CAPA DE APLICACIN Configuracion de Protocolos DNS Domain Name System Si se utiliza un cortafuegos con polticas estrictas, como por

ejemplo Shorewall, es necesario abrir el puerto 53 (ldap), por TCP. Un servidor de nombres de dominio tiene como principal funcionalidad: El transformar nombres fciles de recordar en ips ya que es mucho ms fcil recordar un nombre que un numero de direccin ipv4. Instalacin o actualizacin completa de BIND yum install bind* Verificamos nuestra ip en la red Ifconfig Modificaremos el archivo network donde colocaremos el nombre de nuestro equipo con nuestro dominio recordemos usar nombres FQDN. nano /etc/sysconfig/network Modificamos nuestro archivo resolv.conf para incluir otro servidor DNS, si se existiera otro adicional en nuestra red con la misma sintaxis nameserverxxx.xxx.xxx.xxx nano /etc/resolv.conf Configuramos el archivo hosts para agregar el nombre de nuestro equipo con el dominio segn la ip del mismo. nano /etc/hosts Ahora a configurar los archivos del demonio named, y permitiendo las consultas de cualquier ip en nuestro dominio. nano /etc/named.conf options { #listen-on port 53 { 127.0.0.1; }; listen-on port 53 { 10.3.0.114; }; //listen-on port 53 { 192.168.0.33; }; #listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; #allow-query { localhost; }; allow-query { any; }; recursion yes; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto;

/* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; }; Al final de este archivo named.conf tenemos una lnea include, editaremos el archivo que esta especificado ah. nano /etc/named.rfc1912.zones include "/etc/named.rfc1912.zones"; include "/etc/named.root.key"; zone "proto.com" IN { type master; file "forward.zone"; allow-update { none; }; }; zone "0.3.10.in-addr.arpa" IN { type master; file "reverse.zone"; allow-update { none; }; }; Editamos los archivos forward.zone y reverse.zone como sigue: gedit /var/named/forward.zone $TTL 1D @ IN SOA servidns.proto.com. root.servidns.proto.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum IN NSservidns.proto.com. IN MX 0 mail.proto.com. servidns IN A 10.3.0.114 mail IN A 10.3.0.114 gedit /var/named/reverse.zone $TTL 1D @ IN SOA

114 114

IN NS IN NS IN PTR IN PTR

servidns.proto.com. root.servidns.proto.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum servidns.proto.com. 0 mail.proto.com. servidns.proto.com. mail.proto.com.

Iniciamos el servicio named service named start chkconfig named on Pruebas de Zona Frontal dig servidns.proto.com nslookup servidns.proto.com host servidns.proto.com Pruebas de Zona Inversa dig x 10.3.0.114 nslookup 10.3.0.114 host 10.3.0.114 HTTP Instalar Apache HTTP # yum -y install httpd Iniciar el servidor web # service httpd start Comprobar que el servidor est funcionando # service httpd status httpd (pid 26604) is running... Reiniciar el servidor web # service httpd restart Reiniciar sin perder conexiones # service httpd graceful Detener el servicio # service httpd stop Iniciar el servicio junto con el sistema operativo # chkconfig --level 35 httpd on Editar el fichero de configuracin # vim /etc/httpd/conf/httpd.conf Algunas directivas para mejorar la seguridad y el rendimiento del servidor ServerSignature Off SeverTokens ProductOnly HostnameLookups Off <Directory /> Options -Indexes -ExecCGI -Includes FollowSymLinks # no htaccess por defecto AllowOverride None </Directory> Ejecutado escribimos para levantar el servicio o levantar el demonio. service httpd start Vamos a la Raiz desde el men principal. Computer > var > www > html y creamos un nuevo archivo.html, el cual se llamara index.html.

Dentro de /body escribimos una palabra o frase para luego verla en el navegador para confirmar que apache est activo.

Ahora abrimos el navegador, y en la barra de direcciones 127.0.0.1., escribimos para determinar que Apache se instalo correctamente. Aqu se debe mostrar lo que escribimos en el archivo index.html editado anteriormente.

CERTIFICACIN DE PGINAS Secure Sockets Layer (SSL; en espaol capa de conexin segura) y su sucesor Transport Layer Security (TLS; en espaol seguridad de la capa de transporte) son protocolos criptogrficos que proporcionan comunicaciones seguras por una red, comnmente Internet. Instalamos SSL (yum install mod_ssl) o mejor dicho el paquete mod_ssl, el cual proporciona criptografa para el servidor http Apache mediante los protocolos SSL y TLS. yum install mod_ssl Probamos. Ponemos https://www.protocolos.com. en el navegador y nos sale.

Entonces certifiquemos nuestro www.tuDominio.com Primer debemos generar una clave, para esto: Creamos un directorio que contendr las claves para nuestros sitios web: find /etc/certs find: /etc/certs: No existe el fichero o el directorio mkdir /etc/certs find /etc/certs /etc/certs Ahora generamos laclave con el comando openssl (uno de sus usos es para crear X.509, CSRy CRL). (Se pone dino en la clave de paso). openssl genrsa-des3 -out /etc/certs/www_tuDominio_com.key 1024 Una vez ya con nuestra clave, creamos la peticin CSR (Certificate-Signing Request). (En la pass phrase se pone dino (la clave de paso de cuando se cre la clave)). Es importante el common name (sin punto al final). openssl req -new -key /etc/certs/www_tuDominio_com.key -out /etc/certs/www_tuDominio_com.csr Ahora, para completar se edita el archivo /etc/httpd/conf.d/ssl.conf: (ANTES SACAR UN BACKUP). Y se modifican las variables SSlCertificateFile y SSLCertificateKeyFile (se comenta con un # las anteriores) (ver lneas 106 y 114 de la captura de abajo). Reiniciamos httpd, pide una contrasea (ponemos dino que es la clave de paso (phrase pass) de siempre): service httpd restart LDAP

Crear el certificado autofirmado CA, este certificado sirve para que el servidor y el cliente ldap puedan comunicarse entre s, para determinar que puede confiar un cliente en nuestro servidor.

cd /etc/pki/tls/misc ./CA newca

Equipamiento lgico necesario. openldap-clients-2.x openldap-servers-2.x authconfig authconfig-gtk (opcional) migrationtools yum -y install openldap openldap-clients openldap-servers nss_ldap yum -y install authconfig authconfig-gtk

nano /etc/openldap/ldap.conf Aumentamos las lneas que se ven en nuestra imagen, ntese que el URI tiene una direccin de loopback, para la instalacin del servidor vamos a usar esta ip, una vez concluido la cambiaremos por la ip de nuestro equipo en la red

eliminar los archivos dentro de la carpeta slapd.d, con el objetivo de crear los nuestros luego de una manera limpia. rm -rf /etc/openldap/slapd.d/*

Copiamos los archivos de configuracin a la carpeta de nuestro servidor.

cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

Copiamos el archivo de configuracin de la base de datos de OpenLDAP en las libreras del sistema. cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

Generamos un password para el administrador de nuestro servidor LDAP, en el terminal escribir.

slappasswd Escribimos una clave y nos devolver una clave encriptada que la usaremos en la configuracin del servidor. Ejemplo: {SSHA}VunsxK6jm4ezu01KJyBKR259oJVHimvp Editamos el archivo slapd.conf con nuestra clave y agregamos los permisos necesarios para que los usuarios puedan cambiar sus claves. Modificamos las lneas suffix dc=proto,dc=com, la cantidad de parmetros dc domain component (componente de dominio) se usan segn el tipo de dominio que tenemos en nuestra organizacin; en nuestro caso el dominio es uce.com.ec. rootdn cn=Manager, dc=proto,dc=com donde la directiva cn es el identificador mnemotcnico common name (nombre comn); Aqu usted puede colocar cualquier nombre, pero recurdelo porque es el nombre con el cual haremos la administracin de los permisos.

Y aumentamos los permisos para nuestros usuarios en cuanto a la modificacin de claves y tipo de login que pueden usar.

Creamos un archivo root.ldif para agregarlo en nuestra base de datos.

nano /root/root.ldif y lo configuramos como se ve en la imagen, recuerde cambiar todos los parmetros con los de su dominio.

Agregamos este archivo root.ldif a nuestra base de datos

slapadd -l /root/root.ldif En caso de falla usar el parmetro c para que sobrescriba en la base de datos. slapadd c -l /root/root.ldif La terminal retornara un mensaje: Bdb_db_open: DB_CONFIG for suffix dc=uce,dc=com.dc=ec has changed.

_##################### 100.00% eta none elapsed fast! Closing DB Verificar siempre que el porcentaje sea del 100%

none

Hacer una prueba de los archivos de configuracin, esta prueba generara los archivos cn=config y otros en nuestro archivo slapd.d

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d retornara: config file testing succeeded.

Cambiamos de propietario a los directorios y chequeamos el estado del servicio slapd:

chown -R ldap:ldap /var/lib/ldap chown -R ldap:ldap /etc/openldap/slapd.d service slapd status

Cambiamos la configuracin para que nuestro servidor para que se inicie con nuestro sistema operativo e iniciamos el servicio slapd (nuestro servicio slapd debe estar detenido).

chkconfig slapd on service slapd start

eliminar los archivos dentro de la carpeta slapd.d, para generarlos nuevamente con una prueba con los nuevos cambios realizados al servidor.

rm -rf /etc/openldap/slapd.d/* slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

Como los archivos han sido generados nuevamente debemos cambiar el propietario de los mismo en la carpeta slapd.d y reiniciamos el servicio slapd.

chown -R ldap:ldap /etc/openldap/slapd.d service slapd restart

Hasta este momento nuestro servidor posee una sola entrada, pero queremos agregar todas las entradas base del sistema operativo como son los grupos, usuarios, servicios, etc. Editamos el archivo /usr/share/migrationtools/migrate_common.ph

Modificamos el Default_mail_domain y el Default base como se observa en la imagen. migramos el archivo base

nos ubicamos en la carpeta: cd /usr/share/migrationtools ./migrate_base.pl > /etc/openldap/base.ldif

agregamos la base.ldif en la DB, con el parmetro c para sobrescribir si este archivo existiere.

ldapadd -x -W -c -D "cn=Manager,dc=uce,dc=com,dc=ec" -f /etc/openldap/base.ldif La consola retornara mensajes: New entry added.

Si deseamos agregar a los usuarios del sistema usamos: grep huesped /etc/passwd > /etc/openldap/passwd.huesped

./migrate_passwd.pl /etc/openldap/passwd.huesped /etc/openldap/huesped.ldif ldapadd -x -D "cn=Manager,dc=uce,dc=com,dc=ec" -W -f /etc/openldap/huesped.ldif

probamos lo que agregamos

ldapsearch -x -b "dc=uce,dc=com,dc=ec" "objectclass=*"

Ahora generamos los certificados usados en los clientes OpenLDAP

rm /etc/pki/tls/certs/slapd.pem make /etc/pki/tls/certs/slapd.pem

Cambiamos los permisos de acceso al archivo slapd.pem y cambiamos de propietario al mismo.

chmod 650 slapd.pem chown :ldap slapd.pem

Generamos un link de nuestro certificado para que sea usado por el cliente OpenLDAP

ln -s /etc/pki/tls/certs/slapd.pem /etc/openldap/cacerts/slapd.pem

Editamos el archivo:

nano /etc/sysconfig /ldap.conf Buscamos la lnea SLAPD_LDAPS=no Y la cambiamos por SLAPD_LDAPS=yes

Editamos el archivo /etc/openldap/slapd.conf

y agregamos las lneas de los certificados TLS que se observan al final de la imagen.

Editamos el archivo /etc/openldap/ldap.conf y agregamos las lneas del certificado como se observa en la imagen

Note que se cambia el URI como mencione antes por la ip del servidor, se coloca la carpeta donde estn los certificados para el uso del mismo y se indica que no se verifique el certificado nunca (never) ya que es autofirmado.

eliminar los archivos dentro de la carpeta slapd.d, para generarlos nuevamente con una prueba con los nuevos cambios realizados al servidor.

rm -rf /etc/openldap/slapd.d/* slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

Como los archivos han sido generados nuevamente debemos cambiar el propietario de los mismo en la carpeta slapd.d y reiniciamos el servicio slapd. chown -R ldap:ldap /etc/openldap/slapd.d service slapd restart

Ahora verificamos que datos tenemos en nuestro servidor ldapsearch -x -ZZ -h localhost ldapsearch -x -H ldaps://localhost

Obtendremos algo parecido a la imagen, en caso de presentar errores verifique la configuracin y que el servicio slapd este iniciado, si el error ocurre durante la prueba ldaps se debe verificar que los certificados fueron creados y tienen los permisos necesarios.

Para acceder como usuario debemos configurar la herramienta:

authconfig-tui

Damos permisos para crear los directorios de cada usuario en el primer login.

authconfig -enablemkhomedir updat Descargamos el rpm del repositorio epel, para nuestra distribucin de CentOS 6 http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-7.noarch.rpm Una vez instalado el repositorio epel, descargamos el administrador de LDAP phpldapadmin yum install phpldapadmin

Editamos el archivo de configuracin de phpldap gedit /etc/phpldapadmin/config.php y descomentamos las lneas como se ven en la figura.

Abrimos nuestro navegador web y escribir: http://127.0.0.1/phpldapadmin

Clic en conectar, y nos identificamos con el rootdn cn=Mnager,dc=proto,dc=com

SMNP SMTP (Simple Mail Transfer Protocol) es un protocolo para envo de correo y utiliza el puerto TCP 25. Tpicamente los servidores de correo utilizan SMTP para enviar y recibir correo. Las aplicaciones cliente (Evolution, Thunderbird, etc.) utilizan SMTP slo para enviar correo a un servidor relay (agente de envo de mensajes) y POP (Post Office Protocol) o IMAP (Internet Message Access Protocol) para recibir y verificar correo. Editamos nuestras zonas forward.zone y reverse.zone en ellas vamos a agregar las lneas: IN MX 0 mail.proto.com mail IN A 10.3.0.114 En la zona inversa realizamos tambien los cambios. IN MX 0 mail.proto.com 114 IN PTR mail.proto.com Recargamos el servicio service named reload instalamos postfix yum install postfix. Editamos la informacin del archivo main.cf ubicado en /etc/postfix/main.cf gedit /etc/postfix/main.cf vamos asta el bloque que dice "INTERNET HOST AND DOMAIN NAMES" y agregamos las lneas: myhostname = mail.protocolos.com mydomain = protocolos.com

En la seccin Sending mail des comentamos la lnea myorigin = $mydomain En Receiving mail des comentamos la lnea inet_interfaces = all Comentamos: #inet_interfaces = localhost Des comentamos: mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain mynetworks = 192.168.1.0/24, 127.0.0.0/8 En la seccin Delivery to mailbox des comentamos home_mailbox= Maildir/ Nos sirve para tener una carpeta especfica para el almacenamiento de nuestro correo electrnico segn cada cuenta de usuario; Nota (se puede dejar comentado este campo y nuestros correos llegaran a la carpeta /var/spool/mail/ aunque no es muy recomendable). Seleccionamos a postfix como predetermina como muestra la imagen alternatives config mta

Instalamos dovecot: yum install dovecot Editamos el archivo /etc/dovecot/dovecot.conf y des comentamos la lnea: #protocols = imap pop3 lmtp Y editamos el archivo: /etc/dovecot/conf.d/10-mail.conf y agregamos la lnea: mail_location: maildir:~/Maildir Iniciamos el servicio y cambiamos la configuracin para que el servicio dovecot se inicie con el sistema operativo service dovecot start chkconfig dovecot on recargamos service postfix reload crearemos el usuario de ejemplo pato en sistema operativo y enviamos un correo de prueba al usurio echo mensaje para probar | mail s asunto user4@protocolos.com y revisamos el correo en el directorio /home/husped/Maildir/new/ Damos autorizacin a la comunicacin por los puertos 25, 110, 143 en el cortafuegos

Configuracin EVOLUTION El cliente de correo se encuentra en aplicaciones -> oficina -> Evolution, damos 2 click en siguiente (al frente), y configuramos el servidor En la ventana Identidad en informacin requeriada ponemos Nombre completo ponemos pato Direccin de correo e mail.proto.com En recepcin de correo Tipo de correo POP Servidor :mail.proto.com Usuario :pato CONFIGURACIN DE NAGIOS Instalamos los paquetes para instalar nagios yuminstall -y wget httpd php gcc glibc glibc-common gd gd-devel make netsnmp Descargar el nagios core y el nagios plugins desde http://www.nagios.org/download Creamos un usuario llamado nagios y le aadimos al grupo nagcmd [root@localhost nagios]# useradd nagios [root@localhost nagios]# groupadd nagcmd [root@localhost nagios]# usermod -a -G nagcmd nagios Instalacin de nagios core Ir a donde se descarg el paquete Nagios core y nahios plugin,descomprimirlo y entrar a la carpeta de nagios core [root@localhost Desktop]# cd /root/Descargas bash: cd: /root/Descargas: No such file or directory [root@localhost Desktop]# cd /root/Downloads [root@localhost Downloads]# ls Installing_Nagios_Core_From_Source.pdf nagios-plugins-1.4.16 nagios nagios-plugins-1.4.16.tar.gz nagios-3.4.3.tar.gz [root@localhost Downloads]# cd nagios Ejecutar el comando ./configure --with-command-group=nagcmd Ahora ejecutar los siguientes comandos uno despus de otro: make all make install make install-init make install-config make install-commandmode make install-webconf cp -R contrib/eventhandlers/ /usr/local/nagios/libexec/ chown -R nagios:nagios /usr/local/nagios/libexec/eventhandlers /usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg /etc/init.d/nagios start /etc/init.d/httpd start Ahora aadimos un usuario para que accese a la interfaz de nagios [root@localhost nagios]# htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin New password:

Re-type new password: Adding password for user nagiosadmin Porsiaca reiniciamos los servicios nagios y httpd y ya podemos ingresar a la interface web con el usuario que acabamos de aadir Y ya podemos ingresar a nuestro nagios core poniendo http://localhost/nagios/ Instalacin de nagios plugins Descomprimimos la carpeta de nagios plugins y entramos a la carpeta nagiosplugins y ejecutamos los siguientes comandos [hostremoto]# tar xvfz nagios-plugins-1.4.11.tar.gz [hostremoto]# cd nagios-plugins-1.4.11 [hostremoto]# export LDFLAGS=-ldl [hostremoto]# ./configure with-nagios-user=nagios with-nagios-group=nagios enable-redhat-pthread-workaround [hostremoto]# make [hostremoto]# make install [hostremoto]# chown nagios:nagios /usr/local/nagios [hostremoto]# chown -R nagios:nagios /usr/local/nagios/libexec/ Ahora instalar el paquete nrpe disponible en la pgina de nagios, descomprimirlo, ir dentro del directorio y ejecutar Nota: NRPE (Nagios Remote Plugin Executor) permite monitorizardispositivos de redremotos usando Nagios. Ejecutamos el comando [root@localhost nrpe-2.13]# ./configure Instalmos openssl par que no nos de nigun error en la configuracion [root@localhost nrpe-2.13]# yum search openssl Ahora ejecutamos make all Ahora make install-plugin Ahora make install-daemon Ahora make install-daemon-config Ahora make install-xinetd Editar (sacar un backup)el archivo /etc/xinetd.d/nrpe y agragar la IP de nuestro servidor nagios (con el core) que es 192.168.1.156. # default: on # description: NRPE (Nagios Remote Plugin Executor) service nrpe { flags = REUSE socket_type = stream port = 5666 wait = no user = nagios group = nagios server = /usr/local/nagios/bin/nrpe server_args = -c /usr/local/nagios/etc/nrpe.cfg --inetd log_on_failure += USERID disable = no

only_from = 127.0.0.1 192.168.1.156 } Editar el archivo /etc/services y agregar en la ltima lnea nrpe 5666/tcp # NRPE blp5 48129/udp# Bloomberg locator com-bardac-dw 48556/tcp # com-bardac-dw com-bardac-dw 48556/udp # com-bardac-dw iqobject 48619/tcp # iqobject iqobject 48619/udp # iqobject nrpe5666/tcp # NRPE Ahora reiniciar el servicio xinetd y verificar que nrpe est escuchando: [root@localhost nrpe-2.13]# service xinetd restart Stopping xinetd: [ OK ] Starting xinetd: [ OK ] [root@localhost nrpe-2.13]# netstat -at | grep nrpe tcp 0 0 *:nrpe *:* LISTEN [root@localhost nrpe-2.13]# En el servidor nagios (monitorizador) Definir el comando a usar para checar el disco: [root@nagios Desktop]# gedit /usr/local/nagios/etc/nrpe.cfg Agregar la lnea al final del archivo: command[check_disk]=/usr/local/nagios/libexec/check_disk -w 20% -c 10% -p /dev/sda Definir un comando, para ello: [root@nagios Desktop]# gedit /usr/local/nagios/etc/objects/commands.cfg Y definir un comando como el siguiente (agregarlo al ltimo): define command{ command_name check_nrpe command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$ } define command{ command_name check_disk command_line $USER1$/check_disk -w 20% -c 10% -p /dev/sda } (En el equipo monitorizador ) crear un archivo en /usr/local/nagios/etc/objects/ con extensin .cfg por ejemplo: /usr/local/nagios/etc/objects/srvremoto.cfgy agregar lo siguiente: define host{ use linux-server host_name dns1.midominio.com.ec alias servidor de midominio.com.ec address 192.168.1.2 contact_groups admins } define service{ use generic-service host dns1.midominio.com.ec service_description Disco duro contact_groups admins check_command check_nrpe!check_disk

} En el archivo /usr/local/nagios /nagios.conf ms o menos por la lnea 37 aadir la lnea: cfg_file=/usr/local/nagios/etc/objects/srvremoto.cfg Reiniciar el servicio nagios y xinetd En el equipo a monitorizar Sabamos que en el archivo /etc/xinetd.d/nrpe debe estar la IP de nuestro servidor nagios (con el core) que es 192.168.1.2. # default: on # description: NRPE (Nagios Remote Plugin Executor) service nrpe { flags = REUSE socket_type = stream port = 5666 wait = no user = nagios group = nagios server = /usr/local/nagios/bin/nrpe server_args = -c /usr/local/nagios/etc/nrpe.cfg --inetd log_on_failure += USERID disable = no only_from = 127.0.0.1 192.168.1.156 } IMPORTANTE: Agregar la misma lnea en el host remoto en el mismo archivo (reiniciar xinetd y nagios) Definir el comando a usar para checar el disco: [root@nagios Desktop]# gedit /usr/local/nagios/etc/nrpe.cfg Agregar la lnea al final del archivo: command[check_disk]=/usr/local/nagios/libexec/check_disk -w 20% -c 10% -p /dev/sda