/postfix/sasl_passwd.db y /etc/postfix/tls_policy.db
  
cat /etc/ssl/certs/Equifax_Secure_CA.pem > /etc/postfix/cacert.pem
 
  
5-- Finalmente, reiniciamos postfix para aplicar los cambios, así:
+
6-- Finalmente, reiniciamos postfix para aplicar los cambios, así:
  
 
  /etc/init.d/postfix restart
 
  /etc/init.d/postfix restart
  
6-- Podemos comprobar el funcionamiento abriendo dos consolas. En una ejecutaremos el siguiente comando para monitorear el comportamiento del correo:
+
7-- Podemos comprobar el funcionamiento abriendo dos consolas. En una ejecutaremos el siguiente comando para monitorear el comportamiento del correo:
  
 
  tail -f /var/log/maillog
 
  tail -f /var/log/maillog

Revision as of 10:43, 10 May 2019

1 Guía rápida de configuración de correos para alertas en Pandora FMS

1.1 Configuración de correo con cuenta Gmail

Para que el servidor de Pandora pueda mandar las alertas mediante correo de cuenta Gmail necesitamos tener configurado Pandora y Postfix del siguiente modo:

1.1.1 Configuración Pandora

Para configurar correctamente el correo con una cuenta de Gmail en el archivo de configuración del servidor de Pandora (/etc/pandora/pandora_server.conf) tienen que estar comentados todos los campos excepto el mta_address que lo configuraremos con localhost o la ip del servidor donde se encuentre el servidor postfix instalado.

Si tenemos instalado Postfix en el mismo servidor que Pandora la configuración en el pandora_server.conf sería esta:

mta_address localhost 
#mta_port 25
#mta_user [email protected]
#mta_pass mypassword
#mta_auth LOGIN
#mta_from Pandora FMS <[email protected]>


A continuación os voy a mostrar un pequeño resumen de la configuración de una alerta en la consola de Pandora.

1.1.1.1 Configuración de Acción

Para configurar el destinatario de correo usamos la acción Mail to XXX para añadir un destinatario de correo al que se enviaran todos los correos de las alertas.


GMAIL1.png

1.1.1.2 Configuración de la Alerta

En este caso se ha generado en la configuración del módulo > Alertas, una nueva alerta con el módulo que podéis ver en la captura.


GMAIL2.png

Una vez que salta la alerta observamos como llegará al correo elegido en la acción:


GMAIL3.png


GMAIL4.png

1.1.2 Instalación Postfix

Los paquetes que debe tener instalados en el servidor de Pandora para el correcto funcionamiento del servidor postfix junto con una cuenta de GMAIL.

yum install postfix mailx cyrus-sasl-plain cyrus-sasl cyrus-sasl-lib cyrus-sasl-md5 cyrus-sasl-scram cyrus-sasl-gssapi


1.1.3 Configuración Postfix

Asumiendo que ya tiene instalado Postfix en su servidor y todo funciona correctamente excepto el envío de mail via gmail, debe seguir estos pasos:

1-- Comprobar que tiene habilitada en su cuenta de Gmail la opción "less secure pass". Para ello puede habilitarlo en este link.(https://myaccount.google.com/lesssecureapps)

2-- Editar el fichero /etc/postfix/main.cf y añadir las siguientes líneas al final del archivo:

relayhost = [smtp.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_sasl_security_options = noanonymous
smtp_use_tls = yes
smtp_tls_CAfile = /etc/pki/tls/cert.pem
smtp_tls_security_level = encrypt

3-- Crear el archivo /etc/postfix/sasl_passwd con su dirección de gmail y contraseña.

nano /etc/postfix/sasl_passwd

Añade la siguiente linea en el fichero con su propia dirección de gmail y contraseña:

[smtp.gmail.com]:587 [email protected]:PASSWORD

Protegerlo adecuadamente:

chmod 600 /etc/postfix/sasl_passwd
chown postfix:postfix /etc/postfix/sasl_passwd

4-- Creamos el archivo /etc/postfix/tls_policy con la siguiente información:

nano /etc/postfix/tls_policy
[smtp.gmail.com]:587 encrypt

Protegerlo adecuadamente:

chmod 600 /etc/postfix/tls_policy
chown postfix:postfix /etc/postfix/tls_policy


5-- Transformamos /etc/postfix/sasl_passwd y /etc/postfix/tls_policy a un fichero indexado de tipo hash mediante la instrucción:

postmap /etc/postfix/sasl_passwd && postmap /etc/postfix/tls_policy

Lo que creará el fichero /etc/postfix/sasl_passwd.db y /etc/postfix/tls_policy.db


6-- Finalmente, reiniciamos postfix para aplicar los cambios, así:

/etc/init.d/postfix restart

7-- Podemos comprobar el funcionamiento abriendo dos consolas. En una ejecutaremos el siguiente comando para monitorear el comportamiento del correo:

tail -f /var/log/maillog

Y en la otra enviaremos un correo:

echo "Prueba correo" | mail [email protected]

Si los pasos anteriores han tenido éxito, en la otra consola deberíamos ver algo como ésto:

Dec 18 18:33:40 OKComputer postfix/pickup[10945]: 75D4A243BD: uid=0 from=
Dec 18 18:33:40 OKComputer postfix/cleanup[10951]: 75D4A243BD: message-id=
Dec 18 18:33:40 OKComputer postfix/qmgr[10946]: 75D4A243BD: from=, size=403, nrcpt=1 (queue active)
Dec 18 18:33:44 OKComputer postfix/smtp[10953]: 75D4A243BD: [email protected], relay=smtp.gmail.com[74.125.93.109]:587, delay=3.7,  delays=0.15/0.14/1.8/1.6, dsn=2.0.0, status=sent (250 2.0.0 OK 1324249500 eb5sm36008464qab.10)
Dec 18 18:33:44 OKComputer postfix/qmgr[10946]: 75D4A243BD: removed

Si el resultado es el anterior, Pandora apuntará al servidor Postfix para mandar los correos y serán enviados sin problemas.