Configuracion Servidores Linux 20130329 MARZO

Configuracin De Servidores Con GNU/Linux Configuracin De Servidores Con GNU/Linux
Edicin Edicin Marzo 2013 Marzo 2013

2 De Marzo De 2013 2 De Marzo De 2013
!oe" #arrios Due$as !oe" #arrios Due$as
|oe Barros Dueas Confguracn de Servdores con GNU/Lnux
2
S este bro e ha sdo de utdad, puede contrbur a desarroo de ste a travs de suscrpcones
vountaras a nuestro porta. Sus aportacones nos ayudarn a crecer y desarroar ms y me|or
contendo en e sto de red y para me|orar este bro.
http://www.acancebre.org/statcpages/ndex.php/suscrpcones
Acance Lbre ofrece soporte tcnico gratuito excusvamente a travs de nuestros foros
ocazados en:
http://www.acancebre.org/forum/
Para cuaquer consuta a travs de otros medos, como correo eectrnco, tefono o mensa|era
nstantnea, ofrecemos un servicio comercial de consultora.
Acance Lbre ofrece os sguentes productos y servcos basados sobre Software Lbre, gracas a
os cuaes fnanca sus operacones. Para mayor nformacn, estamos dsponbes a travs de
nmero teefnco (52) (55) 5677-7130 de a cudad de Mxco o ben drectamente en nuestras
ofcnas centraes en Serapo Rendn #63, ofcna 4, Coona San Rafae, Deegacn Cuauhtemoc,
C.P. 06470, Mxco, D.F.
Capactacn (cursos)
Conferencas y ptcas
Consutora
Impementacones (Servdores)
Soporte Tcnco
Pubcdad en e porta
3
A mi difunto padre, a quien debo reconocer jams supe comprender y a quien jams le d la
oportunidad de entenderme.
Blanca, eres el amor de mi vida y gracias a ti inici mi gusto por escribir. Te agradezco el
aberme permitido escribirte todas esas cosas ace tantos a!os y el que oy seas mi compa!era
en la vida.
A mis ijos, "oel Alejandro Barrios #aullieres y $ergio Armando Barrios #aullieres.
A
4
Conformacin.
Me encuentro de regreso en ms races,
revso ms traba|os pasados,
entre rsas y otros curss versos
(sueos entonces de adoescente),
desde exstencaes a o absurdo,
gerezas tan sentmentaes
construyendo un carcter (m mundo).
5
Acerca de Joel Barrios Dueas.
Hay poco que decr respecto de m. Soa ser mdco veternaro zootecnsta, dedcado
prncpamente a a atencn mdca de pequeas especes y otras mascotas (perros, gatos,
peces y tortugas) y a a venta de amentos y accesoros para mascotas. Traba|o actvamente con
computadoras personaes desde 1990, con as cuaes sempre he tendo gran facdad. M
prmera computadora, fue una Appe IIe que me prest un amgo y que eventuamente me
vend. Curosamente, savo por una case que tom en tercero de secundara, durante a cua
nos mparteron una ntroduccn a a programacn en BASIC y e uso genera de computadoras
Comodore 16, |ams he tomado un curso o capactacn reaconada con a nformtca o
computacn. Sempre he sdo auto-ddctca.
Utzo GNU/Lnux desde Febrero de 1998 y desde |uno de 1999 como nca pataforma en m
traba|o daro. Creo que es ms que evdente que equvoque de carrera.
Gran parte de as razones de m ncursn en e mundo de a nformtca fueron verdaderamente
ncdentaes. En 1997, nunca hubera magnado que me estara ganado a vda en un mbto
competamente dstnto a que me dedcaba durante ese tempo. Yo ya tena un consutoro
veternaro y negoco pequeo de dstrbucn de amentos para mascotas, os cuaes me
aseguraban un ngreso reguar y constante. Lamentabemente as condcones de mercado
durante e sguente ao repercuteron de forma mportante en ms ngresos y fue entonces que
empec a buscar aternatvas. Durante 1999 me estuve dedcando a a venta de equpo de
cmputo y ago de dseo de stos de red. Fueron agunos meses durante os cuaes pude
sobrevvr gracas a ms ahorros y a a suerte de contar un con taento poco comn con as
computadoras.
Cmo empec este proyecto?
A medados de 1999, mentras vstaba a un buen amgo mo, tuve un encuentro amstoso de
unos 10 mnutos con quen fue, en agn momento, a persona ms mportante que ha habdo en
m vda, Banca.
Yo suba por un eevador, dvagando en ms pensamentos con sutezas y otros menesteres
reaconados con m profesn de veternaro. Sa de ascensor y me drg haca a puerta de m
amgo. Me detuve unos nstantes antes de pusar e botn de tmbre. Haba una extraa
sensacn que crcundaba m mente, como un aroma famar que no era posbe recordar. M
amgo tena una reunn con varas personas, agunas de as cuaes yo conoca desde haca
agunos aos pero que por dversas crcunstancas no frecuentaba, as que supuse que era soo a
sensacn de vover a ver a personas despus de mucho tempo. Toque e tmbre y un nstante
despus m amgo abr a puerta. Le saud con un apretn de manos y tras saudare de a
acostumbrada forma corts, qued mudo a ver que a chca de a que me haba enamorado
durante ms aos de preparatora, estaba presente. Frente a m, sonrendo y mrndome.
Haban pasado varos aos desde a tma vez que nos habamos vsto. Conversamos un poco
mentras ea cargaba a perro de m amgo, a cua me dspona a apcar una vacuna. Fue dfc
de|ar de mrare y o fue tambn e gusto de vover a vere de nuevo. Me desped, pues tena otro
compromso, pero en m mente qued un sentmento de aegra de ver que aquea persona que
haba tendo un gran mpacto en m vda, estaba ben, muy hermosa y, en aparenca, fez.
6
Fue ese breve encuentro e que me nspr agunos meses despus a crear ago que me
proporconara os medos para ograr hacer ago mportante en vda. Fue ese deseo de ser
aguen y tener ago que ofrecer s agn da y s as crcunstancas o permtan, buscar una
segunda oportundad con a persona de a que me haba enamorado muchos aos atrs y que de
aguna forma |ams ovd. Fue as que tras pasar muchas semanas paneando y tratando de dar
forma a as deas, e proyecto de comundad que nc con Lnux Para Todos un 27 de agosto de
1999 y que hoy en da contnuo con Alcance i!re. Surg como un sueo, se materaz, se
desarroo y crec ms a de o que hubera magnado.
Es rnco que aos despus, m reencuentro con Banca, quen es hoy en da m esposa y madre
de ms h|os |oe Ae|andro y Sergo Armando, concdera con e fn de cco de Lnux Para Todos,
aunque tambn concde con e nco de otros proyectos y una nueva etapa con Alcance i!re.
Esta obra, que ahora comparto con os ectores, consttuye a cumnacn de traba|o de ms de
10 aos de nvestgacn y experencas. Mucho de matera que e compone fue escrto durante
dferentes etapas de m cco mentras fu propetaro y admnstrador de Lnux Para Todos. E fn
de dcho cco me da a oportundad de exporar otras reas de a nformtca desde un dferente
enfoque, msmo que se ver refe|ado en e matera actuazado que compone esta obra. Nunca
me ha nteresado ser famoso o un monaro.
Respecto de futuro, tengo una percepcn dstnta acerca de trascender ms a de os
recuerdos famares y trascender en a hstora. Ta vez agn da, ta vez cen aos despus de
haya muerto, se que de aguna forma m egado en a hstora ser a travs de todo o que escrb
y as cosas que pensaba y aqueas en as que crea.
7
Currculo.
Datos personales
Nombre: |oe Barros Dueas.
Ao y ugar de nacmento: 1970, Mxco, Dstrto Federa.
Sexo: mascuno.
Estado cv: Unn Lbre.
"scolaridad
Secundara: Coego Mxco (Acoxpa). 1982-1985
Preparatora: Insttuto Centro Unn. 1985-1988
Facutad de Medcna Veternara y Zootecna, U.N.A.M. 1989-1993
"mpleos en los #ue me $e desempeado.
1993-1999
M propa sub-dstrbudora de amentos y accesoros para mascotas. Dreccn
genera.
Vstador Mdco y asesor en nformtca. Dstrbudora de Amentos para Pequeas
Especes (Dape). |uno 1997 - Novembre 1997.
Consutor externo de Dape 1998 - 1999.
1999 a 2006:
Fu e creador, drector y admnstrador LnuxParaTodos.net.
Asesora y consutora en GNU/Lnux.
Capactacn en GNU/Lnux.
2002 - 2003:
Drector Operatvo Grupo MPR S.A. de C.V. (Actuamente Buytek Network Soutons)
2002 a 2006:
Drector de proyecto LPT Desktop.
2007 a a fecha:
Drector de proyecto AL Desktop (descartado).
Drector de proyecto AL Server.
Drector de proyecto ALDOS.
Fundador y drector de proyecto de AcanceLbre.org
Drector de rea de soporte tcnco de Buytek Network Soutons.
Capacidades
Ings 99%
Ensambe, confguracn y mantenmento de computadoras personaes.
Lengua|es HTML 4.0, HTML5 y CSS 2.0
Programacn en BASH
Instaacn, confguracn y admnstracn de Lnux y servcos que traba|an sobre
ste (Samba, Apache, Sendma, Postfx, CamAV, OpenLDAP, NFS, OpenSSH,
VSFTPD, Shorewa, SNMP, MRTG, Squd, etc.)
8
Certificados
Nove Certfed Lnux Desktop Admnstrator (Nove CLDA).
Nove Certfed Lnux Admnstrator (Nove CLA).
9
%ndice de contenido
1.Oue es GNU/Lnux?...........................................................................................35
1.1.Requermentos de sstema................................................................................................. 36
2.Estndar de |erarqua de Sstema de Archvos...................................................37
2.1.Introduccn......................................................................................................................... 37
2.2.Estructura de drectoros...................................................................................................... 37
2.3.Partcones recomendadas para nstaar CentOS, Fedora, Red Hat Enterprse Lnux,
openSUSE y SUSE Lnux Enterprse.....................................................................................39
2.4.Bbografa........................................................................................................................... 40
3.Procedmento de nstaacn de CentOS 6.........................................................41
3.1.Procedmentos.................................................................................................................... 41
3.1.1.Paneacn.................................................................................................................................... 41
Obtencn de os medos....................................................................................................................... 41
3.1.2.Instaacn de sstema operatvo................................................................................................. 42
3.2.Posteror a a nstaacn...................................................................................................... 74
4.A|ustes posterores a a nstaacn de CentOS 6...............................................75
4.1.Procedmentos.................................................................................................................... 75
4.1.1.Nombres de os dspostvos de red.............................................................................................. 75
4.1.2.Dspostvos de red nactvos........................................................................................................ 76
4.1.3.Locazacn.................................................................................................................................. 77
4.1.4.Desactvar Pymouth.................................................................................................................... 78
4.1.5.Instaar y habtar, e modo grfco.............................................................................................. 80
5.Panfcadores de Entrada/Sada en Lnux.........................................................83
5.1.Introduccn......................................................................................................................... 83
5.2.Panfcadores de Entrada/Sada dsponbes en e nceo de Lnux....................................83
5.2.1.Antcpatory.................................................................................................................................. 83
5.2.2.CFO.............................................................................................................................................. 84
5.2.3.Deadne....................................................................................................................................... 85
5.2.4.Noop............................................................................................................................................. 86
5.3.Cu panfcador de Entrada/Sada eegr?........................................................................87
5.4.Bbografa........................................................................................................................... 88
6.Uso de dsco de rescate de CentOS 6................................................................89
6.1.Procedmentos.................................................................................................................... 89
7.Incando e sstema en nve de e|ecucn 1 (nve mono-usuaro)..................100
7.1.Introduccn....................................................................................................................... 100
7.2.Procedmentos.................................................................................................................. 100
8.Gestn de servcos..........................................................................................106
8.1.Introduccn....................................................................................................................... 106
8.2.Nvees de e|ecucn.......................................................................................................... 106
8.3.Actvar, desactvar, ncar, detener o rencar servcos....................................................112
8.3.1.En CentOS, Fedora y Red Hat Enterprse Lnux....................................................................112
8.3.2.En openSUSE y SUSE Lnux Enterprse................................................................................. 116
10
9.Gestn de espaco de memora de ntercambo (swap) en GNU/Lnux...........120
9.1.Introduccn....................................................................................................................... 120
9.1.1.Ago de hstora.......................................................................................................................... 120
9.1.2.Ou es y como funcona e espaco de ntercambo?................................................................120
9.1.3.Crcunstancas en asque se requere aumentar a cantdad de memora de ntercambo.........120
Procedmentos........................................................................................................................ 121
9.1.4.Cambar e tamao de a partcn............................................................................................. 121
9.1.5.Crear un archvo para memora de ntercambo......................................................................... 121
9.2.Procedmentos.................................................................................................................. 121
9.2.1.Actvar una partcn de ntercambo adcona.......................................................................... 121
9.2.2.Utzar un archvo como memora de ntercambo..................................................................... 122
9.2.3.Optmzando e sstema, cambando e vaor de /proc/sys/vm/swappness................................123
10.Procedmentos de emergenca......................................................................125
10.1.Introduccn..................................................................................................................... 125
10.2.Dsco de rescate............................................................................................................... 125
10.3.Verfcacn de a ntegrdad de dsco.............................................................................125
10.4.Respado y restauracn de sector de arranque mestro.................................................127
10.5.Asgnacn de formato de as partcones........................................................................128
11.Gestn de vomenes gcos........................................................................130
11.1.Introduccn..................................................................................................................... 130
Procedmentos........................................................................................................................ 130
11.1.1.Crear un voumen gco a partr de un dsco duro nuevo........................................................130
11.1.2.Aadr un voumen fsco a un voumen gco exstente, a partr de espaco bre sn partconar
en un dsco duro................................................................................................................................. 133
11.1.3.Outar una undad fsca a un voumen gco..........................................................................136
11.2.Bbografa....................................................................................................................... 138
12.Optmzacn de sstemas de archvos ext3 y ext4........................................139
12.1.Introduccn..................................................................................................................... 139
12.1.1.Acerca de Ext3......................................................................................................................... 139
12.1.2.Acerca de Ext4......................................................................................................................... 139
12.1.3.Acerca de regstro por daro (|ournang)................................................................................ 139
12.2.Procedmentos................................................................................................................ 139
12.2.1.Utzando e mandato e2fsck................................................................................................... 140
12.2.2.Opcones de montado.............................................................................................................. 141
12.2.3.Convrtendo partcones de Ext3 a Ext4.................................................................................. 144
12.2.4.Emnando e regstro por daro (|ourna) de Ext4...................................................................146
12.3.Bbografa....................................................................................................................... 148
13.Cfrado de partcones con LUKS.....................................................................149
13.1.Introduccn..................................................................................................................... 149
13.2.Equpamento gco necesaro........................................................................................ 149
13.2.1.En CentOS, Fedora y Red Hat Enterprse Lnux........................................................................149
13.2.2.En openSUSE y SUSE Lnux Enterprse..................................................................................... 149
13.3.Procedmentos................................................................................................................ 149
13.3.1.Cfrado de una partcn exstente en CentOS, Fedora y Red Hat Enterprse Lnux...........150
13.3.2.Cfrado de una partcn exstente en openSUSE y SUSE Lnux Enterprse........................152
13.3.3.Cfrado de una undad de amacenamento externo USB.........................................................160
14.Confguracn y uso de sudo..........................................................................163
14.1.Introduccn..................................................................................................................... 163
14.1.1.Hstora..................................................................................................................................... 163
14.1.2.Acerca de sudo......................................................................................................................... 163
14.2.1.Instaacn en CentOS, Fedora y Red Hat Enterprse Lnux...................................................164
11
14.2.2.Instaacn en openSUSE y SUSE Lnux Enterprse...................................................................164
14.3.Archvo /etc/sudoers........................................................................................................ 165
14.3.1.Cmnd_Aas.............................................................................................................................. 165
14.3.2.User_Aas................................................................................................................................ 166
14.3.3.Host_Aas................................................................................................................................ 167
14.3.4.Runas_Aas.............................................................................................................................. 167
14.4.Candados de segurdad................................................................................................... 168
14.5.Lo ms recomendado....................................................................................................... 170
14.5.1.Lo menos recomendado........................................................................................................... 170
14.6.Uso de mandato sudo..................................................................................................... 171
14.7.Factando a vda con aases......................................................................................... 173
14.7.1.CentOS, Fedora y Red Hat Enterprse Lnux............................................................................. 173
15.Gestn de cuentas de usuaro.......................................................................175
15.1.Introduccn..................................................................................................................... 175
15.2.Procedmentos................................................................................................................ 175
15.2.1.Gestn de cuentas de usuaro................................................................................................. 175
15.2.2.Gestn de Grupos.................................................................................................................... 176
15.2.3.Opcones avanzadas................................................................................................................. 177
15.3.Comentaros fnaes acerca de a segurdad....................................................................181
15.4.Confgurando vaores predetermnados para e ata de cuentas de usuaro....................183
15.4.1.Archvo /etc/defaut/useradd.................................................................................................... 183
15.4.2.Drectoro /etc/ske................................................................................................................... 184
15.5.E|ercco: Creando cuentas de usuaro.............................................................................186
15.5.1.Introduccn............................................................................................................................. 186
15.5.2.Procedmentos........................................................................................................................ 186
16.Breve eccn de mandatos bscos...............................................................188
16.1.Introduccn..................................................................................................................... 188
16.2.Procedmentos................................................................................................................ 188
16.2.1.Cambar de usuaro a super-usuaro........................................................................................ 189
16.2.2.Ver nformacn de sstema y usuaros................................................................................... 190
16.2.3.Operacones con archvos y drectoros.................................................................................... 191
16.2.4.Consutar ayuda, pgnas de manua e nformacn.................................................................202
16.2.5.Vsuazando contendo de archvos......................................................................................... 204
16.2.6.Enaces fscos y smbcos..................................................................................................... 208
16.2.7.Buces...................................................................................................................................... 210
16.2.8.Aases...................................................................................................................................... 213
16.2.9.Apagado y renco de sstema................................................................................................. 214
17.Compresn y descompresn de archvos.....................................................216
17.1.Introduccn..................................................................................................................... 216
17.1.1.Acerca de ZIP........................................................................................................................... 216
17.1.2.Acerca de TAR.......................................................................................................................... 216
17.1.3.Acerca de GZIP......................................................................................................................... 216
17.1.4.Acerca de BZIP2....................................................................................................................... 216
17.1.5.Acerca de XZ............................................................................................................................ 217
17.2.Procedmentos................................................................................................................ 217
17.2.1.Preparatvos............................................................................................................................. 217
17.2.2.Compresn y descompresn de archvos *.zp....................................................................... 217
17.2.3.Creacn y extraccn de archvos *.tar................................................................................... 218
17.2.4.Compresn y descompresn de archvos *.tar.gz.................................................................. 219
17.2.5.Compresn y descompresn de archvos *.tar.bz2................................................................219
17.2.6.Compresn y descompresn de archvos *.tar.xz...................................................................219
17.2.7.Crear respados de sstema de archvos.................................................................................. 220
18.Gestn de procesos y traba|os......................................................................223
12
18.1.Introduccn..................................................................................................................... 223
18.2.Procedmentos................................................................................................................ 223
18.2.1.Uso de |obs, bg y fg.................................................................................................................. 223
18.2.2.Uso de ps, k y ka............................................................................................................... 225
18.2.3.Uso de nce y rence................................................................................................................. 228
18.2.4.Uso de mandato taskset.......................................................................................................... 230
18.2.5.Uso de mandato top................................................................................................................ 233
19.Uso de mandato sof......................................................................................234
19.1.Introduccn..................................................................................................................... 234
19.1.1.Acerca de sof........................................................................................................................... 234
19.2.1.En CentOS, Fedora y Red Hat Enterprse Lnux..................................................................234
19.2.2.En openSUSE y SUSE Lnux Enterprse............................................................................... 234
19.3.Procedmentos................................................................................................................ 234
20.Funcones bscas de v..................................................................................237
20.1.Introduccn..................................................................................................................... 237
20.2.Procedmentos................................................................................................................ 237
20.2.1.Equpamento gco necesaro................................................................................................ 237
20.3.Conocendo v.................................................................................................................. 238
20.4.Otros mandatos de v....................................................................................................... 250
20.5.Ms a de as funcones bscas....................................................................................251
21.Introduccn a sed..........................................................................................252
21.1.Introduccn..................................................................................................................... 252
21.1.1.Acerca de sed........................................................................................................................... 252
21.2.Procedmentos................................................................................................................ 252
21.3.Bbografa....................................................................................................................... 256
22.Introduccn a AWK........................................................................................257
22.1.Introduccn..................................................................................................................... 257
22.1.1.Acerca de AWK......................................................................................................................... 257
22.1.2.Estructura de os programas escrtos en AWK......................................................................... 257
22.2.Procedmentos................................................................................................................ 258
23.Uso de os mandatos chown y chgrp..............................................................263
23.1.Introduccn..................................................................................................................... 263
23.2.Mandato chown................................................................................................................ 263
23.2.1.Opcones.................................................................................................................................. 263
23.2.2.Utzacn................................................................................................................................ 263
23.3.Mandato chgrp................................................................................................................. 264
23.3.1.Opcones.................................................................................................................................. 264
23.3.2.Utzacn................................................................................................................................ 264
23.4.E|empos.......................................................................................................................... 264
24.Permsos de Sstema de Archvos en GNU/Lnux...........................................265
24.1.Introduccn..................................................................................................................... 265
24.2.Notacn smbca........................................................................................................... 265
24.3.Notacn octa.................................................................................................................. 266
24.3.1.Mscara de usuaro.................................................................................................................. 266
24.3.2.Permsos adconaes................................................................................................................ 268
24.4.E|empos.......................................................................................................................... 269
24.4.1.E|empos permsos reguares................................................................................................... 269
24.4.2.E|empos permsos especaes.................................................................................................. 270
24.5.Uso de mandato chmod.................................................................................................. 270
13
24.5.1.Opcones de mandato chmod.................................................................................................. 271
24.5.2.E mandato chmod y os enaces smbcos............................................................................ 271
25.Lstas de contro de acceso y uso de os mandatos getfac y setfac.............273
25.1.Introduccn..................................................................................................................... 273
25.2.2.En openSUSE y SUSE Enterprse Lnux............................................................................... 274
25.3.Procedmentos................................................................................................................ 274
26.Uso de mandato chattr..................................................................................279
26.1.Introduccn..................................................................................................................... 279
26.1.1.Acerca de mandato chattr....................................................................................................... 279
26.2.Opcones.......................................................................................................................... 279
26.3.Operadores...................................................................................................................... 280
26.4.Atrbutos.......................................................................................................................... 280
26.5.Uso de mandato chattr.................................................................................................... 280
26.5.1.E|empos.................................................................................................................................. 281
27.Uso de mandato rpm.....................................................................................283
27.1.Introduccn..................................................................................................................... 283
27.1.1.Acerca de RPM......................................................................................................................... 283
27.2.Procedmentos................................................................................................................ 283
27.2.1.Reconstruccn de a base de datos de RPM............................................................................ 283
27.2.2.Consuta de paquetes nstaados en e sstema.......................................................................283
27.2.3.Instaacn de paquetes........................................................................................................... 286
27.2.4.Desnstaacn de paquetes..................................................................................................... 292
28.Uso de mandato yum....................................................................................294
28.1.Introduccn..................................................................................................................... 294
28.1.1.Acerca de YUM......................................................................................................................... 294
28.2.Procedmentos................................................................................................................ 294
28.2.1.Lstados.................................................................................................................................... 294
28.2.2.Bsquedas................................................................................................................................ 295
28.2.3.Consuta de nformacn.......................................................................................................... 295
28.2.4.Instaacn de paquetes........................................................................................................... 296
28.2.5.Desnstaacn de paquetes..................................................................................................... 298
28.2.6.Actuazar sstema.................................................................................................................... 298
28.2.7.Lmpeza de drectoro de cache.............................................................................................. 300
28.2.8.Verfcacn de a base de datos RPM....................................................................................... 300
29.Confguracn y uso de Crond........................................................................301
29.1.Introduccn..................................................................................................................... 301
29.1.1.Acerca de servco crond......................................................................................................... 301
29.2.2.En openSUSE......................................................................................................................... 302
29.2.3.SUSE Lnux Enterprse........................................................................................................... 303
29.2.4.Anacron.................................................................................................................................... 303
29.3.Procedmentos................................................................................................................ 304
29.3.1.Formato para e archvo /etc/crontab....................................................................................... 304
Formato para utzar con e mandato crontab -e................................................................................ 305
29.3.2.E|empos de confguracones.................................................................................................... 305
30.Confguracn y uso de Atd.............................................................................307
30.1.Introduccn..................................................................................................................... 307
30.1.1.Acerca de os mandatos at y batch.......................................................................................... 307
14
30.3.Procedmentos................................................................................................................ 308
30.3.1.Archvos de confguracn /etc/at.aow y /etc/at.deny.............................................................308
30.3.2.Drectoro /var/spoo/at............................................................................................................ 308
30.3.3.Mandato at............................................................................................................................... 308
30.3.4.Mandato batch......................................................................................................................... 309
30.3.5.Mandato atq............................................................................................................................. 310
30.3.6.Mandato atrm........................................................................................................................... 310
31.Asgnacn de cuotas en e sstema de archvos............................................311
31.1.Introduccn..................................................................................................................... 311
31.1.1.Acerca de as cuotas................................................................................................................ 311
31.1.2.Acerca de Inodos...................................................................................................................... 311
31.1.3.Acerca de Boques.................................................................................................................... 311
31.2.2.En openSUSE y SUSE Enterprse Lnux............................................................................... 312
31.3.Procedmentos................................................................................................................ 312
31.3.1.Edquota.................................................................................................................................... 313
31.4.Comprobacones.............................................................................................................. 315
32.Introduccn a TCP/IP......................................................................................318
32.1.Introduccn..................................................................................................................... 318
32.2.Nvees de pa.................................................................................................................. 318
32.2.1.Modeo TCP/IP........................................................................................................................... 319
32.2.2.Modeo OSI............................................................................................................................... 324
33.Introduccn a IP versn 4.............................................................................326
33.1.Introduccn..................................................................................................................... 326
33.2.Dreccones...................................................................................................................... 326
33.2.1.Representacn de as dreccones........................................................................................... 326
33.3.Asgnacn....................................................................................................................... 327
33.3.1.Boques reservados.................................................................................................................. 327
33.4.Referenca de sub-redes de IP versn 4..........................................................................328
33.5.Referencas...................................................................................................................... 329
34.Confguracn de red en GNU/Lnux...............................................................331
34.1.Introduccn..................................................................................................................... 331
34.2.Procedmentos................................................................................................................ 331
34.2.1.Nombres de os dspostvos..................................................................................................... 331
34.2.2.NetworkManager...................................................................................................................... 332
34.2.3.Asgnacn de parmetros de red............................................................................................ 333
34.2.4.Rutas esttcos......................................................................................................................... 335
34.2.5.Funcn de Reenvo de paquetes para IP versn 4.................................................................. 337
34.2.6.Herramentas para e ntrprete de mandatos.........................................................................337
34.2.7.Dreccones IP secundaras....................................................................................................... 339
34.2.8.La funcn Zeroconf.................................................................................................................. 340
E|erccos.................................................................................................................................. 341
34.2.9.Rutas esttcas......................................................................................................................... 341
34.2.10.E|ercco: Dreccones IP secundaras..................................................................................... 343
35.Confguracn de VLANs.................................................................................348
35.1.Introduccn..................................................................................................................... 348
15
35.3.Procedmentos................................................................................................................ 348
35.3.1.Admnstrando dreccones IP de as VLANs a travs de un servdor DHCP..............................352
36.Cmo confgurar acopamento de tar|etas de red (bondng)........................354
36.1.Introduccn..................................................................................................................... 354
36.2.Procedmentos................................................................................................................ 354
36.2.1.Archvo de confguracn /etc/modprobe.conf..........................................................................354
36.2.2.Archvo de confguracn /etc/sysconfg/network-scrpts/bond0...............................................356
36.2.3.Incar, detener y rencar e servco network......................................................................... 356
36.3.Comprobacones.............................................................................................................. 357
36.4.Bbografa....................................................................................................................... 358
37.Conexn a redes nambrcas (Wf) desde termna....................................359
37.1.Introduccn..................................................................................................................... 359
37.1.1.Oue es WPA? Por qu debera usaro en ugar de WEP?........................................................359
37.2.1.Instaacn a travs de yum..................................................................................................... 360
37.2.2.Preparatvos............................................................................................................................. 360
37.2.3.Autentcando en e punto de acceso........................................................................................ 361
37.2.4.Asgnando parmetros de red a a nterfaz.............................................................................. 362
37.3.Bbografa....................................................................................................................... 364
38.Uso de mandato nc (Netcat)..........................................................................365
38.1.Introduccn..................................................................................................................... 365
38.1.1.Acerca de Netcat...................................................................................................................... 365
38.3.Procedmentos en CentOS, Fedora y Red Hat Enterprse Lnux................................365
38.3.1.Conexones smpes................................................................................................................. 365
38.3.2.Revsn de puertos.................................................................................................................. 366
38.3.3.Creando un modeo cente servdor......................................................................................... 367
38.3.4.Transferenca de datos............................................................................................................. 367
38.4.Procedmentos en openSUSE y SUSE Lnux Enterprse.............................................367
38.4.1.Conexones smpes................................................................................................................. 368
38.4.2.Revsn de puertos.................................................................................................................. 368
38.4.3.Creando un modeo cente servdor......................................................................................... 369
38.4.4.Transferenca de datos............................................................................................................. 369
39.Como utzar Netstat......................................................................................370
39.1.Introduccn..................................................................................................................... 370
39.1.1.Acerca de Netstat..................................................................................................................... 370
39.2.Procedmentos................................................................................................................ 370
40.Uso de mandato ARP.....................................................................................375
40.1.Introduccn..................................................................................................................... 375
40.1.1.Acerca de ARP.......................................................................................................................... 375
40.3.Procedmentos................................................................................................................ 376
41.Introduccn a IPTABLES.................................................................................379
41.1.Introduccn..................................................................................................................... 379
41.1.1.Acerca de Iptabes y Netfter................................................................................................... 379
41.3.Procedmentos................................................................................................................ 379
16
41.3.1.Cadenas................................................................................................................................... 379
41.3.2.Regas de destno..................................................................................................................... 379
41.3.3.Potcas por defecto................................................................................................................. 380
41.3.4.Lmpeza de regas especfcas................................................................................................. 380
41.3.5.Regas especfcas.................................................................................................................... 380
E|empos de regas.............................................................................................................................. 380
41.3.6.Emnar regas......................................................................................................................... 382
41.3.7.Mostrar a sta de cadenas y regas......................................................................................... 382
41.3.8.Incar, detener y rencar e servco ptabes..........................................................................383
41.3.9.Agregar e servco ptabes a arranque de sstema................................................................384
41.4.Bbografa....................................................................................................................... 384
42.Confguracn bsca de Shorewa.................................................................385
42.1.Introduccn..................................................................................................................... 385
42.1.1.Acerca de Shorewa................................................................................................................. 385
42.1.2.Acerca de ptabes y Netfter................................................................................................... 385
42.1.3.Acerca de proute..................................................................................................................... 385
42.2.Conceptos requerdos...................................................................................................... 386
42.2.1.Ou es una zona desmtarzada?.......................................................................................... 386
42.2.2.Oue es una Red Prvada?........................................................................................................ 386
42.2.3.Ou es un NAT?...................................................................................................................... 386
42.2.4.Ou es un DNAT?.................................................................................................................... 386
42.4.Procedmentos................................................................................................................ 387
42.4.1.Shorewa y SELnux................................................................................................................. 387
42.4.2.Actvacn de reenvo de paquetes para IPv4........................................................................... 388
42.4.3.Procedmento de confguracn de Shorewa.......................................................................... 389
42.4.4.Incar, detener y rencar e servco shorewa....................................................................... 394
42.4.5.Agregar e servco shorewa a arranque de sstema.............................................................395
43.Cmo nstaar y utzar CamAV en CentOS...................................................396
43.1.Introduccn..................................................................................................................... 396
43.1.1.Acerca de CamAV.................................................................................................................... 396
43.2.1.Creacn de usuaro para CamAV........................................................................................... 396
43.3.Procedmentos................................................................................................................ 397
43.3.1.SELnux y e servco camav-mter.......................................................................................... 397
43.3.2.Confguracn de Freshcam..................................................................................................... 397
43.3.3.Uso bsco de mandato camscan........................................................................................... 398
44.Instaacn y confguracn de CUPS..............................................................400
44.1.Introduccn..................................................................................................................... 400
44.1.1.Acerca de CUPS........................................................................................................................ 400
44.3.Incar servco y aadr e servco a arranque de sstema............................................402
44.4.Modfcacones necesaras en e muro cortafuegos.........................................................402
44.5.Archvos y drectoros de confguracn...........................................................................405
Archvos de btcoras............................................................................................................... 406
Permtr conexones desde anftrones remotos.......................................................................406
44.5.1.En CentOS, Fedora o Red Hat Enterprse........................................................................... 406
44.5.2.En openSUSE o SUSE Lnux Enterprse............................................................................... 407
44.5.3.Modo termna.......................................................................................................................... 409
17
44.6.Aadr o modfcar mpresoras......................................................................................... 410
44.6.1.Confguracn de opcones de mpresn.................................................................................. 413
44.7.Impresn desde e ntrprete de mandatos....................................................................414
44.8.Verfcar estados de as coas de mpresn.....................................................................415
44.8.1.Canceacn de traba|os de mpresn..................................................................................... 416
45.Introduccn a protocoo DNS........................................................................418
45.2.Conceptos........................................................................................................................ 418
45.2.1.Acerca de protocoo DNS (Doman Name System)..................................................................418
45.2.2.Ou es un NIC (Network Informaton Center)?........................................................................ 418
45.2.3.Ou es un FODN (Fuy Ouafed Doman Name)?.................................................................. 418
45.2.4.Componentes de DNS.............................................................................................................. 419
45.2.5.Herramentas de bsqueda y consuta..................................................................................... 421
45.3.1.System-confg-frewa.............................................................................................................. 422
45.3.2.Servco ptabes....................................................................................................................... 423
45.3.3.Shorewa................................................................................................................................. 423
46.Cmo confgurar un servdor de nombres de domno (DNS).........................425
46.1.Introduccn..................................................................................................................... 425
46.1.1.Acerca de Bnd (Berkeey Internet Name Doman)...................................................................425
46.2.2.A|ustes para Bnd 9.7 y versones posterores.......................................................................... 426
46.3.Procedmentos................................................................................................................ 427
46.3.1.SELnux y e servco named..................................................................................................... 427
46.3.2.Confguracn mnma para e archvo /etc/named.conf...........................................................428
46.3.3.Preparatvos para aadr domnos........................................................................................... 430
46.3.4.Creacn de os archvos de zona............................................................................................. 430
46.3.5.Segurdad adcona en DNS para uso pbco.......................................................................... 434
46.3.6.Segurdad adcona en DNS para uso excusvo en red oca...................................................441
46.3.7.Las zonas escavas................................................................................................................... 442
46.3.8.Segurdad adcona para transferencas de zona.....................................................................444
46.3.9.Rencar servco y depuracn de confguracn.....................................................................447
47.Confguracn de servdor DHCP....................................................................449
47.1.Introduccn..................................................................................................................... 449
47.1.1.Acerca de protocoo DHCP...................................................................................................... 449
47.1.2.Acerca de dhcp por Internet Software Consortum, Inc............................................................449
47.2.1.CentOS, Fedora y Red Hat Enterprse Lnux.......................................................................450
47.3.1.Servco ptabes....................................................................................................................... 450
47.3.2.Shorewa................................................................................................................................. 451
47.4.SELnux y e servco dhcpd.............................................................................................. 451
47.5.Incar, detener y rencar, e servco dhcpd...................................................................451
47.6.Procedmentos................................................................................................................ 452
47.6.1.Archvo de confguracn /etc/sysconfg/dhcpd........................................................................ 452
47.6.2.Archvo de confguracn dhcpd.conf....................................................................................... 452
47.6.3.Confguracn bsca................................................................................................................ 453
47.6.4.Asgnacn de dreccones IP esttcas..................................................................................... 453
47.6.5.Lmtar e acceso por dreccn MAC........................................................................................ 454
47.6.6.Confguracn para funconar con DNS dnmco..................................................................... 456
47.7.Comprobacones desde cente DHCP..............................................................................461
48.Instaacn y confguracn de vsftpd.............................................................463
48.1.Introduccn..................................................................................................................... 463
18
48.1.1.Acerca de protocoo FTP.......................................................................................................... 463
48.1.2.Acerca de protocoo FTPS........................................................................................................ 464
48.1.3.Acerca de RSA.......................................................................................................................... 464
48.1.4.Acerca de OpenSSL.................................................................................................................. 464
48.1.5.Acerca de X.509....................................................................................................................... 464
48.1.6.Acerca de vsftpd...................................................................................................................... 464
48.3.Archvos de confguracn................................................................................................ 465
48.3.1.Incar, detener y rencar e servco vsftpd............................................................................ 465
48.3.2.Agregar e servco vsftpd a arranque de sstema..................................................................465
48.4.1.Servco ptabes....................................................................................................................... 466
48.4.2.Shorewa................................................................................................................................. 466
48.5.Procedmentos................................................................................................................ 466
48.5.1.SELnux y e servco vsftpd...................................................................................................... 467
48.5.2.Archvo /etc/vsftpd/vsftpd.conf................................................................................................. 467
48.5.3.Opcn anonymous_enabe...................................................................................................... 468
48.5.4.Opcn oca_enabe................................................................................................................. 468
48.5.5.Opcn wrte_enabe................................................................................................................. 468
48.5.6.Opcones anon_upoad_enabe y anon_mkdr_wrte_enabe.....................................................468
48.5.7.Opcn ftpd_banner.................................................................................................................. 469
48.5.8.Estabecendo |auas para os usuaros: opcones chroot_oca_user y chroot_st_fe..............469
48.5.9.Opcones pasv_mn_port y pasv_max_port............................................................................... 470
48.5.10.Contro de ancho de banda................................................................................................... 470
49.Confguracn de OpenSSH.............................................................................475
49.1.Introduccn..................................................................................................................... 475
49.1.1.Acerca de SSH.......................................................................................................................... 475
49.1.2.Acerca de SFTP......................................................................................................................... 475
49.1.3.Acerca de SCP.......................................................................................................................... 475
49.1.4.Acerca de OpenSSH................................................................................................................. 475
49.3.Actvar, desactvar, ncar, detener y rencar e servco ssh.........................................476
49.5.SELnux y e servco sshd................................................................................................ 479
49.5.1.Potca ssh_chroot_rw_homedrs.............................................................................................. 479
49.5.2.Potca fenced_can_ssh............................................................................................................ 479
49.5.3.Potca ssh_chroot_manage_apache_content...........................................................................479
49.5.4.Potca ssh_sysadm_ogn........................................................................................................ 480
49.5.5.Potca aow_ssh_keysgn........................................................................................................ 480
49.5.6.Contexto ssh_home_t............................................................................................................... 480
49.6.Archvos de confguracn................................................................................................ 480
49.7.Procedmentos................................................................................................................ 481
49.7.1.Parmetro Port......................................................................................................................... 481
49.7.2.Parmetro LstenAddress......................................................................................................... 481
49.7.3.Parmetro PermtRootLogn..................................................................................................... 482
49.7.4.Parmetro X11Forwardng....................................................................................................... 482
49.7.5.Parmetro AowUsers.............................................................................................................. 482
49.7.6.Parmetro UseDNS................................................................................................................... 482
49.8.Probando OpenSSH.......................................................................................................... 483
49.8.1.Acceso con ntrprete de mandatos......................................................................................... 483
49.8.2.Transferenca de archvos a travs de SFTP............................................................................. 483
49.8.3.Transferenca de archvos a travs de SCP.............................................................................. 485
19
50.OpenSSH con autentcacn a travs de frma dgta....................................487
50.1.Introduccn..................................................................................................................... 487
50.2.Procedmentos................................................................................................................ 487
50.2.1.Modfcacones en e Servdor remoto...................................................................................... 487
50.2.2.Modfcacones en e cente..................................................................................................... 488
50.2.3.Comprobacones...................................................................................................................... 489
51.Confguracn y uso de NTP............................................................................490
51.1.Introduccn..................................................................................................................... 490
51.1.1.Acerca de NTP.......................................................................................................................... 490
51.1.2.Acerca de UTC.......................................................................................................................... 491
51.4.Incar, detener y rencar e servco ntpd.......................................................................494
51.5.Procedmentos................................................................................................................ 495
51.5.1.Herramenta ntpdate................................................................................................................ 495
51.5.2.Archvo de confguracn /etc/ntp.conf..................................................................................... 495
51.5.3.Confguracn de centes......................................................................................................... 499
52.Confguracn de servdor NFS.......................................................................503
52.1.Introduccn..................................................................................................................... 503
52.2.2.Instaacn en openSUSE y SUSE Lnux Enterprse...................................................................504
52.3.Defnr os puertos utzados por NFS..............................................................................504
52.4.Incar servco y aadr e servco a nco de sstema...................................................505
52.5.Modfcacones necesaras en os archvos /etc/hosts.aow y /etc/hosts.deny.................507
52.7.Procedmentos................................................................................................................ 511
52.7.1.E archvo /etc/exports............................................................................................................. 511
52.7.2.Verfcacn de servco........................................................................................................... 513
52.7.3.Monta|e de sstemas de archvos NFS...................................................................................... 515
52.7.4.Moduo nfs de YaST en openSUSE y SUSE Lnux Enterprse.....................................................516
52.8.E|erccos.......................................................................................................................... 516
52.8.1.Compartr un voumen NFS para acceso pbco...................................................................... 516
52.9.Bbografa....................................................................................................................... 518
53.Confguracn bsca de Samba.....................................................................519
53.1.Introduccn..................................................................................................................... 519
53.1.1.Acerca de protocoo SMB......................................................................................................... 519
53.1.2.Acerca de Samba..................................................................................................................... 519
Instaacn a travs de yum................................................................................................................ 519
53.3.1.Servco ptabes....................................................................................................................... 520
53.3.2.Shorewa................................................................................................................................. 520
53.4.SELnux y e servco smb................................................................................................. 521
53.5.Incar e servco y aadro a arranque de sstema.......................................................522
20
53.6.Procedmentos................................................................................................................ 523
53.6.1.Ata de cuentas de usuaro....................................................................................................... 523
53.6.2.E archvo mhosts.................................................................................................................... 523
53.6.3.Opcones prncpaes de archvo smb.conf.............................................................................. 524
53.6.4.Opcn remote announce......................................................................................................... 526
53.6.5.Impresoras en Samba.............................................................................................................. 527
53.6.6.Compartendo drectoros a travs de Samba..........................................................................527
53.7.Comprobacones.............................................................................................................. 529
53.7.1.Modo texto desde GNU/Lnux................................................................................................... 530
53.7.2.Modo grfco............................................................................................................................ 532
54.Cmo confgurar Samba denegando acceso a certos archvos.....................533
54.1.Introduccn..................................................................................................................... 533
54.2.Procedmentos................................................................................................................ 533
54.3.Apcando os cambos..................................................................................................... 533
54.4.Comprobacones.............................................................................................................. 534
55.Cmo confgurar Samba con Papeera de Recca|e.......................................535
55.1.Introduccn..................................................................................................................... 535
55.2.Procedmentos................................................................................................................ 535
55.4.Comprobacones.............................................................................................................. 537
56.Cmo confgurar Samba como cente o servdor WINS.................................540
56.1.Introduccn..................................................................................................................... 540
56.2.Procedmentos................................................................................................................ 540
56.2.1.Parmetros wns server y wns support.................................................................................... 540
56.2.2.Parmetro name resove order................................................................................................. 541
56.2.3.Parmetro wns proxy.............................................................................................................. 541
56.2.4.Parmetro dns proxy................................................................................................................ 541
56.2.5.Parmetro max tt.................................................................................................................... 541
56.2.6.Parmetros max wns tt y mn wns tt.................................................................................... 541
57.Instaacn, confguracn y optmzacn de Spamassassn..........................543
57.1.Introduccn..................................................................................................................... 543
57.1.1.Acerca de SpamAssassn.......................................................................................................... 543
57.1.2.Acerca de Procma.................................................................................................................. 543
57.3.SELnux y e servco spamasssassn................................................................................544
57.3.1.Potcas de SEnux.................................................................................................................. 544
57.3.2.Otros a|ustes de SELnux.......................................................................................................... 545
57.4.Procedmentos................................................................................................................ 547
57.4.1.Incar e servco y aadro a os servcos de arranque de sstema.......................................547
57.4.2.Confguracn de Procma....................................................................................................... 547
57.4.3.Confguracn de archvo /etc/ma/spamassassn/oca.cf......................................................548
57.5.Conse|os para sacare me|or provecho a Spamassassn utzando sa-earn...................550
57.6.Incrementando as capacdades de ftrado.....................................................................551
57.6.1.Optmzando Spamassassn..................................................................................................... 552
57.6.2.Por qu Per-Ma-SPF, Per-Razor-Agent, Pyzor, Spamassassn-FuzzyOcr y popper-uts?.....552
58.Confguracn smpe para Antvrus y Antspam............................................554
58.1.Procedmentos................................................................................................................ 554
59.Introduccn a os protocoos de correo eectrnco.......................................558
21
59.1.Introduccn..................................................................................................................... 558
59.1.1.Preparatvos............................................................................................................................. 558
59.1.2.Protocoos utzados................................................................................................................ 560
59.2.Referencas...................................................................................................................... 563
60.Confguracn bsca de Sendma.................................................................565
60.1.Introduccn..................................................................................................................... 565
60.1.1.Acerca de Sendma................................................................................................................. 565
60.1.2.Acerca de Dovecot................................................................................................................... 565
60.1.3.Acerca de SASL y Cyrus SASL................................................................................................... 565
60.3.Procedmentos................................................................................................................ 566
60.3.1.Defnendo Sendma como agente de transporte de correo predetermnado..........................566
60.3.2.Ata de cuentas de usuaro y asgnacn de contraseas.........................................................567
60.3.3.Domnos a admnstrar............................................................................................................ 568
60.3.4.Contro de acceso..................................................................................................................... 569
60.3.5.Aas de a cuenta de usuaro root........................................................................................... 570
60.3.6.Confguracn de funcones de Sendma................................................................................. 571
60.3.7.Confguracn de Dovecot........................................................................................................ 575
60.3.8.Aadr a nco de sstema e ncar servcos dovecot y sendma..........................................577
60.4.1.Servco ptabes....................................................................................................................... 578
60.4.2.Shorewa................................................................................................................................. 579
60.5.Lecturas posterores......................................................................................................... 579
61.Cmo confgurar Sendma y Dovecot con soporte SSL/TLS...........................580
61.1.Introduccn..................................................................................................................... 580
61.1.1.Acerca de DSA.......................................................................................................................... 580
61.1.2.Acerca de RSA.......................................................................................................................... 580
61.1.3.Acerca de X.509....................................................................................................................... 580
61.2.Procedmentos................................................................................................................ 581
61.2.1.Generando frma dgta y certfcado....................................................................................... 581
61.2.2.Confguracn de Sendma. .................................................................................................... 583
61.2.3.Confguracn de Dovecot. ...................................................................................................... 585
61.2.4.Comprobacones...................................................................................................................... 586
61.2.5.Confguracn de GNOME Evouton......................................................................................... 586
61.2.6.Confguracn Moza Thunderbrd........................................................................................... 588
62.Confguracn avanzada de Sendma............................................................590
62.1.Antes de contnuar........................................................................................................... 590
62.2.Usuaros Vrtuaes............................................................................................................ 590
62.3.Encamnamento de domnos.......................................................................................... 592
62.3.1.Redundanca de servdor de correo......................................................................................... 592
62.3.2.Servdor de correo ntermedaro............................................................................................. 592
62.4.Verfcando e servco...................................................................................................... 593
62.5.Pruebas de envo de correo............................................................................................. 594
62.5.1.Utzando nc............................................................................................................................ 595
62.5.2.Utzando mutt......................................................................................................................... 596
63.Opcones avanzadas de segurdad para Sendma.........................................598
63.1.Introduccn..................................................................................................................... 598
63.2.Funcones......................................................................................................................... 598
63.2.1.confMAX_RCPTS_PER_MESSAGE............................................................................................... 598
63.2.2.confBAD_RCPT_THROTTLE........................................................................................................ 598
63.2.3.confPRIVACY_FLAGS................................................................................................................. 598
63.2.4.confMAX_HEADERS_LENGTH.................................................................................................... 599
22
63.2.5.confMAX_MESSAGE_SIZE.......................................................................................................... 599
63.2.6.confMAX_DAEMON_CHILDREN.................................................................................................. 599
63.2.7.confCONNECTION_RATE_THROTTLE......................................................................................... 599
64.Cmo nstaar y confgurar Postfx y Dovecot con soporte para TLS y
autentcacn.......................................................................................................601
64.1.Introduccn..................................................................................................................... 601
64.1.1.Acerca de Postfx...................................................................................................................... 601
64.1.2.Acerca de Dovecot................................................................................................................... 601
64.1.3.Acerca de SASL y Cyrus SASL................................................................................................... 601
64.1.4.Acerca de DSA.......................................................................................................................... 602
64.1.5.Acerca de RSA.......................................................................................................................... 602
64.1.6.Acerca de X.509....................................................................................................................... 602
64.3.Procedmentos................................................................................................................ 603
64.3.1.Defnendo Postfx como agente de transporte de correo predetermnado..............................603
64.3.2.SELnux y Postfx...................................................................................................................... 603
64.3.3.Confguracn de Postfx........................................................................................................... 606
64.3.4.Confguracn de Dovecot en CentOS 5 y Red Hat Enterprse Lnux 5.....................................609
64.3.5.Confguracn de Dovecot en CentOS 6 y Red Hat Enterprse Lnux 6.....................................610
64.3.6.Incar servcos y aadr stos a arranque de sstema...........................................................610
64.3.7.Soporte para LMTP................................................................................................................... 611
64.3.8.Modfcacones necesaras en e muro cortafuegos..................................................................611
64.3.9.Requstos en a zona de reenvo en e servdor DNS................................................................612
64.4.Comprobacones.............................................................................................................. 612
64.4.1.A travs de termna................................................................................................................. 612
64.4.2.A travs de centes de correo eectrnco............................................................................... 613
65.Cmo nstaar y confgurar Amavsd-new con Postfx en CentOS..................618
65.1.Introduccn..................................................................................................................... 618
65.1.1.Acerca de Amavsd-new........................................................................................................... 618
65.2.Equpamento gco necesaro. ...................................................................................... 618
65.2.2.Confguracn de depstos YUM para CentOS 5 y Red Hat Enterprse Lnux 5........................618
65.3.Procedmentos................................................................................................................ 619
65.3.1.Confguracn de SELnux......................................................................................................... 619
65.3.2.Confguracn de Amavsd-new................................................................................................ 620
65.3.4.Incar, detener y rencar e servco spamass-mter..............................................................621
65.3.5.Postfx con domnos vrtuaes y Amavsd-new......................................................................... 622
66.Cmo confgurar Postfx en CentOS para utzar domnos vrtuaes con
usuaros de sstema............................................................................................623
66.1.Introduccn..................................................................................................................... 623
66.2.Procedmentos................................................................................................................ 623
66.2.1.A|ustes en e servco sasauthd............................................................................................... 623
66.2.2.Confguracn de SELnux......................................................................................................... 624
66.2.4.Rencar e servco postfx...................................................................................................... 629
67.Envo de correo a todos os usuaros de sstema..........................................630
67.1.Procedmentos................................................................................................................ 630
67.2.Acerca de a segurdad.................................................................................................... 630
68.Cmo confgurar camav-mter......................................................................631
23
68.1.Introduccn..................................................................................................................... 631
68.1.1.Acerca de camav-mter.......................................................................................................... 631
68.1.2.Acerca de CamAV.................................................................................................................... 631
68.3.Procedmentos................................................................................................................ 632
68.3.1.SELnux y e servco camav-mter.......................................................................................... 632
68.3.2.Requstos prevos.................................................................................................................... 634
68.3.3.Archvo /etc/ma/sendma.mc................................................................................................. 634
68.3.4.Confguracn........................................................................................................................... 634
68.3.5.Incar, detener y rencar e servco camav-mter................................................................635
69.Cmo confgurar spamass-mter...................................................................636
69.1.Introduccn..................................................................................................................... 636
69.1.1.Requstos prevos.................................................................................................................... 636
69.1.2.Acerca de spamass-mter........................................................................................................ 636
69.1.3.Acerca de SpamAssassn.......................................................................................................... 636
69.3.Procedmentos................................................................................................................ 637
69.3.1.SELnux y e servco spamass-mter....................................................................................... 637
69.3.2.Archvo /etc/ma/sendma.mc................................................................................................. 639
69.3.3.Archvo /etc/sysconfg/spamass-mter..................................................................................... 640
69.3.4.Archvo /etc/procmarc............................................................................................................ 641
Archvo /etc/sysconfg/spamassassn.................................................................................................. 642
69.3.5.Incar, detener y rencar e servco spamass-mter..............................................................642
70.Introduccn a OpenLDAP...............................................................................644
70.1.Introduccn..................................................................................................................... 644
70.1.1.Acerca de LDAP........................................................................................................................ 644
70.1.2.Acerca de RSA.......................................................................................................................... 644
70.1.3.Acerca de X.509....................................................................................................................... 644
71.Cmo confgurar OpenLDAP como servdor de autentcacn........................646
71.1.Introduccn..................................................................................................................... 646
71.3.Procedmentos................................................................................................................ 646
71.3.1.SELnux y e servco dap......................................................................................................... 646
71.3.2.Certfcados para TLS/SSL........................................................................................................ 647
71.3.3.Creacn de drectoros............................................................................................................ 648
71.3.4.Creacn de caves de acceso para LDAP................................................................................. 649
71.3.5.Archvo de confguracn /etc/opendap/sapd.conf..................................................................649
71.3.6.Inco de servco..................................................................................................................... 652
71.3.7.Mgracn de cuentas exstentes en e sstema........................................................................652
71.4.Comprobacones.............................................................................................................. 653
71.5.Confguracn de centes................................................................................................. 655
71.6.Admnstracn................................................................................................................. 656
71.7.Respado de datos........................................................................................................... 656
71.8.Restauracn de datos..................................................................................................... 657
72.Confguracn bsca de MySOL..................................................................659
72.1.Introduccn..................................................................................................................... 659
72.1.1.Acerca de MySOL.................................................................................................................. 659
24
72.4.SELnux y MySOL, so en CentOS, Fedora y Red Hat Enterprse Lnux..................662
72.5.Procedmentos................................................................................................................ 662
72.5.1.Incar, detener y rencar e servco mysqd...........................................................................662
72.5.2.Archvos y drectoros de confguracn................................................................................... 663
72.5.3.Asgnacn de contrasea a usuaro root en MySOL................................................................663
72.5.4.Crear y emnar bases de datos............................................................................................... 664
72.5.5.Respado y restauracn de bases de datos............................................................................. 665
72.5.6.Permsos de acceso a as bases de datos................................................................................. 665
72.6.Optmzacn de MySOL................................................................................................... 667
72.6.1.Deshabtar a resoucn de nombres de anftrn..................................................................667
72.6.2.Aumentar e tamao de cache de consutas............................................................................ 668
72.6.3.Soporte para UTF-8.................................................................................................................. 670
72.7.Bbografa....................................................................................................................... 670
73.Confguracn bsca de Apache....................................................................671
73.1.Introduccn..................................................................................................................... 671
73.1.1.Acerca de protocoo HTTP....................................................................................................... 671
73.1.2.Acerca de Apache.................................................................................................................... 671
73.3.Incar servco y aadr e servco a arranque de sstema............................................672
73.4.SELnux y Apache............................................................................................................. 672
73.5.1.Servco ptabes....................................................................................................................... 675
73.5.2.Shorewa................................................................................................................................. 675
73.6.Procedmentos................................................................................................................ 675
73.6.1.Archvos de confguracn........................................................................................................ 675
73.6.2.UTF-8 y codfcacn de documentos........................................................................................ 676
73.6.3.Drectoros vrtuaes................................................................................................................. 676
73.6.4.Lmtar e acceso a drectoros por dreccn IP........................................................................ 678
73.6.5.Lmtar e acceso por usuaro y contrasea.............................................................................. 679
73.6.6.Asgnacn de drectvas para PHP........................................................................................... 680
73.6.7.Re-dreccn de drectoros...................................................................................................... 682
73.6.8.Tpos de MIME.......................................................................................................................... 682
73.6.9.Impedr enace remoto de mgenes........................................................................................ 683
74.Confguracn de Apache con soporte SSL/TLS. ............................................685
74.1.Introduccn..................................................................................................................... 685
74.1.1.Acerca de HTTPS...................................................................................................................... 685
74.1.2.Acerca de RSA.......................................................................................................................... 685
74.1.3.Acerca de Trpe DES................................................................................................................ 685
74.1.4.Acerca de X.509....................................................................................................................... 686
74.1.6.Acerca de mod_ss................................................................................................................... 686
74.2.Requstos........................................................................................................................ 686
74.4.Procedmentos................................................................................................................ 687
74.4.1.Generando frma dgta y certfcado....................................................................................... 687
74.4.2.Confguracn smpe de Apache para un soo domno............................................................688
74.4.3.Confguracn de Apache para mtpes domnos.................................................................. 689
74.4.4.Comprobacn.......................................................................................................................... 690
74.4.5.Modfcacones necesaras en e muro cortafuegos..................................................................691
75.Confguracn de Squd: Opcones bscas.....................................................692
25
75.1.Introduccn..................................................................................................................... 692
75.1.1.Ou es Servdor Intermedaro (Proxy)?.................................................................................. 692
75.1.2.Acerca de Squd....................................................................................................................... 693
75.3.SELnux y e servco squd............................................................................................... 694
75.4.Antes de contnuar........................................................................................................... 694
75.5.Confguracn bsca........................................................................................................ 694
75.5.1.Controes de acceso................................................................................................................. 695
75.5.2.Apcando Lstas y Regas de contro de acceso.......................................................................697
75.5.3.Opcn cache_mgr.................................................................................................................... 699
75.5.4.Opcn http_port...................................................................................................................... 699
75.5.5.Opcn cache_dr...................................................................................................................... 699
75.5.6.Opcn maxmum_ob|ect_sze.................................................................................................. 700
75.5.7.Opcones cache_swap_ow y cache_swap_hgh........................................................................700
75.5.8.Opcn cache_repacement_pocy........................................................................................... 700
75.5.9.Opcn cache_mem.................................................................................................................. 701
75.6.Estabecendo e doma de os mensa|es mostrados por Squd haca e usuaro............702
75.7.Incando, rencando y aadendo e servco a arranque de sstema...........................702
75.8.Depuracn de errores..................................................................................................... 702
75.9.1.Re-drecconamento de petcones a travs de a opcn REDIRECT en Shorewa..................703
75.9.2.Re-drecconamento de petcones a travs de ptabes..........................................................704
76.Confguracn de Squd: Acceso por autentcacn........................................705
76.1.Introduccn..................................................................................................................... 705
Egendo e mduo de autentcacn...................................................................................... 705
76.2.1.Autentcacn a travs de mduo LDAP.................................................................................. 705
76.2.2.Autentcacn a travs de mduo NCSA................................................................................. 706
76.3.Lstas y regas de contro de acceso................................................................................707
76.3.1.Fnazando procedmento....................................................................................................... 708
77.Confguracn de Squd: Restrccn de acceso a Stos de Internet...............709
77.1.Introduccn..................................................................................................................... 709
77.2.Restrccn por expresones reguares.............................................................................709
77.3.Restrccn por expresones reguares.............................................................................710
77.3.1.Permtendo acceso a stos nocentes ncdentamente boqueados........................................711
78.Confguracn de Squd: Restrccn de acceso a contendo por extensn.. .713
78.1.Introduccn..................................................................................................................... 713
78.2.Defnendo eementos de a Lsta de Contro de Acceso..................................................713
79.Confguracn de Squd: Restrccn de acceso por horaros..........................716
79.1.Introduccn..................................................................................................................... 716
79.2.Procedmentos................................................................................................................ 716
79.2.1.Ms e|empos........................................................................................................................... 717
80.Cmo confgurar squd con soporte para dreccones MAC............................719
80.1.Introduccn..................................................................................................................... 719
80.1.1.Acerca de Squd....................................................................................................................... 719
26
80.3.Procedmentos................................................................................................................ 719
Archvo /etc/squd/stas/macsredoca................................................................................................ 720
80.3.1.Archvo /etc/squd/squd.conf................................................................................................... 720
80.4.Incar, detener y rencar e servco squd.....................................................................721
81.Confguracn de Squd: Cachs en |erarqua.................................................722
81.1.Introduccn..................................................................................................................... 722
81.1.1.Procedmentos........................................................................................................................ 722
82.Confguracn de WPAD..................................................................................724
82.1.Introduccn..................................................................................................................... 724
82.1.1.Acerca de WPAD....................................................................................................................... 724
82.2.Procedmentos................................................................................................................ 724
82.2.1.Equpamento gco necesaro................................................................................................ 725
82.2.2.A|ustes en e muro cortafuegos................................................................................................ 725
82.2.3.Resoucn oca de nombre de anftrn................................................................................. 726
82.2.4.Archvo wpad.dat..................................................................................................................... 727
82.2.5.Confguracn de Apache......................................................................................................... 728
82.2.6.Anunco de archvo wpad.dat.................................................................................................. 728
82.2.7.Comprobacones...................................................................................................................... 730
83.Instaacn y confguracn de a herramenta de reportes Sarg...................734
83.1.Introduccn..................................................................................................................... 734
83.3.Procedmentos................................................................................................................ 734
84.Cmo confgurar un servdor de OpenVPN.....................................................738
84.1.Introduccn..................................................................................................................... 738
84.1.1.Acerca de OpenVPN................................................................................................................. 738
84.1.2.Breve expcacn de o que se ograr con este documento....................................................738
84.2.Instaacn de equpamento gco necesaro................................................................739
84.2.1.Instaacn en CentOS 5........................................................................................................... 739
84.3.Procedmentos................................................................................................................ 740
84.3.1.Confguracn de muro cortafuegos con Shorewa.................................................................. 744
84.3.2.Confguracn de centes Wndows.......................................................................................... 745
84.3.3.Centes GNU/Lnux.................................................................................................................. 747
84.4.Bbografa...................................................................................................................... 754
85.Usando Smartd para antcpar os desastres de dsco duro...........................755
85.1.Introduccn..................................................................................................................... 755
85.2.Procedmentos................................................................................................................ 755
86.Restrccn de acceso a undades de amacenamento externo.....................757
86.1.Introduccn..................................................................................................................... 757
86.2.Procedmentos................................................................................................................ 757
86.2.1.Boquear e uso de undades de dsco ptco........................................................................... 757
86.2.2.Boquear uso de mduo usb-storage o uas de nceo de Lnux.............................................758
86.2.4.En openSUSE............................................................................................................................ 759
86.2.5.En SUSE Lnux Enterprse......................................................................................................... 760
86.2.6.Regas de UDEV para mpedr e acceso a undades de amacenamento USB.........................760
86.2.7.PocyKt para restrngr e acceso a undades de amacenamento externo en genera...........761
87.Admnstracn de confguracones de GNOME 2............................................766
87.1.Introduccn..................................................................................................................... 766
87.2.Mandato gconftoo-2........................................................................................................ 766
27
87.2.1.Confguracones ms comnmente restrngdas en e escrtoro de GNOME............................769
Herramenta gconf-edtor......................................................................................................... 770
Notas...................................................................................................................772
28
&nformacin de Derec$os reservados
de esta pu!licacin.
'econocimiento()oComercial(Compartir&gual *.+
,sted es li!re de-
copar, dstrbur y comuncar pbcamente a obra
hacer obras dervadas
Ba.o las condiciones siguientes-
'econocimiento. Debe reconocer y ctar a autor orgna.
)o comercial. No puede utzar esta obra para fnes comercaes.
Compartir !a.o la misma licencia. S atera o transforma esta obra o
genera una obra dervada, so puede dstrbur a obra generada ba|o una
cenca dntca a sta.
A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de
esta obra.
Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os
derechos de autor
os derec$os derivados de usos legtimos u otras limitaciones no se ven afectados por
lo anterior.
'econocimiento()oComercial(Compartir&gual *.+
CREATIVE COMMONS CORPORATION NO ES UN DESPACHO DE ABOGADOS Y NO PROPORCIONA SERVICIOS |URDICOS. LA DISTRIBUCION DE
ESTA LICENCIA NO CREA UNA RELACION ABOGADO-CLIENTE. CREATIVE COMMONS PROPORCIONA ESTA INFORMACION TAL CUAL (ON AN
"AS-IS" BASIS). CREATIVE COMMONS NO OFRECE GARANTA ALGUNA RESPECTO DE LA INFORMACION PROPORCIONADA, NI ASUME
RESPONSABILIDAD ALGUNA POR DANOS PRODUCIDOS A CONSECUENCIA DE SU USO.
%icencia
LA OBRA (SEGN SE DEFINE MAS ADELANTE) SE PROPORCIONA BA|O TRMINOS DE ESTA LICENCIA PBLICA DE CREATIVE COMMONS ("CCPL"
O "LICENCIA"). LA OBRA SE ENCUENTRA PROTEGIDA POR LA LEY ESPANOLA DE PROPIEDAD INTELECTUAL Y/O CUALESOUIERA OTRAS NORMAS
RESULTEN DE APLICACION. OUEDA PROHIBIDO CUALOUIER USO DE LA OBRA DIFERENTE A LO AUTORIZADO BA|O ESTA LICENCIA O LO
DISPUESTO EN LAS LEYES DE PROPIEDAD INTELECTUAL.
29
MEDIANTE EL E|ERCICIO DE CUALOUIER DERECHO SOBRE LA OBRA, USTED ACEPTA Y CONSIENTE LAS LIMITACIONES Y OBLIGACIONES DE
ESTA LICENCIA. EL LICENCIADOR LE CEDE LOS DERECHOS CONTENIDOS EN ESTA LICENCIA, SIEMPRE OUE USTED ACEPTE LOS PRESENTES
TRMINOS Y CONDICIONES.
+. Definiciones
a. La /o!ra/ es a creacn terara, artstca o centfca ofrecda ba|o os trmnos de esta cenca.
b. E /autor/ es a persona o a entdad que cre a obra.
c. Se consderar /o!ra con.unta/ aquea susceptbe de ser ncuda en aguna de as sguentes categoras:
. /0!ra en cola!oracin/, entendendo por ta aquea que sea resutado untaro de a coaboracn de varos autores.
d. /0!ra colectiva/, entendendo por ta a creada por a ncatva y ba|o a coordnacn de una persona natura o |urdca que a
modfque y dvugue ba|o su nombre y que est consttuda por a reunn de aportacones de dferentes autores cuya contrbucn
persona se funde en una creacn nca y autnoma, para a cua haya sdo concebda sn que sea posbe atrbur separadamente a
cuaquera de eos un derecho sobre e con|unto de a obra reazada.
e. /0!ra compuesta e independiente/, entendendo por ta a obra nueva que ncorpore una obra preexstente sn a coaboracn
de autor de esta tma.
f. Se consderarn /o!ras derivadas/ aqueas que se encuentren basadas en una obra o en una obra y otras preexstentes, taes
como: as traduccones y adaptacones; as revsones, actuazacones y anotacones; os compendos, resmenes y extractos; os
arregos muscaes y, en genera, cuaesquera transformacones de una obra terara, artstca o centfca, savo que a obra
resutante tenga e carcter de obra con|unta en cuyo caso no ser consderada como una obra dervada a os efectos de esta
cenca. Para evtar a duda, s a obra consste en una composcn musca o grabacn de sondos, a sncronzacn tempora de a
obra con una magen en movmento ("synchng") ser consderada como una obra dervada a os efectos de esta cenca.
g. Tendrn a consderacn de /o!ras audiovisuales/ as creacones expresadas medante una sere de mgenes asocadas, con o
sn sonorzacn ncorporada, as como as composcones muscaes, que estn destnadas esencamente a ser mostradas a travs
de aparatos de proyeccn o por cuaquer otro medo de comuncacn pbca de a magen y de sondo, con ndependenca de a
naturaeza de os soportes materaes de dchas obras.
h. E /licenciador/ es a persona o a entdad que ofrece a obra ba|o os trmnos de esta cenca y e cede os derechos de
expotacn de a msma conforme a o dspuesto en ea.
. /,sted/ es a persona o a entdad que e|ercta os derechos ceddos medante esta cenca y que no ha voado prevamente os
trmnos de a msma con respecto a a obra o que ha recbdo e permso expreso de cencador de e|erctar os derechos ceddos
medante esta cenca a pesar de una voacn anteror.
|. La /transformacin/ de una obra comprende su traduccn, adaptacn y cuaquer otra modfcacn en su forma de a que se
derve una obra dferente. Cuando se trate de una base de datos segn se defne ms adeante, se consderar tambn
transformacn a reordenacn de a msma. La creacn resutante de a transformacn de una obra tendr a consderacn de
obra dervada.
k. Se entende por /reproduccin/ a f|acn de a obra en un medo que permta su comuncacn y a obtencn de copas de toda o
parte de ea.
. Se entende por /distri!ucin/ a puesta a dsposcn de pbco de orgna o copas de a obra medante su venta, aquer,
prstamo o de cuaquer otra forma.
m. Se entender por /comunicacin p1!lica/ todo acto por e cua una puradad de personas pueda tener acceso a a obra sn
preva dstrbucn de e|empares a cada una de eas. No se consderar pbca a comuncacn cuando se ceebre dentro de un
mbto estrctamente domstco que no est ntegrado o conectado a una red de dfusn de cuaquer tpo. A efectos de esta
cenca se consderar comuncacn pbca a puesta a dsposcn de pbco de a obra por procedmentos ambrcos o
nambrcos, ncuda a puesta a dsposcn de pbco de a obra de ta forma que cuaquer persona pueda acceder a ea desde
e ugar y en e momento que e|a.
n. La /e2plotacin/ de a obra comprende su reproduccn, dstrbucn, comuncacn pbca y transformacn.
30
o. Tendrn a consderacn de /!ases de datos/ as coeccones de obras a|enas, de datos o de otros eementos ndependentes
como as antoogas y as bases de datos propamente dchas que por a seeccn o dsposcn de sus contendos consttuyan
creacones nteectuaes, sn per|uco, en su caso, de os derechos que puderan subsstr sobre dchos contendos.
p. Los /elementos de la licencia/ son as caracterstcas prncpaes de a cenca segn a seeccn efectuada por e cencador e
ndcadas en e ttuo de esta cenca: Reconocmento de autora (Reconocmento), Sn uso comerca (NoComerca), Compartr de
manera gua (CompartrIgua).
*. mites y uso legtimo de los derec$os. Nada en esta cenca pretende reducr o restrngr cuaesquera mtes egaes de os derechos
excusvos de ttuar de os derechos de propedad nteectua de acuerdo con a Ley de Propedad Inteectua o cuaesquera otras eyes
apcabes, ya sean dervados de usos egtmos, taes como e derecho de copa prvada o e derecho a cta, u otras mtacones como a
dervada de a prmera venta de e|empares.
3. Concesin de licencia. Conforme a os trmnos y a as condcones de esta cenca, e cencador concede (durante toda a vgenca de
os derechos de propedad nteectua) una cenca de mbto munda, sn derecho de remuneracn, no excusva e ndefnda que ncuye a
cesn de os sguentes derechos:
a. Derecho de reproduccn, dstrbucn y comuncacn pbca sobre a obra;
b. Derecho a ncorporara en una o ms obras con|untas o bases de datos y para su reproduccn en tanto que ncorporada a dchas
obras con|untas o bases de datos;
c. Derecho para efectuar cuaquer transformacn sobre a obra y crear y reproducr obras dervadas;
d. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, como ncorporada a obras con|untas o bases de
datos;
e. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, por medo de una obra dervada.
Los anterores derechos se pueden e|erctar en todos os medos y formatos, tangbes o ntangbes, conocdos o por conocer. Los derechos
menconados ncuyen e derecho a efectuar as modfcacones que sean precsas tcncamente para e e|ercco de os derechos en otros
medos y formatos. Todos os derechos no ceddos expresamente por e cencador quedan reservados, ncuyendo, a ttuo enuncatvo pero
no mtatvo, os estabecdos en a seccn 4(e).
4. 'estricciones. La cesn de derechos que supone esta cenca se encuentra su|eta y mtada a as restrccones sguentes:
a. Usted puede reproducr, dstrbur o comuncar pbcamente a obra soamente ba|o trmnos de esta cenca y debe ncur una
copa de a msma o su Identfcador Unforme de Recurso (URI), con cada copa o grabacn de a obra que usted reproduzca,
dstrbuya o comunque pbcamente. Usted no puede ofrecer o mponer nngn trmno sobre a obra que atere o restrn|a os
trmnos de esta cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma. Usted no puede subcencar a
obra. Usted debe mantener ntactos todos os avsos que se referan a esta cenca y a a ausenca de garantas. Usted no puede
reproducr, dstrbur o comuncar pbcamente a obra con meddas tecnogcas que controen e acceso o uso de a obra de una
manera contrara a os trmnos de esta cenca. Lo anteror se apca a una obra en tanto que ncorporada a una obra con|unta o
base de datos, pero no mpca que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de a
msma. S usted crea una obra con|unta o base de datos, preva comuncacn de cencador, usted deber qutar de a obra
con|unta o base de datos cuaquer referenca a dcho cencador o a autor orgna, segn o que se e requera y en a medda de o
posbe. S usted crea una obra dervada, preva comuncacn de cencador, usted deber qutar de a obra dervada cuaquer
referenca a dcho cencador o a autor orgna, o que se e requera y en a medda de o posbe.
b. Usted puede reproducr, dstrbur o comuncar pbcamente una obra dervada soamente ba|o os trmnos de esta cenca o de
una versn posteror de esta cenca con sus msmos eementos prncpaes o de una cenca Commons de Creatve Commons que
contenga os msmos eementos prncpaes que esta cenca (e|empo: Reconocmento-NoComerca-Compartr 2.0 |apn). Usted
debe ncur una copa de a esta cenca o de a menconada anterormente o ben su Identfcador Unforme de Recurso (URI), con
cada copa o grabacn de a obra que usted reproduzca, dstrbuya o comunque pbcamente. Usted no puede ofrecer o mponer
nngn trmno respecto de as obras dervadas o sus transformacones que ateren o restrn|an os trmnos de esta cenca o e
e|ercco de sus derechos por parte de os cesonaros de a msma, Usted debe mantener ntactos todos os avsos que se referan a
esta cenca y a a ausenca de garantas. Usted no puede reproducr, dstrbur o comuncar pbcamente a obra dervada con
meddas tecnogcas que controen e acceso o uso de a obra de una manera contrara a os trmnos de esta cenca. Lo anteror
se apca a una obra dervada en tanto que ncorporada a una obra con|unta o base de datos, pero no mpca que stas, a margen
de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de esta cenca.
c. Usted no puede e|erctar nnguno de os derechos ceddos en a seccn 3 anteror de manera que pretenda prncpamente o se
encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada. E ntercambo de a obra por
otras obras protegdas por a propedad nteectua medante sstemas de compartr archvos no se consderar como una manera
que pretenda prncpamente o se encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara
prvada, sempre que no haya nngn pago de cuaquer remuneracn monetara en reacn con e ntercambo de as obras
protegdas.
31
d. S usted reproduce, dstrbuye o comunca pbcamente a obra o cuaquer obra dervada, con|unta o base datos que a ncorpore,
usted debe mantener ntactos todos os avsos sobre a propedad nteectua de a obra y reconocer a autor orgna, de manera
razonabe conforme a medo o a os medos que usted est utzando, ndcando e nombre (o e seudnmo, en su caso) de autor
orgna s es factado; e ttuo de a obra s es factado; de manera razonabe, e Identfcador Unforme de Recurso (URI), s exste,
que e cencador especfca para ser vncuado a a obra, a menos que ta URI no se refera a avso sobre propedad nteectua o a
a nformacn sobre a cenca de a obra; y en e caso de una obra dervada, un avso que dentfque e uso de a obra en a obra
dervada (e.g., "traduccn francesa de a obra de Autor Orgna," o "gun basado en obra orgna de Autor Orgna"). Ta avso se
puede desarroar de cuaquer manera razonabe; con ta de que, sn embargo, en e caso de una obra dervada, con|unta o base
datos, aparezca como mnmo este avso a donde aparezcan os avsos correspondentes a otros autores y de forma comparabe a
os msmos.
e. Para evtar a duda, sn per|uco de a preceptva autorzacn de cencador y especamente cuando a obra se trate de una obra
audovsua, e cencador se reserva e derecho excusvo a percbr, tanto ndvduamente como medante una entdad de gestn
de derechos o varas, (por e|empo: SGAE, Dama, VEGAP), os derechos de expotacn de a obra, as como os dervados de obras
dervadas, con|untas o bases de datos, s dcha expotacn pretende prncpamente o se encuentra drgda haca a obtencn de
un benefco mercant o a remuneracn monetara prvada.
f. En e caso de a ncusn de a obra en aguna base de datos o recopacn, e propetaro o e gestor de a base de datos deber
renuncar a cuaquer derecho reaconado con esta ncusn y concernente a os usos de a obra una vez extrada de as bases de
datos, ya sea de manera ndvdua o con|untamente con otros materaes.
5. "2oneracin de responsa!ilidad
A MENOS OUE SE ACUERDE MUTUAMENTE ENTRE LAS PARTES, EL LICENCIADOR OFRECE LA OBRA TAL CUAL (ON AN "AS-IS" BASIS) Y NO
CONFIERE NINGUNA GARANTA DE CUALOUIER TIPO RESPECTO DE LA OBRA O DE LA PRESENCIA O AUSENCIA DE ERRORES OUE PUEDAN O NO
SER DESCUBIERTOS. ALGUNAS |URISDICCIONES NO PERMITEN LA EXCLUSION DE TALES GARANTAS, POR LO OUE TAL EXCLUSION PUEDE NO
SER DE APLICACION A USTED.
6. imitacin de responsa!ilidad.
SALVO OUE LO DISPONGA EXPRESA E IMPERATIVAMENTE LA LEY APLICABLE, EN NINGN CASO EL LICENCIADOR SERA RESPONSABLE ANTE
USTED POR CUALOUIER TEORA LEGAL DE CUALESOUIERA DANOS RESULTANTES, GENERALES O ESPECIALES (INCLUIDO EL DANO EMERGENTE
Y EL LUCRO CESANTE), FORTUITOS O CAUSALES, DIRECTOS O INDIRECTOS, PRODUCIDOS EN CONEXION CON ESTA LICENCIA O EL USO DE LA
OBRA, INCLUSO SI EL LICENCIADOR HUBIERA SIDO INFORMADO DE LA POSIBILIDAD DE TALES DANOS.
7. 8inali9acin de la licencia
a. Esta cenca y a cesn de os derechos que contene termnarn automtcamente en caso de cuaquer ncumpmento de os
trmnos de a msma. Las personas o entdades que hayan recbdo obras dervadas, con|untas o bases de datos de usted ba|o esta
cenca, sn embargo, no vern sus cencas fnazadas, sempre que taes personas o entdades se mantengan en e cumpmento
ntegro de esta cenca. Las seccones 1, 2, 5, 6, 7 y 8 permanecern vgentes pese a cuaquer fnazacn de esta cenca.
b. Conforme a as condcones y trmnos anterores, a cesn de derechos de esta cenca es perpetua (durante toda a vgenca de
os derechos de propedad nteectua apcabes a a obra). A pesar de o anteror, e cencador se reserva e derecho a dvugar o
pubcar a obra en condcones dstntas a as presentes o de retrar a obra en cuaquer momento. No obstante, eo no supondr
dar por concuda esta cenca (o cuaquer otra cenca que haya sdo concedda o sea necesaro ser concedda, ba|o os trmnos
de esta cenca), que contnuar vgente y con efectos competos a no ser que haya fnazado conforme a o estabecdo
anterormente.
:. ;iscel<nea
a. Cada vez que usted expote de aguna forma a obra o una obra con|unta o una base datos que a ncorpore, e cencador orgna
ofrece a os terceros y sucesvos cencataros a cesn de derechos sobre a obra en as msmas condcones y trmnos que a
cenca concedda a usted.
b. Cada vez que usted expote de aguna forma una obra dervada, e cencador orgna ofrece a os terceros y sucesvos
cencataros a cesn de derechos sobre a obra orgna en as msmas condcones y trmnos que a cenca concedda a usted.
c. S aguna dsposcn de esta cenca resuta nvda o napcabe segn a Ley vgente, eo no afectar a vadez o apcabdad de
resto de os trmnos de esta cenca y, sn nnguna accn adcona por cuaquera as partes de este acuerdo, ta dsposcn se
entender reformada en o estrctamente necesaro para hacer que ta dsposcn sea vda y e|ecutva.
d. No se entender que exste renunca respecto de agn trmno o dsposcn de esta cenca, n que se consente voacn aguna
de a msma, a menos que ta renunca o consentmento fgure por escrto y eve a frma de a parte que renunce o consenta.
e. Esta cenca consttuye e acuerdo peno entre as partes con respecto a a obra ob|eto de a cenca. No caben nterpretacones,
acuerdos o trmnos con respecto a a obra que no se encuentren expresamente especfcados en a presente cenca. E cencador
no estar obgado por nnguna dsposcn compementara que pueda aparecer en cuaquer comuncacn de usted. Esta cenca
no se puede modfcar sn e mutuo acuerdo por escrto entre e cencador y usted.
32
Creatve Commons no es parte de esta cenca y no ofrece nnguna garanta en reacn con a obra. Creatve Commons no ser responsabe
frente a usted o a cuaquer parte, por cuaquer teora ega de cuaesquera daos resutantes, ncuyendo, pero no mtado, daos generaes
o especaes (ncudo e dao emergente y e ucro cesante), fortutos o causaes, en conexn con esta cenca. A pesar de as dos (2)
oracones anterores, s Creatve Commons se ha dentfcado expresamente como e cencador, tendr todos os derechos y obgacones de
cencador.
Savo para e propsto mtado de ndcar a pbco que a obra est cencada ba|o a CCPL, nnguna parte utzar a marca regstrada
"Creatve Commons" o cuaquer marca regstrada o nsgna reaconada con "Creatve Commons" sn su consentmento por escrto. Cuaquer
uso permtdo se har de conformdad con as pautas vgentes en cada momento sobre e uso de a marca regstrada por "Creatve Commons",
en tanto que sean pubcadas su pgna web (webste) o sean proporconadas a petcn preva.
=uede contactar con Creative Commons en- $ttp->>creativecommons.org>.
33
0tras notas acerca de esta pu!licacin.
La nformacn contenda en este manua se dstrbuye con a esperanza de que sea de utdad y se proporcona ta cua es pero ?&)
@A'A)ABA A@,)A, an sn a garanta mpcta de comercazacn o adecuamento para un propsto en partcuar y e autor o autores no
asumrn responsabdad aguna s e usuaro o ector hace ma uso de esta.
Lnux es una marca regstrada de Lnus Torvads, Red Hat Lnux, RPM y GLINT son marcas regstradas de Red Hat Software, Unx es
marca regstrada de X/Open. MS-DOS, MS-Offce y Wndows son marcas regstradas de Mcrosoft Corporaton. X Wndow System es
marca regstrada de X Consortum, Inc., TrueType es una marca regstrada de Appe Computer, WordPerfect es una marca regstrada de
Core Corporaton, StarOffce es una marca regstrada de Sun Mycrosystems. Apache es una marca regstrada de The Apache Group.
Fetchma es una marca regstrada de Erc S. Raymond. Sendma es una marca regstrada de Sendma, Inc. Darkshram es 1987 y
marca regstrada de |oe Barros Dueas.
34
+. Cue es @),>inu2?
Autor: "oel Barrios &ue!as
Correo electrnico: dar'sram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
Creative Commons 'econocimiento()oComercial(Compartir&gual *.+
1999-2013 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes. c) S atera o transforma
esta obra o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra,
tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de
ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn
contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o
ector hace ma uso de stos.
@), es un acrnmo recursvo que sgnfca @), )o es ,ni2 (@NU s )ot ,nx). Este proyecto
fue ncado por 'ic$ard ?tallman y anuncado e 27 de septembre de 1983, con e ob|etvo de
crear un sstema operatvo competamente bre.
@),>inu2D es un poderoso y sumamente verst sstema operatvo con cenca bre y que
mpemente e estndar =0?&E (acrnmo de =ortabe 0peratng ?ystem &nterface, que se
traduce como Interfaz de Sstema Operatvo Portabe). Fue creado en 1991 por inus Aorvalds,
sendo entonces un estudante de a Unversdad de Hesnsk, Fnanda. En 1992, e nceo
inu2> fue combnado con e sstema @),. E Sstema Operatvo formado por esta combnacn
se conoce como @),>inu2.
GNU/Lnux es e#uipamiento lgico li!re o $oft(are %ibre. Esto sgnfca que e usuaro tene a
bertad de redstrbur y modfcar a de acuerdo a necesdades especfcas, sempre que se
ncuya e cdgo fuente, como o ndca a Lcenca Pbca Genera GNU (acrnmo de @NU s )ot
,nx), que es e modo que ha dspuesto a Free Software Foundaton (Fundacn de equpamento
gco bre). Esto tambn ncuye e derecho a poder nstaar e nceo de @),>inu2D en
cuaquer nmero de ordenadores o equpos de cmputo que e usuaro desee.
GNU/Lnux no es e#uipamiento lgico gratuito (comnmente denomnado como Freeware),
se trata de e#uipamiento lgico li!re o $oft(are %ibre. Cuando nos referrnos a libre, o
hacemos en reacn a a bertad y no a preco. La @= (acrnmo de @enera =ubc cence,
que se traduce como Lcenca Pbca Genera), a a cua Lnus Torvads ncorpor a Lnux, est
dseada para asegurar que e usuaro tenga sempre a bertad de dstrbur copas de
equpamento gco (y cobrar por e servco s as o desea). La @= tene como ob|etvo
garantzar a usuaro a bertad de compartr y cambar e#uipamiento lgico li!re, es decr,
asegurarse de que e equpamento gco sempre permanezca bre para todos os usuaros. La
@= es apcabe a a mayora de equpamento gco de a Free Software Foundaton as como a
cuaquer otro programa cuyos autores se comprometan a usaro.
GNU/Lnux es tambn de a me|or aternatva de sgo XXI para os usuaros que no soo desean
bertad, sno que tambn desean un sstema operatvo estabe, robusto y confabe. Es un
sstema operatvo dneo para utzar en Redes, como es e caso de servdores, estacones de
traba|o y tam!in para computadoras personaes.
Las caracterstcas de GNU/Lnux e permten desempear mtpes tareas en forma smutnea
de forma segura y confabe. Los dstntos servcos servcos se pueden detener, ncar o rencar
ndependentemente sn afectar a resto de sstema permtendo operar as 24 horas de da os
365 das de ao.
35
Ta ha sdo e mpacto acanzado por GNU/Lnux en os tmos aos, que muchas de as
empresas de Software ms mportantes de mundo, entre as cuaes estn IBM, Orace y Sun
Mcrosystems, han encontrado en GNU/Lnux una pataforma con un muy ampo mercado y se
han vocado a desarroo de versones para Lnux de sus ms mportantes apcacones. Grandes
corporacones, como Compaq, De, Hewett Packard, IBM y muchos ms, evan varos aos
dstrbuyendo equpos con GNU/Lnux como sstema operatvo.
Gracas a sus caracterstcas, a constante evoucn de os ambentes grfcos para X Wndow,
que cada vez son de ms fc uso, como es e caso de GNOME y KDE, a traba|o de centos de
programadores y usuaros fees arededor de mundo, Lnux ha de|ado de ser un sstema
operatvo poco atractvo y compcado de utzar para convertrse en una aternatva rea para
quenes buscan un sstema operatvo confabe y poderoso, ya sea para una servdor, estacn de
traba|o o a computadora persona de un usuaro ntrpdo.
+.+. 'e#uerimientos del sistema
Se debe contar con a sufcente cantdad de memora y un mcroprocesador en buen estado. Con
cas cuaquer dstrbucn comerca de Lnux, e ambente grfco necestar a menos 640 MB
RAM y 1 GB de espaco bre en dsco duro para a nstaacn mnma. Para contar con una
cantdad mnma de apcacones, se requeren a menos 2 GB adconaes de espaco bre en
dsco duro, repartdo en a menos 3 partcones. Se recomenda como mnmo un
mcroprocesador 686 a 1 GHz. Sn ambente grfco, como es e caso de un servdor o ben
soamente apcacones para modo de texto, se requeren a menos 384 MB RAM y un
mcroprocesador 686 a 500 MHz sern sufcentes.
E servdor de vdeo puede funconar con so 128 MB RAM; pero su desempeo ser
e2tremadamente lento. Agunas apcacones para modo grfco pueden necestar escaar 256
MB, 512 MB o 1 GB de RAM adcona. E mnmo recomendado para utzar GNOME 2.x es de 384
MB RAM; se recomendan 512 MB. E ptmo es de 1 GB RAM.
S desea nstaar Lnux en una computadora persona con as sufcentes apcacones para ser
totamente funcona y productvo y contar con e espaco necesaro para nstaar herramentas
de ofcna (OpenOffce.org), se recomienda contar con a menos 4 GB de espaco bre en dsco,
a menos 512 MB RAM y un mcroprocesador 686, a cuando menos 1 GHz.
E nstaador en modo texto de Cent0? 6 y 'ed Fat "nterprise inu2 6 requere a menos 384
MB RAM., mentras que e nstaador en modo grfco de stos requere a menos 640 MB RAM.
36
*. "st<ndar de Jerar#ua de ?istema de
Arc$ivos
Sitio de Red: ttp)**(((.alcancelibre.org*
Artculo basado sobre el publicado en ingls por +i'ipedia, ,nciclopedia %ibre, en ttp)**en.(i'ipedia.org*(i'i*-.$.
*.+. &ntroduccin.
E estndar de |erarqua de archvos (8F? o 8esystem Ferarchy ?tandard) defne os
prncpaes drectoros y sus contendos en GNU/Lnux y otros sstemas operatvos smares a
Unx.
En agosto de 1993 nc e proceso para desarroar un estndar de sstema de archvos
|errquco, como un esfuerzo para reorganzar a estructuras de archvos y drectoros de
GNU/Lnux. E 14 de Febrero de 1994 se pubc e 8??A)D (8esystem ?tandard), un estndar
de |erarqua de archvos especfco para GNU/Lnux. Revsones de ste se pubcaron e 9 de
Octubre de 1994 y e 28 de Marzo de 1995.
A prncpos de 1996, con a ayuda de membros de a comundad de desarroadores de BSD, se
f| como ob|etvo e desarroar una versn de 8??A)D ms detaada y drgda no soo haca
Lnux sno tambn haca otros sstemas operatvos smares a Unx. Como uno de os resutados
e estndar camb de nombre a 8F? o 8esystem Ferarchy ?tandard.
E 8F? es mantendo por 8ree ?tandards @roup, una organzacn sn fnes de ucro consttuda
por compaas que manufacturan sustento fsco (.ard(are) y equpamento gco ($oft(are)
como Hewett Packard, De, IBM y Red Hat. La mayora de as dstrbucones de Lnux, ncusve
as que forman parte de Free Software Standards, utzan este estndar sn apcaro de manera
estrcta.
La versn 2.3 de FHS, que es a utzada por Cent0?, 8edoraG, 'ed FatG "nterprise inu2,
open?,?"G y ?,?"G inu2 "nterprise, fue anuncada e 29 de enero de 2004.
*.*. "structura de directorios.
Todos os archvos y drectoros aparecen deba|o de drectoro raz /, an s estn amacenados
en dspostvos fscamente dferentes.
37
Directorio. Descripcin
/bin/
Mandatos bnaros esencaes (como son cp, mv, s, rm, mkdr, etc.),
/boot/
Archvos utzados durante e nco de sstema (nceo y dscos RAM),
/dev/
Dspostvos esencaes,
/etc/
Archvos de confguracn utzados en todo e sstema y que son
especfcos de anftrn.
/etc/opt/
Archvos de confguracn utzados por programas ao|ados dentro de
/opt/
/etc/X11/ (opcional)
Archvos de confguracn para e sstema X Wndow.
/etc/sgml/ (opcional)
Archvos de confguracn para SGML.
/etc/xml/ (opcional)
Archvos de confguracn para XML.

/home/ (opcional)
Drectoros de nco de os usuaros ocaes.
/lib/ y /lib64/
Bbotecas compartdas esencaes para os bnaros de /bn/, /sbn/ y e
nceo de sstema. /b64/ corresponde a drectoro utzado por
sstemas de 64-bt.
/mnt/
Sstemas de archvos montados temporamente.
/media/
Puntos de monta|e para dspostvos de medos, como son as undades
ectoras de dscos compactos.
/opt/
Paquetes de apcacones de terceros.
/proc/
Sstema de archvos vrtua que documenta sucesos y estados de
nceo. Contene, prncpamente, archvos de texto.
/root/ (opcional)
Drectoro de nco de usuaro root (super-usuaro).
/sbin/
Bnaros de admnstracn de sstema.
/tmp/
Archvos temporaes
/srv/
Datos especfcos de sto, servdos por e sstema.

/usr/
|erarqua secundara para datos compartdos de soo ectura (,nx
system resources). Este drectoro debe poder ser compartdo para
mtpes anftrones, y, debe evtarse que contenga datos especfcos
de anftrn que os comparte cuando se hace a travs de NFS.
/usr/bin/
Mandatos bnaros.
/usr/include/
Archvos de ncusn estndar (cabeceras de desarroo).
/usr/lib/ y /usr/lib64
Bbotecas compartdas. /usr/b64/ corresponde a drectoro utzado
por sstemas de 64-bt.
/usr/share/
Datos compartdos, ndependentes de a arqutectura de sstema.
Consste en mgenes, archvos de texto, archvos de audo, etc.
/usr/src/ (opcional)
Cdgos fuente.
/usr/X11R6/ (opcional)
Sstema X Wndow, versn 11, anzamento 6. Prctcamente nnguna
dstrbucn de Lnux o utza en a actuadad.
/usr/local/
|erarqua tercara para datos compartdos de soo-ectura, especfcos
de anftrn.
38

/var/
Archvos varabes, como son btcoras, bases de datos, drectoro raz
de servdores HTTP y FTP, coas de correo, archvos temporaes, etc.
/var/account/ (opcional)
Procesa btcoras de cuentas de usuaros.
/var/cache/
Cache da datos de apcacones.
/var/crash/ (opcional)
Depsto de nformacn referente a faas de sstema.
/var/games/ (opcional)
Datos varabes de apcacones para |uegos.
/var/lib/
Informacn de estado varabe. Agunos servdores como MySOL y
PostgreSOL, amacenan sus bases de datos en drectoros
subordnados de ste.
/var/lock/
Archvos de boqueo de os servcos en e|ecucn.
/var/log/
Archvos y drectoros, utzados para amacenar as btcoras de
eventos de sstema.
/var/mail/ (opcional)
Buzones de correo de usuaros.
/var/opt/
Datos varabes de /opt/.
/var/spool/
Coas de procesamento y carretes de datos de apcacones.
/var/tmp/
Archvos temporaes que prevaecen despus de un renco.
Ms detaes acerca de 8F? en http://www.pathname.com/fhs/.
*.3. =articiones recomendadas para instalar Cent0?H
8edoraGH 'ed FatG "nterprise inu2H open?,?"G y ?,?"G
inu2 "nterprise.
S as condcones mtan e nmero de partcones a utzar, como mnmo se requeren dos
partcones (dseo predetermnado de open?,?"G y ?,?"G inu2 "nterprise):
/ Asgnar todo e espaco dsponbe de a undad de amacenamento.
Sap S se tene menos de 1 GB de RAM, se debe asgnar e do!le del tamao
del 'A; fsico; s se tene ms de 1 GB RAM, se debe asgnar una
cantdad gua a tamao de RAM fsco, ms 2 GB. sta ser sempre a
tma partcn de espaco dsponbe para amacenamento y |ams se e
asgna punto de monta|e.
Para uso genera, se recomenda utzar un dseo de tres partcones (predetermnado de
nstaador de Cent0?, 8edoraG y 'ed FatG "nterprise inu2):
/boot Requere de 200 MB a 512 MB.
/ S se utza e dseo de tres partcones, asgnar e resto de espaco
dsponbe en a undad de amacenamento. S se van asgnar partcones
para os drectoros menconados adeante, se requeren de 3072 MB a
5120 MB.
Sap S se tene menos de 1 GB de RAM, se debe asgnar e do!le del tamao
del 'A; fsico; s se tene ms de 1 GB RAM, se debe asgnar una
cantdad gua a tamao de RAM fsco, ms 2 GB. sta ser sempre a
tma partcn de espaco dsponbe para amacenamento y |ams se e
asgna punto de monta|e.
Lo sguentes drectoros |ams debern estar fuera de a partcn que corresponda a >, es decr,
.am<s se de!en asignar como particiones separadas:
39
/etc
/bn
/dev
/b y /b64
/meda
/mnt
/proc
/root
/sbn
/sys
Para futuras versones de Cent0?, 8edoraG, 'ed FatG "nterprise inu2, open?,?"G y
?,?"G inu2 "nterprise, e drectoro >var tambn deber estar dentro de a msma partcn
que corresponda a >, pues e proceso de arranque, que ser gestonado por ?ystemd, as o
requerr.
Otras partcones que se recomenda asgnar, son:
/usr Requere a menos 3072 MB en nstaacones bscas. Debe consderarse
e equpamento gco se panee nstaar a futuro. Para uso genera se
recomendan a menos de 5120 MB, y, de ser posbe, consdere un
tamao ptmo de hasta 20480 MB.
/tmp Requere a menos 350 MB y puede asgnarse hasta 5 GB o ms,
dependendo de a carga de traba|o y de tpo de apcacones. S, por
e|empo, e sstema cuenta con un grabador de DVD, ser necesaro
asgnar a /tmp e espaco sufcente para amacenar una magen de dsco
DVD, es decr, a menos 4.2 GB, asumendo que es de una soa cara y de
densdad smpe.
/var Requere al menos 3072 MB en estacones de traba|o sin servicios. En
servdores reguarmente se e asgna al menos la mitad del espacio
disponi!le para almacenamiento.
/home En estacones de traba|o, a esta partcn se asgna a menos a mtad de
espaco dsponbe para amacenamento.
/usr/local Requere a menos 3072 MB en nstaacones bscas. Debe consderarse
e equpamento gco que se panee compar desde cdgo fuente, e
nstaar, a futuro. A gua que /usr, para uso genera se recomendan a
menos de 5120 MB, y, de ser posbe, consdere un tamao ptmo de
hasta 20480 MB.
/opt Requere a menos 3072 MB en nstaacones bscas. Debe consderarse
e equpamento gco de terceros que se panee nstaar a futuro. A gua
que /usr, para uso genera se recomendan a menos de 5120 MB, y, de
ser posbe, consdere un tamao ptmo de hasta 20480 MB.
/var/lib S se asgna como partcn ndependente de /var, o cua permtra
optmzar e regstro por daro utzando e modo journal para un me|or
desempeo, requere a menos 3072 MB en nstaacones bscas. Deben
consderarse as bases de datos o drectoros de LDAP, que se paneen
hospedar a futuro.
/var/ S se asgna como partcn ndependente de /var, o cua permtra
optmzar e regstro por daro utzando e modo (ritebac' para un me|or
desempeo, requere a menos 3072 MB en nstaacones bscas. Deben
consderarse os anftrones vrtuaes, apcacones y contendo para ser
servdo a travs de protocoo HTTP, que se paneen hospedar a futuro.
*.4. Bi!liografa.
secure.wkmeda.org/wkpeda/en/wk/Fesystem_Herarchy_Standard
40
3. =rocedimiento de instalacin de Cent0? 6.
3.+. =rocedimientos.
3.+.+. =laneacin.
Antes de comenzar, determne prmero os sguentes puntos:
8inalidad productiva. Va ser un servdor, estacn de traba|o o escrtoro? Ou
uso va tener e equpo? Ou servcos va a requerr? Ideamente o que se
estabezca en este punto debe prevaecer sn modfcacones a o argo de su cco
productvo.
Ciclo de produccin. Cunto tempo consdera que estar en operacn e equpo?
Ses meses, un ao, dos aos, cnco aos?
Capacidad del e#uipo. A cuntos usuaros smutneos se brndar servco?
Tene e equpo a cantdad sufcente de RAM y poder de procesamento sufcente?
=articiones del disco duro. Determne cmo admnstrar e espaco dsponbe de
amacenamento. Para ms detaes a respecto, consute e documento ttuado
"st<ndar de Jerar#ua de ?istema de Arc$ivos.
imitaciones. Tenga caro que Cent0? -a gua que sucede con 'ed Fat
"nterprise inu2- es un sstema operatvo dseado y enfocado especfcamente
para ser utzado como sstema operatvo en servdores, desarroo de programas y
estacones de traba|o. Savo que posterormente se aada agn amacn YUM como
EPEL, Rem, AL Server o RPMFuson, este sstema operatvo carecer de soporte para
medos de audo y vdeo en formatos prvatvos -como ocurre son e soporte para
MP3, DvX, H.264, MPEG, etc.- y que so ncuye $oft(are %ibre que se encuentre
exento de probemas de patentes.
0!tencin de los medios.
Descargue a magen ISO de DVD de Cent0? 6 para arqutectura 386 o ben arqutectura
x86-64 (so es necesaro e DVD 1 -savo que requera soporte para agn doma extco-
desde agunos de os stos espe|o que encontrar en e sguente URL:
http://mrror.centos.org/centos/6/sos/
41
S por agn motvo en partcuar requere descargar a magen ISO de prmer dsco DVD de
Cent0? 6.I para arqutectura 386, en lugar de descargar la correspondiente para Cent0?
6.3, grabe sta en un dsco vrgen DJD(' (capacdad de 4,707,319,808 bytes). La magen de
DVD para 386 (4,705,456,128 bytes) es demasado grande para poder ser grabada en un
DJDK' (capacdad de 4,700,372,992 bytes). Las mgenes de os dos DVD para arqutectura
x86-64, 4,238,800,896 bytes y 1,182,699,520 bytes, respectvamente, caben perfectamente en
dscos DJDK' y DJD('.
3.+.*. &nstalacin del sistema operativo.
Inserte e disco DJD de nstaacn de Cent0? 6 y espere 60 segundos para e nco automtco
o ben puse a teca ")A"' para ncar de manera nmedata o ben puse a teca LAABM, e
ngrese as opcones de nstaacn deseadas.
La prmer pantaa que aparecer e preguntar s desea verfcar a ntegrdad de medo de
nstaacn. S descarg una magen ISO desde Internet y a grab en un dsco compacto o DVD,
es buena dea verfcar medos de nstaacn. S est hacendo a nstaacn desde una mquna
vrtua con una magen ISO y a suma MD5 concde, descarte verfcar.
42
S desea verfcar a ntegrdad de medo de nstaacn (DVD o con|unto de dscos compactos), a
partr de cua se reazar a nstaacn, seeccone L0NM y puse a teca ")A"', consdere que
esto puede demorar varos mnutos. S est seguro de que e(os) dsco(s) est(n) en buen estado,
puse a teca LAABM para seecconar L?OipM y puse a teca ")A"'.
Haga cc sobre e botn L)e2tM o ben L?iguienteM, en cuanto aparezca a pantaa de
benvenda de CentOS.
43
Seeccone L?panis$M o ben L"spaolM, como doma para ser utzado durante a nstaacn.
A partr de este punto, todos os textos debern aparecer a espao. Seeccone e mapa de
tecado. E|a e mapa de tecado a L"spaolM o ben e mapa de tecado LatinoamericanoM,
de acuerdo a o que corresponda. A termnar, haga cc sobre e botn denomnado L?iguiente.M
44
CentOS 6 ncuye soporte para reazar una nstaacn sobre dspostvos de amacenamento
especazados, como Redes de Area de Amacenamento (SAN), como FCoE, SCSI y zFCP.
Obvamente requere dsponer de un SAN en a red de rea oca para poder hacer uso de este
tpo de dspostvos de amacenamento. S so dspone de dscos duros en e equpo donde se
reazar a nstaacn, e|a a opcn predetermnada, es decr LDispositivos de
almacenamiento !<sicosM y haga cc sobre e botn denomnado L?iguiente.M
45
S se trata de una undad de amacenamento nueva, es decr que carece de taba de partcones,
recbr una advertenca respecto de que esta undad de amacenamento deber ser inicializada
antes de guardar la tabla de particiones que ser creada posteriormente. $i est seguro de que
se trata de una unidad de almacenamiento nueva o bien a sta le fue previamente borrada la
tabla de particiones, aga clic sobre el bot/n Reinicializar todo.
Defna e nombre de anftrn en e sguente e formato: nom!re.dominio.tld. Procure que e
nombre de anftrn sea corto, de hasta a 12 caracteres ms e domno y que est resueto en un
servdor DNS. S est ndecso a respecto, de|e e vaor predetermnado como
local$ost.localdomain y haga cc sobre e botn denomnado L?iguiente.M
46
Seeccone a zona horara que corresponda a su ocadad, $aciendo clic sobre cuaquer punto
en e mapamund. Se recomenda de|ar seecconada a casa L"l relo. del sistema utili9a
,AC.M sto tmo sgnfca que e reo| de sstema utzar ,AC (Aempo ,nversa Coordnado),
que es e sucesor de @;A (b>Greenwch ;ean Ame, que sgnfca Tempo Promedo de
Greenwch) y es a zona horara de referenca respecto a a cua se cacuan todas as otras zonas
horaras de mundo. A termnar, haga cc sobre e botn denomnado L?iguiente.M
47
Defna y confrme, a cave de acceso para e usuaro root, e cua ser e utzando para a
admnstracn de sstema. A termnar, haga cc sobre e botn denomnado L?iguiente.M
)ota.
Evte utzar paabras de dcconaro, datos personaes, procurando utzar a menos 8 caracteres, en
combnacones de nmeros, etras mayscuas, etras mnscuas y otros caracteres.
La sguente pantaa e dar a eegr as opcones para crear as partcones en e dsco duro.
Savo que e|a LCrear un diseo personali9adoHM nvarabemente se apcar un diseo
predeterminado, e cua consstr en:
Una partcn estndar de 200 MB para >!oot
Un voumen gco para >, que utzar a mayor parte de espaco dsponbe y que
posterormente permtr hacer crecer e sstema aadendo otro dsco duro, con
undades fscas que se aadrn a voumen gco.
Un voumen gco para a particin de memoria de intercam!io (s(ap), que en
equpos con menos de 1 GM RAM, utzar un espaco ser equvaente a dobe de
RAM fsco de sstema o ben, en equpos con ms de 1 GB RAM, utzar un espaco
equvaente a a suma de RAM fsco de sstema, ms 2 GB.
)ota.
Este dseo predetermnado funconar ben para cuaquer servdor, con cuaquer propsto, sempre
que se trate de un equpo que permta aadr fcmente ms undades de amacenamento, para as
aprovechar os vomenes gcos. S se trata de una computadora portt o sstema de escrtoro, que
carezca de aguna forma senca de aadr otro dsco duro, este dseo predetermnado resutar
totamente nadecuado, pues se estar utzando una funcn (vomenes gcos) que |ams se podr
aprovechar.
48
Las opcones en pantaa hacen o sguente:
L,sar todo el espacioM, emnar cuaquer partcn de cuaquer otro sstema operatvo presente y
crear de forma automtca as partcones necesaras.
L'eempla9ar sistemaPsQ inu2 e2istentePsQM, so emnar todas as partcones Lnux exstentes
y crear de forma automtca as partcones necesaras.
LAc$icar el sistema actualM, cambar e tamao de as partcones exstentes de otros sstemas
operatvos, como Wndows, hacendo e espaco necesaro para poder nstaar un dseo
predetermnado de partcones Lnux.
L,sar espacio li!reM, crear de forma automtca as partcones necesaras en e espaco
dsponbe, basndose sobre un dseo predetermnado.
LCrear un diseo personali9adoM, permtr eegr as partcones estndar o vomenes gcos,
que uno requera.
Seeccone LCrear un diseo personali9adoM y haga cc sobre e botn denomnado
L?iguiente.M
49
Se mostrar a taba de partcones actua, mostrando e espaco bre dsponbe para crear
nuevas partcones. Haga cc sobre e botn LCrear.M
Se abrr una ventana donde podr defnr e tpo de partcn a crear. E|a crear una L=articin
est<ndar.M A termnar, haga cc sobre e botn LCrear.M
50
En a ventana que aparece sobre a taba de partcones, defna >!oot como punto de monta|e,
mantenga e formato ext4, mantenga e tamao de 200 MB y actve a casa de opcn
denomnada L8or9ar a particin primaria.M A termnar, haga cc sobre e botn LAceptar.M
51
)ota.
"2t4 (fourth extended fesystem o cuarto sstema de archvos extenddo) es, a gua que ext3, un
sstema de archvos con regstro por daro, con muchas me|oras respecto de ext3, entre as que se
ncuyen, entre otras cosas, e soporte de vomenes de hasta 1024 PB, soporte aaddo de extents
(con|unto de boques fscos contguos), menor uso de recursos de sstema, me|oras sustancaes en a
veocdad de ectura y escrtura y verfcacn ms rpda con e mandato fscO. En resumen, prefera
utzar ext4.
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada. Para
aadr a sguente partcn, vueva a hacer cc sobre e botn LCrear.M
52
En a ventana que aparece sobre a taba de partcones, defna > como punto de monta|e,
mantenga e formato ext4 y defna un tamao de 3I7* ;B y actve a casa de opcn
denomnada L8or9ar a particin primaria.M A termnar, haga cc sobre e botn LAceptar.M
53
)ota.
So se recomenda defnr como particiones primarias a as correspondentes a >!oot y >, con a
fnadad de que stas sean creadas entre os prmeros sectores de dsco duro o undad de
amacenamento y para evtare que ncdentamente queden ncudas dentro de a particin e2tendida.
Esta tma se crear de manera automtca despus como a cuarta partcn de dsco duro, dentro de a
cua se crearn cuantas particiones lgicas como sean necesaras.
Los sstemas modernos, basados sobre arqutectura Inte, tenen un mte mxmo de cuatro partcones.
Se puede utzar un dseo de $asta cuatro particiones primarias o ben un dseo de tres
particiones primarias y una particin e2tendida (so puede haber una por undad de
amacenamento), dentro de a cua se pueden crear hasta once particiones lgicas, as cuaes en
readad son sub-partcones de a particin e2tendida. GNU/Lnux permte utzar hasta un mxmo de
15 partcones (tota de partcones prmaras, ms a partcn extendda, ms as partcones gcas).
54
En a ventana que aparece sobre a taba de partcones, defna >usr como punto de monta|e,
mantenga e formato ext4 y defna un tamao de +I*4I ;B o ms, s consdera que ocupar
ms espaco para aguna apcacn o con|unto de apcacones, en partcuar. A termnar, haga
cc sobre e botn LAceptar.M
55
En a ventana que aparece sobre a taba de partcones, defna >tmp como punto de monta|e,
mantenga e formato ext4 y defna un tamao de 5+*I ;B. A termnar, haga cc sobre e botn
LAceptar.M
56
)ota.
E tamao de a partcn para >tmp depender de tpo de apcacones que se utzarn posteror a a
nstaacn. Consute a documentacn de programa o apcacn que tenga paneado utzar. Para a
mayora de os casos, ser ms que sufcente con asgnar 5+*I ;B.
57
En a ventana que aparece sobre a taba de partcones, defna >$ome como punto de monta|e,
mantenga e formato ext4 y e|a a casa de opcn denomnada LCompletar $asta el tamao
m<2imo acepta!le.M A termnar, haga cc sobre e botn LAceptar.M
58
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada.
Aemporalmente notar que >$ome tene asgnado todo e espaco de amacenamento que
anterormente estaba bre. En cuanto haya creado a partcn >var, ambas se repartrn
nuevamente e espaco, cas equtatvamente. Para aadr a sguente partcn, vueva a hacer
cc sobre e botn LCrear.M
59
En a ventana que aparece sobre a taba de partcones, defna >var como punto de monta|e,
mantenga e formato ext4 y e|a a casa de opcn denomnada LCompletar $asta el tamao
m<2imo acepta!le.M A termnar, haga cc sobre e botn LAceptar.M
60
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada.
Aemporalmente notar que >$ome y >var se han repartdo e espaco dsponbe. Para aadr a
tma partcn, a correspondente a a de a memora de ntercambo, vueva a hacer cc sobre
e botn LCrear.M
61
Para e tamao de a partcn de memora de ntercambo (s(ap), sga as sguentes regas:
?i el sistema tiene menos de + @B 'A;- Defna una cantdad equvaente a dos veces a cantdad
de RAM fsco. E|empos:
S e sstema tene 512 MB RAM, defna 1024 MB para a partcn de memora de ntercambo.
S e sstema tene 768 MB RAM, defna 1536 de memora de ntercambo.
S e sstema tene 1 GB RAM, defna 2048 MB para a partcn de memora de ntercambo.
?i el sistema tiene m<s de + @B 'A;- Defna una cantdad equvaente a a suma de a cantdad de
RAM fsco, ms 2 GB. E|empos:
S e sstema tene 1.5 GB RAM, defna 3584 MB para a partcn de memora de ntercambo.
Se mostrar a taba de partcones. Note que a partcn de ntercambo ha tomado a mtad de
su espaco asgnado a costa de >$ome y a otra mtad a costa de >var. Examne a detae y
verfque que estn presentes todas as partcones que se panearon, asegurndose que tengan
os tamaos aproxmados a o que se especfc en os pasos anterores. S est conforme con e
dseo, haga cc sobre e botn denomnado L?iguiente.M
62
)ota.
Otras partcones recomendadas pueden ser >var>li! y >var>RRR. Asgnar como partcones a estos
drectoros permtr posterormente optmzaras, so cambando e formato de regstro por daro
(journal). Para ms detaes consute e documento ttuado Como optimi9ar el sistema de arc$ivos
e2t3 y e2t4, con a fnadad de conocer os procedmentos necesaros para optmzar e sstema de
archvos despus de termnar a nstaacn, uego de que nce e sstema operatvo por prmera vez.
Puede asgnar a cada una de estas partcones cuanto espaco como consdere necesaro para
necesdades partcuares.
Sendo que >var>li! suee utzarse prncpamente para amacenar bases de datos, servdores drectoros,
como LDAP y otros tpos de datos, sobre os cuaes se reaza ectura y escrtura smutnea, convene
optmzar e regstro por daro de esta partcn, utzando e formato .ournal, obtenendo como
resutado un me|or rendmento para as bases de datos y servdores de drectoros, como LDAP.
S >var>RRR va a contener os archvos de un porta de Internet y stos sufrrn pocos cambos o ben
sufrrn cambos poco frecuentes, convene optmzar e regstro por daro de esta partcn, utzando e
formato Rrite!acO, obtenendo como resutado una me|or veocdad de ectura.
Se soctar que confrme de manera expcta que se proceder a emnar o dar formato a
partcones exstentes en e medo de amacenamento. S desea proceder, haga cc sobre e
botn L8ormato.M
63
Se soctar confrme que desea escrbr os cambos a dsco duro. S desea proceder, haga cc
sobre e botn L"scri!ir cam!ios al disco.M
Espere agunos mnutos mentras de guarda a taba de partcones y se da formato a todas as
partcones defndas en os pasos anterores.
64
Por segurdad, convene asgnar una cave de acceso a gestor de arranque. sto tene como
fnadad e de evtar que cuaquera que tenga acceso fsco a sstema, pueda modfcar os
parmetros de arranque de gestor de arranque, e ncar en modo mono-usuaro (nve de
e|ecucn 1). S desea proceder, haga cc sobre a casa de opcn denomnada L,sar la
contrasea del gestor de arran#ue.M
Asgne y confrme una cave de acceso para e gestor de arranque.
65
A termnar, haga cc en e botn L?iguiente.M
E|a e tpo de nstaacn.
66
)ota.
Es una buena prctca de segurdad e reazar una instalacin mnima (casa de opcn L;inimalM) y
posterormente r nstaando so os paquetes que reamente se requeran. Mentras menos paquetes
estn nstaados, habr menos servcos por os cuaes preocuparse, adems de que sern menores as
descargas de paquetes durante as actuazacones que reace perdcamente. La instalacin mnima
consste de nceo de sstema, un con|unto de mandatos bscos, o necesaro para confgurar as
nterfaces de red, herramentas bscas para admnstrar e sstema de archvos, un con|unto bsco de
potcas para SELnux, e mandato yum y o mnmo necesaro para tener un sstema operatvo funcona
en modo texto.
Tras fnazar a nstaacn y una vez que nce por prmera vez e sstema operatvo, se recomenda
nstaar, a travs de mandato yum, os paquetes system(config(fireRall(tui,
system(config(netRorO(tui, policycoreutils(pyt$on, selinu2(policy(targeted,
selinu2(policy(mls, vim(en$anced, Rget, !ind(utils y openss$(clients.
yum !y install system!con"ig!"ireall!tui openssh!clients
yum !y install system!con"ig!netork!tui bind!utils
yum !y install policycoreutils!python
yum !y install selinux!policy!targeted selinux!policy!mls
yum !y install vim!enhanced get
S desea apcar de una vez as actuazacones y parches de segurdad dsponbes, o cua sera
una exceente prctca de segurdad, haga cc sobre e botn denomnado LK Agregar
repositorios de softRare adicional.M sto abrr una ventana donde podr ngresar a
dreccn de cuaquer sto de Internet que haga espe|o de as actuazacones de CentOS 6. S
desconoce que dreccn defnr, utce http://mrror.centos.org/centos/6/updates/386/, s est
nstaando a edcn 386 o ben http://mrror.centos.org/centos/6/updates/x86_64/, s est
nstaando a edcn x86-64. A termnar, haga cc sobre e botn LAceptar.M
67
S dspone de a menos una tar|eta de red, e programa de nstaacn e soctar seeccone que
dspostvo utzar para confgurar una conexn de red que permta conectarse haca e URL que
especfc en e paso anteror. Una vez seecconado e dspostvo de red, haga cc sobre e
botn denomnado LAceptar.M
Lo anteror abrr a ventana LCone2iones de redM de NetworkManager. Seeccone a nterfaz
de red deseada y haga cc sobre e botn denomnado L"ditar.M
68
Lo anteror abrr a ventana de edcn de a nterfaz. Haga cc sobre a pestaa denomnada
LA.ustes de &=v4.M
Confgure os parmetros necesaros para poder estabecer una conexn de red. A termnar,
haga cc sobre e botn denomnado LAplicar.M
69
Regresar a a ventana de LCone2iones de redM. Haga cc sobre e botn denomnado
LCerrar.M
Deber regresar a a pantaa prncpa, donde deber aparecer e amacn YUM que acaba de
confgurar.
70
Para eegr grupos especfcos de paquetes, haga cc sobre a casa de opcn denomnada
L=ersonali9ar a$ora.M A termnar, haga cc sobre e botn denomnado L?iguiente.M
Podr seecconar cuaquer grupo de paquetes que srva a necesdades partcuares. Prefera
conservar e dseo de instalacin mnima, y, cuando mucho, aadr e grupo de paquetes
denomnado LBase.M
71
S posterormente decde nstaar e escrtoro grfco, revse e documento ttuado A|ustes
posterores a a nstaacn de CentOS 6.
S desea personazar a sta de paquetes que se nstaar en un grupo en partcuar, haga cc
sobre e botn denomnado L=a#uetes opcionales.M sto abrr una ventana desde a cua
podr seecconar o que requera y omtr o que se quera. A termnar, haga cc sobre e botn
denomnado LCerrar.M
S est conforme y consdera que ha termnado de seecconar os grupos de paquetes, haga cc
sobre e botn denomnado L?iguiente.M
72
Incar e proceso de nstaacn de paquetes. E tempo que demore e proceso depender de a
cantdad de grupos y paquetes que se hayan seecconado.
Una vez competada a nstaacn, haga cc sobre e botn L'einciarHM y retre e DVD o dsco
compacto de a undad ptca.
73
3.*. =osterior a la instalacin.
Revse e documento ttuado A.ustes posteriores a la instalacin de Cent0? 6.
74
4. A.ustes posteriores a la instalacin de
Cent0? 6.
Una vez termnada a nstaacn de Cent0? 6 hay varos a|ustes que se recomenda reazar.
4.+.+. )om!res de los dispositivos de red.
Las ms recentes versones de Cent0?, 8edoraG y 'ed FatG "nterprise inu2 utzan un
nuevo esquema para os nombres de os dspostvos de red. Los nombres se basan sobre su
ubcacn fsca con a fnadad de factar su dentfcacn. Los dspostvos de red ntegrados a
a tar|eta madre utzan e esquema emS+H*H3H4...T; os dspostvos PCI utzan e esquema
pSranura =C&TpSpuerto et$ernetT y -en e caso de dspostvos vrtuaes- pSranura
=C&TpSpuerto et$ernetTUSinterfa9 virtualT. E|empos:
em1 corresponde a prmer dspostvo de red ntegrado en a tar|eta madre.
em2 corresponde a segundo dspostvo de red ntegrado en a tar|eta madre.
em3 corresponde a tercer dspostvo de red ntegrado en a tar|eta madre.
p1p1 corresponde a prmer dspostvo de red en a prmera ranura PCI, prmer
puerto ethernet.
p2p1 corresponde a prmer dspostvo de red en a segunda ranura PCI, prmer
puerto ethernet.
p3p1 corresponde a prmer dspostvo de red en a tercera ranura PCI, prmer puerto
ethernet.
p3p2 corresponde a prmer dspostvo de red en a tercera ranura PCI, segundo
puerto ethernet.
p3p2_1 corresponde a prmer dspostvo de red en a tercera ranura PCI, segundo
puerto ethernet, prmer dspostvo vrtua.
E nuevo esquema de nombres so apca para sstemas que mpementan SMBIOS versn 2.6 y
tabas 9 y 41. Puede cote|arse a versn de SMBIOS e|ecutando como usuaro root e sguente
mandato:
biosdecode
Pueden determnarse os dspostvos de red presentes en e sstema revsando e contendo de
drectoro >sys>class>net>:
ls /sys/class/net/
75
Puede consutarse a asgnacn de nombres de dspostvos de red presentes en e sstema, a
travs de archvo /etc/udev/rues.d/70-persstent-net.rues.
vim /etc/udev/rules#d/$%!persistent!net#rules
S se dspone de SMBIOS 2.6 y tabas 41 y 9, para hacer uso de nuevo esquema de nombres en
sstemas que fueron actuazados desde una versn anteror de Cent0?, 8edoraG y 'ed FatG
"nterprise inu2, so es necesaro emnar este archvo y rencar e sstema.
4.+.*. Dispositivos de red inactivos.
S reaz a nstaacn mnma, sn agregar grupos de paquetes a dseo predetermnado o ben
sn confgurar dspostvos de red o ben o anteror para para ncur actuazacones, descubrr
que probabemente os dspostvos de red estn desactvados.
Edte os archvos de nterfaz de sus dspostvos de red:
vi /etc/syscon"ig/netork!scripts/i"c"g!eth%
Asegrese que a menos una de as nterfaces de red tenga e parmetro L0)B00AM con e vaor
LyesM:
&'()*'+,eth%,
-./*0-1R022'&+,yes,
ONBOOT="yes"
345&&R+%67%%78$76971:7;'
1<='+'thernet
;001=R010+dhcp
&'>R0?1'+yes
=''R&-S+yes
=''RR0?1'S+yes
&3*=/*2)'-1/)&+pruebas!centos6
)=(4/>5)2?R'/>5152+yes
)=(6)-)1+no
-5.'+,System eth%,
??)&+:"b%6bd%!%bb%!$""b!4:"1!d6edd6:"@e%@
S e equpo se va a utzar como servdor, convene desactvar que a gestn de as nterfaces de
red se haga a travs de servco )etRorO;anager y de|ar que se encargue de sta e servco
netRorO. Cambe );UC0)A'0"DV/yes/, por );UC0)A'0"DV/no/:
&'()*'+,eth%,
NM_CONTROLLED="no"
0-;001+,yes,
345&&R+%67%%78$76971:7;'
1<='+'thernet
;001=R010+dhcp
&'>R0?1'+yes
=''R&-S+yes
=''RR0?1'S+yes
&3*=/*2)'-1/)&+pruebas!centos6
)=(4/>5)2?R'/>5152+yes
)=(6)-)1+no
-5.'+,System eth%,
??)&+:"b%6bd%!%bb%!$""b!4:"1!d6edd6:"@e%@
76
Para apcar os cambos, rence e servco netRorO:
service netork restart
Cabe seaar que )etRorO;anager so est nstaado y actvo s se nstaa cuaquer entorno
de escrtoro, pues se trata de un componente esenca para permtr a usuaro reguar poder
gestonar as nterfaces de red sn utzar prvegos de root.
4.+.3. ocali9acin.
S durante a nstaacn estabec Espao como doma predetermnado, se estabecer a
varabe de entorno LA)@M con e vaor LesU"?.,A8(:HM o cua resutar convenente para os
usuaros que radcan en Espaa. Sn embargo, sto har que en os nmeros as dvsones de
mes se hagan con un punto y que a dvsn para decmaes se haga con una coma..
Edte e archvo >etc>sysconfig>i+:n:
vi /etc/syscon"ig/i16n
Locace A)@V/esU"?.,A8(:/:
LANG="es_ES.UTF-8"
S<S>0-1+,latarcyrheb!sun16,
Cambe A)@V/esU"?.,A8(:/ por A)@V/esU;E.,A8(:/ (espao de Mxco) o ben a
ocazacn que corresponda a su pas:
LANG="es_MX.UTF-8"
S<S>0-1+,latarcyrheb!sun16,
Edte e archvo >!oot>gru!>menu.lst o ben e archvo >!oot>gru!>gru!.conf (e prmero es un
enace smbco que apunta haca e segundo):
vi /boot/grub/menu#lst
Locace en ste A)@VesU"?.,A8(: (sn comas):
A grub#con" generated by anaconda
A
A -ote that you do not have to rerun grub a"ter making changes to this "ile
A -01)*'7 <ou have a /boot partition# 1his means that
A all kernel and initrd paths are relative to /boot/B eg#
A root (hd%B%)
A kernel /vmlinuC!version ro root+/dev/sda8
A initrd /initrd!Dgeneric!Eversion#img
Aboot+/dev/sda
de"ault+%
timeout+:
splashimage+(hd%B%)/grub/splash#xpm#gC
hiddenmenu
passord !!md: F1Fx?#ti5boF:a66)G8yH=vtd<I:ld5mi/
title centos (8#6#@8!8$9#el6#i666)
root (hd%B%)
kernel /vmlinuC!8#6#@8!8$9#el6#i666 ro root+??)&+%9c6dc@9!a68b!4%9e!6@%6!:@4464%cd1%4 rd/2(./2
(+Sap/2og(ol%% rd/-0/2?HS rd/-0/.& rd/-0/&. LANG=es_ES.UTF-8 S<S>0-1+latarcyrheb!sun16 H'<;05R&1<='+p
c H'<15;2'+la!latin1 crashkernel+auto rhgb Juiet
initrd /initram"s!8#6#@8!8$9#el6#i666#img
77
Cambe A)@VesU"?.,A8(: por A)@VesU;E.,A8(: (espao de Mxco, sn comas) o ben
a ocazacn que corresponda a su pas:
A
A root (hd%B%)
Aboot+/dev/sda
de"ault+%
timeout+:
hiddenmenu
root (hd%B%)
(+Sap/2og(ol%% rd/-0/2?HS rd/-0/.& rd/-0/&. LANG=es_MX.UTF-8 S<S>0-1+latarcyrheb!sun16 H'<;05R&1<='+p
Rence e sstema para que surtan efecto os cambos.
reboot
4.+.4. Desactivar =lymout$.
=lymout$ es a nueva mpementacn para mostrar un arranque grfco que tene como
ob|etvo ocutar de a vsta os mensa|es de nco. S se reaz una nstaacn mnma, e
arranque de sstema se mostrar de a sguente forma:
Para vsuazar qu es o que ocurre detrs de Pymouth, soo hay que pusar a teca L?uprM para
conmutar a arranque tradcona en texto y vceversa.
En un servdor, probabemente resute poco convenente y se prefera en su ugar un arranque
tradcona, mostrando os mensa|es de nco de os servcos.
78
Edte e archvo >!oot>gru!>menu.lst o ben e archvo >!oot>gru!>gru!.conf (e prmero es un
enace smbco que apunta haca e segundo):
Locace r$g!:
A
A root (hd%B%)
Aboot+/dev/sda
de"ault+%
timeout+:
hiddenmenu
root (hd%B%)
(+Sap/2og(ol%% rd/-0/2?HS rd/-0/.& rd/-0/&. 25-I+es/.X#?1>!6 S<S>0-1+latarcyrheb!sun16 H'<;05R&1<='+p
Emne a cadena r$g!:
79
A
A root (hd%B%)
Aboot+/dev/sda
de"ault+%
timeout+:
hiddenmenu
root (hd%B%)
c H'<15;2'+la!latin1 crashkernel+auto Juiet
Rence e sstema para que surtan efecto os cambos:
reboot
4.+.5. &nstalar y $a!ilitarH el modo gr<fico.
S consdera que requere utzar e modo grfco, omta a seccn anteror (Desactvar Pymouth)
e nstae os sguentes grupos de paquetes:
yum !y groupinstall x11 basic!desktop general!desktop
Compemente nstaando agunos paquetes de herramentas de admnstracn.
yum !y install system!con"ig!services system!con"ig!date K
system!con"ig!printer system!con"ig!lvm K
system!con"ig!language system!con"ig!keyboard K
cups!pk!helper policycoreutils!gui
)ota.
Probabemente quera emnar os sguentes paquetes, que soo son tes para reazar depuracn de
nceo y envar reportes de errores de as apcacones grfcas a os desarroadores de CentOS.
yum remove kexec!tools abrt!L
Luego, hay que edtar e archvo >etc>initta!.
vi /etc/inittab
A fna de archvo, ocace a sguente nea:
id77initde"ault7
Y reempazar en sta e 3 por un 5:
id7!7initde"ault7
80
Guarde e archvo, saga de edtor de texto
Instae e compemento para GDM (e gestor de pantaa de GNOME), con a fnadad de que os
mensa|es de error que se puderan generar a arrancar e sstema, se muestren con cono de
advertenca en a pantaa grfca de autentcacn:
yum !y install plymouth!gdm!hooks
E|ecute o sguente para nstaar y estabecer, e tema grfco predetermnado de CentOS 6
(rngs) para Pymouth:
yum !y install plymouth!theme!rings
plymouth!set!de"ault!theme rings
/usr/libexec/plymouth/plymouth!update!initrd
S desea un tema ms atractvo y vstoso, estabezca e tema soar:
yum !y install plymouth!theme!solar
plymouth!set!de"ault!theme solar
/usr/libexec/plymouth/plymouth!update!initrd
81
)ota.
Pymouth soo se mostrar s e sstema dspone de una tar|eta de grfcos con soporte para N;? (Nerne
mode-settng) en e nceo de Lnux o ben defnendo manuamente una resoucn como parmetro de
nco de nceo de Lnux (e|empo: vga=0x315 actvar a resoucn a 800x600, vga=0x317 actvar
una resoucn de 1024x768).
Rence e sstema para que apquen os cambos, e nce en modo grfco.
reboot
82
5. =lanificadores de "ntrada>?alida en inu2.
5.+. &ntroduccin.
La panfcacn de Entrada/Sada (0nput*1utput $ceduling o 0*1 sceduling) consste en e
mtodo medante e cua os sstemas operatvos decden e orden en que se procesan as
petcones de ectura/escrtura en e dsco duro o undad de amacenamento. E ob|etvo de
optmzar e sstema, egendo un agortmo de panfcacn de Entrada/sada, es dsmnur os
tempos de bsqueda (see' times), prorzar as petcones de certos procesos de Entrada/sada,
asgnar un ancho de banda ms adecuado a cada procesos o garantzar que agunas petcones
se atendern antes de una fecha de caducdad. Bscamente, fueron dseados para mtgar a
demora de os tempos de bsqueda que utzan e brazo y e cabeza, de os dsco duros, para
moverse desde una poscn, haca otra poscn ms ae|ada.
La mayora de os panfcadores de Entrada/Sada (0*1 scedulers) se basan sobre e algoritmo
del elevador, e cua determna e movmento de brazo de un dsco y cabeza a servr
petcones de ectura/escrtura. Este agortmo basa su nombre sobre e comportamento de
eevador de un edfco, donde ste contna su trayectora actua haca arrba o haca aba|o
hasta que ste se vaca por competo, detenndose soo para permtr que nuevos ndvduos o
aborden, sempre que stos vayan en a msma dreccn actua de eevador.
5.*. =lanificadores de "ntrada>?alida disponi!les en el n1cleo
de inu2.
5.*.+. Anticipatory.
Consste en un agortmo cuyo ob|etvo es ncrementar a efcenca de a utzacn de dsco
duro, anticipando as operacones sncrncas de ectura. Fue e panfcador de Entrada/Sada de
nceo de Lnux desde a versn 2.6.0 hasta a versn 2.6.18. Desde a versn 2.6.33, fue
emnado de nceo de Lnux, debdo a que hoy en da hay muy pocas undades de
amacenamento basadas sobre os estndares ?C?&(+ y &D">AAA y que an estn en operacn.
Era dea para servdores HTTP o sstemas de Escrtoro, con dscos duros ?C?&(+ o &D">AAA,
pues se consegua un rendmento sensbemente superor.
Funcona reazando una demora controada antes de despachar os procesos de Entrada/Sada,
con a fnadad de agregar o re-ordenar, as operacones de bsqueda que son reazadas,
me|orando e desempeo y reducendo de manera sgnfcatva as operacones de petcn de os
dscos duros. Est dseado especfcamente para optmzar os sstemas con sub-sstemas de
dscos pequeos o ben muy entos, como es e caso de dscos duros con estndar SCSI-1 y
agunos antguos modeos de IDE/ATA.
83
Es totamente nadecuado para dscos duros que utcen ACC (Tagged Command Queuing), que
es una tecnooga consste en a optmzacn de petcones de ectura/escrtura desde a propa
undad de dsco duro, permtendo a sstema operatvo reazar mtpes petcones de
ectura/escrtura. Esta tecnooga es utzada en os dscos duros con e estndar SCSI-2, PATA y
SATA, es decr todos os modernos dsco duros que actuamente exsten en mercado. Es
totamente napropado para undades de amacenamento de ato desempeo, as como con
arregos de dscos por RAID.
Asumendo que se dspone de un dsco duro basado sobre e estndar SCSI-1 o ben IDE/ATA, que
se ha asgnado como e dspostvo >dev>sda, este panfcador de Entrada/Sada puede apcarse
de manera nmedata e|ecutando:
echo ,anticipatory, M /sys/block/sda/Jueue/scheduler
Lo anteror har que e sstema utce este panfcador de Entrada/Sada hasta e sguente
renco. Verfque que reamente se ha estabecdo como e panfcador de Entrada/Sada actua
e|ecutando o sguente:
cat /sys/block/sda/Jueue/scheduler
Lo cua debe devover una sada smar a a sguente:
"#n$%&%'#$ory( noop deadline c"J
Para que e cambo sea permanente, se debe edtar e archvo >!oot>gru!>menu.lst:
Y aadr a os parmetros de nco de nceo e parmetro elevator, con e vaor anticipatory.
A
A root (hd%B%)
Aboot+/dev/sda
de"ault+%
timeout+:
hiddenmenu
root (hd%B%)
c H'<15;2'+la!latin1 crashkernel+auto rhgb Juiet e)e*#$or=#n$%&%'#$ory
5.*.*. C8C.
CFO, que es e acrnmo de Completely Fair Queuing, que podra traducrse como encolado de
procesamiento completamente justo, es e panfcador de Entrada/Sada predetermnado de
CentOS y Red Hat Enterprse Lnux. Ofrece un exceente rendmento para a mayora de os usos
que se e pueda dar a sstema operatvo.
84
Su ob|etvo es mantener una coa de procesamento de Entrada/Sada escaabe por proceso, e
ntentar dstrbur equtatvamente e ancho de banda dsponbe para os procesos de
Entrada/Sada, entre todas as petcones de Entrada/Sada.
Funcona coocando petcones sncrncas, envadas por un proceso, dentro de un nmero de
coas de procesamento por proceso y uego dstrbuyendo ntervaos de tempo para cada una de
as coas de procesamento, a fn de que puedan acceder a dsco duro.
La ongtud de os ntervaos de tempo, as como tambn e nmero de petcones que tene
permtdo una coa de procesamento, depende de a prordad de msmo procesos de
Entrada/Sada. De este modo, as petcones asncrncas para todos os procesos son agrupadas
y procesadas, en menos coas de procesamentos, asgnando una por prordad.
Tcncamente, tene e msmo efecto smar a de panfcador de Entrada/Sada Antcpatory,
mantenendo una buena capacdad de procesamento, a permtr que as coas de procesamento
puedan pausar a fnazar un procesos de Entrada/Sada, anticipando e procesos de
Entrada/Sada ms cercano de ese msmo proceso.
Puede verfcar que CFO es e panfcador de Entrada/Sada utzado por e sstema, e|ecutando
o sguente:
anticipatory noop deadline "&+,(
Para utzar este panfcador de Entrada/Sada, es nnecesaro hacer modfcacn aguna, pues
es e predetermnando de sstema.
5.*.3. Deadline.
Funcona de modo smar a tempo rea, utzando una potca de asgnacn en crcuto (round
robin), para ntentar dstrbur equtatvamente as petcones de Entrada/Sada, evtando se
agote a capacdad de procesamento.
Bscamente mpone tempos de caducdad (deadline) a todas as operacones de Entrada/Sada,
con a fnadad de mpedr que se agote a capacdad de recbr petcones. Utza cnco coas de
procesamento, dos de as cuaes son ordenadas de acuerdo a os tempos de caducdad, a
msmo tempo que as coas de procesamento son ordenadas de acuerdo a su nmero de sector.
Antes de servr a sguente petcn, decde que coa de procesamento utzar, otorgando mayor
prordad a as petcones de ectura, verfcando despus s ha caducado a prmera petcn en a
coa de procesamento.
De modo predetermnado, os tempos de caducdad son de 500 ms para as petcones de ectura
y de 5 segundos para as petcones de escrtura.
Se recomenda su uso para servdores dedcados para bases de datos y partcuarmente para
aqueos sstemas que dsponen de dscos duros con capacdad de ACC, as como en sstemas
con undades de amacenamento de ato desempeo, es decr dscos duros con e estndar
SCSI-2, PATA o SATA
85
Asumendo que se dspone de un dsco duro o undad de amacenamento, que se ha asgnado
como e dspostvo >dev>sda, este panfcador de Entrada/Sada puede apcarse de manera
nmedata e|ecutando:
echo ,deadline, M /sys/block/sda/Jueue/scheduler
e|ecutando:
anticipatory noop "-e#-)%ne( c"J
Y aadr a os parmetros de nco de nceo e parmetro elevator, con e vaor deadline.
A
A root (hd%B%)
Aboot+/dev/sda
de"ault+%
timeout+:
hiddenmenu
root (hd%B%)
c H'<15;2'+la!latin1 crashkernel+auto rhgb Juiet e)e*#$or=-e#-)%ne
5.*.4. )oop.
Es e panfcador de Entrada/Sada ms smpe que exste. Funcona nsertando todas as
petcones de Entrada/Sada dentro de una coa de procesamento tpo 8&80 (irst in, irst out,
que se traduce como primero en entrar, primero en salir), e mpementando fusn de petcones.
Asume que a optmzacn de desempeo de Entrada/Sada ser gestonado por otro nve de a
|erarqua de Entrada/Sada, como pudera ser en e dspostvo de boque o ben un FBA (Fost
Bus Adapter o adaptador de transporte de anftrn) ntegente, como en e caso en os
controadores RAID para SAS (Serial Attaced S#$0) o ben un controador conectado de manera
externa, como ocurre con os ?A) (Storage Area !et(or' o Redes de Area de Amacenamento).
86
Este panfcador de Entrada/Sada es prncpamente utzado con undades de estado sdo
(??D, ?od ?tate Drves) basadas sobre memora Fash, NAND o SDRAM y en dspostvos que
carecen de dependenca a movmentos mecncos, os cuaes carecen de re-ordenamento de
petcones mtpes de Entrada/Sada, donde se agrupan |untas as petcones de Entrada/Sada
que estn fscamente cercanas, reducendo e tempo de petcn y a varabdad de tempo de
servco de Entrada/Sada.
Asumendo que se dspone de un dsco duro o undad de amacenamento, que se ha asgnado
como e dspostvo >dev>sda, este panfcador de Entrada/Sada puede apcarse de manera
nmedata e|ecutando:
echo ,noop, M /sys/block/sda/Jueue/scheduler
e|ecutando:
anticipatory "noo'( deadline c"J
Y aadr a os parmetros de nco de nceo e parmetro elevator, con e vaor noop.
A
A root (hd%B%)
Aboot+/dev/sda
de"ault+%
timeout+:
hiddenmenu
root (hd%B%)
c H'<15;2'+la!latin1 crashkernel+auto rhgb Juiet e)e*#$or=noo'
5.3. Cu<l planificador de "ntrada>?alida elegir?
Depende de tpo de undad(es) de amacenamento, servcos utzados en e sstema,
capacdades de procesamento y os tpos de procesos que se queran prorzar.
87
En genera, se puede utzar anticipatory en equpos con dscos duros ve|os (?C?&(+ o
&D">AAA). En o que respecta a cf#, se recomenda en sstemas para uso genera.
Defntvamente se recomenda utzar deadline en servdores para bases de datos. En cuanto a
noop, ser convenente en sstemas con undades de estado sdo basadas sobre memora
Fash, NAND, SDRAM, mqunas vrtuaes o ben sstemas con undades de amacenamento
controadas por FBA ntegentes.
Se recomenda reazar pruebas de desempeo y de rendmento, antes de eegr e panfcador
de Entrada/sada defntvo para un sstema en partcuar. Smpemente, e|a e que se consdere
que funcone me|or.
5.4. Bi!liografa.
https://secure.wkmeda.org/wkpeda/en/wk/Eevator_agorthm
https://secure.wkmeda.org/wkpeda/es/wk/Panfcac%C3%B3n_de_E/S
https://secure.wkmeda.org/wkpeda/en/wk/Antcpatory_schedung
https://secure.wkmeda.org/wkpeda/en/wk/CFO
https://secure.wkmeda.org/wkpeda/en/wk/Deadne_scheduer
https://secure.wkmeda.org/wkpeda/en/wk/Noop_scheduer
https://www.redhat.com/magazne/008|un05/features/scheduers/
88
6. ,so del disco de rescate de Cent0? 6.
Ince e sstema con e dsco de nstaacn. En cuanto aparezca a pantaa de benvenda, puse
cuaquera de a teca o ben a teca J. Tendr so 60 segundos para hacero.
Seeccone a entrada denomnada L'escue installed system.M
89
Puede pusar a teca + (")A"') y contnuar. S desea ver que opcones de arranque utza esta
entrada, puse a teca AAB. Notar que a opcn de arranque es smpemente rescue. Puse a
teca + (")A"') para proceder.
E dsco de nstaacn ncar en modo rescate. Lo prmero a confgurar es e doma.
90
Seeccone ?panis$, puse a teca AAB hasta que resate 0O y puse a teca + (")A"').
A partr de este punto, todos os mensa|es se mostrarn a espao.
S su tecado tene dsposcn Espao/Espaa, seeccone es, puse a teca AAB hasta que
resate Aceptar y puse a teca + (")A"').
91
S su tecado tene dsposcn Espao/Latnoamrca, seeccone la(latin+, puse a teca AAB
hasta que resate Aceptar y puse a teca + (")A"').
Seeccone CD>DJD ocal, puse a teca AAB hasta que resate Aceptar y puse a teca +
(")A"').
92
Se e preguntar s desea actvar as tar|etas de red de sstema. Puse a teca AAB hasta que
resate ?i o ben )o y puse a teca + (")A"').
S respond con ?i en a pantaa anteror, e sstema e soctar que e|a qu tar|eta o ben
tar|etas, desea utzar para estabecer una conexn de red. Utce a teca "?=AC&0 para defnr
actvar os dspostvos de red y puse a teca AAB para conmutar entre os eementos de
pantaa. Confgure o necesaro para estabecer a conexn de red por DHCP o ben por dreccn
IP f|a. Una vez termnado o anteror, puse a teca AAB hasta que resate Aceptar y puse a
teca + (")A"').
93
Tene cuatro opcones a eegr.
Continuar. E entorno de rescate ntentar encontrar una nstaacn de GNU/Lnux en e dsco duro, e
ntentar montar todas as partcones en e rbo que corresponde, deba|o de drectoro
>mnt>sysimage. De este modo se podr acceder en modo ectura y escrtura a sstema de archvos y
as poder reazar os cambos o modfcacones que requera.
;odo lectura. Smar a a opcn anteror, pero todo e sstema de archvos se montar en modo de
so ectura.
0mitir. Se omtr e montado de sstema de archvos de dsco duro. Esta opcn es dnea para
reazar reparacones de sstema de archvos de as partcones, utzando e mandato fscO o ben
para reazar operacones que requeren que as partcones estn sn montar.
Avan9ado. Permtr hacer uso de dspostvos especaes de amacenamento, como Redes de Area
de Amacenamento (SAN), es decr FCoE, SCSI y zFCP.
Seeccone Continuar y puse a teca + (")A"').
E sstema examnar os dspostvos de amacenamento. sto puede demorar varos segundos.
94
Una vez detectada a nstaacn en e dsco duro, e entorno de rescate e nformar que as
partcones de a nstaacn exstente de GNU/Lnux estarn montadas deba|o de drectoro
>mnt>sysimage. Para contnuar, puse a teca + (")A"').
Aparecer una pantaa con tres opcones.
?tart s$ell. Incar e ntrprete de mandatos, desde e cua podr traba|ar de modo smar a nve
de e|ecucn 1 (mono usuaro) y tendr acceso a un con|unto bsco de herramentas de dagnstco y
reparacn.
'un diagnostic. E|ecutar 8irstAidNit, una herramenta que reaza verfcacn y reparacn,
automtca de agunos probemas comnes.
'e!oot. Rencar e sstema.
Seeccone ?tart s$ell y puse a teca + (")A"').
95
Lo anteror e devover un ntrprete de mandatos.
Verfque que todas as partcones de a nstaacn de GNU/Lnux han sdo montadas, utzado e
mandato df con a opcn ($.
96
E|ecute e mandato ext para regresar a a pantaa anteror.
97
)ota.
S e|ecuta e sguente mandato:
chroot /mnt/sysimage
Cambar de sstema operatvo de dsco de rescate, a sstema operatvo en e dsco duro.
sto puede ser de mucha ayuda para, por menconar un e|empo, cambar a cave de acceso de usuaro
root, para o cua so se requere e|ecutar e mandato passRd sn argumentos:
passd
O ben tambn es posbe renstaar manuamente e gestor de arranque de sstema e|ecutando o
sguente, asumendo que a undad de amacenamento corresponde a dspostvo >dev>sda:
grub!install /dev/sda
Para regresar a sstema operatvo de entorno de rescate, e|ecute e mandato e2it.
exit
S o desea, puede seecconar e|ecutar faOd, es decr FrstAdKt, que es una herramenta de
dagnstco para verfcacn y reparacn automtca, de gestor de arranque, magen de dsco
RAM para e nco de sstema (initrd), arregos de dscos por soft(are y re-nstaacn de agunos
paquetes bscos.
S hay ago que reparar, 8irstAidNit o har de manera automtca. Puse a teca + (")A"')
para sar y regresar a a pantaa anteror.
98
Seeccone 'e!oot y puse a teca + (")A"') para rencar e sstema.
Retre e DVD o dsco compacto de a undad ptca.
99
7. &niciando el sistema en nivel de e.ecucin +
Pnivel mono(usuarioQ.
7.+. &ntroduccin
Exsten stuacones en as cuaes se puede requerr ncar e sstema en nve de e|ecucn 1,
tambn denomnado nivel monousuario, a fn de reazar tareas de mantenmento o ben para
reazar correccones y otros a|ustes.
7.*. =rocedimientos.
A ncar e sstema, ste presentar a pantaa de gestor de arranque, conocdo como @',B
(@rand ,nfed Boot Loader). Puse cuaquer teca, e2cepto a teca ")A"', para detener a
cuenta regresva de 3 segundos y poder ngresar a men de @',B.
S durante a nstaacn de CentOS, se defini una clave de acceso para el gestor de
arran#ue, aparecer a sguente pantaa.
100
Para ngresar a cave de acceso, puse a teca LpM.
Ingrese a cave de acceso que se asgn a gestor de arranque durante a nstaacn de sstema
operatvo:
101
E texto de a seccn de opcones cambar despus de ngresar a cave de acceso. Puse a
teca LeM para edtar as opcones de arranque de nceo seecconado:
Seeccone a nea referente a nceo.
102
Con e fn de reazar una edcn de esta nea, vueva a pusar a teca LeM. Se mostrar a
sguente pantaa
Agregue un espaco y un nmero 1, a fna de a nea y puse a teca ")A"'.
103
Regresar a a pantaa anteror.
Puse a teca L!M. sto har que e sstema nce en nve de e|ecucn 1:
104
105
:. @estin de servicios.
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes Pincluyendo su
pu!licacinH a travs de cual#uier medioH por entidades con fines de lucroQ. c) S atera o transforma esta obra o genera una obra
dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os
trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor.
Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La nformacn
:.+. &ntroduccin.
La gestn de servcos consste en actvar o desactvar servcos en os dstntos nvees de
e|ecucn de sstema y en ncar, detener o actvar stos cuando as crcunstancas o requeran.
Este documento descrbe os procedmentos correspondentes en CentOS, Fedora, Red Hat
Enterprse Lnux, openSUSE y SUSE Lnux Enterprse.
:.*. )iveles de e.ecucin.
GNU/Lnux tene 7 nvees de e|ecucn:
0: Apaga e sstema.
1 o S: Nve mono-usuaro.
2: Mut-usuaro, sn undades de amacenamento remoto o sn conexn de red.
3: Mut-usuaro, con undades de amacenamento remoto.
4: Expermenta.
5: Mut-usuaro con servdor de vdeo.
6: Renca sstema.
Los servcos de sstema utzan os nvees de e|ecucn 2, 3, 4 y 5. Los nvees de e|ecucn 0, 1
y 6 estn reservados para os usos descrtos arrba.
Para verfcar e nve de e|ecucn predetermnado de sstema, puede consutarse e contendo
de archvo >etc>initta!, e|ecutando o sguente:
cat /etc/inittab Ngrep initde"ault Ngrep id
Lo anteror debe devover ago smar a o sguente:
id7:7initde"ault7
Lo anteror ndca que e nve de e|ecucn predetermnado de sstema es e 5. Para cambar e
vaor de nve de e|ecucn predetermnado, so es necesaro edtar como root e archvo
>etc>initta!:
vim /etc/inittab
106
Y reempazar e nmero que est estabecdo, por e de cuaquer otro nve de e|ecucn
deseado, entre 1 y 5. WJam<s se de!e esta!lecer I PapagarQ o 6 PreiniciarQX
Para que surta efecto e cambo, se renca e sstema, e cua deber utzar, de modo
predetermnado, e nve de e|ecucn especfcado en e archvo >etc>initta!.
Tambn es posbe ncar e sstema en cuaquer nve de e|ecucn dstnto a defndo en e
archvo >etc>initta!, sn necesdad de modfcar archvo aguno, aadendo e nmero
correspondente como argumento de arranque de nceo desde e gestor de arranque de
sstema.
Inco en nve de e|ecucn 3 desde e gestor de arranque de CentOS 6.
107
Inco en nve de e|ecucn 3 desde e gestor de arranque de openSUSE 11.
Para verfcar e nve de e|ecucn actua, se utza e mandato runlevel.
runlevel
Cuando a sada devueve a etra N mayscua y un nmero, sgnfca que e sstema nc en
ese nve de e|ecucn y que es nexstente un nve de e|ecucn prevo. En e sguente e|empo
de sada, se ndca que e sstema est en e nve de e|ecucn 5, sn nvees de e|ecucn
prevos:
- :
Cuando a sada de mandato runlevel es de dos nmeros, e prmer nmero corresponde a
nve de e|ecucn prevo y e segundo corresponde a nve de e|ecucn actua. En e sguente
e|empo, se ndca que e sstema est en e nve de e|ecucn 5 y que anterormente se estaba
en e nve de e|ecucn 3:
@ :
Para obtener un poco ms de detae, tambn puede utzarse e mandato R$o con a opcn -r.
ho !r
En e sguente e|empo, a sada muestra que e nve de e|ecucn es e 5 y que e tmo nve
de e|ecucn fue e 3.
run!level : Oun 8$ 1$7%9 last+@
108
Para conmutar de nmedato de nve de e|ecucn, ncando o termnando os servcos que sean
necesaros, se e|ecuta e mandato init, utzando como argumento e nmero de nve a que se
desea cambar. En e sguente e|empo, se conmuta a nve de e|ecucn 1:
init 1
En e sguente e|empo, se conmuta a nve de e|ecucn 3:
init @
En e sguente e|empo, se conmuta a nve de e|ecucn 6, e cua renca e sstema:
init 6
En e sguente e|empo, se conmuta a nve de e|ecucn 0, e cua apaga e sstema:
init %
Para conmutar e nve de e|ecucn ndcando a mandato init cunto esperar entre os envos a
os procesos de as seaes SIGTERM y SIGKILL, se utza e mandato telinit. De modo
predetermnado son 5 segundos y con a opcn -t se puede estabecer un vaor dstnto en
segundos.
Cada uno de os nvees de e|ecucn dspone de un sub-drectoro dentro de drectoro /etc. En e
caso de CentOS, Fedora y Red Hat Enterprse Lnux, se utzan os sguentes drectoros:
/etc/rc.d/rc0.d
/etc/rc.d/rc1.d
/etc/rc.d/rc2.d
/etc/rc.d/rc3.d
/etc/rc.d/rc4.d
/etc/rc.d/rc5.d
/etc/rc.d/rc6.d
En e caso de openSUSE y SUSE Lnux Enteprse, tambn exsten estas msmas rutas, pero
son enaces smbcos de os sguentes drectoros, pudendo traba|arse con unos u otros de
manera ndstnta:
/etc/nt.d/rc0.d
/etc/nt.d/rc1.d
/etc/nt.d/rc2.d
/etc/nt.d/rc3.d
/etc/nt.d/rc4.d
/etc/nt.d/rc5.d
/etc/nt.d/rc6.d
Cada uno de estos drectoros ncuye enaces smbcos que apuntan haca os guones de
arranque de os servcos, os cuaes estn dentro de drectoro >etc>init.d>. Hay dos tpos de
enaces, os que ncan e servco y os que termnan e servco. Ambos tpos de enaces ncuyen
un nmero que determna a prordad de nco o de termnacn de un servco respecto de otros
servcos en e sstema.
109
Lste e contendo de drectoro >etc>rc.d>rc3.d e|ecutando o sguente:
ls /etc/rc#d/rc@#d
E sguente e|empo es una muestra de o que podra contener e drectoro >etc>rc.d>rc3.d:
H%1avahi!dnscon"d H69rpcsvcgssd H6$rpcbind S8@-etork.anager
H1%saslauthd H$8auto"s H66iscsi S84avahi!daemon
H1%Cvbid H$@slapd H69iscsid S84nslcd
H1:atd H$@ypbind H69rdisc S8:cups
H@%sendmail H$4nscd H9%netork S8:net"s
H@%vboxeb!service H$:ntpdate H98ip6tables S86haldaemon
H@:nmb H6%"coe H98iptables S:%bluetooth
H@:smb H6%lldpad H9:"irstboot S:6ntpd
H@6xrdp H6@n"slock S%8lvm8!monitor S6%vs"tpd
H:%dnsmasJ H6@rpcgssd S11portreserve S9%crond
H:%netconsole H6@rpcidmapd S18rsyslog S9:atd
H:%snmpd H64pa/supplicant S1@cpuspeed S99rc!local
H:%snmptrapd H6$multipathd S1:mdmonitor
H6%n"s H6$restorecond S88messagebus
Un servco que tenga un enace smbco denomnado ?:Ialgo, sgnfca que e servco ncar
despus de todos os dems servcos que tengan un nmero menor. Es decr, ?:Ialgo ncar
despus de ?7Iotro.
Un servco que tenga un enace smbco denomnado N3Ialgo, sgnfca que e servco
termnar antes que todos os dems servcos que tengan un nmero mayor. Es decr, N3Ialgo
termnar prmero que N4Iotro.
Para que un servco est actvo, debe tener un enace smbco denomnado ?|nnX| (donde ?
sgnfca ?tart, nn es e nmero de prordad, que puede r de 00 a 99 y X e nombre de servco)
dentro de os drectoros de os nvees de e|ecucn 2, 3, 4 y 5. Estos enaces smbcos se
acompaan de un enace K|nnX| en os nvees de e|ecucn 0, 1, 6 y aqueos donde e servco
est desactvado, para poder termnar normamente e servco nvoucrado.
Para que un servco est nactvo, debe tener un enace smbco denomnado N|nnX| (donde N
sgnfca N, nn es e nmero de prordad, que puede r de 00 a 99 y X e nombre de servco)
dentro de os drectoros de os nvees de e|ecucn 2, 3, 4 y 5 y deben estar ausentes os
enaces denomnados S|nnX|.
Todas as dstrbucones de GNU/Lnux funconan de este modo.
La ausenca de os enaces smbcos de nco, aqueos cuyo nombre nca con S mayscua, en
aguno de os drectoros que corresponden a os nvees de e|ecucn, sgnfca que dcho servco
est nhabtado en ese nve de e|ecucn. La presenca de un enace smbco de termnacn,
aqueos cuyo nombre nca con K mayscua, en cuaquera de nvees de e|ecucn
(generamente, a menos 0, 1 y 6), sgnfca que e servco est desactvado. Por e|empo, s se
tene e servco ss$d y ste tene os sguentes enaces:
/etc/rc#d/rc%#d/./!ssh-
/etc/rc#d/rc1#d/./!ssh-
/etc/rc#d/rc8#d/S!!ssh-
/etc/rc#d/rc@#d/S!!ssh-
/etc/rc#d/rc:#d/S!!ssh-
110
Lo anteror sgnfcara que e servco ss$d est habtado en os nvees de e|ecucn 2, 3, 4 y 5
y que se termna a conmutar a os nvees de e|ecucn 0, 1 y 6.
S se tuvera e sguente escenaro:
Lo anteror sgnfcara que e servco ss$d so estara actvo en os nvees de e|ecucn 3 y 5.
S se conmuta a cuaquer otro nve (0, 1, 2, 4 o 6), e servco es detendo por e sstema. S por
e|empo se estuvese traba|ando en e nve de e|ecucn 5 y se conmuta a nve de e|ecucn 3,
e servco segura funconando sn ser afectado. S en cambo se est en e nve de e|ecucn 5 y
se conmuta a nve de e|ecucn 2, donde hay un enace de termnacn de servco, e servco
es detendo.
/etc/rc#d/rc@#d/./!ssh-
/etc/rc#d/rc:#d/./!ssh-
Lo anteror sgnfcara que e servco ss$d sera rencado s se conmuta haca os nvees 3 o 5,
pues exsten tanto os enaces de nco como os de termnacn en os drectoros de os nvees
de e|ecucn 3 y 5. Conmutar haca cuaquer otro nve de e|ecucn detendra e servco.
/etc/rc#d/rc@#d/./!ssh-
Conmutar desde e nve de e|ecucn 5 haca e nve de e|ecucn 3 rencara e servco.
Conmutar desde e nve de e|ecucn 3 haca e nve de e|ecucn 5, tendra nuo efecto sobre e
servco, a menos que e servco ss$d hubese sdo detendo prevamente, en cuyo caso hubese
sdo ncado.
Cada archvo de nco de servco, que se encuentran dentro de drectoro >etc>init.d>, ncuye
como mnmo a sguente nformacn, comentada con amohadas:
111
A)nterprete de mandatos utiliCado
A
Anombre del servicio &escripciPn breve del servicio
A
Achkcon"ig7 niveles de eQecuciPn en los Jue estRs activo el servicio y
A los nSmeros de prioridad de inicio y terminaciPnB respectivamenteB
A con los Jue serRn creados los enlaces simbPlicos en cada nivel
A de eQecuciPn#
A
Adescription7 &escripciPn detallada del servicio#
AAA ;'I)- )-)1 )->0
A =rovides7 componentes Jue son provistos por el servicio
A ReJuired!Start7 reJuisitos para iniciar el servicio
A ReJuired!Stop7 reJuisitos para detener el servicio
A &e"ault!Start7 niveles de eQecuciPn en los Jue estR activo el servicio
A &e"ault!Stop7 niveles de eQecuciPn en los Jue estR inhabilitado el servicio#
A &escription7 &escripciPn detallada del servicio#
AAA '-& )-)1 )->0
E sguente e|empo muestra a nformacn de archvo de nco de servco ss$d:
AT/bin/sh
A
A sshd Start up the 0penSS3 server daemon#
A
A chkcon"ig7 8@4: :: 8:
A description7 SS3 is a protocol "or secure remote shell access#
A 1his service starts up the 0penSS3 server daemon#
AAA ;'I)- )-)1 )->0
A =rovides7 sshd
A ReJuired!Start7 Flocal/"s Fnetork Fsyslog
A ReJuired!Stop7 Flocal/"s Fsyslog
A Should!Start7 Fsyslog
A Should!Stop7 Fnetork Fsyslog
A &e"ault!Start7 8 @ 4 :
A &e"ault!Stop7 % 1 6
A Short!&escription7 Start up the 0penSS3 server daemon
A &escription7 SS3 is a protocol "or secure remote shell access#
A 1his service starts up the 0penSS3 server daemon#
AAA '-& )-)1 )->0
Lo anteror estabece que e servco estar actvo en os nvees de e|ecucn 2, 3, 4 y 5, e
nmero de prordad de nco es 55, o que sgnfca que e servco ncar despus de cuaquer
otro servco con un nmero menor y que e nmero de prordad de termnacn es 25, o que
sgnfca que e servco ser detendo antes que cuaquer otro servco con un nmero mayor.
:.3. ActivarH desactivarH iniciarH detener o reiniciar servicios.
:.3.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2
En estos sstemas operatvos, a gestn de servcos se hace a travs de dos herramentas, e
mandato c$Oconfig y e mandato service. Ambas utzan como argumentos os nombres de os
archvos de nco de os servcos, os cuaes se ocazan dentro de drectoro >etc>init.d. Ambos
mandatos tambn estn presentes en openSUSE y SUSE Enterprse Lnux.
Excepto por os servcos bscos para e funconamento de sstema, a mayora de os servcos
estn desactvados y detendos en todos os nvees de e|ecucn.
:.3.+.+. ;andato c$Oconfig.
112
Para emnar un servco de sstema, es decr emnar os enaces smbcos dentro de os
sub-drectoros de drectoro >etc>rc.d, de acuerdo a a nformacn defnda en e archvo
correspondente dentro de drectoro >etc>init.d>, se utza e mandato c$Oconfig con a opcn
((del. En e sguente e|empo se emna e servco sshd:
chkcon"ig !!del sshd
Para aadr un nuevo servco a sstema, es decr crear os enaces smbcos de acuerdo a a
nformacn defnda en e archvo correspondente dentro de drectoro >etc>init.d>, se utza e
mandato c$Oconfig con a opcn ((add. En e sguente e|empo se aade e servco ss$d:
chkcon"ig !!add sshd
Por o genera, e mandato anteror se e|ecuta automtcamente |unto con a nstaacn de os
paquetes RPM correspondentes para cada servco. So es necesaro e|ecutaro cuando se
nstaan servcos que fueron compados a partr de paquetes de cdgo fuente o ben casos
donde as nstruccones de nstaacn expctamente soctan hacero.
Para actvar un servco que ha sdo prevamente aaddo a sstema, se e|ecuta e mandato
c$Oconfig con e nombre de servco y on como argumentos. En e sguente e|empo se actva
e servco atd:
chkcon"ig atd on
Para desactvar un servco se e|ecuta e mandato c$Oconfig con e nombre de servco y off
como argumentos. En e sguente e|empo se desactva e servco atd:
chkcon"ig atd o""
Para verfcar en qu nvees de e|ecucn estn actvos o nactvos todos os servcos de
sstema, se e|ecuta e mandato c$Oconfig con a opcn ((list:
chkcon"ig !!list
Para verfcar en qu nvees de e|ecucn est actvo un servco en partcuar, se e|ecuta e
mandato c$Oconfig con a opcn ((list y e nombre de servco a consutar. En e sguente
e|empo se consuta en qu nvees de e|ecucn est actvo e servco cups:
chkcon"ig !!list cups
Para actvar un servco en uno o ms nvees de e|ecucn en partcuar, se e|ecuta e mandato
c$Oconfig con a opcn ((level, e nve o os nvees de e|ecucn donde estar actvo e
servco, e nombre de servco y a cadena on. En e sguente e|empo se actva e servco
vsftpd so en os nvees de e|ecucn 3 y 5:
chkcon"ig !!level @: vs"tpd on
113
Para desactvar un servco en uno o ms nvees de e|ecucn en partcuar, se e|ecuta e
mandato c$Oconfig con a opcn ((level, e o os nvees de e|ecucn donde estar nactvo e
servco, e nombre de servco y a cadena off. En e sguente e|empo se desactva e servco
cups so en os nvees de e|ecucn 2 y 4:
chkcon"ig !!level 84 cups o""
Para regresar os servcos a sus vaores predetermnados, se utza e mandato c$Oconfig con e
nombre de servco y reset como argumentos. En e sguente e|empo, se regresa a sus vaores
orgnaes correspondentes a servco cups:
chkcon"ig cups reset
S as prordades de nco o termnacn de servcos fueron modfcados -es decr, se cambo e
nmero de os nombres de os enaces smbcos de >etc>rc.d>rcY.d-, se e|ecuta e mandato
c$Oconfig con e nombre de servco y resetpriorities como argumentos. En e sguente
e|empo, se regresa a os vaores orgnaes de sus prordades a servco cups:
chkcon"ig cups resetpriorities
S se quere utzar una herramenta muy senca y que es especfca de CentOS, Fedora y Red
Hat Enterprse Lnux, puede utzar ntsysv, programa que permte aadr o emnar servcos
de nve de e|ecucn actua con una nterfaz para modo termna.
Herramenta ntsysv.
S se necesta cambar os servcos de un nve de e|ecucn en partcuar o varos nvees
smutneos, se puede e|ecutar e mandato ntsysv con a opcn ((level y especfcando e nve
o nvees de e|ecucn deseados. En e sguente e|empo se e|ecuta e mandato ntsysv con a
opcn ((level y 3 como argumento para poder cambar especfcamente os servcos de nve de
e|ecucn 3:
ntsysv !!level @
114
En e sguente e|empo se e|ecuta e mandato ntsysv con a opcn ((level y 235 como
argumento para poder cambar especfcamente os servcos de os nvees de e|ecucn *H 3 y
5:
ntsysv !!level 8@:
:.3.+.*. ;andato service.
Para ncar cuaquer servco, se e|ecuta e mandato service con e nombre de servco y start
como argumentos. En e sguente e|empo se nca e servco atd:
service atd start
Lo anteror equvae a e|ecutar:
/etc/init#d/atd start
Para detener cuaquer servco, se e|ecuta e mandato service con e nombre de servco y stop
como argumentos. En e sguente e|empo se detene e servco atd:
service atd stop
/etc/init#d/atd stop
Para rencar cuaquer servco, se e|ecuta e mandato service con e nombre de servco y
restart como argumentos. En e sguente e|empo se renca e servco atd:
service atd restart
/etc/init#d/atd restart
Para verfcar e estado de cuaquer servco, se e|ecuta e mandato service con e nombre de
servco y status como argumentos. En e sguente e|empo verfca e estado de servco atd:
service atd status
/etc/init#d/atd status
La herramenta system(config(services funcona como frente grfco para os mandatos
c$Oconfig y service.
115
Herramenta system-confg-servces.
:.3.*. "n open?,?"G y ?,?"G inu2 "nterprise
En estos sstemas operatvos, a gestn de servcos se puede reazar guamente a travs de
mandato c$Oconfig y e mandato service, pero se prefere utzar e mandato insserv y os
mandatos rcSET que se nstaan con cada servco.
:.3.*.+. ;andato insserv.
Para actvar un servco se e|ecuta e mandato insserv con e nombre de servco como
argumento. En e sguente e|empo se actva e servco ss$d:
insserv sshd
chkcon"ig sshd on
Para desactvar un servco se e|ecuta e mandato insserv con a opcn (r y e nombre de
servco como argumento. En e sguente e|empo se desactva e servco ss$d:
insserv !r apache
chkcon"ig sshd o""
E mandato c$Oconfig funcona en openSUSE y SUSE Lnux Enterprse de msmo modo que
en CentOS, Fedora o Red Hat Enterprse Lnux y puede ser utzado en ugar de mandato
insserv.
Todos os procedmentos reazados por e mandato insserv pueden ser gestonados tambn a
travs de mduo runlevel de Za?A, en modo smpe, e|ecutando o sguente:
116
yast runlevel
Mduo runlevel de Za?A, en modo smpe.
:.3.*.*. ;andatos para iniciarH detener o reiniciar servicios.
Para ncar un servco en partcuar, os paquetes en openSUSE y SUSE Lnux Enterprse
nstaan archvos con e nombre de servco, anteceddos por a cadena rc. Por e|empo, e
paquete responsabe de servco cups nstaa un enace smbco denomnado
>usr>s!in>rccups que apunta haca e archvo >etc>init.d>cups; e paquete responsabe de
servco ss$d nstaa un enace smbco denomnado >usr>s!in>rcss$d que apunta haca e
archvo >etc>init.d>ss$d, etc. Todos estos mandatos son sempre enaces smbcos que
apuntan haca os archvos de nco de os servcos que estn en e drectoro >etc>init.d, por o
que funconan de modo smar a como se hace con e mandato service y son e mtodo
preferdo en openSUSE y SUSE Enterprse Lnux para ncar, detener o rencar os servcos.
Para ncar un servco se e|ecuta e mandato rcSET correspondente con start como argumento.
En e sguente e|empo se nca e servco ss$d:
rcsshd start
/etc/init#d/sshd start
O ben a e|ecutar:
service sshd start
117
Para detener un servco se e|ecuta e mandato rcSET correspondente con stop como
argumento. En e sguente e|empo se detene e servco ss$d:
rcsshd stop
/etc/init#d/sshd stop
O ben a e|ecutar:
service sshd stop
Para rencar un servco se e|ecuta e mandato rcSET correspondente con restart como
argumento. En e sguente e|empo se renca e servco ss$d:
rcsshd restart
/etc/init#d/sshd restart
O ben a e|ecutar:
service sshd restart
Para verfcar e estado de un servco se e|ecuta e mandato rcSET correspondente con status
como argumento. En e sguente e|empo se verfca e estado de servco ss$d:
rcsshd status
/etc/init#d/sshd status
O ben a e|ecutar:
service sshd status
Se puede gestonar con e mduo runlevel de Za?A, en modo experto, todo o que se reace
con e mandato insserv y os mandatos rcSET, e|ecutando o sguente:
yast runlevel
Y uego cambando a de modo smpe a modo experto, seecconado a casa correspondente.
118
Mduo runlevel de Za?A, en modo experto.
119
[. @estin de espacio de memoria de
intercam!io PsRapQ en @),>inu2.
[.+. &ntroduccin.
[.+.+. Algo de $istoria.
Hace muchos aos, @),>inu2, en os tempos de nceo versn 2.0, se encontraba mtado a
utzar una soa partcn de memora de ntercambo de un mxmo de 128 MB, sendo esto una
de os prncpaes argumentos utzados por sus detractores. Por fortuna as cosas han cambado
y hoy en da ya no exste dcho mte y es posbe adems utzar cuanta memora de
ntercambo sea requerda para satsfacer as necesdades de cuaquer sstema.
[.+.*. Cu es y como funciona el espacio de intercam!io?
E espaco de memora de ntercambo o ?Rap, es o que se conoce como memoria virtual. La
dferenca entre a memora rea y a vrtua es que est tma utza espaco en e dsco duro en
ugar de un mduo de memora. Cuando a memora rea se agota, e sstema copa parte de
contendo de esta drectamente en este espaco de memora de ntercambo a fn de poder
reazar otras tareas.
Utzar memora vrtua tene como venta|a e proporconar a memora adcona necesara
cuando a memora rea se ha agotado y se tene que reazar un proceso. E nconvenente radca
en que, como consecuenca de utzar espaco en e dsco duro, a utzacn de esta es mucho
muy enta. Uno puede percatarse de esto cuando e dsco duro empeza a traba|ar
repentnamente hasta por varos mnutos despus de abrr varas apcacones.
Cuanto espaco para memora de ntercambo se debe asgnar a sstema?
Menos de 1 GB RAM Dobe de a cantdad tota de memora RAM.
Ms de 1 GB RAM Msma cantdad de tota de memora RAM, ms 2 GB.
[.+.3. Circunstancias en las#ue se re#uiere aumentar la cantidad de
memoria de intercam!io.
Contar con mayor espaco para utzar memora vrtua puede ser prctco en os sguentes
casos:
120
Sstemas en donde adqurr memora adcona es mposbe y se est< consciente
#ue la memoria de intercam!io es muc$simo m<s lenta que a memora RAM.
En equpos con traba|o ntensvo que consume mucha memora (dseo grfco, por
e|empo).
Servdores de ato desempeo en donde se desea contar con un ampo margen de
espaco de ntercambo para satsfacer as demandas de servcos.
Sstemas que actuazaron desde una versn de nceo 2.2, a una versn de nceo
2.4 o 2.6.
Sstemas donde se aument a cantdad de memora RAM y se encuentran con a
probemtca de cubrr a cuota mnma de espaco de memora de ntercambo.
=rocedimientos.
Todos os procedmentos stados a contnuacn requeren hacerse como e usuaro root o ben
utzando e mandato sudo.
[.+.4. Cam!iar el tamao de la particin.
Cambar e tamao de as partcones e dsco duro y cambar as dmensones una partcn de
memora de ntercambo adcona es e mtodo ms efectvo.Sn embargo,sto representa un
resgo, debdo que podra ocurrr un error durante e procesos de repartcn que podra
desencadenar en prdda de datos en un dsco duro. S se utza este mtodo, es mportante
dsponer de un respado de todos os datos mportantes antes de comenzar e proceso.
[.+.5. Crear un arc$ivo para memoria de intercam!io.
Otro mtodo ms senco y sn resgo aguno, consste en utzar un archvo de ntercambo de
forma smar a como se hace en otros sstemas operatvos.
Ante todo, a me|or soucn sempre ser adqurr ms RAM.
[.*. =rocedimientos.
[.*.+. Activar una particin de intercam!io adicional.
S se cambo a taba de partcones de dsco duro y se ha creado una nueva partcn de
memora de ntercambo, se e da formato de a sguente forma con e mandato mOsRap, donde
a opcn (c ndca se verfquen sectores de dsco duro buscando boques daados a fn de
marcar estos y evtar utzaros:
mksap !c DdispositivoE
En e sguente e|empo se dar formato como partcn de memora de ntercambo a a partcn
>dev>sda:, de aproxmadamente 1 GB, verfcando sectores en busca de boques daados:
mksap !c /dev/sda6
Lo anteror puede devover una sada smar a a sguente:
121
Setting up sapspace version 1B siCe+1%46:$6 bytes
no labelB ??)&+d8"ea:ab!c6$$!6%4$!$69a!e:4ae19c:%6b
Para actvar a partcn y que sea utzada nmedatamente por e sstema operatvo, se e|ecuta
e mandato sRapon de a sguente forma:
sapon DdispositivoE
En e sguente e|empo se actva como partcn de memora de ntercambo a a partcn
>dev>sda::
sapon /dev/sda6
Para corroborar que a nueva partcn de memora de ntercambo est sendo utzada por e
sstema operatvo, se e|ecuta e e mandato free, que puede devover una sada smar a a
sguente:
total used "ree shared bu""ers cached
.em7 @81@64 @18:$6 6$66 % 94% 6@486
!/U bu""ers/cache7 8468%6 $@1:6
S0#'1 34/5435 6 34/5435
Para que esta partcn se utce como memora de ntercambo automtcamente en e sguente
arranque de sstema, se edta e archvo >etc>fsta!:
vim /etc/"stab
La nea que se deba agregar, eva e sguente formato:
DparticiPnE sap sap de"aults % %
De ta modo, en e sguente e|empo se defnr como partcn de memora de ntercambo a a
partcn >dev>sda::
/dev/sda6 sap sap de"aults % %
[.*.*. ,tili9ar un arc$ivo como memoria de intercam!io.
Este mtodo no requere hacer cambos en a taba de partcones de dsco duro. Es dneo para
usuaros poco expermentados, para quenes desean evtar tomar resgos a cambar a taba de
partcones e dsco duro o ben para quenes requeren ms de memora de ntercambo
ocasona o de manera crcunstanca.
Consderando que e archvo de memora de ntercambo puede ser coocado en cuaquer
drectoro de dsco duro, se e|ecuta e mandato dd, especfcando que se escrbrn ceros
(ifV>dev>9ero) para crear e archvo >sRap (ofV>sRap), en boques de 1024 bytes (!sV+I*4)
hasta competar una cantdad en bytes determnada (countVScantidad multiplicada por el
valor de !sT). En e sguente e|empo se reaza o anteror hasta competar 5*4*::III !ytes
(+I*4 por ), que equvaen a 5+* ;B:
122
dd i"+/dev/Cero o"+/sap bs+1%84 count+:18%%%
Para dar formato de memora de ntercambo a archvo creado, se e|ecuta e mandato mOsRap,
de sguente modo:
mksap /sap
Setting up sapspace version 1B siCe + :11996 Hi;
no labelB ??)&+"ed8aba:!$$c6!4$6%!9a$6!4ae:e19c:%6b
Para actvar a partcn y que sea utzada nmedatamente por e sstema operatvo, se e|ecuta
e mandato sRapon. En e sguente e|empo se actva como partcn de memora de
ntercambo a e archvo >sRap:
sapon /sap
Para corroborar que nuevo archvo de memora de ntercambo est sendo utzada por e
sstema operatvo, se e|ecuta e e mandato free, que puede devover una sada smar a a
sguente:
total used "ree shared bu""ers cached
.em7 @81@64 @18:$6 6$66 % 94% 6@486
!/U bu""ers/cache7 8468%6 $@1:6
S0#'1 34!7/4 6 34!7/4
Para que este archvo se utce como memora de ntercambo automtcamente en e sguente
arranque de sstema, se edta e >etc>fsta!:
Y se agrega a nea correspondente, de sguente modo, donde en ugar de e dspostvo, se
pone a ruta de archvo de memora de ntercambo creado:
vim /etc/"stab
/sap sap sap de"aults % %
[.*.3. 0ptimi9ando el sistemaH cam!iando el valor de
>proc>sys>vm>sRappiness
E nceo de @),>inu2 permte cambar con que frecuenca as apcacones y programas son
movdas de a memora fsca haca a memora de ntercambo. E vaor predetermnado es 60,
como puede observarse a mrar e contendo de >proc>sys>vm>sRappiness de a sguente
forma:
cat /proc/sys/vm/sappiness
Pueden estabecerse vaores entre 0 y 100, donde e vaor ms ba|o estabece que se utce
menos a memora de ntercambo, o cua sgnfca que se recamar en su ugar e cach de a
memora. E vaor predetermnado de 60, fue estabecdo tenendo en mente a quenes
desarroan e nceo de Lnux, con a fnadad de permtr reazar pruebas y dagnstcos.
123
Para a mayora de os casos, convene cambar este vaor por uno ms ba|o a fn de que e
sstema utce menos a memora de ntercambo y utce ms a memoria cac$e. sta es una
case de memora RAM esttca de acceso aeatoro (?'A; o ?tatc 'andom Access ;emory). Se
sta entre a ,nidad Central de =rocesamiento (C=,) y a memora RAM y se presenta de
forma tempora y automtca para e usuaro proporconado acceso rpdo a os datos de uso ms
frecuente.
Un vaor apropado y que funconar para a mayora de os sstemas en produccn es +I. En e
sguente e|empo se apca e vaor +I para e archvo >proc>sys>vm>sRappiness.
echo 1% M /proc/sys/vm/sappiness
Para o anteror, tambn se puede e|ecutar e mandato sysctl de a sguente forma:
sysctl ! vm#sappiness+1%
Lo anteror devueve una sada smar a a sguente, confrmando que se ha apcado e cambo:
vm#sappiness + 1%
Este cambo en as varabes de sstema de forma apca nmedata hasta e sguente renco de
sstema. Para hacer que e cambo sea permanente, se edta e archvo >etc>sysctl.conf.
vim /etc/sysctl#con"
Y se aade a sguente nea:
vm#sappiness + 1%
124
+I. =rocedimientos de emergencia
+I.+. &ntroduccin.
En ocasones suee ser necesaro reazar tareas de mantenmento y de reparacn en e sstema
de archvos. Estas stuacones requeren que e admnstrador conozca a menos as herramentas
correspondentes.
+I.*. Disco de rescate
E dsco de nstaacn de CentOS y Red Hat Enterprse Lnux ncuye a opcn de ncar e
sstema en modo de rescate desde ste. Seeccone a entra correspondente o aada rescue a
os argumentos de nco.
Despus de ncar, confgurar e tecado y, de forma opcona, a conectvdad a travs de
dspostvos de red, se ngresar a un nterprete de mandatos (BASH) con un con|unto bsco de
herramentas que permtrn reazar tareas de mantenmento y reparacn.
Dgte o sguente a fn de mostrar en pantaa as partcones de sstema:
d" !h
Lo anteror deber mostrar ago parecdo a o sguente:
S#archivos 1amaVo ?sado &isp ?soW .ontado en
/dev/sda8 1:I 4#6I 9#8I @4W /
/dev/sda1 $6. 6#1. 64. 18W /boot
none :%$. % :%$. %W /dev/shm
/dev/hda: 4%I @:I 8#6I 94W /home
/dev/sdb@ 8#%I @6. 1#9I 8W /tmp
/dev/sdb1 6#4I 4#%I 8#8I 66W /usr/local
/dev/sdb: 6#4I 4#@I 1#6I $1W /usr/src
/dev/sdb8 8#%I :$%. 1#4I @%W /var
/dev/hda6 19I 1$I 996. 9:W /var/"tp
/dev/hda8 6#%I 8:$. :#4I :W /var/lib
/dev/hda1 6#9I $98. :#6I 18W /var/
+I.3. Jerificacin de la integridad del disco
125
La verfcacn de cuaquer partcn de dsco duro requere, necesaramente, desmontar antes
sta. Utzar e mandato fscO en una partcn montada, puede ocasonar a prdda o corrupcn
de datos. Una vez desmontada a partcn a verfcar, es posbe reazar una verfcacn y/o
reparacn utzando cuaquera de os sguentes e|empos de uso de mandato fscO.
Forzar a verfcacn de sstema de archvos, responder automtcamente con 2$i3 (opcn (y) a
a reparacn de cuaquer probema que requera ntervencn humana (opcn (y) y mostrando
una barra de progreso (opcn (C).
"sck !"y* /dev/sdXX
Forzar a verfcacn de sstema de archvos y responder automtcamente con 2$i3 (opcn (y)
a a reparacn de cuaquer probema que requera ntervencn humana (opcn (y).
"sck !"y /dev/sdXX
Lo msmo que e mandato anteror, pero adems con verfcacn de soo-ectura para buscar
boques daados (opcn (c), preservando a sta de boques daados exstente donde se
aadrn nuevos boques daados a sta (opcn (O).
"sck !"ykc /dev/sdXX
Lo msmo que e mandato anteror, pero con verfcacn de lectura(escritura no(destructiva
para buscar boques daados (opcn (cc), preservando a sta de boques daados exstente
donde se aadrn nuevos boques daados a sta (opcn (O). S se encuentra un boque
daado, este se aade a nodo de boques daados.
"sck !"ykcc /dev/sdXX
Forzar a verfcacn de sstema de archvos, reparar automtcamente cuaquer probema que
pueda ser resueto sin ntervencn humana (opcn (p) y mostrando una barra de progreso
(opcn (C).
"sck !"p* /dev/sdXX
Forzar a verfcacn de sstema de archvos y reparar automtcamente cuaquer probema que
pueda ser resueto sin ntervencn humana (opcn (p).
"sck !"p /dev/sdXX
Lo msmo que e mandato anteror, pero adems con verfcacn de soo-ectura para buscar
boques daados (opcn (c), preservando a sta de boques daados exstente donde se
aadrn nuevos boques daados a sta (opcn (O).
"sck !"pkc /dev/sdXX
Lo msmo que e mandato anteror, pero con verfcacn de lectura(escritura no(destructiva
para buscar boques daados (opcn (cc), preservando a sta de boques daados exstente
donde se aadrn nuevos boques daados a sta (opcn (O). S se encuentra un boque
daado, este se aade a nodo de boques daados.
126
"sck !"pkcc /dev/sdXX
Verfcar e sstema de archvos, reparando automtcamente cuaquer probema que pueda ser
resueto sn ntervencn humana y tratando de optmzar os drectoros de sstema de archvos
(opcn (D).
"sck !"p& /dev/sdXX
La optmzacn de drectoros se reaza vovendo a crear un ndce de stos s e sstema de
archvos ncuye soporte para ndces (como es e caso de Ext4) o ben re-ordenando y
comprmendo drectoros en os casos de drectoros pequeos o ben sstemas de archvos que
utcen drectoros neaes tradconaes.
Lo msmo que e mandato anteror, pero con verfcacn de ectura-escrtura no-destructva para
buscar boques daados (opcn (cc), preservando a sta de boques daados exstente donde
se aadrn nuevos boques daados a sta (opcn (O). S se encuentra un boque daado, este
se aade a inodo (nodo ndce) de boques daados.
"sck !"p&kcc /dev/sdXX
+I.4. 'espaldo y restauracin del sector de arran#ue mestro.
Los prmeros 512 bytes de dsco duro o undad de amacenamento utzado para e sstema
operatvo, corresponde a sector de arranque maestro, donde:
Los prmeros 446 bytes corresponden a gestor de arranque
Los sguentes 64 bytes corresponden a a taba de partcones. 16 bytes para cada
partcn prmara y/o extendda que exstan.
Los tmos 2 bytes corresponden a a frma de undad arrancabe. Tambn se es
conoce como os 2 bytes mgcos.
Para reazar un respado de sector de arranque maestro, se puede utzar e mandato dd de
sguente modo:
dd i"+/dev/sda o"+mbr#bin bs+:18 count+1
Para restaurar e sector de arranque maestro, se utza e mandato dd de sguente modo:
dd i"+mbr#bin o"+/dev/sda bs+:18 count+1
Para respadar excusvamente e gestor de arranque, se utza e mandato dd de sguente
modo:
dd i"+/dev/sda o"+gestor#bin bs+446 count+1
Para restaurar e gestor de arranque, se utza e mandato dd de sguente modo:
dd i"+gestor#bin o"+/dev/sda bs+446 count+1
127
Para respadar excusvamente a taba de partcones, se utza e mandato dd de sguente
modo:
dd i"+/dev/sda o"+tabla#bin s8%'+446 bs+1 count+64
Para restaurar excusvamente a taba de partcones, se utza e mandato dd de sguente
modo:
dd i"+tabla#bin o"+/dev/sda see8+446 bs+1 count+64
Para borrar excusvamente e gestor de arranque, utce e mandato dd de sguente modo:
dd i"+/dev/Cero o"+/dev/sda bs+446 count+1
Para borrar excusvamente a taba de partcones, ago que nade en su sano |uco hara sn
tener un respado a a mano, utce e mandado dd de sguente modo:
dd i"+/dev/Cero o"+/dev/sda see8+446 bs+1 count+64
Para borrar todo e sector de arranque competo, es decr e gestor de arranque, taba de
partcones y os dos bytes mgcos, utce e mandato dd de sguente modo
dd i"+tabla#bin o"+/dev/sda bs+:18 count+1
Tenga cudado a e|ecutar cuaquera de os mandatos anterores, pues s se equvoca se corre e
resgo de daar de manera rreversbe os datos de dsco duro o undad de amacenamento
utzada.
+I.5. Asignacin de formato de las particiones
Cuando a stuacn o amerte, ser posbe dar formato a una partcn en partcuar con formato
EXT3 de a sguente forma:
mk"s#ext@ /dev/sda1
Cuando a stuacn o amerte, ser posbe dar formato a una partcn en partcuar con formato
EXT4 de a sguente forma:
mk"s#ext4 /dev/sda1
Se encuentran tambn dsponbes as sguentes herramentas para asgnacn de formato:
mkfs.ext2
mkfs.vfat (fat32)
mkfs.msdos (fat16)
mkswap
128
S se necesta dar un formato de ba|o nve a fn de emnar toda a nformacn de dsco duro,
puede utzarse o sguente, consderando en e e|empo que se ntenta dar formato de ba|o nve
a dsco duro >dev>$da, para escrbr 0 (ceros) en cada sector de dsco duro.
dd i"+/dev/Cero o"+/dev/sda
S se requere, tambn es posbe dar formato de ba|o nve escrbendo nmeros aeatoros en
todos os sectores de dsco duro:
dd i"+/dev/urandom o"+/dev/sda
129
++. @estin de vol1menes lgicos.
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes (ncuyendo su
pubcacn, a travs de cuaquer medo, por entdades con fnes de ucro). c) S atera o transforma esta obra o genera una obra dervada, so
puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a
cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos
dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La nformacn contenda en
este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace
ma uso de stos.
++.+. &ntroduccin.
LVM es una mpementacn que consste en un admnstrador de vomenes gcos para e
nceo de Lnux. Fue orgnamente escrto en 1998 por Henz Maueshagen, quen se bas sobre
e admnstrador de vomenes de Vertas, e cua soa ser utzado en en sstemas HP-UX.
Bscamente, LVM2 permte hacer o sguente:
Cambo de tamao de grupos de vomenes.
Cambo de tamao de vomenes gcos.
Instantneas de ectura y escrtura (a partr de LVM2).
RAID0 de vomenes gcos.
LVM carece de soporte para mpementar RAID1 o RAID5, por o que se recomenda confgurar
este tpo de arregos RAID, traba|ando con vomenes gcos por encma de os arregos RAID.
LVM se compone de tres partes:
1. Vomenes fscos (pv, physca voume). Son partcones en e dsco duro, con a
bandera 8e. Se pueden dvdr en extensones fscas (pe o physca extents).
2. Vomenes gco (v o ogca voume). Se componen de vomenes fscos. Se
pueden dvdr en extensones gcas (e, ogca extents).
3. Grupos de vomenes (vg o voume group). Se componen de uno o ms vomenes
gcos utzados y vomenes fscos sn utzar. Son undades admnstratvas
donde se agrupan os recursos.
=rocedimientos.
++.+.+. Crear un volumen lgico a partir de un disco duro nuevo.
E|ecute e mandato parted para crear una nueva etqueta en e dsco duro nuevo.
parted /dev/sdb mklabel msdos
Utce nuevamente e mandato parted para crear una partcn prmara tpo ext4, que tendr
10240 GB (nco en 1, fn en 10240):
parted /dev/sdb mkpart primary ext4 1 1%46%
130
Cambe e tpo de partcn a LVM:
parted /dev/sdb set 1 lvm on
Para vsuazar a taba de partcones y verfcar que se ha creado una partcn prmara de
10240 MB, tpo LVM, e|ecute o sguente:
parted /dev/sdb print
Lo anteror debe devover una sada smar a a sguente:
.odel7 515 (;0X 35R&&)SH (scsi)
&isk /dev/sdb7 81#:I;
Sector siCe (logical/physical)7 :18;/:18;
=artition 1able7 msdos
-umero )nicio >in 1amaVo 1ypo Sistema de "icheros ;anderas
1 1%49k; 1%#:I; 1%#:I; primary lvm
Para presentar a nueva partcn ante e nceo de sstema, e|ecute e mandato partpro!e de
sguente modo:
partprobe /dev/sdb1
)ota.
S o anteror faa, e|ecute e mandato $daparm de sguente modo:
hdparm !C /dev/sdb
Para crear un voumen fsco, e|ecute e mandato pvcreate de sguente modo:
pvcreate /dev/sdb1
E|ecute e mandato pvscan para verfcar e procedmento anteror:
pvscan
Lo anteror deber devover una sada smar a a sguente:
=( /dev/sda8 (I (olIroup%% lvm8 D:@#6% Ii; / % "reeE
=( /dev/sda@ (I (olIroup%1 lvm8 D6#%% Ii; / % "reeE
9: ;-e*;s-b3 )*</ "=.75 G%B(
1otal7 @ D$1#:: Ii;E / in use7 8 D61#$9 Ii;E / in no (I7 1 D9#$6 Ii;E
Para crear e grupo de vomenes denomnado VoDatos, e|ecute e mandato vgcreate de
sguente modo:
vgcreate (ol&atos%% /dev/sdb1
E|ecute e mandato vgscan para verfcar e procedmento anteror:
131
vgscan
Reading all physical volumes# 1his may take a hile###
Fo>n- *o)><e gro>' ":o)D#$os66" >s%ng <e$#-#$# $y'e )*</
>ound volume group ,(olIroup%%, using metadata type lvm8
>ound volume group ,(olIroup%1, using metadata type lvm8
Para crear un voumen gco, denomnado Datos00, pertenecente a grupo de vomenes
denomnado VoDatos, asgnando e 100% de as extensones gcas bres, e|ecute e mandato
lvcreate de sguente modo:
lvcreate !l 1%%W>R'' (ol&atos%% !n &atos%%
E|ecute e mandato lvscan para verfcar e procedmento anteror:
lvscan
ACT?:E @;-e*;:o)D#$os66;D#$os66@ "=.75 G%B( %nher%$
5*1)(' X/dev/2og(ol%%/2og(ol%1X D:@#6% Ii;E inherit
5*1)(' X/dev/2og(ol%1/2og(ol%%X D6#%% Ii;E inherit
Para dar formato a nuevo voumen gco, e|ecute e mandato mkfs.ext4 de sguente modo:
mk"s#ext4 /dev/(ol&atos%%/&atos%%
E|ecute e mandato mOdir para crear e punto de monta|e /datos:
mkdir /datos
Para montar e voumen gco en e drectoro /datos, e|ecute o sguente:
mount /dev/(ol&atos%%/&atos%% /datos
E|ecute e mandato df para verfcar e procedmento anteror:
d"
132
S#"icheros ;loJues de 1H ?sado &ispon ?soW .ontado en
/dev/mapper/(olIroup%%!2og(ol%%
86@:144% 881%%6 861@%4@8 1W /
tmp"s @19%96 66 @19%%6 1W /dev/shm
/dev/sda1 196@@$ 84@$6 16@$81 1@W /boot
/
;-e*;<#''er;:o)D#$os66-D#$os66
36673/68 3!!56 =465656 /A ;-#$os
Para que e voumen gco se monte automtcamente a ncar e sstema, edte e archvo
/etc/fstab:
vim /etc/"stab
Aada e sguente contendo:
/dev/mapper/(ol&atos%%!&atos%% /datos ext4 de"aultsBnoatimeBnodiratime 1 8
Desmonte y monte de nuevo e voumen gco para verfcar que todo traba|e correctamente.
umount /datos
mount /datos
++.+.+.+. ;over contenidos desde un volumen fsico a otro en un nuevo disco
duro.
Asumendo que se ha reazado todo e procedmento anteror y que e contendo actua de
voumen gco es menor a tamao de nuevo voumen fsco aaddo a voumen gco, so se
requere utzar e mandato pvmove para mover e contendo de un voumen fsco a otro.
pvmove /dev/sda1 /dev/sdb1
Una vez termnado e movmento, asumendo que e tamao de voumen fsco en /dev/sdb1, es
gua o mayor a de voumen fsco en /dev/sda1, so resta emnar /dev/sda1 de voumen
gco.
vgreduce (olIroup%% /dev/sda1
++.+.*. Aadir un volumen fsico a un volumen lgico e2istenteH a partir
de espacio li!re sin particionar en un disco duro.
Se asume un escenaro donde:
Se utzar e msmo dsco duro de procedmento anteror y que corresponde a
dspostvo /dev/sdb
E grupo de LVM a cua se aadr e dsco es VoGroup00
Oue e voumen gco que se har crecer con un nuevo voumen fscos, ser
LogVo00.
Determne e espaco dsponbe de dsco duro, e|ecutando e mandato parted de sguente
modo:
133
parted /dev/sdb unit .; print "ree
Determne en qu MB comenza e espaco bre.
Para crear una nueva partcn de aproxmadamente 5120 MB, e|ecute e mandato parted de
sguente modo:
parted /dev/sdb mkpart primary ext4 1%461 1:6%%
)ota.
Es posbe que e sstema devueva una advertenca que ndca que se necesta rencar para que e
nceo de Lnux pueda eer a nueva taba de partcones:
5viso7 45R-)-I7 the kernel "ailed to re!read the partition table on /dev/sdb
(&ispositivo o recurso ocupado)# 5s a resultB it may not re"lect all o" your changes
until a"ter reboot#
Ignore a advertenca y contne traba|ando. De ser necesaro, rence e sstema ms adeante o ben
e|ecute e mandato partpro!e de sguente modo:
partprobe /dev/sdb8
S o anteror faa, e|ecute e mandato $daparm de sguente modo:
hdparm !C /dev/sdb
Cambe e tpo de partcn a LVM:
parted /dev/sdb set 8 lvm on
Para vsuazar a taba de partcones y verfcar que se ha creado una partcn prmara de 5120
MB, tpo LVM, e|ecute o sguente:
.odel7 515 (;0X 35R&&)SH (scsi)
&isk /dev/sdb7 81#:I;
Sector siCe (logical/physical)7 :18;/:18;
=artition 1able7 msdos
-umero )nicio >in 1amaVo 1ypo Sistema de "icheros ;anderas
1 1%49k; 1%#:I; 1%#:I; primary lvm
8 1%#:I; 1:#6I; :119.; primary lvm
Para crear un voumen fsco, e|ecute e mandato pvcreate de sguente modo:
pvcreate /dev/sdb8
E|ecute e mandato pvscan para verfcar e procedmento anteror:
134
pvscan
=( /dev/sda8 (I (olIroup%% lvm8 D:@#6% Ii; / % "reeE
=( /dev/sda@ (I (olIroup%1 lvm8 D6#%% Ii; / % "reeE
=( /dev/sdb8 lvm8 D4#$$ Ii;E
1otal7 4 D$6#@8 Ii;E / in use7 @ D$1#:: Ii;E / in no (I7 1 D4#$$ Ii;E
Para aadr este voumen fsco, que corresponde a a partcn /dev/sdb2, a grupo de vomenes
denomnado VoGroup00, e|ecute e mandato vgextend de sguente modo:
vgextend (olIroup%% /dev/sdb8
(olume group ,(olIroup%%, success"ully extended
Para asgnar e 100% nuevo espaco bre dsponbe, provsto por e nuevo voumen fsco
aaddo a grupo de vomenes denomnado VoGroup00, a voumen gco LogVo00, e|ecute e
mandato vextend de sguente modo:
lvextend !l U1%%W>R'' /dev/(olIroup%%/2og(ol%%
'xtending logical volume 2og(ol%% to @1#66 Ii;
2ogical volume 2og(ol%% success"ully resiCed
Para camba e tamao de sstema de archvos y que ste utza e nuevo espaco bre recn
asgnado a voumen gco, e|ecute e mandato resze2fs de sguente modo:
resiCe8"s /dev/(olIroup%%/2og(ol%%
resiCe8"s 1#41#18 (1$!.ay!8%1%)
>ilesystem at /dev/&atos/2og(ol%% is mounted on /homeY on!line resiCing reJuired
old desc/blocks + 8B ne/desc/blocks + 8
=er"orming an on!line resiCe o" /dev/&atos/2og(ol%% to 6@%%:44 (4k) blocks#
'l sistema de "icheros en /dev/(olIroup%%/2og(ol%% tiene ahora 6@%%:44 bloJues#
E|ecute df, con a opcn -h, para ver e nuevo tamao de de sstema de archvos ao|ado en
/dev/VoGroup00/LogVo00:
d" !h
135
S#"icheros SiCe ?sed 5vail ?seW .ontado en
/dev/mapper/(olIroup%%!2og(ol%%
@8I 816. @%I 1W /
/dev/sda1 194. 84. 16%. 1@W /boot
/dev/mapper/(ol&atos%%!&atos%%
9#$I 889. 6#9I @W /datos
++.+.3. Cuitar una unidad fsica a un volumen lgico.
Antes de proceder, es mportante contar con un respado de os datos amacenados en e
voumen gco a cua se e qutar a undad fsca. Verfque que e respado es confabe.
Este procedmento requere que e voumen gco est sn montar. S se trata de un voumen
gco cuyo sstema de archvos est en uso, como /, /usr o /var, e procedmento debe hacerse
desde un dsco vvo o ben utzando e dsco de nstaacn en modo de rescate.
Ince e sstema con e dsco de nstaacn en modo de rescate.
E|ecute e mandato df y desmonte todas as partcones que estn deba|o de drectoro
/mnt/sysmage.
E|ecute e mandato fscO, con a opcn -f, para verfcar a partcn a reducr.
"sck !" /dev/(olIroup%%/2og(ol%%
Para determnar e tamao a que debe reducrse e sstema de archvos, e|ecute e mandato
parted de sguente modo:
E|ecute e mandato resze2fs para reducr e tamao de sstema de archvos, a una cantdad
Desmonte a partcn
E|ecute e mandato pvdspay para determnar e tamao de as partcones /dev/sda2 y /dev/sdb2
y cuantas extensones fscas contenen cada una.
pvdisplay /dev/sda8 /dev/sdb8
136
!!! =hysical volume !!!
=( -ame /dev/sda8
(I -ame (olIroup%%
=( SiCe :@#6% Ii; / not usable 4#%% .i;
5llocatable yes (but "ull)
=' SiCe 4#%% .i;
1otal =' 1@$$8
>ree =' %
5llocated =' 1@$$8
=( ??)& QG*3g$!ub%R!kCi=!h*y6!(18S!tXRm!8JXont

!!! =hysical volume !!!
=( -ame /dev/sdb8
(I -ame (olIroup%%
=( SiCe 4#$$ Ii; / not usable 8#%% .i;
5llocatable yes (but "ull)
=' SiCe 4#%% .i;
1otal =' 188%
>ree =' %
5llocated =' 188%
=( ??)& lk6b.t!@vci!y1p!1e8!H=ot!kpQe!l16c5;
Prmero hay que reducr e tamao de sstema de archvos nvoucrado, de modo que e nuevo
tamao sea geramente menor a tamao de voumen fsco que se contnuar utzando en e
voumen gco, sempre y cuando e espaco utzado de sstema de archvos sea menor a
tamao de voumen fsco que se conservara. S se reduce e tamao de sstema de archvos, a
uno menor a de espaco utzado por e contendo actua, se perdern todos os datos.
Asumendo un escenaro como e de e|empo de arrba, donde e tamao de voumen fsco que
se conservar es de 53.80 GB, defna 52 GB.
resiCe8"s /dev/(olIroup%%/2og(ol%% :8I
ResiCing the "ilesystem on /dev/&atos/2og(ol%% to $%$$666 (4k) blocks#
'l sistema de "icheros en /dev/&atos/2og(ol%% tiene ahora $%$$666 bloJues#
Vueva a verfcar e voumen gco con e mandato fscO, de sguente modo:
"sck !" /dev/(olIroup%%/2og(ol%%
Asumendo un escenaro donde e voumen fsco que se emnar de voumen gco tene 1220
extensones, para restar de voumen gco estas extensones fscas, e|ecute e mandato vresze
de sguente modo:
lvresiCe !l !188% /dev/(olIroup%%/2og(ol%%
Lo anteror e mostrar una advertenca, a cua ndca que tene un ato resgo reducr e tamao
de voumen gco y que es posbe se perdan todos os datos. Es precsamente por sto que se
redu|o prmero e tamao de sstema de archvos.
137
45R-)-I7 Reducing active logical volume to 86#9% Ii;
13)S .5< &'S1R0< <0?R &515 ("ilesystem etc#)
&o you really ant to reduce 2og(ol%%Z Dy/nE7
S e tamao de sstema de archvos es menor a tamao que se asgnar despus de emnar
as extensones, correspondentes a voumen fsco que se emnar, puede responder con una y
sn temor a perder os datos contendos en e voumen gco.
45R-)-I7 Reducing active logical volume to 86#9% Ii;
13)S .5< &'S1R0< <0?R &515 ("ilesystem etc#)
&o you really ant to reduce 2og(ol%%Z Dy/nE7y
Reducing logical volume 2og(ol%% to 86#9% Ii;
2ogical volume 2og(ol%% success"ully resiCed
Para emnar e voumen fsco de grupo de vomenes denomnado VoGroup00, e|ecute o
sguente:
vgreduce (olIroup%% /dev/sdb8
Removed ,/dev/sdb8, "rom volume group ,&atos,
Como precaucn, se redu|o e tamao de sstema de archvos a una cantdad menor a a
dsponbe en e voumen fsco que se conserv. sto de|a espaco bre que probabemente se
quera utzar. Para cambar e tamao de sstema de archvos y que tome todo e espaco
dsponbe en e voumen gco, e|ecute e mandato resze2fs de sguente modo:
resiCe8"s /dev/(olIroup%%/2og(ol%%
resiCe8"s 1#41#18 (1$!.ay!8%1%)
>ilesystem at /dev/&atos/2og(ol%% is mounted on /homeY on!line resiCing reJuired
old desc/blocks + 8B ne/desc/blocks + 8
=er"orming an on!line resiCe o" /dev/&atos/2og(ol%% to $%:1864 (4k) blocks#
'l sistema de "icheros en /dev/&atos/2og(ol%% tiene ahora $%:1864 bloJues#
Vueva a verfcar a partcn, e|ecutando e mandato fscO de sguente modo.
"disk !" /dev/(olIroup%%/2og(ol%%
Monte a partcn en e drectoro que e corresponda y verfque que contene datos. A termnar
rence e sstema y retre e dsco de rescate.
++.*. Bi!liografa.
https://secure.wkmeda.org/wkpeda/es/wk/LVM
138
+*. 0ptimi9acin de sistemas de arc$ivos e2t3
y e2t4.
ma uso de stos.
+*.+. &ntroduccin.
Cuando se traba|a con servdores y estacones de traba|o, con nstaacones de ,!untu, Cent0?,
'ed Fat o 8edora y se busca optmzar e uso de dsco duro de sstemas de archvos en formato
Ext3 o Ext4, hay a|ustes que pueden me|orar e desempeo de manera sgnfcatva.
+*.+.+. Acerca de "2t3.
"2t3 (tird e4tended filesystem o tercer sstema de archvos extenddo) se dferenca de e2t* en
que traba|a con regstro por daro (journaling) y porque utza un rbo bnaro baanceado (rbo
AJ, creado por os matemtcos rusos Georg Adeson-Jesk y Yevgeny ands) y tambn por
ncorporar e mtodo 0rlov de asgnacn para boques de dsco (e msmo que se gestona a
travs de os mandatos lsattr y c$attr). Adems e2t3 permte ser montado y utzado, como s
fuera e2t* y actuazar desde e2t* haca e2t3 sn necesdad de formatear a partcn y, por
tanto, sn perder os datos amacenados en sta. Es e sstema de archvos predetermnado en
Cent0? 5 y 'ed Fat "nterprise inu2 5.
+*.+.*. Acerca de "2t4.
"2t4 (fourt e4tended filesystem o cuarto sstema de archvos extenddo) es un sstema de
archvos con regstro por daro, pubcado por Andrew Morton como una me|ora compatbe con
e formato Ext3 e 10 de octubre de 2006. E 25 de dcembre de 2008 se pubc a versn 2.6.28
de nceo de Lnux, a cua emn a etqueta e4perimental de cdgo de Ext4. Las me|oras
respecto de Ext3 ncuyen, entre otras cosas, e soporte de vomenes de hasta 1024 PB, soporte
aaddo de e4tents (con|unto de boques fscos contguos), menor uso de recursos de sstema,
me|oras sustancaes en a veocdad de ectura y escrtura y verfcacn ms rpda con fscO. Es
e sstema de archvos predetermnado en Cent0? 6 y 'ed Fat "nterprise inu2 6.
+*.+.3. Acerca del registro por diario P.ournalingQ.
E regstro por daro (journaling) es un mecansmo por e cua un sstema de archvos
mpementa transaccones. Consste en un regstro en e que se amacena a nformacn
necesara para restabecer os datos daados por una transaccn en caso de que sta fae,
como puede ocurrr durante una nterrupcn de energa.
+*.*. =rocedimientos
139
Para determnar que dspostvos corresponden a as partcones en e dsco duro, se utza e
mandato df. E|empo:
Droot[servidor \EA d"
S#archivos ;loJues de 1H ?sado &ispon ?soW .ontado en
/dev/hda8 1986@%84 1$8$986% 18%$:64 94W /
/dev/sda1 $$$49 819%: :16@% @%W /boot
/dev/sdb1 1$496664 1%61696% :966918 64W /home
/dev/hda: :41:6644 41864:44 1188@684 $9W /var/"tp
/dev/sda8 1:@:8@46 46$48@8 9696164 @4W /home/rpmbuild
tmp"s $$$$@8 % $$$$@8 %W /dev/shm
Una vez determnados que dspostvos corresponden a as dferentes partcones, pueden
apcarse varos mtodos de optmzacn.
+*.*.+. ,tili9ando el mandato e*fscO.
E mandato e*fscO se utza reguarmente para revsar y reparar, partcones con formato e2t*,
e2t3 y e2t4. Incuye a opcn (D que reaza a optmzacn de drectoros en e sstema de
archvos. La optmzacn de todos os drectoros de una partcn consste en vover a posconar
(reinde4ing) os drectoros, cuando e sstema de archvos ncuye soporte para ta, o vovendo a
acomodar y comprmendo drectoros. La opcn (D se debe utzar |unto con a opcn (f para
forzar a verfcacn de a partcn de dsco duro.
Para optmzar una partcn cuyo formato es e2t3 o e2t4, es ndspensabe que sta est
desmontada. Para poder desmontar una partcn es ndspensabe que e sstema funcone sn
procesos hacendo uso de contendos en dcha partcn. Puede utzarse e mandato lsof para
determnar sto y as defnr que es o que se debe detener momentneamente.
S e sstema funcona sn procesos hacendo uso de contendos en a partcn, se puede segur e
procedmento e|empfcado a contnuacn con e dspostvo >dev>sda3 que en este partcuar
e|empo corresponde a a partcn para >$ome:
umount /home
e8"sck !" !& /dev/sda@
La sada puede devover ago smar a o sguente:
Droot[m1%% S='*SEA e8"sck !& !" /dev/sda@
e8"sck 1#@9 (89!.ay!8%%6)
=ass 17 *hecking inodesB blocksB and siCes
=ass 87 *hecking directory structure
=ass @7 *hecking directory connectivity
9#ss A1 O'$%<%B%ng -%re&$or%es
=ass 47 *hecking re"erence counts
=ass :7 *hecking group summary in"ormation
/home7 LLLLL >)2' S<S1'. 45S .0&)>)'& LLLLL
/home7 1@/:844$@6 "iles ($#$W non!contiguous)B 8%6@19/:84@814 blocks
Una vez termnado e procedmento, se pueden vover a montar as partcones optmzadas.
140
En e caso de tratarse de partcones que sea mposbe desmontar por encontrarse en uso, puede
utzarse e dsco de nstaacn de CentOS, Fedora, Red Hat Enterprse Lnux, openSUSE y SuSE
Lnux Enterprse, en modo de rescate o ben un Dsco Vvo (%ive#&), desmontando as partcones
que se queran optmzar antes de proceder con e mandato e*fscO (f (D.
+*.*.*. 0pciones de montado.
Los sstemas de archvos ext3 y ext4 permten tres opcones que me|oran e desempeo de
sstema de archvos. Todas se especfcan en a coumna de opcones de os dspostvos en e
archvo >etc>fsta!.
dispositivo punto de montaQe "ormato o'&%ones a b
De a descrpcn anteror, a defne s a partcn se verfca con cada nco de sstema y !
defne a prordad de monta|e. E|empo de contendo de archvo >etc>fsta!:
A
A /etc/"stab
A *reated by anaconda on .on 5ug 88 147@97@1 8%11
A
A 5ccessible "ilesystemsB by re"erenceB are maintained under X/dev/diskX
A See man pages "stab(:)B "ind"s(6)B mount(6) and/or blkid(6) "or more in"o
A
??)&+a@b@ebcd!e@48!4@"b!bc@@!ad"4d1e4%9"" / ext4 -e+#>)$s 1 1
??)&+@89@8"c6!%e4"!4a66!6%a%!86d6$@a1:"6$ /boot ext4 -e+#>)$s 1 8
??)&+66ea9cb8!9:9a!4d"1!6d@"!6e6::4db498: /home ext4 -e+#>)$s 1 8
??)&+8@6e:@8b!8:%c!4a6%!6$a@!@aecc9$1:$9: /tmp ext4 -e+#>)$s 1 8
??)&+%@d":"9$!:c66!466@!9$"1!:%9194%"a@%e sap sap -e+#>)$s % %
tmp"s /tmp tmp"s -e+#>)$s % %
tmp"s /dev/shm tmp"s -e+#>)$s % %
devpts /dev/pts devpts g%-=!C<o-e=5/6 % %
sys"s /sys sys"s -e+#>)$s % %
proc /proc proc -e+#>)$s % %
Edte e archvo /etc/fstab:
vi /etc/"stab
+*.*.*.+. 0pciones noatime y nodiratime Peliminar tiempos de accesoQ.
Es a forma ms rpda y fc, de ograr me|oras en e desempeo. Esta opcn mpde se
actuace os tempos de acceso de os inodos (nodos ndce), os cuaes reamente son poco
utzados por a mayora de os usuaros. Esto permte me|or desempeo en servdores de
notcas, servdores de archvos, servdores FTP y servdores FAA=, pues permte un ms rpdo
acceso haca e sstema de archvos. En computadoras porttes permte reducr, de manera
consderabe, a cantdad de procesos de ">? o "ntrada y ?ada (&>0 o &nput/0utput), de dsco
duro. Equvae a utzar c$attr KA, pero apcado a todos os datos de a partcn. La opcn
nodiratime, que emna os tempos de acceso de os drectoros, compementa a a opcn
noatime.
En e sguente e|empo, se confgurar a opcn noatime para e voumen gco
correspondente a >var>RRR en e archvo >etc>fsta!.
/dev/mapper/vg/%1!2og(ol%@ /var/ ext4 de"aultsCno#$%<eCno-%r#$%<e 1 8
141
+*.*.*.*. 0pcin commit Pconsignacin de cam!iosQ.
Esta opcn controa e tempo que se utzar entra cada operacn sncronzacn (sync) de
datos y metadatos en una partcn. E tiempo predeterminado es de 5 segundos. Puede
ncrementarse geramente para me|orar e desempeo, tomando en cuenta que s se especfca
demasado tempo y ocurre una nterrupcn de energa antes de hacer una operacn de
sncronzacn (sync), se perdern os datos ms recentes con os que se haya traba|ado. Esta
opcn slo se recomienda si se dispone de un sistema de respaldo de energa
confia!le.
En e sguente e|empo, se confgurar a opcn commit con e vaor equvaente a : segundos
para e voumen gco correspondente a >var>RRR en e archvo >etc>fsta!.
/dev/mapper/vg/%1!2og(ol%@ /var/ ext4 de"aultsBnoatimeBnodiratimeC&o<<%$=6 1 8
+*.*.*.3. 0pcin data PdatosQ.
)ota- Debdo a que se debe desmontar y vover a montar para apcar os cambos, se requere
que a partcn a optmzar est sin utili9arH por lo cual se recomienda reali9ar los
procedimiento desde un disco de rescate o !ien iniciando el sistema en nivel de
e.ecucin + Pmono(usuarioQ o !ien reali9ar las modificaciones y reiniciar el sistema.
Esta opcn permte tres posbes vaores:
ordered: Es e vaor predetermnado. Escrbe os datos asocados a os metadatos
prmero en e sstema de archvos antes de hacero en e regstro por daro. S a
prordad es garantzar a ntegrdad de datos o ben se carece de un sstema de
respado de energa confabe, es a opcn que debe utzarse.
.ournal: Es o opuesto a ordered. Obga a escrbr prmero os datos en e regstro
por daro y uego en e sstema de archvos, por o cua utza un regstro por daro
ms grande y e cua, por o tanto, demora ms tempo en recuperarse en caso de
una faa de sstema o nterrupcn de energa. ste es, evdentemente, e mtodo
ms ento en a mayora de os casos, savo que se reacen operacones de ectura y
escrtura, a msmo tempo, como ocurre con as bases de datos.
Rrite!acO: Hace que e sstema de archvos se comporte de manera smar a E8?.
Sn preservar e ordenamento a escrbr en e dsco, de modo que as
consignaciones de cam!ios (commits) en e regstro por daro puede ocurrr antes
de a escrtura en e sstema de archvos. Este mtodo es el m<s r<pido porque so
os metadatos se amacenan en e regstro por daro, pero puede ocasonar que se
muestren datos ve|os despus de una faa de sstema o nterrupcn de energa.
So se recomenda s se dspone de un sstema de respado de energa confabe o
ben s en a partcn confgurada con este formato de regstro por daro $ay
cam!ios poco frecuentes en los datos (como e caso de >!oot, >, >usr, >opt,
>usr>local, y, en agunos, escenaros para >var>RRR) o ben partcones para
temporaes o caches (como >tmp, >var>tmp y >var>cac$e. Poco recomendado para
partcones donde hay cambos frecuentes en os datos amacenados, como ocurre
con >$ome o >var, >var>li! o >var>spool.
Edte e archvo >etc>fsta!:
vi /etc/"stab
142
En e sguente e|empo se confgurar en e archvo >etc>fsta! e voumen gco
correspondente a >var>RRR con a opcn data con e vaor Rrite!acO y e voumen gco
correspondente a >var>li! con a opcn data y e vaor .ournal.
/dev/mapper/vg/%1!2og(ol%@ /var/ ext4 de"aultsB-#$#=0r%$eb#&8 1 8
/dev/mapper/vg/%1!2og(ol%4 /var/lib ext4 de"aultsB-#$#=Do>rn#) 1 8
S se utza Cent0? 6, cuaquer versn recente de 8edoraG o 'ed FatG "nterprise inu2
6, e formato de regstro por daro se actuali9a autom<ticamente a rencar e sstema o ben
tras desmontar y vover a montar e sstema de archvos que se haya modfcado. Para as
versones anterores de estos sstemas operatvos, antes de desmontar y vover a montar o ben
rencar e sstema, es necesaro convertr os regstros por daro a su nuevo formato utzando
e mandato tune*fs. En e sguente e|empo se camba e formato de regstro por daro
Rrite!acO a voumen gco >dev>mapper>vgUI+(ogJolI que correspondera a drectoro
>var>RRR de e|empo anteror:
tune8"s !o Qournal/data/riteback /dev/mapper/vg/%1!2og(ol%@
En e caso donde se desea cambar e formato de regstro por daro a .ournal, consderando e
e|empo descrto arrba, donde e voumen gco >dev>mapper>vgUI+(ogJolI4 corresponde a
drectoro >var>li!, se e|ecutara ago smar a o sguente:
tune8"s !o Qournal/data /dev/mapper/vg/%1!2og(ol%4
Para apcar os cambos, sn correr e resgo de rencar con errores de sntaxs en e archvo
>etc>fsta! que mpedran montar as partcones confguradas, asumendo que e sstema est
en e nve de e|ecucn 1 (mono-usuaro), se puede utzar e mandato umount para desmontar
a partcn a modfcar y posterormente e mandato mount para vover a montara. E|empos:
umount /var/
umount /var/lib
mount /var/
mount /var/lib
Utzar e mandato mount con a opcn (o remount sempre devover un error de opcn
ncorrecta. Esta es a razn por a cua se desmontan y montan as partcones, para cambar e
tpo de regstro por daro de as partcones.
S o anteror devueve e smboo de sstema sn errores, sgnfca que as opcones se aplicaron
correctamente y que e sstema puede ser rencado con toda segurdad en e momento que se
consdere apropado.
Para revertr e cambo y vover a utzar e formato ordered, se edta nuevamente e archvo
>etc>fsta!:
vi /etc/"stab
Y se emna a opcn data y su vaor correspondente de archvo >etc>fsta!:
/dev/mapper/vg/%1!2og(ol%@ /var/ ext4 de"aults 1 8
/dev/mapper/vg/%1!2og(ol%4 /var/lib ext4 de"aults 1 8
143
Y se e|ecuta e mandato tune*fs con a opcn (o y e vaor .ournalUdataUordered y e voumen
gco o partcn como argumento. En e sguente e|empo se regresa a formato ordered a os
vomenes gcos de os e|empos anterores:
tune8"s !o Do>rn#)_-#$#_or-ere- /dev/mapper/vg/%1!2og(ol%@
tune8"s !o Do>rn#)_-#$#_or-ere- /dev/mapper/vg/%1!2og(ol%4
Para apcar os cambos, sn correr e resgo de rencar con errores de sntaxs en e archvo
>etc>fsta! que mpedran montar as partcones confguradas, asumendo que e sstema est
en e nve de e|ecucn 1 (mono-usuaro), se puede utzar e mandato umount para desmontar
a partcn a modfcar y posterormente e mandato mount para vover a desmontaras.
E|empos:
umount /var/
umount /var/lib
mount /var/
mount /var/lib
+*.*.3. Convirtiendo particiones de "2t3 a "2t4.
En Cent0? 6, versones recentes de 8edoraG y 'ed Fat "nterprise inu2 6 e formato
predetermnado en as partcones es Ext4, por o cua es nnecesaro convertr de Ext3 a Ext4.
Ext4 ha demostrado ser un sstema de archvos con mucho me|or desempeo que Ext3. S so se
necesta hacer pruebas, es posbe montar una partcn Ext3 como s fuese Ext4, modfcando e
archvo >etc>fsta!, aunque se carecer de muchas de as me|oras de Ext4.
Instaando os paquetes correspondentes, CentOS 5.5 y versones posterores, ncuye e soporte
necesaro para convertr a formato Ext4 as partcones Ext3, preservando os datos orgnaes en
e sstema de archvos, con a nca restrccn de que |ams se deber convertr a Ext4 as
partcones que correspondan >!oot y >, debdo a que en CentOS 5 y Red Hat Enterprse Lnux 5
a versn de Grub, e gestor de arranque, carece de soporte para ncar desde partcones Ext4.
"s muy importante reali9ar un respaldo de informacin relevante antes de procederH
por si acaso algo saliese mal.. S se utza Cent0? 5 o 'ed Fat "nterprise inu2 5, |ams
se deben convertr a Ext4 as partcones que correspondan a >!oot y >.
En Cent0? 5 o 'ed Fat "nterprise inu2 5, para poder utzar e formato Ext4 en cuaquer
otra partcn, se requere que e sstema tenga nstaado e paquete e4fsprogs:
yum !y install e4"sprogs
Este paquete ncuye as herramentas necesaras para gestonar partcones Ext4, como son
e4fscO, e4la!el, mOe4fs, mOfs.e2t4 y dumpe4fs, entre otras herramentas.
A partr de este punto y con e ob|etvo de reazar pruebas, so ser necesaro edtar e archvo
>etc>fsta! y modfcar a confguracn de cuaquer partcn (e2cepto las #ue correspondan
a >!oot y >) y cambar e2t3 por e2t4. Hasta aqu, es posbe revertr e cambo vovendo a edtar
e archvo >etc>fsta! y vovendo a defnr e2t3 como formato de a partcn modfcada.
144
Para convertr una partcn por competo a Ext4, lo cual $ara #ue de modo irreversi!le
.am<s se pueda volver a montar como "2t3, debe desmontarse prmero a partcn a
convertr y posterormente utzar e mandato tune4fs con as opcones (0
e2tentsHuninitU!gHdirUinde2. En e sguente e|empo se apca e mandato tune4fs a a
partcn >dev>sda7, que correspondera a >tmp, para convertra a Ext4.
umount /tmp
tune4"s !0 extentsBuninit/bgBdir/index /dev/sda$
Utce e mandato fscO.e2t4 para verfcar e sstema de archvos de a partcn y as competar
os cambos necesaro. E mandato fscO.e2t4 debe utzarse con as opcones (fyD (forzar
verfcacn, contestar s a todas as modfcacones necesaras y optmzar drectoros).
"sck#ext4 !"y& /dev/sda$
S a partcn est en uso, como sera e caso de as correspondentes a >usr y/o >var, ser
necesaro hacer o anteror desde un dsco vvo o ben un dsco de rescate. E modo de rescate
de dsco de nstaacn de CentOS, versn 5.5 en adeante, ncuye tambn soporte bsco para
Ext4, aunque carece de soporte para convertr partcones de Ext3 a Ext4 a travs de mandato
tune*fs y carece de mandato tune4fs. Por tanto, e ntrprete de mandatos de modo de rescate
de dsco de nstaacn de CentOS 5.5 so permtr verfcar y reparar, partcones Ext4 a travs
de mandato fscO.e2t4.
En e archvo >etc>fsta! se reempaza AB"V>tmp por e nombre rea de dspostvo y e2t3 por
e2t4.
25;'2+/ / ext@ de"aults 1 1
25;'2+/boot /boot ext@ de"aults 1 8
;-e*;s-#7 ;$<' eE$4 -e+#>)$s 3 /
25;'2+S45=!hda@ sap sap de"aults % %
tmp"s /dev/shm tmp"s de"aults % %
devpts /dev/pts devpts gid+:Bmode+68% % %
sys"s /sys sys"s de"aults % %
proc /proc proc de"aults % %
Ext4 utza ,,&D (5niversally 5nique 0dentifier o Identfcador Unversamente nco) en ugar de
etquetas. E ,,&D se puede determnar utzando e mandato !lOid de sguente modo:
blkid /dev/sda$
Lo cua devovera ago smar a o sguente:
/dev/sda$7 25;'2+,/tmp, ??)&+,8@6e:@8b!8:%c!4a6%!6$a@!@aecc9$1:$9:, 1<='+,ext4,
Con esta nformacn, e archvo >etc>fsta! quedara de sguente modo:
25;'2+/ / ext4 de"aults 1 1
25;'2+/bot /boot ext4 de"aults 1 8
25;'2+/home /home ext4 de"aults 1 8
UU?D=/8e!/b-/!6&-4#86-87#-#e&&=73!7=! ;$<' eE$4 -e+#>)$s 3 /
25;'2+S45=!sda@ sap sap de"aults % %
145
Monte de nuevo a partcn.
mount /tmp
Ext3 utza una cartografa de mapas de bts. Ext4 se caracterza por e uso de e4tents. Para
competar e procedmento, hay que mgrar os archvos y drectoros de a partcn para que
utcen e4tents. Los archvos se pueden r mgrando con as subsecuentes escrturas en dsco,
pero mucho de contendo esttco, como bnaros y bbotecas compartdas, pueden pasar
meses antes de poder ser convertdos.
Una forma de convertr todo de una vez, es utzar e mandato c$attr para aadr e atrbuto de
e4tents a todos os archvos y drectoros de una partcn en partcuar.
"ind /tmp !xdev !type " !print% N xargs !% chattr Ue
"ind /tmp !xdev !type d !print% N xargs !% chattr Ue
Desmonte de nuevo a partcn.
umount /tmp
Con a fnadad de prevenr cuaquer probema, vueva a verfcar a partcn.
"sck#ext4 !"y& /dev/sda$
Para fnazar e procedmento, monte de nuevo a partcn.
mount /tmp
+*.*.4. "liminando el registro por diario P"ournalQ de "2t4.
+*.*.4.+. Advertencias.
Este procedmento apca excusvamente a as partcones con formato Ext4. "l formato "2t3
carece de soporte para funcionar sin registro por diario.
Emnar e regstro por daro mpca perder a tecnooga o que garantza a ntegrdad de os
datos de una partcn en caso de una nterrupcn de energa o una faa genera de sstema.
So se recomenda emnar e regstro por daro en os casos donde se dspone de un buen
respado de energa (equpos porttes y utra-porttes, por e|empo), un sstema operatvo
estabe, y/o se tenen partcones asgnadas a drectoros donde a nformacn es poco reevante
(como /tmp, /var/tmp o /var/cache). Este procedmento est totamente contrandcado en
servdores o ben donde se requera una garanta absouta de ntegrdad de datos.
Hay que consderar adems que a me|ora obtenda puede ser apenas perceptbe, y, muy
probabemente, so amerte emnar e regstro por daro en partcones en undades de estado
sdo (SSD).
"s importante tam!in reali9ar un respaldo de informacin relevante antes de
procederH por si acaso algo saliese mal..
146
+*.*.4.*. =rocedimientos.
Asumendo que se dspone de una partcn >dev>sda7, que en e e|empo corresponde a >tmp,
que fue prevamente convertda a Ext4, utzando e mtodo descrto en este msmo documento
o ben que ya tene formato Ext4, se debe desmontar a partcn:
umount /tmp
Para emnar e regstro por daro de a partcn >dev>sda7 en Cent0? 5 o 'ed Fat
"nterprise inu2 5, se requere e|ecutar e mandato tune4fs, de a sguente forma:
tune4"s !0 ]has/Qournal /dev/sda$
Para emnar e regstro por daro de a partcn >dev>sda7 en Cent0? 6 o 'ed Fat
"nterprise inu2 6, se requere e|ecutar e mandato tune*fs, de a sguente forma:
tune8"s !0 ]has/Qournal /dev/sda$
E smboo \ (acento crcunfe|o) sgnfca que se emna una opcn. En este caso a opcn
emnada fue $asU.ournal, que es as responsabe de regstro por daro.
Sn mportar a versn de sstema operatvo o anteror requere utzar en seguda e mandato
fscO, con as opcones (pDf (reparar automtcamente o que sea necesaro y que prescnda de
nteraccn humana, optmzar re-ordenando drectoros y forzar verfcacn) a fn de reali9ar
correcciones importantes e indispensa!les en e sstema de archvos.
"sck#ext4 !p&" /dev/sda$
Emnar e regstro por daro de una partcn ext4 hace que rremedabemente sea mposbe
eer e ,,&D de a partcn, por o cua nvarabemente hay que edtar e archvo >etc>fsta! y
estabecer e nombre rea de dspostvo en ugar de ,,&D:
25;'2+/ / ext@ de"aults 1 1
25;'2+/boot /boot ext@ de"aults 1 8
;-e*;s-#7 ;$<' eE$4 -e+#>)$s 3 /
25;'2+S45=!hda@ sap sap de"aults % %
E procedmento concuye una vez modfcado e archvo >etc>fsta!. Vueva a montar a partcn
para verfcar que todo funcone correctamente.
mount /tmp
La me|ora ser apenas perceptbe, pero brndar e mxmo rendmento posbe para e sstema
de archvos Ext4, superando ncuso e desempeo en cuanto a veocdad de Ext2.
En un equpo con una partcn >tmp con regstro por daro y a msma partcn >tmp, sn
regstro por daro, a escritura de 1 GB de nformacn demor o sguente:
147
/tmp con regstro por daro
real %m9#$96s
user %m%#444s
sys %m4#441s
/tmp sin regstro por daro
real %m6#9$6s
user %m%#46$s
sys %m@#611s
Como pude verse, a dferenca es muy poca, pero sgnfcatva.
En e dado caso que se quera vover a utzar e regstro por daro, so basta con vover a ncar
con e dsco vvo, abrr una termna y e|ecutar o sguente.
su !l
umount /home
tune8"s !0 has/Qournal /dev/sda$
"sck !p&" /dev/sda$
mount /home
+*.3. Bi!liografa.
http://www.deban-admnstraton.org/artces/643
148
+3. Cifrado de particiones con ,N?.
+3.+. &ntroduccin.
,N? (nux ,nfed Ney ?etup-on-dsk-format) es una mpementacn muy senca de utzar
para a gestn de partcones y undades de amacenamento cfradas en GNU/Lnux. Se
recomenda su uso en dspostvos mves, computadoras porttes y dspostvos de
amacenamento cuya nformacn se desee proteger en caso de extravo o robo.
Las partcones o undades de amacenamento externo cfradas con ,N?, pueden ser utzadas
desde Wndows utzando 8ree0A8".
Este documento descrbe os procedmentos para cfrar una partcn de dsco duro, asgnada a
punto de monta|e >datos. Ca!e sealar #ue el procedimiento $ar< #ue todos los datos de
esta particin se pierdan. S a partcn contene datos de agn tpo, se debe respadar todo
antes de proceder y verfcar que e respado est competo e ntegro, para uego restaurar estos
datos despus de termnar e procedmento.
+3.*. "#uipamiento lgico necesario.
+3.*.+. "n Cent0?H 8edora y 'ed Fat "nterprise inu2.
Por o genera e paquete cryptsetup(luOs vene nstaado de manera predetermnada. S acaso
fuese necesaro, nstaar e paquete correspondente con e mandato yum:
yum !y install cryptsetup!luks
+3.*.*. "n open?,?" y ?,?" inu2 "nterprise.
Por o genera e paquete cryptsetup vene nstaado de manera predetermnada. S a caso fuese
necesaro, nstaar e paquete correspondente con e mandato yast:
yast !i cryptsetup
+3.3. =rocedimientos.
A fn de evtar contratempos, convene reazar todos os procedmentos desde e nve de
e|ecucn 1 (mono usuaro). Como root e|ecute:
149
init 1
Antes de proceder, es muy mportante cercorarse de qu dspostvo se va a utzar para e
procedmento. De ser necesaro y s acaso estuvese montada, utce e mandato df para
determnar que dspostvo corresponde a a partcn que se desea cfrar.
d" !h
Respade todos os datos de a partcn que neceste cfrar. Cope o mueva, os datos haca otro
dspostvo de amacenamento. "l procedimiento eliminar<H de manera inevita!leH todo el
contenido actual de dic$a particin.
mkdir !p /var/respaldo/datos/
tar cp" /var/respaldo/datos#tar /datos/
Antes de contnuar, ser una buena dea que verfque y compruebe que e respado es confabe.
+3.3.+. Cifrado de una particin e2istente en Cent0?H 8edoraG y 'ed
FatG "nterprise inu2.
Savo que se reace e procedmento desde a nstaacn de sstema operatvo -donde so se
requere habtar a casa de Cfrar partcn- estas dstrbucones carecen de una herramenta
para hacer e procedmento fc. Es necesaro hacer uso de ntrprete de mandatos.
Una vez hecho e respado y que haya verfcado que e respado es confabe, desmonte a
partcn que se pretende cfrar:
umount /datos
E sguente paso es opcional, pero se recomenda evaro a cabo, pues me|ora e cfrado a
enar prevamente a partcn con datos aeatoros. Debe tomarse en consderacn que
&mdahs;dependendo de tamao de a partcn- sto puede demorar varas horas o ncuso
das.
dd i"+/dev/urandom o"+/dev/sdaX bs+4%96
La partcn a utzar se debe preparar con e mandato cryptsetup, con as opcones ((ver!ose
(para obtener una sada ms descrptva en caso de probemas), ((verify(passp$ase (para
asgnar una frase de acceso o ben una contrasea), luOs8ormat para dar formato en LUKS y e
nombre de dspostvo.
cryptsetup !!verbose !!veri"y!passphrase luks>ormat /dev/sdaX
Lo anteror requerr responder expctamente con Z"?, en mayscuas, que se desea proceder y
que se est conscente que se perdern todos os datos actuaes de a partcn. A contnuacn,
se pusa a teca ")A"' y se ngresa a nueva frase o ben a nueva contrasea, que se pretenda
asgnar.
150
Una vez reazado o anteror, para poder hacer uso de a nueva partcn cfrada, se utza e
mandato cryptsetup con a opcn luOs0pen, ndcando e dspostvo que corresponde a a
partcn que se acaba de cfrar y e nombre que se quera asgnar a sta en e panfcador de
dspostvos (device mapper).
cryptsetup luks0pen /dev/sdaX datos
Lo anteror crea un nuevo dspostvo denomnado >dev>mapper>datos.
Para que e sstema operatvo pueda utzaro, este nuevo dspostvo requere ser formateado.
En e sguente e|empo se da formato en ext4 a >dev>mapper>datos:
mk"s#ext4 /dev/mapper/datos
A fn de que e sstema socte automtcamente a frase de acceso o ben a contrasea, a
vover ncar e sstema, se crea o edta e archvo >etc>cryptta!:
vim /etc/crypttab
Dentro de ste, se defne, en e prmer campo, e nombre que se quera utzar para e
panfcador de dspostvos (device mapper), en e segundo campo se defne e nombre de
dspostvo que se cfr y en e tercer campo se defne none. De manera opcona, aunque poco
recomendado, se puede especfcar a frase de acceso o ben a contrasea o ben un archvo que
contenga sta, en ugar de none para que e sstema nce sn necesdad de que e admnstrador
ngrese a frase de acceso o ben a contrasea.
datos /dev/sdaX none
A fn de que e sstema operatvo monte automtcamente e dspostvo, se edta e archvo
>etc>fsta!:
vim /etc/"stab
Y se aade o sguente o ben se reempaza e nombre de dspostvo anteror
(UUID=xxxxxxxxxxxx, /dev/sdaX o LABEL=/datos, dependendo de a versn de sstema
operatvo), como >dev>mapper>datos:
/dev/mapper/datos /datos ext4 de"aultsBnoatimeBnodiratime 1 8
Fnamente, se monta a partcn cfrada:
mount /datos
Restaure os datos que respad prevamente.
tar xv" /var/respaldo/datos#tar !* /
Restaure os atrbutos y contextos de SELnux de drectoro nvoucrado.
151
restorecon !R /datos
Desmonte a partcn:
umount /datos
Desconecte e dspostvo utzando e mandato cryptsetup, con a opcn luOsClose y e
nombre de dspostvo, de acuerdo a como o vea e panfcador de dspostvos:
cryptsetup luks*lose /dev/mapper/datos
Regenere a magen de dsco RAM que utza e nceo de sstema para cargar os controadores
necesaros, e|ecutando e mandato dracut con a opcn (f para forzar a operacn y e archvo
de archvo ntramfs correspondente como argumento, a versn de nceo utzado, a opcn
(a para aadr mduos de dracut y os nombres de os mduos dm y crypt como argumentos. E
sguente e|empo detecta automtcamente e nombre de archvo ntramfs y a versn de
nceo que corresponda:
dracut !" /boot/initram"s!ûname !r^#img ûname !r^ !a dm crypt
Rence e sstema. En adeante se soctar a frase de acceso o ben a contrasea, defnda
durante e procedmento, para poder ncar e sstema y as acceder a a partcn cfrada.
+3.3.*. Cifrado de una particin e2istente en open?,?"G y ?,?"G inu2
"nterprise.
Reace un respado de toda a nformacn contenda en a partcn que se quera cfrar.
Recuerde que e procedmento requere destrur toda a nformacn exstente en dcha partcn.
E|ecute e mandato yast con disO como argumento para utzar e mduo de YaST para gestn
de dscos y partcones.
152
E sstema e advertr que so se debe utzar este mduo de Za?A s se entende
perfectamente e concepto de partcones. Responda #e$ o ?i. So sga as sguentes
nstruccones. E e|empo descrto a contnuacn consdera que se tene una partcn >dev>sd!+
y que actuamente se utza con e drectoro /datos como punto de monta|e.
Use a teca AAB hasta seecconar a partcn que requera cfrar.
153
Puse a teca ")A"'. Aparecer un resumen nformatvo de a partcn seecconada. Seeccone
%dit o "ditar.
Aparecern as opcones que se pueden apcar a a partcn.
154
Seeccone as casas de as opcones For&at partition (o ben Formatear partcn) y %ncr'pt
partition (o ben Cfrar partcn).
Use a teca AAB hasta seecconar !e(t o Sguente y puse a teca ")A"'.
155
Use a teca AAB y defna una buena contrasea, con confrmacn. Recuerde que s ovda o
extrava sta contrasea, a nformacn ser rrecuperabe. A termnar, use a teca AAB para
seecconar Fini$h o Fnazar y puse a teca ")A"'.
156
Regresar a a pantaa con e resumen de a partcn seecconada. Use a teca AAB para
seecconar !e(t o Sguente y puse a teca ")A"'.
Se mostrar una pantaa con e resumen de os procedmentos que reazar Za?A. Use a teca
AAB para seecconar Fini$h o Fnazar y puse a teca ")A"' o ben so puse a teca F10.
157
E sstema reazar todos os procedmentos y cambos necesaros en e sstema ndcando e
avance de stos con barras de progreso.
A termnar, Za?A fnazar y o devover a ntrprete de mandatos.
158
Aunque generamente YaST se hace cargo automtcamente, regenere a magen de dsco RAM
utzada por e nceo de sstema para cargar os controadores necesaros, a fn de aadr e
soporte necesaro para gestor de dspostvos y LUKS. Esto evtar agunos mensa|es de error a
rencar e sstema y garantzar que os controadores necesaros estarn dsponbes durante e
nco de sstema. E sguente e|empo asume que e dspostvo cfrado corresponde a
/dev/mapper/cr_sdb1.
mkinitrd !d /dev/mapper/cr/sdb1 !" ,dm luks,
Rence e sstema e|ecutando e mandato re!oot:
Cuando nce de nuevo e sstema, se har una pausa en a cua deber aparecer un dogo para
soctar a contrasea necesara para poder desboquear e dspostvo cfrado.
159
Tras ngresar a contrasea, e sstema deber contnuar e nco de manera norma.
Restaure os datos correspondentes a partr de respado que deb reazar prevamente.
+3.3.3. Cifrado de una unidad de almacenamiento e2terno ,?B.
E procedmento asume que ya se ha reazado un respado de os datos de a undad de
amacenamento externo USB, pues e procedmento mpca a destruccn de os datos
exstentes en sta.
Conecte e dspostvo USB y utce e mandato dmesg de sguente modo para determnar que
partcn que corresponda a dspostvo.
dmesg Ngrep sd
Lo anteror debe devover ago smar a o sguente.
D 1@66#9%8$64E sd 67%7%7%7 5ttached scsi generic sg8 type %
D 1@66#9%4999E sd 67%7%7%7 DsdbE 4188684 :18!byte logical blocks7 (8#11 I;/1#96 Ii;)
D 1@66#9%6:68E sd 67%7%7%7 DsdbE 4rite =rotect is o""
D 1@66#9%6:$8E sd 67%7%7%7 DsdbE .ode Sense7 %@ %% %% %%
D 1@66#9%$1$6E sd 67%7%7%7 DsdbE -o *aching mode page present
D 1@66#9%$16@E sd 67%7%7%7 DsdbE 5ssuming drive cache7 rite through
D 1@66#91%89:E sd 67%7%7%7 DsdbE -o *aching mode page present
D 1@66#91%@%@E sd 67%7%7%7 DsdbE 5ssuming drive cache7 rite through
D 1@69#1$46$6E sdb7 s-b3
D 1@69#1686$$E sd 67%7%7%7 DsdbE -o *aching mode page present
D 1@69#168666E sd 67%7%7%7 DsdbE 5ssuming drive cache7 rite through
D 1@69#168698E sd 67%7%7%7 DsdbE 5ttached S*S) removable disk
160
S e sstema monta automtcamente a undad de amacenamento externo, determne e punto
de monta|e y dspostvo asgnado con e mandato df.
d"
S e sstema monta automtcamente a undad de amacenamento externo y asumendo que e
sstema asgn e drectoro >media>;&(,?B como punto de monta|e, desmonte a undad:
umount /media/.)!?S;
Asumendo que a partcn de a undad de amacenamento externo corresponde a dspostvo
>dev>sd!+, utce e mandato cryptsetup, con as opcones ((ver!ose (para obtener una sada
ms descrptva en caso de probemas), ((verify(passp$ase (para asgnar una frase de acceso o
ben una contrasea), luOs8ormat para dar formato en LUKS y e nombre de dspostvo.
cryptsetup !!verbose !!veri"y!passphrase luks>ormat /dev/sdb1
Lo anteror requerr responder expctamente con Z"?, en mayscuas, que se desea proceder y
que se est conscente que se perdern todos os datos actuaes de a partcn. A contnuacn,
se pusa a teca ")A"' y se ngresa a nueva frase o ben a nueva contrasea, que se pretenda
asgnar.
Una vez reazado o anteror, para poder hacer uso de a nueva partcn cfrada en a undad de
amacenamento externo USB, se utza e mandato cryptsetup con a opcn luOs0pen,
ndcando e dspostvo que corresponde a a partcn que se acaba de cfrar y e nombre que se
quera asgnar a sta en e panfcador de dspostvos (device mapper).
cryptsetup luks0pen /dev/sdb1 .)!?S;
Lo anteror crea un nuevo dspostvo denomnado >dev>mapper>;&(,?B.
Para que e sstema operatvo pueda utzaro, este nuevo dspostvo requere un formato que
pueda ser utzado en cuaquer sstema operatvo. En e sguente e|empo se da formato en
FAT32 a >dev>mapper>;&(,?B:
mk"s#v"at /dev/mapper/.)!?S;
Monte a partcn de a undad de amacenamento externo en /meda/MI-USB:
mkdir /media/.)!?S;
mount /dev/mapper/.)!?S; /media/.)!?S;
Restaure o cope os datos que requera utzar en esta undad de amacenamento.
Desmonte a undad.
umount /media/.)!?S;
Desconecte e dspostvo cfrado:
161
cryptsetup luks*lose /dev/mapper/.)!?S;
Para utzar en o sucesvo a undad de amacenamento externo USB desde modo termna, sn
escrtoro actvo, se sgue e sguente procedmento:
mkdir /mnt/mi!usb
cryptsetup luks0pen /dev/sdb1 mi!usb
mount /dev/mapper/mi!usb /mnt/mi!usb
Para utzar a undad de amacenamento externo USB cfrada con LUKS desde e escrtoro de
GNOME o KDE, se nserta sta en cuaquer puerto USB, de|ando que e admnstrador de archvos
se encargue de gestonar o necesaro y mostrar e daogo para ngresar a cave o frase de
acceso necesara.
Para utzar a undad de amacenamento externo USB cfrada con LUKS desde e escrtoro
Wndows, so hay que nstaar 8ree0A8", nsertar a undad a cuaquer puerto USB,
permtendo que 8ree0A8" se encargue de gestonar o necesaro y mostrar e daogo para
ngresar a cave o frase de acceso necesara. Sn 8ree0A8", Wndows soo vera una undad de
amacenamento externo USB sn formato, mostrando un daogo para dar formato a sta.
162
+4. Configuracin y uso de sudo
+4.+. &ntroduccin.
+4.+.+. Fistoria.
Sudo fue ncamente concebdo en 1980 por Bob Coggesha y Cff Spencer de Departamento
de Cenca Computacona en ?,)Z (?tate ,nversty of )ew Zork o Unversdad Estata de
Nueva York), en Buffao.
En 1985 se pubc una versn me|orada acredtada a Ph Betche, Cff Spencer, Gretchen
Phps, |ohn LoVerso y Don Gworek en e grupo de notcas net.sources. Garth Snyder pubc
otra versn me|orada en e verano de 1986 y durante os sguentes cnco aos fue mantendo
con a coaboracn de muchas personas, ncuyendo Bob Coggesha, Bob Manchek y Trent Hen.
Dave Heb y |eff Neusma escrberon en 1991 una versn me|orada de formato para e archvo
>etc>sudoers, ba|o contrato con a frma consutora The Root Group, versn que posterormente
fue pubcada ba|o os trmnos de a Lcenca Pbca Genera de GNU (GNU/GPL).
Desde 1996 e proyecto es mantendo actvamente por Todd Mer, con a coaboracn de Chrs
|epeway y Aaron Spanger y actuamente se dstrbuye ba|o os trmnos de una cenca tpo BSD.
+4.+.*. Acerca de sudo.
?udo (?uperuser Do) es una herramenta de sstema que permte a os usuaros reazar a
e|ecucn de mandatos como super-usuaro u otro usuaro de acuerdo a como se especfque en
e archvo >etc>sudoers, donde se determna quen est autorzado. Los nmeros de dentdad de
usuaro y de grupo (UID y GID) reaes y efectvas se estabecen para guaar a aqueas de
usuaro ob|etvo como est especfcado en e archvo >etc>passRd.
Por segurdad, de modo predetermnado e mandato sudo requere que os usuaros reguares
autorzados se autentquen as msmos, es decr con su propa cave de acceso, nunca con la
contrasea de root. Tambn es obgatoro e acceso desde una termna (AAZ) para poder
e|ecutar e mandato sudo y s un usuaro sn autorzacn o e|ecuta, se regstrar a actvdad en
a btcora de sstema (a travs de syslogd) y se envar un mensa|e de correo eectrnco a
admnstrador de sstema (root).
E manua de nformacn de formato de archvo >etc>sudoers se puede consutar e|ecutando o
sguente:
man : sudoers
163
E manua de nformacn de mandato sudo se puede consutar e|ecutando o sguente:
man 6 sudo
E manua de nformacn de mandato visudo se puede consutar e|ecutando o sguente:
man 6 visudo
+4.*. "#uipamiento lgico necesario.
+4.*.+. &nstalacin en Cent0?H 8edora y 'ed FatG "nterprise inu2.
Sudo vene ncudo |unto con a nstaacn estndar de estos sstemas operatvos. De ser
necesaro, e|ecute o sguente para nstaar e paquete sudo:
yum !y install sudo
+4.*.*. &nstalacin en open?,?" y ?,?" inu2 "nterprise.
Sudo vene ncudo |unto con a nstaacn estndar de estos sstemas operatvos. De ser
necesaro, e|ecute o sguente para nstaar e paquete sudo:
yast !i sudo
Exste un mduo de sudo para YaST, pero tene un soporte muy mtado en cuanto a funcones.
Permte edtar usuaros, crear y admnstrar as stas de contro de acceso, pero carece de
soporte para funcones como NOEXEC en as regas de contro de acceso y negacones dentro de
as stas de contro de acceso.
164
Mduo sudo de YaST, en modo texto.
S decde utzar e mduo sudo de YaST, e|ecute o sguente:
yast !i yast8!sudo
+4.3. Arc$ivo >etc>sudoers
E archvo >etc>sudoers se edta con e mandato visudo, herramenta que a travs de v permte
reazar cambos y verfcar sntaxs y errores. S se trata de modfcar drectamente
>etc>sudoers, ste tene permsos de so ectura.
La sntaxs bsca de una sta sera:
XXXX/5lias -0.;R'2)S15 + elemento1B elemento8B elemento@
La sntaxs bsca de una rega sera:
DusuarioB WgrupoB -0.;R'2)S15E Dan"itriPnE + (id de usuario a usar) mandatos
Se pueden defnr Aases y regas. Los aases permten defnr stas de mandatos, stas de
usuaros, stas de anftrones o ben stas de dentdades de usuaros para e|ecutar mandatos.
+4.3.+. CmndUAlias.
Se utza para defnr stas de mandatos a utzar con sudo y/o excur su e|ecucn con sudo.
E|empo:
165
*mnd/5lias .5-&510S4 + /sbin/service httpd reloadB K
/usr/bin/vim /etc/httpd/con"#d/variables#con"B K
/usr/bin/vim /etc/php#ini
Lo anteror defne una sta de mandatos que podran utzarse para hacer que e servco $ttpd
vueva a eer su confguracn, modfcar os archvo >etc>$ttpd>conf.d>varia!les.conf y
>etc>p$p.ini.
"ulano 522 + .5-&510S4
Lo anteror defne que e usuaro fuano puede utzar os mandatos de a sta MANDATOS4 desde
cuaquer anftrn.
Tambn se pueden defnr mandatos prohbdos |unto con mandatos permtdos. Por e|empo:
*mnd/alias 5215*?'-15S + /usr/sbin/useraddB /usr/bin/passd LB K
T/usr/bin/passd root
"ulano 522 + (522) 5215*?'-15S
Lo anteror defne que fuano puede utzar e mandato useradd con cuaquer opcn y
argumentos y e mandato passwd con cuaquer argumento, pero tendr prohbdo utzar e
mandato passRd con root como argumento, es decr tendr prohbdo cambar a contrasea de
root.
En e sguente e|empo, e usuaro fuano podra utzar vrtuamente cuaquer mandato de
sstema, excepto os mandato passRd con root como argumento y os mandatos !as$H userdelH
usermod y su.
*mnd/alias 9ROF?B?DOS + T/bin/suB T/bin/bashB T/usr/sbin/usermodB K
T/usr/sbin/userdelB T/usr/bin/passd root
"ulano 522 + (522) 522B 9ROF?B?DOS
+4.3.*. ,serUAlias.
Se utza para defnr stas de usuaros y/o grupos que podrn utzar sudo y/o aqueos que
tendrn prohbdo utzaro. E|empo:
?ser/5lias 4';5&.)-S + "ulanoB menganoB Cutano
Lo anteror defne una sta denomnada ]"BAD;&)?, ntegrada por os usuaros fuano,
mengano y zutano.
4';5&.)-S 522 + /usr/bin/vim
La rega anteror defne que os usuaros que conforman a sta ]"BAD;&)? pueden utzar e
mandato vm desde cuaquer anftrn.
Tambn es posbe defnr grupos a os cuaes pertenecen os usuaros de sstema. E|empo:
166
?ser/5lias 5&.)-S + WheelB Tpepe
Lo anteror defne una sta denomnada AD;&)?, ntegrada por os usuaros que pertenezcan a
grupo de sstema denomnado R$eel, excuyendo e usuaro denomnado pepe.
5&.)-S 522 + /usr/bin/vim
La rega anteror defne que os usuaros que conforman a sta AD;&)?, es decr todos os
membros de grupo de sstena denomnado R$eel, excepto e usuaro denomnado pepe,
pueden utzar e mandato vm desde cuaquer anftrn.
+4.3.3. FostUAlias.
Se utza para defnr stas de anftrones desde os cuaes se tendr permtdo utzar sudo o
ben desde os cuaes se tendr prohbdo utzaro. E|empo:
3ost/5lias 4';30S1S + 198#166#$%#8:B K
198#166#$%#86B K
198#166#$%#8@
Lo anteror defne que a sta ]"BF0?A? est ntegrada por as 3 dreccones IP stadas
anterormente. S adems se aade a sguente rega:
4';5&.)-S 4';30S1S + 5&.)-311=&
Lo anteror defne que os usuaros de a sta ]"BAD;&)? pueden utzar os mandatos stados
en AD;&)FAA=D soamente s estn conectados desde as dreccones IP stadas en
]"BF0?A?.
+4.3.4. 'unasUAlias.
Se utza para defnr stas de dentdades permtas para utzar sudo o ben aqueas que
estarn prohbdo utzar. E|empo:
S por e|empo se qusera que os usuaros de a sta ]"BAD;&)? puderan adems utzar os
mandatos s, rm, chmod, cp, mv, mkdr, touch y vm como e usuaros |uan, pedro y hugo, se
requere defnr una sta para estos mandatos y otra para os aases de usuaros aternos y a
rega correspondente.
Runas/5lias 4';?S'RS1 + QuanB pedroB hugo
*mnd/5lias .5-&510S1 + /bin/lsB /bin/rmB /bin/chmodB K
/bin/cpB /bin/mvB /bin/mkdirB /bin/touchB K
/usr/bin/passd D5!CELB T/usr/bin/passd root
4';5&.)-S 4';30S1S + (4';?S'RS1) .5-&510S@
167
Lo anteror permte a os usuaros defndos en ]"BAD;&)? ( es decr fuano, mengano y
zutano), utzar os mandatos defndos en ;A)DAA0?+ (es decr podrn utzar os mandatos
s, rm, chmod, cp, mv, mkdr, touch, vm y passwd, pero para e este tmo estar prohbdo
cambar a contrasea de root), dentfcndose como os usuaros defndos en a sta
]"B,?"'?+ (|uan, pedro y hugo), so s e mandato sudo se e|ecuta desde os anftrones con
as dreccones IP stadas en ]"BF0?A? (192.168.70.25, 192.168.70.26, 192.168.70.23).
A momento de estabecer as regas, es posbe especfcar e permso de e|ecucn de certos
mandatos con uno o ms usuaros y e de otros mandatos con otros usuaros dstntos.
Runas/5lias 4';?S'RS1 + QuanB pedroB hugo
Runas/5lias 4';?S'RS8 + marioB betoB paco
*mnd/5lias .5-&510S1 + /bin/lsB /bin/rmB /bin/chmodB K
/bin/cpB /bin/mvB /bin/mkdirB /bin/touchB K
/usr/bin/passd D5!CELB T/usr/bin/passd root
*mnd/5lias .5-&510S8 + /usr/bin/vimB /bin/catB K
/usr/bin/less
4';5&.)-S 4';30S1S + (4';?S'RS1) .5-&510S1 (4';?S'RS8) .5-&510S1
Lo anteror estabece que os membros de a sta ]"BAD;&)? (fuano, mengano y zutano)
pueden e|ecutar desde o anftrones defndos en ]"BF0?A? os mandatos defndos en a sta
MANDATOS1, pero so adoptando as dentdades de |uan, pedro y hugo y os mandatos
defndos en a sta MANDATOS2, pero so pueden ser e|ecutados adoptando as dentdades de
maro, beto y paco.
Basado sobre e e|empo anteror, estara permtdo e|ecutar ago como o sguente:
sudo !u Quan mkdir /home/Quan/public/html/images
Pero estara prohbdo e|ecutar o sguente, porque so se permte usar e mandato /bn/cp con
as dentdades |uan, pedro y hugo:
sudo !u mario cp !r /home/mario/public/html/images8/L K
/home/mario/public/html/images8/
+4.4. Candados de seguridad.
Agunos mandatos, como e caso de os mandatos less, vi, vim y more, permten e|ecutar otros
mandatos en e ntrprete de mandatos (o que se conoce como $ell ,scape o escape a
ntrprete de mandatos). En estos casos se puede utzar )0"E"C para mpedr que agunos
mandatos permtan a e|ecucn con prvegos de otros mandatos. E|empo:
"ulano 522 + (522) 522 K
NOEXEC1 /bin/viB /usr/bin/lessB /usr/bin/vimB /bin/more
168
Lo anteror permtra a usuaro fuano poder edtar o vsuazar con prvegos cuaquer archvo
de sstema utzando e mandato vim y e mandato more, pero deshabta a posbdad de
poder e|ecutar otros mandatos con prvegos desde e escape a ntrprete de mandatos de vim.
E mandato sudo ncuye varos candados de segurdad (predetermnados) que mpden se
puedan reazar tareas pegrosas, como redrgr a sada estndar de un mandato (?AD0,A)
haca archvos fuera de drectoro de nco de usuaro utzado.
S se defne en e archvo >etc>sudoers que un usuaro puede utzar con prvegos e mandato
>usr>!in>vim, es decr ago como o sguente:
"ulano 522 + (522) /bin/echoB K
-0'X'*7 ;b%n;*%C ;>sr;b%n;*%<B /bin/moreB /usr/bin/less
E mandato sudo permtr que e usuaro reguar defndo pueda e|ecutar e mandato
>usr>!in>vim de os sguentes modos:
sudo /usr/bin/vim
sudo vim
Pero se mpedr e|ecutar e mandato vim de sguente modo:
cd /usr/bin
sudo #/vim
S, por e|empo se defne en e archvo >etc>sudoers que un usuaro puede utzar con prvegos
e mandato >!in>ec$o, es decr ago como o sguente:
"ulano 522 + (522) ;b%n;e&hoB K
-0'X'*7 /bin/viB /usr/bin/vimB /bin/moreB /usr/bin/less
E usuaro so podr utzar e mandato ec$o de os sguentes modos, asumendo que se trata
de usuaro fuano:
sudo /bin/echo ,3ola, M /home/"ulano/prueba#txt
sudo echo ,3ola, M /home/"ulano/prueba#txt
Sn embargo, e mandato sudo mpedr a os usuaros reguares redrgr a sada estndar haca
archvos fuera de sus propos drectoros de nco, como por e|empo a e|ecutar ago como o
sguente:
sudo echo ,3ola, M /etc/prueba#txt
Para poder reazar a operacn anteror, se tendra que e|ecutar:
sudo bash !c ,echo X3olaX M /etc/prueba#txt,
Para mpedr o anteror, habra que prohbr en e archvo >etc>sudoers e uso de mandato
/bn/bash, como se muestra en e sguente e|empo:
169
"ulano 522 + (522) 522B T/bin/suB G;b%n;b#sh K
T/usr/bin/sudoB T/usr/bin/visudoB K
-0'X'*7 /bin/viB /usr/bin/vimB /bin/moreB /usr/bin/less
E mandato sudo permtr reazar una tarea con prvegos sobre cuaquer archvo dentro de
cuaquer drectoro, an s e usuaro reguar carece de permsos de acceso para ngresar a dcho
drectoro, sempre y cuando especfque la ruta e2acta de dcho archvo. E|empo:
sudo chon named /var/named/dominio#Cone
Cuando e usuaro reguar carece de permsos de acceso a un drectoro o sub-drectoro en
partcuar, e mandato sudo sempre mpedr e|ecutar ago como o sguente:
sudo chon named /var/named/L#Cone
+4.5. o m<s recomendado.
S se va a permtr a e|ecucn de todos os mandatos de sstema utzando e mandato sudo,
como mnmo prohba e uso de >!in>!as$, >!in>su, >usr>!in>sudo (para prevenr se pueda
e|ecutar sudo sudo mandato), >usr>!in>passRd root y >usr>s!in>visudo y restrn|a e uso de
mandatos que permtan escape a ntrprete de mandatos, como seran >usr>!in>less,
>!in>more, >!in>vi y >usr>!in>vim. E|empo:
"ulano 522 + (522) 522B K
T/bin/bashB T/bin/suB T/usr/sbin/visudoB T/usr/bin/passd rootB K
T/usr/bin/sudoB K
-0'X'*7 /bin/moreB /bin/viB /usr/bin/lessB /usr/bin/vim
De ser posbe, evte defnr A (todos os mandatos) y so permta a e|ecucn de mandatos
especfcos. Puede defnr todos os que quera. E|empo:
"ulano 522 + (522) /bin/catB /bin/chgrpB /sbin/chkcon"igB /bin/chmodB K
/bin/chonB /sbin/depmodB /usr/sbin/edJuotaB /usr/sbin/groupaddB K
/usr/bin/htpassdB /sbin/ipB /usr/bin/opensslB /sbin/serviceB K
/usr/bin/tailB /usr/sbin/useraddB /usr/bin/passd D5!CELB K
T/usr/bin/passd rootB K
-0'X'*7 /bin/moreB /bin/viB /usr/bin/lessB /usr/bin/vim
Evte utzar nombres de usuaro y, sobre todo, contraseas predecbes o fces de advnar.
+4.5.+. o menos recomendado.
S se quere permtr a un usuaro e|ecutar con e mandato sudo prctcamente lo #ue sea,
desde cuaquer anftrn, utzando cuaquer dentdad de usuaro de sstema y re#uiriendo
ingresar la contrasea correspondiente a menos cada 5 mnutos, se puede defnr:
"ulano 522 + (522) 522
La confguracn predetermnada en dstrbucones basadas sobre Ubuntu Lnux utza o
sguente:
170
Wheel 522 + (522) 522
Con o anteror, so os usuaros membros a grupo de sstema denomnado R$eel podrn hacer
uso de mandato sudo. Se recomenda cambar esta confguracn para hacera un poco ms
restrctva, como a que se muestra en os e|empos ctados unos prrafos arrba.
S se quere permtr a un usuaro e|ecutar con e mandato sudo prctcamente lo #ue sea,
desde cuaquer anftrn, utzando cuaquer dentdad de usuaro de sstema y sin necesidad
de autenticar, se puede defnr ago como o sguente:
"ulano 522 + (522) -0=5SS4&7 522
Dentro de o posbe, evte utzar esta tma confguracn.
+4.6. ,so del mandato sudo.
E|ecutando e mandato sudo con a opcn (l (mnscua) como usuaro reguar se muestran as
opcones de varabes de entorno permtdas y a sta de mandatos permtdos y prohbdos.
sudo !l
La sada puede ser ago smar a o sguente:
.atching &e"aults entries "or Qbarrios on this host7
reJuirettyB env/resetB env/keep+,*020RS &)S=25< 30S1-5.' 3)S1S)G'
)-=?1R* H&'&)R 2S/*020RS,B env/keepU+,.5)2 =S1 =S8 _1&)R ?S'R-5.'
25-I 2*/5&&R'SS 2*/*1<=',B env/keepU+,2*/*02251' 2*/)&'-1)>)*51)0-
2*/.'5S?R'.'-1 2*/.'SS5I'S,B env/keepU+,2*/.0-'15R< 2*/-5.'
2*/-?.'R)* 2*/=5='R 2*/1'2'=30-',B env/keepU+,2*/1).' 2*/522 25-I?5I'
2)-I?5S /XH;/*35RS'1 X5?130R)1<,B
secure/path+/sbin7/bin7/usr/sbin7/usr/bin
?ser "ulano may run the "olloing commands on this host7
(522) -0=5SS4&7 522B (522) T/sbin/"diskB (522) -0'X'*7 /usr/bin/vimB
(522) /bin/more
Para star os prvegos de un usuaro en partcuar, se e|ecuta como root e mandato sudo con
a opcn (l (mnscua), a opcn (, (mayscua) y e nombre de usuaro a consutar. E|empo:
sudo !l !? "ulano
E|ecutando e mandato sudo con a opcn ( (mayscua) se muestran todas as opcones
soportadas en e archvo >etc>sudores.
sudo !2
La sada, #ue es muy e2tensa, puede ncur ago smar a o sguente:
171
5vailable options in a sudoers ^^&e"aultsXX line7
syslog7 Syslog "acility i" syslog is being used "or logging
syslog/goodpri7 Syslog priority to use hen user authenticates
success"ully
syslog/badpri7 Syslog priority to use hen user authenticates
unsuccess"ully
long/otp/prompt7 =ut 01= prompt on its on line
ignore/dot7 )gnore X#X in F=513
mail/alays7 5lays send mail hen sudo is run
###
p"eedback7 =rovide visual "eedback at the passord prompt hen there
is user input
"ast/glob7 ?se "aster globbing that is less accurate but does not
access the "ilesystem
umask/override7 1he umask speci"ied in sudoers ill override the
userXsB even i" it is more permissive
log/input7 2og userXs input "or the command being run
log/output7 2og the output o" the command being run
compress/io7 *ompress )/0 logs using Clib
use/pty7 5lays run commands in a pseudo!tty
Para e|ecutar un mandato con sudo, se utza a sguente sntaxs.
sudo !DopcionesE mandato
E|empo:
sudo service cups restart
S se omte especfcar opcones, se asume que e usuaro y grupo utzados para a dentdad
sern root.
Para especfcar que una operacn se e|ecute como un usuaro en partcuar, se e|ecuta e
mandato sudo con a opcn (u (mnscua) seguda de nombre de usuaro a utzar y e
mandato correspondente como argumento. E|empo:
sudo !u Cutano vim /home/Cutano/datos#txt
Para especfcar que una operacn se e|ecute como un membro de un grupo en partcuar, se
e|ecuta e mandato sudo con a opcn (g seguda de nombre de grupo a utzar y e mandato
correspondente como argumento. E|empo:
sudo !g lp lpadmin !x '=2!:9%%
Para especfcar que una operacn se reace en segundo pano, se e|ecuta e mandato sudo con
a opcn (! y e mandato correspondente como argumento. E|empo:
sudo !b tar cp" /var/respaldos/respaldo!etc#tar /etc
Una vez que e usuaro se ha autentcado, e usuaro podr utzar nuevamente sudo sn
necesdad de vover a autentcarse durante 5 mnutos, savo que se especfque o contraro en e
archvo >etc>sudoers. S un usuaro reguar e|ecuta e mandato sudo con a opcn (v podr
refrescar ste perodo de tempo sn necesdad de tener que e|ecutar un mandato, en cuyo caso
contraro exprar esta autentcacn y ser necesaro vover a reazar sta.
172
sudo !v
S e usuaro e|ecuta sudo con a opcn (O (mnscua), se forzar que expre e perodo de
tempo, obgando a ngresar nuevamente a contrasea a sguente vez que se utce e
mandato sudo.
sudo !k
Lo anteror puede r acompaado de un mandato, es decr permte e|ecutar un mandato y exprar
e perodo (estabecendo a fecha de tmo uso a a fecha y hora actua) de tempo de manera
smutnea. La e|ecucn de o anteror, en s puede requerr ngresar a contrasea de usuaro
reguar s e tempo ya ha exprado. Por o genera se utza de este modo en operacones que se
quere asegurar sean sempre reazadas por un ser humano y |ams por un programa. E|empo:
sudo !k service cups restart
S e usuaro e|ecuta sudo con a opcn (N (mayscua), se forzar que expre e perodo de
tempo por competo (emna toda referenca de tempo), obgando a ngresar nuevamente a
contrasea a sguente vez que se utce e mandato sudo. A dferenca de a opcn (O
(mnscua), sta so permte ser utzada sn mandatos.
sudo !H
+4.7. 8acilitando la vida con aliases.
BA?F (Bourne-Agan ?$e) permte utzar varabes de entorno y aases a ncar a sesn. Un
admnstrador responsabe por o genera preferr evtar utzar a cuenta de root y en su ugar
har uso de una cuenta de usuaro reguar para utzar mandatos dversos a travs de mandato
sudo, os cuaes se pueden smpfcar a travs de aases. Por e|empo, s se quere defnr que se
utce e mandato sudo cada vez que se nvoque a mandato c$Oconfig, se puede un aas que
anteceda e mandato sudo antes de mandato >s!in>c$Oconfig, como en e sguente e|empo:
alias chkcon"ig+,sudo /sbin/chkcon"ig,
Lo anteror permtr e|ecutar e mandato c$Oconfig utzando e mandato sudo, sin necesidad
de teclear el mandato sudo en el intrprete de mandatos.
+4.7.+. Cent0?H 8edora y 'ed Fat "nterprise inu2.
Puede crear dversos aases que pueden ser de utdad en e archvo ^>.!as$rc de usuaro
reguar utzado, os cuaes permtrn utzar automtcamente mandatos dversos con sudo.
173
A #bashrc
A Source global de"initions
i" D !" /etc/bashrc EY then
# /etc/bashrc
"i
A ?ser speci"ic aliases and "unctions
#)%#s &hgr'="s>-o ;b%n;&hgr'"
#)%#s &h8&on+%g="s>-o ;sb%n;&h8&on+%g"
#)%#s &h<o-="s>-o ;b%n;&h<o-"
#)%#s &ho0n="s>-o ;b%n;&ho0n"
#)%#s -e'<o-="s>-o ;sb%n;-e'<o-"
#)%#s e-,>o$#="s>-o ;>sr;sb%n;e-,>o$#"
#)%#s gro>'#--="s>-o ;>sr;sb%n;gro>'#--"
#)%#s gro>'-e)="s>-o ;>sr;sb%n;gro>'-e)"
#)%#s h$'#ss0-="s>-o ;>sr;b%n;h$'#ss0-"
#)%#s %'="s>-o ;sb%n;%'"
#)%#s )ess="s>-o ;>sr;b%n;)ess"
#)%#s o'enss)="s>-o ;>sr;b%n;o'enss)"
#)%#s ser*%&e="s>-o ;sb%n;ser*%&e"
#)%#s sys$e<-&on+%g-+%re0#))="s>-o ;>sr;b%n;sys$e<-&on+%g-+%re0#))"
#)%#s sys$e<-&on+%g-ne$0or8-$>%="s>-o ;>sr;sb%n;sys$e<-&on+%g-ne$0or8-$>%"
#)%#s sys$e<-&on+%g-'r%n$er="s>-o ;>sr;sb%n;sys$e<-&on+%g-'r%n$er"
#)%#s $#%)="s>-o ;>sr;b%n;$#%)"
#)%#s >ser#--="s>-o ;>sr;sb%n;>ser#--"
#)%#s >ser-e)="s>-o ;>sr;sb%n;>ser-e)"
#)%#s *%="s>-o ;>sr;b%n;*%<"
#)%#s y><="s>-o ;>sr;b%n;y><"
Para que surtan efectos os cambos, hay que sar de a sesn y vover a ngresar con a msma
cuenta de usuaro en cuyo archvo ^>.!as$rc se aaderon estos aases.
+4.7.*. "n open?,?" y ?,?" inu2 "nterprise.
Puede crear dversos aases que pueden ser de utdad en e archvo ^>.aliases de usuaro
reguar utzado, os cuaes permtrn utzar automtcamente mandatos dversos con sudo.
#)%#s &hgr'="s>-o ;b%n;&hgr'"
#)%#s &h8&on+%g="s>-o ;sb%n;&h8&on+%g"
#)%#s &h<o-="s>-o ;b%n;&h<o-"
#)%#s &ho0n="s>-o ;b%n;&ho0n"
#)%#s -e'<o-="s>-o ;sb%n;-e'<o-"
#)%#s e-,>o$#="s>-o ;>sr;sb%n;e-,>o$#"
#)%#s gro>'#--="s>-o ;>sr;sb%n;gro>'#--"
#)%#s gro>'-e)="s>-o ;>sr;sb%n;gro>'-e)"
#)%#s h$'#ss0-="s>-o ;>sr;b%n;h$'#ss0-"
#)%#s %nsser*="s>-o ;sb%n;%nsser*"
#)%#s %'="s>-o ;sb%n;%'"
#)%#s )ess="s>-o ;>sr;b%n;)ess"
#)%#s o'enss)="s>-o ;>sr;b%n;o'enss)"
#)%#s ser*%&e="s>-o ;sb%n;ser*%&e"
#)%#s $#%)="s>-o ;>sr;b%n;$#%)"
#)%#s >ser#--="s>-o ;>sr;sb%n;>ser#--"
#)%#s >ser-e)="s>-o ;>sr;sb%n;>ser-e)"
#)%#s *%="s>-o ;>sr;b%n;*%<"
#)%#s y#s$="s>-o ;>sr;sb%n;y#s$/"
#)%#s By''er="s>-o ;>sr;b%n;By''er"
Para que surtan efectos os cambos, hay que sar de a sesn y vover a ngresar con a msma
cuenta de usuaro en cuyo archvo ^>.aliases se aaderon estos aases.
174
+5. @estin de cuentas de usuario
+5.+. &ntroduccin.
An cuando se tenga un sstema con un nco usuaro, es mportante recordar que es poco
convenente reazar e traba|o daro utzando a cuenta de usuaro root. sta so debe
utzarse para reazar as tareas de admnstracn de sstema.
Una cuenta de usuario regular tene as restrccones necesaras para mpedr que se e|ecuten
mandatos que puedan daar e sstema, se atere accdentamente a confguracn de ste, os
servcos que traba|an en segundo pano o os permsos y ubcacn de os archvos y drectoros
de sstema, etc. So e usuaro root tene prvegos, sn restrccones, sobre e sstema.
+5.*. =rocedimientos.
La gestn de cuentas usuaros se puede reazar a travs de os mandatos useradd, passRd,
usermod y groupmod.
+5.*.+. @estin de cuentas de usuario.
+5.*.+.+. Creacin de cuentas de usuario.
Para crear una nueva cuenta de usuaro, utce e mandato useradd con a opcn (m (crear
automtcamente drectoro de nco) y e nombre de usuaro como argumento. E|empo:
useradd !m pruebas
+5.*.+.*. Asignacin o cam!io de contraseas.
Estabecer o cambar una contrasea se e|ecuta e mandato passRd con e nombre de usuaro
como argumento. E|empo:
passd pruebas
E sstema soctar ngrese a nueva contrasea para e usuaro y que repta sta para confrmar.
|ams se mostrarn os caracteres ngresados en pantaa. S se sospecha se cometeron errores
de teceado, puede presonarse a teca de retroceso as veces que sean necesaras y repetr todo
o que sea necesaro antes de pusar a teca ENTER. E sstema sempre e nformar s faa a
confrmacn de a contrasea devovendo una sada code I s e procedmento fue extoso o
ben devovendo una sada code + s e procedmento fa.
175
So se permte a usuaro root asgnar contraseas dbes mostrando sempre una advertenca
cuando e caso o amerte. En cambo, os usuaros reguares estn obgados a asgnar sempre
una que sea segura y que excuya paabras ncudas en os dcconaros de sstema cuando
reazan e procedmento de cambo de contrasea.
+5.*.+.3. "liminacin de cuentas de usuario.
Para emnar una cuenta de usuaro se e|ecuta e mandato userdel con e nombre de usuaro
userdel pruebas
S se desea emnar tambn e drectoro de nco de usuaro, |unto con su contendo, as como
tambn e buzn de correo correspondente, se debe e|ecutar e mandato userdel, con a opcn
(r y e nombre de usuaro como argumento. E|empo:
userdel !r pruebas
+5.*.*. @estin de @rupos.
+5.*.*.+. Creacin de grupos.
Se e|ecuta e mandato groupadd con e nombre de grupo como argumento. E|empo:
groupadd grupo!Jue!sea
+5.*.*.*. Creacin de grupos de sistema.
Un grupo de sstema es aque que tene un nmero de dentdad de grupo (GID) por deba|o de
500 (CentOS y Red Hat Enterprse Lnux) o ben 1000 (Fedora, openSUSE y SUSE Lnux
Enterprse), dependendo de sstema operatvo utzado. E nmero de dentdad de grupo
sempre se asgna automtcamente, utzando e vaor consecutvo ms ba|o que est dsponbe
en e sstema.
groupadd !r grupo!Jue!sea
+5.*.*.3. "liminacin de grupos
Se e|ecuta e mandato groupdel con e nombre de grupo como argumento. E|empo:
groupdel grupo!Jue!sea
+5.*.*.4. Asignacin de usuario e2istentes a grupos e2istentes.
Se e|ecuta e mandato gpassRd con a opcn (a, e nombre de usuaro y e nombre de grupo
como argumentos, en ese orden. E|empo:
gpassd !a usuario!Jue!sea grupo!Jue!sea
176
+5.*.3. 0pciones avan9adas.
Pueden utzarse as sguentes opcones de mandato useradd:
-c, --comment comentaro
Estabece una descrpcn de a cuenta de usuaro. Actuamente se
utza para defnr e nombre competo de usuaro.
-d, --home drectoro de nco
Estabece e drectoro de nco de usuaro.
-e, --expredate fecha de expracn
Estabece as fecha de expracn de una cuenta de usuaro. Esta debe
ngresarse en e sguente formato: AAAA-MM-DD.
-f, --nactve das para desactvar
Estabece e nmero de das para desactvar una cuenta de usuaro
tras a expracn de una contrasea.
-g, --gd grupo prncpa
Estabece e grupo predetermnado a cua pertenecer e usuaro.
Nota: e grupo defndo debe de exstr prevamente.
-G, --groups grupos adconaes,|...|
Estabece os grupos adconaes a os que pertenecer e usuaro.
Estos deben separarse utzando una coma y sn espacos. Esto es muy
convenente cuando se desea que e usuaro tenga acceso a
determnados recursos de sstema, como acceso a a undad de
dsquetes, admnstracn de cuentas PPP y POP. Nota: os grupos
defndos deben de exstr.
-m, --create-home
Estabece e drectoro de nco de usuaro debe ser creado s acaso
este fuese nexstente y se coparan dentro de este os archvos
especfcados en >etc>sOel. Esta opcn vene mpcta en CentOS,
Fedora y Red Hat Enterprse Lnux, es decr es nnecesara, pues e
archvo >etc>login.defs defne a varabe C'"AA"UF0;" con e vaor
yes. E|empo:
useradd alguien.
177
En Deban, openSUSE, SUSE Lnux Enterprse y Ubuntu, es
necesaro utzara de manera expcta, sendo que de o contraro se
omtra a creacn de os drectoros de nco de os usuaros, pues e
no. E|empo:
useradd !m alguien.
-M
Estabece se omta crear e drectoro de nco de usuaro, an s e
yes. Es o contraro de a opcn (m.
-r, --system
Crea cuentas de sstema. Los usuaros de sstema sern creados sn
caducdad en e archvo >etc>s$adoR y sus nmeros de dentdad
sern asgnados entre e rango de vaores de a varabe ?Z?U,&DU;&)
y a varabe ?Z?U,&DU;AE (100 a 499 en CentOS y Red Hat
Enterprse Lnux, 100 y 999 en Fedora, openSUSE y SUSE Lnux
Enterprse) o ben como est defndo en e archvo >etc>login.defs.
-s, --she ntrprete de mandatos
Estabece e ntrprete de mandatos (sell) que podr utzar e
usuaro. CentOS, Red Hat Enterprse Lnux, Fedora, openSUSE y
SUSE Lnux Enterprse estabecen >!in>!as$ como ntrprete de
mandatos predetermnado.
-u, --ud nmero de dentdad de usuaro
Estabece e UID de usuaro. Cuando se crea una cuenta de usuaro por
prmera vez, como ocurre en CentOS y Red Hat Enterprse Lnux, os
UID se asgnarn a partr de 5II. Los UID entre 0 y 99 estn
reservados para as cuentas y grupos de os servcos de sstema. En
e caso de openSUSE y SUSE Lnux Enterprse, stos asgnan os
UID a partr de 1000. E rango de vaores de
SYS_UID_MIN-SYS_UID_MAX puede consutarse en e archvo
>etc>login.defs.
E|empo:
useradd !c ,>ulano de tal, K
!u 1%%% !m !d /home/pruebas K
!I "loppyBlp K
pruebas
Lo anteror crear una cuenta de usuaro amada pruebas, que se encuentra ncudo en os
grupos floppy y lp, que tendr un UID=1000, utzar >!in>!as$ como ntrprete de mandatos y
utzar /home/pruebas drectoro de nco.
178
La descrpcn competa de opcones para e mandato useradd puede consutarse en a pgna
de manua correspondente.
man 6 useradd
Para modfcar una cuenta de usuaro exstente, se utza e mandato usermod, e cua tene as
sguentes opcones, que son smares a as de mandato useradd:
-c, --comment comentaro
Camba una descrpcn de a cuenta de usuaro.
-d, --home drectoro de nco
Camba e drectoro de nco de usuaro.
-e, --expredate fecha de expracn
Camba as fecha de expracn de una cuenta de usuaro. Esta debe
ngresarse en e sguente formato: AAAA-MM-DD.
-f, --nactve das para desactvar
Camba e nmero de das para desactvar una cuenta de usuaro tras
a expracn de una contrasea.
-g, --gd grupo prncpa
Camba e grupo predetermnado a cua pertenecer e usuaro. Nota:
e grupo defndo debe de exstr prevamente.
-G, --groups grupos adconaes,|...|
Camba os grupos adconaes a os que pertenecer e usuaro. Estos
deben separarse utzando una coma y sn espacos. Nota: os grupos
defndos deben de exstr.
-, --ogn nuevo nombre de usuaro
Camba e nombre de usuaro.
-m, --move-home
Mueve e contendo de drectoro de nco de usuaro cuando se ha
estabecdo uno dstnto con a opcn -d.
-s, --she ntrprete de mandatos
Camba e ntrprete de mandatos (sell) que podr utzar e usuaro.
179
-u, --ud nmero de dentdad de usuaro
Camba e UID de usuaro.
E|empo:
useramod !c ,5lguien, K
!s /bin/Csh K
!u 1%%1 !m !d /home/alguien K
!l alguien K
pruebas
Lo anteror cambar a cuenta de usuaro amada pruebas para que adeante tenga como
descrpcn Aguen, tenga e UID=1001, utce /bn/zsh como ntrprete de mandatos y cambe
su drectoro de nco, movendo todo su contendo, a /home/aguen.
La descrpcn competa de opcones para e mandato useradd puede consutarse en a pgna
man 6 usermod
Pueden utzarse as sguentes opcones de mandato passRd:
-k
Se utza para ndcar que a actuazacn de una contrasea so se
apque para as sesones expradas, sn afectar a as sesones actvas
de usuaro modfcado.
-
So puede ser utzada por root. Se utza para boquear cuentas de
usuaro. E boqueo se reaza aadendo e smboo ! a nco de
crptograma de a contrasea en e archvo >etc>s$adoR.
--stdn
Estabece que e mandato passwd deber eer e vaor de a contrasea
desde a entrada estndar (STDIN).
-u
So puede ser utzada por root. Reverte o que se haya hecho con a
opcn -. Es decr, desboquea cuentas de usuaro. Es decr, emna e
smboo ! a nco de crptograma de a contrasea en e archvo
>etc>s$adoR
-d
So puede ser utzada por root. Emna a contrasea de un usuaro
en partcuar, permtendo ngresar a sstema sn contrasea.
180
-e
So puede ser utzada por root. Expra a contrasea de usuaro,
obgando a ste a asgnar una nueva durante e sguente ngreso a
sstema. Esta opcn fue descartada en versones recentes de passwd
en favor de uso de mandato chage con a opcn -d con e nmero
cero como vaor y e nombre de usuaro como argumento. E|empo:
chage !d % Cutano.
-n tempo mnmo de vda en das
So puede ser utzada por root. Estabece e tempo mnmo de vda,
en das, de una contrasea.
-x tempo mxmo de vda en das
So puede ser utzada por root. Estabece e tempo mxmo de vda,
en das, de una contrasea.
-w nmero de das prevos a expracn
So puede ser utzada por root. Estabece e nmero de das, antes
de que expre una contrasea, para que e usuaro comence a recbr
advertencas sobre a prxma expracn de su contrasea.
- nmero de das tras a expracn de contrasea
So puede ser utzada por root. Estabece e nmero de das para
desactvar una cuenta de usuaro tras a expracn de su contrasea.
-S
So puede ser utzada por root. Mostrar nformacn breve acerca
de estado de una contrasea para un usuaro determnado.
E|empo:
passd !n 6% !x 9% ! 1% !i : pruebas
Lo anteror estabece que a contrasea de usuaro pruebas tendr un tempo de vda mnmo de
60 das, un tempo mxmo de vda de 90 das, comenzar a recbr advertencas 10 das antes de
que expre su contrasea y se desactvar a cuenta 5 das despus de que caduque a
contrasea en e caso de que e usuaro hubese omtdo cambara.
La descrpcn competa de opcones para e mandato passRd puede consutarse en a pgna
man 1 passd
+5.3. Comentarios finales acerca de la seguridad.
181
Cuando un ntruso consgue nftrarse en un sstema es generamente es gracas a que se reaz
una conexn a travs de SSH o Tenet y se pudo "adivinar" aguna de as contraseas de as
cuentas de usuaro exstentes o ben a contrasea de admnstrador. S se especfco una mala
contrasea de root durante e proceso de nstaacn de sstema operatvo, ago muy comn
entre usuaros novcos, es muy probabe que sta sea vunerada en pocas horas (e ncuso
mnutos) despus de conectarse a Internet.
Evte especfcar contraseas fces de advnar . Partcuarmente, evte utzar
contraseas que utcen paabras ncudas en cuaquer dcconaro de cuaquer
doma, datos reaconados con e usuaro o empresa, como son regstro federa de
contrbuyentes (R.F.C.), fechas de nacmento, nmeros teefncos, seguro soca,
nmeros de cuentas de acadmcos o aumnos, nombres de mascotas, nombres de
persona|es de cenca fccn, etc.
Evte escrbr as contraseas sobre medos fscos, prefera sempre mtarse a
memorzar stas.
S necesta amacenar contraseas en un archvo, hgao utzando un buen cfrado.
S se e dfcuta memorzar contraseas compe|as, utce entonces contraseas
fces de recordar, pero c<m!ielas peridicamente.
|ams proporcone una contrasea a terceros. Evte proporconara en especa a
personas que se dentfquen como membros de agn servco de soporte o ventas.
Este tmo caso se mencona con nfass en a pgna de manua de mandato
passRd.
Se consdera como una !uena contrasea aquea se compone de una combnacn de nmeros
y etras mayscuas y mnscuas y que contene como mnmo 8 caracteres, a menos tres
caracteres en mayscua, a menos tres nmeros y a menos tres caracteres especaes. Tambn
es posbe utzar pares de paabras con puntuacn nsertada y frases o secuencas de paabras
o ben acrnmos de estas.
Observar estas recomendacones, prncpamente en sstemas con acceso a redes ocaes y/o
pbcas, como Internet, har que e sstema sea ms seguro.
182
+5.4. Configurando valores predeterminados para el alta de
cuentas de usuario.
+5.4.+. Arc$ivo >etc>default>useradd.
Como root edte e archvo >etc>default>useradd:
vim /etc/de"ault/useradd
Encontrar, nvarabemente, e sguente contendo:
A useradd de"aults "ile
IR0?=+1%%
30.'+/home
)-5*1)('+!1
'X=)R'+
S3'22+/bin/bash
SH'2+/etc/skel
Puede cambar o vaores que consdere convenentes.
+5.4.+.+. Jaria!le F0;".
E drectoro de nco de usuaro ser creado dentro de /home, de acuerdo a como se estpua en
"st<ndar de Jerar#ua de ?istema de Arc$ivos o 8F? (8esystem Ferarchy ?tandard). E
vaor de esta varabe puede ser cambado de acuerdo a as necesdades o preferencas de
admnstrador.
Por e|empo, en e caso de un sstema dedcado a servco de hospeda|e de anftrones vrtuaes a
travs de un servdor HTTP, pudera preferrse utzar e drectoro /var/www para este fn, con a
fnadad de smpfcar tareas para e admnstrador de sstema.
En otros casos, especfcamente en servdores de correo, donde se quere apcar una soa cuota
de disco genera para buzn de correo y carpetas de correo en e drectoro de nco, pudera
crearse un drectoro dentro de drectoro >var, como por e|empo e drectoro >var>$ome o
>var>users, de modo que a apcar cuota de dsco sobre a partcn correspondente a drectoro
>var, sta nvoucrara tanto e buzn de entrada de usuaro, correspondente a archvo
>var>spool>mail>usuario, as como tambn as carpetas de correo en e drectoro de nco de
usuaro, que tercamente estaran ocazadas dentro de drectoro >var>$ome>usuario>mail>.
+5.4.+.*. Jaria!le ?F".
E ntrprete de mandatos a utzar para as nuevas cuentas que sean creadas en adeante se
defne a travs de a varabe ?F". De modo predetermnado e sstema asgna /bn/bash
(BASH o Bourne Agan ?$e) como ntrprete de mandatos; s e sstema se utza como servdor,
o ms convenente es asgnar otro vaor predetermnado.
183
E vaor ms convenente para a varabe SHELL >s!in>nologin, e cua es un programa que de
forma corts rechaza e ngreso de usuaro a sstema (ogn). Muestra brevemente un mensa|e
respecto a que a cuenta est desactvada (o ben cuaquer mensa|e que se se defna en e
archvo >etc>nologin.t2t) y obga a una sada. Suee utzarse como reempazo de de
ntrprete de mandatos reguar para cuentas de usuaro que han sdo desactvadas o ben que a
as cuaes se quere mpedr e acceso haca un ntrprete de mandatos. Este programa regstra
todo ntento de acceso en a btcora genera de sstema, amacenada en e
archvo /var>log>messages. Para utzaro como vaor predetermnado para a varabe ?F",
so hay que cambar ?F"V>!in>!as$ por ?F"V>s!in>nologin.
A useradd de"aults "ile
GROUP=100
30.'+/home
)-5*1)('+!1
'X=)R'+
SFELL=;sb%n;no)og%n
SH'2+/etc/skel
Una vez termnada a edcn, en adeante todo nuevo usuaro que sea dado de ata en e sstema
con e mandato useradd, sn defnr parmetro aguno, de modo predetermnado se e mpedr e
acceso a sstema a travs de una consoa o termna. Los usuaros con estas caracterstcas
podrn, sn embargo, utzar cuaquer otro servcos como FTP, correo o Samba sn probema
aguno.
Los posbes vaores para a varabe SHELL pueden ser:
>s!in>nologin, programa que de forma corts rechaza e ngreso en e sstema
(ogn).
>!in>false, programa que reaza sada nmedata ndcando faa. Es decr, que
mpde e acceso a sstema y adems con devueve faa. Es dea s se quere tener
cuentas de usuaro so con acceso haca FTP, correo, Samba, etc., sn acceso haca
e ntrprete de mandatos.
>dev>null, e dspostvo nuo descarta todos os datos escrtos sobre ste y para
cuaquer proceso que o utce. Es dea para cuentas de usuaro para as cuaes so
se quere acceso a correo eectrnco (SMTP, POP3, IMAP y/o cente de correo con
nterfaz HTTP).
>!in>!as$, ntrprete de mandatos desarroado por e proyecto GNU. Es e
ntrprete de mandatos predetermnado en GNU/Lnux.
>!in>s$, un enace smbco que apunta haca >!in>!as$ y ofrece una versn
smpfcada de Bash muy smar a Bourne She (sh).
>!in>tcs$, una versn me|orada de ntrprete de mandatos de C (csh).
>!in>as$, un con de Bourne she (sh) que utza menos memora.
>!in>9s$, una versn me|orada de sh con funcones tes encontradas en Bash y
tcsh.
+5.4.*. Directorio >etc>sOel.
De modo predetermnado as cuentas de usuaro de sstema utzarn como panta a
drectoro >etc>sOel para crear e drectoro de nco de todos os usuaros de sstema. En
sstemas basados sobre CentOS, Fedora, Red Hat Enterprse Lnux, reguarmente y como
mnmo, e drectoro >etc>sOel ncuye os sguentes archvos:
#bash/logout #bash/pro"ile #bashrc #gtkrc
184
S, por e|empo, se desea que cada nueva cuenta de usuaro ncuya un drectoro subordnado
para carpetas de correo eectrnco y adems e archvo para a suscrpcn de stas a travs de
servco de IMAP, se debe reazar e sguente procedmento:
mkdir !m %$%% /etc/skel/mail/
touch /etc/skel/mail/&ra"ts
touch /etc/skel/mail/Ounk
touch /etc/skel/mail/Sent
touch /etc/skel/mail/1rash
chmod 6%% /etc/skel/mail/L
Utce cuaquer edtor de texto para crear e archvo >etc>sOel>mail>.su!scriptions:
vim /etc/skel/mail/#subscriptions
Este archvo srve para regstrar as suscrpcones haca carpetas de correo eectrnco que sern
utzadas por e servco IMAP. Aada e sguente contendo:
)-;0X
&ra"ts
Ounk
Sent
1rash
A fn de que ste archvo tenga a segurdad necesara, asgne a ste un permso 600 (rw-------):
chmod 6%% /etc/skel/mail/#subscriptions
185
+5.5. ".ercicio- Creando cuentas de usuario.
+5.5.+. &ntroduccin
A fn de poder traba|ar con comoddad, se crearn agunos grupos y cuentas de usuaro con
dversas caracterstcas.
+5.5.*. =rocedimientos
1. Genere, a usuaro denomnado fuano con /bn/bash como ntrprete de mandatos,
drectoro de nco >$ome>fulano y grupo prncpa fuano (vaores por defecto):
useradd !m !s ;b%n;b#sh !c ,>ulano de 1al, "ulano
passd "ulano
2. Genere a usuaro denomnado mengano defnendo /dev/nu como ntrprete de
mandatos, asgnando e drectoro de nco >$ome>mengano y grupo prncpa
mengano (vaores por defecto):
useradd !m !s ;-e*;n>)) !c ,.engano de 1al, mengano
passd mengano
3. Genere e grupo denomnado desarroo:
groupadd desarrollo
4. Genere e grupo denomnado sstemas como grupo de sstema:
groupadd -r sistemas
5. Genere a usuaro denomnado perengano defnendo /sbn/noogn como ntrprete de
mandatos, asgnando e drectoro de nco /home/perengano, grupo prncpa de
desarroo y grupo adcona sstemas:
useradd !m !s /sbin/nologin K
!d ;ho<e;'ereng#no -g -es#rro))o K
!I sistemas K
!c ,=erengano de 1al, perengano
passd perengano
6. Genere a usuaro denomnado zutano con /bn/bash como ntrprete de mandatos,
asgnando e drectoro de nco /home/zutano, grupo prncpa sstemas, grupo adcona
de desarroo y defna que su contrasea expra de nmedato para que se force a usuaro
zutano a estabecer una nueva contrasea con su sguente ngreso a sstema:
186
useradd !m !s /bin/bash K
!d /ho<e;B>$#no -g s%s$e<#s K
!I desarrollo K
!c ,Gutano de 1al, Cutano
passd Cutano
passd !e Cutano NN chage !d % Cutano
7. Vsuace e contendo de os archvos >etc>groupH >etc>passRd y >etc>s$adoR y compare
y determne as dferencas entre os grupos desarroo y sstemas y os usuaros
fuano, mengano, perengano y zutano.
tail !8 /etc/group
tail !4 /etc/passd
tail !4 /etc/shado
187
+6. Breve leccin de mandatos !<sicos.
ma uso de stos.
+6.+. &ntroduccin.
Por favor, siga los procedimientos al pie de la letra. En varos e|empos utzar e carcter -
(tde), que es una forma de abrevar e drectoro de nco de usuaro utzado.
Ingrese como root y verfque que estn nstaados os paquetes man, per, ess, fe y
man-pages-es
S utza Cent0?, 8edoraG o 'ed FatG "nterprise inu2, e|ecute o sguente:
yum !y install man perl less "ile man!pages!es "inger
S utza open?,?"G o ?,?"G inu2 "nterprise, e|ecute o sguente:
yast !i man perl less "ile man!pages "inger
S utza Cent0? o 'ed FatG "nterprise inu2 e|ecute e mandato maOeR$atis para generar
un ndce de as pgnas de manua presentes en e sstema.
makehatis
S utza 8edoraG, open?,?"G o ?,?"G inu2 "nterprise e|ecute e mandato mand! para
generar un ndce de as pgnas de manua presentes en e sstema.
mandb
Espere unos mnutos a que termne de generarse e ndce de manuaes.
Cerre a sesn de root e|ecutando e mandato ext:
exit
Ingrese a sstema como usuaro reguar (fuano).
188
+6.*.+. Cam!iar de usuario a super(usuario.
E|ecute e mandato su, sn argumentos, e ngrese a cave de acceso de root cuando se e
socte:
su
E|ecute o sguente para ver as varabes de entorno:
echo F?S'RY echo F20I-5.'Y echo FS3'22Y echo F=513Y echo F30.'
Lo anteror debe devover a sguente sada:
"ulano
"ulano
/bin/bash
/usr/local/bin7/usr/bin7/bin7/usr/local/sbin7/usr/sbin7/sbin7/home/"ulano/bin
/root
Observe que aunque se tenen prvegos de root, se carece de as varabes de entorno de ste,
por o cua agunos mandatos so se podrn e|ecutar s se especfca a rutas exacta de stos
(e|empos: /sbn/servce, /sbn/chkconfg, /sbn/fsck y /sbn/fdsk).
E|ecute e mandato ext.
exit
E|ecute e mandato su, esta vez con a opcn (l (que es o msmo que su ( o ben su
((login), e ngrese a cave de acceso de root cuando se e socte:
su !l
E|ecute o sguente para ver as varabes de entorno:
echo F?S'RY echo F20I-5.'Y echo FS3'22Y echo F=513Y echo F30.'
root
root
/bin/bash
/usr/local/sbin7/usr/local/bin7/sbin7/bin7/usr/sbin7/usr/bin7/root/bin
/root
Observe que adems de os prvegos de root, se tenen tambn de as varabes de entorno de
ste, pues en readad se ha reazado un ngreso (ogn) como root.
E|ecute e mandato e2it para regresar como usuaro reguar (fuano).
exit
189
+6.*.*. Jer informacin del sistema y usuarios.
E|ecute:
uname !a
Lo anteror devover una sada smar a a sguente, en a cua se mostrar e nombre de
nceo, nombre de anftrn, nmero de anzamento de nceo, versn de nceo de Lnux, tpo
de mcroprocesador, pataforma de sstema y nombre de sstema operatvo.
2inux localhost#localdomain 8#6#@8!$1#89#1#el6#i666 A1 S.= .on Oun 8$ 167%$7%% ;S1 8%11
i666 i666 i@66 I-?/2inux
E|ecute o sguente para dentfcar cu es e nombre de usuaro que est usted est utzando
en e sstema:
hoami
E|ecute o sguente para vsuazar cues usuaros estn conectados en e sstema y dnde o
estn hacendo:
ho
E|ecute o sguente para vsuazar cues usuaros estn conectados en e sstema, en qu tpo
de termna o estn hacendo y qu es o que estn hacendo:
E|ecute o sguente para vsuazar cues usuaros estn conectados en e sstema, en qu tpo
de termna o estn hacendo y mostrar a nformacn de usuaro defnda en e archvo
>etc>passRd:
"inger
E|ecute o sguente para ver a btcora de acceso de os ms recentes ngresos a sstema de
todos os usuaros exstentes en e sstema, es decr un resumen de contendo de archvo
>var>log>lastlog:
lastlog
E|ecute o sguente para vsuazar a btcora de accesos haca e sstema, es decr un extracto
de contendo de archvo >var>log>Rtmp:
last
E|ecute o sguente para ver con prvegos de root e resumen de a btcora de ntentos fados
de acceso a sstema, es decr un resumen de contendo de archvo >var>log>!tmp:
su !l root !c ,lastb,
190
+6.*.3. 0peraciones con arc$ivos y directorios.
E|ecute:
"ile /etc/hosts
Lo anteror devover que /etc/hosts es un archvo de texto.
/etc/hosts7 5S*)) text
E|ecute:
"ile /boot/grub/e8"s/stage1/:
Lo anteror devover que /boot/grub/e2fs_stage1_5 es un archvo de GRand Unfed Bootoader y
otras propedades.
/boot/grub/e8"s/stage1/:7 IRand ?ni"ied ;ootloader stage1/: version @#8B identi"ier
%x8B IR?; version %#9$B con"iguration "ile /boot/grub/stage8
E|ecute:
pd
Lo anteror devover e drectoro de traba|o actua, en este caso e drectoro de nco de
usuaro. E mandato pRd srve para mostrar a ruta de drectoro de traba|o actua (pat of
wor'ing directory).
Cambe a drectoro >usr>local/usr/oca utzando e mandato cd, e cua srve para cambar de
drectoro (cange directory):
cd /usr/local
E|ecute e mandato pRd:
pd
Lo anteror mostrar e drectoro de traba|o actua.
Para regresar a su drectoro de nco (-), e|ecute e mandato cd sn argumentos:
cd
E|ecute nuevamente e mandato pRd para verfcar que se encuentra en su drectoro de nco:
pd
Lo anteror deber mostrar que ahora se encuentra dentro de su drectoro de nco (-).
191
E|ecute:
ls /usr/local
Lo anteror mostrar e contendo de drectoro >usr>local y demostrar que es nnecesaro
cambarse a un drectoro en partcuar, so para ver su contendo. E mandato ls srve para star
e contendo de sstema de archvos (li$t)
E|ecute:
ls
ls !a
Prmero se mostrar que e drectoro de nco (-) est vaco; despus se mostrar que en
readad s hay contendo; os archvos y drectoros de converten a ocutos a re-nombrar stos,
ponendo un punto a nco de su nombre.
# #bash/history #bash/pro"ile #gnome8 #Xauthority
## #bash/logout #bashrc #moCilla
E|ecute:
ls !la
Lo anteror mostrar todo e contendo de su drectoro de nco (-), en una sta ordenada por
nombre, a cua mostrar adems tamaos en bytes, atrbutos y permsos:
total 84
drx!!!!!!# 4 "ulano "ulano 4%96 sep 8@ 81788 #
drxr!xr!x# : root root 4%96 sep 8@ 8%7:1 ##
!r!!!!!!!# 1 "ulano "ulano 14@ sep 8@ 8%7:9 #bash/history
!r!r!!r!!# 1 "ulano "ulano 16 may @% 117:6 #bash/logout
!r!r!!r!!# 1 "ulano "ulano 1$6 may @% 117:6 #bash/pro"ile
!r!r!!r!!# 1 "ulano "ulano 184 may @% 117:6 #bashrc
E|ecute:
ls !lar
La sada ser smar a a de mandato anteror, ordenando por nombre os archvos, pero en
orden nverso:
total 84
drx!!!!!!# 4 "ulano "ulano 4%96 sep 8@ 817@: #
E|ecute:
192
ls !hlar
La sada ser smar a a de mandato anteror, ordenando os archvos por nombre, en orden
nverso, pero mostrando os tamaos de archvos en undades ms fces de entender:
total 84H
drxr!xr!x# : root root 4#%H sep 8@ 8%7:1 ##
drx!!!!!!# 4 "ulano "ulano 4#%H sep 8@ 817@: #
E|ecute:
ls !Sla
Lo anteror deber de mostrar todo e contendo de drectoro de nco (-), mostrar os atrbutos
y permsos y ordenar os eementos por tamao:
total 84
E|ecute:
ls !Slar
La sada ser smar a a de mandato anteror, ordenando os archvos por tamao, pero en
orden nverso:
total 84
E|ecute:
ls !tla
Lo anteror deber de mostrar todo e contendo de drectoro de nco (-), mostrar os atrbutos
y permsos y ordenar os eementos por fecha de modfcacn:
193
total 84
E|ecute:
ls !tlar
La sada ser smar a a de mandato anteror, ordenando os archvos por fecha de
modfcacn, pero en orden nverso:
total 84
E|ecute:
ls !htlar
La sada ser smar a a de mandato anteror, pero mostrando os tamaos de os archvos en
undades ms fces de entender:
total 84H
drxr!xr!x# : root root 4#%H sep 8@ 8%7:1 ##
drx!!!!!!# 4 "ulano "ulano 4#%H sep 8@ 817@: #
E|ecute:
ls !ia
La sada ser smar a a de mandato anteror, pero mostrando a nformacn de nmero de
nodo que corresponden a cada uno de os archvos de drectoro de traba|o actua:
4194@%: # 4194@%$ #bash/history 4194@%6 #bash/pro"ile
8 ## 4194@1: #bash/logout 4194@1% #bashrc
E|ecute:
ls !lia
La sada ser smar a a de mandato anteror, mostrando a nformacn de nmero de nodo
que corresponden a cada uno de os archvos de drectoro de traba|o actua, con detaes:
194
total 84
4194@%: drx!!!!!! 8 "ulano "ulano 4%96 Qun 81 1674$ #
8 drxr!xr!x 9 root root 4%96 Qun 81 16748 ##
4194@%$ !r!!!!!!! 1 "ulano "ulano 6@ Qun 81 1674$ #bash/history
4194@1: !r!!!!!!! 1 "ulano "ulano 16 mar 86 19788 #bash/logout
4194@%6 !r!!!!!!! 1 "ulano "ulano 19@ mar 86 19788 #bash/pro"ile
4194@1% !r!!!!!!! 1 "ulano "ulano 184 mar 86 19788 #bashrc
E|ecute o sguente para crear varos archvos vacos:
touch archivo1 archivo8 archivo11 archivo18 archivo1@: archivo846
touch archivo5 archivo; archivoaa archivo5; archivoabc archivo5;*
E|ecute:
ls archivoL1L
La sada de o anteror deber mostrar todos os archvos cuyo nombre nca con a cadena
arc$ivo pero so aqueos que ncuyen e nmero + despus de a cadena archvo:
archivo1 archivo11 archivo18 archivo1@:
E|ecute:
ls archivoDTL1EL
arc$ivo+ pero so aqueos que carecen de nmero + en cuaquer parte despus de a cadena
archvo:
archivo8 archivo5 archivo5; archivo;
archivo846 archivoaa archivoabc archivo5;*
E|ecute:
ls archivoZZZ
arc$ivo pero so aqueos que ncuyen so tres caracteres adconaes despus de a cadena
archvo:
archivo1@: archivo846 archivo5;* archivo5;*
E|ecute:
ls archivoZZ
La sada de o anteror deber mostrar so os archvos cuyo nombre nca con a cadena
arc$ivo pero so aqueos que ncuyen so dos caracteres adconaes despus de a cadena
archvo:
195
archivo11 archivo18 archivoaa archivo5;
E|ecute:
ls archivoDD7digit7EEL
arc$ivo pero so aqueos que ncuyen nmeros despus de a cadena archvo:
archivo1 archivo11 archivo18 archivo1@: archivo8 archivo846
E|ecute:
ls archivoDD7loer7EEL
arc$ivo pero so aqueos que termnan en etras mnscuas:
archivoaa archivoabc
E|ecute:
ls archivoDD7upper7EEL
arc$ivo pero so aqueos que termnan en etras mayscuas:
archivo5 archivo5; archivo; archivo5;*
E|ecute:
ls archivoLDTD7digit7EE
arc$ivo pero so aqueos que termnan en caracteres dstntos a os nmeros:
archivo5 archivoaa archivo5; archivoabc archivo5;* archivo;
E|ecute:
ls archivoLDc*E
arc$ivo pero so aqueos que termnan en c o C:
archivoabc archivo5;*
196
E|ecute:
ls archivoLDTc*E
arc$ivo pero so aqueos que termnan con cuaquer carcter excepto c o C:
archivo1 archivo18 archivo8 archivo5 archivo5;
archivo11 archivo1@: archivo846 archivoaa archivo;
E|ecute:
ls archivoDTa51EL
arc$ivo pero so aqueos que excuyen a, A o e nmero 1 despus de a cadena archvo:
archivo8 archivo846 archivo;
E|ecute o sguente para crear un nuevo drectoro:
mkdir eQemplos1
E|ecute o sguente para ntentar generar otro drectoro denomnado uno, pero dentro de
drectoro e|empos2 (e cua es nexstente).
mkdir eQemplos8/uno/
Lo anteror devover un mensa|e de error como e sguente:
mkdir7 no se puede crear el directorio èQemplos8/unoa7 -o existe el archivo o el
directorio
A fn de poder crear e drectoro uno, dentro de drectoro e|empos2, es necesaro crear
prmero e|empos2. Sn embargo puede ndcare a mkdr que genere toda a ruta aadendo a
opcn -p (path):
mkdir !p eQemplos8/uno
ls
ls eQemplos8
Lo anteror creo e drectoro e|empos2 y dentro de ste a drectoro uno y mostr a
drectoro e|empos2 y mostr dentro de ste a drectoro uno.
Cope agunos archvos para expermentar con este drectoro, utzando e mandato cp:
cp /etc/"stab \/eQemplos1/
Vueva a utzar e mandato cp de este modo:
197
cp /etc/passd \/eQemplos1/
Con estos dos procedmentos, se habrn copado dos dstntos archvos (>etc>fsta! y
>etc>passRd) dentro de drectoro ejemplos6.
Intente copar e drectoro ^>e.emplos+> como e nuevo drectoro ^>copia+, e|ecutando o
sguente:
cp \/eQemplos1/ \/copia1
Lo anteror devover un error porque -/e|empos1 es un drectoro:
cp7 se omite el directorio èQemplos1/a
Para reazar a copa de un drectoro, |unto con todo su contendo, debe usar e mandato cp con
a opcn (r, o cua reazar una copa recursva de drectoro de orgen como e drectoro de
destno ndcado. E|ecute o sguente:
cp !r \/eQemplos1/ \/copia1/
Vsuace e contendo de ambos drectoros utzando e mandato ls con a opcn (l:
ls !l eQemplos1/ copia1/
La sada e mostrar o sguente:
copia1/7
total 6
!r!r!!r!! 1 "ulano "ulano 1%:8 abr 8$ 1%7:6 "stab
!r!r!!r!! 1 "ulano "ulano 19:$ abr 8$ 1%7:6 passd
eQemplos1/7
total 6
Notar que as fechas de modfcacn de os archvos contendos en ambos drectoros son
dferentes.
Emne e drectoro copa1, e|ecutando o sguente:
rm !"r \/copia1/
Para reazar una copa de un drectoro, preservando todos os atrbutos y permsos de contendo
de drectoro orgna, utce e mandato cp con a opcn (a:
cp !a \/eQemplos1/ \/copia1/
198
Para reazar una copa de un drectoro, preservando todos os atrbutos y permsos de contendo
de drectoro orgna, pero so copando os archvos que cambaron respecto de e drectoro de
orgen y vendo una sada descrptva, utce e mandato cp con as opcones (auv:
cp !auv \/eQemplos1/ \/copia1/
Vsuace de nuevo e contendo de ambos drectoros utzando e mandato ls con a opcn (l:
ls !l \/eQemplos1/ \/copia1/
La sada e mostrar ago smar a o sguente:
copia1/7
total 6
eQemplos1/7
total 6
Notar que as fechas de modfcacn de os archvos contendos en ambos drectoros son
dntcas.
Utce e mandato touc$ para cambar a fecha de modfcacn de archvo ^>e.emplos+>fsta!:
touch \/eQemplos1/"stab
Utce e mandato cp con as opcones (a para reazar una copa exacta de drectoro de orgen y
sus contendos, (u para reazar so a copa de os contendo nuevos y utzando a opcn (v
para ver una sada detaada:
cp !auv \/eQemplos1/L \/copia1/
Lo anteror debe devover una sada smar a a sguente.
èQemplos1/"staba !M `copia1/"staba
Utce de nuevo e mandato mOdir y genere un drectoro denomnado adicional dentro de
drectoro de e.emplos+.
mkdir \/eQemplos1/adicional
Acceda a drectoro de ejemplos6 para contnuar. E|ecute o sguente:
cd \/eQemplos1/
Lste e contendo de este drectoro, e|ecutando o sguente:
199
ls
Se mostrarn os archvos fsta! y passRd y e drectoro adicional.:
D"ulano[localhost eQemplos1EF
adicional "stab passd
Mueva e archvo fstab dentro de drectoro adicional utzando e mandato mv:
mv "stab adicional/
Examne e contendo de drectoro e.emplos+ utzando de nuevo e mandato ls:
ls
Obtendr una sada smar a a sguente:
adicional passd
Acceda a drectoro adicional con e mandato cd
cd adicional
Vsuace e contendo de drectoro de traba|o actua e|ecutando e mandato ls.
ls
Se mostrar una sada smar a a sguente:
D"ulano[localhost adicionalEF
"stab
D"ulano[localhost adicionalEF
Regrese a drectoro e.emplos+ que se encuentra en e nve superor utzando e mandato cd:
cd ##/
Proceda a emnar e archvo passRd que se encuentra en e drectoro e.emplos+
rm passd
Haga o msmo con fsta!, e cua se ocaza dentro de drectoro adicional:
rm adicional/"stab
200
Emne e drectoro adicional:
rmdir adicional
Genere un nuevo sub-drectoro denomnado directorios+:
mkdir directorios1
Cambe a este nuevo drectoro:
cd directorios1
E|ecuta o sguente:
mkdir -uevo &irectorio
Lste e contendo de drectoro de traba|o actua mostrando una soa coumna:
ls !1
Lo anteror cre dos nuevos drectoros, uno denomnado L)uevoM y otro denomnado
LDirectorioM, por o que ver una sada como a sguente:
&irectorio
-uevo
E|ecuta o sguente, que ser smar a tmo mkdr, pero que en esta ocasn utzar una
dagona nversa antes de espaco:
mkdir -uevoK &irectorio
ls !1
Lo anteror cre un nuevo drectoro denomnado L)uevo DirectorioM, por o que ver una
sada como a sguente:
&irectorio
-uevo
-uevo &irectorio
La dagona nversa se utz como carcter de escape para ndcar que espaco entre L)uevoM y
LDirectorioM es parte de nombre e drectoro que se quere crear.
Puede ograrse e msmo efecto escrbendo e nombre de drectoro a crear entre comas.
E|ecute o sguente:
201
mkdir ,0tro &irectorio,
ls !1
Lo anteror cre un nuevo drectoro denomnado L0tro DirectorioM, por o que ver una sada
como a sguente:
&irectorio
-uevo
-uevo &irectorio
0tro &irectorio
Regrese a su drectoro de nco.
cd
+6.*.4. Consultar ayudaH p<ginas de manual e informacin.
E|ecute:
ls !!help
Lo anteror mostrar a ayuda de mandato ls. Puse smutneamente as tecas SHIFT y Re
Pg y uego as tecas SHIFT y Av Pg; sto permtr avanzar o retroceder en e
documento.
Puse a teca ENTER y e|ecute o sguente:
man ls
Lo anteror mostrar e manua en espao. Puse as tecas Av Pg y Re Pg para avanzar o
retroceder. Puse a teca >, ngrese a cadena de texto drector y puse a teca ENTER:
7/director
Lo anteror habr reazado una bsqueda en e manua de mandato ls y resatado as
ncdencas de a cadena de texto drector. Puse a teca # para sar.
S necesta consutar otros manuaes reaconados con e mandato ls, e|ecute e mandato man
con a opcn -k y e nombre de mandato a consutar, de sguente modo
man !k ls
Lo anteror devover una extensa sada que consstr en a sta de todas as pgnas de
manua que ncuyen nformacn reaconada con e mandato ls.
Para obtener una sta ms especfca, e|ecute o sguente:
202
hatis ls
E|ecute o sguente:
man !k crontab
Lo anteror devover una sada smar a a sguente, a cua ndca que hay dos dstntos
manuaes para cronta! (1 y 5).
crontab (1) ! maintains crontab "iles "or individual users
crontab (:) ! "iles used to schedule the execution o" programs
Las pgnas de manua se organzan en as sguentes categoras:
1 corresponde a manuaes para programas e|ecutabes y guones de ntrprete de
mandatos.
2 corresponde a manuaes para amadas de sstema (funcones servdas por e
nceo).
3 corresponde a manuaes para amadas de a bboteca (funcones contendas en
as bbotecas de sstema).
4 corresponde a manuaes para archvos especaes (se encuentran generamente en
/dev).
5 corresponde a manuaes para formato de archvos y convenos.
6 corresponde a manuaes para |uegos
7 corresponde a manuaes para paquetes de macros y convenos.
8 corresponde a manuaes para mandatos de admnstracn de sstema
(generamente so son para root)
9 corresponde a manuaes para rutnas de nceo |No es estndar|
n se utzaba en e pasado para casfcar as pgnas de manua nuevas. Hoy en da
es obsoeto.
se utzaba en e pasado para casfcar as pgnas de manua para uso oca. Hoy
en da es obsoeto.
p se utzaba en e pasado para casfcar as pgnas de manua pbcas. Hoy en da
es obsoeto.
o se utzaba en e pasado para casfcar as pgnas de manua antguas. Hoy en
da es obsoeto.
203
Lo que sgnfca que cronta!P+Q corresponde a manua de programa cronta! y cronta!P5Q
corresponde a manua de formato de archvo >etc>cronta!. Para consutar ste tmo e|ecute
o sguente:
man : crontab
Para sar, puse a teca #.
E|ecute o sguente:
in"o ls
Lo anteror mostrar a pgna de nformacn de mandato ls. E mandato nfo se se puede
utzar cuando se carece de pgnas de manua. Para sar, puse a teca #.
+6.*.5. Jisuali9ando contenido de arc$ivos.
cd
E|ecute:
c !m /etc/crontab
Lo anteror devover que e archvo /etc/crontab contene certo nmero de carcteres.
E|ecute:
c ! /etc/crontab
Lo anteror devover que e archvo /etc/crontab contene certo nmero de paabras.
E|ecute:
c !l /etc/crontab
Lo anteror devover que e archvo /etc/crontab contene certo nmero de neas.
E|ecute:
c !2 /etc/crontab
Lo anteror devover que a nea ms arga de archvo /etc/crontab tene certo nmero de
carcteres.
E|ecute:
204
c !c /etc/crontab
Lo anteror devover que e tamao de archvo /etc/crontab es de certo nmero de bytes.
Utce e mandato cat para ver e contendo de archvo >etc>cronta!, e|ecutando o sguente:
cat /etc/crontab
Lo anteror devover ago smar a o sguente:
S3'22+/bin/bash
=513+/sbin7/bin7/usr/sbin7/usr/bin
.5)210+root
30.'+/
A >or details see man 4 crontabs
A 'xample o" Qob de"inition7
A #!!!!!!!!!!!!!!!! minute (% ! :9)
A N #!!!!!!!!!!!!! hour (% ! 8@)
A N N #!!!!!!!!!! day o" month (1 ! @1)
A N N N #!!!!!!! month (1 ! 18) 0R QanB"ebBmarBapr ###
A N N N N #!!!! day o" eek (% ! 6) (Sunday+% or $) 0R sunBmonBtueBedBthuB"riBsat
A N N N N N
A L L L L L command to be executed
Para mostrar so as neas que contengan a cadena de carcteres root, se utza e mandato
grep como subrutna de sguente modo:
cat /etc/crontab N grep root
.5)210+root
Para hacer o contraro y so vsuazar as neas que sn a cadena de carcteres root, se utza
e mandato grep como subrutna. E|ecute o sguente:
cat /etc/crontab N grep !v ,root,
Lo anteror devover una sada smar a a sguente:
S3'22+/bin/bash
30.'+/
A #!!!!!!!!!!!!!!!! minute (% ! :9)
A N #!!!!!!!!!!!!! hour (% ! 8@)
A N N #!!!!!!!!!! day o" month (1 ! @1)
A N N N N N
205
Lo anteror ncuye tambn as neas vacas. Para mostrar e msmo resutado sn neas vacas,
se utza e msmo mandato e|ecutando como subrutna e mandato sed con a opcn (e
(e|ecutar) y _>\`>d_ como argumentos, donde sed es un edtor para ftrado y transformacn de
texto y >\`>d se refere a neas vacas:
cat /etc/crontab N grep !v ,root, N sed !e X/]F/dX
S3'22+/bin/bash
30.'+/
A #!!!!!!!!!!!!!!!! minute (% ! :9)
A N #!!!!!!!!!!!!! hour (% ! 8@)
A N N #!!!!!!!!!! day o" month (1 ! @1)
A N N N N N
E|ecute:
head !@ /etc/crontab
E mandato $ead devover a sguente sada, mostrando as 3 prmeras neas de archvo
/etc/crontab.
S3'22+/bin/bash
.5)210+root
E|ecute:
tail !@ /etc/crontab
E mandato ta devover a sguente sada, mostrando as 3 tmas neas de archvo
/etc/crontab.
A N N N N N
E|ecute:
sort /etc/passd Ngrep %
Lo anteror devover como a sada e contendo de archvo /etc/passwd, ordenando as neas
por nombre, pero so mostrando aqueas neas que ncuyen e carcter 0.
206
avahi!autoipd7x71$%71$%75vahi )=v422 Stack7/var/lib/avahi!autoipd7/sbin/nologin
avahi7x7$%7$%75vahi m&-S/&-S!S& Stack7/var/run/avahi!daemon7/sbin/nologin
"tp7x7147:%7>1= ?ser7/var/"tp7/sbin/nologin
"ulano7x7:%%7:%%7>ulano de 1al7/home/"ulano7/bin/bash
games7x71871%%7games7/usr/games7/sbin/nologin
gopher7x71@7@%7gopher7/var/gopher7/sbin/nologin
halt7x7$7%7halt7/sbin7/sbin/halt
operator7x7117%7operator7/root7/sbin/nologin
root7x7%7%7root7/root7/bin/bash
shutdon7x767%7shutdon7/sbin7/sbin/shutdon
sync7x7:7%7sync7/sbin7/bin/sync
uucp7x71%7147uucp7/var/spool/uucp7/sbin/nologin
E|ecute:
sort !r /etc/passd Ngrep %
Lo anteror devover como a sada e contendo de archvo /etc/passwd, ordenando as neas
por nombre, en orden nverso, pero so as neas que ncuyen e carcter 0.
uucp7x71%7147uucp7/var/spool/uucp7/sbin/nologin
sync7x7:7%7sync7/sbin7/bin/sync
shutdon7x767%7shutdon7/sbin7/sbin/shutdon
root7x7%7%7root7/root7/bin/bash
operator7x7117%7operator7/root7/sbin/nologin
halt7x7$7%7halt7/sbin7/sbin/halt
gopher7x71@7@%7gopher7/var/gopher7/sbin/nologin
games7x71871%%7games7/usr/games7/sbin/nologin
"ulano7x7:%%7:%%7>ulano de 1al7/home/"ulano7/bin/bash
"tp7x7147:%7>1= ?ser7/var/"tp7/sbin/nologin
avahi7x7$%7$%75vahi m&-S/&-S!S& Stack7/var/run/avahi!daemon7/sbin/nologin
avahi!autoipd7x71$%71$%75vahi )=v422 Stack7/var/lib/avahi!autoipd7/sbin/nologin
De os dos mandatos anterores, observe que os datos de cada nea son demtados por e
carcter : (dos puntos). E|ecute o sguente:
cat /etc/passd Ngrep % N cut !d ,7, !"1
E contendo de archvo /etc/passwd es mostrado, pero so as neas que ncuyen e carcter 0
y mostrando so a prmera coumna de datos de archvo, defnendo e carcter : (dos puntos)
como demtador entre as coumnas.
root
sync
shutdon
halt
uucp
operator
games
gopher
"tp
avahi
avahi!autoipd
"ulano
E|ecute:
207
cat /etc/passd N grep % N cut !d ,7, !"@
Se muestra e contendo de archvo /etc/passwd, peor so as neas que ncuyen e carcter 0 y
so mostrando a tercera coumna de datos de archvo, defnendo e carcter : (dos puntos)
como demtador entre as coumnas.
%
:
6
$
1%
11
18
1@
14
$%
1$%
:%%
E|ecute:
sort /etc/passd N grep % N cut !d ,7, !"1
Lo anteror muestra e contendo de archvo /etc/passwd, ordenando as neas por nombre, pero
so aqueas que contenen e carcter 0 y so mostrando a prmera coumna de datos,
consderando que se utz e carcter : (dos puntos) como demtador entre as coumnas.
avahi!autoipd
avahi
"tp
"ulano
games
gopher
halt
operator
root
shutdon
sync
uucp
+6.*.6. "nlaces fsicos y sim!licos.
Exsten dos tpos de enaces haca archvos, os fscos (o duros) y os smbcos (o bandos).
Ambos permten economzar espaco en e sstema de archvos cuando hay crcunstancas en as
cuaes se necesta utzar os msmos archvos o drectoros en dversos ugares.
Los enaces fscos so pueden apuntar haca archvos dentro de una msma partcn.
Bscamente crean nodos que apuntan a un msmo archvo, es decr, se tene un archvo con
varos nombres. So es posbe ver haca qu archvo apuntan consutando e nmero de nodo,
como sera con e mandato ls con a opcn -. So se pueden crear enaces fscos haca archvos
exstentes. S se borra e archvo orgna, ste prevaece gracas a enace fsco.
208
Los enaces smbcos pueden haca archvos y drectoros en cuaquer parte de sstema de
archvos, sn mportar en qu partcn se encuentren. Son archvos especaes con una ruta haca
un archvo o drectoro. E mandato ls con a opcn - puede mostrar haca dnde apunta un
enace smbco en partcuar. Se pueden crear enaces smbcos que apunten haca archvos o
drectoros nexstentes. S se borra e archvo orgna, e enace smbco smpemente apuntar
haca un archvo o drectoro nexstente.
Regrese a drectoro de nco.
cd
Genere e drectoro cd -/pruebas-enaces y camba haca ste.
mkdir \/pruebas!enlaces Y cd \/pruebas!enlaces
Genere un enace smbco que apunte haca e archvo /boot/grub/devce.map:
ln !s /boot/grub/device#map #
Vsuace e resutado con e mandato ls con a opcn -:
ls !l
La sada debe devover ago smar a o sguente:
total %
lrxrxrx 1 "ulano "ulano 81 Qun 81 1671% device#map !M /boot/grub/device#map
Cope e archvo /etc/hosts dentro de drectoro -/pruebas-enaces:
cp /etc/hosts #
Genere un enace fsco denomnado hosts2 que apunte haca e archvo hosts, e|ecutando o
sguente:
ln hosts hosts8
Vsuace e resutado con e mandato ls con a opcn (l:
ls !l
total 6
lrxrxrx 1 Qbarrios Qbarrios 81 Qun 81 1671% device#map !M /boot/grub/device#map
!r!r!!r!! 8 Qbarrios Qbarrios 11: Qun 81 1671@ hosts
!r!r!!r!! 8 Qbarrios Qbarrios 11: Qun 81 1671@ hosts8
Note que en a segunda coumna, a correspondente a nmero de nodos utzados, hay un
nmero 2 para os archvos hosts y hosts2.
209
Para cote|ar que efectvamente os nodos correspondentes de os archvos hosts y hosts2 tenen
e msmo nmero, e|ecute e mandato ls con a opcn -:
ls !i
496%641 device#map 496%648 hosts 496%648 hosts8
Borre e archvo hosts.
rm hosts
Verfque que e archvo hosts ha desaparecdo y que e archvo hosts2 permanece ntacto.
ls !l
total 4
Tambn se pueden generar enaces smbcos utzando e mandato cp con a opcn -s, de
sguente modo:
cp !s hosts8 hosts
Vsuace e resutado con e mandato ls con a opcn -:
ls !l
total 6
lrxrxrx 1 Qbarrios Qbarrios 6 Qun 81 16786 hosts !M hosts8
+6.*.7. Bucles.
cd
E|ecute o sguente, donde se utza e mandato perl e|ecutando ((e) e gun for($=1;$<10;$+
+){prnt "$\n";}, en e cua se genera a varabe i que es gua a 1 y menor a 10 y a a cua se va
sumando y devueve una sada con e vaor de i con retorno de carro.
210
perl !e X"or(Fi+1YFib1%YFiUU)cprint ,FiKn,YdX
1
8
@
4
:
6
$
6
9
Modfque e gun de mandato anteror y reempace /ìan/ por /)1mero ìan/ de sguente
modo:
perl !e X"or(Fi+1YFib1%YFiUU)cprint ,-Smero FiKn,YdX
-Smero 1
-Smero 8
-Smero @
-Smero 4
-Smero :
-Smero 6
-Smero $
-Smero 6
-Smero 9
Para a sada en un archvo, aada a mandato anteror >> -/texto.txt, o cua redrgr a sada
haca e archvo -/texto.txt:
perl !e X"or(Fi+1YFib1%YFiUU)cprint ,-Smero FiKn,YdX MM \/texto#txt
Lo anteror so devover e smboo de sstema. Utce e mandato cat para vsuazar e
contendo de archvo -/texto.txt:
cat \/texto#txt
Lo anteror devover una sada smar a a sguente y que corresponde a contendo de archvo
-/texto.txt:
-Smero 1
-Smero 8
-Smero @
-Smero 4
-Smero :
-Smero 6
-Smero $
-Smero 6
-Smero 9
211
Para hacer o msmo que hzo con e mandato perl, pero utzando e mandato !as$, e|ecute o
sguente:
"or i in c1##9d
do
echo !e ,-Smero Fi, MM \/texto!con!bash#txt
done
Lo anteror so regresa e smboo de sstema. Utce e mandato cat para vsuazar e contendo
de archvo -/texto-con-bash.txt, e|ecute o sguente:
cat \/texto!con!bash#txt
Lo anteror devover una sada smar a a sguente y que corresponde a contendo de archvo
-/texto-con-bash.txt:
-Smero 1
-Smero 8
-Smero @
-Smero 4
-Smero :
-Smero 6
-Smero $
-Smero 6
-Smero 9
A contnuacn aprender a utzar funcones ms avanzadas. En e sguente caso usted crear
respados de un con|unto de archvos de mgenes, asgnando a cada uno un nombre dstnto a
que tenan en su drectoro de orgen. Prmero crear un nuevo drectoro:
mkdir \/respaldos
E|ecute os sguentes mandatos:
&- ;>sr;sh#re;'%E<#'s;
"or " in L#png
do
cp F" \/respaldos/copia!F"
done
cd
Lo anteror har a copa en sere de os archvos dentro de >usr>s$are>pi2maps> dentro de
^>respaldos> anteponendo en e nombre de as copas a paabra copa. Para ver e contendo
de drectoro ^>respaldos>, e|ecute o sguente:
ls \/respaldos/
Se defnrn dos varabes ($hombre y $mu|er), creando e archvo pare|as.txt y usando os datos
de ste y se e|ecutar una rutna por cada con|unto de varabes.
212
cd
echo ,Ouan 5na, MM pareQas#txt
echo ,=edro 'va, MM pareQas#txt
echo ,=ablo Iaby, MM pareQas#txt
echo ,Oorge ;ety, MM pareQas#txt
echo ,=epe Sara, MM pareQas#txt
hile read hombre muQer
do
echo ,Fhombre es pareQa de FmuQer,
echo ,!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!,
done b pareQas#txt
+6.*.:. Aliases.
cd
E|ecute:
touch algo!nuevo#txt
touch otro!nuevo#txt
cp algo!nuevo#txt otro!nuevo#txt
Lo anteror creo os archvos algo(nuevo.t2t y otro(nuevo.t2t y se cre una copa de
algo(nuevo.t2t, sobre escrbendo, sn dogo para confrmar, a archvo otro(nuevo.t2t.
E|ecute:
alias cp+,cp !i,
cp algo!nuevo#txt otro!nuevo#txt
Lo anteror cre un aas denomnado cp, e cua corresponde a mandato cp con a opcn (i (cp
en modo nteractvo), o cua hace que se muestre un dogo de confrmacn antes de
sobre-escrbr un archvo.
Para emnar este aas, e|ecute o sguente:
unalias cp
E|ecute o sguente para crear alias personali9ado, denomnado mandatopersonal:
alias mandatopersonal+,ls !l Nless,
Lo anteror crea un alias que consste en e|ecutar e mandato ls con a opcn - y que adems
e|ecutar como subrutna a mandato less. E|ecute mandatopersonal.
mandatopersonal /etc
Lo anteror debe haber mostrado e contendo de drectoro >etc, utzando less para poder
despazar a pantaa. Para sar de less, puse a teca #.
213
Los aases creados perduran hasta que es cerrada a sesn de usuaro. Para que cuaquer aas
sea permanente para un usuaro en partcuar, hay que especfcar stos dentro de archvo
^>.!as$rc (CentOS, Fedora y Red Hat Enterprse Lnux) o ben dentro de archvo ^>.aliases
(SUSE Lnux Enterprse y openSUSE).
Para ver a sta de aases predetermnados de sstema, so e|ecute e mandato alias.
alias
+6.*.[. Apagado y reinicio de sistema.
Para que e sstema fnace apropadamente todos os servcos en e|ecucn, guarde en dsco as
consgnacones pendentes y desmonte de forma segura todos os sstemas de archvos, utce
os mandatos re!oot o ben poReroff.
Para rencar e sstema de nmedato, e|ecute e mandato re!oot:
reboot
E mandato re!oot puede ser utzado por usuaros reguares y su uso es controado a travs de
=A;.
S requere hacer un renco de sstema, con un apso de tempo y un avso a os usuaros que
estn conectados a sstema, utza e mandato s$utdoRn con a opcn (r y e nmero de
mnutos que quera dar de tempo antes de reazar e proceso de renco. En e sguente
e|empo, e proceso de renco de sstema se reazar dentro de 5 mnutos:
shutdon !r :
S utza e mandato s$utdoRn con a opcn (r, sn ms argumentos, de modo predetermnado
e sstema rencar en un mnuto, envando un mensa|e de advertenca a todos os usuaros
conectados a sstema.
E mandato s$utdoRn so puede ser utzado por e usuaro root.
Para apagar e sstema de nmedato, e|ecute e mandato poReroff:
poero""
A gua que e mandato re!oot, e mandato poReroff puede ser utzado por usuaros reguares
y su uso es controado a travs de =A;.
S requere hacer un apagado de sstema, con un apso de tempo y un avso a os usuaros que
estn conectados a sstema, utza e mandato s$utdoRn con a opcn ($ y e nmero de
mnutos que quera dar de tempo antes de reazar e proceso de apagado. En e sguente
e|empo, e proceso de apagado de sstema se reazar dentro de 5 mnutos:
shutdon !h :
214
S utza e mandato s$utdoRn con a opcn ($, sn ms argumentos, de modo predetermnado
e sstema se apagar en un mnuto, envando un mensa|e de advertenca a todos os usuaros
conectados a sstema.
Para cancear e procesos de apagado o renco de sstema, se utza e mandato s$utdoRn con
a opcn (c.
shutdon !c
Recuerde que e mandato s$utdoRn so puede ser utzado por e usuaro root.
Contne con e documento ttuado Compresn y descompresn de archvos.
215
+7. Compresin y descompresin de arc$ivos.
ma uso de stos.
+7.+. &ntroduccin.
Por favor, siga los procedimientos al pie de la letra. En varos e|empos utzar e caracter -
(tde), que es una forma de abrevar e drectoro de nco de usuaro utzado.
+7.+.+. Acerca de b&=.
ZIP es un formato de archvo smpe, creado orgnamente por Ph Katz, fundador de PKWARE, e
cua comprme cada uno de os archvos que contene de forma separada, o cua permte
recuperar cada uno de os archvos amacenados sn tener que eer e resto de archvo ZIP que
os contene, o que permte un me|or rendmento. Cada archvo puede ser amacenado sn
compresn o con una ampa varedad de agortmos de compresn, aunque e ms utzado y
prctco es e agortmo orgna de Ph Katz.
+7.+.*. Acerca de AA'.
E formato de almacenamiento de archvos conocdo como TAR o Aape A'chver (archvador
en cnta), fue dseado para e amacenamento de archvos en cntas magntcas. E formato se
procesa de manera nea, de modo que es necesaro recorrer todo e archvo para poder poder
extraer cuaquer eemento que ste contendo en e archvo TAR. Actuamente est defndo en
os estndares POSIX.1-1998 y POSIX.1-2001
+7.+.3. Acerca de @b&=.
E formato de compresin GZIP (GNU ZIP), creado por Mark Ader y |ean-oup Gay, es una
aternatva a os formatos LZW y otros agortmos patentados que mtaban e uso de programa
compress, hasta entonces o ms comnmente utzado en Unx. GZIP utza a bboteca Zb,
a cua se basa sobre e agortmo Defate, que es una combnacn de LZ77 y a codfcacn
Huffman. Es mportante seaar que GZIP so reaza a compresn de os archvos, e
amacenamento se reaza utzando TAR o cuaquer otro formato de almacenamiento de
archvos.
+7.+.4. Acerca de Bb&=*
E formato de compresin BZIP2, desarroado y mantendo por |uan Seward, utza os
agortmos de compresn de Burrows-Wheeer y e agortmo de codfcacn de Huffman.
Aunque e porcenta|e de compresn de os archvos depende de contendo de stos msmos,
resuta una me|or aternatva a ZIP y GZIP, pero con un mayor consumo de memora y recursos
de sstema.
216
+7.+.5. Acerca de Eb.
E formato de compresin XZ, creado y mantendo por Lasse Con, utza e agortmo de
compresn LZMA2, a travs de a bboteca bzma. Tene un me|or rendmento que BZIP2
(consume menos memora y recursos de sstema) con me|ores tasas de compresn. Es e
formato utzado hoy en da para a compresn de archvos TAR de cdgos fuente, aunque GZIP
an es e formato ms utzado a a fecha para dstrbucn de cdgo fuente de Software Lbre.
Ingrese a sstema como e usuaro root y asegrese que estn nstaados os paquetes tar, zp,
unzp, gzp, bzp2 y xz.
S utza Cent0?, 8edoraG o 'ed FatG "nterprise inu2, e|ecute o sguente:
yum !y install tar Cip unCip gCip bCip8 xC
S utza open?,?"G o ?,?"G inu2 "nterprise, e|ecute o sguente:
yast !i tar Cip unCip gCip bCip8 xC
A termnar, cerre a sesn de usuaro root, e|ecutando e mandato e2it:
exit
+7.*.+. =reparativos.
Ingrese nuevamente a sstema como usuaro reguar (fuano).
A fn de dsponer de datos con os cuaes expermentar, cope e drectoro >usr>s$are>pi2maps
dentro de drectoro de nco de usuaro utzado.
cp !a /usr/share/pixmaps \/
+7.*.*. Compresin y descompresin de arc$ivos Y.9ip.
Consute e manua de mandato 9ip e|ecutando o sguente:
man 1 Cip
Consute e manua de mandato un9ip e|ecutando o sguente:
man 1 unCip
Genere un archvo .zp e|ecutando o sguente:
Cip !r "oo#Cip pixmaps/
Para mostrar a sta de contendo de archvo foo.9ip, e|ecute:
217
unCip !l "oo#Cip
Extraga e contendo de archvo foo.9ip dentro de drectoro ^>e.emplos+>, e|ecutando o
sguente:
unCip "oo#Cip !d \/eQemplos1/
S a sada e pregunta s desea sobre-escrbr os archvos exstentes, responda que s a todo
pusando a etra A (sobre-escrr todo) y a teca ")A"'.
Extraga e contendo de archvo foo.9ip dentro de drectoro ^>e.emplos+>, pero so
extrayendo os archvos de prmer nve con extensn *.png, e|ecutando o sguente:
unCip "oo#Cip !d \/eQemplos1/ L#png
Extraga e contendo de archvo foo.9ip dentro de drectoro ^>e.emplos+>, pero so
extrayendo os archvos de segundo nve con extensn *.png, e|ecutando o sguente:
unCip "oo#Cip !d \/eQemplos1/ L/L#png
+7.*.3. Creacin y e2traccin de arc$ivos Y.tar.
Consute e manua de mandato tar e|ecutando o sguente:
man 1 tar
Genere un archvo .tar (sn compresn) e|ecutando o sguente:
tar c" "oo#tar pixmaps/
Para mostrar a sta de contendo de archvo foo.tar, e|ecute:
tar tv" "oo#tar
Extraga e contendo de archvo foo.tar dentro de drectoro ^>e.emplos+>, e|ecutando o
sguente:
tar xv" "oo#tar !* \/eQemplos1/
Extraga e contendo de archvo foo.tar dentro de drectoro ^>e.emplos+>, pero so
extrayendo os archvos con extensn *.png, e|ecutando o sguente:
218
tar xv" "oo#tar !* \/eQemplos1/ !!ildcards XL#pngX
+7.*.4. Compresin y descompresin de arc$ivos Y.tar.g9.
Genere un archvo .tar.gz (con compresn GZIP) e|ecutando o sguente:
tar Cc" "oo#tar#gC pixmaps/
Para mostrar a sta de contendo de archvo foo.tar.g9, e|ecute:
tar Ctv" "oo#tar#gC
Extraga e contendo de archvo foo.tar.g9 dentro de drectoro ^>e.emplos+> e|ecutando o
sguente:
tar Cxv" "oo#tar#gC !* \/eQemplos1/
Extraga e contendo de archvo foo.tar.g9 dentro de drectoro ^>e.emplos+>, pero so
tar Cxv" "oo#tar#gC !* \/eQemplos1/ !!ildcards XL#pngX
+7.*.5. Compresin y descompresin de arc$ivos Y.tar.!9*.
Genere un archvo .tar.bz2 (con compresn BZp2) e|ecutando o sguente:
tar Qc" "oo#tar#bC8 pixmaps/
Para mostrar a sta de contendo de archvo foo.tar.!9*, e|ecute:
tar Qtv" "oo#tar#bC8
Extraga e contendo de archvo foo.tar.!9* dentro de drectoro ^>e.emplos+>, e|ecutando o
sguente:
tar Qxv" "oo#tar#bC8 !* \/eQemplos1/
Extraga e contendo de archvo foo.tar.!9* dentro de drectoro ^>e.emplos+>, pero so
tar Qxv" "oo#tar#bC8 !* \/eQemplos1/ !!ildcards XL#pngX
+7.*.6. Compresin y descompresin de arc$ivos Y.tar.29.
Genere un archvo .tar.xz (con compresn XZ) e|ecutando o sguente:
tar Oc" "oo#tar#xC pixmaps/
Para mostrar a sta de contendo de archvo foo.tar.29, e|ecute:
219
tar Otv" "oo#tar#xC
Extraga e contendo de archvo foo.tar.29 dentro de drectoro ^>e.emplos+>, e|ecutando o
sguente:
tar Oxv" "oo#tar#xC !* \/eQemplos1/
Extraga e contendo de archvo foo.tar.29 dentro de drectoro ^>e.emplos+>, pero so
tar Oxv" "oo#tar#xC !* \/eQemplos1/ !!ildcards XL#pngX
+7.*.7. Crear respaldos del sistema de arc$ivos.
Por o genera os respados se hacen sn compresn, a fn de que sean rpdos y consuman a
menor cantdad de recursos de sstema posbes y so se utza compresn cuando se tene un
espaco muy mtado en e sstema de archvo, undades de cnta u otras undades de
amacenamento.
Hay tres tpos de respados:
Completos- Se consderan de nivel I.
Diferenciales: Se consderan de nivel +. Conssten en respados que dependen de
un respado competo para poder restaurar todos os datos, so archvando os
archvos nuevos o que cambaron respecto de tmo respado competo. Es decr,
para restaurar os datos se requere e tmo respado competo y e respado
dferenca. Hoy en da se utzan muy poco, savo que e admnstrador de sstema
sea poco expermentado o ben porque as es como o prefere, pues consumen
mucho ms espaco en e sstema de archvos que os respados ncrementaes.
&ncrementales: Se consderan de nivel + cuando hay un soo respado competo
antes de ste, de nivel * cuando hay un respado competo y un respado
ncrementa antes de ste, de nivel 3 cuando hay un respado competo y dos
ncrementaes antes de ste y as sucesvamente. Son smares a respado
dferenca, pero stos pueden hacerse a partr de un respado competo y/o un
dferenca y/o otros ncrementaes, restaurando os datos en secuenca, por o cua
permten ahorrar e espaco dsponbe en e sstema de archvos. Es decr, para
restaurar os datos, se requere e tmo respado competo y uno o ms respados
ncrementaes.
Un respado competo se puede reazar con e mandato tar, con as opcones cpf (crear archvo,
preservar permsos, defnr nombre de archvo), e nombre de archvo *.tar a crear, a opcn (g
(defnr crear un archvo ncrementa en e nuevo formato de GNU) y e nombre de archvo con
extensn Y.snar (que provene de a contraccn de $napsot arcive). ste tmo es utzado
por e mandato tar para amacenar a nformacn respecto de qu fue o que se respad. La
opcn p es mportante para crear y restaurar os respados, pues permte preservar os permsos
y atrbutos orgnaes de os datos. S se omte esta opcn, todo e contendo amacenado y
restaurado sera propedad de usuaro root.
Cambe a usuaro root. A partr de este paso so podr reazar os procedmentos con
prvegos de root.
su !l
220
Genere e drectoro >var>respaldos e|ecutando o sguente:
mkdir /var/respaldos
En e sguente e|empo se crear un respado competo de drectoro /home, guardando os
archvos de datos e ncrementa dentro de /var/respados.
tar cp" /var/respaldos/completo#tar K
!g /var/respaldos/registro#snar /home
Para crear un respado ncrementa, soo se defne e nombre de un nuevo archvo, utzando e
msmo archvo *.snar.
tar cp" /var/respaldos/%n&re<en$#)-3#tar K
Para crear un segundo respado ncrementa, se e|ecutara o sguente:
tar cp" /var/respaldos/%n&re<en$#)-/#tar K
Para crear un tercer respado ncrementa, se e|ecutara o sguente:
tar cp" /var/respaldos/%n&re<en$#)-#tar K
Para restaurar os datos, se e|ecutara o sguente:
tar xp" /var/respaldos/completo#tar K
!g /var/respaldos/registro#snar !* /
tar xp" /var/respaldos/%n&re<en$#)-3#tar K
tar xp" /var/respaldos/%n&re<en$#)-/#tar K
tar xp" /var/respaldos/%n&re<en$#)-#tar K
Los respados tambn se pueden hacer en mtpes vomenes cuando e espaco en as
undades de amacenamento es mtado. Se hacen de modo smar a os respados competos,
pero aadendo a opcn (;, para ndcar que se reazar en mtpes vomenes y a opcn (,
para ndcar e tamao de voumen en bytes.
En e sguente e|empo se crear un respado de /home en una undad de amacenamento
externa, en cuatro partes de 4 GB (4194304 bytes) cada una, asumiendo que /home ocupa
menos de 16 GB (16777216 bytes) de espaco en e sstema de archvos y que a undad de
amacenamento externo est montada en e drectoro >media>D&?C0>:
221
tar cp" /media/&)S*0/'#r$e63#tar K
!g /media/&)S*0/registro#snar !. !2 4194@%4 /home
tar cp" /media/&)S*0/'#r$e6/#tar K
La restauracn de os datos se hace de modo smar a a de os respados ncrementaes, pero
aadendo a opcn (; para ndcar que se trata de un respado de varos vomenes.
tar xp" /media/&)S*0/'#r$e63#tar K
!g /media/&)S*0/registro#snar !. !* /
tar xp" /media/&)S*0/'#r$e6/#tar K
!g /media/&)S*0/registro#snar !. !2 !* /
A termnar os procedmentos, cerre a sesn de root.
exit
Contne con e documento ttuado Gestn de procesos y traba|os.
222
+:. @estin de procesos y tra!a.os.
ma uso de stos.
+:.+. &ntroduccin.
En este documento aprender e uso de os mandatos |obs, bg, fg, k, ka, ps, top y taskset.
Un =&D o dentdad de proceso, es un decma entero que especfca un proceso o un grupo de
procesos. Todos os procesos que se e|ecuten en un sstema pueden ser termnados o
anquados utzando e mandato Oill o ben e mandato Oillall, excepto por e proceso con =&D
+, e cua corresponde sempre a >s!in>init.
Un Jo! &D o dentdad de traba|o, dentfca un traba|o o grupo de traba|os que se e|ecutan en
segundo pano. E mandato Oill soo permtr termnar o anquar os traba|os orgnados de una
msma consoa o ntrprete de mandatos en e|ecucn.
Los traba|os se gestonan a travs de os mandatos bg, fg y |obs.
Los procesos se termnan normamente con ?&@A"'; (nmero de sea 15) o ben se anquan
con ?&@N& (nmero de sea 9), utzando e mandato Oill o e mandato Oillall.
+:.*. =rocedimientos.
Ingrese a sstema como root.
S utza CentOS, Fedora o Red Hat Enterprse Lnux, e|ecute o sguente:
yum !y install procps top util!linux!ng
S utza openSUSE o SUSE Lnux Enterprse, e|ecute o sguente:
yast !i procps psmisc util!linux
Cerre a sesn como root, e ngrese nuevamente a sstema como usuaro reguar (fuano) o ben
e|ecute o sguente:
su !l "ulano
+:.*.+. ,so de .o!sH !g y fg.
223
E|ecute e mandato sleep con e vaor 6II (pausa por 600 segundos), a fn de utzar ste como
traba|o de e|empo.
sleep 6%%
Puse CTRL+Z, o cua devover una sada smar a a sguente:
]G
D1EU &etenido sleep 6%%
Utce e mandato .o!s para vsuazar e traba|o detendo:
Qobs
D1EU &etenido sleep 6%%
E|ecute e mandato !g para reactvar e traba|o 1 en segundo pano:
bg 1
La sada deber devover o sguente:
D1EU sleep 6%% e
E|ecute nuevamente e mandato sleep, con e vaor 7II y un sgno amperson (&) a fna:
sleep $%% e
La sada devover ago smar a o sguente, ndcando e nmero de traba|o (2) y e nmero de
dentdad de proceso (PID):
D8E @$66
Con o anteror habr envado este traba|o drectamente a segundo pano.
Utce e mandato .o!s para vsuazar os traba|os en segundo pano:
D1E! 'Qecutando sleep 6%% e
D8EU 'Qecutando sleep $%% e
Para envar a prmer pano e prmer traba|o, e|ecute e mandato fg con + como argumento:
"g 1
Lo anteror har que sleep 6II regrese a prmer pano.
224
Para termnar este tmo traba|o, puse CTRL+C.
+:.*.*. ,so de psH Oill y Oillall.
Utce e mandato ps, con as opcones au2 (todos os procesos en todas as termnaes,
orentado a usuaros e ncuyendo todos os procesos con o sn un TTY), utzando una tubera (|)
con e mandato less para poder observar cmodamente a sada y os vaores de as coumnas
USER, PID, %CPU, %MEM, VSZ, RSS, TTY, STAT, START, TIME y COMMAND.
ps aux Nless
Repta e mandato anteror, esta vez utzando una tubera (|) y e mandato grep para vsuazar
soamente os procesos cuyo nombre ncuyan a cadena sleep:
ps aux Ngrep sleep
Lo anteror e devover una sada smar a a sguente:
"ulano @$66 %#% %#% 1%%964 :66 pts/8 S 117:% %7%% sleep $%%
"ulano @68% %#% %#% 1%@@96 6@8 pts/8 SU 117:1 %7%% grep !!color+auto sleep
La segunda coumna corresponde a nmero de dentdad de proceso (PID), determne e
correspondente a procesos sleep 7II.
Utce e mandato Oill con este nmero de dentdad de proceso, con a fnadad termnar ste de
manera norma (?&@A"';).
kill @$66
Lo anteror devover a sguente sada:
D8EU 1erminado sleep $%%
E|ecute de nuevo e mandato sleep, ahora con :II como argumento, con un sgno amperson (&)
a fna, a fn de generar un nuevo traba|o en segundo pano.
sleep 6%% e
D1E @68%
La forma ms senca de termnar de manera norma (SIGTERM) un traba|o, utzando e
mandato Oill, es utzar ste con e nmero de traba|o, preceddo por un sgno %, como
argumento. E|ecute e sguente mandato:
kill W1
225
La sada soo devover e smboo de sstema. S vueve a pusar a teca ENTER, a sada ser
smar a a sguente:
D1EU 1erminado sleep 6%%
E|ecute de nuevo e mandato sleep, ahora con :5I como argumento, con un sgno amperson (&)
a fna, a fn de generar un nuevo traba|o en segundo pano.
sleep 6:% e
D1E @6@%
Utce nuevamente e mandato ps, con as opcones au2, agregando una tubera y e mandato
grep para vsuazar en a sada soamente os procesos cuyo nombre ncuyan a cadena seep:
ps aux Ngrep sleep
Lo anteror e devover una sada smar a a sguente:
"ulano @6@% %#% %#% 1%%964 :64 pts/8 S 117:4 %7%% sleep 6:%
"ulano @6@: %#% %#% 1%@@96 686 pts/8 SU 117:6 %7%% grep !!color+auto sleep
Determne e nmero de dentdad de proceso correspondente a procesos sleep :5I.
Utce e mandato Oill con este nmero de dentdad de proceso, correspondente a sleep :5I,
con a fnadad ani#uilar ste (?&@N&).
kill !9 @6@%
D1EU 1erminado (killed) sleep 6:%
E|ecute o sguente para generar dos nuevos traba|os en segundo pano:
sleep 6%% e sleep $%% e
D1E @984
D8E @98:
Utce e mandato .o!s para vsuazar ambos traba|os:
Qobs
226
Lo anteror deber devover a sguente sada:
D8EU 'Qecutando sleep $%% e
Utce e mandato ps, con a opcn (., para vsuazar os nmeros de dentdad de proceso (PID)
de estos traba|os:
ps !Q
=)& =I)& S)& 11< 1).' *.&
@684 @684 @684 pts/8 %%7%%7%% bash
@984 @984 @684 pts/8 %%7%%7%% sleep
@98: @98: @684 pts/8 %%7%%7%% sleep
@9@$ @9@$ @684 pts/8 %%7%%7%% ps
Utce e mandato Oillall con a cadena sleep como argumento, a fn de terminar de manera
norma de todos os procesos denomnados sleep.
killall sleep
D1E! 1erminado sleep 6%%
D8EU 1erminado sleep $%%
E|ecute o sguente para generar dos nuevos traba|os en segundo pano:
sleep 6%% e sleep 9%% e
D1E @949
D8E @9:%
Utce e mandato .o!s para vsuazar ambos traba|os:
Qobs
D8EU 'Qecutando sleep 9%% e
Utce e mandato ps, con a opcn (., para vsuazar o nmeros de dentdad de proceso (PID)
de estos traba|os:
227
ps !Q
=)& =I)& S)& 11< 1).' *.&
@684 @684 @684 pts/8 %%7%%7%% bash
@949 @949 @684 pts/8 %%7%%7%% sleep
@9:% @9:% @684 pts/8 %%7%%7%% sleep
@9:6 @9:6 @684 pts/8 %%7%%7%% ps
Utce e mandato Oillall, con a opcn (s y e vaor [, |unto con a cadena sleep como
argumento, a fn de ani#uilar (termnacn anorma) de todos os procesos denomnados sleep.
killall !s 9 sleep
D1E! 1erminado (killed) sleep 6%%
D8EU 1erminado (killed) sleep 9%%
+:.*.3. ,so de nice y renice.
E|ecute e mandato tar con as opcones |cf para generar e archvo pxmaps.tar.bz2 con e
contendo de drectoro /b/modues, e|ecutando o sguente:
tar Qc" modulos#tar#bC8 /lib/modules
A termnar (uego de unos mnutos), utce e mandato tme para cuantfcar a e|ecucn de
mandato tar, con as opcones .2f, para descomprmr e archvo moduos.tar.bz2. E ob|etvo ser
cuantfcar a descompresn con a prordad de panfcacn 0 (vaor predetermnado de
sstema), a cua permte utzar os recursos que reguarmente permte utzar e sstema a
usuaro.
time tar Qx" modulos#tar#bC8
real %m1@#8@$s
user %m18#491s
sys %m1#684s
De msmo modo con e mandato tme, utce e mandato nice para e|ecutar e mandato tar, con
as opcones .2f, para descomprmr e archvo moduos.tar.bz2. E ob|etvo ser reazar a
descompresn cambando a prordad de panfcacn a 10 (vaor predetermnado de mandato
nice s es utzado sn ms argumentos), a fn de utzar menos recursos de sstema.
time nice !n U1% tar Qx" modulos#tar#bC8
La sada debe devover ago smar a o sguente.
228
real %m1@#6@6s
user %m18#94$s
sys %m1#9%6s
Los resutados debern ser geramente mayores que a e|ecucn de msmo mandato con e
vaor predetermnado de prordad de panfcacn (0).
De msmo modo, utce ahora e mandato nice, con a opcn (n y e vaor +[, para e|ecutar e
mandato tar, con as opcones .2f, con a menor prordad posbe, para descomprmr e archvo
moduos.tar.bz2. E ob|etvo ser reazar a descompresn cambando a prordad de
panfcacn a 10 (vaor predetermnado de mandato nice), a fn de utzar menos recursos de
sstema.
time nice !n U8% tar Qx" modulos#tar#bC8
La sada debe devover ago smar a o sguente.
real %m1@#916s
user %m1@#%4:s
sys %m1#6$:s
Los resutados debern ser sensbemente mayores que a e|ecucn de msmo mandato con e
E usuaro reguar soo pude defnr vaores de prordad de panfcacn de I a +[, prordad de
panfcacn predetermnada a prordad de panfcacn menos favorabe. Los vaores negatvos,
de (+ a (*I, que son os ms favorabes, so os pude utzar root.
Utzando e mandato su, con a opcn (c, con a cua se ndcar entre comas un mandato a
e|ecutar como root, repta e mandato anteror, pero con vaor (*I para e mandato nice.
su !c ,time nice !n !8% tar Qx" modulos#tar#bC8,
Lo anteror soctar se ngrese a cave de acceso de root y devover una sada smar a a
sguente:
real %m1@#@86s
user %m18#6@4s
sys %m1#9$6s
Los resutados debern ser sensbemente nferores que a e|ecucn de msmo mandato con e
Para cambar a prordad de panfcacn de un proceso en e|ecucn, se utza e mandato
renice, msmo que permte cambar a prordad panfcada por nmero de procesos, usuaro y
grupo. Los vaores de prordad de panfcacn se pueden vsuazar utzando e mandato ps,
con as opcones al2 (todos os procesos en todas as termnaes, en formato argo e ncuyendo
todos os procesos con o sn un TTY, respectvamente). E|ecute e sguente mandato:
ps alx Nless
229
Lo anteror mostrar as coumnas F, UID, PID, PPID, PRI, NI, VSZ, RSS, WCHAN, STAT, TTY, TIME y
COMMAND. Los vaores de prordad panfcada corresponden a a sexta coumna (NI).
E sguente e|empo camba a prordad de panfcacn a (+I a proceso 45678:
su !c ,renice !n !1% !p 4:6$6,
E sguente e|empo camba a prordad de panfcacn a (+I a todos os procesos de usuaro
fuano:
su !c ,renice !n !1% !u "ulano,
E sguente e|empo camba a prordad de panfcacn a (+I a todos os procesos de grupo
desarroo:
su !c ,renice !n !1% !g desarrollo,
E sguente e|empo camba a prordad de panfcacn a (+I a procesos 34567 de usuaro
fuano:
su !c ,renice !n !1% !p @4:6$ !u "ulano,
+:.*.4. ,so del mandato tasOset.
Este mandato so tene sentdo utzaro cuando se dspone de ms de un CPU gco en e
sstema. E|ecute e mandato nproc para determnar e nmero de CPUs gcos en e sstema:
nproc
Lo anteror so devover e nmero de CPUs gcos de sstema.
Para obtener nformacn ms detaada, e|ecute e mandato lscpu:
lscpu
Asumendo que e sstema dspone de dos nceos gcos, o anteror puede devover una sada
smar a a sguente:
230
5rchitecture7 i666
*=? op!mode(s)7 @8!bit
;yte 0rder7 2ittle 'ndian
C9UHsI1 /
On-)%ne C9UHsI )%s$1 6C3
1hread(s) per core7 1
*ore(s) per socket7 8
Socket(s)7 1
(endor )&7 Ienuine)ntel
*=? "amily7 6
.odel7 14
Stepping7 18
*=? .3C7 18%%#%%%
;ogo.)=S7 @8%%#1%
21d cache7 @8H
21i cache7 @8H
28 cache7 1%84H
Lo anteror representa un resumen de contendo de archvo >proc>cpuinfo, que tambn puede
consutarse e|ecutando o sguente:
less /proc/cpuin"o
E mandato tasOset es utzado para estabecer u obtener a afndad de CPU de un proceso a
travs de su PID o ben para e|ecutar un nuevo mandato con una afndad de CPU arbtrara. La
afndad de CPU es una propedad de panfcador de nceo de Lnux que vncua un procesos a
un con|unto de CPUs en e sstema. Este panfcador se encargar de que se mantenga a
afndad de CPU y que e proceso so se e|ecute en e CPU o en os CPUs especfcados. Cabe
seaar que de manera natva e panfcador de nceo de Lnux ncuye soporte para afndad
natura, a cua consste en que e panfcador ntentar mantener os procesos en e msmo CPU
tanto como sea prctco para mantener un buen desempeo en e sstema, por o cua a
manpuacn de a afndad de CPU so es t para certas tareas y apcacones.
S se especfca una mscara de bt ncorrecta o ben un CPU nexstente, nvarabemente e
mandato tasOset devover un error.
La afndad de CPU se representa a travs de una mscara de bt (bitmas'), donde e bt de
menor vaor corresponde a prmer CPU gco y e bt mayor corresponde a tmo CPU gco.
Las mscaras de bt se representan en hexadecma:
I2IIIIIII+
Corresponde a CPU #0
I2IIIIIII*
Corresponde a CPU #1
I2IIIIIII3
231
Corresponde os CPUs #0 y #1
I288888888
Corresponde a todos os CPUs (#0 hasta #31)
Para ncar un nuevo proceso con una afndad de CPU en partcuar, se utza a sguente
sntaxs:
taskset mascara mandato
E|empo:
taskset %x%%%%%%%1 tar Qc" modulos#tar#bC8 /lib
Para obtener a afndad de CPU de un procesos en e|ecucn, se e|ecuta e mandato tasOset con
a opcn (p para ndcar que se utzar un PID exstente y e nmero de PID como argumentos.
taskset !p pid
E|empo:
taskset !p @4:6$
Para cambar a afndad de CPU de un procesos en e|ecucn, se e|ecuta e mandato tasOset con
a opcn (p para ndcar que se utzar un PID exstente, a mascara de afndad de CPU
deseada y e nmero de PID como argumentos.
taskset !p mascara pid
E|empo:
taskset !p %x%%%%%%%1 @4:6$
S se dfcuta e uso de mscaras de bt en hexadecma, tambn es posbe utzar a opcn (c y
una sta numrca de CPUs gcos, donde 0 corresponde a prmer CPU, 1 corresponde a
segundo CPU gco, 2 corresponde a tercer CPU gco y as sucesvamente.
taskset !c !p lista pid
E|empo:
taskset !c !p 1 @4:6$
232
Tambn es posbe especfcar varos CPU de manera smutnea, defnendo una sta de stos
separada por comas y que tambn permte defnr rangos. E|empos:
taskset !c %B1 tar Qc" modulos#tar#bC8 /lib
taskset !c !p %B8 @4:6$
taskset !c !p 4!$ @4:6$
+:.*.5. ,so del mandato top.
Top es una herramenta que proporcona una vsuazacn contnua y en tempo rea de os
procesos actvos en un sstema, como una sta que de modo predetermnado o hace de acuerdo
a uso de CPU. Puede ordenar a sta por uso de memora y tempo de e|ecucn.
Para ordenar a sta de procesos por orden de uso de memora, puse ?F&8AK;. Para ordena a
sta de procesos por orden de tempo de e|ecucn, puse ?F&8AKA. Para nvertr e orden de a
sta, puse ?F&8AK'. Para actvar o ben desactvar, a vsuazacn por hos, puse ?F&8AKF.
Para ordenar de nuevo a sta de procesos por orden de uso de CPU, puse ?F&8AK=.
Para mostrar os procesos de un usuaro en especfco, puse a teca u y defna a contnuacn e
nombre de usuaro.
Para termnar o anquar cuaquer proceso, puse a teca O y defna a contnuacn e nmero de
dentdad de proceso que corresponda y uego a sea a utzar (9 o 15).
Para cambar a prordad de panfcacn de cuaquer proceso, puse a teca r y a contnuacn
defna e nmero de dentdad de proceso que corresponda y uego e vaor de prordad de
panfcacn deseado.
Para ver e a ayuda competa de mandato top, puse a teca $.
233
+[. ,so del mandato lsof
ma uso de stos.
+[.+. &ntroduccin.
+[.+.+. Acerca de lsof.
sof sgnfca 2listar arcivos abiertos3 (lst open fes). Es utzado ampamente en sstemas
operatvos tpo =0?&E para hacer reportes de archvos y os procesos que estn utzando a
stos. Se puede utzar para revsar que procesos estn hacendo uso de drectoros, archvos
ordnaros, tuberas (pipes), zcaos de red (soc'ets) y dspostvos. Uno de os prncpaes usos de
determnar que procesos estn hacendo uso de archvos en una partcn cuando esta no se
puede desmontar. sof fue desarroado por Jic A!ell, quen aguna vez fue drector de Centro
de Cmputo de a ,niversidad de =urdue.
+[.*. "#uipamiento lgico necesario.
+[.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
Para nstaar lsof, e|ecute o sguente:
yum !y install lso"
+[.*.*. "n open?,?"G y ?,?"G inu2 "nterprise.
Para nstaar lsof, e|ecute o sguente:
yast !i lso"
+[.3. =rocedimientos.
E manua competo de mandato lsof puede consutarse e|ecutando o sguente:
man 6 lso"
Para ver todos os procesos que utzan e sstema de archvos en genera, e|ecute e mandato
lsof sn opcones u argumentos:
lso"
234
En e|empo de a sada tpca sera como a sguente:
*0..5-& =)& ?S'R >& 1<=' &'()*' S)G' -0&' -5.'
init 1 root cd &)R 9B@ 4%96 8 /
init 1 root rtd &)R 9B@ 4%96 8 /
init 1 root txt R'I 9B@ @668% 1464@4 /sbin/init
init 1 root mem R'I 9B@ 18:$@6 1$::%$ /lib/ld!8#:#so
init 1 root mem R'I 9B@ 16%8164 1$::14
/lib/i666/nosegneg/libc!8#:#so
init 1 root mem R'I 9B@ 16486 1$::16 /lib/libdl!8#:#so
init 1 root mem R'I 9B@ 9@:%6 1$:6$$ /lib/libselinux#so#1
init 1 root mem R'I 9B@ 84866% 1$::$@ /lib/libsepol#so#1
init 1 root 1%u >)>0 %B1: 1:4@ /dev/initctl
Para vsuazar ms cmodamente esta sada, se puede utzar e mandato less o e mandato
more como subrutnas. E|empo:
lso" N less
Puede especfcarse que se muestren todos os procesos desde un drectoro en partcuar,
soamente especfcando este uego de lsof. En e sguente e|empo se socta a lsof mostrar
todos os procesos que estn hacendo uso de ago dentro de /var.
lso" /var
La sada de a anteror puede ser smar a a sguente:
*0..5-& =)& ?S'R >& 1<=' &'()*' S)G' -0&' -5.'
auditd 884$ root : R'I 9B1 4%6%:6 :@418%6 /var/log/audit/audit#log
syslogd 8861 root 1 R'I 9B1 11@4$%6 1$%%6:9@ /var/log/messages
syslogd 8861 root 8 R'I 9B1 18461 1$%%6:94 /var/log/secure
syslogd 8861 root @ R'I 9B1 998: 1$%%6:9: /var/log/maillog
syslogd 8861 root 4 R'I 9B1 @@@9 1$%%6:96 /var/log/cron
syslogd 8861 root : R'I 9B1 % 1$%%6:96 /var/log/spooler
syslogd 8861 root 6 R'I 9B1 916 1$%%6:9$ /var/log/boot#log
named 8@:% named cd &)R 9B1 4%96 16@:184% /var/named/chroot/var/named
named 8@:% named rtd &)R 9B1 4%96 16@:18@6 /var/named/chroot
named 8@:% named 9r *3R 1B6 16@:1846 /var/named/chroot/dev/random
rpc#statd 84%$ root cd &)R 9B1 4%96 1:4@@$89 /var/lib/n"s/statd
rpc#statd 84%$ root 6 R'I 9B1 : 8::916@1 /var/run/rpc#statd#pid
S se quere mostrar soamente e archvo utzado por un procesos en partcuar, se utza a
opcn -p seguda de nmero de proceso. En e sguente e|empo se socta a lsof mostrar os
archvos utzados por e proceso 2281 que arbtraramente se e|ecuta en un sstema:
lso" !p 8861
S hubera un proceso 2281, a sada podra verse como a sguente:
*0..5-& =)& ?S'R >& 1<=' &'()*' S)G' -0&' -5.'
syslogd 8861 root cd &)R 9B@ 4%96 8 /
syslogd 8861 root rtd &)R 9B@ 4%96 8 /
syslogd 8861 root txt R'I 9B@ @:6%% 146@98 /sbin/syslogd
syslogd 8861 root mem R'I 9B@ 16%8164 1$::14 /lib/i666/nosegneg/libc!8#:#so
syslogd 8861 root mem R'I 9B@ 4666% 1$::89 /lib/libnss/"iles!8#:#so
syslogd 8861 root mem R'I 9B@ 18:$@6 1$::%$ /lib/ld!8#:#so
syslogd 8861 root %u unix %xc%ac"c6% 69%9 /dev/log
syslogd 8861 root 1 R'I 9B1 11@4$%6 1$%%6:9@ /var/log/messages
syslogd 8861 root 8 R'I 9B1 18461 1$%%6:94 /var/log/secure
syslogd 8861 root @ R'I 9B1 998: 1$%%6:9: /var/log/maillog
syslogd 8861 root 4 R'I 9B1 @@@9 1$%%6:96 /var/log/cron
syslogd 8861 root : R'I 9B1 % 1$%%6:96 /var/log/spooler
syslogd 8861 root 6 R'I 9B1 916 1$%%6:9$ /var/log/boot#log
235
La opcn (i har que se muestren todos os archvos de red (&nternet y 2.*5) utzados por
procesos de red. S se quere mostrar os archvos de red en uso por agn proceso de red en
partcuar, se utzan as opcones (i segudo de una subrutna con grep y e nombre de agn
servco. En e sguente e|empo se pde a lsof mostrar soamente os archvos de red utzados
por os procesos de red dervados de named:
lso" !i N grep named
Lo anteror puede devover una sada smar a a sguente.
named 8@:% named 8%u )=v4 $%91 ?&= localhost#localdomain7domain
named 8@:% named 81u )=v4 $%98 1*= localhost#localdomain7domain (2)S1'-)
named 8@:% named 88u )=v4 $%9@ ?&= servidor#redlocal#net7domain
named 8@:% named 8@u )=v4 $%94 1*= servidor#redlocal#net7domain (2)S1'-)
named 8@:% named 84u )=v4 $%9: ?&= L7"ilenet!tms
named 8@:% named 8:u )=v6 $%96 ?&= L7"ilenet!rpc
named 8@:% named 86u )=v4 $%9$ 1*= localhost#localdomain7rndc (2)S1'-)
named 8@:% named 8$u )=v6 $%96 1*= localhost6#localdomain67rndc (2)S1'-)
named 8@:% named 86u )=v4 11:@$9% ?&= 198#166#188#17domain
236
*I. 8unciones !<sicas de vi
*I.+. &ntroduccin.
V es uno de os edtores de texto ms poderos y ae|os que hay en e mundo de a nformtca.
Resuta sumamente t conocer a funconadad bsca de V con a fnadad de factar a
edcn de archvos de texto smpe, prncpamente archvos de confguracn.
*I.*. =rocedimientos.
*I.*.+. "#uipamiento lgico necesario.
Por o genera, v se nstaa de modo predefndo en a mayora de as dstrbucones de
GNU/Lnux a travs de paquete vim(minimal (CentOS, Fedora y Red Hat Enterprse Lnux) o
vm-base (openSUSE y SUSE Lnux Enterprse). Puede consegurse funconadad adcona a
travs de os sguentes paquetes:
vim(en$anced Versn me|orada de v que aade coor a a sntaxs y otras me|oras
en a nterfaz. Instaa >usr>!in>vim en CentOS, Fedora, Red Hat Enterprse Lnux
y openSUSE. Este paquete est ausente en SUSE Lnux Enterprse.
vim(minimalo vim(!ase: Versn muy bsca y gera de v. Instaa >!in>vi.
vim(E++ o gvim: Versn de v para modo grfco, ms fc de utzar gracas a os
mens y barra de herramentas. Instaa >usr>!in>gvim y os enaces smbcos
>usr>!in>evim y >usr>!in>vim2 que apuntan haca ste.
"n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
S reaz una nstaacn mnma, nstae vm e|ecutando o sguente:
yum !y install vim vim!enhanced vim!minimal
*I.*.+.+. "n open?,?"G y ?,?"G inu2 "nterprise.
S reaz una nstaacn mnma, nstae vm e|ecutando o sguente:
yast !i vim vim!base
237
*I.3. Conociendo vi.
Acceda a sstema autentcando como usuaro sn prvegos PfulanoQ y reace o sguente:
vim holamundo#txt
Lo anteror mostrar una nterfaz como a sguente:
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
,holamundo#txt, D5rchivo nuevoE %B%!1 1odo
Puse una vez e botn <INSERT> -o ben a teca - y observe os cambos en a pantaa
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
-- ?NSERTAR -- %!1 1odo
238
En a parte nferor de a pantaa aparecer a paabra &)?"'AA'. Esto sgnfca que, a gua
que cuaquer otro edtor de texto conocdo, puede comenzar a nsertar texto en e archvo.
Escrba a frase Acance Lbre, puse a teca = (")A"') y escri!a de forma pro(positiva a
frase un vuen ugar donde comensar:
5lcance 2ibre
un vuen lugar donde comensar
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
-- ?NSERTAR -- %!1 1odo
Poscone e cursor de tecado |usto deba|o de a v de a paabra vuen y puse de nuevo a
teca <INSERT> de tecado -o ben puse a teca <Esc> y SHIFT+R. Notar que ahora aparece
a paabra REEMPLAZAR:
5lcance 2ibre
un vuen lugar donde comensar
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
-- REEM9LAJAR -- %!1 1odo
Puse a teca b y observe como se reempaza a etra v para quedar a paabra corregda
como buen:
239
5lcance 2ibre
un buen lugar donde comensar
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
Mueva e cursor con as fechas de tecado y repta e procedmento reempazando a etra s
por una z en a paabra comensar de modo que quede como comenzar:
5lcance 2ibre
un buen lugar donde empeCar
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
Puse a teca <Esc> para sar de modo de reempazo e nmedatamente puse a teca : (dos
puntos) segudo de a etra w con a fnadad de proceder a guardar e archvo en e sstema de
archvos:
240
5lcance 2ibre
un buen lugar donde comenCar
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
7
Puse a teca = (")A"') y notar que aparece un mensa|e en a parte nferor de a pantaa que
ndcar que e archvo ha sdo guardado:
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
,holamundo#txt, D-uevoE 82B 44* escritos 8B@ 1odo
Vueva a pusar a teca - (dos puntos) e uego escrba saveas adosmundo.txt:
241
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
7saveas adiosmunto#txt
Puse nuevamente a teca = (")A"') y observe e mensa|e en a parte nferor de a pantaa que
ndca e archvo acaba de ser guardado como e archvo adosmundo.txt:
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
,adiosmundo#txt, D-uevoE 82B 44* escritos 8B@ 1odo
Vueva a pusar a teca INSERT para regresar a modo de nsercn y escrba o sguente:
242
5lcance 2ibre
*reo Jue el mundo es un lugar muy malo
2a gente Jue conoCco es mala
.i vida ha sido muy mala
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
!! )-S'R15R !! :B84 1odo
A contnuacn puse a teca <Esc> e nmedatamente puse a teca - (dos puntos) segudo de a
combnacn de tecas cs>mal>!uen>g de sguente modo:
5lcance 2ibre
*reo Jue el mundo es un lugar muy malo
2a gente Jue conoCco es mala
.i vida ha sido muy mala
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
7Ws/mal/buen/g
Puse de nuevo a teca = (")A"') y observe como ha sdo reempazada a cadena de caracteres
ma por a cadena de caracteres buen en todo e archvo, quedando de sguente modo:
243
5lcance 2ibre
*reo Jue el mundo es un lugar muy bueno
2a gente Jue conoCco es buena
.i vida ha sido muy buena
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
@ sustituciones en @ lfneas :B1
1odo
En e procedmento anteror, e smboo % ndcaba que se apcara un procedmento a todo e
archvo, adems de a nea msma, a etra s ndcaba que se reazara a bsqueda de a
cadena de caracteres ma defnda despus de a dagona (/) por a cadena de caracteres
buen en toda a nea, ndcado por a etra g.
A contnuacn, poscones e cursor de tecado utzando as fechas de tecado hasta e prmer
carcter de a prmera nea:
5cance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
@ sustituciones en @ lfneas :B1
1odo
244
Ahora puse dos veces consecutvas a teca d, es decr, pusar dd. Observe como
desaparece a prmera nea:
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\

Puse ahora a teca p para vover a pegar a nea:
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\

Observe que a nea Acance Lbre reaparec deba|o de a nea un buen ugar donde
comenzar. Utzando as fechas de tecado, cooque e cursor de tecado nuevamente sobre e
prmer carcter de a prmera nea de archvo, es decr, sobre a etra u de a nea un buen
ugar donde comenzar:
245
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
1B1 1odo
Vueva a pusar dd para cortar a nea un buen ugar donde comenzar e uego puse a teca
p para pegar a nea en e ugar correcto:
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
8B1 1odo
Cooque ahora e cursor sobre a etra C de a nea Creo que e mundo es un ugar muy
bueno y puse a teca 3 segudo de dd y observe como son cortadas as tres sguentes
neas:
246
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
@ lfneas menos 8B1 1odo
Puse a teca p una vez, observe e resutado. Vueva a pusar a teca p y observe e
resutado. Las dos accones anterores aaderon ahora 6 neas restaurando as emnadas
anterormente y agregando tres neas ms con e msmo contendo:
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
@ lfneas mRs 8B1 1odo
Puse ahora a teca - (dos puntos) segudo de a teca x y a teca = (")A"') con a fnadad
de sar de edtor guardando e archvo.
SUSE Lnux Enterprse carece de paquete vim(en$anced, por o cua ser mposbe se
muestre e resatado de as bsquedas. S utza este sstema operatvo, omta os sguentes dos
pasos.
Abra nuevamente e archvo adiosmundo.t2t con v y puse a combnacn de tecas ->!uen, de
modo que se reace una bsqueda de a cadena de caracteres buen y adems se resaten as
concdencas:
247
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
/buen 8B1 1odo
Para cancear e resatado de os resutados, puse a combnacn de tecas -no$l:
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
8B1 1odo
Puse A (combnacn de as tecas SHIFT+a) mentras e cursor permanece en a segunda nea y
observe que ncar e modo &)?"'AA' coocando e cursor a fna de a nea donde se
encontraba:
248
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
-- ?NSERTAR -- 8B1 1odo
Puse a teca <Esc> y enseguda o. Notar que ncar e modo &)?"'AA' abrendo una nueva
nea:
5lcance 2ibre

\
\
\
\
\
\
\
\
\
\
\
-- ?NSERTAR -- @B1 1odo
Puse nuevamente a teca <Esc> y en seguda a combnacn d@ (d, uego SHIFT+G). Notar
que emna todo e contendo de texto desde a poscn de cursor hasta e fna de archvo:
249
5lcance 2ibre
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
\
$ lfneas menos 8B1 1odo
Puse a combnacn -u y notar que e cambo se ha descartado, regresando as 7 neas que
haban sdo emnadas:
5lcance 2ibre

\
\
\
\
\
\
\
\
\
\
\
$ lfneas mRs @B%!1 1odo
*I.4. 0tros mandatos de vi.
;andato 'esultado
|o ben a teca
nsert|
Inca e modo nsertar antes de cursor
R (r + SHIFT) Inca e modo reempazar a inicio de a nea donde se encuentra e cursor
a Inca nsertar texto despus de cursor
I ( + SHIFT) Inca nsertar texto a inicio de a nea donde se encuentra e cursor
A (a + SHIFT) Inca nsertar texto a final de a nea donde se encuentra e cursor.
250
o Abre una nueva nea e nca nsertar texto en a nueva nea.
x Emna e carcter que est sobre e cursor.
dd Emna o corta a nea actua donde se encuentre e cursor.
yy Copa a nea actua donde se encuentre e cursor.
D Emna desde a poscn actua de cursos hasta e fna de a msma nea donde
se encuentra e cursor.
dG Emna todo hasta e fna de archvo.
:q Sada. S hay cambos pendentes se mpedr a sada.
:q! Sada descartando os cambos en e archvo.
:w Guardar e archvo sn sar.
:wq Guardar e archvo y sae de v.
:x o msmo que :wq
:saveas /o/que/sea guarda e archvo como otro archvo donde sea necesaro.
:wq! ++enc=utf8 codfca e archvo en UTF-8.
:u deshacer cambos
:red rehacer cambos.
:/cadena de
caracteres
Bsqueda de cadenas de caracteres.
:noh Cancear e resatado de resutados de Bsqueda.
:e archvo Edta un nuevo archvo en un nuevo bfer.
:bn o :bnext Conmuta a sguente archvo aberto.
:bp o :bprev Conmuta a archvo aberto anteror.
:bd Cerra bfer actvo.
CTRL+W s o :spt Dvde horzontamente en dos bferes.
CTRL+W v Dvde vertcamente en dos bferes.
CTRL+W w Conmuta entre en bferes abertos.
CTRL+W s Cerra e bfer actvo.
*I.5. ;<s all< de las funciones !<sicas.
Instae e paquete vm-enhanced:
yum !y install vim!enhanced
Utce vimtutor y compete e tutor interactivo oficial de V con a fnadad de que conozca e
resto de as funconadades ms mportantes.
251
*+. &ntroduccin a sed
ma uso de stos.
*+.+. &ntroduccin.
*+.+.+. Acerca de sed.
?ed es un edtor de emsones (stream edtor) utzado para e procesamento de texto en
archvos. Utza un engua|e de programacn para reazar transformacones en una emsn de
datos eyendo nea por nea de estos. Fue desarroado entre 1973 y 1974 por Lee E. McMahon
de Be Labs. Est ncudo en as nstaacones bscas de prctcamente todas as dstrbucones
de GNU/Lnux.
*+.*. =rocedimientos.
A contnuacn se mostrarn e|empos de uso de sed.
Utce v para crear e archvo usuaro.txt:
vi usuario#txt
Ingrese e sguente contendo y saga de v:
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
*iudad de GutanoB *#=# 18@4:6
S utza e mandato cat sobre e archvo, vsuazar ta cua e contendo de usuaro.txt como fue
ngresado en v.
cat usuario#txt
S se quere convertr a dobe espaco a sada de archvo usuaro.txt, utce e sguente
mandato:
sed I usuario#txt
La sada devover o sguente:
252
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
Para guardar esta sada en e archvo usuaro2.txt, utce o sguente:
sed I usuario#txt M usuario8#txt
S se quere convertr a dobe espaco a sada de archvo usuaro.txt, utce e sguente
mandato:
sed XIYIX usuario#txt
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
Para guardar esta sada en e archvo usuaro2.txt, utce o sguente:
sed XIYIX usuario#txt M usuario@#txt
E contendo de usuaro3.txt tendr trpe espaco de separacn. S se desea convertr un archvo
a dobe espaco, pero que no haya ms de una nea vaca entre cada ena con datos, se utza
o sguente:
sed X/]F/dYIX usuario@#txt
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
S se desea emnar e dobe espaco de archvo usuaro2.txt, se utza o sguente:
sed XnYdX usuario8#txt
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
S se quere agregar una nea en banco arrba de toda nea que contenga a expresn reguar
enga, se utza o sguente:
253
sed X/enga/cxYpYxYdX usuario#txt
>ulano 5lgo
*alle .eng#na 18@
*olonia =erengana
S se quere agregar una nea en banco deba|o de toda nea que contenga a expresn reguar
3, se utza o sguente:
sed X/@/IX usuario#txt
>ulano 5lgo
*alle .engana 18
*olonia =erengana
*iudad de GutanoB *#=# 184:6
S se quere agregar una nea en banco arrba y deba|o de toda nea que contenga a expresn
reguar 3, se utza o sguente:
sed X/@/cxYpYxYIYdX usuario#txt
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
Para reempazar texto se utza e modeo 's/texto/nuevo-texto/' donde texto puede ser tambn
una expresn reguar. En e sguente e|empo se reempazarn as ncdencas de nmero por e
nmero 9:
sed Xs/@/9/gX usuario#txt
>ulano 5lgo
*alle .engana 18=
*olonia =erengana
*iudad de GutanoB *#=# 18=4:6
En e sguente e|empo se reempazan os espacos por tabuadores a todo o argo de todas as
neas:
sed Xs/K /Kt/gX usuario#txt
254
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
En e sguente e|empo se reempazan soo e prmer espaco de cada nea por un tabuador:
sed Xs/K /Kt/X usuario#txt
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
La sguente nea aade 5 espacos a nco de cada nea:
sed Xs/]/ /X usuario#txt
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
E sguente mandato soo mprme a prmera nea de archvo usuaro.txt:
sed J usuario#txt
>ulano 5lgo
E sguente mandato soo mprme as prmeras dos neas de archvo usuaro.txt:
sed 8J usuario#txt
>ulano 5lgo
*alle .engana 18@
E sguente mandato soo muestra as tmas tres neas de archvo usuaro.txt:
sed !e 7a !e XFJY-Y4BF&YbaX usuario#txt
255
*alle .engana 18@
*olonia =erengana
E sguente mandato soo mostrar as neas que ncuyen 3:
sed X/@/TdX usuario#txt
*alle .engana 18
*iudad de GutanoB *#=# 184:6
E sguente mandato soo mostrar as neas que no ncuyen 3:
sed X/@/dX usuario#txt
>ulano 5lgo
*olonia =erengana
E sguente mandato pde mostrar a nea que est nmedatamente despus de a expresn
8ulano, pero no a nea en s que ncuye 8ulano:
sed !n X/>ulano/cnYpYdX usuario#txt
*alle .engana 18@
E sguente mandato pde mostrar a nea que est nmedatamente antes de a expresn Calle,
pero no a nea en s que ncuye Calle:
sed !n X/*alle/cgY1TpYdYhX usuario#txt
>ulano 5lgo
*+.3. Bi!liografa.
Erc Pement: http://student.northpark.edu/pemente/sed/sed1ne.txt
Wkpeda: http://en.wkpeda.org/wk/Sed
256
**. &ntroduccin a A]N
ma uso de stos.
**.+. &ntroduccin.
**.+.+. Acerca de A]N.
A]N, cuyo nombre derva de a prmera etra de os apedos de sus autores Afred Aho, Peter
]enberger y Bran Nernghan, es un engua|e de programacn que fue dseado con e ob|etvo
de procesar datos basados sobre texto y una de as prmeras herramentas en aparecer en Unx.
Utza stas en un ndce ordenado por cadenas cave (stas asocatvas) y expresones reguares.
Es un engua|e ampamente utzado para a programacn de guones e|ecutabes pues aade
funconadad a as tuberas en os sstemas operatvos tpo =0?&E. Est ncudo en as
nstaacones bscas de prctcamente todas as dstrbucones de GNU/Lnux.
**.+.*. "structura de los programas escritos en A]N.
E mandato aRO utza un archvo o emsn de ordenes y un archvo o emsn de entrada. E
prmero ndca como procesar a segundo. E archvo de entrada es por o genera texto con agn
formato que puede ser un archvo o ben a sada de otro mandato.
La sntaxs genera utzada para e mandato aRO utza e sguente patrn:
ak XexpresiPn!regular c orden dX
Cuando se utza e mandato aRO, ste examna e archvo de entrada y e|ecuta a orden cuando
encuentra a expresn reguar especfcada.
E sguente modeo e|ecutara a orden a nco de programa y antes de que sean procesados os
datos de archvo de entrada:
ak X;'I)- c orden dX
E sguente modeo e|ecutara a orden a fna de programa y despus de que sean procesados
os datos de archvo de entrada:
ak X'-& c orden dX
E sguente modeo e|ecutara a orden por cada una de as neas de archvo de entrada:
257
ak Xc orden dX
**.*. =rocedimientos.
A contnuacn se mostrarn e|empos de uso de AWK.
E sguente mandato especfca que a nco se mprma en a sada a frase "Hoa mundo" y
termnar e procesamento.
ak X;'I)- c print ,3ola mundo,Y exit dX
Lo anteror deber devover una sada como a sguente:
3ola mundo
S se genera e archvo prue!a.t2t de sguente modo:
echo !e ,*olumna1Kt*olumna8Kt*olumna@Kt*olumna4Kn, M eQemplo#txt
Y se vsuaza con e mandato cat:
cat eQemplo#txt
Devover e sguente contendo:
*olumna1 *olumna8 *olumna@ *olumna4
S se utza e mandato aRO para que soo muestre a coumna 1 y a coumna 3 de sguente
modo:
ak Xc print F1B F@dX eQemplo#txt
*olumna1 *olumna@
S se utza e mandato aRO para que soo muestre a coumna 3 y a coumna 1, en ese orden,
de sguente modo:
ak Xc print F@B F1dX eQemplo#txt
*olumna@ *olumna1
S se aaden datos a archvo e.emplo.t2t de sguente modo:
258
echo !e ,&ato1Kt&ato8Kt&ato@Kt&ato4Kn, MM eQemplo#txt
echo !e ,&ato:Kt&ato6Kt&ato$Kt&ato6Kn, MM eQemplo#txt
echo !e ,&ato9Kt&ato1%Kt&ato11Kt&ato18Kn, MM eQemplo#txt
Y se vsuaza con e mandato cat:
cat eQemplo#txt
Devover e sguente contendo:
*olumna1 *olumna8 *olumna@ *olumna4
&ato1 &ato8 &ato@ &ato4
&ato: &ato6 &ato$ &ato6
&ato9 &ato1% &ato11 &ato18
S se utza nuevamente e mandato aRO para que soo muestre a coumna 1 y a coumna 3 de
sguente modo:
ak Xc print F1B F@ dX eQemplo#txt
*olumna1 *olumna@
&ato1 &ato@
&ato: &ato$
&ato9 &ato11
S se utza e mandato aRO de sguente modo para que soo muestre soo a nea cuya
coumna contenga a expresn reguar Dato5:
ak X/&ato:/ c print dX eQemplo#txt
&ato: &ato6 &ato$ &ato6
S se utza e mandato aRO de sguente modo para que soo muestre soo a nea cuya
coumna contenga a expresn reguar Dato5 y adems soo as coumnas 1 y 4:
ak X/&ato:/ c print F1B F4dX eQemplo#txt
&ato: &ato6
S se utza e mandato aRO de sguente modo para que muestre soo as neas con m<s de 35
caracteres en e archvo >etc>cronta!:
ak Xlength M @:X /etc/crontab
259
La sada devover ago smar a o sguente:
A N N #!!!!!!!!!! day o" month (1 ! @1)
A L L L L L user!name command to be executed
S se utza e mandato aRO de sguente modo para que muestre soo as neas con menos de
35 caracteres en e archvo >etc>cronta!:
ak Xlength b @:X /etc/crontab
S3'22+/bin/bash
.5)210+root
A N #!!!!!!!!!!!!! hour (% ! 8@)
A N N N N N
Utce e mandato vi para crear e archvo usuario.t2t:
vi usuario#txt
>ulano 5lgo
*alle .engana 18@
*olonia =erengana
Para que e mandato aRO reconozca cada nea como un regstro competo, en ugar de
consderar cada paabra como una coumna, se utza _B"@&) d 8?V/an/ e '?V//f_, donde e
vaor de 8? (8ed ?eparator o separador de campo) se estabece como un retorno de carro y e
vaor de '? ('ecord ?eparator o separador de regstro) se estabece como una nea vaca. S
utza e sguente mandato donde se estabecen os vaores menconados para FS y RS y se pde
se mprman os vaores de cada regstro (cada nea) separados por una coma y un espaco:
ak X;'I)- c >S+,Kn,Y RS+,, d K
c print F1 ,B , F8 ,B , F@ ,B , F4 dX usuario#txt
>ulano 5lgoB *alle .engana 18@B *olonia =erenganaB *iudad de GutanoB *#=#
18@4:6
E mandato aRO puede reazar conteo de neas, paabras y caracteres. E sguente mandato se
estabece que e vaor de R sea gua a nmero de campos ()ew 8ed o )8), c sea gua a
ongtud de cada campo y que se mprma e nmero de campos, e vaor de R y e vaor de c:
260
ak Xc U+ ->Y c U+ length d K
'-& c print K
,*ampos7 , -R B ,Kn=alabras7 , B ,Kn*aracteres7 , c dX K
usuario#txt
*ampos7 4
=alabras7 18
*aracteres7 $4
Genere e archvo numeros.t2t con e sguente contendo, donde as coumnas sern separadas
por un tabuador:
1 8 @ 4
: 6 $ 6
9 1% 11 18
e mandato aRO puede reazar operacones matemtcas. E sguente mandato estabece que a
varabe $ es gua a a suma de vaor de os campos de a primera columna de archvo
numeros.t2t, e mprme e vaor de s:
ak Xc s U+ F1 d '-& c print s dX numeros#txt
La sada devover o sguente (que corresponde a resutado de a suma de 1+5+9):
1:
S se hace o msmo, pero con os vaores de a coumna 2:
ak Xc s U+ F8 d '-& c print s dX numeros#txt
La sada devover o sguente (que corresponde a resutado de a suma de 2+6+10):
16
Para hacer conteo de frecuenca de paabras, Se estabece que e vaor para 8? (8ed ?eparator
o separador de nea) sea gua a expresones reguares que van desde a etra a hasta a etra 9 y
desde a etra A hasta a etra b, se estabece que e vaor de a varabe i es gua a + y menor a
nmero de campos.
ak X;'I)- c >S+,D]a!C5!GEU, d K
c "or (i+1Y ib+->Y iUU) ordsDtoloer(Fi)EUU d K
'-& c "or (i in ords) print iB ordsDiE dX /etc/crontab
261
1:
Qob 1
to 1
usr 8
root 1
shell 1
mon 1
hour 1
bin @
executed 1
name 1
ed 1
"ri 1
details 1
o" @
"eb 1
eek 1
sun 1
path 1
crontabs 1
or @
be 1
apr 1
de"inition 1
month 8
sbin 8
tue 1
Qan 1
day 8
command 1
"or 1
sunday 1
man 1
mar 1
user 1
minute 1
example 1
see 1
bash 1
sat 1
mailto 1
thu 1
262
*3. ,so de los mandatos c$oRn y c$grp
Sitio de Red: http://www.alcancelibre.org
*3.+. &ntroduccin.
Tanto e mandato c$oRn como e mandato c$grp forman parte de paquete coreutils, e cua se
nstaa de forma predetermnada en todas as dstrbucones de GNU/Lnux debdo a que se trata
componente esenca.
URL: ftp://apha.gnu.org/gnu/coreuts/
*3.*. ;andato c$oRn.
E mandato c$oRn se utza para cambar e propetaro a cua pertenece un archvo o
drectoro. Puede especfcarse tanto e nombre de un usuaro, as como un nmero de dentdad
de usuaro (,&D). De manera opcona, utzando un sgno de dos puntos (-) o ben un punto (.),
permte especfcar tambn un nombre de grupo.
E manua competo de mandato c$oRn puede consutarse e|ecutando o sguente:
man 1 chon
*3.*.+. 0pciones.
('
De manera descendente camba e propetaro de os drectoros |unto con
todos sus contendos. De manera opcona tambn permte cambar e grupo
a cua pertenecen.
(v Po ((ver!oseQ Sada ms descrptva.
((version Ver e nmero de versn de programa.
((dereference Acta sobre enaces smbcos en ugar de hacero sobre e destno.
($ Po
((no(dereferenceQ
En e caso de enaces smbcos, camba e propetaro de destno en ugar
de propo enace.
((reference
Camba e e propetaro de un archvo, tomando como referenca e
propetaro de otro.
*3.*.*. ,tili9acin.
chon DopcionesE usuarioD7grupoE archivo(s) o directorio(s)
263
*3.3. ;andato c$grp.
E mandato c$grp se utza para cambar e grupo a cua pertenece un archvo o drectoro.
Puede especfcarse tanto e nombre de un grupo, as como un nmero de dentdad de grupo
(@&D).
E manua competo de mandato c$grp puede consutarse e|ecutando o sguente:
man 1 chgrp
*3.3.+. 0pciones.
('
De manera descendente camba e grupo a cua pertenecen os drectoros
|unto con todos sus contendos.
(v Po ((ver!oseQ Sada de c$grp ms descrptva.
((version Ver e nmero de versn de programa.
((dereference Acta sobre enaces smbcos en ugar de hacero sobre e destno.
($ Po
((no(dereferenceQ
En e caso de enaces smbcos camba e grupo de destno en ugar de
propo enace.
((reference
Camba e grupo de un archvo tomando como referenca e propetaro de
otro.
*3.3.*. ,tili9acin.
chgrp DopcionesE archivo(s) o directorio(s)
*3.4. ".emplos.
E sguente mandato reaza e cambo de propetaro a fulano sobre e archvo ago.txt.
chon "ulano algo#txt
E sguente mandato reaza e cambo de propetaro a fulano y e grupo desarrollo sobre e
archvo ago.txt.
chon "ulano7desarrollo algo#txt
E sguente mandato reaza e cambo de propetaro a fulano y e grupo mail de sub-drectoro
;ail |unto con todo su contendo.
chon !R "ulano7mail .ail
E sguente mandato reaza e cambo de grupo a desarrollo sobre e archvo ago.txt.
chgrp desarrollo algo#txt
264
*4. =ermisos del ?istema de Arc$ivos en
@),>inu2.
*4.+. &ntroduccin.
En os sstemas operatvos tpo =0?&E cada eemento de sstema de archvos, como archvos,
drectoros, enaces smbcos, etc., tene a caracterstca de poseer permsos que o ubcan
dentro de msmo. stos srven como uno ms de os nvees de segurdad de sstema operatvo
a mpedr que cuaquer usuaro pueda eer, escrbr, e|ecutar o acceder a dchos archvos y
drectoros de manera arbtrara. Estos permsos vstos de manera bsca son: lectura (r, read),
escritura (R, (rite) y e.ecucin (2, e4ecution) y se agrupan en boques (rR2) para 3 dferentes
cases (usuaro, grupo y otros).
Los permsos de acceso de cada archvo y drectoro de sstema son mostrados por un con|unto
de 10 caracteres, os cuaes proporconan nformacn acerca de tpo de eemento, |unto con
permsos para e usuaro y grupo propetaro para eer, escrbr y e|ecutar, como se muestra en e
sguente e|empo:
!rxr!xr!x 1 "ulano "ulano % Qul @1 16711 algo#txt
La asgnacn de permsos de acceso (de ectura, escrtura y e|ecucn) pueden gestonarse a
travs de modos, os cuaes conssten de combnacones de nmeros de tres dgtos (usuaro,
grupo y otros) y os mandatos c$mod y setfacl.
*4.*. )otacin sim!lica.
E esquema de notacn smbca se compone de 10 caracteres, donde e prmer carcter ndca
e tpo de archvo:
Jalor Descripcin
! Archvo reguar.
d Drectoro.
b Archvo especa como dspostvo de boque.
c Archvo de carcter especa
l Enace smbco.
p Tubera nombrada (FIFO)
s Zcao de domno (socket)
265
Como se mencon anterormente, cada case de permsos es representada por un con|unto de
tres caracteres. E prmer con|unto de caracteres representa a case de usuaro, e segundo
con|unto de tres caracteres representa a case de grupo y e tercer con|unto representa a case
de otros (resto de mundo). Cada uno de os tres caracteres representa permsos de ectura,
escrtura y e|ecucn, respectvamente y en ese orden.
E|empos:
=ermisos Descripcin
-rxr-Er!x Drectoro con permso 755
&r!r0-r!! Archvo de carcter especa con permso 664.
srxr0Er!x Zcao con permso 775.
'r!r0-r!! Tubera (FIFO) con permso 664.
-r!r--r!! Archvo reguar con permso 644.
*4.3. )otacin octal.
La notacn octa consste de vaores de tres a cuatro dgtos en base-8. Con a notacn octa de
tres dgtos cada nmero representa un componente dferente de permsos a estabecer: case de
usuaro, case de grupo y case de otros (resto de mundo) respectvamente. Cada uno de estos
dgtos es a suma de sus bts que o componen (en e sstema numera bnaro). Como resutado,
bts especfcos se aaden a a suma conforme son representados por un numera:
E Bt de e|ecucn (acceso en e caso de drectoros) aade + a a suma.
E bt de escrtura aade * a a suma
E bt de ectura aade 4 a a suma.
Estos vaores nunca producen combnacones ambguas y cada una representa un con|unto de
permsos especfcos. De modo ta puede consderarse a sguente taba:
Jalor =ermiso Descripcin
% !!! -ada
1 !!x SPlo eQecuciPn de archivos o acceso a directorios
8 !! SPlo escritura
@ !x 'scritura y eQecuciPn de archivos o acceso a directorios
4 r!! SPlo lectura
: r!x 2ectura y eQecuciPn de archivos o acceso a directorios
6 r! 2ectura y escritura
$ rx
2ecturaB escritura y eQecuciPn de archivos o acceso a
directorios
Cabe seaar que e permso 3 (wx) es e resutado de 1+2 (w+x), que e permso 5 (rx) es e
resutado de 4+1 (r+x), que e permso 6 (rw) es e resutado de 4+2 (r+w) y que e permso 7
(rwx) es e resutado de 4+2+1 (r+w+x).
*4.3.+. ;<scara de usuario.
La mscara de usuaro (umas', abrevatura de user &a$)) es una funcn que estabece os
permsos predetermnados para os nuevos archvos y drectoros creados en e sstema. Puede
estabecerse en notacn octa de tres o cuatro dgtos o ben en notacn smbca. Puede
estabecerse cuaquer vaor para umas', pero debe tomarse en consderacn que sta |ams
permtr crear nuevos archvos e|ecutabes.
266
Cuando se utza a notacn octa de cuatro dgtos, e prmer dgto sempre corresponde a os
permsos especaes, pero e vaor de ste sempre ser 0; e segundo dgto corresponde a a
mscara de a case otros; e tercer dgto corresponde a a mscara para a case de grupo; y e
cuarto dgto corresponde a a mscara para a case de usuaro.
#!!!!!!!!!!! =ermisos especiales (siempre es % en umask)
N #!!!!!!!!! *lase de otros
N N #!!!!!!! *lase de grupo
N N N #!!!!! *lase de usuario
N N N N
g g g g
% % 8 8
E vaor de a mscara de usuaro, que se asgna con e mandato umasO, corresponde a os bts
contraros de permso predetermnado que se quera asgnar. Es decr, s por e|empo se quere
asgnar una mscara de usuaro equvaente a 0775 (rwxrwxr-x), e vaor de a mscara de
usuaro corresponder a 0002 (e resutado de a operacn 777 menos 775), que ser o msmo
que defnr u=rwx,g=rwx,o=rx.
S por e|empo se quere asgnar una mscara de usuaro equvaente a 0744 (rwxr--r--), e vaor
de a mscara de usuaro corresponder a 0033 (e resutado de a operacn 777 menos 744),
que ser o msmo que defnr u=rwx,g=r,o=r.
Los vaores nunca producen combnacones ambguas y cada una representa un con|unto de
permsos especfcos. De modo ta puede consderarse a sguente taba:
Jalor octal Jalor sim!lico Descripcin
% rx 2ecturaB escritura y acceso a directorios
1 r! 2ectura y escritura
8 r!x 2ectura y acceso a directorios
@ r!! SPlo lectura
4 !x 'scritura y acceso a directorios
: !! SPlo escritura
6 !!x SPlo acceso a directorios
$ !!! -ada
E vaor predetermnado de a mscara de usuaro de sstema en CentOS, Fedora, Red Hat
Enterprse Lnux, openSUSE y SUSE Lnux Enterprse es II**, es decr se asgna permso
0755 (-rwxr-xr-x) para nuevos drectoros y 0644 (-rw-r--r--) para nuevos archvos. E sstema
|ams permte crear nuevos archvos con atrbutos de e|ecucn. E vaor predetermnado se
defne en una varabe de entorno de archvo >etc>profile y puede ser cambado por e que e
admnstrador de sstema consdere pertnente. E vaor tambn puede estabecerse por usuaro
en e archvo ^>.!as$Uprofile (CentOS, Fedora y Red Hat Enterprse Lnux) o ben en e
archvo ^>.profile (openSUSE y SUSE Lnux Enterprse).
E vaor predetermnado de a mscara de usuaro utzado por e mandato useradd, para a
creacn de drectoros de nco de usuaros, se defne en e archvo >etc>login.defs.
En CentOS, Fedora y Red Hat Enterprse Lnux e vaor predetermnado de a mscara de
usuaro utzada por e mandato useradd es 0077, es decr que os drectoros de nco de cada
usuaro que sea creado en e sstema tendr un permso 0700 (rwx------).
267
En openSUSE y SUSE Lnux Enterprse e vaor predetermnado de a mscara de usuaro
utzada por e mandato useradd es 0022, es decr 0755 (rwxr-xr-x), debdo a que a varabe
,;A?N est deshabtada con una amohada en e archvo >etc>login.defs, pues se
recomenda se defna sta varabe en e archvo >etc>default>useradd. E|empo:
IR0?=+1%%
30.'+/home
)-5*1)('+!1
'X=)R'+
S3'22+/bin/bash
SH'2+/etc/skel
*R'51'/.5)2/S=002+yes
UMAS.=6677
Para determnar e vaor en notacn octa para a mscara de usuaro predetermnada de
sstema, e|ecute e mandato umasO, sn opcones n argumentos.
umask
Para determnar e vaor en notacn smbca para a mscara de usuaro predetermnada de
sstema, e|ecute e mandato umasO con a opcn (? (mayscua), sn argumentos.
umask !S
Para cambar a mascara de usuaro en a sesn actva y procesos h|os, se requere e|ecutar e
mandato umasO con e vaor octa deseado. En e sguente e|empo, se defnr 0002 (0775,
rwxrwxr-x) como mscara de usuaro:
umask %%%8
Lo anteror tambn se puede hacer utzando notacn smbca:
umask u+rxBg+rxBo+rx
*4.3.*. =ermisos adicionales.
Hay una forma de cuatro dgtos. Ba|o este esquema e estndar de tres dgtos descrto arrba se
converte en os tmos tres dgtos de con|unto. E prmer dgto representa e bt de os
permsos adconaes. En sstemas y equpamento gco donde es obgatoro ncur este prmer
dgto de con|unto de cuatro y se prescnde de asgnar permsos adconaes, se debe estabecer
cero como vaor de ste. E|empo:
chmod %$:: /lo/Jue/sea
E prmer dgto de con|unto de cuatro es tambn a suma de sus bts que e componen:
1. E bit pegajoso (stic'y bit) aade + a tota de a suma.
2. E bt setgid aade * a tota de a suma.
3. E bt setuid aade 4 a tota de a suma.
268
E permso SUID o bt setuid hace que cuando se ha estabecdo e|ecucn, e proceso resutante
asumr a dentdad de usuaro dado en a case de usuaro (propetaro de eemento).
E permso SGID o bt setgid hace que cuando se ha estabecdo e|ecucn, e proceso resutante
asumr a dentdad de grupo dado en a case de grupo (propetaro de eemento). Cuando
setgid ha sdo apcado a un drectoro, todos os nuevos archvos creados deba|o de este
drectoro heredarn e grupo propetaro de este msmo drectoro. Cuando se omte estabecer
setgid, e comportamento predetermnado es asgnar e msmo grupo de usuaro utzado para
crear nuevos archvos o drectoros.
E bit pegajoso (stic'y bit) sgnfca que un usuaro so podr modfcar y emnar archvos y
drectoros subordnados dentro de un drectoro que e pertenezca. En ausenca de ste, se
apcan as regas generaes y e derecho de acceso de escrtura en s so permte a usuaro
crear, modfcar y emnar archvos y drectoros subordnados dentro de un drectoro. Los
drectoros a os cuaes se es ha estabecdo bit pegajoso restrngen as modfcacones de os
usuaros a so ad|untar contendo, mantenendo contro tota sobre sus propos archvos y
permtendo crear nuevos archvos; so permtr ad|untar o aadr contendo a os archvos de
otros usuaros. E bit pegajoso es utzado en drectoros como >tmp y >var>spool>mail.
De modo ta puede consderarse a sguente taba:
Jalor =ermiso Descripcin
1 !!! !!! !!$ bit pegajoso
8 !!! !!s !!! bit setgid
@ !!! !!s !!$ bit pegajoso U bit setgid
4 !!s !!! !!! bit setuid
: !!s !!! !!$ bit setuid U bit pegajoso
6 !!s !!s !!! bit setuid U bit setgid
$ !!s !!s !!$ bit setuid U bit setgid U bit pegajoso
Cuando un archvo carece de permsos de e|ecucn o ben s un drectoro carece de permso de
acceso en aguna de as cases y se e es asgnado un permso especa, ste se representa con
una etra mayscua.
=ermiso Clase ".ecuta ?in e.ecucin
setuid ?suario s S
setgid Irupo s S
pegaQoso (sticky) 0tros t 1
*4.4. ".emplos.
*4.4.+. ".emplos permisos regulares.
269
Jalor octal Jalor umasO Clase de ,suario Clase de @rupo Clase de 0tros
%4%% %@$$ r!! !!! !!!
%44% %@@$ r!! r!! !!!
%444 %@@@ r!! r!! r!!
%:%% %8$$ r!x !!! !!!
%::% %88$ r!x r!x !!!
%::: %888 r!x r!x r!x
%644 %1@@ r! r!! r!!
%664 %11@ r! r! r!!
%666 %111 r! r! r!
%$%% %%$$ rx !!! !!!
%$11 %%66 rx !!x !!x
%$%$ %%$% rx !!! rx
%$44 %%@@ rx r!! r!!
%$:% %%8$ rx r!x !!!
%$:: %%88 rx r!x r!x
%$$: %%%8 rx rx r!x
%$$$ %%%% rx rx rx
*4.4.*. ".emplos permisos especiales.
Jalor octal Clase de ,suario Clase de @rupo Clase de 0tros
3644 r! r!! r!T
/644 r! r!S r!!
644 r! r!S r!T
4644 rS r!! r!!
!644 rS r!! r!T
5644 rS r!S r!!
7644 rS r!S r!T
3$$$ rx rx r$
/$:: rx r!s r!x
$:: rx r!s r!$
4$:: rs r!x r!x
!$:: rs r!x r!$
5$:: rs r!s r!x
7$:: rs r!s r!$
*4.5. ,so del mandato c$mod.
chmod DopcionesE modo archivo
E|ecute todos os mandatos de sguente e|empo:
mkdir !p \/tmp/
touch \/tmp/algo#txt
ls !l \/tmp/algo#txt
chmod $:: \/tmp/algo#txt
chmod u+rBg+rBo+r \/tmp/algo#txt
chmod u+rBg!rBo!r \/tmp/algo#txt
chmod uUxBgUrxBoUrx \/tmp/algo#txt
chmod a!x \/tmp/algo#txt
chmod a! \/tmp/algo#txt
270
La sada debe ser smar a a sguente:
*4.5.+. 0pciones del mandato c$mod.
('
Camba permsos de forma descendente en un drectoro dado. Es a nca opcn de os
estndares POSIX.
(c
Muestra cues archvos han cambado recentemente en una ubcacn dada
(f
Omte mostrar errores de archvos o drectoros que haya sdo mposbe cambar
(v
Descrpcn detaada de os mensa|es generados por e proceso
Para obtener una descrpcn competa de uso de mandato c$mod, e|ecute:
man 1 chmod
*4.5.*. "l mandato c$mod y los enlaces sim!licos.
271
Cabe seaar que aunque es posbe cambar con os mandatos c$oRn y c$grp e propetaro y/o
grupo a cua pertenece un enace smbco, e mandato c$mod |ams camba os permsos de
acceso de enaces smbcos, os cuaes de cuaquer forma carecen de reevanca pues os que
mportan son os permsos de os archvos o drectoros haca os cuaes apuntan. S se apca e
mandato c$mod sobre un enace smbco, nvarabemente se cambar e permso de archvo
o drectoro haca e cua apunta. Cuando se apca c$mod de forma descendente en un
drectoro, ste gnora os enaces smbcos que pudera encontrar en e recorrdo.
Por favor, contnu con e documento ttuado *i$ta$ de control de acce$o ' u$o de lo$
&andato$ getacl ' $etacl.
272
*5. istas de control de acceso y uso de los
mandatos getfacl y setfacl
*5.+. &ntroduccin.
Los procedmentos de este documento requeren haber estudado y comprenddo prevamente
os conceptos de documento ttuado +er&i$o$ del $i$te&a de archi,o$.
Este documento descrbe e uso de stas de contro de acceso (AC, access control lists), que se
utzan para controar os permsos de acceso de os archvos y drectoros con mayor exacttud.
Cada ob|eto de sstema puede ser asocado a una AC que controa e acceso de modo
dscrecona haca ese ob|eto. Adems, os drectoros pueden tener asocado un AC que
controa os permsos de acceso ncaes para os ob|etos creados en e nteror de ste, a os que
se e denomna AC predetermnado.
En resumen, cuando e sstema de archvos ha sdo montado con a opcn acl, es posbe asgnar
permsos de ectura, escrtura y e|ecucn por usuaros y/o grupos. E soporte necesaro vene
habtado de modo predetermnado en CentOS, Fedora, Red Hat Enterprse Lnux,
openSUSE y SUSE Lnux Enterprse 11.
)ota.
En e caso de SUSE Lnux Enterprse 10, se requere aadr a opcn acl en a coumna de opcones de
a confguracn de os sstemas de archvos presentes en e sstema, edtando e archvo >etc>fsta!:
vi /etc/"stab
E|empo:
/dev/sda1 / ext@ #&)Buser/xattr 1 8
/dev/sda8 /home ext@ #&)Buser/xattr 1 8
/dev/sda@ /var ext@ #&)Buser/xattr 1 8
Para apcar os cambos de manera nmedata, sn necesdad de rencar, se e|ecutara:
mount !o remountB#&)Buser/xattr /
mount !o remountB#&)Buser/xattr /home
mount !o remountB#&)Buser/xattr /var
*5.*. "#uipamiento lgico necesario.
273
*5.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
La nstaacn estndar ncuye ncuye e paquete e paquete acl. S se reaza una nstaacn
mnma, es necesaro e|ecutar o sguente:
yum !y install acl
S se utza Fedora se puede nstaar adems e paquete eiciel, e cua permte gestonar de
manera grfca as stas de contro de acceso desde e admnstrador de archvos (Nautus) de
escrtoro de GNOME.
yum !y install eiciel
*5.*.*. "n open?,?"G y ?,?"G "nterprise inu2.
La nstaacn estndar ncuye e paquete acl. S se reaz una nstaacn mnma, es necesaro
e|ecutar o sguente:
yast !i acl
S se utza openSUSE 11 o SUSE Enterprse Lnux 11 y versones posterores de stos, se
puede nstaar adems e paquete nautilus(eiciel, e cua permte gestonar de manera grfca
as stas de contro de acceso desde e admnstrador de archvos (Nautus) de escrtoro de
GNOME.
yast !i nautilus!eiciel
*5.3. =rocedimientos.
Cuando e soporte para stas de contro de acceso est habtado en os sstemas de archvos y
e paquete acl est nstaado, se pueden utzar os sguentes dos mandatos:
getfacl
Se utza para determnar os permsos estabecdos en as stas de
contro de acceso de un archvo o drectoro dado.
setfacl
Se utza para cambar os permsos en as stas de contro de acceso
de un archvo o drectoro dado.
274
Para obtener una descrpcn competa de uso de mandato getfacl, e|ecute:
man 1 get"acl
Para obtener una descrpcn competa de uso de mandato setfacl, e|ecute:
man 1 set"acl
Para obtener una descrpcn competa de formato de as stas de contro de acceso, e|ecute:
man : acl
Para obtener os atrbutos de as stas de contro de acceso de un archvo o drectoro partcuar,
se e|ecuta e mandato getfacl con a ruta de archvo o drectoro como argumento. E|empo:
get"acl /home/"ulano
Lo anteror devovera una sada smar a sguente:
get"acl7 'liminando X/X inicial en nombres de ruta absolutos
A "ile7 home/"ulano
A oner7 "ulano
A group7 "ulano
user77rx
group77!!!
other77!!!
Lo anteror muestra que so e propetaro de drectoro tene permsos de ectura, escrtura y
acceso.
Para ograr que un usuaro en partcuar pueda acceder tambn a este drectoro, se e|ecuta e
mandato setfacl, con a opcn (m para modfcar a sta de contro de acceso, |u,g,o|:
|usuaro,grupo|:|r,w,x| y a ruta de drectoro como argumentos. E|empo:
set"acl !m u7Cutano7rx /home/"ulano
)ota.
S o prefere, tambn pude utzar notacn octa:
set"acl !m u7Cutano7! /home/"ulano
Lo anteror estabece que se aaden permsos de ectura y acceso a drectoro /home/fuano para
e usuaro zutano.
Para verfcar, e|ecute de nuevo e mandato getfacl con a ruta de drectoro modfcado como
argumento:
275
Lo anteror devovera una sada smar a a sguente:
A "ile7 home/"ulano
A oner7 "ulano
A group7 "ulano
user77rx
user7Cutano7r!x
group77!!!
mask77r!x
other77!!!
Pueden asgnarse permsos dferentes para otros usuaros. E|empo:
set"acl !m u7perengano7rx /home/"ulano
Lo anteror estabece que se aaden permsos de ectura, escrtura y acceso a drectoro
/home/fuano para e usuaro perengano.
Para verfcar o anteror, se e|ecuta de nuevo e mandato getfacl con a ruta de drectoro
modfcado como argumento:
A "ile7 home/"ulano
A oner7 "ulano
A group7 "ulano
user77rx
user7perengano7rx
user7Cutano7r!x
group77!!!
mask77rx
other77!!!
Estos permsos que se estabeceron en a sta de contro de acceso de drectoro >$ome>fulano
son excusvamente para ste. Cuaquer nuevo archvo creado carecer de estos permsos. S se
desea que stos permsos se vuevan os predetermnados para os nuevos archvos y drectoros
que sean creados en o sucesvo dentro de drectoro /home/fuano, se e|ecuta e msmo mandato
setfacl, pero aadendo a opcn (d para defnr que sern os permsos predetermnados para
nuevos archvos y drectoros. E|empo:
set"acl !d !m u7Cutano7rx /home/"ulano
set"acl !d !m u7perengano7rx /home/"ulano
276
)ota.
Lo anteror tambn se puede hacer en notacn octa:
set"acl !d !m u7Cutano7! /home/"ulano
set"acl !d !m u7perengano77 /home/"ulano
Y a opcn (d tambn se puede ntegrar a os argumentos:
set"acl !m -7u7Cutano7: /home/"ulano
set"acl !m -7u7perengano7$ /home/"ulano
Y adems smpfcar estos tmos dos mandatos en un nco mandato:
set"acl !m d7u7Cutano7:Bd7u7perengano7$ /home/"ulano
Para verfcar todo o anteror, se e|ecuta de nuevo e mandato getfacl con a ruta de drectoro
modfcado como argumento:
A "ile7 home/"ulano
A oner7 "ulano
A group7 "ulano
user77rx
user7perengano7rx
user7Cutano7r!x
group77!!!
mask77rx
other77!!!
de"ault7user77rx
de"ault7user7perengano7rx
de"ault7user7Cutano7r!x
de"ault7group77!!!
de"ault7mask77rx
de"ault7other77!!!
Para apcar os permsos de forma descendente, se e|ecuta e mandato setfacl con a opcn ('
(mayscua), a opcn (m, |u,g,o|:|usuaro,grupo|:|r,w,x| y a ruta de drectoro como argumento.
E|empo:
set"acl !R !m u7Cutano7rx /home/"ulano
set"acl !R !m u7perengano7rx /home/"ulano
)ota.
Tambn puede smpfcar estos tmos dos mandatos en un nco mandato:
set"acl !R !m u7Cutano7rxBu7perengano7rx /home/"ulano
277
Lo anteror asgnara permsos rR( para e usuaro zutano y rR2 para e usuaro perengano sobre
e drectoro >$ome>fulano y todo su contenido.
Para emnar os permsos de un usuaro en partcuar de a sta de contro de acceso de un
drectoro en partcuar, se e|ecuta e mandato setfacl con a opcn (2, e nombre de usuaro o
grupo y a ruta de drectoro como argumento. E|empo:
set"acl !x perengano /home/"ulano
Para hacer o msmo, pero de forma descendente, se e|ecuta e mandato setfacl con a opcn ('
(mayscua), a opcn (2, e nombre de usuaro o grupo y a ruta de drectoro como argumento.
E|empo:
set"acl !R !x perengano /home/"ulano
Para emnar os permsos predetermnados en a sta de contro de acceso, se e|ecuta e
mandato setfacl con a opcn (O (--remove-defaut) y a ruta de drectoro como argumento.
E|empo:
set"acl !k /home/"ulano
Para emnar todos os permsos en a sta de contro de acceso, de|ando todo como en e punto
nca, se e|ecuta e mandato setfacl con a opcn (! (--remove-a) y a ruta de drectoro como
argumento. E|empo:
set"acl !b /home/"ulano
Para hacer o msmo, pero de forma descendente, se e|ecuta e mandato setfacl con a opcn ('
(mayscua), a opcn (! (--remove-a) y a ruta de drectoro como argumento. E|empo:
set"acl !R !b /home/"ulano
Para copar a sta de contro de acceso de un archvo y apcara en otro, se e|ecuta:
get"acl archivo1 N set"acl !!set!"ile+! archivo8
Para copar a sta de contro de acceso prncpa como a sta de contro de acceso
predetermnada, se e|ecuta:
get"acl !!access /home/"ulano N set"acl !d !.! /home/"ulano
278
*6. ,so del mandato c$attr.
*6.+. &ntroduccin.
*6.+.+. Acerca del mandato c$attr.
E mandato c$attr se utza para cambar os atrbutos de os sstemas de archvos e2t*,e2t3 y
e2t4. Desde certo punto de vsta, es anogo a mandato c$mod, pero con dferente sntaxs y
opcones. Utzado adecuadamente, dfcuta as accones en e sstema de archvos por parte de
un ntruso que haya ogrado sufcentes prvegos en un sstema.
En a mayora de os casos, cuando un ntruso consgue sufcentes prvegos en un sstema, o
prmero que har ser emnar os regstros de sus actvdades modfcando estructuras de os
archvos de btcoras de sstema y otros componentes. Utzar e mandato c$attr certamente
no es obstcuo para un usuaro experto, pero, afortunadamente, a gran mayora de os ntrusos
potencaes no sueen ser expertos en GNU/Lnux o Unx, dependendo enormemente de dversos
programas o guones (os denomnados root'its y zappers) para emnar aqueo que permta
descubrr sus actvdades.
Utzar e mandato c$attr, ncudo en e paquete e*fsprogs, que se nstaa de forma
predetermnada en todas as dstrbucones de GNU/Lnux por tratarse de un componente
esenca, hace ms dfc borrar o aterar btcoras, archvos de confguracn y componentes de
sstema. Theodore Ts'o es e desarroador y quen se encarga de mantener e*fsprogs, msmo
que se dstrbuye ba|o os trmnos de a cenca @),>@=, e ncuye otras herramentas como
e2fsck, e2abe, fsck.ext2, fsck.ext3, fsck.ext4, mkfs.ext2, mkfs.ext3, mkfs.ext4, tune2fs y
dumpe2fs, entre muchas otras.
E manua con a descrpcn competa de uso de mandato c$attr puede consutarse e|ecutando
o sguente:
man 1 chattr
URL: http://e2fsprogs.sourceforge.net/
*6.*. 0pciones.
(' Camba de manera descendente os atrbutos de drectoros y sus contendos.
Los enaces smbcos que se encuentren, son gnorado
(J Sada de c$arttr ms descrptva, mostrando adems a versn de
programa.
279
(v Ver e nmero de versn de programa.
*6.3. 0peradores.
K Hace que se aadan os atrbutos especfcados a os atrbutos exstentes de
un archvo.
( Hace que se emnen os atrbutos especfcados de os atrbutos exstentes
de un archvo
V Hace que se reempacen os atrbutos exstentes por os atrbutos
especfcados.
*6.4. Atri!utos.
A Estabece que a fecha de tmo acceso (atime) no se modfca.
a Estabece que e archvo so se puede abrr en modo de ad|untar para
escrtura.
c Estabece que e archvo es comprmdo automtcamente en e dsco por e
nceo de sstema operatvo. A reazar ectura de este archvo, se
descomprmen os datos. La escrtura de dcho archvo comprme os datos
antes de amacenaros en e dsco.
D Cuando se trata de un drectoro, estabece que os datos se escrben de
forma sncrnca en e dsco. Es decr, os datos se escrben nmedatamente
en ugar de esperar a operacn correspondente de sstema operatvo. Es
equvaente a a opcn dirsync de mandato mount, pero apcada a un
subcon|unto de archvos.
d Estabece que e archvo no sea canddato para respado a utzar a
herramenta dump.
e Indca que e archvo o drectoro utza extensones (e4tents) para a
cartografa de boques en a undad de amacenamento, partcuarmente de
sstemas de archvos Ext4. E mandato c$attr es ncapaz de emnar este
atrbuto.
i Estabece que e archvo ser nmutabe. Es decr, se mpde que e archvo
sea emnado, renombrado, que se pueden apuntar enaces smbcos haca
ste o escrbr datos en e archvo.
. En os sstemas de archvos ext3 y ext4, cuando se montan con as opcones
dataVordered o dataVRrite!acO, se estabece que e archvo ser escrto
en e regstro por daro (Journal). S e sstema de archvos se monta con a
opcn dataV.ournal (opcn predetermnada), todo e sstema de archvos
se escrbe en e regstro por daro y por o tanto e atrbuto no tene efecto.
s Cuando un archvo tene este atrbuto, os boques utzados en e dsco duro
son escrtos con ceros, de modo que os datos no se puedan recuperar por
medo aguno. Es a forma ms segura de emnar datos.
? Cuando e archvo tene este atrbuto, sus cambos son escrtos de forma
sncrnca en e dsco duro. Es decr, os datos se escrben nmedatamente en
ugar de esperar a operacn correspondente de sstema operatvo. Es
equvaente a a opcn sync de mandato mount.
u Cuando un archvo con este atrbuto es emnado, sus contendos son
guardados permtendo recuperar e archvo con herramentas para ta fn.
*6.5. ,so del mandato c$attr.
chattr D!R(E U!+D5ac&diQsSuE D!v versiPnE archivos
280
*6.5.+. ".emplos.
e sguente mandato agrega e atrbuto nmutabe a archvo algo.t2t..
chattr Ui algo#txt
Verfque con e mandato lsattr e atrbuto que ha sdo estabecdo.
lsattr algo#txt
S e|ecuta o sguente:
echo ,3ola mundo, M algo#txt
Lo anteror devover un error, puesto que e archvo se ha convertdo en nmutabe y por o tanto
se mpde su modfcacn.
E sguente mandato emna e atrbuto nmutabe a archvo algo.t2t.
chattr !i algo#txt
Verfque con e mandato lsattr que se ha emnado e atrbuto.
lsattr algo#txt
E sguente mandato agrega e modo de s/lo adjuntar para escrtura a archvo algo.t2t.
chattr Ua algo#txt
Verfque con e mandato lsattr e atrbuto que ha sdo estabecdo.
lsattr algo#txt
S e|ecuta o sguente:
echo ,3ola mundo, M algo#txt
A gua que con e atrbuto i, ser mposbe reempazar contendo. Sn embargo, s e|ecuta o
sguente:
echo ,3ola mundo, MM algo#txt
Se permtr aadr datos a archvo algo.t2t.
E sguente mandato emna e modo de so ad|untar para escrtura a archvo algo.t2t.
chattr !a algo#txt
281
Verfque con e mandato lsattr que se ha emnado e atrbuto.
lsattr algo#txt
S se tene un sstema de archvos Ext3, e sguente mandato estabece que e archvo algo.t2t
so tendr os atrbutos a, A, s y ?.
chattr +a5sS algo#txt
En sstemas de archvos Ext4, o anteror sempre faar porque es mposbe emnar e atrbuto
e con e mandato c$attr. En su ugar, e|ecute o sguente:
chattr +ea5sS algo#txt
Verfque con e mandato lsattr os atrbutos que han sdo estabecdos.
lsattr algo#txt
282
*7. ,so del mandato rpm.
ma uso de stos.
*7.+. &ntroduccin.
*7.+.+. Acerca de '=;.
'=; ('PM =ackage ;anager, anterormente conocdo como 'ed Hat =ackage;anager, es un
sstema de gestn de paquetes de equpamento gco para GNU/Lnux y que est consderado
en a Base Estndar para Lnux (nux ?tandard Base o ?B), proyecto cuyo ob|etvo es
desarroar y promover estndares para me|orar a compatbdad entre as dstrbucones de
GNU/Lnux para permtr a as apcacones ser utzadas en cuaquer dstrbucn.
RPM fue orgnamente desarroado por 'ed FatH &nc. para su dstrbucn de GNU/Lnux y ha
sdo evado haca otra dstrbucones de GNU/Lnux y otros sstemas operatvos.
RPM utza una base de datos que se amacena dentro de drectoro >var>li!>rpm, a cua
contene toda a meta-nformacn de todos os paquetes que son nstaados en e sstema y que
es utzada para dar segumento a todos os componentes que son nstaados. sto permte
nstaar y desnstaar mpamente todo tpo de apcacones, programas, bbotecas compartdas,
etc. y gestonar sus dependencas.
E mandato rpm vene nstaado de modo predetermnado en Cent0?, 8edora, 'ed Fat
"nterprise inu2 , ?u?" inu2 "nterprise, open?u?", ;andriva y as dstrbucones
dervadas de stas.
*7.*. =rocedimientos.
*7.*.+. 'econstruccin de la !ase de datos de '=;.
Hay certos escenaros en donde se puede corromper a base de datos de '=;, cmo un sector
daado en a undad de amacenamento prncpa. S e dao en e sstema de archvos o
permte, a base de datos se puede reconstrur fcmente utzando e sguente mandato:
rpm !!rebuilddb
*7.*.*. Consulta de pa#uetes instalados en el sistema.
S se desea saber s est nstaado un paquete en partcuar, se utza e mandato rpm con a
opcn (#, que reaza una consuta (query) en a base de datos por un nombre de paquete en
partcuar. En e sguente e|empo, se utzar e mandato rpm para preguntar a a base de datos
s est nstaado e paquete coreutils:
283
rpm !J coreutils
coreutils!6#4!16#el6#x66/64
S se desea conocer qu nformacn ncuye e paquete coreutils, se utza e mandato rpm con
as opcones (#i, para hacer a consuta y soctar nformacn de paquete (query info). En e
sguente e|empo se consuta a nformacn de paquete coreutils:
rpm !Ji coreutils
-ame 7 coreutils Relocations7 (not relocatable)
(ersion 7 6#4 (endor7 *ent0S
Release 7 16#el6 ;uild &ate7 mih %$ dic 8%11 1:7:47%1 *S1
)nstall &ate7 Que 1$ may 8%18 8178$74$ *&1 ;uild 3ost7 c6b16n8#bsys#dev#centos#org
Iroup 7 System 'nvironment/;ase Source R=.7 coreutils!6#4!16#el6#src#rpm
SiCe 7 186@6$89 2icense7 I=2v@U
Signature 7 RS5/S351B Que %6 dic 8%11 1@7:%71: *S1B Hey )& %946"ca8c1%:b9de
=ackager 7 *ent0S ;uildSystem bhttp7//bugs#centos#orgM
?R2 7 http7//#gnu#org/so"tare/coreutils/
Summary 7 5 set o" basic I-? tools commonly used in shell scripts
&escription 7
1hese are the I-? core utilities# 1his package is the combination o"
the old I-? "ileutilsB sh!utilsB and textutils packages#
Puede consutarse cues componentes forman parte de paquete utzando e mandato rpm con
as opcones (#l, donde se reaza una consuta stando os componentes que o ntegran (query
list). Como e|empo, s se desea conocer cues archvos nsta e paquete coreutils, e|ecute e
sguente mandato:
rpm !Jl coreutils
Lo anteror debe devover una sada muy extensa, smar a a sguente:
/bin/arch
/bin/basename
/bin/cat
/bin/chgrp
/bin/chmod
/bin/chon
/bin/cp
/bin/cut
/bin/date
###
/usr/share/man/man1/users#1#gC
/usr/share/man/man1/vdir#1#gC
/usr/share/man/man1/c#1#gC
/usr/share/man/man1/ho#1#gC
/usr/share/man/man1/hoami#1#gC
/usr/share/man/man1/yes#1#gC
284
S se desea consutar a cu paquete pertenece un archvo nstaado en e sstema, se utza e
mandato rpm con as opcones (#f, que reazan una consuta por un archvo en e sstema de
archvos (query file). En e sguente e|empo se consutar a mandato rpm a que paquete
pertenece e archvo >!in>cp:
rpm !J" /bin/cp
S desea consutar a sta competa de paquetes nstaados en e sstema, utce e sguente
mandato, donde (#a sgnfca consutar todo (query all):
rpm !Ja
Debdo a que o anteror devueve una sta demasado grande para podera vsuazar con
comoddad, puede utzarse e mandato less o ben e mandato more, como subrutna:
rpm !Ja Nless
S se quere ocazar un paquete o paquetes en partcuar, se puede utzar e mandato rpm con
as opcones (#a y utzar grep como subrutna. En e sguente e|empo se hace una consuta
donde se quere conocer que paquetes estn nstaado en e sstema y que ncuyan a cadena
utils en e nombre.
rpm !Ja Ngrep utils
Lo anteror pudera devover una sada smar a a sguente:
pulseaudio!utils!%#9#81!1@#el6#x66/64
libselinux!utils!8#%#94!:#8#el6#x66/64
glx!utils!$#11!@#el6#x66/64
xorg!x11!server!utils!$#:!:#8#el6#x66/64
pciutils!@#1#4!11#el6#x66/64
binutils!8#8%#:1#%#8!:#86#el6#x66/64
n"s!utils!lib!1#1#:!4#el6#x66/64
###
sg@/utils!libs!1#86!4#el6#x66/64
alsa!utils!1#%#81!@#el6#x66/64
db4!utils!4#$#8:!16#el6#x66/64
keyutils!libs!1#4!@#el6#x66/64
pciutils!libs!@#1#4!11#el6#x66/64
desktop!"ile!utils!%#1:!9#el6#x66/64
xorg!x11!xkb!utils!$#4!6#el6#x66/64
S se quere revsar en orden cronogco, de ms nuevos a ms antguos, que paquetes estn
nstaados, se puede agregar a (#a a opcn ((last y less o more como subrutna para vsuazar
con comoddad a sada.
rpm !Ja !!lastNless
285
Lo anteror devueve una sada extensa dentro con less como vsor. Puse a tecas de arri!a ()
y a!a.o (J) o Av. =<g. y 'eg. =<g. para despazarse en a sta. Puse a teca # para sar.
S se quere verfcar s os componentes nstaados por un paquete '=; han sdo modfcados o
aterados o emnados, se puede utzar e mandato rpm con a opcn (J, a cua reaza una
verfcacn de a ntegrdad de os componentes de acuerdo a as frmas dgtaes de cada
componente (MD5SUM o suma MD5). En e sguente e|empo se verfcara s e paquete cups ha
sdo aterado:
rpm !( cups
S agn componente fue modfcado, puede devoverse una sada smar a a sguente, donde
se ndca que e archvo >etc>cups>printers.conf fue modfcado despus de a nstaacn de
paquete cups:
S#:####1 c /etc/cups/printers#con"
S se desea reazar una verfcacn de todos os componentes de sstema, se puede utzar e
mandato rpm con as opcones (Ja, que hace una consuta, especfca todos os paquetes y
socta se verfque s hubo cambos (query all 7erify).
rpm !(a
Lo anteror puede devover una sada muy extensa, pero sn duda aguna mostrar todos os
componentes que fueron modfcados o aterados o emnados tras a nstaacn de paquete a
que pertenecen. Un e|empo de una sada comn sera:
#######1 c /etc/pki/nssdb/cert6#db
#######1 c /etc/pki/nssdb/key@#db
##:####1 c /etc/pki/nssdb/secmod#db
S#:####1 c /etc/crontab
#######1 c /etc/inittab
S#:####1 c /etc/rc#d/rc#local
S#:####1 c /etc/mail/access
S#:####1 c /etc/mail/local!host!names
S#:####1 c /etc/mail/sendmail#c"
S#:####1 c /etc/mail/sendmail#mc
*7.*.3. &nstalacin de pa#uetes.
La mayora de os dstrbudores seros de equpamento gco en formato RPM sempre utzan
una frma dgta PG/GnuPG (GNU Prvacy Guard) para garantzar que stos son confabes y como
un mtodo de evtar que paquetes aterados, generamente daados o con maas ntencones,
pasen nadvertdamente por os sstemas de gestn de paquetes como yum, zypper, YaST, etc.,
sn ser detectados. Las frmas dgtaes de os responsabes de a dstrbucn sempre ncuyen
frmas dgtaes en e dsco de nstaacn o ben en aguna parte de sstema de archvos. En e
caso de Cent0?, 8edora y 'ed Fat "nterprise inu2, as frmas dgtaes estn dentro de
drectoro /etc/pk/rpm-gpg/. Agunos dstrbucones pueden tener estas frmas dgtaes
hospedadas en agn servdor HTTP o FTP. Para mportar una frma dgta, se utza e mandato
rpm con a opcn ((import. Para e|empfcar, e|ecute o sguente:
rpm !!import http7//#alcancelibre#org/al/52!R=.!H'<
286
Lo anteror mporta a frma dgta de Alcance i!re y permtr detectar s un paquete de
Acance Lbre fue aterado o est corrupto o s fue daado.
Cuando se nstaan paquetes con frma dgta vadada en e anftrn oca, a sada es smar a
a sguente:
=reparando### AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1%%WE
17google!chrome!stable AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1%%WE
Cuando se nstaan paquetes sn frma dgta vadada en e anftrn oca, a sada es smar a
a sguente:
advertencia7google!chrome!stable/current/x66/64#rpm7 *abecera(4
&S5/S351 SignatureB )& de clave $"ac:9917 -0H'<
Descargue a frma dgta de Googe, a cua servr para vadar os paquetes para GNU/Lnux en
formato RPM que dstrbuye esta compaa:
get https7//dl!ssl#google#com/linux/linux/signing/key#pub
Importe a frma dgta de Googe:
rpm !!import linux/signing/key#pub
Cuando se desee nstaar un paquete con extensn Y.rpm, sempre es convenente revsar dcho
paquete. Hay varas formas de verfcar su contendo antes de proceder a nstaado. Para fnes
demostratvos, ngrese haca http://get.adobe.com/es/fashpayer/ y descargue e paquete
flas$(plugin(++.*.*I*.*36(release.2:6U64.rpm (o ben e paquete
flas$(plugin(++.*.*I*.*36(release.i5:6.rpm para sstemas de 32 bt).
Una vez descargado e paquete flas$(plugin, se puede verfcar a nformacn de ste utzando
e mandato rpm con as opcones (#pi (query pac'age information, consutar nformacn de
paquete), para reazar a consuta especfcando que se trata de un paquete '=; en e sstema
de archvos.
rpm !Jpi "lash!plugin!11#8#8%8#8@6!release#x66/64#rpm
-ame 7 "lash!plugin Relocations7 (not relocatable)
(ersion 7 11#8#8%8#8@6 (endor7 5dobe Systems )nc#
Release 7 release ;uild &ate7 vie 11 may 8%18 %%7@@7:@ *&1
)nstall &ate7 (not installed) ;uild 3ost7 "rbld/lnx/%84
Iroup 7 5pplications/)nternet Source R=.7 "lash!plugin!11#8#8%8#8@6!release#src#rpm
SiCe 7 8%@8%4@9 2icense7 *ommercial
Signature 7 (none)
=ackager 7 5dobe Systems )nc#
?R2 7 http7//#adobe#com/donloads/
Summary 7 5dobe >lash =layer 11#8
&escription 7
5dobe >lash =lugin 11#8#8%8#8@6
>ully Supported7 .oCilla Sea.onkey 1#%UB >ire"ox 1#:UB .oCilla 1#$#1@U
287
S se desea conocer que componentes va a nstaar un paquete '=; en partcuar, se puede
utzar e mandato rpm con as opcones (#pl, para reazar a consuta, especfcar que se trata
de un paquete '=; y para soctar a sta de componentes (query pac'age list). En e sguente
e|empo se reaza esta consuta contra e
paquete flas$(plugin(++.*.*I*.*36(release.2:6U64.rpm:
rpm !Jpl "lash!plugin!11#8#8%8#8@6!release#x66/64#rpm
/usr/bin/"lash!player!properties
/usr/lib64/"lash!plugin
/usr/lib64/"lash!plugin/2)*'-S'
/usr/lib64/"lash!plugin/R'5&.'
/usr/lib64/"lash!plugin/homecleanup
/usr/lib64/"lash!plugin/lib"lashplayer#so
/usr/lib64/"lash!plugin/setup
/usr/lib64/kde4/kcm/adobe/"lash/player#so
/usr/share/applications/"lash!player!properties#desktop
/usr/share/doc/"lash!plugin!11#8#8%8#8@6
/usr/share/doc/"lash!plugin!11#8#8%8#8@6/readme#txt
/usr/share/icons/hicolor/16x16/apps/"lash!player!properties#png
/usr/share/icons/hicolor/@8x@8/apps/"lash!player!properties#png
/usr/share/kde4/services/kcm/adobe/"lash/player#desktop
Para verfcar s as frmas dgtaes de un paquete '=; son as msmas y e paquete est ntegro
y sn ateracones, se puede utzar e mandato rpm con as opcn (N, que socta verfcar
frmas dgtaes de un paquete '=; (8eys):
rpm !H "lash!plugin!11#8#8%8#8@6!release#x66/64#rpm
S e paquete est ntegro, debe devover una sada smar a a sguente:
"lash!plugin!11#8#8%8#8@6!release#x66/64#rpm7 sha1 md: ;)'-
S e paquete RPM fue daado, aterado o est corrupto, puede devover una sada smar a a
sguente:
"lash!plugin!11#8#8%8#8@6!release#x66/64#rpm7 (sha1) dsa sha1 .&: I=I NOT O.
Para nstaar un paquete, se utza e mandato rpm con as opcones (iv$, que sgnfca nstaar,
devover una sada descrptva y mostrar una barra de progreso (install verbose as). S e
paquete est exento de confcto con otro y/o respeta sn sobre-escrbr componentes de otro
paquete, se proceder a nstaar e msmo. En e sguente e|empo se nstaar e paquete
flas$(plugin(++.*.*I*.*36(release.2:6U64.rpm:
rpm !ivh "lash!plugin!11#8#8%8#8@6!release#x66/64#rpm
Asumendo que todas as dependencas de paquete
flas$(plugin(++.*.*I*.*36(release.2:6U64.rpm estn cubertas, o anteror debe devover
una sada smar a a sguente:
288
=reparing### AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1%%WE
17"lash!plugin AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1%%WE
S hubera una versn de ste paquete nstaada en e sstema, rpm (iv$ no reazar a
nstaacn y devover un mensa|e respecto a que a est nstaado dcho paquete. Repta e
sguente mandato:
rpm !ivh "lash!plugin!11#8#8%8#8@6!release#x66/64#rpm
A ya estar nstaado e paquete flas$(plugin, e sstema deber devover una sada smar a a
sguente:
"lash!plugin!11#8#8%8#8@6!release#x66/64#rpm is already installed
Hay crcunstancas y escenaros donde se requere renstaar de nuevo e paquete. Para ograr
sto se agrega a opcn ((force para forzar a re-nstaacn de un paquete. En e sguente
e|empo se socta a mandato rpm forzar a re-nstaacn de e paquete
flas$(plugin(++.*.*I*.*36(release.2:6U64.rpm:
rpm !ivh !!"orce "lash!plugin!11#8#8%8#8@6!release#x66/64#rpm
17"lash!plugin AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1%%WE
Para verfcar as dependencas de un paquete descargado, se utza e mandato rpm con
as opcones (#p y ((re#uires, a cua consuta as dependencas de paquete. En e sguente
e|empo, se consutan as dependencas de
paquete flas$(plugin(++.*.*I*.*36(release.2:6U64.rpm:
rpm !Jp !!reJuires "lash!plugin!11#8#8%8#8@6!release#x66/64#rpm
glibc M+ 8#4
/bin/sh
/bin/sh
/bin/sh
/bin/sh
rpmlib(=ayload>iles3ave=re"ix) b+ 4#%!1
rpmlib(*ompressed>ile-ames) b+ @#%#4!1
Pueden hacerse consutas a a nversa de o anteror, es decr, consutar a mandato rpm que
paquete provee aguna dependenca en partcuar. En e sguente e|empo se e|ecutar e
mandato rpm para consutar qu paquete provee a dependenca >!in>s$.
rpm !J !!hatprovides /bin/sh
289
bash!4#8#1%!4#"c14#al#x66/64
Tambn puede consutarse qu requere de un paquete o componente en partcuar. En e
sguente e|empo se consuta a mandato rpm que paquetes requeren a paquete !as$.
rpm !J !!hatreJuires /bin/sh
rsyslog!4#6#@!@#"c14#x66/64
Qline!%#9#94!%#6#"c14#noarch
dracut!%%9!18#"c14#al#noarch
sendmail!6#14#:!8#"c14#al#8#x66/64
auto"s!:#%#:!@1#"c14#x66/64
cronie!1#4#6!8#"c14#x66/64
=ackageHit!command!not!"ound!%#6#81!@#"c14#al#x66/64
initscripts!9#8%#8!8#"c14#al#1#x66/64
De ser necesaro, se puede ncuso hacer consutas respecto a archvos (como bbotecas
compartdas) para conocer que paquetes dependen de stos. En e sguente e|empo se consuta
a mandato rpm que paquetes requeren a a bboteca compartda li!!9*.so.+PQP64!itQ (utce
li!!9*.so.+ en ugar de li!!9*.so.+PQP64!itQ en sstemas de 32 bt):
rpm !J !!hatreJuires ,libbC8#so#1()(64bit),
Lo anteror debe devover una sada smar a a sguente y que consste en una sta de
paquetes '=; nstaados en e sstema que dependen de a bboteca compartda li!!9*.so.+PQ
P64!itQ (utce li!!9*.so.+ en ugar de li!!9*.so.+PQP64!itQ en sstemas de 32 bt):
bCip8!libs!1#%#:!$#el6/%#x66/64
bCip8!1#%#:!$#el6/%#x66/64
gnupg8!8#%#14!4#el6#x66/64
deltarpm!@#:!%#:#8%%9%91@git#el6#x66/64
python!8#6#6!89#el6#x66/64
libsemanage!8#%#4@!4#1#el6#x66/64
rpm!4#6#%!19#el6/8#1#x66/64
rpm!libs!4#6#%!19#el6/8#1#x66/64
rpm!python!4#6#%!19#el6/8#1#x66/64
elinks!%#18!%#8%#pre:#el6#x66/64
tokyocabinet!1#4#@@!6#el6#x66/64
libarchive!8#6#@!4#el6/8#x66/64
genisoimage!1#1#9!11#el6#x66/64
gnome!v"s8!8#84#8!6#el6#x66/64
libgs"!1#14#1:!:#el6#x66/64
gstreamer!plugins!bad!"ree!%#1%#19!8#el6#x66/64
yelp!8#86#1!1@#el6/8#x66/64
Acceda haca googe.com/chrome y descargue e paquete
google(c$rome(sta!leUcurrentU2:6U64.rpm (o ben descargue e paquete
google(c$rome(sta!leUcurrentUi3:6.rpm para sstemas de 32 bt).
290
Para nstaar o actuazar un paquete, se utza e mandato rpm con as opcones -Uvh, que
sgnfca nstaar o actuazar, devover una sada descrptva y mostrar una barra de progreso
(update, verbose, as) y se procede a nstaar y/o actuazar e msmo:
rpm !?vh google!chrome!stable/current/x66/64#rpm
S as dependencas necesaras estn nstaadas en e sstema, a sada ser smar a sguente:
S fatan dependencas por satsfacer, e sstema devover una sada smar a a sguente:
error7 'rror de dependencias7
lsb M+ 4#% es necesario por google!chrome!stable!8%#%#11@8#4$!1446$6#i@66
libatk!1#%#so#% es necesario por google!chrome!stable!8%#%#11@8#4$!1446$6#i@66
libgcon"!8#so#4 es necesario por google!chrome!stable!8%#%#11@8#4$!1446$6#i@66
libXss#so#1 es necesario por google!chrome!stable!8%#%#11@8#4$!1446$6#i@66
libXcomposite#so#1 es necesario por google!chrome!stable!8%#%#11@8#4$!1446$6#i@66
libX"ixes#so#@ es necesario por google!chrome!stable!8%#%#11@8#4$!1446$6#i@66
Evdentemente se deben nstaar prmero os paquetes que cubran as dependencas necesaras
para poder nstaar e paquete google(c$rome(sta!leUcurrentU2:6U64.rpm. Los paquetes
necesaros pueden estar ncudos en e dsco de nstaacn o ben estar ncudos en os
amacenes de paquetera en nea. Savo que se conozcan os paquetes correspondentes y se
desee hacer todo manuamente, o ms recomendabe es nstaar as dependencas a travs de e
mandato yum (CentOS, Fedora y Red Hat Enterprse Lnux) o ben os mandatos yast o zypper
(openSUSE y SUSE Lnux Enterprse).
Agunos paquetes ncuyen guones que e|ecutan procesos que pueden ser requerdos prevo o
posteror a a nstaacn. S se desea omtr a e|ecucn de estos guones, se aade a rpm (iv$ o
rpm (,v$ a opcn ((noscripts. En e sguente e|empo, se nstaar e paquete
google(c$rome(sta!leUcurrentU2:6U64.rpm sn a e|ecucn de os guones que puderan
estar defndos dentro de paquete '=;:
rpm !?vh !!noscripts google!chrome!stable/current/x66/64#rpm
*7.*.3.+. 'ecuperacin de permisos originales a partir de rpm.
En crcunstancas en as cuaes se reazaron cambos en os permsos en e sstema de archvos,
es posbe regresar stos a os permsos orgnaes de acuerdo a as especfcacones de os
paquetes '=; nvoucrados, e|ecutando e mandato rpm con a opcn ((setperms, como se
muestra en e sguente e|empo:
rpm !!setperms paJuete
Vsuace e permso actua de archvo >!in>cp e|ecutando o sguente:
ls !l /bin/cp
291
!rxr!xr!x# 1 root root 116696 dic $ 8%11 /bin/cp
Cambe e permso de archvo >!in>cp e|ecutando o sguente:
chmod $%% /bin/cp
Vueva a vsuazar e permso de archvo >!in>cp e|ecutando o sguente:
ls !l /bin/cp
!rx!!!!!!# 1 root root 116696 dic $ 8%11 /bin/cp
E archvo >!in>cp pertence a paquete coreuts y puede confrmao e|ecutando o sguente:
rpm !J" /bin/cp
Una vez que se ha determnado a cu paquete pertenece, para recuperar e permso orgna de
archvo >!in>cp, e|ecute o sguente:
rpm !!setperms coreutils
Vueva a ver e permso de >!in>cp e|ecutando o sguente:
ls !l /bin/cp
Lo anteror debe devover una sada smar a a sguente y que corresponde a permso orgna
de archvo >usr>!in>passRd:
!rxr!xr!x# 1 root root 116696 dic $ 8%11 /bin/cp
*7.*.4. Desinstalacin de pa#uetes.
Para desnstaar paquetes, se utza e mandato rpm con a opcn -e, que se utza para
emnar, seguda de nombre de paquete. En e sguente e|empo, se socta a mandato rpm
desnstaar os paquetes nc y Rget:
rpm !e nc get
S se carece de dependencas que o mpdan, e sstema so devover e smboo de sstema.
292
S e paquete o aguno de sus componentes fuera dependenca de otro u otros paquetes, e
sstema nformar que es mposbe desnstaar y devover a sta de paquetes que dependen
de que se est tratando de desnstaar. En e sguente e|empo se ntentar desnstaar e
paquete pyt$on:
rpm !e python
Como e paquete pyt$on es requerdo por muchos otros paquetes nstaados en e sstema, ste
devover una sada smar a a sguente:
error7 'rror de dependencias7
python(abi) + 8#6 se necesita para (instalado) python!iniparse!%#@#1!8#1#el6#noarch
python(abi) + 8#6 se necesita para (instalado) python!pycurl!$#19#%!6#el6#x66/64
python(abi) + 8#6 se necesita para (instalado) python!urlgrabber!@#9#1!6#el6#noarch
python(abi) + 8#6 se necesita para (instalado) yum!metadata!parser!1#1#8!16#el6#x66/64
python(abi) + 8#6 se necesita para (instalado) pygpgme!%#1!16#8%%9%684bCr66#el6#x66/64
python(abi) + 8#6 se necesita para (instalado) net!python!%#:8#11!@#el6#x66/64
###
/usr/bin/python se necesita para (instalado) gnome!panel!8#@%#8!14#el6#x66/64
/usr/bin/python se necesita para (instalado) totem!8#86#6!8#el6#x66/64
/usr/bin/python se necesita para (instalado) system!con"ig!"ireall!1#8#8$!:#el6#noarch
/usr/bin/python se necesita para (instalado) redhat!lsb!4#%!@#el6#centos#x66/64
/usr/bin/python8 se necesita para (instalado) "irstboot!1#11%#11!1#el6#x66/64
S se desea desnstaar cuaquer paquete sn mportar que otros dependan de este, se puede
utzar agregar a opcn ((nodeps. Esto es contrandcado y so debe ser utzado en
stuacones muy partcuares. Evte sempre desnstaar paquetes que sean dependenca de otros
en e sstema a menos que vaya a renstaar nmedatamente un paquete que cubra as
dependencas que se hayan vsto afectadas.
293
*:. ,so del mandato yum.
*:.+. &ntroduccin
*:.+.+. Acerca de Z,;.
Z,; (Zeow Dog ,pdater, ;odfed) es una herramenta bre, escrta en Python, dseada para
gestn de paquetes en dstrbucones de GNU/Lnux que utzan RPM. Fue desarroado por Seth
Vda y otros coaboradores y es mantendo actuamente como parte de proyecto Lnux@DUKE
de a Unversdad de Duke. Desde que Seth Vda traba|a en Red Hat, Inc., programadores de
dcha compaa estn mpcados en e desarroo de yum y han me|orado mucho su
funconadad y desempeo.
Actuamente es e gestor de paquetes de facto de CentOS, Fedora y Red Hat Enterprse Lnux y
otras dstrbucones de GNU/Lnux basadas sobre stas.
Actuazar e sstema apcando os ms recentes parches de segurdad y correctvos, es hoy ms
fc gracas a YUM. E nferno de resover dependencas entre paquetes RPM termn hace
muchos aos. A contnuacn, os procedmentos para utzar yum y reali9ar f<cilmente o que
agunos denomnan orrible, difcil y complicado.
*:.*. =rocedimientos
*:.*.+. istados.
Lo sguente star todos os paquetes en a base de datos yum dsponbes para nstaacn :
yum list available N less
Lo sguente star todos os paquetes nstaados en e sstema:
yum list installed N less
Lo sguente star so as versones nstaadas en e sstema de paquete kerne:
yum list installed kernel
Lo sguente star todos os paquetes nstaados en e sstema y que pueden (y deben)
actuazarse:
294
yum list updates N less
Lo sguente star todos os paquetes nstaados, dsponbes y actuazacones:
yum list all N less
Lo sguente star so os paquetes nstaados, dsponbes y actuazacones cuyo nombre
concda con a expresn reguar 9tools9:
yum list LtoolsL
Lo sguente mostrar a sta de todos os grupos de paquetes dsponbes en os amacenes YUM:
yum grouplist
*:.*.*. B1s#uedas.
Reazar una bsqueda de agn paquete o expresn reguar en a base de datos en aguno de
os amacenes YUM confgurados en e sstema:
yum search nombre!paJuete
E|empo:
yum search cups
*:.*.3. Consulta de informacin
Consutar a nformacn contenda en un paquete en partcuar::
yum in"o nombre!paJuete
E|empo:
yum in"o cups
Consutar a sta de paquetes que conforman un grupo de paquetes en partcuar:
yum groupin"o ,-ombre del Irupo,
E vaor de :ombre del ;rupo es de acuerdo a a sta mostrada por a e|ecucn de mandato
yum grouplist.
E|empo:
yum groupin"o ,Servidor 4eb,
295
*:.*.4. &nstalacin de pa#uetes
Instaacn de paquetes con resoucn automtca de dependencas, a partr de os amacenes
en nea:
yum install nombre!paJuete
E|empo:
yum install cups!pd"
Instaacn de paquetes con resoucn automtca de dependencas, sn verfcacn de frmas
dgtaes, a partr de os amacenes en nea:
yum install !!nogpgcheck nombre!paJuete
E|empo:
yum install !!nogpgcheck cups!pd"
Instaacn de paquetes con resoucn automtca de dependencas, a partr de os amacenes
en nea, sn daogo de confrmacn:
yum !y install nombre!paJuete
E|empo:
yum !y install cups!pd"
Instaacn de paquetes con resoucn automtca de dependencas, ocazados en e sstema de
archvos oca:
yum localinstall \/&escargas/paJuete#rpm
E|empo:
yum localinstall google!chrome!stable/current/x66/64#rpm
Instaacn de paquetes con resoucn automtca de dependencas, ocazados en e sstema de
archvos oca, sn daogo de confrmacn:
yum !y localinstall \/&escargas/paJuete#rpm
E|empo:
yum !y localinstall google!chrome!stable/current/x66/64#rpm
296
Instaacn de paquetes con resoucn automtca de dependencas, sn verfcacn de frmas
dgtaes, ocazados en e sstema de archvos oca:
yum localinstall !!nopgpcheck \/&escargas/paJuete#rpm
E|empo:
yum localinstall !!nopgpcheck K
google!chrome!stable/current/x66/64#rpm
Instaacn de grupos de paquetes con resoucn automtca de dependencas:
yum groupinstall ,-ombre del Irupo,
yum grouplist.
E|empo:
yum groupinstall ,Servidor 4eb,
Instaacn de grupos de paquetes con resoucn automtca de dependencas, sn daogo de
confrmacn:
yum !y groupinstall ,-ombre del Irupo,
E|empo:
yum !y groupinstall ,Servidor 4eb,
De modo predetermnado, a nstaacn de grupos so ncur os paquetes obgatoros y os
predetermnados. Para nstaar os paquetes opconaes, ago poco recomendado, edte e archvo
>etc>yum.conf:
vim /etc/yum#con"
Aada a opcn groupUpacOageUtypes con os vaores defaultH mandatoryH optional.
E|empo:
297
DmainE
cachedir+/var/cache/yum/Fbasearch/Freleasever
keepcache+%
debuglevel+8
log"ile+/var/log/yum#log
exactarch+1
obsoletes+1
gpgcheck+1
plugins+1
installonly/limit+@
gro>'_'#&8#ge_$y'es=-e+#>)$C <#n-#$oryC o'$%on#)
A 1his is the de"aultB i" you make this bigger yum onXt see i" the metadata
A is neer on the remote and so youXll ,gain, the bandidth o" not having to
A donload the ne metadata and ,pay, "or it by yum not having correct
A in"ormation#
A )t is esp# importantB to have correct metadataB "or distributions like
A >edora hich donXt keep old packages around# )" you donXt like this checking
A interupting your command line usageB itXs much better to have something
A manually check the metadata once an hour (yum!updatesd ill do this)#
A metadata/expire+9%m
A =?1 <0?R R'=0S 3'R' 0R )- separate "iles named "ile#repo
A in /etc/yum#repos#d
*:.*.5. Desinstalacin de pa#uetes
Evte utzar a opcn (y a desnstaar paquetes, a menos que se est seguro de as
consecuencas. Preferentemente sempre corrobore qu es o que se va a desnstaar antes de
responder ?i o Zes.
Para evar a cabo a desnstaacn de paquetes, |unto con todo aqueo que dependa de stos:
yum remove nombre!paJuete
E|empo:
yum remove cups!pd"
Para evar a cabo a desnstaacn de grupos de paquetes con resoucn automtca de
dependencas:
yum groupremove ,-ombre del Irupo,
yum grouplist.
E|empo:
yum groupremove ,Servidor 4eb,
*:.*.6. Actuali9ar sistema.
Para evar a cabo a actuazacn de sstema, e|ecute:
298
yum update
Para evar a cabo a actuazacn de sstema, sn daogo de confrmacn, e|ecute:
yum !y update
Para evar a cabo a actuazacn de sstema, omtendo os paquetes con dependencas rotas,
e|ecute:
yum !!skip!broken update
Para evar a cabo a actuazacn de un soo paquete de sstema, e|ecute:
yum update nombre!paJuete
E|empo:
yum update cups
Para evar a cabo a actuazacn de un soo paquete de sstema, sn daogo de confrmacn,
e|ecute:
yum !y update nombre!paJuete
E|empo:
yum !y update cups
Actuazacn de grupos de paquetes con resoucn automtca de dependencas:
yum groupupdate ,-ombre del Irupo,
yum grouplist.
E|empo:
yum groupupdate ,;ase de datos .yS_2,
Actuazacn de grupos de paquetes con resoucn automtca de dependencas, sn daogo de
confrmacn:
yum !y groupupdate ,-ombre del Irupo,
E|empo:
yum !y groupupdate ,;ase de datos .yS_2,
299
*:.*.7. impie9a del directorio de cac$e.
Yum de|a como resutado de su uso metadatos y paquetes amacenados dentro de drectoro
>var>cac$e>yum>. Cuando se estabece a opcn Oeepcac$eV+ en e archvo >etc>yum.conf,
os paquetes RPM que se han nstaado pueden ocupar mucho espaco, por o cua convene
emnaros. De gua modo, perdcamente convene hacer o msmo con os metadatos ve|os
detrs de servdores proxy-cache.
A fn de reazar a mpeza de todo e cache de YUM (metadatos, paquetes, etc.), puede
e|ecutarse o sguente:
yum clean all
A fn de reazar so a mpeza de metadatos, puede e|ecutarse o sguente:
yum clean metadata
A fn de reazar so a mpeza de paquetes descargados, puede e|ecutarse o sguente:
yum clean packages
*:.*.:. Jerificacin de la !ase de datos '=;.
Para verfcar a base de datos de RPM en busca de dependencas rotas, e|ecute:
yum check
300
*[. Configuracin y uso de Crond.
ma uso de stos.
*[.+. &ntroduccin.
*[.+.+. Acerca del servicio crond.
E servco crond es proporconado por e paquete cronie (utzado en CentOS 6, Fedora,
openSUSE y Red Hat Enterprse Lnux 6), e cua es un proyecto dervado de vi2ie(cron
(utzado en CentOS 5, Red Hat Enterprse Lnux 5 y SUSE Lnux Enterprse 10 y 11) y que
ncuye me|oras en a confguracn y en a segurdad, como a capacdad de utzar PAM y
SELnux.
Crond es un servco de sstema encargado de e|ecutar mandatos en horaros determnados. Los
mandatos programados pueden defnrse en e archvo de confguracn >etc>cronta!. Se puede
utzar adems e drectoro >etc>cron.d, e cua srve para amacenar archvos con e msmo
formato de archvo >etc>cronta!.
E sstema dspone adems de varos drectoros utzados por e servco crond:
>etc>cron.daily: todo o que se cooque dentro de este drectoros, se e|ecutar una
vez todos os das.
>etc>cron.ReeOly: todo o que se cooque dentro de este drectoros, se e|ecutar
una vez cada semana.
>etc>cron.mont$ly: todo o que se cooque dentro de este drectoros, se e|ecutar
una vez a mes.
Los archvos contendos en estos drectoros so puede ser modfcados por root y pueden ncur
archvos e|ecutabes con agn programa en BASH o mandatos partcuares.
E servco utza tambn archvos ocazados dentro de drectoro >var>spool>cron, que son
generados por os usuaros reguares a travs de mandato cronta! con a opcn (e y que
permten a stos e poder programar mandatos.
De modo predetermnado, todos os usuaros con ntrprete de mandatos pueden utzar e
servco crond, a travs de mandato cronta! y programar, en os horaros que sean necesaros,
os mandatos a os que se tengan prvegos. Es posbe restrngr e uso de este servco,
aadendo a sta de nombres de os usuaros a os cuaes se requera denegar e uso de ste,
dentro de archvo >etc>cron.deny (un nombre de usuaro por rengn).
301
E paquete correspondente a servco crond ncuye dferentes manuaes que descrben e uso y
confguracn. Para obtener una descrpcn detaada de uso de mandato cronta!, e|ecute
man + cronta!:
man 1 crontab
Para obtener una descrpcn detaada de formato utzado para defnr as fechas a utzar y
una descrpcn detaada de a confguracn de archvo >etc>cronta! y e formato a segur para
os archvos que se amacenen dentro de os drectoros de confguracn menconados, e|ecute
man 5 cronta!:
man : crontab
*[.*. "#uipamiento lgico necesario.
De modo predetermnado, tras ser nstaado, e servco crond vene habtado en os nvees de
e|ecucn 2, 3, 4 y 5 y seguramente estar en e|ecucn.
Savo que se haya hecho agn cambo en e archvo >etc>sysconfig>crond, como por e|empo
para aadr agn argumento a nco de servco, es nnecesaro rencar e servco. La
e|ecucn de os mandatos programados se reaza procesando e contendo de os archvos y
drectoros de confguracn.
*[.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
S utza Cent0? 6 o 'ed FatG "nterprise inu2 6 o versones posterores de stos, e
paquete cronie se ncuye en a nstaacn predetermnada. De ser necesaro, e|ecute o
sguente para nstaar e paquete cronie:
yum !y install cronie
S utza Cent0? 5 o 'ed FatG "nterprise inu2 5, stos sstemas operatvos utzan e
paquete vi2ie(cron, e cua se ncuye en a nstaacn predetermnada. De ser necesaro,
e|ecute o sguente para nstaar e paquete vi2ie(cron:
yum !y install vixie!cron
Para ncar e servco por prmera vez cuando recn se ha nstaado cronie, so e|ecute:
service crond start
*[.*.*. "n open?,?"G.
E paquete cronie se ncuye en a nstaacn predetermnada de openSUSE. S fuese
necesaro, nstae e paquete cronie e|ecutando o sguente:
yast !i cronie
302
rccron start
*[.*.3. ?,?"G inu2 "nterprise.
E paquete cron (aas vi2ie(cron) se ncuye en a nstaacn predetermnada de SUSE Lnux
Enterprse. S fuese necesaro, nstae e paquete cron e|ecutando o sguente:
yast !i cron
rccron start
*[.*.4. Anacron.
Para os sstemas donde es mposbe que e servco crond se e|ecute as 24 horas, os 365 das
de ao, como ocurre en os equpos porttes y sstemas de escrtoro, convene nstaar adems
e paquete cronie(anacron, e cua se encarga de e|ecutar os mandatos programados
pendentes que haya sdo mposbe procesar con e servco crond, a estar stos confgurados
en horaros en os cuaes est apagado o suspenddo e sstema.
Cabe seaar que anacron depende de cronie o vi2ie(cron, segn corresponda a versn de
sstema operatvo.
*[.*.4.+. &nstalacin en Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
S utza CentOS 6, Fedora o Red Hat Enterprse Lnux 6, nstae e paquete cronie(anacron,
e|ecute o sguente:
yum !y install cronie!anacron
Anacron se nstaa como un mandato programado cada hora.
S utza CentOS 5 o Red Hat Enterprse Lnux 5, nstae e paquete anacron, e|ecute o
sguente:
yum !y install anacron
S utza CentOS 5 o Red Hat Enterprse Lnux 5, e servco anacron vene actvo en os nvees
de e|ecucn 2, 3, 4 y 5. Para ncaro por prmera vez, e|ecute o sguente:
service anacron start
*[.*.4.*. &nstalacin en open?,?"G.
Para nstaar anacron, e|ecute o sguente:
yast !i cronie!anacron
303
Anacron se nstaa como un mandato programado cada hora.
*[.3. =rocedimientos.
*[.3.+. 8ormato para el arc$ivo >etc>cronta!.
Cuaquer usuaro que sea defndo para e|ecutar un mandato programado en e archvo
>etc>cronta!, podr e|ecutar todo aqueo para o cua tenga prvegos, sempre y cuando se
defna un ntrprete de mandatos vdo (por e|empo >!in>!as$ o >!in>s$) en a varabe de
entorno ?F", as como as rutas de bnaros e|ecutabes que sean necesaras, sn mportar o
que est defndo en e archvo >etc>passRd o as varabes de entorno defndas en e archvo
^>.!as$rc de usuaro a utzar.
SFELL=;b%n;b#sh
9ATF=;sb%n1;b%n1;>sr;sb%n1;>sr;b%n
.5)210+root
E archvo >etc>cronta! permte adems defnr a cu usuaro envar un mensa|e de correo
eectrnco con os resutados de as sadas de os mandatos que as generen y e ntrprete de
mandatos a utzar.
S3'22+/bin/bash
MA?LTO=#)g>%enKg<#%).&o<
E archvo utza un formato de 7 campos, donde se defne, respectvamente, mnuto, hora, da
de mes, mes, da de a semana, usuaro a utzar y e mandato a e|ecutar
#!!!!!!!!!!!!!!!!!!!!!!!i .inuto (% ! :9)
N #!!!!!!!!!!!!!!!!!!!!i 3ora (% ! 8@)
N N #!!!!!!!!!!!!!!!!!i &fa del mes (1 ! @1)
N N N #!!!!!!!!!!!!!!i .es (1 ! 18)
N N N N #!!!!!!!!!!!i &fa de la semana (% ! 6) (domingo+% o $)B y
N N N N N tambihn acepta como valores7
N N N N N monB tueB edB thuB "riB sat y sun
N N N N N #!!!!!!!!i ?suario
N N N N N N #!i .andato a eQecutar
g g g g g g g
1 14 L L L "ulano /home/"ulano/bin/tarea#sh M /dev/null 8Me1
*[.3.+.+. 8ormato e2clusivo de cronie.
A dferenca de vi2ie(cron, con cronie se pueden omtr os prmeras 5 campos y en su ugar
utzar as sguentes opcones:
@reboot (e|ecutar una vez despus de rencar e sstema)
@yeary y @annuay (e|ecutar anuamente, es decr: % % 1 1 L)
@monthy (e|ecutar mensuamente, es decr: % % 1 L L)
@weeky (e|ecutar semanamente, es decr: % % L L %)
304
@day (e|ecutar daramente, es decr: % % L L L)
@houry (e|ecutar cada hora, es decr: % L L L L)
8ormato para utili9ar con el mandato cronta! (e.
Todos os usuaros de sstema pueden e|ecutar e mandato cronta! con a opcn (e, a
excepcn de aqueos quenes tengan >dev>null (dspostvo nuo) como ntrprete de mandatos
o ben que se encuentren stados en e archvo >etc>cron.deny.
Para os usuaros que tengan >s!in>nologin como ntrprete de mandatos, ser necesaro se
defna >!in>!as$ o >!in>s$ en a varabe de entorno ?F" a nco de archvo cron
correspondente. Con este tpo de usuaros, habra que e|ecutar o sguente para poder hacer uso
de mandato cronta!.
su !l usuario !s /bin/bash !c ,crontab !e,
E formato para os usuaros, utzando e mandato cronta! con a opcn (e, es e msmo que e
de archvo >etc>cronta!, pero descartando a coumna que defne a usuaro.
#!!!!!!!!!!!!!!!!!!!!!!!i .inuto (% ! :9)
N #!!!!!!!!!!!!!!!!!!!!i 3ora (% ! 8@)
N N #!!!!!!!!!!!!!!!!!i &fa del mes (1 ! @1)
N N N #!!!!!!!!!!!!!!i .es (1 ! 18)
N N N N #!!!!!!!!!!!i &fa de la semana (% ! 6) (domingo+% o $)B y
N N N N N tambihn acepta como valores7
N N N N N monB tueB edB thuB "riB sat y sun
N N N N N #!!!!!!!!i .andato a eQecutar
g g g g g g
1 14 L L L /home/"ulano/bin/tarea#sh M /dev/null 8Me1
Todos os archvos de cron generados por os usuaros se amacenan sempre dentro de
drectoro >var>spool>cron, utzando e msmo nombre de usuaro como nombre de archvo. Es
decr, os mandatos programados por e usuaro fuano, se amacenarn en e archvo
>var>spool>cron>fulano.
*[.3.*. ".emplos de configuraciones.
Consderando e sguente e|empo:
1 1 L L L root "reshclam M /dev/null 8Me1
Lo anteror sgnfca que a as I+-I+, todos os das, todos os meses, todos os aos, todos os
das de a semana, se e|ecutar, como e usuaro root, e mandato fres$clam. Se aade a fna
g >dev>null *gh+ para que cuaquer dato generado por a e|ecucn de este mandato, se
descarte y sea envando a dspostvo nuo de sstema (>dev>null) y que tambn se enve a
sada de ?AD"'' haca ?AD0,A.
% 8@ L L : root yum !y update M /dev/null 8Me1
305
Lo anteror sgnfca que a as *3-II, todos os vernes, todos os meses, todos aos, se e|ecutar,
como e usuaro root, e mandato yum (y update. A gua que en e e|empo anteror, se aade
a fna g >dev>null *gh+ para que cuaquer dato generado por a e|ecucn de este mandato,
se descarte y sea envando a dspostvo nuo de sstema (>dev>null) y que tambn cambe e
drecconamento de ?AD"'' haca ?AD0,A.
L/: L L L L root /sbin/service httpd reload M /dev/null 8Me1
Lo anteror sgnfca que cada 5 mnutos se e|ecutar, como e usuaro root, e mandato
>s!in>service $ttpd reload.
L L/@ L L L root /sbin/service httpd reload M /dev/null 8Me1
Lo anteror sgnfca que cada 3 horas se e|ecutar, como e usuaro root, e mandato
L L L/@ L L root /sbin/service httpd reload M /dev/null 8Me1
Lo anteror sgnfca que cada 3 das se e|ecutar, como e usuaro root, e mandato
@% 1% 8% 8 L "ulano all ,j>eliC cumpleaVos a miT,
Lo anteror sgnfca que a as +I-3I, cada *I de fe!rero, todos o aos, se e|ecutar, como e
usuaro fulano, e mandato Rall /W8eli9 cumpleaos a miX/.
[reboot "ulano mail !s ,'l sistema ha reiniciado, alguien[gmail#com
Lo anteror sgnfca que cada vez que se rence e sstema, se e|ecutar, como e usuaro
fulano, e mandato mail (s /"l sistema $a reiniciado/, msmo que envar con mensa|e de
correo eectrnco a alguienigmail.com, con e asunto /"l sistema $a reiniciado/.
306
3I. Configuracin y uso de Atd.
ma uso de stos.
3I.+. &ntroduccin.
3I.+.+. Acerca de los mandatos at y !atc$.
Los mandatos at y !atc$ se utzan so para programar a e|ecucn de mandatos de una soa
ocasn. En e caso de que se requera programar mandatos para ser e|ecutados perdcamente,
se sugere hacero a travs de crontab.
Ambos mandatos nterpretan otros mandatos drectamente desde a entrada estndar (STDIN) o
a partr de un archvo especfcado. E mandato at permte especfcar que un mandato sea
e|ecutado a una hora y fecha especfcos. E mandato !atc$ e|ecuta os mandatos so cuando
descenden os nvees de carga de traba|o de sstema hasta un nve en partcuar. Ambos
mandatos utzan e ntrprete de mandatos de sstema.
3I.*. "#uipamiento lgico necesario.
De modo predetermnado e servco atd vene habtado en os nvees de e|ecucn 2, 3, 4 y 5 y
seguramente estar en e|ecucn.
Savo que se haya hecho agn cambo en e archvo >etc>sysconfig>atd, como por e|empo para
aadr agn argumento a nco de servco, es nnecesaro rencar e servco. La e|ecucn de
os mandatos programados se reaza procesando e contendo de os archvos y drectoros de
confguracn
3I.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
S utza Cent0? o 'ed FatG "nterprise inu2, e paquete at se ncuye en a nstaacn
predetermnada. De ser necesaro, e|ecute o sguente para nstaar e paquete at:
yum !y install at
Para ncar e servco por prmera vez, en caso de que recn se haya nstaado atd, e|ecute:
service atd start
3I.*.*. "n open?,?"G y ?,?"G inu2 "nterprise.
307
E paquete at se ncuye en a nstaacn predetermnada de openSUSE. S fuese necesaro,
nstae e paquete at e|ecutando o sguente:
yast !i at
Para ncar e servco por prmera vez, en caso de que recn se haya nstaado at, e|ecute:
rcat start
3I.3. =rocedimientos.
3I.3.+. Arc$ivos de configuracin >etc>at.alloR y >etc>at.deny.
E archvo >etc>at.deny se utza para defnr una sta de usuaros a os cuaes se es denegar e
uso de mandato at. Cuando este archvo est vaco, mpca que todos os usuaros de sstema
pueden hacer uso de mandato at.
E archvo >etc>at.alloR es nexstente de modo predetermnado. Cuando ste exste, so os
usuaros stados en su nteror pueden hacer uso de mandato at.
En ausenca de archvo >etc>at.alloR, e sstema utzar sempre >etc>at.deny para e contro
de acceso a mandato at.
En ausenca de os archvos >etc>at.alloR y >etc>at.deny, so e usuaro root puede hacer uso
de mandato at.
3I.3.*. Directorio >var>spool>at.
Todos os mandatos programados con os mandatos at y !atc$ se amacenan dentro de
drectoro >var>spool>at.
3I.3.3. ;andato at.
E mandato at se utza para e|ecutar mandatos a una determnada hora y fecha.
E mandato at acepta horas en e formato FF-;;. Cuando se e|ecuta con una hora que ya ha
pasado, e sstema asume que se refere a da sguente. Tambn se pueden especfcar vaores
como midnigt (meda noche, 00:00), noon (12:00) o teatime (16:00). E|empo:
at 1$7@%
Para especfcar a fecha se utza e formato nombre-de-mes da, sempre y cuando se
especfque despus de a hora de e|ecucn. E|empo:
at 1678% Sep 8$
Opconamente tambn se puede defnr e ao. E|empo:
at 1678% Sep 8$ 8%14
308
Tambn se puede especfcar en e formato ;;DDAAAA, ;;>DD>AAAA o DD.;;.AAAA.
E|empos:
at 1%7@% %11:8%1:
at 1%7@% %1/1:/8%1:
at 1%7@% 1:#%1#8%1:
Los tres e|empos anterores e|ecuta un mandato e 15 de enero de 2015 a as 10:30 AM.
Tambn es posbe utzar una hora especfca y estabecer s se e|ecuta ahora (now) ms
undades de tempo, como horas (urs), das (days) y semanas ((ee's). E|empo:
at 1%7@% no U 1: days
Lo anteror estabece se e|ecute un mandato a as 10:30 AM dentro de 15 das.
at 1%7@% no U 6 eeks
Lo anteror estabece se e|ecute un mandato a as 10:30 AM dentro de 6 semanas.
Tambn permte estabecer a e|ecucn utzando today (hoy) y tomorrow (maana) como
argumentos. E|empo
at 1878: tomorro
E formato competo para a defncn de tempo se puede consutar examnando e contendo
de archvo >usr>doc>at>timespec.
Una vez que se e|ecuta e mandato at con aguna hora en partcuar, se escrbe en pantaa e
mandato o con|unto de mandato deseados. Para guardar e mandato y sar de ntrprete de
mandatos de mandato at, puse CTRL-D.
Utzando a opcn (f se puede utzar un archvo especfco en ugar de a entrada estndar.
at 1%7@% today !" /home/usuario/bin/trabaQo#sh
Oue es o msmo que e|ecutar o sguente:
at 1%7@% today b /home/usuario/bin/trabaQo#sh
E manua competo de mandato at puede consutarse e|ecutando o sguente:
man 1 at
3I.3.4. ;andato !atc$.
E mandato !atc$ se utza para e|ecutar mandatos cuando e nve de carga de sstema cae por
deba|o de 0.8, o ben e vaor que se especfque con e mandato atrun. E mandato !atc$
prescnde de uso de argumentos y so permte e uso de a opcn (f para defnr e nombre de
un archvo para ser utzado en ugar de a sada estndar. E|empo:
309
batch !" /home/usuario/bin/trabaQo#sh
Lo anteror es o msmo que e|ecutar o sguente:
batch b /home/usuario/bin/trabaQo#sh
Para cambar e vaor de a carga mxmo para poder e|ecutar os mandatos programados con e
mandato batch, se e|ecuta e mandato atrun con a opcn (l y e vaor de carga deseado.
E|empo:
atrun !l %#9
3I.3.5. ;andato at#.
E mandato at# muestra una sta de todos os mandatos pendentes. Cuando se e|ecuta como
usuaro reguar, muestra excusvamente os mandatos pendentes de ese usuaro en partcuar.
E|empo:
atJ
La sada de o anteror -cuando hay mandatos pendentes- puede ser smar a a sguente.
$ 1ue Sep 8: 147@%7%% 8%18 a "ulano
: 1hu Oan 1: 1%7@%7%% 8%1: a "ulano
6 4ed Sep 86 147@%7%% 8%18 a root
6 1hu Oan 1: 1%7@%7%% 8%1: a Cutano
E mandato at# es en readad un ata|o de sguente mandato:
at !l
Cuando se e|ecuta como root, muestra todos os mandatos pendentes de todos os usuaros.
3I.3.6. ;andato atrm.
E mandato atrm se utza para emnar mandatos pendentes, utzando e nmero de mandato
atrm 8
Lo anteror es o msmo que e|ecutar o sguente:
at !d 8
310
3+. Asignacin de cuotas en el sistema de
arc$ivos.
3+.+. &ntroduccin.
La utzacn de cuotas en e sstema de archvos permte a os admnstradores de sstemas
reazar a gestn efcente de espaco compartdo en dsco por mtpes usuaros. Las cuotas
restrngen a capacdad de os usuaros para acceder haca os recursos de sstema, taes como
boques (asgnacn de undades), e nodos (entradas de sstema de archvos). Cuando una cuota
es excedda se apca una potca determnada por e admnstrador. Las cuotas se admnstran
ndvduamente por cada sstema de archvos y son ncas para usuaros y/o grupos.
3+.+.+. Acerca de las cuotas.
Una cuota de dsco es un mte estabecdo por un admnstrador, e cua restrnge certos
aspectos de uso de sstema de archvos. E ob|etvo de as cuotas es mtar, de forma razonabe,
e espaco utzado en e sstema de archvos. Sueen confgurarse en servdores de correo
eectrnco, servdores HTTP con anftrones vrtuaes, servdores de archvos, en agunos
sstemas de escrtoro y en cuaquer escenaro donde e admnstrador de sstema neceste
controar e espaco utzado por o usuaros en e sstema de archvos.
3+.+.*. Acerca de &nodos.
De acuerdo a Wkpeda, un nodo, nodo- o tambn nodo ndce, es una estructura de datos
propa de os sstemas de archvos en sstemas operatvos tpo POSIX (=ortabe 0peratng ?ystem
&nterface for Un2), como GNU/Lnux. Un nodo contene as caracterstcas (permsos, fechas y
ubcacn) de un archvo reguar, drectoro o cuaquer otro eemento que pueda contener e
sstema de archvos.
Cada nodo queda dentfcado en e sstema de archvos por un nmero entero nco y os
drectoros recogen una sta de pare|as formadas por un nmero de nodo y un nombre
dentfcatvo que permte acceder a un archvo en partcuar. Cada archvo tene un nco nodo,
pero puede tener ms de un nombre en dstntos ugares o ncuso en e msmo drectoro, para
factar su ocazacn.
3+.+.3. Acerca de Blo#ues.
De acuerdo a Wkpeda, un boque es a cantdad ms pequea de datos que pueden transferrse
en una operacn de entrada/sada entre a memora prncpa de una computadora y sus
dspostvos perfrcos o vceversa.
311
3+.*. "#uipamiento lgico necesario.
3+.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
E paquete #uota vene ncudo en a nstaacn estndar. S se hzo una nstaacn mnma,
puede nstaarse e|ecutando o sguente:
yum !y install Juota
3+.*.*. "n open?,?"G y ?,?"G "nterprise inu2.
E paquete #uota vene ncudo en a nstaacn estndar de ?,?"G inu2 "nterprise ?erver.
S se hzo una nstaacn mnma o ben se nsta ?,?"G inu2 "nterprise DesOtop, puede
nstaarse e|ecutando o sguente:
yast !i Juota
3+.3. =rocedimientos.
Durante a nstaacn deb asgnarse una partcn dedcada para, por menconar un e|empo,
os drectoros >var y >$ome.
Edte e archvo >etc>fsta!.
vi /etc/"stab
S utza Cent0? 6, 8edoraG, 'ed FatG "nterprise inu2 6 o ?,?"G inu2 "nterprise ++,
puede utzar cuotas con regstro por daro (journaled quotas) sn modfcar e nceo de sstema
o nstaar otra versn de quota-toos. Las cuotas con regstro por daro funconan de modo
smar a regstro por daro de os sstemas de archvos Ext3/Ext4, garantzando a ntegrdad de
os archvos de cuotas, o cua evta que e sstema se vea obgado a e|ecutar automtcamente
e mandato #uotac$ecO despus de un apagado ncorrecto.
Aada a a coumna de opcones de as partcones >var y >$ome, a opcn usr.#uota con e
vaor a#uota.user, a opcn grp.#uota con e vaor a#uota.group y a opcn .#fmt con e
vaor vfsvI:
S utza Cent0?, 8edoraG o 'ed FatG "nterprise inu2, e sguente es un e|empo de cmo
pudera quedar a confguracn de as partcones.
/dev/sda$ /var ext4 de"aultsB>srD,>o$#=#,>o$#.>serCgr'D,>o$#=#,>o$#.gro>'CD,+<$=*+s*6 1 8
/dev/sda: /home ext4 de"aultsB>srD,>o$#=#,>o$#.>serCgr'D,>o$#=#,>o$#.gro>'CD,+<$=*+s*6 1 8
S utza open?,?"G o ?,?"G inu2 "nterprise inu2, e sguente es un e|empo de cmo
pudera quedar a confguracn de as partcones.
/dev/sda$ /var ext@ aclBuser/xattrB>srD,>o$#=#,>o$#.>serCgr'D,>o$#=#,>o$#.gro>'CD,+<$=*+s*6 1 8
/dev/sda: /home ext@ aclBuser/xattrB>srD,>o$#=#,>o$#.>serCgr'D,>o$#=#,>o$#.gro>'CD,+<$=*+s*6 1 8
312
)ota.
S utza Cent0? 5, 'ed FatG "nterprise inu2 5 o ?,?"G inu2 "nterprise +I, ofcamente stos
carecen de soporte para cuotas con regstro por daro. Requeren un parche en e nceo de Lnux para
poder hacer uso de stas. En estos sstemas operatvos so se pueden utzar cuotas sin registro por
diario, por o cua so se deben aadr as opcones usr#uota y grp#uota en e archvo >etc>fsta!, en
a coumna de opcones correspondentes a as partcones /var y /home. E|empo:
25;'2+/var /var ext@ de"aultsB>sr,>o$#Cgr',>o$# 1 8
25;'2+/home /home ext@ de"aultsB>sr,>o$#Cgr',>o$# 1 8
Deben apcarse os cambos a as partcones, ya sea rencando e sstema o ben e|ecutando os
sguentes mandatos:
mount !o remount /var
mount !o remount /home
Lo anteror vueve a eer as opcones de montado de cada una de as partcones y apc os
cambos nmedatamente.
E|ecute e mandato #uotac$ecO con as opcones (avugcm, donde a sgnfca que se verfcan
todos os sstemas de archvos con soporte para cuotas, v sgnfca que se devuevan mensa|es
descrptvos, u sgnfca que se verfquen cuotas de usuaro, g sgnfca que se verfquen cuotas
de grupo, c sgnfca omtr verfcar archvos de cuota prevos y crear nuevos archvos y m
sgnfca que se evte re-montar en modo de so ectura os sstemas de archvos, que
deamente se utza cuando se tene procesos traba|ando en as partcones:
Juotacheck !avugcm
E manua de mandato #uotac$ecO puede consutarse e|ecutando o sguente:
man 6 Juotacheck
Para actvar as cuotas recn confguradas, asumendo que se estn confgurando as partcones
correspondentes a /home y /var, e|ecute os sguentes dos mandatos:
Juotaon /home
Juotaon /var
3+.3.+. "d#uota.
E mandato ed#uota se utza para gestonar as cuotas asgnadas a usuaros y/o grupos. E
manua de ste puede consutarse e|ecutando o sguente:
man 6 edJuota
Es mportante conocer que sgnfca cada coumna mostrada por e mandato ed#uota.
313
BlocOs- Boques. Corresponde a a cantdad de boques de 1 Kb que est utzando e usuaro.
&nodes- Inodos. Corresponde a nmero de archvos que est utzando e usuaro. Un inodo (tambn
conocdo como Index Node) es un apuntador haca sectores especfcos en a undad de amacenamento
en os cuaes se encuentra a nformacn de un archvo. Contene adems a nformacn acerca de
permsos de acceso as como os usuaros y grupos a os cuaes pertenece e archvo.
?oft- Lmte de graca. Lmte de boques de 1 KB o nodos que e usuaro tene permtdo utzar y que
puede rebasar hasta que sea exceddo e perodo de graca (de modo predetermnado son 7 das).
Fard- Lmte absouto. Lmte que no puede ser rebasado por e usuaro ba|o crcunstanca aguna.
Para asgnar cuotas a cuaquer usuaro reguar, se e|ecuta e mandato ed#uota, especfcando
como argumento e nombre de usuaro. E|empo:
edJuota "ulano
Lo anteror deber devover ago smar a o sguente:
&isk Juotas "or user "ulano (uid :%1)7
>ilesystem blocks so"t hard inodes so"t hard
/dev/sda$ 6 % % 1 % %
/dev/sda: 84 % % 1% % %
Para asgnar cuotas a cuaquer grupo de usuaros reguares, se se e|ecuta e mandato ed#uota
con a opcn (g, especfcando como argumento e nombre de grupo. E|empo:
edJuota !g desarrollo
Lo anteror deber devover ago smar a o sguente:
&isk Juotas "or group desarrollo (gid :1%)7
/dev/sda$ 48@6 % % 8:1 % %
/dev/sda: 68@4 % % @4% % %
Cuando se asgnan cuotas a grupos, ests defnen os mtes en con|unto para todo e grupo de
usuaros que pertenezcan a un grupo determnado.
3+.3.+.+. Cuota a!soluta.
Suponendo que se quere asgnar una cuota de dsco de 50 MB para e usuaro fuano en en
/dev/sda$ y /dev/sda:, se utzara o sguente:
/dev/sda$ 6 % :18%% 1 % %
/dev/sda: 84 % :18%% 1% % %
E usuaro sempre podr rebasar una cuota de gracia pero nunca una cuota a!soluta.
3+.3.+.*. Cuota de gracia.
314
De modo predetermnado e sstema asgna un periodo de gracia de 7 das, que se puede
modfcar con e mandato ed#uota con la opcin (t-
edJuota !t
Donde se puede estabecer un nuevo perodo de graca, ya sea por das, horas, mnutos o
segundos.
Irace period be"ore en"orcing so"t limits "or users7
1ime units may be7 daysB hoursB minutesB or seconds
>ilesystem ;lock grace period )node grace period
/dev/hdb$ $days $days
/dev/hdb: $days $days
La cuota de gracia estabece os mtes de boques o inodos que un usuaro tene en un
sstema de archvos en partcuar. Cuando e usuaro excede e mte estabecdo por a cuota de
graca, e sstema adverte a usuaro que se ha exceddo a cuota de dsco sn embargo permte
a usuaro contnuar escrbendo hasta que trascurre e tempo estabecdo por e perodo de
graca, tras e cua a usuaro se e mpde contnuar escrbendo sobre e sstema de archvos.
Suponendo que quere asgnar una cuota de graca de 25 MB en /dev/sda$ y /dev/sda:, a cua
podr ser excedda hasta por 7 das, se utzara a sguente confguracn:
/dev/sda$ % 8:6%% % % % %
/dev/sda: 84 8:6%% % 1% % %
3+.3.+.3. Aplicando cuotas de forma masiva.
S se quere apcar un msmo esuqema de cuotas de dsco para todos os usuaros reguares de
sstema, a partr de UID 501, por menconar un e|empo y asumendo que utzar como panta
e esquema de cuotas de dsco de usuaro fuano, e|ecute o sguente Pnote por favor los
dos acentos graves en el mandatoH pues se trata de un car<cter diferente al
apostrofeQ:
edJuota !p "ulano âk !>7 XF@ M :%1 cprint F1dX /etc/passd^
3+.4. Compro!aciones.
Utce como root e mandato ed#uota para modfcar os mtes de usuaro fulano e|ecutando
o sguente:
edJuota "ulano
Asgne a usuaro fuano una cuota de graca de 25 MB, una cuota absouta de 50 MB, un
mte de graca de 1000 archvos y un mte absouto de 1500 archvos, en todas as partcones
con cuota de dsco habtada:
/dev/sda$ % /!566 !3/66 % 3666 3!66
/dev/sda: 84 /!566 !3/66 1% 3666 3!66
315
Desde otra terminal o e|ecutando su (l fulano, acceda haca e sstema como e usuaro fuano
o cuaquer otro usuaro reguar exstente en e sstema.
E mandato #uota se utza para verfcar as cuotas asgnadas a usuaros y/o grupos. E manua
de ste puede consutarse e|ecutando o sguente:
man 1 Juota
Cmo usuaro reguar, e|ecute e mandato #uota:
Juota
Observe con detenmento a sada:
>ilesystem blocks Juota limit grace "iles Juota limit grace
/dev/sda$ 6 8:6%% :18%% 1 1%%% 1:%%
/dev/sda: 84 8:6%% :18%% 1% 1%%% 1:%%
Reace una copia de drectoro >usr>li! como e sub-drectoro ^>prue!a(cuotas dentro de su
drectoro de nco:
cp !r /usr/lib \/prueba!cuotas
Notar que egar un momento en e que e sstema ndcar que ya no es posbe contnuar
copando contendo dentro de ^>prue!a(cuotas debdo a que se ha agotado e espaco en e
sstema de archvos.
,tilice de nuevo e mandato #uota y observe con detenmento a sada, en donde aparecer
un astersco |usto |unto a a cantdad en as coumnas de boques y/o nodos, os cuaes ndcan
que se han exceddo as cuotas:
/dev/sda$ 6 8:6%% :18%% 1 1%%% 1:%%
/dev/sda: !3/66L 8:6%% :18%% 5-#ys 3!66L 1%%% 1:%% 5-#ys
Para poder vover a escrbr sobre e sstema de archvos, es necesaro berar espaco. Debdo a
que muy probabemente parte de contendo de >usr>li! se cop en modo de so ectura,
cambe prmero os permsos de contendo de drectoro, a fn de dsponer de permsos de
ectura y escrtura:
chmod !R uU \/prueba!cuotas
Emne e drectoro ^>prue!a(cuotas, |unto con su contendo:
Y, fnamente, vueva a e|ecutar e mandato #uota:
rm !"r \/prueba!cuotas
316
Y, fnamente, vueva a e|ecutar e mandato #uota para verfcar que nuevamente se est
traba|ando dentro de os mtes estabecdos:
Juota
La sada debe ser nuevamente smar a a sguente:
/dev/sda$ 6 8:6%% :18%% 1 1%%% 1:%%
/dev/sda: 84 8:6%% :18%% 1% 1%%% 1:%%
317
3*. &ntroduccin a AC=>&=
3*.+. &ntroduccin
TCP/IP fue desarroado y presentado por e Departamento de Defensa de EE.UU. en 1972 y fue
apcado en A'=A)"A (Advanced 'esearch =ro|ects Agency )etwork), que era a red de rea
extensa de Departamento de Defensa como medo de comuncacn para os dferentes
organsmos de EE.UU. La transcn haca TCP/IP en A'=A)"A se concret en 1983.
Se conoce como familia de protocolos de &nternet a con|unto de protocoos de red que son
mpementados por a pa de protocoos sobre os cuaes se fundamenta Internet y que permten
a transmsn de datos entre as redes de computadoras.
Los dos protocoos ms mportantes y que fueron tambn os prmeros en defnrse y tambn os
ms utzados, son AC= (Protocoo de Contro de Transmsn o Aransmsson Contro =rotoco) e
&= (Protocoo de Internet o &nternet =rotoco), de ah que se denomne tambn como Con.unto
de =rotocolos AC=>&=. Los tpos de protocoos exstentes superan os cen, ente os cuaes
podemos menconar como os ms conocdos a HTTP, FTP, SMTP, POP, ARP, etc.
TCP/IP es a pataforma que sostene Internet y que permte a comuncacn entre dferentes
sstemas operatvos en dferentes computadoras, ya sea sobre redes de rea oca (LAN) o redes
de rea extensa (WAN).
3*.*. )iveles de pila
En a actuadad contna a dscusn respecto a s e modeo TCP/IP de cnco nvees enca|a
dentro de modeo OSI (Interconexn de Sstemas Abertos u 0pen?ystems &nterconnecton) de
sete nvees.
;odelo )iveles
TCP/IP 5 Apcacn
4 Transporte
3 Red
2 Enace
1 Fsco.
OSI 7 Apcacn
6 Presentacn
5 Sesn
4 Transporte
3 Red
2 Enace de datos
1 Fsco
318
3*.*.+. ;odelo AC=>&=
Utza encapsuamento para proveer a abstraccn de protocoos y servcos haca dferentes
capas en a pa. La pa consste de cnco nvees:
)ivel )om!re Descripcin
5 Aplicacin Se compone de dversos protocoos de servcos como:
D)? (Doman Name System)
A?>?? (Aransport ayer ?ecurty)
A8A= (Arva 8e Aransfer =rotoco)
8A= (8e Aransfer =rotoco)
FAA= (Fyper Aext Aransfer =rotoco)
&;A= (&nternet ;esssage Access =rotoco)
&'C (&nternet 'eay Chat)
))A= ()etwork )ews Aransfer =rotoco)
=0=3 (=ost 0ffce =rotoco)
?&= (?esson &ncaton =rotoco)
?;A= (?mpe ;a Aransfer =rotoco)
?);= (?mpe )etwork ;anagement =rotco)
??F (?ecure ?$e)
A")"A
BitAorrent
'A= ('ea-tme Aransport =rotoco)
rlogin
")'= ("ndpont Fandespace 'edundancy =rotoco)
Los protocoos de encamnamento como B@= (Border @ateway =rotoco) y '&= ('outng
&nformaton =rotoco) que utzan transporte por TCP y UDP respectvamente pueden ser
consderados como parte de este nve.
4 Aransporte Se compone de dversos protocoos de servcos como:
AC= (Aransmson Contro =rotoco)
,D= (,ser Datagram =rotoco),
DCC= (Datagram Congeston Contro =rotoco)
319
?CA= (?tream Contro Aransmson =rotococo)
& (&nternet nk Protoco, smar a TCP pero ms smpe)
',D= ('eabe ,ser Datagram =rotoco), etc.
Los protocoos como 0?=8 (0pen ?hortest =ath 8rst), que corren sobre IP, pueden ser
tambn consderados como parte de esta capa. &C;= (&nternet Contro ;essage =rotoco) e
&@;= (&nternet @roup ;anagement =rotoco) que tambn utzan IP, pueden ser consderados
parte de Nve de Red.
3 'ed Se compone de dversos protocoos de servcos como &= (ncuyendo &=v4 e &=v6). Protocoos
como A'= (Address 'esouton =rotoco) y 'A'= ('everse Address 'esouton =rotoco) que
operan por deba|o de IP, pero arrba de Nve de enace, de modo que pertenecen a un punto
ntermedo entre e Nve de Red y e Nve de Enace.
2 "nlace Compuesto de protocoos como:
"t$ernet
]i(8i
AoOen ring
=== (Pont-to-Pont =rotoco)
?&= (?era ne &nternet =rotoco)
8DD& (Fber Dstrbuted Data &nterface)
AA; (Asynchronous Aransfer =rotoco)
8rame 'elay
?;D? (Swtched ;ut-megabt Data ?ervces)
1 8sico Medo fsco.
Los nvees ms cercanos atos son os ms cercanos a usuaro, mentras que os que estn ms
haca aba|o se encuentran ms cercanos a a transmsn fsca de os datos. Savo por evdentes
razones en e prmer y tmo nvees, cada nve tene un nve superor y un nve nferor que,
respectvamente o ben utzan un servco de nve o proveen un servco. Un mtodo de
abstraccn para entender esto es mrar os nvees como proveedores o consumdores de
servcos. E|empo: TCP en e nve de transporte requere un protocoo de nve de Red, como
sera IPv4, e cua a su vez requere de un protocoo de nve de enace, sendo TCP un proveedor
de servco para os protocoos de nve de apcacn.
3*.*.+.+. )ivel de aplicacin
320
Es e nve que utzan os programas de red ms comunes a fn de comuncarse a travs de una
red. La comuncacn que se presenta en este nve es especfca de as apcacones y os datos
transportados desde e programa que estn en e formato utzado por a apcacn y van
encapsuados en un protocoo de )ivel de Aransporte. Sendo que e modeo TCP/IP no tene
nvees ntermedos, e nve de Apcacn debe ncur cuaquer protocoo que acte de msmo
modo que os protocoos de )ivel de =resentacin y )ivel de ?esin de ;odelo 0?&. Los
protocoos de Nve de Transporte ms comnmente utzados son TCP y UDP, msmos que
requeren un puerto dsponbe y especfco para e servco para os servdores y puertos
efmeros. Aunque os encamnadores (routers) e nterruptores (swtches) no utzan este nve, as
apcacones que controan e ancho de banda s o utzan.
3*.*.+.*. )ivel de Aransporte
Este nve prncpamente provee o necesaro para conectar apcacones entre s a travs de
puertos. Mentras que IP (Internet Protoco),de Nve de Red, provee soamente a me|or forma de
entrega, e nve de transporte es e prmer nve que se encarga de a fabdad. De entre todos
os protocoos de este nve, tanto TCP como UDP son utzados para transportar un gran nmero
de apcacones de ato nve. Las apcacones en cuaquer nve se dstnguen a travs de os
puertos TCP o UDP que utcen.
AC=.
E me|or e|empo de este nve es TCP, que es un protocoo orentado haca conexn que
resueve numerosos probemas de fabdad para proveer una transmsn de bytes fabe,
ya que se encarga de que os datos eguen en orden, tenga un mnmo de correccones de
errores, se descarten datos dupcados, se vuevan a envar os paquetes perddos o
descartados e ncuya contro de congestn de trfco.
La conexones a travs de TCP tenen tres fases:
&. "sta!lecimiento de la cone2in
Antes de que e cente ntente conectarse con e servdor, ste tmo debe prmero
garse haca e puerto para abrro para as conexones, es decr, una apertura
pasiva. Una vez estabecda, e cente puede ncar a apertura activa. Se requere
de un saudo de tres etapas:
1. La apertura actva se reaza envando un paquete SYN (sncronza) haca e
servdor.
2. En respuesta, e servdor responde con un paquete SYN-ACK (conformacn de
sncronzacn).
3. Fnamente e cente enva un paquete ACK (confrmacn) de regreso haca e
servdor.
En este punto tanto cente como servdor han recbdo una conformacn de
a conexn.
&&. Aransferencia de datos
Hay tres funcones cave que dferencan a TCP de UDP:
1. Transferenca de datos bre de errores.
2. Transferenca de datos ordenada.
321
3. Retransmsn de paquetes perddos.
4. Descartado de paquetes dupcados.
5. A|uste en a congestn de a transmsn de datos.
III. Aerminacin de la cone2in.
Esta etapa utza un saudo de tres vas, con cada extremo de a conexn
termnando ndependentemente. Cuando uno de os extremos desea detener su
parte de a conexn, enva un paquete FIN, que a otra parte confrma con un
paquete ACK. Por tanto, una nterrupcn de a conexn requere un par de paquetes
FIN y ACK desde cada ado de a conexn TCP.
Una conexn puede quedar aberta a medas cuando uno de os extremos ha
termnado a conexn desde su ado pero e otro extremo no. E extremo que
termn a conexn ya no puede envar datos en a conexn, pero e e otro extremo
s.
E mtodo ms comn es un saudo de tres etapas donde un anftrn A enva un
paquete FIN y e anftrn B responde con un paquete FIN y un ACK (en e msmo
paso) y e anftrn A responde con un paquete ACK.
TCP reaza as sguentes etapas en su zcao:
1. LISTEN
2. SYN-SENT
3. SYN-RECEIVED
4. ESTABLISHED
5. FIN-WAIT-1
6. FIN-WAIT-2
7. CLOSE-WAIT
8. CLOSING
9. LAST-ACK
10.TIME-WAIT
11.CLOSED
&?A") representa a conexn en espera de petcones desde cuaquer puerto TCP remoto.
?Z)(?")A representa a espera de TCP remoto para envar de regreso e paquete TCP
estabecendo banderas ?Z) y ACN. ?Z)('"C&J"D representa a espera para e TCP
remoto para envar de regreso a confrmacn despus de haber envado de regreso otra
confrmacn de conexn a TCP remoto (estabecdo por e servdor TCP). "?AAB&?F"D
representa que e puerto est sto para recbr/envar datos desde/haca e TCP remoto (o
hacen tanto centes como servdores TCP). A&;"(]A&A representa e tempo de espera
necesaro para asegurar que e TCP remoto ha recbdo a confrmacn de su soctud de
termnacn de a conexn.
,D=.
UDP, a veces referdo sarcstcamente como 5nreliable Datagram Protoco (Protcoo no
fabe de datagrama), es un protocoo de datagrama sn correccn; no provee as garanta
de fabdad y ordenamento de TCP a os protocoos de )ivel de Aplicacin y os
datagramas pueden egar en desorden o perderse sn notfcacn. Como consecuenca de
o anteror es que UDP es un protocoo ms rpdo y efcente para tareas geras o sensbes
a tempo una nterfaz muy smpe entre e )ivel de 'ed y )ivel de Aplicacin. S se
requere agn tpo de fabdad para os datos transmtdos, sta debe ser mpementada
en os nvees superores de a pa.
322
A gua que IP y a dferenca de TCP, es un protocoo de me|or esfuerzo o no-fabe. E nco
probema de fabdad que resueve es a correccn de errores en a cabecera y datos
transmtdos a travs de un campo de 16 bts para suma de verificacin (checksum), una
forma de contro de redundanca con a fnadad de proteger a ntegrdad de datos
verfcando que no hayan sdo corrompdos.
La estructura de paquetes UDP consste de 4 campos.
=uerto de origen. Encargado de dentfcar e puerto que enva y que se asume
ser e puerto haca donde se enva a respuesta s se necesta. Este campo es
opcona: s no se utza, e vaor de campo debe ser 0.
=uerto de destino. Identfca e puerto de destno. Es obgatoro.
ongitud. Un campo de 16 bts que especfca a ongtud de datagrama competo:
cabecera y datos. La ongtud mnma es de 8 bytes ya que es a ongtud msma de
a cabecera.
?uma de verificacin. Un campo de 16 bts que se utza para verfcar errores en
cabecera y datos.
Las apcacones ms comunes que hacen uso de este tpo de protocoo son DNS,
apcacones de transmsn de medos, voz sobre IP (VoIP), TFTP y |uegos en nea.
?CA=.
SCTP es un mecanismo de transporte fia!le orentado haca conexn. Est orentado
tambn haca transmsn de datos pero no est orentado haca bytes como TCP. Provee
mtpes transmsones dstrbudos sobre una msma conexn. Puede adems representar
una conexn con mtpes dreccones IP de modo que s una IP faa, a conexn no se
nterrumpe. Se desarro ncamente para apcacones de teefona pero se puede utzar
en otras apcacones.
DCC=.
DCCP se encuentra en fase de desarroo y ba|o a tutea de a IETF (Internet Engneerng
Task Force) que pretende proveer a semntca de contro de fu|o de TCP y e modeo de
servco de datagrama de UDP a a vsta de usuaro.
'A=.
RTP es un protocoo de datagrama que fue dseado para datos en tempo rea como a
transmsn de audo y vdeo. Es un nve de sesn que utza e formato de paquetes de
UDP como base. Sn embargo se consdera que este protocoo pudera acomodar deba|o de
nve de transporte de modeo TCP/IP.
3*.*.+.3. )ivel de 'ed
Este nve resueve e probema de capturar os datos a travs de una red nca. &= (&nternet
=rotoco) reaza a tarea bsca de capturar os paquetes de datos desde una fuente haca un
destno. IP puede transportar datos para una gran cantdad de protocoos de nve superor (Nve
de Transporte). Otro e|empo de protocoo de este nve es X.25, que es un con|unto de protocoos
para redes WAN utzando neas teefncas o sstema ISDN.
3*.*.+.4. )ivel de "nlace
323
Este nve no es reamente parte de Con.unto de =rotocolos AC=>&=, sno que es e mtodo
utzado para pasar paquetes desde e Nve de Red sobre dos dferentes anftrones. Este
proceso puede ser controado a travs de equpamento gco utzado como controador de
dspostvo para una tar|eta de red as como tambn sobre a =rogramacin en firme
(Frmware) o crcutos ntegrados auxares (chpsets). Estos procesos reazarn funcones de
enace de datos taes como aadr una cabecera de paquete para preparar a transmsn y
entonces transmtr e todo a travs de un medo fsco.
Este nve es donde os paquetes son nterceptados y envados haca una Red Prvada Vrtua
(VPN). Cuando esto se eva a acabo, os datos de Nve de Enace se consderan como os datos
de a apcacn y procede descendendo por a pa de modeo TCP/IP para reazar a verdadera
transmsn. En e extremo receptor, os datos suben por a pa de modeo TCP/IP dos veces, una
para a VPN y otra para e encamnamento (routng).
3*.*.+.5. )ivel 8sico
A gua que e Nve de Enace, no es reamente parte de Con.unto de =rotocolos AC=>&=.
Contempa todas as caracterstcas fscas de a comuncacn como a naturaeza de medo,
detaes de conectores, cdgo de canaes y moduacn, potencas de sea, ongtudes de onda,
sncronzacn y tempo de vda as como dstancas mxmas.
3*.*.*. ;odelo 0?&
E Con.unto de =rotocolos AC=>&= (y su correspondente pa) han sdo utzados antes de que
se estabecera e modeo OSI (Interconexn de Sstemas Abertos u 0pen ?ystems
&nterconnecton) y desde entonces e modeo TCP/IP ha sdo comparado con e modeo OSI tanto
en bros como en nsttucones educatvas. Ambas se reaconan pero no son equparabes. E
modeo OSI utza sete nvees, mentras que e modeo TCP/IP utza cnco. Los dos nvees que
hacen a dferenca en e Modeo OSI son e )ivel de =resentacin y e )ivel de ?esin,
msmos que podran ser equvaentes a )ivel de Aplicacin de modeo TCP/IP.
De msmo modo que a pa de modeo TCP/IP, e modeo OSI no es o sufcentemente dverso en
os nvees nferores para abarcar as verdaderas capacdades de Con.unto de =rotocolos
AC=>&=. Un caro e|empo es que fata un nve ntermedo para acomodar entre e )ivel de 'ed
y e )ivel de Aransporte para poder determnar donde corresponden os protocoos ICMP e
IGMP y otro nve ntermedo entre e )ivel de 'ed y e )ivel de Aransporte para determnar
donde corresponden os protocoos ARP y RARP.
7 Aplicacin HTTP, SMTP, SNMP, FTP, Tenet, SIP, SSH, NFS, RTSP, E;== (E2tensbe ;essagng and
=resence =rotoco), Whos, ENRP Tenet.
6 =resentacin ED' (E2terna Data 'epresentaton), A?).+ (Abstract ?yntax )otaton 1), ?;B (?erver
;essage Bock),A8= (Appe 8ng =rotoco), )C= ()etWare Core =rotoco)
5 ?esin A?A= (Aggregate ?erver Access =rotoco), TLS, SSH, ISO 8327 / CCITT X.225, '=C
('emote =rocedure Ca), )etB&0?, A?= (Appetak ?esson =rotoco), Wnsock, BSD
sockets
4 Aransporte TCP, UDP, RTP, SCTP, SPX, ATP, IL
2 "nlace de datos Ethernet, Token rng, HDLC, Frame reay, ISDN, ATM, 802.11 WF, FDDI, PPP
1 8sico Defne todas as especfcacones fscas y ectrcas de os dspostvos, como son
dsposcn de pnes, vota|es, especfcacones de cabeado, concentradores, repetdores,
adaptadores de red, etc.
Ca!le, 'adio, fi!ra ptica, 'ed por palomas.
324
Los nvees 7 a 4 se casfcan como nvees de anftrn, mentras que os niveles inferiores de
1 a 3 se casfcan como niveles de medios.
325
33. &ntroduccin a &= versin 4
33.+. &ntroduccin.
&=v4 es a versn 4 de Protocoo de Internet (&= o &nernet =rotoco) y consttuye a prmera
versn de IP que es mpementada de forma extensva. &=v4 es e prncpa protocoo utzado en
e Nve de Red de Modeo TCP/IP para Internet. Fue descrto nca mente en e RFC 791
eaborado por a Fuerza de Traba|o en Ingenera de Internet (&"A8 o &nternet "ngneerng Aask
8orce) en Septembre de 1981, documento que de| obsoeto a RFC 760 de Enero de 1980.
IPv4 es un protocoo orentado haca datos que se utza para comuncacn entre redes a travs
de nterrupcones (swtches) de paquetes (por e|empo a travs de Ethernet). Tene as sguentes
caracterstcas:
Es un protocoo de un servco de datagramas no fabe (tambn referdo como de mejor esfuerzo).
No proporcona garanta en a entrega de datos.
No proporcona n garantas sobre a correccn de os datos.
Puede resutar en paquetes dupcado o en desorden.
Todos os probemas menconados se resueven en e nve superor en e modeo TCP/IP, por
e|empo, a travs de AC= o ,D=.
E propsto prncpa de &= es proveer una dreccn nca a cada sstema para asegurar que una
computadora en Internet pueda dentfcar a otra.
33.*. Direcciones.
&=v4 utza dreccones de 32 bts (4 bytes) que mta e nmero de dreccones posbes a utzar
a 4,294,967,295 dreccones ncas. Sn embargo, muchas de estas estn reservadas para
propstos especaes como redes prvadas, ;ultidifusin (Mutcast), etc. Debdo a esto se
reduce e nmero de dreccones IP que reamente se pueden utzar, es esto msmo o que ha
mpusado a creacn de &=v6 (actuamente en desarroo) como reempazo eventua dentro de
agunos aos para &=v4.
33.*.+. 'epresentacin de las direcciones.
Cuando se escrbe una dreccn &=v4 en cadenas, a notacn ms comn es a decimal con
puntos. Hay otras notacones basadas sobre os vaores de os octetos de a dreccn IP.
Utzando como e|empo: www.acancebre.org que tene como dreccn IP 201.161.1.226 en a
notacn decma con puntos:
326
)otacin Jalor Conversin desde decimal con puntos
Decma con puntos 201.161.1.226 -
Hexadecma con
puntos
0xC9.0xA1.0x01.0xE2 Cada octeto de a dreccn es convertdo
ndvduamente a hexadecma.
Octa con puntos 0311.0241.0001.0342 Cada octeto es convertdo ndvduamente a
octa.
Bnaro con puntos 11001001.10100001.00000001.11100010 Cada octeto es convertdo ndvduamente a
bnaro
Hexadecma 0xC9A101E2 Concatenacn de os octetos de hexadecma
con puntos.
Decma 3382772194 La forma hexadecma convertda a decma.
Octa 31150200742 La forma hexadecma convertda a octa.
Bnaro 11001001101000010000000111100010 La forma hexadecma convertda a bnaro.
Te/ricamente, todos estos formatos menconados deberan ser reconocdos por os navegadores
(sn combnar). Adems, en as formas con puntos, cada octeto puede ser representado en
combnacn de dferentes bases. E|empo: 201.0241.0x01.226.
33.3. Asignacin
Desde 1993 rge e esquema C&D' (Cassess &nter-Doman 'outng o Encamnamento
Inter-Domnos sn Cases) cuya prncpa venta|a es permtr a subdvsn de redes y permte as
entdades sub-asgnar dreccones IP, como hara un ISP con un cente.
E prncpo fundamenta de encamnamento (routng) es que a dreccn codfca nformacn
acerca de ocazacn de un dspostvo dentro de una red. Esto mpca que una dreccn
asgnada a una parte de una red no funconar en otra parte de a red. Exste una estructura
|errquca que se encarga de a asgnacn de dreccones de Internet arededor de mundo. Esta
estructura fue creada para e C&D' y hasta 1998 fue supervsada por a &A)A (&nternet Assgned
)umbers Authorty o Agenca de Asgnacn de Nmeros Internet) y sus '&' ('egona &nternet
'egstres o Regstros Regonaes de Internet). Desde e 18 de Septembre de 1998 a supervsn
est a cargo de a &CA)) (&nternet Corporaton for Assgned )ames and )umbers o Corporacn
de Internet para os Nombres y Nmeros Asgnados). Cada '&' mantene una base de datos
]F0&? dsponbe a pubco y que permte hacer bsquedas que proveen nformacn acerca de
as asgnacones de dreccones IP. La nformacn obtenda a partr de estas bsquedas |uega un
pape centra en numerosas herramentas as cuaes se utzan para ocazar dreccones IP
geogrfcamente.
33.3.+. Blo#ues reservados.
Blo#ues de direcciones reservadas
Blo#ue de direcciones C&D' Descripcin 'eferencia
0.0.0.0/8 Red actua (soo vdo como dreccn de orgen) RFC 1700
10.0.0.0/8 'ed =rivada RFC 1918
14.0.0.0/8 Red de datos pbcos RFC 1700
39.0.0.0/8 Reservado RFC 1797
127.0.0.0/8 Anftrn oca (ocahost) RFC 1700
128.0.0.0/16 Reservado
327
Blo#ue de direcciones C&D' Descripcin 'eferencia
169.254.0.0/16 'ed =rivada (Zeroconf) RFC 3927
172.16.0.0/12 'ed =rivada RFC 1918
191.255.0.0/16
192.0.0.0/24
192.0.2.0/24 Red de pruebas RFC 3330
192.88.99.0/24 Retransmsn desde &=v6 haca &=v4 RFC 3068
192.168.0.0/16 'ed =rivada RFC 1918
198.18.0.0/15 Pruebas de desempeo de red RFC 2544
223.255.255.0/24 Reservado RFC 3330
224.0.0.0/4 Mutdfusn (Mutcast, antes red Case D) RFC 3171
240.0.0.0/4 Reservado (Antes red Case E) RFC 1700
255.255.255.255 Dfusones (Broadcast)
33.3.+.+. 'edes privadas.
De os ms de cuatro mil millones de dreccones permtdas por &=v4, tres rangos estn
especamente reservados para utzarse soamente en redes prvadas. Estos rangos no tenen
encamnamento fuera de una red prvada y as mqunas dentro de estas redes prvadas no
pueden comuncarse drectamente con as redes pbcas. Pueden, sn embargo, comuncarse
haca redes pbcas a travs de a Traduccn de Dreccones de Red o )AA ()etwork Address
Aransaton).
Blo#ues reservados para redes privadas
)om!re 'ango de direcciones &=
)umero de
direcciones &=
Aipo de clase
Blo#ue C&D'
mayor
Boque de
24bts
10.0.0.0 - 10.255.255.255 16,777,215 nca case A 10.0.0.0/8
Boque de
20bts
172.16.0.0 -
172.31.255.255
1,048,576
16 cases B
contguas
172.16.0.0/12
Boque de
16bts
192.168.0.0 -
192.168.255.255
65,535
256 cases C
contguas
192.168.0.0/16
33.3.+.*. Anfitrin local Pocal$ostQ
Adems de as redes prvadas, e rango 127.0.0.0 - 127.255.255.255 o 127.0.0.0/8 en a notacn
C&D', est reservado para a comuncacn de anftrn oca (ocahost). Nnguna dreccn de
este rango deber aparecer en una red, sea pbca o prvada y cuaquer paquete envado haca
cuaquer dreccn de este rango deber regresar como un paquete entrante haca a msma
mquna.
33.4. 'eferencia de su!(redes de &= versin 4.
328
Agunos segmentos de espaco de dreccones de IP, dsponbes para a versn 4, se especfcan
y asgnan a travs de documentos '8C ('equest 8or Comments o Soctud De Comentaros), que
son con|untos de notas tcncas y de organzacn que se eaboran desde 1969 donde se
descrben os estndares o recomendacones de Internet, antes ARPANET. E|empos de esto son
os usos de Retorno de sstema (oopback, RFC 1643), as redes prvadas (RFC 1918) y Zeroconf
(RFC 3927) que no estn ba|o e contro de os '&' ('egona &nternet 'egstres o Regstros
Regonaes de Internet).
La mscara de sub-red es utzada para separar os bts de un dentfcados de una red a partr de
os bts de dentfcados de anftrn. Se escrbe utzando e msmo tpo de notacn para
escrbr dreccones IP.
C&D' ;<scara de su!(red Anfitriones
)om!re de la
clase
,so tpico
/8 255.0.0.0 16777216 Case A
Boque ms grande defndo por a
IANA
/9 255.128.0.0 8388608
/10 255.192.0.0 4194304
/11 255.224.0.0 2097152
/12 255.240.0.0 1048576
/13 255.248.0.0 524288
/14 255.252.0.0 262144
/15 255.254.0.0 131072
/16 255.255.0.0 65536 Case B
/17 255.255.128.0 32768 ISP / negocos grandes
/20 255.255.240.0 4096 ISP pequeos / negocos grandes
/21 255.255.248.0 2048 ISP pequeos / negocos grandes
/22 255.255.252.0 1024
/23 255.255.254.0 512
/24 255.255.255.0 256 Case C LAN grande
/25 255.255.255.128 128 LAN grande
/26 255.255.255.192 64 LAN pequea
/27 255.255.255.224 32 LAN pequea
/28 255.255.255.240 16 LAN pequea
/29 255.255.255.248 8
/30 255.255.255.252 4
Redes de unn (enaces punto a
punto)
/31 255.255.255.254 2
Red no utzabe, sugerda para
enaces punto a punto (RFC 3021)
/32 255.255.255.255 1 Ruta de anftrn
33.5. 'eferencias.
329
http://www.etf.org/rfc/rfc760.txt
330
34. Configuracin de red en @),>inu2.
34.+. &ntroduccin
Confgurar os parmetros de red en GNU/Lnux requere se entendan perfectamente os
fundamentos de &= versin 4 y saber cmo utzar cuaquer edtor de texto smpe.
En Cent0? y 'ed FatG "nterprise inu2, que utzan nceo de Lnux versn 2.6, a
deteccn de as tar|etas de red es automtca mentras se trate de dspostvos soportados. Para
consutar a sta de dspostvos compatbes, vste hardware.redhat.com.
34.*. =rocedimientos
34.*.+. )om!res de los dispositivos.
Las ms recentes versones de Cent0?, 8edoraG y 'ed FatG "nterprise inu2 utzan un
nuevo esquema para os nombres de os dspostvos de red. Los nombres se basan sobre su
ubcacn fsca con a fnadad de factar su dentfcacn. Los dspostvos de red ntegrados a
a tar|eta madre utzan e esquema emS+H*H3H4...T; os dspostvos PCI utzan e esquema
pSranura =C&TpSpuerto et$ernetT y -en e caso de dspostvos vrtuaes- pSranura
=C&TpSpuerto et$ernetTUSinterfa9 virtualT. E|empos:
em1 corresponde a prmer dspostvo de red ntegrado en a tar|eta madre.
em2 corresponde a segundo dspostvo de red ntegrado en a tar|eta madre.
em3 corresponde a tercer dspostvo de red ntegrado en a tar|eta madre.
p1p1 corresponde a prmer dspostvo de red en a prmera ranura PCI, prmer
puerto ethernet.
p2p1 corresponde a prmer dspostvo de red en a segunda ranura PCI, prmer
puerto ethernet.
p3p1 corresponde a prmer dspostvo de red en a tercera ranura PCI, prmer puerto
ethernet.
p3p2 corresponde a prmer dspostvo de red en a tercera ranura PCI, segundo
puerto ethernet.
p3p2_1 corresponde a prmer dspostvo de red en a tercera ranura PCI, segundo
puerto ethernet, prmer dspostvo vrtua.
E nuevo esquema de nombres so apca para sstemas que mpementan SMBIOS versn 2.6 y
tabas 9 y 41. Puede cote|arse a versn de SMBIOS e|ecutando como usuaro root e sguente
mandato:
biosdecode
331
Pueden determnarse os dspostvos de red presentes en e sstema revsando e contendo de
drectoro >sys>class>net>:
ls /sys/class/net/
Puede consutarse a asgnacn de nombres de dspostvos de red presentes en e sstema, a
travs de archvo /etc/udev/rues.d/70-persstent-net.rues.
vim /etc/udev/rules#d/$%!persistent!net#rules
S se dspone de SMBIOS 2.6 y tabas 41 y 9, para hacer uso de nuevo esquema de nombres en
sstemas que fueron actuazados desde una versn anteror de Cent0?, 8edoraG y 'ed FatG
"nterprise inu2, so es necesaro emnar este archvo y rencar e sstema.
34.*.*. )etRorO;anager.
A partr de Cent0? 5 y 'ed FatG "nterprise inu2 5, se ncuye )etRorO;anager como una
mpementacn aternatva para a gestn de parmetros de red desde a nterfaz de usuaro. En
stos, )etRorO;anager vene desactvado de modo predetermnado.
En Cent0? 6 y 'ed FatG "nterprise inu2 6, )etRorO;anager vene actvo de modo
predetermnado, savo que se haga a nstaacn mnma o a nstaacn bsca de servdor.
S se desea mpedr que )etRorO;anager gestone agn dspostvo de red en partcuar y que
ste sea gestonado por e servco netRorO, edte e archvo de confguracn correspondente a
dspostvo a utzar. Asumendo que se trata de dspostvo eth0, e|ecute:
vim /etc/syscon"ig/netork!scripts/i"c"g!eth%
Modfque e vaor de parmetro );UC0)A'0"D y estabezca no como vaor de ste.
E|empo:
&'()*'+eth%
0-;001+yes
;001=R010+static
345&&R+4476$7>*7557&&78&
NM_CONTROLLED=no
)=5&&R+198#166#$%#1%1
-'1.5SH+8::#8::#8::#186
I51'45<+198#166#$%#1
&0.5)-+dominio#tld
&-S1+6#6#6#6
&-S8+6#6#4#4
Para apcar os cambos, e|ecute o sguente:
En adeante, mentras est estabecdo );UC0)A'0"DVno en a confguracn de
dspostvo de red, )etRorO;anager gnorar sta por competo.
332
S quere prescndr de uso de )etRorO;anager, tambn se puede desactvar por competo
este servco, sendo que su uso so tene sentdo en una computadora portt que se conecta a
mtpes redes nambrcas o ben un sstema escrtoro donde se quere permtr a usuaro
reguar poder controar os dspostvos de red.
Para desactvar )etRorO;anager, e|ecute o sguente:
chkcon"ig -etork.anager o""
service -etork.anager stop
34.*.3. Asignacin de par<metros de red.
34.*.3.+. )om!re del anfitrin PF0?A)A;"Q.
Edte e archvo >etc>$osts:
vim /etc/hosts
Respete a confguracn de a resoucn de retorno de sstema. Aada e nombre de anftrn
de sstema y asoce ste a aguna de as dreccones IP ocaes. E|empo:
18$#%#%#1 localhost#localdomain localhost
771 localhost6#localdomain6 localhost6
3=/.358.76.363 no<bre.-o<%n%o.$)- no<bre
E nom!re del anfitrin (ostname) debe ser un 8CD) (acrnmo de 8uy Cuafed Doman
)ame o Nombre de Domno Penamente Cafcado) resueto por un servdor de nombres de
domno (DNS). Puede defnr ste edtando e archvo >etc>sysconfig>netRorO:
vim /etc/syscon"ig/netork
Cambe e vaor de parmetro HOSTNAME por e nombre de anftrn que corresponda. Tome en
cuenta que e nombre de anftrn deber estar resueto cuando menos en e archvo >etc>$osts,
y, s es posbe, tambn en un servdor DNS.
-'140RH)-I+yes
FOSTNAME=no<bre.-o<%n%o.$)-
A partr de Cent0? 6 y 'ed FatG "nterprise inu2 6, e parmetro F0?A)A;" puede ser
estabecdo en e archvo de confguracn de cuaquer dspostvo de red de sstema (por
e|empo >etc>sysconfig>netRorO(scripts>ifcfg(et$I), en ugar de archvo
>etc>sysconfig>netRorO.
Asumendo que se utzar e dspostvo eth0, edte e archvo
>etc>sysconfig>netRorO(scripts>ifcfg(et$I:
E|empo:
333
&'()*'+eth%
0-;001+yes
;001=R010+static
-./*0-1R022'&+no
)=5&&R+198#166#$%#1%1
-'1.5SH+8::#8::#8::#186
I51'45<+198#166#$%#1
FOSTNAME=no<bre.-o<%n%o.$)-
34.*.3.*. Direccin &=H m<scara de su!(red y puerta de enlace.
Los vaores de os parmetros de red se asgnan a travs de os parmetros B00A='0A0 para
defnr static s se utzar una dreccn IP esttca o ben d$cp s se asgnar a dreccn IP a
travs de un servdor DHCP, &=ADD' para defnr a dreccn IP, )"A;A?N para defnr a
mscara de sub-red en formato octa y @AA"]AZ para defnr a puerta de enace.
E|empo:
&'()*'+eth%
0-;001+yes
;001=R010+static
-./*0-1R022'&+no
?9ADDR=3=/.358.76.363
NETMAS.=/!!./!!./!!.3/8
GATEMAN=3=/.358.76.3
En ugar de parmetro NETMASK con un vaor octa, puede utzar e parmetro PREFIX y defnr
a mscara de sub-red en formato C&D'.
&'()*'+eth%
0-;001+yes
;001=R010+static
-./*0-1R022'&+no
)=5&&R+198#166#$%#1%1
9REF?X=/!
I51'45<+198#166#$%#1
Los vaores de os parmetros anterores son proporconados por e admnstrador de a red oca
en donde se ocace e sstema que est sendo confgurado o ben defndos de acuerdo a una
panfcacn prevamente estabecda. E admnstrador de a red deber proporconar una
dreccn IP dsponbe (IPADDR) y una mscara de a sub-red (NETMASK o PREFIX).
334
34.*.3.3. ?ervidores de nom!res.
Hay dos parmetros a confgurar: domno de bsqueda predetermnado y a menos un servdor
de nombres. En Cent0? 6 y 'ed FatG "nterprise inu2 6, se pueden estabecer aadendo a
archvo de confguracn de cuaquer dspostvo de red, os parmetros D0;A&), D)?+, D)?*
y D)?3.
E|empo:
&'()*'+eth%
0-;001+yes
;001=R010+static
-./*0-1R022'&+no
)=5&&R+198#166#$%#1%1
=R'>)X+8:
I51'45<+198#166#$%#1
DOMA?N=-o<%n%o.$)-
DNS3=8.8.8.8
DNS/=8.8.4.4
Lo anteror actuazar automtcamente e archvo >etc>resolv.conf con e contendo que
corresponda.
En Cent0? 5 y 'ed FatG "nterprise inu2 5 (y versones anterores de stos), edte a archvo
>etc>resolv.conf:
vim /etc/resolv#con"
Estabezca o confrme os servdores de sstema de resoucn de nombres de domno (DNS).
E|empo:
search dominio#tld
nameserver 6#6#6#6
nameserver 6#6#4#4
S se modfca drectamente e archvo >etc>resolv.conf os cambos apcan de manera
nmedata, sn necesdad de rencar e servco netRorO.
34.*.4. 'utas est<ticos.
335
Las rutas esttcas se pueden aadr e|ecutando e mandato ip, utzando a sguente sntaxs:
ip route add DredE/DmRscaraE via Dpuerta!de!enlaceE dev DdispositivoE
En e sguente e|empo se defnr a ruta esttca haca a red +[*.+6:.3.I con mscara de 25
bt (*55.*55.*55.+*:), puerta de enace a travs de a dreccn IP +7*.+6.+.36 y a travs de
dspostvo de red et$+:
ip route add 198#166#@#%/8: via 1$8#16#1#@6 dev eth1
Es un requsto que a puerta de enace de destno sea acanzabe desde e dspostvo utzado.
Ser mposbe estabecer una ruta esttca s es mposbe acanzar a puerta de enace
necesara. S so se e|ecuta e mandato ip y se renca e servco netRorO, os cambos se
perdern.
S se requere estabecer as rutas esttcas adconaes para obtener conectvdad con otras
redes y que as confguracones correspondentes sean permanentes, se pueden generar archvos
para cada dspostvo de red que sea necesaro, en donde se estabecen os vaores para puerta
de enace, red a a que se quere acceder y a mscara de sub-red correspondente. Los archvos
se deben generar dentro de drectoro >etc>sysconfig>netRorO(scripts> como
route<=dispositivo> y deben evar e sguente formato:
I51'45<6+nnn#nnn#nnn#nnn
5&&R'SS6+nnn#nnn#nnn#nnn
-'1.5SH6+nnn#nnn#nnn#nnn
En ugar de parmetro NETMASK, se puede utzar e parmetro ?@,-0A, defnendo a mscara
en formato #0&@. E|empo:
I51'45<6+nnn#nnn#nnn#nnn
5&&R'SS6+nnn#nnn#nnn#nnn
=R'>)X6+nn
Por ctar un e|empo, magnemos que nos encontramos dentro de a red 192.168.70.0/25 y se
requere estabecer conectvdad con as redes 172.16.2.0 y 172.16.3.0, con mscaras
255.255.255.240 (28 bt), a travs de as puertas de enace o enrutadores o encamnadores con
dreccnes IP 192.168.1.2 y 192.168.1.3, correspondentemente para cada red ctada, a travs de
prmer dspostvo Ethernet de anftrn oca (eth0).
Genere e archvo >etc>sysconfig>netRorO(scripts>route(et$I utzando un edtor de texto:
vim /etc/syscon"ig/netork!scripts/route!eth%
La confguracn para e escenaro descrto arrba, sera a sguente:
I51'45<6+198#166#1#8
5&&R'SS6+1$8#16#8#%
=R'>)X6+86
I51'45<3+198#166#1#@
5&&R'SS3+1$8#16#@#%
=R'>)X3+86
336
Para apcar os cambos y poder hacer as comprobacones correspondentes, e|ecute o
sguente:
34.*.5. 8uncin de 'eenvo de pa#uetes para &= versin 4.
S dspone de a menos 2 dspostvos de red y se tene paneado mpementar un NAT o DNAT, se
debe habtar e reenvo de paquetes para IP versn 4. Esto se reaza edtando e archvo
>etc>sysctl.conf y estabecendo + para actvar o ben de|ar I para mantener nactvo:
Y cambando net.ipv4.ipUforRard V I por net.ipv4.ipUforRard V +:
net#ipv4#ip/"orard + 1
Para apcar e cambo, sn rencar e sstema, so es necesaro e|ecutar o sguente:
sysctl ! net#ipv4#ip/"orard+1
34.*.6. Ferramientas para el intrprete de mandatos.
Despus de haber confgurado todos os parmetros de red deseados, rence e servco
netRorO, e|ecutando o sguente:
Para comprobar a conectvdad, se puede e|ecutar e mandato ping haca cuaquer dreccn de
a red oca para ta fn.
ping !c@ 198#166#$%#1
La opcn (c3 ndca que so se harn 3 pings haca a dreccn IP de destno.
Para ver a nformacn de todos os dspostvos de red de sstema, se e|ecuta o sguente:
ip addr sho
En e pasado, o anteror se haca utzando e mandato ifconfig.
Para ver a nformacn de un dspostvo de red especfco, eth0 en e sguente e|empo, se
e|ecuta o sguente:
ip addr sho eth%
En e pasado, o anteror se haca utzando e mandato ifconfig et$I.
337
Para ver a nformacn de estado de todos os dspostvos de red de sstema, se e|ecuta o
sguente:
ip link sho
Para ver a nformacn de estado de de un dspostvos de red en partcuar, eth0 en e sguente
e|empo, se e|ecuta o sguente:
ip link sho eth%
Para detener un dspostvo de red, eth0 en e e|empo, se e|ecuta o sguente:
ip link set eth% don
En e pasado, o anteror se haca utzando e mandato ifdoRn et$I.
Para ncar un dspostvo de red, eth0 en e e|empo, se e|ecuta o sguente:
ip link set eth% up
En e pasado, o anteror se haca utzando e mandato ifup et$I.
Para emnar todos os parmetros de red de un dspostvo especfco, eth0 en e e|empo, se
e|ecuta o sguente.
ip addr "lush dev eth%
Para aadr una dreccn IP a un dspostvo, eth0 en e sguente e|empo, se e|ecuta o
sguente.
ip addr add 198#166#$%#61/8: dev eth%
Para emnar una dreccn IP a un dspostvo, eth0 en e sguente e|empo, se e|ecuta o
sguente.
ip addr del 198#166#$%#61/8: dev eth%
Las rutas esttcas se pueden comprobar utzando e sguente mandato:
ip route list
En e pasado, o anteror se haca utzando e mandato route.
Para emnar todas as rutas esttcas dependentes so de dspostvo eth0, se e|ecuta o
sguente:
ip route "lush dev eth%
338
Para cambar o estabecer a puertas de enace predetermnada de sstema, 192.168.70.1 en e
sguente e|empo, a travs de dspostvo eth0, se e|ecuta o sguente:
ip route add de"ault via 198#166#$%#1 dev eth%
Para comprobar s hay resoucn de nombres, se puede reazar una consuta haca os
servdores DNS defndos para e sstema, utzando:
host dominio#tld
34.*.7. Direcciones &= secundarias
Las dreccones IP secundaras srven para que e sstema responda para ms de una dreccn IP
a travs de msmo dspostvo de red. Son tes en os casos en os cuaes se tene un servco de
hospeda|e de pgnas de Internet y se desea que cada sto tenga su propa dreccn IP. Tambn
son tes en os muros cortafuegos donde se quere que un con|unto de equpos sagan haca
Internet enmascarados con una dreccn IP (una LAN, por e|empo) y otro con|unto de equpos o
hagan con una dreccn IP dstnta (una DMZ, por e|empo).
E prmer paso es modfcar os parmetros &=ADD' y )"A;A?N de a dreccn IP prncpa,
precedendo a stos e nmero cero:
)=5&&R6+198#166#$%#1%1
-'1.5SH6+8::#8::#8::#186
Aada a dreccn IP secundara y a mscara de sub-red con os parmetros &=ADD'+ y
)"A;A?N+ (o ben ='"8&E+ s prefere e formato C&D') de sguente modo:
)=5&&R%+198#166#$%#1%1
-'1.5SH%+8::#8::#8::#186
?9ADDR3=3=/.358.76.3
NETMAS.3=/!!./!!./!!.3/8
Para agregar otra dreccn IP secundara, se aade otro con|unto de parmetros &=ADD' y
)"A;A?N, preceddos con e sguente nmero consecutvo:
)=5&&R%+198#166#$%#1%1
-'1.5SH%+8::#8::#8::#186
)=5&&R1+198#166#$%#@1
-'1.5SH1+8::#8::#8::#186
?9ADDR/=3=/.358.76.43
NETMAS./=/!!./!!./!!.3/8
Puede utzar ='"8&E en ugar de )"A;A?N, defnendo a mscara de sub-red en formato
C&D'.
)=5&&R%+198#166#$%#1%1
9REF?X6=/!
)=5&&R1+198#166#$%#@1
9REF?X3=/!
)=5&&R8+198#166#$%#41
9REF?X/=/!
339
Para apcar os cambos y poder hacer as comprobacones correspondentes, e|ecute o
sguente:
La comprobacn, a e|ecutar e mandato ip addr s$oR, deber regresar ago como o sguente
17 lo7 b200=;5*HB?=B204'R/?=M mtu 164@6 Jdisc noJueue state ?-H-04-
link/loopback %%7%%7%%7%%7%%7%% brd %%7%%7%%7%%7%%7%%
inet 18$#%#%#1/6 scope host lo
inet6 771/186 scope host
valid/l"t "orever pre"erred/l"t "orever
87 eth%7 b;R05&*5S1B.?21)*5S1B?=B204'R/?=M mtu 1:%% Jdisc p"i"o/"ast state ?= Jlen 1%%%
link/ether %%78@7:a74b7e674@ brd ""7""7""7""7""7""
inet 198#166#$%#1%1/8: brd 198#166#$%#18$ scope global eth%
inet 198#166#$%#@1/8: scope global secondary eth%
inet 198#166#$%#41/8: scope global secondary eth%
inet6 "e6%7788@7:a""7"e4b7e64@/64 scope link
34.*.:. a funcin beroconf.
De modo predetermnado y a fn de permtr a comuncacn entre dos dferentes sstemas a
travs de un cabe R|45 cruzado (crossover), e sstema tene habtado beroconf, tambn
conocdo como bero Configuration )etRorOing o Automatic =rivate &= Addressing (APIPA).
Es un con|unto de tcncas que automtcamente gestonan a asgnacn de dreccones IP sn
necesdad de confguracn de servdores especaes. Permte a usuaros sn conocmentos de
redes conectar computadoras, mpresoras en red y otros artcuos entre s.
Sn Zeroconf os usuaros sn conocmentos tendran que confgurar servdores especaes como
DHCP y DNS para poder estabecer conectvdad entre dos equpos.
Estando habtado Zeroconf, se mostrar un regstro en a taba de rutas esttcas para a red
+6[.*54.I.I a e|ecutar e mandato ip route list:
ip route list
198#166#$%#%/8: dev eth% proto kernel scope link src 198#166#$%#1%1
35=./!4.6.6;35 -e* e$h6 s&o'e )%n8 <e$r%& 366/
de"ault via 198#166#$%#1 dev eth%
S se desea desactvar Zeroconf, edte e archvo >etc>sysconfig>netRorO:
Aada e parmetro )0b"'0C0)8 con e vaor yes:
-'140RH)-I+yes
30S1-5.'+nombre#dominio#tld
NOJEROCONF=yes
340
A termnar, rence e servco netRorO, a fn de que surtan efecto os cambos:
Para comprobar, e|ecute de nuevo con e mandato ip route list:
ip route list
Lo anteror deber devover una sada smar a a sguente, en a cua a ruta para beroconf ha
desaparecdo:
198#166#$%#%/8: dev eth% proto kernel scope link src 198#166#$%#1%1
de"ault via 198#166#$%#1 dev eth%
Una vez hecho o anteror, exsten dos servcos en e sstema en CentOS y Red Hat Enterprse
Lnux 5 y versones posterores, que se pueden desactvar puesto que srven para estabecer a
comuncacn a travs de Zeroconf, estos son ava$i(daemon y ava$i(dnsconfd. Desactvar
estos dos servcos ahorrar tempo en e arranque y se consumrn algunos pocos menos
recursos de sistema.
chkcon"ig avahi!dnscon"d o""
chkcon"ig avahi!daemon o""
service avahi!dnscon"d stop
service avahi!daemon stop
Muchas apcacones y componentes para e modo grfco dependen de Zeroconf para su
correcto funconamento. Por tanto, es poco convenente desactvar este soporte en un sstema
de escrtoro.
Para ms detaes acerca de beroconf, puede consutara nformacn dsponbe en:
http://www.zeroconf.org/
http://en.wkpeda.org/wk/Zeroconf
Por favor contne con e documento de e|erccos de este tema.
".ercicios.
34.*.[. 'utas est<ticas.
Este e|ercco consdera o sguente:
1. Se tene dos equpos de cmputo con GNU/Lnux nstaado en ambos.
2. pc+.dominio.tld tene una dreccn IP 192.168.70.100 con mscara de sub-red
255.255.255.128 en e dspostvo eth0. Una dreccn IP 172.16.100.1 con mscara de
sub-red 255.255.255.240 en e dspostvo eth1.
341
3. pc*.dominio.tld tene una dreccn IP 192.168.70.102 con mscara de sub-red
255.255.255.128 en e dspostvo eth0. Carece de otros dspostvos de red actvos.
Vsuace desde pc*.dominio os regstros de a taba de rutas esttcas.
ip route list
198#166#$%#%/8: dev eth% proto kernel scope link src 198#166#$%#8 metric 1
de"ault via 198#166#$%#1 dev eth% proto static
Intente e|ecutar ping haca a dreccn recn aadda en pc+.dominio.
ping !c @ 1$8#16#1%%#1
E resutado esperado es que ping devueva que hay 100% de prdda de paquetes.
=)-I 1$8#16#1%%#1 (1$8#16#1%%#1) :6(64) bytes o" data#
!!! 1$8#16#1%%#1 ping statistics !!!
@ packets transmittedB % receivedB 1%%W packet lossB time 1999ms
Proceda a aadr a ruta esttca que corresponde especfcando a red, mascar de sub-red y
puerta de enace necesaros para egar haca 172.16.100.1.
ip route add K
1$8#16#1%%#%/86 K
via 198#166#$%#1%% K
dev eth%
Vsuace de nuevo os regstros de a taba de rutas esttcas.
ip route list
37/.35.366.6;/8 *%# 3=/.358.76.366 -e* e$h6
ping !c @ 1$8#16#1%%#1
E resutado esperado es que ping responda a png, obtenndose una sada smar a a
sguente:
342
=)-I 1$8#16#1%%#1 (1$8#16#1%%#1) :6(64) bytes o" data#
64 bytes "rom 1$8#16#1%%#17 icmp/seJ+% ttl+64 time+%#4:@ ms
64 bytes "rom 1$8#16#1%%#17 icmp/seJ+1 ttl+64 time+%#@66 ms
64 bytes "rom 1$8#16#1%%#17 icmp/seJ+8 ttl+64 time+%#@4$ ms
!!! 1$8#16#1%%#1 ping statistics !!!
@ packets transmittedB @ receivedB %W packet lossB time 1999ms
rtt min/avg/max/mdev + %#@4$/%#@69/%#4:@/%#%46 msB pipe 8
Rence e servco de red, vsuace de nuevo os regstros de a taba de rutas esttcas y
compruebe que ya no hay respuesta a hacer ping haca 172.16.100.1 porque e regstro en a
taba de rutas esttcas fue emnado a rencar e servco de red.
ip route list
ping !c @ 1$8#16#1%%#1
Para hacer permanente e regstro en a taba de rutas esttcas utce un edtor de texto e
archvo >etc>sysconfig>netRorO(scripts>route(et$I y ponga e sguente contendo:
5&&R'SS6+1$8#16#1%%#%
-'1.5SH6+8::#8::#8::#84%
I51'45<6+198#166#$%#1%%
A termnar rence e servco de red.
Vsuace nuevamente os regstros de a taba de rutas esttcas.
ip route list
37/.35.366.6;/8 *%# 3=/.358.76.366 -e* e$h6
ping !c @ 1$8#16#1%%#1
Rence e servco de red, vsuace de nuevo os regstros de a taba de rutas esttcas y
compruebe de nuevo que hay respuesta a hacer png haca 172.16.100.1.
route !n
ping !c@ 1$8#16#1%%#1
34.*.+I. ".ercicio- Direcciones &= secundarias.
Este e|ercco consdera o sguente:
343
1. E dspostvo et$I tene una dreccn IP 192.168.70.101/25. Carece de dreccones
IP secundaras.
2. Se aadr como dreccn IP secundara 192.168.70.51/25.
Vsuace as nterfaces de red actvas en e sstema.
ip addr sho
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que so estn
actvos e dspostvo et$I y e correspondente a dspostvo de retorno de sstema (loopbac'):
E|ecute e mandato ping con a opcn (c3 para comprobar s acaso hay aguna respuesta de a
dreccn IP secundara de dspostvo et$I.
ping !c@ 198#166#$%#:1
=)-I 198#166#$%#:1 (198#166#$%#:1) :6(64) bytes o" data#
!!! 198#166#$%#:1 ping statistics !!!
E|ecute e mandato ip de sguente modo para aadr a dreccn IP secundara
192.168.70.51/25 a dspostvo eth0:
ip addr add 198#166#$%#:1/8: dev eth%
E|ecute e mandato ping con a opcn (c3 para comprobar que haya respuesta de a dreccn IP
secundara de dspostvo et$I.
ping !c@ 198#166#$%#:1
344
=)-I 198#166#$%#:1 (198#166#$%#:1) :6(64) bytes o" data#
64 bytes "rom 198#166#$%#:17 icmp/seJ+% ttl+64 time+%#4:@ ms
64 bytes "rom 198#166#$%#:17 icmp/seJ+1 ttl+64 time+%#@66 ms
64 bytes "rom 198#166#$%#:17 icmp/seJ+8 ttl+64 time+%#@4$ ms
!!! 198#166#$%#:1 ping statistics !!!
ip addr sho
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que est actva a
dreccn IP secundara de dspostvo et$I:
%ne$ 3=/.358.76.!3;/! s&o'e g)ob#) se&on-#ry e$h6
Rence e servco netRorO.
Utce e mandato ping con a opcn (c3 para comprobar s an hay respuesta desde a
dreccn IP secundara de dspostvo et$I.
ping !c@ 198#166#$%#:1
=)-I 198#166#$%#:1 (198#166#$%#:1) :6(64) bytes o" data#
!!! 198#166#$%#:1 ping statistics !!!
Vsuace os dspostvos de red actvos en e sstema.
ip addr sho
Lo anteror debe devover una sada smar a a sguente, donde se mostrar so a dreccn IP
prncpa de dspostvo de red et$I y a correspondente a dspostvo de retorno de sstema
(loopbac'):
345
inet 198#166#$%#8/8: brd 198#166#$%#18$ scope global eth%
Para hacer permanente a dreccn secundara en e dspostvo et$I, edte e archvo
>etc>sysconfig>netRorO(scripts>ifcfg(et$I y aada e sguente contendo PW'espete
may1sculas y min1sculasXQ:
)=5&&R1+198#166#$%#:1
-'1.5SH1+8::#8::#8::#186
Rence e servco de red.
ip addr sho
Lo anteror debe devover una sada smar a a sguente, donde nuevamente se mostrar que
est actva a dreccn IP secundara de dspostvo et$I:
%ne$ 3=/.358.76.!3;/! s&o'e g)ob#) se&on-#ry e$h6
Utce e mandato ping con a opcn (c3 para comprobar que haya respuesta de a dreccn IP
secundara de dspostvo et$I:
ping !c@ 198#166#$%#:1
346
=)-I 198#166#$%#:1 (198#166#$%#:1) :6(64) bytes o" data#
64 bytes "rom 198#166#$%#:17 icmp/seJ+% ttl+64 time+%#4:@ ms
64 bytes "rom 198#166#$%#:17 icmp/seJ+1 ttl+64 time+%#@66 ms
64 bytes "rom 198#166#$%#:17 icmp/seJ+8 ttl+64 time+%#@4$ ms
!!! 198#166#$%#:1 ping statistics !!!
La dreccn IP secundara de dspostvo et$I estar actva a sguente vez que nce e sstema
operatvo.
347
35. Configuracin de JA)s.
ma uso de stos.
35.+. &ntroduccin.
De acuerdo a Wkpeda, 2una 7%A: Bacr/nimo de -irtual *A! o @ed de Crea %ocal 7irtualD es un
mtodo para crear redes l/gicamente independientes dentro de una misma red fsica. 7arias
7%A:s pueden coe4istir en un Enico conmutador fsico o en una Enica red fsica. $on Etiles para
reducir el tama!o del dominio de difusi/n y ayudan en la administraci/n de la red, separando
segmentos l/gicos de una red de rea local, impidiendo que puedan intercambiar datos usando
la red local.3
Su mpementacn requere de dsponer de conmutadores (swtches) con capacdad para VLAN
(protocoo 802.1q), os cuaes debern estar previamente configurados para gestonar agunas
VLANs (y saber cmo hacero) y entender perfectamente IP versn 4.
35.*. "#uipamiento lgico necesario.
35.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
E soporte necesaro para confgurar VLANs se ncuye |unto con e paquete iproute, e cua se
ncuye en a nstaacn predetermnada, pues se trata de un paquete obgatoro e ndspensabe
para e sstema. De manera aternatva puede gestonar tambn as VLANS a travs de paquete
vconfig (en combnacn con e mandato ifconfig), e|ecutando o sguente:
yum !y install vcon"ig
35.3. =rocedimientos.
Edtar e archvo >etc>sysconfig>netRorO:
Aadr e sguente parmetro para actvar e soporte para VLAN, msmo que permtr que
posterormente cargue automtcamente e mduo :I*+# de nceo de Lnux:
(25-+yes
Asumendo que se utza a nterfaz eth1 para acceder a a red oca, edtar e archvo de
confguracn:
348
vim /etc/syscon"ig/netork!scripts/i"c"g!eth1
Outar todos os parmetros de red que se hayan estabecdo y de|ar e contendo como e de
sguente e|empo, en e cua se asume que a dreccn MAC de dspostvo de red corresponde a
44-:7-8C-AA-DD-*D:
&'()*'+eth1
1<='+'thernet
;001=R010+none
0-;001+yes
345&&R+441871FC1AA1DD1/D
-./*0-1R02'&+no
Rencar e servco de red a fn de que apque e cambo y para que cargue de manera
automtca e mduo :I*+# de nceo de Lnux.
Pueden crearse manera tempora (se perdern uego de rencar e sstema) os dspostvos de
VLAN de sguente modo:
ip link add link D?S9OS?T?:O name D?S9OS?T?:O.?D-:LAN type vlan id ?D-:LAN
ip addr add ?9;C?DR brd BROADCAST dev D?S9OS?T?:O.?D-:LAN
ip link set dev D?S9OS?T?:O.?D-:LAN up
E|empo:
ip link add link eth1 name e$h3./ type vlan id /
ip addr add 37/.35.6.5!//5 brd 37/.35.6.3/7 dev e$h3./
ip link set dev e$h3./ up
ip link add link eth1 name e$h3. type vlan id
ip addr add 37/.35.6.3/=//5 brd 37/.35.6.3=3 dev e$h3.
ip link set dev e$h3. up
ip link add link eth1 name e$h3.4 type vlan id 4
ip addr add 37/.35.6.3=//5 brd 37/.35.6./!! dev e$h3.4
ip link set dev e$h3.4 up
De manera aternatva, puede hacer o msmo utzando os mandatos vconfig y e mandato
ifconfig, de sguente modo:
vcon"ig add e$h3 /
vcon"ig add e$h3
vcon"ig add e$h3 4
i"con"ig e$h3./ 37/.35.6.5! netmask /!!./!!./!!.3=/
i"con"ig e$h3. 37/.35.6.3/= netmask /!!./!!./!!.3=/
i"con"ig e$h3.4 37/.35.6.3= netmask /!!./!!./!!.3=/
En caso de que sea necesaro, para emnar os dspostvos de VLAN, puede e|ecutar e mandato
IP con a sguente sntaxs:
349
ip link set dev D?S9OS?T?:O.?D-:LAN don
ip link delete D?S9OS?T?:O.?D-:LAN
E|empo:
ip link set dev e$h3./ don
ip link delete e$h3./
ip link set dev e$h3. don
ip link delete e$h3.
ip link set dev e$h3.4 don
ip link delete e$h3.4
De manera aternatva, puede utzar tambn e mandato vconfig con a opcn rem, segudo
de nombre de dspostvo VLAN. Sguendo e e|empo utzado en este documento, so habra
que e|ecutar o sguente:
vcon"ig rem e$h3./
vcon"ig rem e$h3.
vcon"ig rem e$h3.4
Para que os dspostvos de VLANs sean permanentes, es necesaro crear, dentro de drectoro
>etc>sysconfig>netRorO(scripts, os archvos de confguracn de nterfaz, sguendo e
sguente formato:
ic"g!D?S9OS?T?:O.?D-:LAN
E nmero de VLAN, preferentemente debe corresponder son e mmos utzado en e
conmutador prncpa. Se debe evitar usar a VLAN 1 (eth1.1 o eth1.1), 172.16.0.1 como IP para
e servdor, as como tambn evtar utzar a red 172.16.0.0/*6, porque sueen corresponder a
nmero de VLAN, dreccn IP y segmento de red que reguarmente utzan os conmutadores.
E|empo de contendo de >etc>sysconfig>netRorO(scripts>ifcfg(et$+.*.
&'()*'+e$h3./
1<='+'thernet
;001=R010+static
0-;001+yes
-./*0-1R02'&+no
)=5&&R+37/.35.6.5!
=R'>)X+/5
;R05&*5S1+37/.35.6.3/7
-'140RH+37/.35.6.54
E|empo de contendo de >etc>sysconfig>netRorO(scripts>ifcfg(et$+.3
350
&'()*'+e$h3.
1<='+'thernet
;001=R010+static
0-;001+yes
-./*0-1R02'&+no
)=5&&R+37/.35.6.3/=
=R'>)X+/5
;R05&*5S1+37/.35.6.3=3
-'140RH+37/.35.6.3/8
E|empo de contendo de >etc>sysconfig>netRorO(scripts>ifcfg(et$+.4
&'()*'+e$h3.4
1<='+'thernet
;001=R010+static
0-;001+yes
-./*0-1R02'&+no
)=5&&R+37/.35.6.3=
=R'>)X+/5
;R05&*5S1+37/.35.6./!!
-'140RH+37/.35.6.3=/
Rencar nuevamente e servco de red a fn de que ncen as nterfaces de VLAN.
Se puede verfcar con e mandato ip que todas as VLAN estn presentes.
ip addr sho
inet 18$#%#%#1/6 brd 18$#8::#8::#8:: scope host lo
inet 18$#%#%#8/6 brd 18$#8::#8::#8:: scope host secondary lo
87 eth17 b;R05&*5S1B.?21)*5S1B?=B204'R/?=M mtu 1:%% Jdisc p"i"o/"ast state ?= Jlen 1%%%
link/ether 441871FC1AA1DD1/D brd ""7""7""7""7""7""
@7 e$h3./[eth17 b;R05&*5S1B.?21)*5S1B?=B204'R/?=M mtu 1:%% Jdisc noJueue state ?=
inet 37/.35.6.5!//5 brd 37/.35.6.3/7 scope global e$h3./
inet6 "e6%77a%%78$""7"ece7:1$8/64 scope link
47 e$h3.[eth17 b;R05&*5S1B.?21)*5S1B?=B204'R/?=M mtu 1:%% Jdisc noJueue state ?=
inet 37/.35.6.3/=//5 brd 37/.35.6.3=3 scope global e$h3.
:7 e$h3.4[eth17 b;R05&*5S1B.?21)*5S1B?=B204'R/?=M mtu 1:%% Jdisc noJueue state ?=
inet 37/.35.6.3=//5 brd 37/.35.6./!! scope global e$h3.4
351
De manera aternatva, se puede verfcar con e mandato ifconfig que todas as VLAN estn
presentes.
i"con"ig
La sada debe ser ago smar a o sguente:
eth1 2ink encap7'thernet 34addr 441871FC1AA1DD1/D
inet6 addr7 "e6%778867b9""7"e@67@6bc/64 Scope72ink
?= ;R05&*5S1 R?--)-I .?21)*5S1 .1?71:%% .etric71
RX packets71@:18146 errors7% dropped7% overruns7% "rame7%
1X packets71:@:66%6 errors7% dropped7% overruns7% carrier7%
collisions7% txJueuelen71%%%
RX bytes7444:%86466 (4#1 Ii;) 1X bytes7181@4964@:$ (11#@ Ii;)
)nterrupt7188 .emory7da%%%%%%!da%186%%
e$h3./ 2ink encap7'thernet 34addr 441871FC1AA1DD1/D
inet addr737/.35.6.5! ;cast737/.35.6.3/7 .ask7/!!./!!./!!.3=/
inet6 addr7 "e6%77466$7"c""7"eaa7dd8d/64 Scope72ink
?= ;R05&*5S1 R?--)-I .?21)*5S1 .1?71:%% .etric71
RX packets7% errors7% dropped7% overruns7% "rame7%
1X packets716 errors7% dropped7% overruns7% carrier7%
collisions7% txJueuelen7%
RX bytes7% (%#% b) 1X bytes74@@@ (4#8 Hi;)
e$h3. 2ink encap7'thernet 34addr 441871FC1AA1DD1/D
inet addr737/.35.6.3/= ;cast737/.35.6.3=3 .ask7/!!./!!./!!.3=/
?= ;R05&*5S1 R?--)-I .?21)*5S1 .1?71:%% .etric71
1X packets716 errors7% dropped7% overruns7% carrier7%
RX bytes7% (%#% b) 1X bytes748@: (4#1 Hi;)
e$h3.4 2ink encap7'thernet 34addr 441871FC1AA1DD1/D
inet addr737/.35.6.3= ;cast737/.35.6./!! .ask7/!!./!!./!!.3=/
?= ;R05&*5S1 R?--)-I .?21)*5S1 .1?71:%% .etric71
1X packets71@ errors7% dropped7% overruns7% carrier7%
RX bytes7% (%#% b) 1X bytes7@4%: (@#@ Hi;)
lo 2ink encap72ocal 2oopback
inet addr718$#%#%#1 .ask78::#%#%#%
inet6 addr7 771/186 Scope73ost
?= 200=;5*H R?--)-I .1?7164@6 .etric71
RX packets716@ errors7% dropped7% overruns7% "rame7%
1X packets716@ errors7% dropped7% overruns7% carrier7%
RX bytes781@96 (8%#6 Hi;) 1X bytes781@96 (8%#6 Hi;)
35.3.+. Administrando direcciones &= de las JA)s a travs de un
servidor DFC=.
Para avo de os admnstradores de sstemas, es posbe utzar e servco de DHCP para
gestonar a admnstracn de dreccones IP a travs de un servdor DHCP.
352
Edtar e archvo >etc>sysconfig>d$cpd y defnr as nterfaces de VLAN a utzar |unto con e
servdor DHCP.
&3*=&5RIS+,e$h3./ e$h3. e$h3.4,Y
Edtar e archvo >etc>d$cpd.conf (Cent0? 5 y 'ed Fat "nterprise inu2 5) o ben
>etc>d$cp>d$cpd.conf (Cent0? 6 y 'ed Fat "nterprise inu2 6), defnr una seccn por cada
red:
ddns!update!style interimY
ignore client!updatesY
authoritativeY
de"ault!lease!time 9%%Y
max!lease!time $8%%Y
option ip!"orarding o""Y
option domain!name ,red!local#net,Y
option ntp!servers 8%%#8@#:1#8%:B 1@8#846#61#89B 146#8@4#$#@%Y
shared!netork vlan8 c
subnet 37/.35.6.54 netmask /!!./!!./!!.3=/ c
option routers 37/.35.6.5!Y
option subnet!mask /!!./!!./!!.3=/Y
option broadcast!address 37/.35.6.3/7Y
option domain!name!servers 37/.35.6.5!Y
option netbios!name!servers 37/.35.6.5!Y
range 37/.35.6.55 37/.35.6.3/5Y
d
d
shared!netork vlan@ c
subnet 37/.35.6.3/8 netmask /!!./!!./!!.3=/ c
option routers 37/.35.6.3/=Y
option broadcast!address 37/.35.6.3=3Y
option domain!name!servers 37/.35.6.3=/Y
option netbios!name!servers 37/.35.6.3=/Y
range 37/.35.6.36 37/.35.6.3=6Y
d
d
shared!netork vlan4 c
subnet 37/.35.6.3=/ netmask /!!./!!./!!.3=/ c
option routers 37/.35.6.3=Y
option broadcast!address 37/.35.6./!!Y
option domain!name!servers 37/.35.6.3=Y
option netbios!name!servers 37/.35.6.3=Y
range 37/.35.6.3=4 37/.35.6./!4Y
d
d
Rencar (o ncar, segn sea e caso) e servco d$cpd y comprobar que funcone
correctamente e servco, conectando agunos equpos a os conmutadores nvoucrados.
service dhcpd restart
353
36. Cmo configurar acoplamiento de tar.etas
de red P!ondingQ.
ma uso de stos.
36.+. &ntroduccin.
E controador !onding, orgnamente creado por Donald BecOer, est ncudo en
prctcamente todas as dstrbucones de GNU/Lnux y permte sumar as capacdades de varas
nterfaces fscas de red con ob|eto de crear una nterfaz gca. Esto se eva a cabo con e ob|eto
de contar con redundanca o ben baanceo de carga.
36.*.+. Arc$ivo de configuracin >etc>modpro!e.conf.
Se estabece e controador !onding para crear a nterfaz !ondI de sguente modo:
alias bonding bond%
E controador puede evar parmetros que permten modfcar su funconamento, de entre os
cuaes os ms mportantes son mode y miimon. A fn de obtener un buen funconamento
confabe, es mportante confgurar a menos stos dos parmetros.
Para fnes generaes, se puede smpemente confgurar de sguente modo:
alias bond% bonding
options bonding mode+% miimon+%
Lo anteror estabece en e parmetro mode a potca de baanceo de carga y toeranca a faos
y desactva en e parmetro miimon a supervsn de ;&&, que corresponde a confguracn
ms comn.
A termnar con e archvo >etc>modpro!e.conf, es mportante utzar e mandato depmod para
regenerar e archvo modules.dep y os archvos mapa de os controadores.
depmod
Lo anteror soo debe devover e smboo de sstemas despus de unos segundos.
354
36.*.+.+. =ar<metro mode.
Se utza para estabecer a potca ba|a a cua se har traba|ar as tar|etas en con|unto. Los
posbes vaores son:
0 (cero): Estabece una potca de 'ound('o!in, que es un agortmo que asgna una carga
equtatva y ordenada a cada proceso, para proporconar tolerancia a fallos y !alanceo de
carga entre os membros de arrego de dspostvos. Todas as transmsones de datos son
envadas y recbdas de forma secuenca en cada nterfaz escava de arrego empezando con a
prmera que est dsponbe. "s la poltica predeterminada de controador y a que funcona
para a mayora de os casos.
1 (uno): Estabece una potca de respado actvo que proporcona tolerancia a fallos. Todo e
trfco se transmte a travs de una tar|eta y soo se utzar a otra en caso de que fae a
prmera.
2 (dos): Estabece una potca E0' (e4clusive<or, excusva-o) para proporconar tolerancia a
fallos y !alanceo de carga. Este agortmo compara as soctudes entrantes de as dreccones
;AC hasta que concden para a dreccn ;AC (;eda Access Contro) de una de as tar|etas
escavas. Una vez que se estabece e enace, as transmsones de datos de datos son envadas
en forma secuenca empezando con a prmera nterfaz dsponbe.
3 (tres): Estabece una potca de 'ound('o!in, para proporconar tolerancia a fallos y
!alanceo de carga. Todas as transmsones de datos son envadas de forma secuenca en cada
nterfaz escava de arrego empezando con a prmera que est dsponbe.
En e sguente e|empo se estabece a potca 0 (cero):
options bonding <o-e=6
36.*.+.*. =ar<metro miimon.
Se utza para especfcar cada cuantos msegundos se debe supervsar e enace ;&& (;eda
&ndependent &nterface). Se utza cuando se necesta ata dsponbdad para verfcar s a
nterfaz est actva y verfcar s hay un cabe de red conectado. En e sguente e|empo se
estabecen 100 msegundos:
options bonding mode+% <%%<on=366
Se requere que todos os controadores de arrego de tar|etas tengan soporte para ;&&. Para
verfcar s e controador de a tar|eta tene soporte para ;&&, se utza e mandato et$tool,
donde a sada debe devover e parmetro inO Detected con e vaor yes. E|empo:
ethtool eth%
Settings "or eth%7
Supported ports7 D 1= .)) E
Supported link modes7 1%base1/3al" 1%base1/>ull
1%%base1/3al" 1%%base1/>ull
Supports auto!negotiation7 <es
355
5dvertised link modes7 1%base1/3al" 1%base1/>ull
1%%base1/3al" 1%%base1/>ull
5dvertised auto!negotiation7 <es
Speed7 1%%.b/s
&uplex7 3al"
=ort7 .))
=3<5&7 @8
1ransceiver7 internal
5uto!negotiation7 on
Supports 4ake!on7 pumbg
4ake!on7 d
*urrent message level7 %x%%%%%%%$ ($)
2ink detected7 yes
Para desactvar esta funcn, se utza e vaor 0 (cero). E|empo:
options bonding mode+% <%%<on=6
36.*.*. Arc$ivo de configuracin >etc>sysconfig>netRorO(scripts>!ondI.
Este se confgura con os msmo parmetros que una tar|eta norma. Requere os parmetros
0)B00A, B00A='0A0, D"J&C", &=ADD', )"A;A?N y @AA"]AZ.
En e sguente e|empo se confgura a nterfaz !ondI con a dreccn IP esttca 192.168.0.1,
mscara de subred 255.255.255.0, puerta de enace 192.168.0.254 y a nterfaz nca |unto con
e sstema creando e archvo >etc>sysconfig>netRorO(scripts>ifcfg(!ondI con e sguente
contendo:
&'()*'+bond%
0-;001+yes
;001=R010+static
)=5&&R+198!166#%#1
-'1.5SH+8::#8::#8::#%
I51'45<+198#166#%#8:4
Las nterfaces de red a utzar como escavas se confguran de a sguente forma, consderando
que se tene eth0 y eth1, e contendo de archvo >etc>sysconfig>netRorO(scripts>ifcfg(et$I
sera:
&'()*'+eth%
;001=R010+none
0-;001+no
S25('+yes
.5S1'R+bond%
Y e contendo de archvo >etc>sysconfig>netRorO(scripts>ifcfg(et$+ sera:
&'()*'+eth1
;001=R010+none
0-;001+no
S25('+yes
.5S1'R+bond%
36.*.3. &niciarH detener y reiniciar el servicio netRorO.
356
Para e|ecutar por prmera vez e servco netRorO tras confgurar e acopamento de tar|etas,
utce:
service netork start
Para hacer que os cambos hechos tras modfcar a confguracn surtan efecto, utce:
Para detener e servco netRorO utce:
service netork stop
36.3. Compro!aciones.
Para verfcar que a nterfaz gca qued confgurada, en e caso de haber utzado as
nterfaces eth0 y eth1, utce:
i"con"ig
bond% 2ink encap7'thernet 34addr %%7%176%74179*765
inet addr7198#166#1#64 ;cast7198#166#1#8:: .ask78::#8::#8::#%
inet6 addr7 "e6%778%176%""7"e4179c6a/64 Scope72ink
?= ;R05&*5S1 R?--)-I .5S1'R .?21)*5S1 .1?71:%% .etric71
RX packets7:186 errors7% dropped7% overruns7% "rame7%
1X packets7@61$ errors7$ dropped7% overruns7% carrier7%
collisions7@ txJueuelen7%
RX bytes7@49@1@9 (@#@ .i;) 1X bytes749:%8: (46@#4 Hi;)
eth% 2ink encap7'thernet 34addr %%7%176%74179*765
?= ;R05&*5S1 R?--)-I S25(' .?21)*5S1 .1?71:%% .etric71
RX packets7:%:6 errors7% dropped7% overruns7% "rame7%
1X packets7@$61 errors7% dropped7% overruns7% carrier7%
collisions7@ txJueuelen71%%%
RX bytes7@4$466: (@#@ .i;) 1X bytes74666@8 (4$$#1 Hi;)
)nterrupt711 ;ase address7%xc%%%
eth1 2ink encap7'thernet 34addr %%7%176%74179*765
?= ;R05&*5S1 R?--)-I S25(' .?21)*5S1 .1?71:%% .etric71
RX packets7$8 errors7% dropped7% overruns7% "rame7%
1X packets7@6 errors7$ dropped7% overruns7% carrier7%
collisions7% txJueuelen71%%%
RX bytes7164:4 (16#% Hi;) 1X bytes76@9@ (6#8 Hi;)
)nterrupt71%
lo 2ink encap72ocal 2oopback
inet addr718$#%#%#1 .ask78::#%#%#%
inet6 addr7 771/186 Scope73ost
?= 200=;5*H R?--)-I .1?7164@6 .etric71
RX packets761@6 errors7% dropped7% overruns7% "rame7%
1X packets761@6 errors7% dropped7% overruns7% carrier7%
357
RX bytes76@64664 ($#9 .i;) 1X bytes76@64664 ($#9 .i;)
Para verfcar que as nterfaces de red estn funconando correctamente y que hay un cabe de
red conectado a stas, se utza e mandato et$tool de sguente modo:
ethtool eth% Ngrep ,2ink detected,
ethtool eth1 Ngrep ,2ink detected,
S ambas tar|etas tene soporte para ;&&, o anteror debe devover o sguente:
2ink detected7 yes
2ink detected7 yes
36.4. Bi!liografa.
Thomas Davs: http://www.nuxfoundaton.org/en/Net:Bondng
Thomas Davs:
http://www.kerne.org/pub/nux/kerne/peope/marceo/nux-2.4/Documentaton/networkn
g/bondng.txt
358
37. Cone2in a redes inal<m!ricas P]ifiQ
desde terminal.
ma uso de stos.
37.+. &ntroduccin.
Confgurar y conectarse a una red Wf desde a nterfaz grfca es un procedmento
reatvamente trva, de|ando que todos os procedmentos os reacen NetworkManager o
Connman. Sn embargo ha crcunstancas en as cuaes puede ser necesaro conectarse a una red
Wf desde una termna. A contnuacn descrbr os procedmentos para conectarse a os dos
tpos de redes Wf ms utzados, WEP y WPA, con confguracones bscas utzadas en
dspostvos como seran os puntos de acceso de os modem ADSL de Prodgy Infntum.
37.+.+. Cue es ]=A? =or #u de!era usarlo en lugar de ]"=?
]=A (]-F =rotected Access) y ]=A* es una case de sstemas para e aseguramento de redes
nambrcas. ]=A fue creado en respuesta a as seras debdades de otros protocoos como
]"= (]red "quvaent =rvacy). Impementa a mayora de o que conforma e estndar &"""
:I*.++i y fue dseado para funconar con todas os dspostvos para redes nambrcas,
excepto os puntos de acceso de prmera generacn. ]=A* mpementa todo e estndar &"""
:I*.++i, pero no funcona con muchos dspostvos ve|os.
]=A fue creado por e grupo ndustra y comerca Aanza W-F, dueos de a marca regstrada
]i(8i y certfcadores de os dspostvos que ostenten dcho nombre.
Los datos utzan e agortmo RC4 con una cave de 128 bts y un vector de ncazacn de 48
bts. Una de as me|oras ms sobresaentes sobre su predecesor, ]"=, es AN&= (Aempora Ney
&ntegrty =rotoco o Protocoo de ntegrdad de cave tempora), e cua consste en e cambo
dnmco mentras se utza e sstema. Cuando se combna con Jectores de &niciali9acin
mayores, hace consderabemente ms dfc reazar ataques para a obtencn de aves, como
ocurre con ]"=.
Adems de proporconar autentcacn y cframento, ]=A proporcona me|or ntegrdad de a
carga t. La verfcacn de redundanca ccca (C'C o Cycc 'edundancy Check) utzada en
]"= es nsegura porque permte aterar a carga t y actuazar e mensa|e de verfcacn de
redundanca ccca sn necesdad de conocer a cave ]"=. En cambo ]=A utza un Cdigo
de &ntegridad de ;ensa.e (;&C o ;essage &ntegrty Code) que es en readad un agortmo
denomnado 2Ficael3, que fue e ms fuerte que se pudo utzar con dspostvos antguos para
redes nambrcas a fn de no de|ar obsoetos a stos. E Cdigo de &ntegridad de ;ensa.e de
]=A ncuye un un mecansmo que contrarresta os ntentos de ataque para vunerar AN&= y
boques temporaes.
359
En resumen, ]=A hace ms dfc vunerar as redes nambrcas a ncrementar os tamaos de
as caves y Jectores de &niciali9acin, reducendo e nmero de paquetes envados con caves
reaconadas y aadendo un sstema de verfcacn de mensa|es.
Adems de poder utzar una cave compartda (=?N o =re-?hared Ney), o cua supe a
compe|dad de mpementacn de un servdor de autentcacn :I*.+E en hogares y ofcnas
pequeas, ]=A puede utzar =rotocolos "2tensi!les de Autenticacin ("A= o ("xtensbe
Authentcaton =rotoco), como os sguentes:
EAP-TLS
EAP-TTLS/MSCHAPv2
PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC
EAP-SIM
EAP-LEAP
Entre os dversos servdores que pueden utzarse para este tpo de mpementacones, est
8ree'AD&,?. Alcance i!re cuenta con un modesto documento para a confguracn de esta
mpementacn.
37.*.+. &nstalacin a travs de yum.
Se requeren os paquetes Rireless(tools y RpaUsupplicant. Para nstaar o actuazar e
equpamento gco necesaro en Cent0?, 8edora o 'ed FatG "nterprise inu2 y versones
posterores de stos, so se necesta e|ecutar como root o sguente:
yum !y install ireless!tools pa/supplicant
S utza open?,?" o ?,?" inu2 "nterprise, so se necesta e|ecutar o sguente para
nstaar o actuazar e equpamento gco necesaro, en caso de que ste estuvese ausente:
yast !i ireless!tools pa/supplicant
S utza De!ian o ,!untu y versones posterores, so se necesta e|ecutar o sguente para
nstaar o actuazar e equpamento gco necesaro, en caso de que ste estuvese ausente:
sudo apt!get install ireless!tools pa/supplicant
37.*.*. =reparativos.
En sstemas operatvos basados sobre Cent0?, 8edora, 'ed Fat "nterprise inu2, open?,?"
y ?,?" inu2 "nterprise, e prmer paso consste en cambarse a usuaro root:
su !l
En sstemas operatvos basados sobre Ubuntu Lnux, se puede utzar e mandato sudo para
todos os procedmentos, precedendo todos os mandatos utzados con sudo.
360
sudo cualJuier mandato utiliCado
E|empos:
sudo i"up lo
sudo icon"ig lan%
sudo ilist lan% scan
Debdo a que seguramente e servco )etRorO;anager har confcto con os procedmentos,
se debe detener ste:
service -etork.ananger stop
Muchos componentes de sstema requeren que est actva a nterfaz de retorno de sstema
(oopback), por o que es mportante ncar sta:
i"up lo
Para poder comenzar a utzar a nterfaz Wf, soo basta e|ecutar e mandato iRconfig sobre
dcha nterfaz:
icon"ig lan%
Es buena dea reazar un escaneado de as redes Wf dsponbes para asegurarse se puede
acceder a a red Wf deseada y para determnar e protocoo a utzar:
ilist lan% scan
37.*.3. Autenticando en el punto de acceso.
37.*.3.+. A travs de redes ]"=.
Para redes nambrcas con autentcacn a travs de cfrado WEP, que se caracterzan por tener
una segurdad muy pobre, e procedmento es smpe. So basta utzar dos mandatos. E
prmero defne e nombre de punto de acceso a utzar:
icon"ig lan% essid punto!de!acceso
E segundo mandato se utza para defnr a cave de acceso a utzar, sea de 64 o 128 bt.
icon"ig lan% key clave!de!acceso
S se utza una cave WEP tpo ASCII, se defne de a sguente manera:
icon"ig lan% key s7clave!de!acceso
37.*.3.*. A travs de redes ]=A.
361
Se procede a determnar e nombre de a red Wf a utzar y a cave de acceso. E mandato
RpaUpassp$rase se utzar para generar un archvo de confguracn a utzar posterormente:
pa/passphrase punto!de!acceso clave!de!acceso M /root/pa#con"
S se reaza e procedmento desde Ubuntu Lnux, e mandato anteror faar s se utza sudo
debdo a mtacones de segurdad de sudo y deber utzarse entonces e sguente:
sudo bash !c ,pa/passphrase punto!de!acceso clave!de!acceso M /root/pa#con",
Lo anteror generar e archvo Rpa.conf dentro de drectoro de nco de usuaro root.
Para ncar a autentcacn con a red Wf, se utza e mandato RpaUsupplicant con as
opcones (B, para envar e procesos a segundo pano, -D, para especfcar e controador a utzar
y -c, para especfcar e archvo de confguracn creado en e paso anteror.
pa/supplicant !; !&ext !ilan% !c/root/pa#con"
37.*.4. Asignando par<metros de red a la interfa9.
37.*.4.+. ,tili9ando d$client.
Lo ms comn es utzar e mandato d$client para de|ar que e servdor DHCP de punto de
acceso o a LAN se encargue de asgnar os parmetros de red para a nterfaz. Es buena dea
ndcar a d$client que bere e prstamo que estuvera asgnado en e servdor DHCP:
dhclient !r
Para obtener una nueva dreccn IP, se utza e mandato d$client de a sguente manera:
dhclient lan%
37.*.4.*. Asignando manualmente los par<metros de red.
S se conocen os datos para a confguracn de red, tambn es posbe asgnaros
manuamente. En e sguente e|empo, se asgna a a nterfaz wan0 a dreccn IP
192.168.70.50, con mscara de subred 255.255.255.128 (25 bt) y puerta de enace
192.168.70.1:
ip addr add 198#166#$%#:%/8: dev lan%
ip route add de"ault via 198#166#$%#1 dev lan%
Para defnr e servdor DNS, como e usuaro root, se edta e archvo >etc>resolv.conf y se
defne a dreccn IP de servdor DNS a utzar. En e sguente e|empo, se defne 192.168.70.1
como servdor DNS:
echo ,nameserver 198#166#$%#1, M /etc/resolv#con"
362
S se reaza e procedmento desde Ubuntu Lnux o Deban, e mandato anteror faar s se
utza sudo debdo a mtacones de segurdad de sudo y deber utzarse entonces e
sguente:
sudo bash !c ,echo Xnameserver 198#166#$%#1X M /etc/resolv#con",
37.*.4.3. Asignacin permanente de par<metros de red en Cent0?H 8edora y
'ed Fat "nterprise inu2.
Soo es necesaro crear e archvo de nterfaz, dentro de >etc>sysconfig>netRorO(scripts>
sguendo e sguente formato:
i"c"g!5uto/punto!de!acceso
Como e|empo, s se desea conectar e sstema a un punto de acceso denomnado alcance*, se
debe crear e archvo >etc>sysconfig>netRorO(scripts>ifcfg(AutoUalcance*:
vim /etc/syscon"ig/netork!scripts/i"c"g!5uto/alcance8
S se va a conectar a travs de DHCP y utzar cfrado ]"=, poner e sguente contendo:
-5.'+,5uto alcance8,
0-;001+yes
1<='+4ireless
;001=R010+dhcp
'SS)&+alcance8
.0&'+.anaged
S'*?R)1</.0&'+open
&'>5?21H'<+1
=''R&-S+yes
=''RR0?1'S+yes
&3*=/*2)'-1/)&+nombre!eJuipo
&3*=/30S1-5.'+nombre!eJuipo
S se va a conectar a travs de DHCP y utzar cfrado ]=A, poner e sguente contendo:
-5.'+,5uto alcance8,
0-;001+yes
1<='+4ireless
;001=R010+dhcp
'SS)&+alcance8
.0&'+.anaged
H'</.I.1+4=5!=SH
=''R&-S+yes
=''RR0?1'S+yes
&3*=/*2)'-1/)&+nombre!eJuipo
&3*=/30S1-5.'+nombre!eJuipo
Para a cave de acceso de punto de acceso, es necesaro crear e archvo
>etc>sysconfig>netRorO(scripts>Oeys(AutoUalcance*:
vim /etc/syscon"ig/netork!scripts/keys!5uto/alcance8
363
S se va a conectar por WEP, poner e sguente contendo:
H'</=5SS=3R5S'1+clave!de!acceso
S se va a conectar por WPA, poner e sguente contendo:
4=5/=SH+clave!de!acceso
Hecho todo o anteror, ser posbe ncar a nterfaz e|ecutando e sguente mandato:
ip link set lan% up
Cuando sea necesaro detener a nterfaz, se e|ecuta e sguente mandato.
ip link set lan% don
37.3. Bi!liografa.
http://en.wkpeda.org/wk/W-F_Protected_Access
http://www.acancebre.org/artce.php/20070404112747533
http://www.acancebre.org/artce.php/20070403184255131
364
3:. ,so del mandato nc P)etcatQ.
ma uso de stos.
3:.+. &ntroduccin.
3:.+.+. Acerca de )etcat.
E mandato netcat o nc es una herramenta utzada para supervsar y escrbr sobre conexones
tanto AC= como ,D=. Puede abrr conexones AC=, envar paquetes ,D=, escuchar petcones
sobre puertos arbtraros tanto AC= como ,D=, permte supervsar puertos abertos y otras
muchas cosas ms, tanto para &=v4 como &=v6. Es una de as herramentas de dagnstco y
segurdad ms popuares y tambn una de as ms vaoradas por a comundad de usuaros de
GNU/Lnux.
3:.*. "#uipamiento lgico necesario.
3:.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
Para nstaar )etcat, e|ecute o sguente:
yum !y install nc
3:.*.*. "n open?,?"G y ?,?"G inu2 "nterprise.
Para nstaar )etcat, e|ecute o sguente:
yast !i netcat
3:.3. =rocedimientos en Cent0?H 8edoraG y 'ed FatG
"nterprise inu2.
E manua competo de mandato nc puede consutarse e|ecutando o sguente:
man 1 nc
3:.3.+. Cone2iones simples.
365
Para ncar una conexn haca agn puerto en agn sstema, se utza e mandato nc segudo
de una dreccn &= y un puerto a cua conectarse. En e sguente e|empo se reazar una
conexn haca e puerto 25 (?;A=) de +*7.I.I.+:
nc 18$#%#%#1 8:
S hay un servdor de correo funconado, o anteror puede devover una sada smar a a
sguente, donde requerr escrbr quit y pusar a teca ENTER para cerrar a conexn:
88% localhost#localdomain 'S.1= Y 4edB 86 .ay 8%%6 1%7847:8 !%:%%
,>%$
881 8#%#% localhost#localdomain closing connection
3:.3.*. 'evisin de puertos.
Para revsar os puertos abertos, se utza e mandato nc con a opcn , (9 para soctar se trate
de escuchar por puertos abertos y un puerto o rango de puertos. En e sguente e|empo, se pde
a mandato nc revsar cues puertos AC= (modo predetermnado) estn abertos dentro de
rango que va de puerto 21 a puerto 25.
nc !vC 18$#%#%#1 81!8:
Lo anteror puede devover una sada smar a a sguente, s se encontrasen abertos os
puertos 21, 22 y 25.
*onnection to 18$#%#%#1 81 port Dtcp/"tpE succeededT
*onnection to 18$#%#%#1 88 port Dtcp/sshE succeededT
*onnection to 18$#%#%#1 8: port Dtcp/smtpE succeededT
De manera opcona, se pueden revsar s estn abertos os puertos UDP abertos aadendo a
opcn (u. En e sguente e|empo se socta a mandato nc revsar cues puertos ,D= se
encuentran abertos entre e rango comprenddo entre os puertos 21 a 80.
nc !Cu 18$#%#%#1 81!6%
Lo anteror puede devover una sada smar a a sguente, donde se asume que se encuentran
abertos os puertos ,D= 53, 67 y 68:
*onnection to 18$#%#%#1 :@ port Dudp/domainE succeededT
*onnection to 18$#%#%#1 6$ port Dudp/bootpsE succeededT
*onnection to 18$#%#%#1 66 port Dudp/bootpcE succeededT
S se quere obtener una sada ms descrptva, so es necesaro e|ecutar e mandato nc con as
opcones (v9 y a dreccn &= s se quere revsar puertos AC= abertos o ben nc (v9u para
puertos ,D= abertos, donde a opcn (v defne se devueva una sada m<s descriptiva. En e
sguente e|empo se pde a mandato nc revsar os puertos AC= abertos entre e puerto 20 a
25.
nc !vC 18$#%#%#1 8%!8:
366
La sada de o anteror tambn devover, a dferenca de utzar so a opcn (9, cues
puertos estn cerrados en e rango especfcado.
nc7 connect to 18$#%#%#1 port 8% (tcp) "ailed7 *onnection re"used
nc7 connect to 18$#%#%#1 port 8@ (tcp) "ailed7 *onnection re"used
nc7 connect to 18$#%#%#1 port 84 (tcp) "ailed7 *onnection re"used
3:.3.3. Creando un modelo cliente servidor.
Es reatvamente smpe crear un modeo cente/servdor. Desde una termna que ser utzada
para ncar un modeo de servdor, se utza e mandato nc con a opcn (l (sten o escuchar)
seguda de un nmero de puerto que est desocupado. Esto har que nc se comporte como
servdor escuchando petcones en un puerto arbtraro. En e sguente e|empo se har que
mandato nc funcone como servdor escuchando petcones en e puerto *****.
nc !l 88888
Para estabecer a conexn como cente, desde otra termna se nca e mandato nc
especfcando como argumentos una dreccn IP y e numero de puerto a que se quera
conectar. En e sguente e|empo se reaza a conexn a puerto ***** de +*7.I.I.+ (anftrn
oca):
nc 18$#%#%#1 88888
Con o anteror, todo o que se escrba desde a termna como cente podr ser vsto en a
termna como servdor.
3:.3.4. Aransferencia de datos.
Tomando e e|empo anteror, es posbe reazar transferenca de datos desde una termna como
cente haca una termna como servdor. La nca dferenca es que en e servdor se camba e
drecconamento de a sada estndar (?AD0,A) de a termna, haca un archvo, como se
e|empfca a contnuacn:
nc !l 88888 M algo#out
En e cente se reaza ago smar. En ugar de ngresar datos desde a conexn. Se hace a partr
de un archvo con contendo de a sguente forma:
nc 18$#%#%#1 88888 b algo#in
En e e|empo descrto se reaza a transferenca de datos de archvo algo.in, desde e proceso
como cente, haca e archvo algo.out, en e proceso como servdor.
3:.4. =rocedimientos en open?,?"G y ?,?"G inu2
"nterprise.
E manua competo de mandato netcat puede consutarse e|ecutando o sguente:
367
man 1 netcat
3:.4.+. Cone2iones simples.
Para ncar una conexn haca agn puerto en agn sstema, se utza e mandato netcat
segudo de una dreccn &= y un puerto a cua conectarse. En e sguente e|empo se reazar
una conexn haca e puerto 25 (?;A=) de +*7.I.I.+:
netcat 18$#%#%#1 8:
S hay un servdor de correo funconado, o anteror puede devover una sada smar a a
sguente, donde requerr escrbr quit y pusar a teca ENTER para cerrar a conexn:
88% localhost#localdomain 'S.1= Y 4edB 86 .ay 8%%6 1%7847:8 !%:%%
,>%$
881 8#%#% localhost#localdomain closing connection
3:.4.*. 'evisin de puertos.
Para revsar os puertos abertos, se utza e mandato netcat con a opcn , (9 para soctar se
trate de escuchar por puertos abertos y un puerto o rango de puertos. En e sguente e|empo,
se pde a mandato netcat revsar cues puertos AC= (modo predetermnado) estn abertos
dentro de rango que va de puerto 21 a puerto 25.
netcat !vC 18$#%#%#1 81!8:
Lo anteror puede devover una sada smar a a sguente, s se encontrasen abertos os
puertos 21, 22 y 25.
De manera opcona, se pueden revsar s estn abertos os puertos UDP abertos aadendo a
opcn (u. En e sguente e|empo se socta a mandato netcat revsar cues puertos ,D= se
encuentran abertos entre e rango comprenddo entre os puertos 21 a 80.
netcat !Cu 18$#%#%#1 81!6%
Lo anteror puede devover una sada smar a a sguente, donde se asume que se encuentran
abertos os puertos ,D= 53, 67 y 68:
*onnection to 18$#%#%#1 :@ port Dudp/domainE succeededT
*onnection to 18$#%#%#1 6$ port Dudp/bootpsE succeededT
*onnection to 18$#%#%#1 66 port Dudp/bootpcE succeededT
S se quere obtener una sada ms descrptva, so es necesaro e|ecutar e mandato netcat
con as opcones (v9 y a dreccn &= s se quere revsar puertos AC= abertos o ben netcat
(v9u para puertos ,D= abertos, donde a opcn (v defne se devueva una sada m<s
descriptiva. En e sguente e|empo se pde a mandato netcat revsar os puertos AC= abertos
entre e puerto 20 a 25.
368
netcat !vC 18$#%#%#1 8%!8:
La sada de o anteror tambn devover, a dferenca de utzar so a opcn (9, cues
puertos estn cerrados en e rango especfcado.
netcat7 connect to 18$#%#%#1 port 8% (tcp) "ailed7 *onnection re"used
netcat7 connect to 18$#%#%#1 port 8@ (tcp) "ailed7 *onnection re"used
netcat7 connect to 18$#%#%#1 port 84 (tcp) "ailed7 *onnection re"used
3:.4.3. Creando un modelo cliente servidor.
Es reatvamente smpe crear un modeo cente/servdor. Desde una termna que ser utzada
para ncar un modeo de servdor, se utza e mandato netcat con a opcn (l (sten o
escuchar) seguda de un nmero de puerto que est desocupado. Esto har que netcat se
comporte como servdor escuchando petcones en un puerto arbtraro. En e sguente e|empo
se har que mandato netcat funcone como servdor escuchando petcones en e puerto *****.
netcat !l 88888
Para estabecer a conexn como cente, desde otra termna se nca e mandato netcat
especfcando como argumentos una dreccn IP y e numero de puerto a que se quera
conectar. En e sguente e|empo se reaza a conexn a puerto ***** de +*7.I.I.+ (anftrn
oca):
netcat 18$#%#%#1 88888
Con o anteror, todo o que se escrba desde a termna como cente podr ser vsto en a
termna como servdor.
3:.4.4. Aransferencia de datos.
Tomando e e|empo anteror, es posbe reazar transferenca de datos desde una termna como
cente haca una termna como servdor. La nca dferenca es que en e servdor se camba e
drecconamento de a sada estndar (?AD0,A) de a termna, haca un archvo, como se
e|empfca a contnuacn:
netcat !l 88888 M algo#out
En e cente se reaza ago smar. En ugar de ngresar datos desde a conexn. Se hace a partr
de un archvo con contendo de a sguente forma:
netcat 18$#%#%#1 88888 b algo#in
En e e|empo descrto se reaza a transferenca de datos de archvo algo.in, desde e proceso
como cente, haca e archvo algo.out, en e proceso como servdor.
369
3[. Como utili9ar )etstat.
ma uso de stos.
3[.+. &ntroduccin.
3[.+.+. Acerca de )etstat
Netstat es una herramenta utzada para supervsar as conexones de red, tabas de
encamnamento, estadstcas de nterfaces y asgnaturas de mutdfusn. Se utza
prncpamente para encontrar probemas en una red y para medr e trfco de red como una
forma de cacuar e desempeo de sta.
3[.*. =rocedimientos.
Para vsuazar todas as conexones actvas en e sstema, tanto TCP como UDP, se utza a
opcn -a.
netstat !a
Debdo a que a cantdad de datos puede ser mucha para ser vsuazada con comoddad en a
pantaa de montor, se puede utzar e mandato ess como subrutna.
netstat !a N less
A contnuacn se muestra un e|empo de a sada:
5ctive )nternet connections (servers and established)
=roto Recv!_ Send!_ 2ocal 5ddress >oreign 5ddress State
tcp % % L7netbios!ssn L7L 2)S1'-
tcp % % L7submission L7L 2)S1'-
tcp % % L7sunrpc L7L 2)S1'-
tcp % % L7x11 L7L 2)S1'-
tcp % % L7:9%4 L7L 2)S1'-
tcp % % L7ebcache L7L 2)S1'-
udp % % L7"ilenet!tms L7L
udp % % L7"ilenet!nch L7L
udp % % L7"ilenet!rmi L7L
udp % % L7"ilenet!pa L7L
udp % % 198#166#188#17netbios!ns L7L
udp % % servidor%%#c7netbios!ns L7L
5ctive ?-)X domain sockets (servers and established)
=roto Re"*nt >lags 1ype State )!-ode =ath
unix 8 D 5** E S1R'5. 2)S1'-)-I 1$:@% [/tmp/"am!root!
unix 8 D 5** E S1R'5. 2)S1'-)-I $944 /dev/gpmctl
unix 8 D 5** E S1R'5. 2)S1'-)-I 6991 /var/run/audit/events
unix 8 D 5** E S1R'5. 2)S1'-)-I $4%9 /var/run/dbus/system/bus/socket
unix 8 D 5** E S1R'5. 2)S1'-)-I $:%6 /var/run/pcscd#comm
unix 8 D 5** E S1R'5. 2)S1'-)-I $64$ /var/run/acpid#socket
unix 8 D 5** E S1R'5. 2)S1'-)-I $$@$ /var/run/cups/cups#sock
370
unix 8 D 5** E S1R'5. 2)S1'-)-I 16$9: [/tmp/dbus!4?ato6eO?3
Para mostrar soo as conexones actvas por TCP, se utza:
netstat !t
Para mostrar soo as conexones actvas por UDP, se utza:
netstat !u
Para mostrar as estadstcas de uso para todos os tpos de conexones, se utza:
netstat !s
)p7x 8 D E &IR5. 6%1:
6%%: total packets received $989
8 ith invalid addresses5. $696
% "orardedE &IR5. $666
% incoming packets discarded $:%:
$986 incoming packets delivered *0--'*1'& $418
$9%: reJuests sent out1R'5. *0--'*1'& $411
)cmp7 @ D E S1R'5. *0--'*1'& $@49
19 )*.= messages received5. *0--'*1'& $@46
% input )*.= message "ailed# $199
)*.= input histogram7&IR5. $%$1
destination unreachable7 16 694$
echo reJuests7 1 &IR5. 691$
19 )*.= messages sentS1R'5. *0--'*1'& 664:
% )*.= messages "ailed1R'5. *0--'*1'& 6644
)*.= output histogram7a N less
destination unreachable7 16
echo replies7 1
1cp7
114 active connections openings
8 passive connection openings
% "ailed connection attempts
18 connection resets received
% connections established
$688 segments received
$:@@ segments send out
66 segments retransmited
% bad segments received#
1$ resets sent
?dp7
86$ packets received
% packets to unknon port received#
% packet receive errors
8$9 packets sent
1cp'xt7
$ 1*= sockets "inished time ait in "ast timer
1@: delayed acks sent
_uick ack mode as activated 86 times
61 packets directly Jueued to recvmsg preJueue#
16@64%64 packets directly received "rom backlog
371
@918@8% packets directly received "rom preJueue
8%61 packets header predicted
1:8: packets header predicted and directly Jueued to user
4$: acknoledgments not containing data received
1@11 predicted acknoledgments
1 times recovered "rom packet loss due to S5*H data
1 congestion indos "ully recovered
4 congestion indos partially recovered using 3oe heuristic
1@ congestion indos recovered a"ter partial ack
% 1*= data loss events
4 timeouts a"ter S5*H recovery
1 "ast retransmits
4$ other 1*= timeouts
88 &S5*Hs sent "or old packets
1 &S5*Hs received
9 connections reset due to early user close
Para mostrar soamente as estadstcas orgnadas por conexones AC=, se utza:
netstat !s !t
1cp7
114 active connections openings
8 passive connection openings
% "ailed connection attempts
18 connection resets received
% connections established
$688 segments received
$:@@ segments send out
66 segments retransmited
% bad segments received#
1$ resets sent
1cp'xt7
$ 1*= sockets "inished time ait in "ast timer
1@: delayed acks sent
_uick ack mode as activated 86 times
61 packets directly Jueued to recvmsg preJueue#
16@64%64 packets directly received "rom backlog
@918@8% packets directly received "rom preJueue
8%61 packets header predicted
1:8: packets header predicted and directly Jueued to user
4$: acknoledgments not containing data received
1@11 predicted acknoledgments
1 times recovered "rom packet loss due to S5*H data
1 congestion indos "ully recovered
4 congestion indos partially recovered using 3oe heuristic
1@ congestion indos recovered a"ter partial ack
% 1*= data loss events
4 timeouts a"ter S5*H recovery
1 "ast retransmits
4$ other 1*= timeouts
88 &S5*Hs sent "or old packets
1 &S5*Hs received
9 connections reset due to early user close
Para mostrar soamente as estadstcas orgnadas por conexones ,D=, se utza:
372
netstat !s !u
?dp7
86$ packets received
% packets to unknon port received#
% packet receive errors
8$9 packets sent
Para mostrar a taba de encamnamentos, se utza:
netstat !r
Hernel )= routing table
&estination Iateay Ienmask >lags .SS 4indo irtt )"ace
198#166#%#% L 8::#8::#8::#% ? % % % eth%
198#166#188#% L 8::#8::#8::#% ? % % % virbr%
169#8:4#%#% L 8::#8::#%#% ? % % % eth%
de"ault 198#166#%#8:4 %#%#%#% ?I % % % eth%
Para mostrar as asgnacones grupos de mutdfusn, se utza:
netstat !g
)=v6/)=v4 Iroup .emberships
)nter"ace Re"*nt Iroup
!!!!!!!!!!!!!!! !!!!!! !!!!!!!!!!!!!!!!!!!!!
lo 1 522!S<S1'.S#.*5S1#-'1
virbr% 1 884#%#%#8:1
virbr% 1 522!S<S1'.S#.*5S1#-'1
eth% 1 884#%#%#8:1
eth% 1 522!S<S1'.S#.*5S1#-'1
lo 1 ""%8771
peth% 1 ""%8771
virbr% 1 ""%87717""%%7%
virbr% 1 ""%8771
vi"%#% 1 ""%8771
eth% 1 ""%87717"":6716b9
eth% 1 ""%8771
xenbr% 1 ""%8771
vi"1#% 1 ""%8771
Para mostrar a taba de nterfaces actvas en e sstema, se utza:
netstat !i
373
Hernel )nter"ace table
)"ace .1? .et RX!0H RX!'RR RX!&R= RX!0(R 1X!0H 1X!'RR 1X!&R= 1X!0(R >lg
eth% 1:%% % 8@9$ % % % 8%$9 % % % ;.R?
lo 164@6 % :$6% % % % :$6% % % % 2R?
peth% 1:%% % @894 % % % 8:64 % % % ;0R?
vi"%#% 1:%% % 8%$9 % % % 8@9$ % % % ;0R?
vi"1#% 1:%% % 4: % % % @64 % % % ;0R?
virbr% 1:%% % % % % % $8 % % % ;.R?
xenbr% 1:%% % 816 % % % % % % % ;0R?
374
4I. ,so del mandato A'=.
ma uso de stos.
4I.+. &ntroduccin
4I.+.+. Acerca de A'=.
A'= sgnfca Address 'esouton =rotoco o protocoo de resoucn de dreccones. A'= se
utza para supervisar y modificar a taba de asgnacones de dreccones &= y dreccones
;AC (;eda Access Contro). A'= utza un cache que consste en una taba que amacena as
asgnacones entre nve de enace de datos y as dreccones IP de nve de red. E nve de
enace de datos se encarga de gestonar as dreccones ;AC y e nve de red de as dreccones
&=. A'= asoca dreccones &= a as dreccones ;AC, |usto a a nversa de protocoo 'A'= que
asgna dreccones ;AC a as dreccones &=. Para reducr e nmero de petcones A'=, cada
sstema operatvo que mpementa e protocoo A'= mantene una cache en a memoria 'A;
de todas as recentes asgnacones.
Puede consutarse e manua detaado respecto de uso de mandato arp e|ecutando o sguente:
man 6 arp
E tempo de duracn de cache de a taba de A'= es de 60 segundos. Puede cote|arse este
vaor examnando e contendo de archvo >proc>sys>net>ipv4>neig$>default>gcUstaleUtime.
cat /proc/sys/net/ipv4/neigh/de"ault/gc/stale/time
Lo anteror debe devover e vaor 60 en a sada.
Cambar e vaor de a duracn de cache de a taba de ARP puede mpedr se desborde sta
cuando se traba|a en redes compuestas por centenares o mes de sstemas que en con|unto
hacen demasadas petcones ARP que puderan saturar as capacdades de un servdor.
E vaor puede modfcarse utzando e mandato sysctl soctando cambar e vaor de a
varabe net.ipv4.neig$.default.gcUstaleUtime. En e sguente e|empo, se camba e vaor
predeterminado y e correspondente a a nterfaz et$I, a 3600 segundos (1 hora):
sysctl ! net#ipv4#neigh#de"ault#gc/stale/time+@6%%
sysctl ! net#ipv4#neigh#eth%#gc/stale/time+@6%%
Para cote|ar que e cambo reazado, e|ecute os sguentes dos mandatos:
375
cat /proc/sys/net/ipv4/neigh/de"ault/gc/stale/time
cat /proc/sys/net/ipv4/neigh/eth%/gc/stale/time
Lo anteror debe devover e vaor 3600 en a sada para ambos mandatos.
Para que e cambo sea permanente, edte e archvo >etc>sysctl.conf:
Y aada a fna de archvo e sguente contendo, conservando un espaco antes y despus de
sgno = (gua), asumendo que se desea cambar os vaores predetermnado y e
correspondente a a nterfaz eth0:
net#ipv4#neigh#de"ault#gc/stale/time + @6%%
net#ipv4#neigh#eth%#gc/stale/time + @6%%
E mandato arp forma parte de paquete net(tools, e cua se nstaa de modo predetermnado
en CentOS, Red Hat Enterprse Lnux, openSUSE y SUSE Lnux Enterprse, pues se trata de
un paquete obgatoro.
Para vsuazar e cache A'= actua, e|ecute o sguente.
arp !a
Lo anteror debe devover ago smar a o sguente, en e caso de tratarse de un nco sstema:
m8:4#alcancelibre#org (198#166#1#8:4) at %%71479:79$78$7'9 DetherE on eth%
Cuando se trata de un servdor que srve como puerta de enace para una red de rea oca, a
sada de a taba puede ser smar a o sguente:
m%:1#redlocal#net (1%#1#1#:1) at %%71@78%7&%7%971' DetherE on eth1
m%46#redlocal#net (1%#1#1#46) at %%7%>71>7;17$1714 DetherE on eth1
m%$@#redlocal#net (1%#1#1#$@) at %%71178:7>679@7>1 DetherE on eth1
m%$%#redlocal#net (1%#1#1#$%) at %%71178:7>67587:8 DetherE on eth1
m%4%#redlocal#net (1%#1#1#4%) at %%7%&76%76'78$7@4 DetherE on eth1
m%@6#redlocal#net (1%#1#1#@6) at %%7%&76%76'78:7>; DetherE on eth1
m%11#redlocal#net (1%#1#1#11) at %%71178>7*$7&%7&$ DetherE on eth1
E mandato arp acepta varas opcones ms. S se desea vsuazar a nformacn en esto %inu4,
se utza sn opcones o ben con a opcn -e (redundante, pues es e modo predetermnado).
E|empo:
arp
376
5ddress 34type 34address >lags .ask )"ace
m%:1#redlocal#net ether %%71@78%7&%7%971' * eth1
m%46#redlocal#net ether %%7%>71>7;17$1714 * eth1
m%$@#redlocal#net ether %%71178:7>67587:8 * eth1
m%$%#redlocal#net ether %%71178:7>679:76' * eth1
m%4%#redlocal#net ether %%7%&76%76'78676> * eth1
m%@6#redlocal#net ether %%71178:7>67:>761 * eth1
S se desea observar o anteror en formato numrco, se utza a opcn -n:
arp !n
1%#1#1#46 ether %%7%>71>7;17$1714 * eth1
1%#1#1#$% ether %%71178:7>67587:8 * eth1
1%#1#1#$@ ether %%71178:7>679@7>1 * eth1
1%#1#1#4% ether %%7%&76%76'78$7@4 * eth1
1%#1#1#@4 ether %%7%&76%76'78676> * eth1
S se desea especfcar una nterfaz en partcuar, se utza a opcn -, seguda de nombre de a
nterfaz. E|empo:
arp !i eth%
Lo anteror debe regresar ago smar a o sguente, en e caso de tratarse de un nco sstema
nvoucrado:
m8:4#alcancelibre#org ether %%71479:79$78$7'9 * eth%
S se desea aadr un regstro manuamente, se puede hacer utzando a opcn -s, seguda de
nombre de un anftrn y a dreccn MAC correspondente. E|empo:
arp !s m8%%#redlocal#net %%7%675176471675&
S se quere emnar un regstro de a taba, so se utza a opcn (d seguda de nombre de
anftrn (o dreccn IP) que se desea emnar. E|empo:
arp !d m8%%#redlocal#net
Para mpar todo e cache, se puede utzar un buce como e sguente:
"or i in ârp !n N ak Xcprint F1dX N grep !v 5ddress^
do
arp !d Fi
done
En e gun anteror se pde crear a varabe i a partr de a sada de a e|ecucn de mandato
arp con a opcn (n, para devover as dreccones numrcas, mostrando a travs de mandato
aRO, so a prmera coumna de a taba generada y emnando a cadena de caracteres
Address. sto genera una sta de dreccones IP que se asgnan como vaores de a varabe i en
e buce, donde se emna cada una de estas dreccones IP utzando arp (d.
377
E ob|eto de mpar e cache de A'= es permtr corregr os regstros de a taba en certos
escenaros donde, por e|empo, un equpo fue encenddo con una dreccn &= que ya est en
uso.
378
4+. &ntroduccin a &=AAB"?
ma uso de stos.
4+.+. &ntroduccin.
4+.+.+. Acerca de &pta!les y )etfilter.
)etfilter es un con|unto de gancos (FooOs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que
son utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los gancos son tambn
utzados por un componente que se encarga de )AA (acrnmo de )etwork Address
Aransaton o Traduccn de dreccn de red). Estos componentes son cargados como mduos
de nceo.
&pta!les es e nombre de a herramenta de espaco de usuaro (,ser ?pace, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de )AA. &pta!les es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
4+.*.+. &nstalacin a travs de yum.
S utza Cent0? 5 y 6, 'ed Fat "nterprise inu2 5 o 6, soo se necesta reazar o sguente
para nstaar o actuazar e equpamento gco necesaro:
yum !y install iptables
4+.3.+. Cadenas.
Las cadenas pueden ser para trfco entrante (INPUT), trfco saente (OUTPUT) o trfco
reenvado (80']A'D).
4+.3.*. 'eglas de destino.
379
Las regas de destno pueden ser aceptar conexones (ACC"=A), descartar conexones (D'0=),
rechazar conexones ('"J"CA), encamnamento posteror (=0?A'0,A&)@), encamnamento
prevo (='"'0,A&)@), ?)AA, )AA, entre otras.
4+.3.3. =olticas por defecto.
Estabecen cua es a accn a tomar por defecto ante cuaquer tpo de conexn. La opcn -P
camba una potca para una cadena. En e sguente e|empo se descartan ( D'0=) todas as
conexones que ngresen (INPUT), todas as conexones que se reenven (80']A'D) y todas as
conexones que sagan (OUTPUT), es decr, se descarta todo e trfco que entre desde una red
pbca y e que trate de sar desde a red oca.
iptables != )-=?1 DRO9
iptables != FORMARD DRO9
iptables != 0?1=?1 ACCE9T
4+.3.4. impie9a de reglas especficas.
A fn de poder crear nuevas regas, se deben borrar as exstentes, para e trfco entrante, trfco
reenvado y trfco saente as como e NAT.
iptables !> )-=?1
iptables !> FORMARD
iptables !> 0?1=?1
iptables !> !t nat
4+.3.5. 'eglas especficas.
Las opcones ms comunes son:
-A aade una cadena, a opcn - defne una nterfaz de trfco entrante
-o defne una nterfaz para trafco saente
-| estabece una rega de destno de trfco, que puede ser ACC"=A, D'0= o
'"J"CA. La
-m defne que se apca a rega s hay una concdenca especfca
--state defne una sta separada por comas de dstnto tpos de estados de as
conexones (INVALID, ESTABLISHED, NEW, RELATED).
--to-source defne que IP reportar a trfco externo
-s defne trafco de orgen
-d defne trfco de destno
--source-port defne e puerto desde e que se orgna a conexn
--destnaton-port defne e puerto haca e que se drge a conexn
-t taba a utzar, pueden ser nat, fter, mange o raw.
".emplos de reglas.
Reenvo de paquetes desde una nterfaz de red oca (eth1) haca una nterfaz de red pbca
(eth0):
iptables !5 FORMARD !i eth1 !o eth% !Q ACCE9T
Aceptar reenvar os paquetes que son parte de conexones exstentes (ESTABLISHED) o
reaconadas de trfco entrante desde a nterfaz eth1 para trfco saente por a nterfaz eth0:
380
iptables !5 FORMARD !i eth% !o eth1 !m state !!state 'S15;2)S3'&BR'251'& !Q ACCE9T
Permtr paquetes en e propo muro cortafuegos para trfco saente a travs de a nterfaz eth0
que son parte de conexones exstentes o reaconadas:
iptables !5 )-=?1 !i eth% !m state !!state 'S15;2)S3'&BR'251'& !Q ACCE9T
Permtr (ACC"=A) todo e trfco entrante (INPUT) desde (-s) cuaquer dreccn (0/0) a red oca
(eth1) y desde e retorno de sstema (o) haca (-d) cuaquer destno (0/0):
iptables !5 )-=?1 !i eth1 !s %/% !d %/% !Q ACCE9T
iptables !5 )-=?1 !i lo !s %/% !d %/% !Q ACCE9T
Hacer (-|) SNAT para e trfco saente (-o) a trves de a nterfaz eth0 provenente desde (-s) a
red oca (192.168.0.0/24) utzando (--to-source) a dreccn IP R.2.y.9.
iptables !5 9OSTROUT?NG !t nat !s 198#166#%#%/84 !o eth% !Q S-51 !!to!source x#y#C#c
Descartar (D'0=) todo e trfco entrante (-i) desde a nterfaz eth0 que trate de utzar a
dreccn IP pbca de servdor (R.2.y.9), aguna dreccn IP de a red oca (192.168.0.0/24) o
a dreccn IP de retorno de sstema (127.0.01)
iptables !5 )-=?1 !i eth% !s #x#y#x/@8 !Q DRO9
iptables !5 )-=?1 !i eth% !s 198#166#%#%/84 !Q DRO9
iptables !5 )-=?1 !i eth% !s 18$#%#%#%/6 !Q DRO9
Aceptar (ACC"=A) todos os paquetes SYN (--syn) de protocoo TCP (-p tcp) para os puertos
(--destination(port) de os protocoos SMTP (25), HTTP(80), HTTPS (443) y SSH (22):
iptables !5 )-=?1 !p tcp !s %/% !d %/% !!destination!port 8: !!syn !Q ACCE9T
iptables !5 )-=?1 !p tcp !s %/% !d %/% !!destination!port 6% !!syn !Q ACCE9T
iptables !5 )-=?1 !p tcp !s %/% !d %/% !!destination!port 44@ !!syn !Q ACCE9T
iptables !5 )-=?1 !p tcp !s %/% !d %/% !!destination!port 88 !!syn !Q ACCE9T
Aceptar (ACC"=A) todos os paquetes SYN (--syn) de protocoo TCP (-tcp) para os puertos
(--destination(port) de protocoos SMTP (25) en e servdor (R.2.y.9/32), desde (-s) cuaquer
ugar (0/0) haca (-d) cuaquer ugar (0/0).
iptables !5 )-=?1 !p tcp !s %/% !d 0.E.y.B/@8 !!destination!port 8: !!syn !Q ACCE9T
Aceptar (ACC"=A) todos os paquetes SYN (--syn) de protocoo TCP (-p tcp) para os puertos
(--destination(port) de os protocoos POP3 (110), POP3S (995), IMAP (143) y IMAPS (993):
iptables !5 )-=?1 !p tcp !s %/% !d %/% !!destination!port 11% !!syn !Q ACCE9T
iptables !5 )-=?1 !p tcp !s %/% !d %/% !!destination!port 99: !!syn !Q ACCE9T
Aceptar (ACC"=A) e trfco entrante (-i) provenente desde a nterfaz eth1 cuando as
conexones se estabezcan desde e puerto (--sport) 67 por protocoos (-p) TCP y UDP.
iptables !5 )-=?1 !i eth1 !p tcp !!sport 66 !!dport 6$ !Q ACCE9T
381
iptables !5 )-=?1 !i eth1 !p udp !!sport 66 !!dport 6$ !Q ACCE9T
Aceptar (ACC"=A) conexones de trfco entrante (INPUT) por protocoo (-p) UDP cuando se
estabezcan desde (-s) e servdor DNS 200.33.145.217 desde e puerto (--source(port) 53 haca
(-d) cuaquer destno (0/0):
iptables !5 )-=?1 !p udp !s 8%%#@@#146#81$/@8 !!source!port :@ !d %/% !Q ACCE9T
4+.3.5.+. Cerrar accesos.
Descartar (D'0=) e trfco entrante (INPUT) para e protocoo (-p) TCP haca os puerto
(--destination(port) de SSH (22) y Tenet (23):
iptables !5 )-=?1 !p tcp !!destination!port 88 !Q DRO9
iptables !5 )-=?1 !p tcp !!destination!port 8@ !Q DRO9
Descartar (D'0=) todo tpo de conexones de trfco entrante (INPUT) desde (-s) a dreccn IP
a.b.c.d:
iptables !5 )-=?1 !s a#b#c#d !Q DRO9
Rechazar ('"J"CA) conexones haca (OUTPUT) a dreccn IP a.b.c.d desde a red oca:
iptables !5 0?1=?1 !d a#b#c#d !s 198#166#%#%/84 !Q REOECT
4+.3.6. "liminar reglas.
En genera se utza a msma rega, pero en ugar de utzar -A (append), se utza -D (deete).
Emnar a rega que descarta (D'0=) todo tpo de conexones de trfco entrante (INPUT) desde
(-s) a dreccn IP a.b.c.d:
iptables !& )-=?1 !s a#b#c#d !Q DRO9
4+.3.7. ;ostrar la lista de cadenas y reglas.
Una vez cargadas todas as cadenas y regas de ipta!les es posbe vsuazar stas utzando e
mandato ipta!les con as opcones -n, para ver as stas en formato numrco y -, para soctar
a sta de stas cadenas.
iptables !n2
Cuando no hay regas n cadenas cargadas, a sada de!e devover o sguente:
*hain )-=?1 (policy 5**'=1)
target prot opt source destination
*hain >0R45R& (policy 5**'=1)
382
*hain 0?1=?1 (policy 5**'=1)
Cuando hay cadenas presentes, a sada, suponendo que se utzarn os e|empos de este
documento, debe devover ago smar a o sguente:
*hain )-=?1 (policy &R0=)
5**'=1 all !! %#%#%#%/% %#%#%#%/% state R'251'&B'S15;2)S3'&
5**'=1 all !! %#%#%#%/% %#%#%#%/%
5**'=1 all !! %#%#%#%/% %#%#%#%/%
&R0= all !! 198#166#1#64 %#%#%#%/%
&R0= all !! 1$8#16#%#%/84 %#%#%#%/%
&R0= all !! 18$#%#%#%/6 %#%#%#%/%
5**'=1 tcp !! %#%#%#%/% %#%#%#%/% tcp dpt78: "lags7%x1$/%x%8
5**'=1 tcp !! %#%#%#%/% %#%#%#%/% tcp dpt76% "lags7%x1$/%x%8
5**'=1 tcp !! %#%#%#%/% %#%#%#%/% tcp dpt744@ "lags7%x1$/%x%8
5**'=1 tcp !! %#%#%#%/% %#%#%#%/% tcp dpt788 "lags7%x1$/%x%8
5**'=1 tcp !! %#%#%#%/% 198#166#1#64 tcp dpt78: "lags7%x1$/%x%8
5**'=1 tcp !! %#%#%#%/% %#%#%#%/% tcp spt766 dpt76$
5**'=1 udp !! %#%#%#%/% %#%#%#%/% udp spt766 dpt76$
5**'=1 udp !! 8%%#@@#146#81$ %#%#%#%/% udp spt7:@
*hain >0R45R& (policy &R0=)
5**'=1 all !! %#%#%#%/% %#%#%#%/%
5**'=1 all !! %#%#%#%/% %#%#%#%/% state R'251'&B'S15;2)S3'&
*hain 0?1=?1 (policy 5**'=1)
Droot[m%64 \EA iptables !n2
*hain )-=?1 (policy &R0=)
5**'=1 all !! %#%#%#%/% %#%#%#%/% state R'251'&B'S15;2)S3'&
5**'=1 all !! %#%#%#%/% %#%#%#%/%
5**'=1 all !! %#%#%#%/% %#%#%#%/%
&R0= all !! 198#166#1#64 %#%#%#%/%
&R0= all !! 1$8#16#%#%/84 %#%#%#%/%
&R0= all !! 18$#%#%#%/6 %#%#%#%/%
5**'=1 tcp !! %#%#%#%/% %#%#%#%/% tcp dpt788 "lags7%x1$/%x%8
5**'=1 tcp !! %#%#%#%/% 198#166#1#64 tcp dpt78: "lags7%x1$/%x%8
5**'=1 tcp !! %#%#%#%/% %#%#%#%/% tcp spt766 dpt76$
5**'=1 udp !! %#%#%#%/% %#%#%#%/% udp spt766 dpt76$
5**'=1 udp !! 8%%#@@#146#81$ %#%#%#%/% udp spt7:@
*hain >0R45R& (policy &R0=)
5**'=1 all !! %#%#%#%/% %#%#%#%/%
5**'=1 all !! %#%#%#%/% %#%#%#%/% state R'251'&B'S15;2)S3'&
*hain 0?1=?1 (policy 5**'=1)
4+.3.:. &niciarH detener y reiniciar el servicio ipta!les.
S est de acuerdo con as regas generadas de ipta!les, utce e sguente mandato para
guardar stas:
service iptables save
383
Las regas quedarn amacenadas en e archvo /etc>sysconfig>ipta!les.
Para e|ecutar por prmera vez e servco ipta!les, utce:
service iptables start
service iptables restart
Para detener e servco ipta!les y borrar todas as regas utce:
service iptables stop
4+.3.[. Agregar el servicio ipta!les al arran#ue del sistema.
Para hacer que e servco de ipta!les est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4 y 5), se utza o sguente:
chkcon"ig iptables on
4+.4. Bi!liografa.
Wkpeda: http://en.wkpeda.org/wk/Iptabes
Denns G. Aard y Don Cohen http://oceanpark.com/notes/frewa_exampe.htm
384
4*. Configuracin !<sica de ?$oreRall.
4*.+. &ntroduccin.
4*.+.+. Acerca de ?$oreRall.
?$oreRall (Shorene Frewa) es una robusta y extensbe $erramienta de alto nivel para la
configuracin de muros cortafuego. ?$oreRall so necesta se defnan agunos datos en
agunos archvos de texto smpe y ste crear as regas de cortafuegos correspondentes a
travs de ipta!les. ?$oreRall puede permtr utzar un sstema como muro cortafuegos
dedcado, sstema de mtpes funcones como puerta de enlaceH dispositivo de
encaminamiento y servidor.
URL: http://www.shorewa.net/
4*.+.*. Acerca de ipta!les y )etfilter.
)etfilter es un con|unto de gancos (FooOs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como gestor) dentro de nceo de GNU/Lnux y que son
utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los gancos son tambn
utzados por un componente que se encarga de )AA (acrnmo de )etwork Address
Aransaton o Traduccn de dreccn de red). Estos componentes son cargados como mduos
de nceo.
&pta!les es e nombre de a herramenta de espaco de usuaro (5ser $pace, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de )AA. &pta!les es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
4*.+.3. Acerca de iproute.
&proute es una coeccn de herramentas (fcfg, p, rtmon y tc) para GNU/Lnux que se utzan
para controar e estabecmento de a red AC=>&=, as como tambn e contro de trfco.
Aunque ifconfig sgue sendo a herramenta de confguracn de red estndar en as
dstrbucones de GNU/Lnux, iproute tende a sustturo a proveer soporte para a mayora de
as tecnoogas modernas de red (ncuyendo IP versones 4 y 6), permtendo a os
admnstradores confgurar os parmetros de red y e contro de trfco.
URL: http://nux-net.osd.org/ndex.php/Iproute2
385
4*.*. Conceptos re#ueridos.
4*.*.+. Cu es una 9ona desmilitari9ada?
Una zona desmtarzada (D;b), es parte de una red que no est dentro de a red nterna (A))
pero tampoco est drectamente conectada haca Internet. Podra resumrse como una red que se
ocaza entre dos redes. En trmnos ms tcncos se refere a un rea dentro de cortafuegos
donde os sstemas que a componen tenen acceso haca as redes nterna y externa, sn
embargo no tenen acceso competo haca a red nterna y tampoco acceso competamente
aberto haca a red externa. Los cortafuegos y dspostvos de encamnamento (routers)
protegen esta zona con funconadades de ftrado de trfco de red.
Dagrama de una Zona Desmtarzada.
Imagen de domno pbco tomada de Wkpeda y modfcada con e Gmp.
4*.*.*. Cue es una 'ed =rivada?
Una 'ed =rivada es aquea que utza dreccones IP estabecdas en e RFC 1918. Es decr,
dreccones IP reservadas para 'edes =rivadas dentro de os rangos 10.0.0.0/8 (desde 10.0.0.0
hasta 10.255.255.255), 172.16.0.0/12 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16
(desde 192.168.0.0 hasta 192.168.255.255).
4*.*.3. Cu es un )AA?
)AA (acrnmo de )etwork Address Aransaton o Traduccn de dreccn de red), tambn
conocdo como enmascaramento de IP, es una tcnca medante a cua as dreccones de orgen
y/o destno de paquetes IP son reescrtas mentras pasan a travs de un dspostvo de
encamnamento (router) o muro cortafuegos. Se utza para permtr a mtpes anftrones en
una 'ed =rivada con dreccones IP para 'ed =rivada para acceder haca una Internet
utzando una soa dreccn IP pbca.
4*.*.4. Cu es un D)AA?
386
D)AA, (acrnmo de Destnaton )etwork Address Aransaton o traduccn de dreccn de red
de destno) es una tcnca medante a cua se hace pbco un servco desde una 'ed =rivada.
Es decr permte redrgr puertos haca dreccones IP de 'ed =rivada. E uso de esta tcnca
puede permtr a un usuaro en Internet acanzar un puerto en una 'ed =rivada (dentro de una
A)) desde e exteror a travs de un encamnador (router) o muro cortafuegos donde ha sdo
habtado un )AA.
4*.3. "#uipamiento lgico necesario.
ptabes: Controa e cdgo de nceo de GNU/Lnux para ftracn de paquetes de
red.
proute: Con|unto de utdades dseadas para utzar as capacdades avanzadas de
gestn de redes de nceo de GNU/Lnux..
shorewa: Shorene Frewa.
Shorewa puede descargarse en formato RPM desde http://www.shorewa.net/.
S dspone de un servdor con Cent0? o 'ed FatG "nterprise inu2 puede utzar e e
amacn YUM de Alcance i!re e|ecutando o sguente:
cd /etc/yum#repos#d/
get !- http7//#alcancelibre#org/al/server/52!Server#repo
cd
E|ecute o sguente para nstaar e paquete s$oreRall:
yum !y install shoreall
4*.4. =rocedimientos.
Este documento asume que se han estudado y apcado os temas descrtos en os documentos
ttuados A"u$te$ po$teriore$ a la in$talacin de Cent.S / y Coniguracin de red en
0!1/*inu(.
4*.4.+. ?$oreRall y ?"inu2.
SELnux mpedr e|ecutar agunos componentes de Shorewa nstaados en >usr e mpedr
acceder haca >sys para obtener nformacn respecto de os dspostvos de red presentes en e
sstema. E sguente procedmento crea una potca que permtr a Shorewa operar
normamente.
Crear e drectoro >usr>s$are>selinu2>pacOages>s$oreRall:
mkdir /usr/share/selinux/packages/shoreall
Cambarse a drectoro >usr>s$are>selinu2>pacOages>s$oreRall:
cd /usr/share/selinux/packages/shoreall
387
Descargar desde Alcance i!re e archvo
$ttp->>RRR.alcanceli!re.org>linu2>secrets>s$oreRall.te:
get http7//#alcancelibre#org/linux/secrets/shoreall#te
Edtar e archvo s$oreRall.te:
vi shore0#)).$e
Verfcar que e archvo s$oreRall.te tenga e sguente contendo:
module shoreall 1#%Y
reJuire c
type shoreall/tY
type usr/tY
type sys"s/tY
class "ile c execute execute/no/trans dY
class dir searchY
class dir getattrY
d
A+++++++++++++ shoreall/t ++++++++++++++
allo shoreall/t usr/t7"ile c execute execute/no/trans dY
allo shoreall/t sys"s/t7dir searchY
allo shoreall/t sys"s/t7dir getattrY
Crear e archvo de mduo s$oreRall.mod a partr de archvo s$oreRall.te:
checkmodule !. !m !o shoreall#mod shoreall#te
Crear e archvo de potca s$oreRall.pp a partr de archvo s$oreRall.mod
semodule/package !o shoreall#pp !m shoreall#mod
Incur a potca a sstema:
semodule !i /usr/share/selinux/packages/shoreall/shoreall#pp
Regrese a drectoro de nco de root.
cd
4*.4.*. Activacin de reenvo de pa#uetes para &=v4.
S se dspone de ms de un dspostvo de red y se requere mpementar un NAT, DNAT y/o SNAT,
es ndspensabe actvar e reenvo de paquetes para IPv4. Edte e archvo >etc>sysctl.conf:
vi /etc/sysctl#con"
A nco de archvo encontrar e sguente contendo:
388
A Hernel sysctl con"iguration "ile "or Red 3at 2inux
A
A >or binary valuesB % is disabledB 1 is enabled# See sysctl(6) and
A sysctl#con"(:) "or more details#
A *ontrols )= packet "orarding
net#ipv4#ip/"orard + %
Cambe e vaor I de net.ipv4.ipUforRard por +:
A Hernel sysctl con"iguration "ile "or Red 3at 2inux
A
A >or binary valuesB % is disabledB 1 is enabled# See sysctl(6) and
A sysctl#con"(:) "or more details#
A *ontrols )= packet "orarding
ne$.%'*4.%'_+or0#r- = 3
Para apcar os cambos e|ecute o sguente:
sysctl !p
Lo anteror devover como sada ago smar a o sguente, donde deber mostrarse que se ha
apcado net.ipv4.ipUforRard con e vaor +:
ne$.%'*4.%'_+or0#r- = 3
net#ipv4#con"#de"ault#rp/"ilter + 1
net#ipv4#con"#de"ault#accept/source/route + %
kernel#sysrJ + %
kernel#core/uses/pid + 1
error7 ,net#bridge#bridge!n"!call!ip6tables, is an unknon key
error7 ,net#bridge#bridge!n"!call!iptables, is an unknon key
error7 ,net#bridge#bridge!n"!call!arptables, is an unknon key
S se carece de nterfaces de red confguradas con IPv6, es norma e nofensvo se muestren os
tres errores mostrados arrba.
4*.4.3. =rocedimiento de configuracin de ?$oreRall.
Se modfcarn os sguentes archvos:
>etc>s$oreRall>s$oreRall.conf: Archvo genera de confguracn de Shorewa. En
este se actva e servco y funcones que se requera utzar.
>etc>s$oreRall>9ones: Se utza para defnr as zonas que utzar e muro
cortafuegos.
>etc>s$oreRall>interfaces: Se utza para defnr cues dspostvos de red
corresponden a una zona de muro cortafuegos en partcuar y as opcones que se
requeran para cada una de stas.
>etc>s$oreRall>mas#: Se utza para defnr cues dspostvos utzar para os
enmascaramentos de dreccones IP.
>etc>s$oreRall>policy: Se utza para defnr as potcas predetermnadas para
cada zona de muro cortafuegos respecto de as dems zonas.
>etc>s$oreRall>rules: Se utza para defnr as regas para apertura de puertos.
389
>etc>s$oreRall>!lacOlist: Se utza para defnr as dreccones IP o boques de
dreccones IP que se desea poner en sta negra.
Shorewa vene nactvo de modo predetermnado. Para actvar e servco edte e archvo
>etc>s$oreRall>s$oreRall.conf:
vi /etc/shoreall/shoreall#con"
Locace a opcn ?AA'A,=U")AB"D, a cua deber tener )o como vaor predetermnado:
S15R1?=/'-5;2'&+-o
Cambe )o por Zes:
S15R1?=/'-5;2'&+Nes
Se requere defnr cues zonas sern gestonadas en e muro cortafuegos. Edte e archvo
>etc>s$oreRall>9ones:
vi /etc/shoreall/Cones
Encontrar que so est defnda a zona fR
con e tpo fireRall:
" "ireall
S dspone de un nco dspostvo de red so podr defnr una zona (net) tpo ipv4:
" "ireall
ne$ %'*4
S dspone de dos dspostvos de red, puede especfcar una segunda zona (loc) tpo ipv4, a cua
puede ser utzada para acceder desde a red de rea oca:
" "ireall
net ipv4
)o& %'*4
S dspone de tres dspostvos de red, puede especfcar una tercera zona (dm9) tpo ipv4, a cua
puede ser utzada para acceder desde a zona des-mtarzada:
" "ireall
net ipv4
loc ipv4
-<B %'*4
Una vez defndas a zonas a utzar en e muro cortafuegos, se debe defnr que dspostvos de
red corresponden a cada zona de muro cortafuegos. Edte e archvo >etc>s$oreRall>interfaces:
390
vi /etc/shoreall/inter"aces
S dspone de un nco dspostvo de red defna e nombre de dspostvo de red a utzar,
auto-deteccn de a dreccn de dfusn (!roadcast) y as opcn !lacOlist para utzar a sta
negra de Shorewa y a opcn d$cp. Esta tma opcn so es necesara s en a nterfaz habr
un cente o servdor DHCP. E nombre de dspostvo de red puede ser eth0, eth1, p1p1, p2p1,
em1, em2, etc., dependendo de a versn de SMBIOS:
ne$ e$h6 -e$e&$ b)#&8)%s$C-h&'
S dspone de un segundo dspostvo de red puede asocar ste a a segunda zona de muro
cortafuegos (loc). Iguamente defna que se auto-detecte a dreccn de dfusn y as opcones
!lacOlist y d$cp s as consdera necesaras.
net eth% detect blacklistBdhcp
)o& e$h3 -e$e&$ b)#&8)%s$C-h&'
S dspone de un tercer dspostvo de red puede asocar ste a a tercera zona de muro
cortafuegos (dm9). Iguamente defna que se auto-detecte a dreccn de dfusn y as opcones
!lacOlist y d$cp s as consdera necesaras. Por o genera as zonas des-mtarzadas
prescnden de servdores DHCP por tratarse de redes desgnadas para ao|ar otros servdores con
dreccn IP esttca.
net eth% detect blacklistBdhcp
loc eth1 detect blacklistBdhcp
-<B e$h/ -e$e&$ b)#&8)%s$
S dspone de un nco dspostvo de red, omta e sguente paso. S dspone de de ms de un
dspostvo de red y se requere habtar e enmascaramento de dreccones IP de un dspostvo
haca otro, edte e archvo >etc>s$oreRall>mas#:
vi /etc/shoreall/masJ
S dspone de dos dspostvos de red, defna en a prmera coumna e dspostvo utzado para
a zona correspondente a a red pbca (net) y en a segunda coumna e dspostvo utzado
por a zona correspondente a a red de rea oca (loc):
e$h6 e$h3
S dspone de tres dspostvos de red, aada otra nea donde se defna en a prmera coumna e
dspostvo utzado para a zona correspondente a a red pbca (net) y en a segunda coumna
e dspostvo utzado por a zona correspondente a a zona des-mtarzada (dm9):
eth% eth1
e$h6 e$h/
391
S adems de tres dspostvos de red se dspone tambn de ms de una dreccn IP en e
dspostvo correspondente a a red pbca, puede confgurar e ?)AA (Source !et(or' Address
Translation, me|or conocdo en os entornos Wndows como Secure !et(or' Address Translation)
para cada una de as zonas que sern enmascaradas. En e sguente e|empo se enmascara todo
e trfco orgnado desde e dspostvo eth1 con a dreccn IP 200.1.2.3 y e trfco provenente
de dspostvo eth2 con a dreccn IP 200.1.2.4.
eth% eth1 /66.3./.
eth% eth8 /66.3./.4
Edte e archvo >etc>s$oreRall>policy
vi /etc/shoreall/policy
S dspone de un so dspostvo de red defna so dos potcas. Una que permta a muro
cortafuegos comuncarse a cuaquer parte y otra que descarte cuaquer paquete provenente de
a zona de red pbca (net) y se guarde btcora de a actvdad generada y etquetada con
D'0=:
" all 5**'=1
ne$ #)) DRO9 %n+o
S dspone de dos dspostvos de red aada una tercera potca que rechace todos os paquetes
provenentes desde a zona correspondente a a red de rea oca (loc) y se guarde btcora de
a actvdad generada y etquetada con '"J"CA:
" all 5**'=1
net all &R0= in"o
)o& #)) REOECT %n+o
S dspone de tres dspostvos de red aada una cuarta potca que rechace todos os paquetes
provenentes desde a zona correspondente a a zona des-mtarzada (dm9) y se guarde
btcora de a actvdad generada y etquetada con '"J"CA:
" all 5**'=1
net all &R0= in"o
loc all R'O'*1 in"o
-<B #)) REOECT %n+o
Edte e archvo >etc>s$oreRall>rules:
vi /etc/shoreall/rules
Deba|o de ?"CA&0) )"] defna una rega que permta e acceso haca e servco de SSH
(puerto 22/TCP) desde cuaquer zona de muro cortafuegos:
S'*1)0- -'4
ACCE9T #)) +0 $&' //
392
S requere habtar ms puertos, puede hacero aadendo neas smares especfcando e
protocoo utzado y e puerto o os puertos requerdos. En e sguente e|empo se habtan os
puertos para FTP, HTTP, HTTPS y e rango de puertos para conexones pasvas para e servco de
FTP.
S'*1)0- -'4
5**'=1 all " tcp 88
ACCE9T #)) +0 $&' /6C/3C86C44C666166=
Defna una rega que permta hacer pngs (puerto 8/ICMP) haca e muro cortafuegos desde
cuaquer zona de muro cortafuegos, sn mportar e puerto de orgen, sn mportar a dreccn IP
de destno y mtando a una tasa de 10 conexones por segundo con rfagas de 5:
S'*1)0- -'4
5**'=1 all " tcp 88
5**'=1 all " tcp 8%B81B6%B44@B@%@%%7@%@%9
ACCE9T #)) +0 %&<' 8 - - 36;se&1!
S dspone de dos dspostvos de red, puede habtar a sada desde a zona correspondente a a
red de rea oca (loc) haca dversos puertos en a zona correspondente a a red pbca (net).
En e sguente e|empo se habta a sada para os puertos 20 (ftp-data), 21 (ftp), 22 (ssh), 25
(smtp), 43 (whos), 53 (dns), 63 (whos++), 80 (http), 110 (pop3), 123 (ntp), 143 (map), 443
(https), 465 (smtps), 587 (submsson), 993 (maps) y 995 (pop3s) por TCP, os puertos 43
(whos), 53 (dns), 63 (whos++) y 123 (ntp) por UDP y os pngs (puerto 8 por ICMP) mtado a
una tasa de 20 conexones por segundo con rfagas de 10:
S'*1)0- -'4
5**'=1 all " tcp 88
5**'=1 all " tcp 8%B81B6%B44@B@%@%%7@%@%9
5**'=1 all " icmp 6 ! ! 1%/sec7:
ACCE9T )o& ne$ $&' /6C/3C86C44
ACCE9T )o& ne$ $&' /!C336C34C45!C!87C==C==!
ACCE9T )o& ne$ $&' 4C!C5C3/
ACCE9T )o& ne$ >-' 4C!C5C3/
ACCE9T )o& ne$ %&<' 8 - - /6;se&136
S dspone de tres dspostvos de red, puede habtar a sada desde a zona correspondente a
a zona des-mtarzada (dm9) haca dversos puertos en a zona correspondente a a red pbca
(net). En e sguente e|empo se habta a sada para os puertos 20 (ftp-data), 21 (ftp), 22
(ssh), 25 (smtp), 43 (whos), 53 (dns), 63 (whos++), 80 (http), 110 (pop3), 123 (ntp), 143 (map),
443 (https), 465 (smtps), 587 (submsson), 993 (maps) y 995 (pop3s) por TCP, os puertos 43
(whos), 53 (dns), 63 (whos++) y 123 (ntp) por UDP y os pngs (puerto 8 por ICMP) mtado a
una tasa de 20 conexones por segundo con rfagas de 10:
393
S'*1)0- -'4
5**'=1 all " tcp 88
5**'=1 all " tcp 8%B81B6%B44@B@%@%%7@%@%9
5**'=1 all " icmp 6 ! ! 1%/sec7:
5**'=1 loc net tcp 8%B81B6%B44@
5**'=1 loc net tcp 8:B11%B14@B46:B:6$B99@B99:
5**'=1 loc net tcp 4@B:@B6@B18@
5**'=1 loc net udp 4@B:@B6@B18@
5**'=1 loc net icmp 6 ! ! 8%/sec71%
ACCE9T -<B ne$ $&' /6C/3C86C44
ACCE9T -<B ne$ $&' /!C336C34C45!C!87C==C==!
ACCE9T -<B ne$ $&' 4C!C5C3/
ACCE9T -<B ne$ >-' 4C!C5C3/
ACCE9T -<B ne$ %&<' 8 - - /6;se&136
Edte e archvo /etc/shorewa/backst:
vi /etc/shoreall/blacklist
Cuaquer dreccn IP o boques de dreccones IP que se aadan a este archvo quedarn
automtcamente en sta negra. E|empos de agunos boques de dreccones asgnados a Afrca
y agunos de os boques de dreccones controados por a mafa rusa:
41#%#%#%/6
196#%#%#%/6
1:4#%#%#%/6
19$#%#%#%/6
98#841#16%#%/19
91#144#1$6#%/88
818#191#%#%/1$
$9#1$1#6%#%/81
A termnar a confguracn, nce e muro cortafuegos e|ecutando o sguente:
service shoreall start
S faa a ncar, sgnfca que hubo errores de sntaxs en cuaquera de os archvos edtados.
Revse e contendo de a btcora de nco de Shorewa e|ecutando o sguente:
tail !6% /var/log/shoreall!init#log
Reace as correccones pertnentes e ntente ncar de nuevo e servco.
4*.4.4. &niciarH detener y reiniciar el servicio s$oreRall.
Para ncar por prmera vez e servco e|ecute o sguente:
service shoreall start
Para rencar e servco s$oreRall o ben hacer que os cambos hechos a a confguracn
surtan efecto, e|ecute o sguente:
394
service shoreall restart
Para detener e servco s$oreRall, e|ecute o sguente:
service shoreall stop
4*.4.5. Agregar el servicio s$oreRall al arran#ue del sistema.
De modo predetermnado e servco s$oreRall vene actvo en os nvees de e|ecucn 2, 3, 4, y
5. S necesta desactvar e servco dureante e sguente nco de sstema, e|ecute o sguente:
chkcon"ig shoreall o""
Para hacer que e servco de s$oreRall quede nuevamente actvo con e sguente nco de
sstema, e|ecute o sguente:
chkcon"ig shoreall on
395
43. Cmo instalar y utili9ar ClamAJ en Cent0?
43.+. &ntroduccin.
43.+.+. Acerca de ClamAJ.
ClamAJ es un con|unto de herramentas antvrus, bre y de cdgo fuente aberto, que tene as
sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.
Cumpe con as especfcacones de fama de estndares =0?&E (=ortabe 0peratng ?ystem
&nterface for UNIE o nterfaz portabe de sstema operatvo para Unx).
Exporacn rpda.
Detecta ms de 720 m vrus, gusanos, troyanos y otros programas macosos.
Capacdad para examnar contendo de archvos ZIP, RAR, Tar, Gzp, Bzp2, MS OLE2, MS Cabnet, MS
CHM y MS SZDD.
Soporte para exporar archvos comprmdos con UPX, FSG y Pette.
Avanzada herramenta de actuazacn con soporte para frmas dgtaes y consutas basadas sobre
DNS.
URL: http://www.camav.net/
camav
camav-update
43.*.+. Creacin del usuario para ClamAJ.
De modo predetermnado, e usuaro para CamAV asgna a travs de os mandatos
fedora(groupadd y fedora(useradd e UID y GID 4 en e sstema. A fn de prevenr un confcto
de UID/GID con otros usuaros y grupos de sstema, se recomenda crear prevamente a grupo y
usuaro correspondentes para CamAV:
groupadd !r clamavupdate
useradd !r !s /sbin/nologin !d /var/lib/clamav !. !c X*lamav database update userX K
!g clamavupdate clamavupdate
43.*.*. &nstalacin a travs de yum.
396
S dspone de un servdor con Cent0? 4 y 5, 'ed FatG "nterprise inu2 4 y 5 o ]$ite Bo2
"nterprise inu2 4 y 5, puede utzar e e depsto yum de Alcance i!re para servdores en
produccn, creando e archvo >etc>yum.repos.d>A(?erver.repo con e sguente contendo:
D52!ServerE
name+52 Server para 'nterprise 2inux Freleasever
mirrorlist+http7//#alcancelibre#org/al/elFreleasever/al!server
gpgcheck+1
gpgkey+http7//#alcancelibre#org/al/52!R=.!H'<
La nstaacn soo requere utzar o sguente:
yum !y install clamav clamav!update
La nstaacn de os paquetes anterores crea automtcamente e usuaro y drectoros
necesaros para un funconamento norma./p>
43.3.+. ?"inu2 y el servicio clamav(milter.
Para que SELnux permta utzar normamente clamscan, utce e sguente mandato:
setsebool != clamscan/disable/trans 1
Para que SELnux permta a mandato fres$clam funconar normamente y que permta
actuazar a base de datos de frmas dgtaes, utce e sguente mandato:
setsebool != "reshclam/disable/trans 1
43.3.*. Configuracin de 8res$clam.
8res$clam es e programa utzado para descargar y mantener actuazada a base de datos de
vrus y otros programas magnos.
E archvo >etc>fres$clam.conf de os paquetes dstrbudos por Alcance i!re ya ncuye as
modfcacones necesaras para permtr e funconamento de mandato fres$clam. Sn embargo,
s se utzan paquetes para Fedora, es necesaro edtar este archvo y comentar o emnar a
nea 9, que ncuye smpemente a paabra ngesa ,4ample y que de otro mod mpedra utzar
e mandato fres$clam:
AA
AA 'xample con"ig "ile "or "reshclam
AA =lease read the "reshclam#con"(:) manual be"ore editing this "ile#
AA
A *omment or remove the line belo#
P EE#<')e
397
E archvo >etc>sysconfig>fres$clam de os paquetes dstrbudos por Alcance i!re ya ncuye
as modfcacones necesaras para permtr a actuazacn automtca de a base de datos de
ClamAJ. S se utzan paquetes de Fedora y a fn de mantener actuazada a base de datos de
frmas dgtaes, es necesaro edtar e archvo >etc>sysconfig>fres$clam con e ob|eto de
permtr as actuazacones automtcas:
AAA TTTTT R'.0(' .' TTTTTT
AAA R'.0(' .'7 ;y de"aultB the "reshclam update is disabled to avoid
AAA R'.0(' .'7 netork access ithout prior activation
P FRESFCLAM_DELAN=-%s#b)e--0#rn P REMO:E ME
De ser necesaro, puede actuazar manuamente y de manera nmedata, a base de datos de
frmas utzando e mandato fres$clam, desde cuaquer termna como root.
"reshclam
E paquete de clamav(update dstrbudo por Alcance i!re y e proyecto Fedora ncuye un
gun de actuazacn automtca de a base de datos de CamAV y que consste en e archvo
>etc>cron.d>clamav(update, e cua, a travs de servco crond, se e|ecuta cada tres horas para
verfcar s hubo cambos en a base de datos.
43.3.3. ,so !<sico del mandato clamscan.
para revsar un archvo sospechoso de estar nfectado, se utza e mandato clamscan sn ms
parmetros:
clamscan /cualJuier/archivo
Para reazar a revsn de un drectoro y todo su contendo, es decr, de manera recursva, se
utza e mandato clamscan con a opcn (r.
clamscan -r /cualJuier/directorio
Para especfcar que os archvos nfectados soo sean movdos a un drectoro de cuarentena, se
utza e mandato clamscan con a opcn ((move especfcando un drectoro que servr como
cuarentena. E drectoro de cuarentena debe de exstr prevamente.
clamscan --<o*e=;-%re&$or%o;-e;&>#ren$en# !r /cualJuier/directorio
Para especfcar que os archvos nfectados sean emnados, se utza a opcn ((remove con e
vaor yes. Esta opcn debe ser utzada con precaucn.
clamscan --re<o*e=yes !r /cualJuier/directorio
a sada de mandato clamscan puede egar a ser muy extensa. S se desea que soo se
muestre a nformacn de os archvos nfectados, se utza e mandato clamscan con a opcn
((infected.
clamscan --%n+e&$e- !!remove+yes !r /cualJuier/directorio
398
Para que e mandato clamscan guarde a nformacn de su actvdad en una btcora en
partcuar, a fn de poder examnar posterormente sta a detae, se puede utzar ste con a
opcn ((log especfcando a ruta de un archvo donde se amacenar a btcora de actvdad.
clamscan --)og=;ho<e;>s>#r%o;&)#<s&#n.)og !!in"ected !!remove+yes !r
/cualJuier/directorio
Para confgurar ClamAJ para ser utzado con un servdor de correo eectrnco con ?endmail,
consutar e documento ttuado Cmo confgurar camav-mter.
399
44. &nstalacin y configuracin de C,=?.
44.+. &ntroduccin.
44.+.+. Acerca de C,=?.
C,=? (Common ,NIX =rntng ?ystem) es un sstema de mpresn para GNU/Lnux y otros
sstemas operatvos basados sobre e estndar POSIX, dstrbudo ba|o os trmnos de a cenca
GNU/GPLv2.
Fue orgnamente desarroado en 1997 por Mchae Sweet, dueo de Easy Software Products,
utzando en ese entonces e protocoo LPD (Lne Prnter Daemon protoco), e cua tena muchas
mtacones tcncas e ncompatbdades entre as dversas marcas de mpresoras, motvo por e
cua se cambo por &== (&nternet =rntng =rotoco). En 2002 C,=? fue ncudo por prmera vez
en Mac OS X, convrtndose en e sstema de mpresn de facto utzado hasta a fecha en ese
sstema operatvo. En febrero de 2007, Apple &nc. contrat como empeado a Mchae Sweet,
comprando adems e cdgo fuente de CUPS.
C,=? se compone de una coa de mpresn con un panfcador, un sstema de ftros para
convertr os datos a formatos que puedan utzar as mpresoras y un sstema que permte
envar estos datos haca a mpresora. Permte adems utzar cuaquer equpo como servdor de
mpresn, a travs de protocoo &==, utzando e puerto 63+>AC=.
Los controadores para C,=? utzan e formato ==D (=ostScrpt =rnter Descrpton),
desarroado por Ado!e ?ystems y que conssten en archvos con extensn *.ppd (o ben
*.ppd.gz cuando evan compresn con e agortmo GZIP), generamente creados y mantendos
por os fabrcantes de mpresoras, os cuaes contenen e cdgo PostScrpt necesaro para
utzar as caracterstcas partcuares de un modeo de mpresora en partcuar. C,=? utza este
formato para todas as mpresoras, ncuso as no-PostScrpt, utzando ftros que redrgen
sadas cuando e caso o requere.
C,=? ncuye adems un con|unto de herramentas para e ntrprete de mandatos que permten
a gestn de traba|os de mpresn.
44.*.+. "n Cent0?H 8edoraG y 'ed Fat "nterpriseG inu2.
S se reaza una nstaacn estndar de Cent0?, 8edora o 'ed Fat "nterprise inu2, C,=?
vene ncudo de modo predetermnado. S se reaza una nstaacn mnma o ben s durante a
nstaacn se excuy e soporte para mpresn, e|ecute o sguente o sguente:
400
yum !y install cups
S se quere que C,=? dsponga de una coeccn competa de controadores para mpresoras,
e|ecute o sguente:
yum !y install "oomatic!db!ppds gutenprint!cups printer!"ilters
S nstaa e paquete cups(pdf, dspondr de una extensn que permtr crear archvos PDF
drectamente desde CUPS.
yum !y install cups!pd"
S se tenen mpresoras mut-funconaes Hewett-Packard, nstae adems e paquete $pi.s.
yum !y install hpiQs
S requere una nterfaz grfca estndar, a cua permta a confguracn y admnstracn fc
de mpresoras y una herramenta que permta descargar automtcamente os controadores que
sean necesaros a travs de =acOageNit, nstae os paquetes system(config(printer y
cups(pO($elper, e|ecutando o sguente:
yum !y install system!con"ig!printer cups!pk!helper
Puede smpfcar todo o anteror e|ecutando o sguente:
yum !y groupinstall print!client print!server
44.*.*. "n open?,?"G y ?,?"G inu2 "nterprise.
La nstaacn estndar de openSUSE y SUSE Enterprse Lnux ncuye cups y todo o necesaro
para confgurar a mayora de as mpresoras compatbes dsponbes. S se reaz una
nstaacn mnma, nstae con yast os paquetes cups, cups(!acOends, cups(client,
foomatic(filters, gutenprint y yast*(printer , e|ecutando o sguente:
yast !i cups cups!backends cups!client "oomatic!"ilters K
gutenprint yast8!printer
E soporte para mpresoras mut-funconaes de FeRlett(=acOard requere adems nstaar os
paquetes 0pen=rinting==Ds($pi.s y $plip($pi.s. E|ecute o sguente:
yast !i 0pen=rinting==&s!hpiQs hplip!hpiQs
A gua que con as otras dstrbucones de GNU/Lnux, s requere una nterfaz grfca estndar,
a cua permta a confguracn y admnstracn fc de mpresoras y una herramenta que
permta descargar automtcamente os controadores que sean necesaros a travs de
=acOageNit, nstae os paquetes system(config(printer y cups(pO($elper, e|ecutando o
sguente:
yast !i system!con"ig!printer cups!pk!helper
401
44.3. &niciar servicio y aadir el servicio al arran#ue del
sistema.
44.3.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
En stos e mtodo estndar para ncar cups es a travs de mandato service, que tambn est
presente en open?,?" y ?,?" inu2 "nterprise.
C,=? es un servco que so es necesaro nstaar e ncar para poder ser utzado. De modo
predetermnado se habta en os nvees de e|ecucn 2, 3, 4 y 5, por o cua es nnecesaro
utzar e mandato c$Oconfig, a menos que sea para desactvar e servco cups en agn de
nve de e|ecucn en partcuar.
E|ecute o sguente para ncar e servco por prmera vez:
service cups start
Cuando e caso o amerte, e|ecute o sguente para rencar e servco:
service cups restart
E|ecute o sguente para detener e servco:
service cups stop
44.3.*. "n open?,?"G y ?,?"G inu2 "nterprise.
S se utza open?,?" o ?,?" inu2 "nterprise, e mtodo estndar es travs de mandato
rccups.
E|ecute o sguente para ncar e servco por prmera vez:
rccups start
Cuando e caso o amerte, e|ecute o sguente para rencar e servco:
rccups restart
E|ecute o sguente para detener e servco:
rccups stop
44.4. ;odificaciones necesarias en el muro cortafuegos.
Para servdores de mpresn, es necesaro abrr en e muro cortafuegos e puerto 631 por AC= y
,D= (&==).
44.4.+. "n Cent0?H 8edoraG y 'ed Fat "nterpriseG inu2.
402
44.4.+.+. ?ystem(config(fireRall.
S utza e muro cortafuegos predetermnado de sstema, puede e|ecutar e sguente mandato:
system!con"ig!"ireall
Habte Cente o Servdor de mpresn en red (IPP) -segn sea e caso- y apque os cambos.
Herramenta system-confg-frewa habtando e puerto 631 por TCP y UDP.
44.4.+.*. ?ervicio ipta!les.
Puede utzar drectamente e mandato ipta!les, e|ecutando o sguente:
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 6@1 !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 6@1 !Q 5**'=1
O ben aada o sguente a archvo >etc>sysconfig>ipta!les:
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 6@1 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 6@1 !Q 5**'=1
Y rence e servco ipta!les:
Para os centes de servdor de mpresn, so es necesaro abrr en e muro cortafuegos e
puerto 631 por ,D= (&==).
Utzado e mandato ipta!les, puede e|ecutar o sguente:
403
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 6@1 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 6@1 !Q 5**'=1
44.4.+.3. ?$oreRall.
S se va a ser servdor de mpresn, as regas para e archvo >etc>s$oreRall>rules
corresponderan a ago smar a o sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp 6@1
5**'=1 all " udp 6@1
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Para os centes de servdor de mpresn, as regas para e archvo >etc>s$oreRall>rules
corresponderan a ago smar a o sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " udp 6@1
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
44.4.*. "n open?,?"G y ?,?"G inu2 "nterprise.
E|ecute e mandato yast de sguente modo:
yast "ireall
Habte Cente o Servdor IPP -segn sea e caso- o ben abra e puerto 631 por TCP y UDP y
apque os cambos.
404
Mduo de cortafuegos de YaST, en modo grfco, habtando e puerto 631 por TCP y UDP.
Mduo de cortafuegos de YaST, en modo texto, habtando e puerto 631 por TCP y UDP.
44.5. Arc$ivos y directorios de configuracin.
>etc>cups>cupsd.conf se utza para confgurar as drectvas y e contro de acceso
de servco cups.
>etc>cups>printers.conf se utza para guardar a confguracn de as coas de
mpresn.
>etc>cups>lpoptions se utza para guardar as opcones de confguracn
especfcas para cada coa de mpresn.
>etc>cups>ppd> corresponde a drectoro donde se guardan os archvos *.ppd
correspondentes a cada coa de mpresn.
>var>spool>cups> corresponde a drectoro utzado para a coa de procesamento
de mpresn. Aqu se encuentran todos os traba|os de mpresn.
405
Arc$ivos de !it<coras.
>var>log>cups>accessUlog se utza para amacenar a btcora de actvdad de
servco cups.
>var>log>cups>errorUlog se utza para amacenar a btcora de errores de servco
cups. Cuando hay probemas con a confguracn o e funconamento de servco,
este es e archvo ndcado para buscar a nformacn necesara para hacer
dagnstcos.
>var>log>cups>pageUlog se utza para amacenar a btcora de traba|os de
mpresn.
=ermitir cone2iones desde anfitriones remotos.
De modo predetermnado, e servco cups so permte conexones desde local$ost-63+. S se
requere compartr as mpresoras con e resto de os sstema de a red de rea oca, se deben
hacer agunas modfcacones en a confguracn.
44.5.+. "n Cent0?H 8edoraG o 'ed Fat "nterpriseG.
La herramenta recomendada es system(config(printer, so dsponbe desde modo grfco.
Habte o sguente desde $ervidor G #onfiguraci/n G 1pciones del $ervidor:
Mostrar mpresoras compartdas con otros sstemas
Pubcar mpresoras compartdas conectadas a este sstema
Permtr a mpresn desde Internet.
406
Opcones de Servdor de system(config(printer.
A termnar, haga cc en e botn Aceptar para que surtan efecto os cambos.
44.5.*. "n open?,?"G o ?,?"G inu2 "nterprise.
La herramenta recomendada es e mduo 0mpresora de Za?A, dsponbe desde modo grfco y
modo termna. Habte o sguente desde e men ,quipo G $istema G Hast G 0mpresora G
#ompartir impresoras:
Permtr acceso remoto
Para equpos en a red oca
Pubcar as mpresoras por defecto en a red oca
407
Mduo de Impresoras de YaST en modo grfco.
Haga cc en e botn Aceptar para que surtan efecto os cambos.
Tambn puede utzar e mduo printer de YaST en modo termna. E|ecute o sguente como
root:
yast printer
Habte o sguente desde $are ?rinters:
Aow remote access
For computers wthn oca network
Pubsh prnters by defaut wthn the oca network
408
Mduo de Impresoras de YaST en modo termna.
Apque os cambos tabuando hasta 1', puse a teca ENTER, espere 20 segundos para que
apquen os cambos y saga de mduo tabuando de nuevo hasta 1' y puse a teca ENTER.
44.5.3. ;odo terminal.
S utza CentOS, Fedora o Red Hat Enterprse Lnux, detenga e servco cups e|ecutando o
sguente:
service cups stop
S utza openSUSE o SUSE Lnux Enterprse, detenga e servco cups e|ecutando o
sguente:
rccups stop
Edte e archvo >etc>cups>cupsd.conf:
vim /etc/cups/cupsd#con"
Locace isten local$ost-63+:
A 0nly listen "or connections "rom the local machine#
L%s$en )o&#)hos$153
Deshabte a opcn aadendo una amohada (smboo j) a nco de a nea y aada deba|o
=ort 63+:
409
A 0nly listen "or connections "rom the local machine#
P L%s$en )o&#)hos$153
A =ermitir acceso remoto
9or$ 53
Locace o sguente:
A Sho shared printers on the local netork#
;rosing 0n
;rose0rder alloBdeny
;rose5llo all
;rose2ocal=rotocols *?=S dnssd
Para habtar a funcn de compartr mpresoras y e acceso a as mpresoras remotas, aada a
opcn BroRse'emote=rotocols con e vaor C,=? y a opcn BroRseAddress con e vaor
i0CA:
A Sho shared printers on the local netork#
;rosing 0n
;rose0rder alloBdeny
;rose5llo all
Bro0seRe<o$e9ro$o&o)s CU9S
Bro0seA--ress KLOCAL
;rose2ocal=rotocols *?=S dnssd
Locace o sguente:
b2ocation /M
0rder alloBdeny
b/2ocationM
Aada AlloR all |usto deba|o de 0rder alloRHdeny:
b2ocation /M
0rder alloBdeny
A))o0 #))
b/2ocationM
Guarde e archvo.
S utza CentOS, Fedora o Red Hat Enterprse Lnux, nce de nuevo e servco cups
service cups start
S utza openSUSE o SUSE Lnux Enterprse, nce de nuevo e servco cups e|ecutando o
sguente:
rccups start
44.6. Aadir o modificar impresoras.
410
En a mayora de as dstrbucones modernas y sempre y cuando se trate de un dspostvo
compatbe, que est soportado por C,=? y que adems dsponga de un controador nstaado en
e sstema, la configuracin de las impresoras es autom<tica. So se requere apagar y
encender de nuevo a mpresora o desconectar y conectar de nuevo sta para que C,=? a
detecte y pueda confgurar sta de manera automtca.
En e caso que sea necesaro, C,=? dspone de una nterfaz de admnstracn, basada sobre
HTTP, dsponbe nmedatamente despus de ncar e servco cups, a travs de
$ttp->>local$ost-63+>admin. Esta nterfaz ncuye un asstente de confguracn para encontrar
y aadr nuevas mpresoras o ben admnstrar as exstentes.
En dstrbucones como Cent0?, 8edora y 'ed Fat "nterprise inu2, esta nterfaz HTTP so
requere utzar a cuenta y cave de acceso de usuaro root de anftrn oca y so est
dsponbe conectndose desde e anftrn oca.
En dstrbucones como open?,?" y ?,?" inu2 "nterprise, se requere utzar e mandato
lppassRd para aadr un usuaro vrtua (se recomenda se denomne cupsadmin)
pertenecente a grupo sys, a fn de poder hacer uso de a nterfaz HTTP.
lppassd !a !g sys cupsadmin
E mandato lppassRd amacenar ste y otros usuaros vrtuaes que se aadan, en e archvo
>etc>cups>passRd.md5.
Interfaz de admnstracn de C,=?.
Para obtener una sta de os modeos de mpresoras soportados por C,=? y cuyos controadores
estn nstaados en e sstema dentro de drectoro >usr>s$are>cups>model, se e|ecuta e
mandato lpinfo con a opcn (m:
lpin"o !m
411
Para aadr o modfcar una mpresora desde e ntrprete de mandatos, se e|ecuta e mandato
lpadmin de sguente modo:
lpadmin !p -ombre !' !v ?R)7//ruta/nombre !m ppd!impresora
Donde:
(p se utza para defnr e nombre que utzar C,=? para a mpresora que se est
aadendo o modfcando.
(" defne que a coa de mpresn est habtada y que estar compartda con otros
anftrones de a red de rea oca. Equvae a e|ecutar os mandatos cupsaccept y
cupsena!le con e nombre de a coa de mpresn como argumento.
(v se utza para defnr e URI (1niform Resource 2dentifier o dentfcador unforme
de recurso) que corresponda a a coa de mpresn.
(m se utza para defnr e archvo *.ppd a utzar, de acuerdo a a nomencatura de
a sta mostrada por e mandato lpinfo (m.
En ugar de a opcn (m, puede utzarse a opcn (= (mayscua) para defnr archvos *.ppd
especfcos que hayan sdo descargados desde 0pen=rinting (antes LnuxPrntng.org).
lpadmin !p -ombre !' !v ?R)7//ruta/nombre != archivo#ppd
Los URI permtdos por C,=? para dspostvos ocaes son: hp, hpfax, scs y usb.
Los URI permtdos por C,=? para mpresoras en red son: beh, http, https, pp, pd, smb y socket.
La confguracn de as mpresoras se guardar en e archvo >etc>cups>printers.conf. S se
requere hacer modfcacones manuaes, este archvo puede modfcarse con edtor de texto so
cuando e servco cups est detendo, pues de otro modo se perdern os cambos reazados
con edtor de texto.
Los archvos *.ppd que se defnan con a nterfaz HTTP de C,=?, a herramenta
system(config(printer o ben e mandato lpadmin, se coparn automtcamente dentro de
drectoro >etc>cups>ppd>.
En e sguente e|empo, se aade y/o modfca a confguracn para una mpresora EPSON
EPL-5900, conectada a anftrn oca por USB, utzando a nomencatura de archvo *.ppd,
mostrada por e mandato lpinfo (m y que corresponde a controador recomendado para este
modeo especfco de mpresora:
lpadmin !p '=2!:9%% !' K
!v usb7//'=S0-/'=2!:9%% K
!m "oomatic7'pson!'=2!:9%%!eplaser#ppd
En e sguente e|empo, se aade y/o modfca a confguracn para a msma mpresora,
conectada a anftrn oca por USB, utzando e archvo ep5900.ppd, descargado desde
0pen=rinting:
lpadmin !p '=2!:9%% !' K
!v usb7//'=S0-/'=2!:9%% K
!= \/&escargas/epl:9%%#ppd
412
En e sguente e|empo, se aade y/o modfca a confguracn para a msma mpresora, pero
conectada en e servdor IPP con dreccn IP 192.168.70.2:
lpadmin !p '=2!:9%% !' K
!v ipp7//198#166#$%#8/printers/'=2!:9%% K
conectada en e servdor SMB (o ben compartda desde un anftrn Wndows) con dreccn IP
192.168.70.2, accedendo como usuaro nvtado:
lpadmin !p '=2!:9%% !' K
!v smb7//servidor/printers/'=2!:9%% K
conectada en e servdor SMB (o ben compartda desde un anftrn Wndows) con dreccn IP
192.168.70.2, accedendo con e usuaro fuano con cave de acceso 123qwe:
lpadmin !p '=2!:9%% !' K
!v smb7//"ulano718@Je[servidor/printers/'=2!:9%% K
En e caso de haber ms de una mpresora confgurada en C,=?, puede estabecerse a
mpresora predetermnada de sstema e|ecutando e mandato lpadmin, con a opcn (d y e
nombre de a coa de mpresn como argumento, como se muestra en e sguente e|empo:
lpadmin !d '=2!:9%%
Para emnar una mpresora de C,=?, se e|ecuta e mandato lpadmin con a opcn (2, usando
como argumento e nombre de a coa de mpresn a emnar.
lpadmin !x '=2!:9%%
44.6.+. Configuracin de opciones de impresin.
Las opcones defndas con e mandato lpoptions se guardan en e archvo >etc>cups>lpoptions.
E mandato lpoptions puede ser utzado tambn por usuaros reguares, pero as opcones
defndas por stos se guardarn en e archvo ^>.cups>lpoptions (Cent0?, 8edoraG o 'ed
FatG "nterprise inu2) o ^>.lpoptions (open?,?"G y ?,?"G inu2 "nterprise) de
usuaro utzado.
Las opcones dsponbes para cada modeo de mpresora pueden consutarse y verfcarse
e|ecutando e mandato lpoptions con a opcn (l.
lpoptions !p '=2!:9%% !l
En e caso de a mpresora EPSON EPL-5900, o anteror mostrar una sada smar a a sguente:
413
=ageSiCe/=age SiCe7 *ustom#4)&13x3')I31 L2etter 54 5: ;: 'nv1% 'nv*: 'nv&2 'nv)S0;: 'nv.onarch
'xecutive 2egal
)nputSlot/=aper Source7 1ray1 1ray8 1ray@ 1ray4 1ray: 1ray6 1ray$ 1ray6 1ray9 1ray1% 1ray11 1ray18
1ray1@ 1ray14 1ray1: L5uto
Resolution/Resolution7 @%%x@%%dpi L6%%x6%%dpi 18%%x18%%dpi
*opies/-umber o" *opies7 L1 8 @ 4 : 6 $ 6 9 1% 11 18 1@ 14 1: 16 1$ 16 19 8% 81 88 8@ 84 8: 86 8$ 86
89 @% @1 @8 @@ @4 @: @6 @$ @6 @9 4% 41 48 4@ 44 4: 46 4$ 46 49 :% :1 :8 :@ :4 :: :6 :$ :6 :9 6% 61 68
6@ 64 6: 66 6$ 66 69 $% $1 $8 $@ $4 $: $6 $$ $6 $9 6% 61 68 6@ 64 6: 66 6$ 66 69 9% 91 98 9@ 94 9: 96
9$ 96 99 1%% *ustom#)-1'I'R
.edia1ype/.edia 1ype7 L=lain 1hick 1rans
&uplex/&ouble!Sided =rinting7 &uplex-o1umble &uplex1umble L-one
.anual/.anual >eed o" =aper7 1rue L>alse
1onerSaving/'conomy .ode7 1rue L>alse
*ollate/0utput 0rder7 1rue L>alse
2andscape/0rientation7 1rue L>alse
R)10""/R)1 *ontrol7 1rue L>alse
La sada se nterpreta de a sguente forma, donde os vaores predetermnados se muestran
|unto con un astersco:
-ombre0pciPn/&escripciPn de la opciPn7 valores Lpredeterminado
E vaor predetermnado para e tamao de pape, en a mayora de os controadores, es A4. En
e sguente e|empo se estabecer que de modo predetermnado se utc tamao carta para e
tamao de pape, en ugar de vaor predetermnado de archvo *.ppd correspondente,
e|ecutando e mandato lpoptions de sguente modo:
lpoptions !p '=2!:9%% !o =ageSiCe+2etter
En e sguente e|empo se estabecer que, de modo predetermnado, esta mpresora utce
tamao carta para e tamao de pape, pero modfcando de vaor predetermnado de archvo
*.ppd correspondente, e cua est dentro de drectoro >etc>cups>ppd>, e|ecutando e mandato
lpadmin de sguente modo:
lpadmin !p '=2!:9%% !o =ageSiCe+2etter
En e sguente e|empo se estabecer que, de modo predetermnado, se utce tamao ofco
para e tamao de pape, en ugar de vaor predetermnado de archvo *.ppd correspondente,
e|ecutando e mandato lpoptions de sguente modo:
lpoptions !p '=2!:9%% !o =ageSiCe+2egal
En e sguente e|empo se estabecer 300x300dp como vaor predetermnado para a resoucn
de as mpresones:
lpoptions !p '=2!:9%% !o Resolution+@%%x@%%dpi
44.7. &mpresin desde el intrprete de mandatos.
E esto S'$te& -, que es e mtodo preferdo, utza e mandato lp con a opcn (d y e
nombre de a coa de mpresn como argumento.
lp !d -ombre*ola archivo#ps
414
Para hacer a mpresn de archvos ocaes en una mpresora remota e|ecutando e mandato lp,
se e|ecuta o anteror con a opcn ($ y e nombre o dreccn IP de servdor como argumento.
lp !d -ombre*ola !h 198#166#$%#8 archivo#ps
E mandato lp permte adems especfcar opcones de mpresn cuando e caso o requera. En
e sguente e|empo se reaza a mpresn de un archvo en una mpresora oca, defnendo
tamao ofco para e tamao de pape:
lp !d -ombre*ola !o =ageSiCe+2egal archivo#ps
E esto 3er)el', que es e mtodo antguo, utza e mandato lpr con a opcn (= (mayscua) y
e nombre de a coa de mpresn como argumento:
lpr != -ombre*ola archivo#ps
Para hacer a mpresn de archvos ocaes en una mpresora remota e|ecutando e mandato lpr,
se e|ecuta o anteror con a opcn (F (mayscua) y e nombre o dreccn IP de servdor como
argumento:
lpr != -ombre*ola !3 198#166#$%#8 archivo#ps
E mandato lpr tambn permte especfcar opcones de mpresn cuando e caso o requera. En
e sguente e|empo se reaza a mpresn de un archvo en una mpresora oca, defnendo
tamao ofco para e tamao de pape:
lpr != -ombre*ola !o =ageSiCe+2egal archivo#ps
44.:. Jerificar estados de las colas de impresin.
Para mostrar e estado de todas as coas de mpresn de sstema, utzando e esto S'$te& -,
e|ecute e mandato lpstat con a opcn (p:
lpstat !p
Para mostrar e estado de una mpresora en partcuar, e|ecute e mandato lpstat con a opcn
(p con e nombre de a coa de mpresn como argumento:
lpstat !p -ombre*ola
Para mostrar e estado de una mpresora en partcuar en un servdor remoto (por e|empo
192.168.70.2), e|ecute e mandato lpstat con a opcn (p con e nombre de a coa de mpresn
como argumento y a opcn ($ con e nombre de servdor o a dreccn IP correspondente
como argumento:
lpstat !p -ombre*ola !h 198#166#$%#8
Para mostrar e estado de todos os traba|os de mpresn pendentes en todas as coas de
mpresn de sstema, e|ecute e mandato lpstat con a opcn (o:
415
lpstat !o
Para mostrar e estado de todos os traba|os de mpresn pendentes en una mpresora en
partcuar, e|ecute e mandato lpstat con a opcn (o con e nombre de a coa de mpresn
como argumento:
lpstat !o -ombre*ola
Para mostrar e estado de una mpresora en partcuar, as como tambn e estado de todos os
traba|os de mpresn pendentes en sta, e|ecute e mandato lpstat con a opcn (p con e
nombre de a coa de mpresn como argumento y a opcn (o con e nombre de a coa de
mpresn como argumento.
lpstat !p -ombre*ola !o -ombre*ola
S se desea nformacn ms detaada, e|ecute e mandato lpstat con a opcn (t:
lpstat !t
S se desea e mxmo de nformacn dsponbe, e|ecute e mandato lpstat con a opcn (t y a
opcn (l:
lpstat !t !l
Para mostrar e estado de todas as coas de mpresn de sstema y os traba|os pendentes,
utzando e esto 3er)ele', e|ecute e mandato lp#:
lpJ
Para mostrar e estado de una mpresora en partcuar, e|ecute e mandato lp# con a opcn (=
(mayscua) con e nombre de a coa de mpresn como argumento:
lpJ !=-ombre*ola
Para mostrar e estado de todos os traba|os de mpresn pendentes en todas as coas de
mpresn de sstema, e|ecute e mandato lp# con a opcn (a:
lpJ !a
44.:.+. Cancelacin de tra!a.os de impresin.
E esto S'$te& - utza e mandato cancel con e nombre de a coa de mpresn y e nmero
de traba|o como argumentos.
cancel -ombre*ola!nSmero
En e sguente e|empo se cancea e traba|o de mpresn 5 en a coa de mpresn EPL-5900:
416
cancel '=2!:9%%!:
Para emnar un traba|o de mpresn en un servdor remoto, a o anteror se e aade a opcn
($ con e nombre o dreccn IP que corresponda como argumento.
cancel !h servidor -ombre*ola!nSmero
En e sguente e|empo se cancea e traba|o de mpresn 5 en a coa de mpresn EPL-5900 en
e servdor 192.168.70.2:
cancel !h 198#166#$%#8 '=2!:9%%!:
E esto 3er)ele' utza e mandato lprm, a opcn (= (mayscua), seguda nmedatamente
de nombre de a coa de mpresn como argumento y e nmero de traba|o de mpresn que se
quere cancear:
lprm !=-ombre*ola -Smero
En e sguente e|empo se cancea e traba|o de mpresn 5 en a coa de mpresn EPL-5900:
lprm !='=2!:9%% :
Para emnar un traba|o de mpresn en un servdor remoto, a o anteror se e aade a opcn
($ con e nombre o dreccn IP que corresponda como argumento.
lprm !h servidor !=-ombre*ola -Smero
En e sguente e|empo se cancea e traba|o de mpresn 5 en a coa de mpresn EPL-5900 en
e servdor 192.168.70.2:
lprm !h 198#166#$%#8 !='=2!:9%% :
417
45. &ntroduccin al protocolo D)?.
Autor: "oel Barrios &ue!a
Correo electrnico: dar)$hra&4g&ail.co&
$itio de Red: http://www.alcancelibre.org/
45.+. "#uipamiento lgico necesario.
Instae os paquetes !ind(utils y .R$ois.
yum !y install bind!utils Qhois
45.*. Conceptos.
45.*.+. Acerca del protocolo D)? PDomain )ame ?ystemQ.
D)? (acrnmo de Doman )ame ?ystem) es una base de datos dstrbuda y |errquca, que
amacena a nformacn necesara para os nombres de domno. Sus usos prncpaes son a
asgnacn de nombres de domno a dreccones IP y a ocazacn de os servdores de correo
eectrnco correspondentes para cada domno. E D)? nac de a necesdad de factar a os
seres humanos e acceso haca os servdores dsponbes a travs de Internet permtendo
hacero por un nombre, ago ms fc de recordar que una dreccn &=.
Los ?ervidores D)? utzan AC= y ,D=, en e puerto 53 para responder as consutas. Cas
todas as consutas conssten de una soa soctud ,D= desde un Cliente D)?, seguda por una
soa respuesta ,D= de servdor. Se reaza una conexn AC= cuando e tamao de os datos de
a respuesta exceden os 512 bytes, ta como ocurre con tareas como transferencia de 9onas.
45.*.*. Cu es un )&C P)etRorO &nformation CenterQ?
)&C (acrnmo de )etwork &nformaton Center o Centro de Informacn sobre a Red) es una
nsttucn encargada de asgnar os nombres de domno en Internet ya sean nombres de
domno genrcos o por pases, permtendo personas o empresas, montar stos de Internet a
travs de un &?=, medante un DNS. Tcncamente exste un )&C por cada pas en e mundo y
cada uno de stos es responsabe por todos os domnos con a termnacn correspondente a su
pas. Por e|empo: NIC Mxco es a entdad encargada de gestonar todos os domnos con
termnacn .m2, a cua es a termnacn correspondente asgnada a os domnos de Mxco.
45.*.3. Cu es un 8CD) P8ully Cualified Domain )ameQ?
8CD) (acrnmo de 8uy Cuafed Doman )ame o Nombre de Domno Penamente Cafcado)
es un Nombre de Domno ambguo que especfca a poscn absouta de nodo en e rbo
|errquco de DNS. Se dstngue de un nombre reguar porque eva un punto a fna.
418
Como e|empo: suponendo que se tene un dspostvo cuyo nombre de anftrn es maquna1
y un domno amado domno.com, e 8CD) sera ma#uina+.dominio.com., as es que se
defne de forma nca a dspostvo mentras que puderan exstr muchos anftrones amados
maquna1, soamente puede haber uno amado ma#uina+.dominio.com.. La ausenca de
punto a fna defnra que se pudera tratar soamente de un pref|o, es decr
ma#uina+.dominio.com pudera ser un domno de otro ms argo como
ma#uina+.dominio.com.m2.
La ongtud mxma de un 8CD) es de 255 bytes, con una restrccn adcona de 63 bytes para
cada etqueta dentro de nombre de domno. Soamente se permten os caracteres A-Z de ASCII,
dgtos y e carcter - (gun medo). Sn dstncn de mayscuas y mnscuas.
Desde 2004, a soctud de varos pases de Europa, exste e estndar &D) (acrnmo de
&nternatonazed Doman )ame) que permte caracteres no-ASCII, codfcando caracteres
1nicode dentro de cadenas de bytes dentro de con|unto norma de caracteres de 8CD). Como
resutado, os mtes de ongtud de os nombres de domno &D) dependen drectamente de
contendo msmo de nombre.
45.*.4. Componentes de D)?.
DNS opera a travs de tres componentes: Centes DNS, Servdores DNS y Zonas de Autordad.
45.*.4.+. Clientes D)?.
Son programas que e|ecuta un usuaro y que generan petcones de consuta para resover
nombres. Bscamente preguntan por a dreccn IP que corresponde a un nombre determnado.
45.*.4.*. ?ervidores D)?.
Son servcos que contestan as consutas reazadas por os Clientes D)?. Hay dos tpos de
servdores de nombres:
?ervidor ;aestro: Tambn denomnado =rimario. Obtene os datos de domno a partr de un
archvo ao|ado en e msmo servdor.
?ervidor "sclavo: Tambn denomnado ?ecundario. A ncar obtene os datos de domno a
travs de un Servdor Maestro (o prmaro), reazando un proceso denomnado transferencia de
9ona.
Un gran nmero de probemas de operacn de servdores DNS se atrbuyen a as pobres
opcones de servdores secundaros para as zona de DNS. De acuerdo a '8C *+:*, e DNS
requere que al menos tres servidores e2istan para todos os domnos deegados (o zonas).
Una de as prncpaes razones para tener al menos tres servidores para cada zona, es
permtr que a nformacn de a zona msma est dsponbe sempre y de forma confabe, haca
os Clientes D)?, a travs de Internet cuando un servdor DNS de dcha zona fae, est fuera de
servco y/o est nacanzabe.
Contar con mtpes servdores tambn facta a propagacin de a zona y me|oran a
efcenca de sstema en genera a brndar opcones a os Clientes D)? s acaso encontraran
dfcutades para reazar una consuta en un ?ervidor D)?. En otras paabras: tener mtpes
servdores para una zona permte contar con redundancia y respaldoH del servicio.
419
Con mtpes servdores, por o genera uno acta como ?ervidor ;aestro o =rimario y os
dems como ?ervidores "sclavos o ?ecundarios. Correctamente confgurados y una vez
creados os datos para una zona, es nnecesaro coparos a cada ?ervidor "sclavo o
?ecundario, pues ste se encargar de transferr os datos de manera automtca cada vez que
sea necesaro.
Los ?ervidores D)? responden dos tpos de consutas:
Consultas &terativas Pno recursivasQ: E cente hace una consuta a ?ervidor D)? y ste e
responde con a me|or respuesta que pueda darse basada sobre su cach o en as zonas ocaes. S es
mposbe dar una respuesta, a consuta se reenva haca otro Servdor DNS reptndose este proceso
hasta encontrar a ?ervidor D)? que tene a bona de Autoridad capaz de resover a consuta.
Consultas 'ecursivas: E ?ervidor D)? asume toda a carga de proporconar una respuesta
competa para a consuta reazada por e Cliente D)?. E ?ervidor D)? desarroa entonces
Consultas &terativas separadas haca otros ?ervidores D)? (en ugar de hacero e Cliente D)?)
para obtener a respuesta soctada.
45.*.4.3. bonas de Autoridad.
Permten a ?ervidor ;aestro o =rimario cargar a nformacn de una zona. Cada bona de
Autoridad abarca a menos un domno y, posbemente, sus sub-domnos, s estos tmos son
mposbes de deegar a otras zonas de autordad.
La nformacn de cada bona de Autoridad es amacenada de forma oca en un archvo en e
?ervidor D)?. Este archvo puede ncur varos tpos de regstros:
Aipo de 'egistro. Descripcin.
A (Address)
Regstro de dreccn que resueve un nombre de un anftrn haca una dreccn
&=v4 de 32 bts.
AAAA
Regstro de dreccn que resueve un nombre de un anftrn haca una dreccn
&=v6 de 128 bts.
C)A;" (Canonca )ame)
Regstro de nombre cannco que hace que un nombre sea aas de otro. Los
domnos con aas obtenen os sub-domnos y regstros DNS de domno orgna.
;E (;a E2changer)
Regstro de servdor de correo que srve para defnr una sta de servdores de
correo para un domno, as como a prordad entre stos.
=A' (=onter)
Regstro de apuntador que resueve dreccones &=v4 haca os nombres anftrones.
Es decr, hace o contraro a regstro A. Se utza en zonas de 'esolucin
&nversa.
)? ()ame ?erver)
Regstro de servdor de nombres, que srve para defnr una sta de servdores de
nombres con autordad para un domno.
?0A (?tart of Authorty)
Regstro de nco de autordad, encargado de especfcar e ?ervidor D)? Maestro
(o Prmaro) que proporconar a nformacn con autordad acerca de un domno
de Internet, dreccn de correo eectrnco de admnstrador, nmero de sere de
domno y parmetros de tempo para a zona.
?'J (?ervce)
Regstros de servcos, encargados de especfcar nformacn acerca de servcos
dsponbes a travs de domno. Protocoos como ?&= (?esson &ntaton =rotoco)
y E;== (E2tensbe ;essagng and =resence =rotoco) sueen requerr regstros
?'J en a zona para proporconar nformacn a os centes.
AEA (Ae2t)
Regstros de texto, encargados de permtr a admnstrador nsertar texto
arbtraramente en un regstro DNS. Este tpo de regstro es muy utzado por os
servdores de stas negras D)?B (D)?-based Backhoe st) para a ftracn de
Spam. Otro e|empo de uso sera e caso de as VPN, donde suee requerrse un
regstro AEA, para defnr una frma dgta que ser utzada por os centes.
Las zonas que se pueden resover son:
bonas de 'eenvo.
Devueven direcciones &= para as bsquedas hechas para nombres 8CD) (8uy Cuafed
Doman )ame).
420
En e caso de domnos pbcos, a responsabdad de que exsta una bona de Autoridad
para cada bona de 'eenvo, corresponde a a autordad msma de domno, es decr quen
est regstrado como autordad de domno a base de datos ]F0&? donde est regstrado
e domno. Ouenes adqueren domnos a travs de un )&C (por e|empo: www.nc.mx), son
quenes deben hacerse cargo de as bonas de 'eenvo ya sea a travs de su propo
?ervidor D)? o ben a travs de os ?ervidores D)? de su &?=.
Savo que se trate de un domno para uso en una red oca, todo domno debe ser prmero
tramtado con un )&C, como requsto para tener derecho ega a utzaro y poder
propagaro a travs de Internet.
bonas de 'esolucin &nversa.
Devueven nombres 8CD) (8uy Cuafed Doman )ame) para as bsquedas hechas para
direcciones &=.
En e caso de segmentos de red pbcos, a responsabdad de que exsta una bona de
Autoridad para cada bona de 'esolucin &nversa, corresponde a a autordad msma de
segmento, es decr, corresponde a quen est regstrado como autordad de boque de
dreccones IP, nformacn que puede ser obtenda a consutar una base de datos ]F0&?.
Los grandes &?= y agunas empresas son quenes se hacen cargo de as bonas de
'esolucin &nversa.
45.*.5. Ferramientas de !1s#ueda y consulta.
45.*.5.+. ;andato $ost.
E mandato $ost es una herramenta smpe para hacer consutas en ?ervidores D)?. Es
utzado para obtener as dreccones IP de os nombres de anftrn y vceversa.
De modo predetermnado, reaza as consutas en os ?ervidores D)? que estn defndos en e
archvo >etc>resolv.conf de anftrn oca, pudendo defnrse de manera opcona cuaquer
otro ?ervidor D)?.
host #alcancelibre#org
Lo anteror reaza una bsqueda en os ?ervidores D)? defndos en e archvo
>etc>resolv.conf de sstema, devovendo como resutado una dreccn IP.
host #alcancelibre#org 6#6#6#6
Lo anteror reaza una bsqueda en os ?ervidor D)? en a dreccn IP 8.8.8.8, devovendo una
dreccn IP como resutado.
45.*.5.*. ;andato dig.
E mandato dig (doman informaton groper) es una herramenta fexbe para reazar consutas
en ?ervidores D)?. Reaza bsquedas y muestra as respuestas que son regresadas por os
servdores que fueron consutados. Debdo a su fexbdad y cardad en a sada, es que a
mayora de os admnstradores utzan dig para dagnostcar probemas de DNS.
421
De modo predetermnado, reaza as bsquedas en os ?ervidores D)? defndos en e archvo
>etc>resolv.conf, pudendo defnrse de manera opcona cuaquer otro ?ervidor D)?. La
sntaxs bsca sera:
dig [servidor dominio#tld 1)=0
Donde servidor corresponde a nombre o dreccn IP de ?ervidor D)? a consutar,
dominio.tld corresponde a nombre de regstro de recurso que se est buscando y A&=0
corresponde a tpo de consuta requerdo (ANY, A, MX, SOA, NS, etc.)
E|empo:
dig [6#6#6#6 alcancelibre#org MX
Lo anteror reaza una bsqueda en e ?ervidor D)? en a dreccn IP 8.8.8.8 para os regstros
;E para e domno alcancelibre.org.
dig alcancelibre#org NS
Lo anteror reaza una bsqueda en os ?ervidores D)? defndos en e archvo
>etc>resolv.conf de sstema para os regstros )? para e domno alcancelibre.org.
dig [6#6#6#6 alcancelibre#org -S
Lo anteror reaza una bsqueda en os ?ervidor D)? en a dreccn IP 8.8.8.8 para os
regstros )? para e domno alcancelibre.org.
45.*.5.3. ;andato .R$ois PR$oisQ.
E mandato .R$ois es una herramenta de consuta a travs de servdores ]F0&?. La sntaxs
bsca es:
Qhois dominio#tld
E|empo:
Qhois alcancelibre#org
Lo anteror regresa a nformacn correspondente a domno alcancelibre.org.
Es necesaro abrr en e muro cortafuegos e puerto 53 (dns), tanto por TCP como UDP.
45.3.+. ?ystem(config(fireRall.
422
Y habte DNS y apque os cambos.
Herramenta system-confg-frewa habtando e puerto 53 por TCP y UDP.
45.3.*. ?ervicio ipta!les.
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport :@ !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport :@ !Q 5**'=1
O ben edte e archvo >etc>sysconfig>ipta!les:
vim /etc/syscon"ig/iptables
Y aada e sguente contendo:
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport :@ !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport :@ !Q 5**'=1
Para apcar os cambos, rence e servco ipta!les:
45.3.3. ?$oreRall.
423
vim /etc/shoreall/rules
Las regas para permtr e acceso a servdor DNS en e anftrn oca corresponderan a ago
smar a o sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp :@
5**'=1 all " udp :@
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
S se desea que os centes de una red de rea oca puedan hacer uso de servdores DNS en
Internet, es necesaro abrr a sada para e puerto 53 (dns), por TCP y UDP.
Las regas para e archvo >etc>s$oreRall>rules de ?$oreRall correspondera a ago smar a o
sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp :@
5**'=1 all " udp :@
5**'=1 loc net tcp :@
5**'=1 loc net udp :@
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Para apcar os cambos, rence e servco s$oreRall:
424
46. Cmo configurar un servidor de nom!res
de dominio PD)?Q
46.+. &ntroduccin.
Es mprescndbe prmero estudar y comprender, os conceptos descrtos en e documento
ttuado &ntroduccin al protocolo D)?.
46.+.+. Acerca de Bind PBerOeley &nternet )ame DomainQ.
B&)D (acrnmo de Berkeey &nternet )ame Doman) es una mpementacn de protocoo DNS y
provee una mpementacn bre de os prncpaes componentes de Sstema de Nombres de
Domno, os cuaes ncuyen:
Un servdor de sstema de nombres de domno (named).
Una bboteca resoutora de sstema de nombres de domno.
Herramentas para verfcar a operacn adecuada de servdor DNS (bnd-uts).
E Servdor DNS BIND es utzado de manera ampa en Internet en aproxmadamente e 99% de
os servdores DNS de mundo, proporconando una robusta y estabe soucn.
=a#uete. Descripcin.
!ind Incuye e ?ervidor D)? (named) y herramentas para verfcar su funconamento.
!ind(li!s
Bbotecas compartdas, que conssten en rutnas para apcacones para utzarse cuando se
nteracte con ?ervidores D)?.
!ind(c$root
Contene un rbo de archvos que puede ser utzado como una |aua croot para named
aadendo segurdad adcona a servco.
!ind(utils Coeccn de herramentas para consutar ?ervidores D)?.
cac$ing(nameserver
Archvos de confguracn que harn que e ?ervidor D)? acte como un cach para e servdor
de nombres. Este paquete desaparece en Cent0? 6 y 'ed FatG "nterprise inu2 6, pues su
contendo se ncorpor en e paquete prncpa de !ind.
S se utza Cent0? 6 o 'ed FatG "nterprise inu2 6, se puede nstaar Bind [.: utzando o
sguente:
yum !y install bind bind!chroot bind!utils
425
S se utza Cent0? 5 o 'ed FatG "nterprise inu2 5 se puede nstaar Bind [.3.6 utzando
o sguente:
yum !y install bind bind!chroot bind!utils caching!nameserver
S se utza Cent0? 5 o 'ed FatG "nterprise inu2 5, tambn puede nstaar, aunque de
manera opcona, Bind [.7, e cua ncuye soporte para D)??"C, utzando o sguente:
yum remove bind!libs bind!utils bind bind!chroot caching!nameserver
yum !y install bind9$ bind9$!chroot bind9$!utils
46.*.*. A.ustes para Bind [.7 y versiones posteriores.
En os sstemas operatvos que utcen Bnd 9.7 y versones posterores, para poder hacer uso de
paquete !ind(c$root, se requere generar a frma dgta de 512 bts (e vaor predetermnado
es 128 bts) para e servdor. E|ecute o sguente:
rndc!con"gen !a !r /dev/urandom !b :18 !c /etc/rndc#key
Cambe as pertenencas para que este archvo sea propedad de usuaro y grupo named:
chon named7named /etc/rndc#key
Asegure que os permsos de acceso sean ectura y escrtura para usuaro, so ectura para
grupo y nada para otros, es decr un permso 640 (rw-r-----):
chmod 64% /etc/rndc#key
Mueva os componentes de paquete !ind haca as rutas correspondentes dentro de drectoro
>var>named>c$root, para uego generar os enaces smbcos correspondentes, os cuaes
sern utzados por as herramentas de confguracn como system(config(!ind o ben
]e!min.
Cambe haca e drectoro >var>named:
cd /var/named
E|ecute o sguente:
"or " in named#L data dynamic slaves
do
mv F" #/chroot/var/named/
ln !s /var/named/chroot/var/named/F" #/
done
Cambe haca e drectoro >etc:
cd /etc
E|ecute o sguente:
426
"or " in named#L rndc#key
do
mv F" /var/named/chroot/etc/
ln !s /var/named/chroot/etc/F" #/
done
Regrese a drectoro de nco de root.
cd /root
46.3.+. ?"inu2 y el servicio named.
A medados de 2008, Common Vunerabtes and Exposures Lst y US-CERT, reportaron que e
nvestgador Dan NaminsOy descubr una vunerabdad que afectaba a varas
mpementacones de D)? (BIND 8 y 9 antes de 9.5.0-P1, 9.4.2-P1 y 9.3.5-P1; Mcrosoft DNS en
todas as versones de Wndows 2000 SP4, XP SP2 y SP3, as como Server 2003 SP1 y SP2).
Esta vunerabdad permte a cuaquer atacante remoto e poder fasfcar trfco DNS a travs
de certas tcncas de contamnacn de cache en servdores que reazan resoucn recursva
(es decr cuando se usa a opcn allo(<recursion aberta a todo e mundo, como ocurre en os
servdores DNS pbcos) y se reacona a nsufcente aeatoredad de as dentdades de
transaccn y de os puertos de orgen. Es decr, una vunerabdad de entropa de nsufcenca
de zcaos (soc'ets) de DNS (conocdo como D)? &nsufficient ?ocOet "ntropy Julnera!ility).
A travs de esta vunerabdad un atacante puede contamnar e cache de un servdor DNS y
hacer que os centes se conecten haca dreccones fasas. Es mportante acarar que en readad
se trata de una vunerabdad en e dseo de protocoo DNS.
SELnux protege cas por competo a servco named contra a vunerabdad anterormente
descrta. Es por ta motvo que es mportante utzar SELnux.
A fn de que SELnux permta a servco named traba|ar con permsos de escrtura para zonas
maestras, es decr un esquema de servdor maestro con servdores escavos o ben como servdor
DNS dnmco, utce e sguente mandato:
setsebool != named/rite/master/Cones 1
Lo anteror apca para Cent0? 5 y 6 y 'ed Fat "nterprise inu2 5 y 6.
)ota.
So para Cent0? 5 y 'ed Fat "nterprise inu2 5: Para defnr que se desactve a proteccn de
SELnux para e servco named, hacendo que todo o anterormente descrto en esta seccn perda
sentdo y que e servdor sea parcamente suscepti!le a la vulnera!ilidad descu!ierta por
NaminsOi, utce e sguente mandato:
setsebool != named/disable/trans 1
S reaza e procedmento anteror, es mportante confgurar a funcn de consutas recursvas
excusvamente para redes en a que se confe penamente.
Esta potca, a gua que otras smares, fue emnada en Cent0? 6 y 'ed Fat "nterprise inu2 6.
427
Cuaquer archvo de zona que se vaya a utzar a travs de servco named, debe contar con os
contextos de SELnux de usuaro de sstema (systemUu), ro de ob|eto (o!.ectUr) y tpo zona de
servco named (namedU9oneUt).
En e sguente e|empo se utza e mandato c$con para cambar os contextos de archvo
denomnado mi(dominio.9one, con e fn de defnr os contextos de SELnux que requere ste:
cd /var/named/chroot/var/named/data/
chcon !u system/u !r obQect/r !t named/Cone/t mi!dominio#Cone
Lo anteror soamente es necesaro s e archvo mi(dominio.9one fue creado fuera de drectoro
>var>named>c$root>var>named>data> y fue movdo haca este tmo.
)ota.
S se utza Cent0? 5 o 'ed FatG "nterprise inu2 5 y se va a confgurar un DNS dnmco, SELnux
mpedr crear os archvos Y..nl (journal, archvos de regstro por daro) correspondentes. Las zonas de
DNS dnmcas deben ser amacenadas en drectoros especfcos que soamente contengan zonas
dnmcas. Se debe crear e drectoro >var>named>c$root>var>named>dynamic para ta fn ,y
confgurar ste para qu pertenezca a usuaro y grupo, named y tenga permsos de ectura, escrtura y
e|ecucn para e usuaro y grupo named (770) y tenga os contextos de SELnux de usuaro de sstema
(systemUu), ro de ob|eto (o!.ectUr) y tpo cache de servco named (namedUcac$eUt), con e fn de
permtr escrtura en este drectoro.
cd /var/named/chroot/var/named/
mkdir dynamic/
chmod $$% dynamic/
chon named7named dynamic/
chcon !u system/u !r obQect/r !t named/cache/t dynamic/
Este drectoro vene ncudo en a nstaacn estndar de Bind [.7 en Cent0? 6 o 'ed FatG
"nterprise inu2 6, por o cua es nnecesaro reazar e procedmento anteror con estos sstemas
operatvos.
46.3.*. Configuracin mnima para el arc$ivo >etc>named.conf.
Puede descargar un archvo panta desde AcanceLbre.org, e|ecutando o sguente:
cd /var/named/chroot/etc/
mv named#con" named#con"#original
get http7//#alcancelibre#org/linux/secrets/named#con"
restorecon named#con"
cd
Edte e archvo >etc>named.conf:
vim /etc/named#con"
La confguracn mnma de este archvo y a cua permtr utzar e servco para todo tpo de
uso, es a sguente:
428
options c
directory ,/var/named,Y
dump!"ile ,/var/named/data/cache/dump#db,Y
statistics!"ile ,/var/named/data/named/stats#txt,Y
memstatistics!"ile ,/var/named/data/named/mem/stats#txt,Y
+or0#r-ers Q
8.8.8.8R
8.8.4.4R
SR
+or0#r- +%rs$R
-nsse&-en#b)e yesR
-nsse&-*#)%-#$%on yesR
-nsse&-)oo8#s%-e #>$oR
b%n-8eys-+%)e ";e$&;n#<e-.%s&-)*.8ey"R
dY
)ogg%ng Q
&h#nne) -e+#>)$_-eb>g Q
+%)e "-#$#;n#<e-.r>n"R
se*er%$y -yn#<%&R
SR
SR
controls c
inet 18$#%#%#1 allo c 18$#%#%#1Y d keys c ,rn-&-8ey,Y dY
dY
include ,/etc/rndc#key,Y
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
include ,/etc/named#r"c1918#Cones,Y
Bone "." ?N Q
$y'e h%n$R
+%)e "n#<e-.&#"R
SR
dY
Lo anteror defne como opcones que e drectoro predetermnado ser >var>named (ruta
reatva a >var>named>c$root), defne un archvo donde se amacena a nformacn de cach
en >var>named>data>cac$eUdump.d!; un archvo de estadstcas en
>var>named>data>namedUstats.t2t, un archvo de estadstcas especfcas en o concernente a
uso de a memora en >var>named>data>namedUmemUstats.t2t; consutas recursvas
permtdas soamente a 127.0.0.1 y 192.168.1.0/24, se defnen como e.emplos de servdores
DNS para reenvar consutas a :.:.:.: y :.:.4.4, que corresponden a os servdores DNS
pbcos de Googe, os cuaes puede reempla9ar por los servidores D)? del proveedor de
acceso a &nternet utili9ado); se defne que a prmera opcn a reazar una consuta ser
reenvar a os DNS que se acaban de defnr; se ncuyen os archvos de confguracn
>etc>named.rfc+[+*.9ones, que corresponde a as zonas de '8C +[+* y a frma dgta nca
que se gener automtcamente tras nstaar e paquete bnd; Se defne que os controes se
reazan soamente desde 127.0.0.1, haca 127.0.0.1, utzando a frma dgta nca; Se defne
que se utzar DNSSEC, utzando a frma dgta ocazada en e archvo
>etc>named.iscdlv.Oey.
429
Tome en consderacn que os cambos en Cent0? 6 y 'ed FatG "nterprise inu2 6 respecto
de Cent0? 5 y 'ed FatG "nterprise inu2 5, conssten en que se utza rndc(Oey en ugar de
rndcOey en a confguracn de a frma dgta, se aaden as neas correspondentes a a
confguracn de D)??"C, se aade confguracn para e regstro en btcora y a zona de os
servdores raz va separada de archvo named.rfc+[+*.9ones. Cent0? 5 y 'ed FatG
"nterprise inu2 5 puede utzar exactamente a msma confguracn nstaando os paquetes
!ind[7, !ind[7(c$root, !ind[7(li!s y !ind[7(utils (desaparece e paquete
cac$ing(nameserver, cuyo contendo se ntegr a paquete !ind[7).
Convene asegurarse que e archvo >etc>named.conf tenga os contextos correspondentes para
SELnux a fn de evtar potencaes probemas de segurdad.
chcon !u system/u !r obQect/r !t named/con"/t /var/named/chroot/etc/named#con"
46.3.3. =reparativos para aadir dominios.
Ideamente se deben defnr prmero os sguente datos:
1. Domno a resover.
2. Servdor de nombres prncpa (SOA). kste de!e ser un nom!re #ue ya est
plenamente resueltoH y debe ser un 8CD) (8uy Cuafed Doman )ame).
3. Lsta de todos os servdores de nombres (NS) que se utzarn para efectos de
redundanca. kstos de!en ser nom!res #ue ya estn plenamente resueltos y
deben ser adems 8CD) (8uy Cuafed Doman )ame).
4. Cuenta de correo de admnstrador responsabe de esta zona. Dic$a cuenta de!e
e2istir y de!e ser independiente de la misma 9ona #ue se est< tratando de
resolver.
5. A menos un servdor de correo (MX), con un regstro A, nunca C)A;".
6. IP predetermnada de domno.
7. Sub-domnos dentro de domno (www, ma, ftp, ns, etc.) y as dreccones IP que
estarn asocadas a stos.
Es mportante tener ben en caro que os puntos 2, 3 y 4, nvoucran datos que de!en e2istir
previamente y estar penamente resuetos por otro servdor DNS; Lo anteror quere decr que
|ams se deben utzar datos que sean parte o dependan, de msmo domno que se pretende
resover. De gua modo, e servdor donde se mpementar e D)? deber contar con un
nombre 8CD) y que est preva y penamente, resueto en otro DNS.
Como rega genera, se generar una zona de reenvo por cada domno sobre e cua se tenga
autordad pena y absouta y se generar una zona de resoucn nversa por cada red sobre a
cua se tenga pena y absouta autordad. Es decr, s se es e propetaro de domno
2cualquiercosa.com3, se deber generar e archvo de zona correspondente, con e fn de
resover dcho domno. Por cada red con dreccones IP prvadas, sobre a cua se tenga contro y
absouta autordad, se deber generar un archvo de zona de resoucn nversa a fn de resover
nversamente as dreccones IP de dcha zona.
Reguarmente a resoucn nversa de as dreccones IP pbcas es responsabdad de os
proveedores de servco ya que son stos quenes tenen a autordad pena y absouta sobre
dchas dreccones IP.
Todos os archvos de zona deben pertenecer a usuaro named a fn de que e servco named
pueda acceder a stos o ben modfcar stos en e caso de tratarse de zonas escavas.
46.3.4. Creacin de los arc$ivos de 9ona.
430
Los sguentes corresponderan a os contendos para os archvos de zona requerdos para a red
oca y por e NIC con e que se haya regstrado e domno. Cabe seaar que en as zonas de
reenvo sempre se especfca a menos un regstro ?0A y un regstro )?. De manera opcona y
en caso de que exsta un servco de correo eectrnco, aada a menos un regstro ;E (Ma
Exchanger o ntercambador de correo). Soamente necestar susttur nombres y dreccones IP
y quz aadr nuevos regstros para compementar su red oca.
46.3.4.+. Configuracin mnima para >var>named>c$root>etc>named.conf en
Cent0? 5 y 'ed FatG "nterprise inu2 5.
La confguracn mnma de archvo >var>named>c$root>etc>named.conf y que permtr
utzar e servco para todo tpo de uso, es a sguente:
options c
+or0#r-ers Q
8.8.8.8R
8.8.4.4R
SR
+or0#r- +%rs$R
dY
controls c
inet 18$#%#%#1 allo c 18$#%#%#1Y d keys c ,rn-&8ey,Y dY
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
dY
Lo anteror defne como opcones que e drectoro predetermnado ser >var>named (ruta
reatva a >var>named>c$root), defne un archvo donde se amacena a nformacn de cach
en >var>named>data>cac$eUdump.d!; un archvo de estadstcas en
>var>named>data>namedUstats.t2t, un archvo de estadstcas especfcas en o concernente a
uso de a memora en >var>named>data>namedUmemUstats.t2t; consutas recursvas
permtdas soamente a 127.0.0.1 y 192.168.1.0/24; se defnen como e.emplos de servdores
DNS para reenvar consutas a :.:.:.: y :.:.4.4, que corresponden a servdores DNS pbcos de
Googe, os cuaes puede reempla9ar por los servidores D)? del proveedor de acceso a
&nternet utili9ado; se defne que a prmera opcn a reazar una consuta ser reenvar a os
DNS que se acaban de defnr; se ncuyen os archvos de confguracn
>etc>named.rfc+[+*.9ones, que corresponde a as zonas de '8C +[+* y a frma dgta nca
que se gener automtcamente tras nstaar e paquete bnd; Se defne tambn que os
controes se reazan soamente desde 127.0.0.1, haca 127.0.0.1, utzando a frma dgta nca.
431
Convene asegurarse que e archvo >var>named>c$root>etc>named.conf tenga os contextos
correspondentes para SELnux a fn de evtar potencaes probemas de segurdad.
chcon !u system/u !r obQect/r !t named/con"/t /var/named/chroot/etc/named#con"
46.3.4.*. ".emplo de bona de reenvo red local
>var>named>c$root>var>named>data>red(local.9one.
F112 664%%
[ )- S05 dns#red!local# alguien#gmail#com# (
8%%9%91%%1Y nSmero de serie
866%% Y tiempo de re"resco
$8%% Y tiempo entre reintentos de consulta
6%46%% Y tiempo tras el cual expira la Cona
664%% Y tiempo total de vida
)
[ )- -S dns#red!local#net#
[ )- .X 1% mail
[ )- 1X1 ,v+sp"1 a mx !all,
[ )- 5 198#166#1#1
intranet )- 5 198#166#1#1
maJuina8 )- 5 198#166#1#8
maJuina@ )- 5 198#166#1#@
maJuina4 )- 5 198#166#1#4
)- 5 198#166#1#1
mail )- 5 198#166#1#1
"tp )- *-5.' intranet
dns )- *-5.' intranet
46.3.4.3. bona de resolucin inversa red local
>var>named>c$root>var>named>data>+.+6:.+[*.in(addr.arpa.9one
F112 664%%
[ )- S05 dns#red!local# alguien#gmail#com# (
8%%9%91%%1 Y nSmero de serie
)
[ )- -S dns#red!local#
1 )- =1R intranet#red!local#
8 )- =1R maJuina8#red!local#
@ )- =1R maJuina@#red!local#
4 )- =1R maJuina4#red!local#
46.3.4.4. bona de reenvo del dominio
>var>named>c$root>var>named>data>dominio.com.9one
Suponendo que hpottcamente se es a autordad para e domno Ldominio.comM, se puede
crear una bona de 'eenvo con un contendo smar a sguente:
432
F112 664%%
[ )- S05 +,-n.-o<%n%o.$)-. alguien#gmail#com#
(
8%%9%91%%1Y nSmero de serie
)
[ )- -S +,-n.-o<%n%o.$)-.
[ )- .X 1% mail
[ )- 1X1 ,v+sp"1 a mx !all,
[ )- 5 8%1#161#1#886
servidor )- 5 8%1#161#1#886
)- 5 8%1#161#1#886
mail )- 5 8%1#161#1#886
"tp )- *-5.' servidor
dns )- *-5.' servidor
46.3.4.5. bona de resolucin inversa del dominio
>var>named>c$root>var>named>data>+.+6+.*I+.in(addr.arpa.9one
Suponendo que hpottcamente se es a autordad para e segmento de red *I+.+6+.+.I>*4
(reguarmente o debe de hacer e proveedor de servco de acceso haca Internet), se puede
crear una bona de 'esolucin &nversa con un contendo smar a sguente:
F112 664%%
[ )- S05 +,-n.-o<%n%o.$)-. alguien#gmail#com#
(
8%%9%91%%1 Y nSmero de serie
)
[ )- -S +,-n.-o<%n%o.$)-.
1 )- =1R servidor#dominio#com#
8 )- =1R maJuina8#dominio#com#
@ )- =1R maJuina@#dominio#com#
4 )- =1R maJuina4#dominio#com#
Cada vez que haga agn cambo en agn archvo de zona, deber cambar e nmero de sere a
fn de que tomen efecto os cambos de nmedato cuando se rence e servco named, ya que
de otro modo tendra que rencar e equpo, ago poco convenente.
Las zonas de resoucn nversa que nvoucran dreccones IP pbcas son responsabdad de os
ISP (proveedores de servco de acceso haca Internet). Crear una zona de resoucn nversa sn
ser a autordad de dcha zona tene efecto so para quen use e servdor DNS recn
confgurado como nco DNS.
46.3.4.6. Configuracin de par<metros en el arc$ivo >etc>named.conf
433
options c
+or0#r-ers Q
8.8.8.8R
8.8.4.4R
SR
+or0#r- +%rs$R
dnssec!enable yesY
dnssec!validation yesY
dnssec!lookaside autoY
bindkeys!"ile ,/etc/named#iscdlv#key,Y
dY
logging c
channel de"ault/debug c
"ile ,data/named#run,Y
severity dynamicY
dY
dY
controls c
inet 18$#%#%#1 allo c 18$#%#%#1Y d keys c ,rndc!key,Y dY
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Bone "re--)o&#)" Q
$y'e <#s$erR
+%)e "-#$#;re--)o&#).Bone"R
#))o0->'-#$e Q noneR SR
dY
Bone "3.358.3=/.%n-#--r.#r'#" Q
$y'e <#s$erR
+%)e "-#$#;3.358.3=/.%n-#--r.#r'#.Bone"R
#))o0->'-#$e Q noneR SR
dY
dY
46.3.5. ?eguridad adicional en D)? para uso p1!lico.
434
Ouenes hayan utzado en recentes fechas os servcos de DNS Report, habrn notado que e
dagnstco en nea devueve ahora un error que, en resumen, ndca que e servdor puede ser
susceptbe de sufrr/partcpar en un ataque DDo? (Dstrbuted Dena of ?ervce o denegacn
de servco dstrbudo).
Un DDo? (Dstrbuted Dena of ?ervce) es una ampacn de ataque Do?, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
masva, ampfcar e voumen de saturacn de nformacn (flood), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca
se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a
tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar
daos seros a personas con escaso conocmento tcnco.
La faa reportada por a herramenta en nea de DNS Report, para un servdor DNS que permte
consutas recursvas, ndcar ago como o sguente:
2,@@1@) 1ne or more of your nameservers reports tat it is an open &:$ server. Tis usually means tat anyone in te (orld can query it for
domains it is not autoritative for Bit is possible tat te &:$ server advertises tat it does recursive loo'ups (en it does not, but tat souldnIt
appenD. Tis can cause an e4cessive load on your &:$ server. Alos, it is strongly discouraged to ave a &:$ server be bot autoritative for your
domain and be recursive Beven if it is not openD, due to te potential for cace poisoning B(it no recursion, tere is no cace, and it is impossible
to poison itD. Alos, te bad guys could use your &:$ server as part of an attac', by forging teir 0? address3
Sgnfca que e servdor DNS puede permtr a cuaquera reazar consutas recursvas. S se trata
de un DNS que se desea pueda ser consutado por cuaquera, como puede ser e caso de DNS
de un ISP, esto es norma y esperado. S se trata de un servdor que so debe consutar a red
oca o ben que se utza para propagar domnos ao|ados de manera oca, s es convenente
tomar meddas a respecto.
Soucn a probema es modfcar e archvo named.conf, donde se aade en a seccn de vsta
oca (vew "oca") a opcn recursion yese y una o ms neas que defnan a a red o as redes
que tendrn permtdo reazar todo tpo de consutas.
435
options c
"orarders c198#166#%#1Y dY
"orard "irstY
dnssec!enable yesY
dY
logging c
severity dynamicY
dY
dY
controls c
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
dY
Lo anteror hace que so se puedan reazar consutas recursvas en e DNS desde 127.0.0.0/8,
10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de domno ao|ado de
manera oca y otros domnos resuetos en otros servdores (e|empo: www.yahoo.com,
www.googe.com, www.acancebre.org, etc). E resto de mundo so podr reazar consutas
sobre os domnos ao|ados de manera oca y que estn confgurado para permtro.
En a sguente confguracn de e|empo, se pretende ograr o sguente:
Red Loca: cuaquer tpo de consuta haca domnos externos y ocaes (es decr, www.yahoo.com,
www.googe.com, acancebre.org, adems de &ido&inio.co&).
Resto de mundo: so puede hacer consutas para a zona de &ido&inio.co&
De este modo se mpde que haya consutas recursvas y con esto mpedr a posbdad de
sufrr/partcpar de un ataque DDoS.
436
options c
"orard "irstY
dnssec!enable yesY
dY
logging c
severity dynamicY
dY
dY
controls c
dY
vie ,publico, c
match!clients c anyY dY
recursion noY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,midominio.com, c
type masterY
"ile ,data/midominio.com#Cone,Y
allo!update c noneY dY
allo!trans"er c 8%%#$6#16:#8:8Y 8%%#$6#16:#8:1Y dY
dY
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,miredlocal, c
type masterY
"ile ,data/miredlocal#Cone,Y
allo!trans"er c 198#166#%#8Y dY
dY
dY
437
Un DDo? (Dstrbuted Dena of ?ervce) es una ampacn de ataque Do?, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
masva, ampfcar e voumen de saturacn de nformacn (food), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca
se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a
tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar
daos seros a personas con escaso conocmento tcnco.
La faa reportada por a herramenta en nea de DNS Report, para un servdor DNS que permte
consutas recursvas, ndcar ago como o sguente:
2,@@1@) 1ne or more of your nameservers reports tat it is an open &:$ server. Tis usually means tat anyone in te (orld can query it for
domains it is not autoritative for Bit is possible tat te &:$ server advertises tat it does recursive loo'ups (en it does not, but tat souldnIt
appenD. Tis can cause an e4cessive load on your &:$ server. Alos, it is strongly discouraged to ave a &:$ server be bot autoritative for your
domain and be recursive Beven if it is not openD, due to te potential for cace poisoning B(it no recursion, tere is no cace, and it is impossible
to poison itD. Alos, te bad guys could use your &:$ server as part of an attac', by forging teir 0? address3
Sgnfca que e servdor DNS puede permtr a cuaquera reazar consutas recursvas. S se trata
de un DNS que se desea pueda ser consutado por cuaquera, como puede ser e caso de DNS
de un ISP, esto es norma y esperado. S se trata de un servdor que so debe consutar a red
oca o ben que se utza para propagar domnos ao|ados de manera oca, s es convenente
tomar meddas a respecto.
Soucn a probema es modfcar e archvo named.conf, donde se aade en a seccn de vsta
oca (vew "oca") a opcn recursion yese y una o ms neas que defnan a red o as redes
que tendrn permtdo reazar todo tpo de consutas.
438
options c
"orarders c 198#166#$%#1Y dY
"orard "irstY
dnssec!enable yesY
dY
logging c
severity dynamicY
dY
dY
controls c
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
dY
Lo anteror hace que so se puedan reazar todo tpo de consutas en e DNS desde 127.0.0.0/8,
10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de domno ao|ado de
manera oca y otros domnos resuetos en otros servdores (e|empo: (((.yaoo.com,
(((.google.com, (((.alcancelibre.org, etc). E resto de mundo so podr reazar consutas
sobre os domnos ao|ados de mane|a oca y que estn confgurado para permtro.
En a sguente confguracn de e|empo, se pretende ograr o sguente:
Red Loca: cuaquer tpo de consuta haca domnos externos y ocaes (es decr,
www.yahoo.com, www.googe.com, acancebre.org, adems de &ido&inio.co&).
Resto de mundo: so puede hacer consutas para a zona de &ido&inio.co&
De este modo se mpde que haya consutas recursvas y con esto mpedr a posbdad de
sufrr/partcpar de un ataque DDoS.
439
options c
"orard "irstY
dnssec!enable yesY
dY
logging c
severity dynamicY
dY
dY
controls c
dY
vie ,publico, c
recursion noY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,midominio.com, c
type masterY
"ile ,data/midominio.com#Cone,Y
allo!trans"er c 8%4#1@#849#$:Y 8%6#$6#69#$:Y 91#196#88#$:Y dY
dY
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,miredlocal, c
type masterY
"ile ,data/miredlocal#Cone,Y
allo!trans"er c 198#166#%#8Y dY
dY
dY
440
46.3.6. ?eguridad adicional en D)? para uso e2clusivo en red local.
S se va a tratar de un servdor de nombres de domno para uso excusvo en red oca y se
queren evtar probemas de segurdad de dferente ndoe, puede utzarse e parmetro
alloR(#uery, e cua servr para especfcar que so certas dreccones podrn reazar
consutas a servdor de nombres de domno. Se pueden especfcar drectamente dreccones IP,
redes competas o stas de contro de acceso que debern defnrse antes de cuaquer otra cosa
en e archvo >etc>named.conf.
46.3.6.+. Arc$ivo >etc>named.conf
441
options c
directory ,/var/named/,Y
"orarders c
6#6#6#6Y
6#6#4#4Y
dY
"orard "irstY
dnssec!enable yesY
dY
logging c
severity dynamicY
dY
dY
controls c
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,red!local, c
type masterY
"ile ,data/red!local#Cone,Y
dY
Cone ,1#166#198#in!addr#arpa, c
type masterY
"ile ,data/1#166#198#in!addr#arpa#Cone,Y
dY
dY
46.3.7. as 9onas esclavas.
442
Las zonas escavas se referen a aqueas hospedadas en servdores de nombres de domno
secundaros y que hacen as funcones de redundar as zonas maestras en os servdores de
nombres de domno prmaros. E contendo de archvo de zona es e msmo que en servdor
prmaro. La dferenca est en a seccn de texto utzada en named.conf, donde as zonas se
defnen como escavas y defnen os servdores donde est hospedada a zona maestra.
46.3.7.+. Arc$ivo named.conf ?ervidor D)? secundario.
vie ,publico, c
recursion noY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,dominio#com, c
$y'e s)#*eR
"ile ,dominio#com#Cone,Y
<#s$ers Q 3=/.358.3./!4R SR
dY
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,red!local, c
$y'e s)#*eR
<#s$ers Q 3=/.358.3./!4R SR
dY
$y'e s)#*eR
<#s$ers Q 3=/.358.3./!4R SR
dY
dY
Adconamente, s desea ncrementar segurdad y desea especfcar en el ?ervidor D)?
=rimario que servdores tendrn permtdo ser servdores de nombres de domno secundaro, es
decr, hacer transferencas, puede utzar e parmetro alloR(transfer de sguente modo:
46.3.7.*. Arc$ivo named.conf ?ervidor D)? =rimario.
443
vie ,publico, c
recursion noY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,dominio#com, c
type masterY
"ile ,dominio#com#Cone,Y
#))o0-$r#ns+er Q
/66..345./37R
/66..345./6=R
SR
dY
dY
vie ,local, c
match!clients c
18$#%#%#%/6Y
1%#%#%#%/6Y
1$8#16#%#%/18Y
198#166#%#%/16Y
dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Cone ,red!local, c
type masterY
#))o0-$r#ns+er Q
3=/.358.3.3!R
3=/.358.3.35R
SR
dY
type masterY
#))o0-$r#ns+er Q
3=/.358.3.3!R
3=/.358.3.35R
SR
dY
dY
46.3.:. ?eguridad adicional para transferencias de 9ona.
Cuando se gestonan domnos a travs de redes pbcas, es mportante consderar que s se
tenen esquemas de servdores maestros y esclavos, sempre ser ms convenente utzar una
clave cifrada en ugar de una dreccn IP, debdo a que esta tma puede ser fasfcada ba|o
certas crcunstancas.
444
Comnmente se defnen as dreccones IP desde as cuaes se permtr transferencas de zonas,
utzando una confguracn en e archvo >var>named>c$root>etc>named.conf como a
e|empfcada a contnuacn, donde os servdores escavos corresponden a os servdores con
dreccones IP 192.168.1.11 y 192.168.1.12:
Cone ,mi!dominio#org, c
type masterY
"ile ,data/mi!dominio#org#Cone,Y
allo!update c noneY d7
allo!trans"er c 198#166#1#11Y 198#166#1#18Y dY
dY
Lo anteror permte a transferenca de zona para os servdores con dreccones IP 192.168.1.11 y
192.168.1.12, os cuaes utzan a sguente confguracn en e archvo
>var>named>c$root>etc>named.conf, e|empfcada a contnuacn, donde e servdor prmaro
(zonas maestras) corresponde a servdor con dreccn IP 192.168.1.1:
type slaveY
masters c 198#166#1#1Y dY
dY
E nconvenente de esquema anteror es que es fc fasfcar as dreccones IP. A fn de evtar
que esto ocurra, e mtodo recomendado ser utzar una cave cfrada que ser vadada en
ugar de a dreccn IP. La ave se crea con e mandato dnssec(Oeygen, especfcando un
agortmo, que puede ser '?A;D5 o '?A, D?A, DF (Dffe Feman) o F;AC(;D5, e tamao
de a ave en octetos (bts), e tpo de a ave, que puede ser ZONE, HOST, ENTITY o USER y e
nombre especfco para a cave cfrada. DSA y RSA se utzan para D)? ?eguro (D)??"C), en
tanto que F;AC(;D5 se utza para A?&@ (Aransfer ?&@nature o transferenca de frma). Lo ms
comn es utzar A?&@. En e sguente e|empo, se generar en e drectoro de traba|o actua a
cave mi(dominio.org, utzando >dev>random como fuente de datos aeatoros, un agortmo
F;AC(;D5 tpo F0?A de 128 octetos (bts):
dnssec!keygen !r /dev/random !a 3.5*!.&: !b 186 !n 30S1 mi!dominio#org
Lo anteror devueve una sada smar a a sguente:
Hmi!dominio#org#U1:$U@8@88
A msmo tempo se generaran dos archvos en e drectoro >var>named>c$root>var>named>,
que corresponderan a Nmi(dominio.org.K+57K3*3**.Oey y Nmi(dominio.org.
K+57K3*3**.private. Nmi(dominio.org.K+57K3*3**.Oey deber tener un contendo como
e sguente, e cua corresponde a regstro que se aade dentro de archvo de zona:
mi!dominio#org# )- H'< :18 @ 1:$ -=u-uxvG5Qtd@mriuyg16_++
Nmi(dominio.org.K+57K3*3**.private deber tener un contendo como e sguente:
=rivate!key!"ormat7 v1#8
5lgorithm7 1:$ (3.5*/.&:)
Hey7 -=u-uxvG5Qtd@mriuyg16_++
445
En ambos casos, )=u)u2vbA.td3mriuygA:CVV corresponde a a cave cfrada. Ambos deben
tener a msma cave.
Los dos archvos so deben tener atrbutos de ectura para e usuaro named.
chmod 4%% Hmi!dominio#org#U1:$U@8@88#L
chon named#named Hmi!dominio#org#U1:$U@8@88#L
A fn de poder ser utzados, ambos archvos deben ser movdos haca e drectoro
>var>named>c$root>var>named>data>.
mv Hmi!dominio#org#U1:$U@8@88#L /var/named/chroot/var/named/data/
A contnuacn, restaure os atrbutos predetermnados para estos archvos utzando e mandato
restorecon, de sguente modo:
restorecon !R /var/named/chroot/var/named/data/
En e servdor prmaro (zonas maestras), se aade a sguente confguracn en e archvo
>var>named>c$root>etc>named.conf:
key mi!dominio#org c
algorithm 3.5*!.&:Y
secret ,-=u-uxvG5Qtd@mriuyg16_++,Y
dY
type masterY
allo!trans"er c key mi!dominio#orgY dY
dY
Los servdores escavos utzaran a sguente confguracn en e archvo
>var>named>c$root>etc>named.conf, en donde se defne a cave y que sta ser utzada para
reazar conexones haca e servdor prmaro (zonas maestras) (192.168.1.1, en e e|empo):
8ey <%--o<%n%o.org Q
#)gor%$h< FMAC-MD!R
se&re$ "N9>N>E*JAD$-<r%>ygT8T=="R
SR
ser*er 3=/.358.3.3 Q
8eys Q <%--o<%n%o.orgR SR
SR
type slaveY
masters c 198#166#1#1Y dY
dY
46.3.:.+. Compro!aciones.
446
Tanto en e servdor prmaro (zonas maestras) como en os servdores escavos, utce e
mandato tail para ver a sada de archvo >var>log>messages, pero so aqueo que contenga
a cadena de caracteres named:
tail !" /var/log/messages Ngrep named
A rencar e servco named en servdor prmaro (zonas maestras), se debe mostrar una sada
smar a a sguente cuando un servdor escavo reaza una transferenca:
Sep 1% %17:$74% servidor namedD6%48E7 listening on )=v4 inter"ace eth%B 198#166#1#64A:@
Sep 1% %17:$74% servidor namedD6%48E7 command channel listening on 18$#%#%#1A9:@
Sep 1% %17:$74% servidor namedD6%48E7 Cone %#in!addr#arpa/)-7 loaded serial 48
Sep 1% %17:$74% servidor namedD6%48E7 Cone %#%#18$#in!addr#arpa/)-7 loaded serial 199$%88$%%
Sep 1% %17:$74% servidor namedD6%48E7 Cone 8::#in!addr#arpa/)-7 loaded serial 48
Sep 1% %17:$74% servidor namedD6%48E7 Cone
%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#ip6#arpa/)-7 loaded serial 199$%88$%%
Sep 1% %17:$74% servidor namedD6%48E7 Cone localdomain/)-7 loaded serial 48
Sep 1% %17:$74% servidor namedD6%48E7 Cone localhost/)-7 loaded serial 48
Sep 1% %17:$74% servidor namedD6%48E7 Cone mi!dominio#org/)-7 loaded serial 8%%9%91%%1
Sep 1% %17:$74% servidor named7 )niciaciPn de named succeeded
Sep 1% %17:$74% servidor namedD6%48E7 running
Sep 1% %17:$74% servidor namedD6%48E7 Cone mi!dominio#org/)-7 sending noti"ies (serial 8%%9%91%%1)
Se' 36 631!=14= ser*%-or n#<e-"564/(1 &)%en$ 3=/.358.3.33P/8371 $r#ns+er o+ @<%--o<%n%o.org;?N@1 AXFR
s$#r$e-
A rencar e servco named en os servdores escavos, se debe mostrar una sada smar a a
sguente:
Sep 1% %17:671: servidor namedD:%6%E7 listening on )=v4 inter"ace eth%B 198#166#1#8:@A:@
Sep 1% %17:671: servidor namedD:%6%E7 command channel listening on 18$#%#%#1A9:@
Sep 1% %17:671: servidor namedD:%6%E7 Cone %#in!addr#arpa/)-7 loaded serial 48
Sep 1% %17:671: servidor namedD:%6%E7 Cone %#%#18$#in!addr#arpa/)-7 loaded serial 199$%88$%%
Sep 1% %17:671: servidor namedD:%6%E7 Cone 8::#in!addr#arpa/)-7 loaded serial 48
Sep 1% %17:671: servidor namedD:%6%E7 Cone
%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#%#ip6#arpa/)-7 loaded serial 199$%88$%%
Sep 1% %17:671: servidor namedD:%6%E7 Cone localdomain/)-7 loaded serial 48
Sep 1% %17:671: servidor namedD:%6%E7 Cone localhost/)-7 loaded serial 48
Sep 1% %17:671: servidor namedD:%6%E7 running
Sep 1% %17:671: servidor named7 )niciaciPn de named succeeded
Se' 36 631!813! ser*%-or n#<e-"!686(1 Bone <%--o<%n%o.org;?N1 $r#ns+erre- ser%#) /66=6=3663
Se' 36 631!813! ser*%-or n#<e-"!686(1 $r#ns+er o+ @<%--o<%n%o.org;?N@ +ro< 3=/.358.3.3P!1 en- o+
$r#ns+er
Se' 36 631!813! ser*%-or n#<e-"!686(1 Bone <%--o<%n%o.org;?N1 sen-%ng no$%+%es Hser%#) /66=6=3663I
46.3.[. 'einiciar servicio y depuracin de configuracin.
A termnar de edtar todos os archvos nvoucrados, so bastar rencar e servdor de
nombres de domno.
service named restart
S queremos que e servdor de nombres de domno quede aaddo entre os servcos en e
arranque de sstema, deberemos reazar o sguente a fn de habtar named |unto con e
arranque de sstema:
chkcon"ig named on
Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
tail !6% /var/log/messages Ngrep named
447
Lo anteror, s est funconando correctamente, debera devover ago parecdo a o mostrado a
contnuacn:
Sep 1% %871:71: servidor namedD@%616E7 starting ;)-& 9#8#8 !u named
Sep 1% %871:71: servidor namedD@%616E7 using 1 *=?
Sep 1% %871:71: servidor named7 )niciaciPn de named succeeded
Sep 1% %871:71: servidor namedD@%688E7 loading con"iguration "rom X/etc/named#con"X
Sep 1% %871:71: servidor namedD@%688E7 no )=v6 inter"aces "ound
Sep 1% %871:71: servidor namedD@%688E7 listening on )=v4 inter"ace loB 18$#%#%#1A:@
Sep 1% %871:71: servidor namedD@%688E7 listening on )=v4 inter"ace eth%B 198#166#1#1A:@
Sep 1% %871:71: servidor namedD@%688E7 command channel listening on 18$#%#%#1A9:@
Sep 1% %871:716 servidor namedD@%688E7 Cone %#%#18$#in!addr#arpa/)-7 )o#-e- ser%#)
Sep 1% %871:716 servidor namedD@%688E7 Cone 1#166#198#in!addr#arpa/)-7 )o#-e- ser%#) /66=6=3663
Sep 1% %871:716 servidor namedD@%688E7 Cone localhost/)-7 )o#-e- ser%#) 3
Sep 1% %871:716 servidor namedD@%688E7 Cone mi!dominio#com#mx/)-7 )o#-e- ser%#) /66=6=3663
Sep 1% %871:716 servidor namedD@%688E7 running
Sep 1% %871:716 servidor namedD@%688E7 Cone 1#166#198#in!addr#arpa/)-7 sending noti"ies (serial
8%%9%91%%1)
Sep 1% %871:716 servidor namedD@%688E7 Cone mi!dominio#com#mx/)-7 sending noti"ies (serial 8%%9%91%%1)
448
47. Configuracin de servidor DFC=.
47.+. &ntroduccin.
47.+.+. Acerca del protocolo DFC=.
DFC= (acrnmo de 5ynamic .ost Configuration +rotocol, que se traduce Protocoo de
confguracn dnmca de servdores) es un protocoo que permte a dspostvos ndvduaes en
una red de dreccones IP obtener su propa nformacn de confguracn de red (dreccn IP;
mscara de sub-red, puerta de enace, etc.) a partr de un servdor DHCP. Su propsto prncpa
es hacer ms fces de admnstrar as redes grandes. DFC= exste desde 1993 como protocoo
estndar y se descrbe a detae en e RFC 2131.
Sn a ayuda de un servdor DFC=, tendran que confgurarse de forma manua cada dreccn IP
de cada anftrn que pertenezca a una Red de Area Loca. S un anftrn se trasada haca otra
ubcacn donde exste otra Red de Area Loca, se tendr que confgurar otra dreccn IP
dferente para poder unrse a esta nueva Red de Area Loca. Un servdor DFC= entonces
supervsa y dstrbuye, as dreccones IP de una Red de Area Loca asgnando una dreccn IP a
cada anftrn que se una a a Red de Area Loca. Cuando, por menconar un e|empo, una
computadora portt se confgura para utzar DFC=, a sta e ser asgnada una dreccn IP y
otros parmetros de red, necesaros para unrse a cada Red de Area Loca donde se ocace.
Exsten tres mtodos de asgnacn en e protocoo DFC=:
Asignacin manual: La asgnacn utza una taba con dreccones ;AC (acrnmo
de 6edia Access Control Address, que se traduce como dreccn de Contro de
Acceso a Medo). So os anftrones con una dreccn ;AC defnda en dcha taba
recbr e IP asgnada en a msma taba. sto se hace a travs de parmetro
$ardRare et$ernet combnado con deny unOnoRn(clients.
Asignacin autom<tica: Una dreccn de IP dsponbe dentro de un rango
determnado se asgna permanentemente a anftrn que a requera.
Asignacin din<mica: Se determna arbtraramente un rango de dreccones IP y
cada anftrn conectado a a red est confgurada para soctar su dreccn IP a
servdor cuando se nca e dspostvo de red, utili9ando un intervalo de tiempo
controla!le (parmetros default(lease(time y ma2(lease(time), de modo que a
asgnacn de dreccones IP es de manera tempora y stas se reutzan de forma
dnmca.
URL: http://www.etf.org/rfc/rfc2131.txt y http://www.etf.org/rfc/rfc2132.txt
47.+.*. Acerca de d$cp por &nternet ?oftRare ConsortiumH &nc.
449
Fundado en 1994, Internet Software Consortum, Inc., dstrbuye un con|unto de herramentas
para e protocoo DFC=, as cuaes conssten en:
?ervidor DFC=.
Cliente DFC=.
Agente de retransmisin.
Dchas herramentas utzan un A=& (Appcaton =rogrammng &nterface o Interfaz de
Programacn de Apcacones) moduar dseado para ser o sufcentemente genera para ser
utzado con facdad en os sstemas operatvos que cumpen e estndar =0?&E (+ortable
.perating System 2nterface for 5:07 o nterfaz portabe de sstema operatvo para Unx) y
no-POSIX, como Wndows.
URL: http://sc.org/products/DHCP/
47.*.+. Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
E|ecute o sguente para nstaar o actuazar todo necesaro:
yum !y install dhcp
Por o genera, |ams se abren puertos de DHCP a as redes pbcas. Es necesaro abrr os puerto
67 y 68 (B00A=? y B00A=C) por UDP, tanto para trafco entrante como saente.
47.3.+. ?ervicio ipta!les.
Asumendo que e servco funconar a travs de a nterfaz et$+, puede utzar e mandato
ipta!les de sguente modo:
iptables !5 )-=?1 !i eth1 !p udp !m state !!state -'4 !m udp K
!!sport 6$766 !!dport 6$766 !Q 5**'=1
!5 )-=?1 !i eth1 !p udp !m state !!state -'4 !m udp !!sport 6$766 !!dport 6$766 !Q 5**'=1
Rence e servco ipta!les a fn de que surtan efecto os cambos.
450
47.3.*. ?$oreRall.
Edte e archvo >etc>s$oreRall>interfaces:
vim /etc/shoreall/inter"aces
Asumendo que e servco funconar a travs de a nterfaz eth1 (zona oc), aada a opcn
d$cp a as opcones de a nterfaz sobre a cua funcona e servco d$cpd. Esta opcn, tras
rencar e servco s$oreRall, habta as comuncacones de entrada y sada, para DHCP.
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AG0-' )-1'R>5*' ;R05&*5S1 0=1)0-S
net eth% detect blacklist
loc eth1 detect -h&'Bblacklist
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Rence e servco s$oreRall a fn de que surtan efecto os cambos.
47.4. ?"inu2 y el servicio d$cpd.
Se recomenda encarecdamente de|ar actvo SELnux y de|ar como estn as potcas
predetermnadas.
)ota.
Lo sguente so apca para Cent0? 5 y 'ed Fat "nterprise inu2 5.
S se desea eliminar la proteccin que brnda SELnux a servco d$cpd, utce e sguente mandato.
setsebool != dhcpd/disable/trans 1
S se desea eliminar la proteccin que brnda SELnux a sstema para funconar como cliente DFC=,
utce e sguente mandato.
setsebool != dhcpc/disable/trans 1
Nnguna de ests potcas exste en Cent0? 6 y 'ed Fat "nterprise inu2 6.
47.5. &niciarH detener y reiniciarH el servicio d$cpd.
Para hacer que e servco de d$cpd est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4 y 5), e|ecute o sguente:
chkcon"ig dhcpd on
Para ncar por prmera vez e servco d$cpd, e|ecute:
service dhcpd start
451
Para hacer que os cambos hechos a a confguracn de servco d$cpd surtan efecto, e|ecute:
Para detener e servco d$cpd, e|ecute:
service dhcpd stop
47.6.+. Arc$ivo de configuracin >etc>sysconfig>d$cpd.
En e caso de dsponer mtpes dspostvos de red en e servdor, se recomenda que e servco
d$cpd soamente funcone a travs de a nterfaz de red utzada por a LAN. Edte e archvo
>etc>sysconfig>d$cpd y agregue e vaor et$I, et$+, et$*, etc., como argumento(s) de
parmetro DFC=DA'@? o ben o que corresponda a a nterfaz desde a cua accede a red oca.
Edte e archvo >etc>sysconfig>d$cpd:
vim /etc/syscon"ig/dhcpd
Para e sguente e|empo, consderando que et$+ es a nterfaz correspondente a a LAN:
A *ommand line options here
&3*=&5RIS+e$h3
47.6.*. Arc$ivo de configuracin d$cpd.conf.
Consderando como e.emplo que se tene una red oca con as sguentes caracterstcas:
Dreccn IP de segmento de red: +7*.+6.+.I
Dreccn IP de dfusn: +7*.+6.+.+5
Mscara de sub-red: *55.*55.*55.*4I (28 bt)
Puerta de enace: +7*.+6.+.+
Servdor de nombres: +7*.+6.+.+
Servdor Wns: +7*.+6.+.+
Servdores de tempo ()A=): recomendamos utzar os de NTP.org -es decr
0.poo.ntp.org, 1.poo.ntp.org, 2.poo.ntp.org y 3.poo.ntp.org- os cuaes son
confabes y de acceso gratuto.
Rango de dreccones IP a asgnar de modo dnmco: +7*.+6.+.* $asta
+7*.+6.+.+4.
)ota.
Es ndspensabe conocer y entender perfectamente, todo o anteror para poder contnuar con este
documento. S se tenen dudas, por favor, prmero consutar y estudar, e documento ttuado
&ntroduccin a &= versin 4.
Puede utzar e contendo de e|empo, que se encuentra ms adeante, para adaptar o !ien
crear desde ceroH un nuevo archvo de confguracn para e servco d$cpd, a|ustando os
datos a una red para un con|unto de sstemas en partcuar.
452
47.6.3. Configuracin !<sica.
Descargue e archvo panta, con una confguracn mnma recomendada, desde
AcanceLbre.org, e|ecutando o sguente:
cd /etc/dhcp/
mv dhcpd#con" dhcpd#con"#original
get http7//#alcancelibre#org/linux/secrets/dhcpd#con"
restorecon dhcpd#con"
cd
S se utza Cent0? 6 o 'ed Fat "nterprise inu2 6, edte e archvo >etc>d$cp>d$cpd.conf.
vim /etc/dhcp/dhcpd#con"
)ota.
S se utza Cent0? 5 o 'ed Fat "nterprise inu2 5, edte e archvo >etc>d$cpd.conf.
vim /etc/dhcpd#con"
Para efectos prctcos, utce a sguente panta y modfque todo o que est resaltado.
A Si se tienen problemas con eJuipos con 4indos (ista/$/6 omita el parRmetro
A server!identi"ier# ksto aunJue rompe con el protocolo &3*=B permite a los
A clientes 4indos (ista/$/6 poder comunicarse con el servidor &3*= y aceptar
A la direcciPn )= proporcionada#
A server!identi"ier 37/.35.3.3Y
authoritativeY
option domain!name ,re--)o&#).ne$,Y
option ntp!servers %#pool#ntp#orgB 1#pool#ntp#orgB 8#pool#ntp#orgB @#pool#ntp#orgY
shared!netork re-)o&#) c
subnet 37/.35.3.6 netmask /!!./!!./!!./46 c
option routers 37/.35.3.3Y
option subnet!mask /!!./!!./!!./46Y
option broadcast!address 37/.35.3.3!Y
option domain!name!servers 37/.35.3.3Y
option netbios!name!servers 37/.35.3.3Y
range 37/.35.3./ 37/.35.3.34Y
d
d
Lo anteror corresponde a a confguracn bsca recomendada para un servdor DHCP bsco.
Una vez termnada a confguracn, para ncar e servco e|ecute:
service dhcpd start
47.6.4. Asignacin de direcciones &= est<ticas.
453
Para defnr equpos con dreccones IP esttcas, pueden aadrse tambn en a confguracn de
a sguente forma, especfcando e nombre de anftrn, dreccn MAC y dreccn IP:
host impresora c
option host!name ,e')!=66.re--)o&#).ne$,Y
hardare ethernet 661/41/B15!1!4184Y
"ixed!address 37/.35.3.!=Y
d
Edte e archvo >etc>d$cp>d$cpd.conf o ben >etc>d$cpd.conf, segn corresponda:
Un e|empo de a confguracn quedara de sguente modo:
authoritativeY
subnet 37/.35.3.6 netmask /!!./!!./!!./46 c
range 37/.35.3./ 37/.35.3.3/Y
d
A 'Juipos con )= "iQa#
hos$ %<'resor# Q
o'$%on hos$-n#<e "e')!=66.re--)o&#).ne$"R
h#r-0#re e$herne$ 661/41/B15!1!4184R
+%Ee--#--ress 37/.35.3.3R
S
hos$ '&34 Q
o'$%on hos$-n#<e "'&34.re--)o&#).ne$"R
h#r-0#re e$herne$ 661!61BF1/713C13CR
+%Ee--#--ress 37/.35.3.34R
S
d
S reaz cambos en a confguracn, rence e servco d$cpd a fn de que surtan efecto os
cambos.
47.6.5. imitar el acceso por direccin ;AC.
454
Es posbe mtar e acceso a servdor DHCP a travs de a opcn deny con e vaor
unOnoRn(clients y defnendo una sta de dreccones MAC. De ta modo, a os anftrones que
estn ausentes en dcha sta es ser denegado e servco. E|empo:
-eny >n8no0n-&)%en$sR
host impresora c
d
host pc1 c
hardare ethernet 661!61BF1/713C13CY
d
Edte e archvo >etc>d$cp>d$cpd.conf o ben >etc>d$cpd.conf, segn corresponda:
Un e|empo de a confguracn quedara de sguente modo, donde so as dreccones MAC en
a sta pueden conectarse haca e servdor DHCP y recbr una dreccn IP:
authoritativeY
subnet 37/.35.3.6 netmask /!!./!!./!!./46 c
range 37/.35.3./ 37/.35.3.34Y
d
A 2ista de direcciones .5* Jue tendrRn permitido utiliCar el servidor
A &3*=#
A deny unknon!clients impide Jue eJuipos "uera de esta lista puedan
A utiliCar el servicio#
deny unknon!clientsY
host impresora c
d
host pc1 c
hardare ethernet 661!61BF1/713C13CY
d
host pc8 c
hardare ethernet F41C71341761FA1ACY
d
host laptop1 c
hardare ethernet 441871FC1AA1DD1/DY
d
host laptop8 c
hardare ethernet 761F31A31=F1761BY
d
d
455
S reaz cambos en a confguracn, rence e servco d$cpd a fn de que surtan efecto os
cambos.
47.6.6. Configuracin para funcionar con D)? din<mico.
E servdor DNS puede funconar de modo dnmco permtendo a actuazacn en tempo rea
de os nombres de anftrn y as dreccones IP asocadas a stos, a travs de a nformacn
envada a travs de un servdor DHCP.
Edte e archvo >etc>d$cp>d$cpd.conf:
Asumendo que ya se dspone de un servdor DNS prevamente confgurado y funconando, para
confgurar e servdor DHCP a fn de que actuace automtcamente os regstros
correspondentes en as zonas de servdor DNS, so basta aadr os parmetros ddns(updates,
ddns(domainname, ddns(rev(domainname, una ncusn para utzar a msma frma dgta
de a confguracn de DNS y defnr as zonas de ocahost, zona de re-envo y zona de
resoucn nversa de DNS, con os vaores e|empfcados a contnuacn, soamente sendo
necesaro reempazar los valores resaltados.
456
--ns->'-#$es onR
--ns--o<#%nn#<e "re--)o&#).ne$."R
--ns-re*--o<#%nn#<e "%n-#--r.#r'#."R
authoritativeY
%n&)>-e ";e$&;rn-&.8ey"R
Bone )o&#)-o<#%n. Q
'r%<#ry 3/7.6.6.3R
8ey rn-&-8eyR
S
Bone 3.35.37/.%n-#--r.#r'#. Q
'r%<#ry 3/7.6.6.3R
8ey rn-&-8eyR
S
Bone re--)o&#).ne$. Q
'r%<#ry 3/7.6.6.3R
8ey rn-&-8eyR
S
subnet 37/.35.3.6 netmask /!!./!!./!!./46 c
range 37/.35.3./ 37/.35.3.34Y
d
d
Para que o anteror funcone con e servdor DNS, consderando que ya estn nstaados os
paquetes !ind y !ind(c$root, se requere generar os archvos red(local.net.9one y
+.+6.+7*.in(addr.arpa.9one, dentro de drectoro >var>named>c$root>dynamic>. Cambe a
drectoro >var>named>c$root>dynamic>:
cd /var/named/chroot/var/named/dynamic/
Utce e mandato touc$ para crear os archvos red(local.net.9one y
+.+6.+7*.in(addr.arpa.9one:
touch re--)o&#).ne$.Bone
touch 3.35.37/.%n-#--r.#r'#.Bone
Ambos archvos deben tener permsos de ectura y escrtura para usuaro y so ectura para
grupo:
chmod 64% re--)o&#).ne$.Bone
chmod 64% 3.35.37/.%n-#--r.#r'#.Bone
457
Ambos archvos deben pertenecer a usuaro named y grupo named.
chon named7named re--)o&#).ne$.Bone
chon named7named 3.35.37/.%n-#--r.#r'#.Bone
Edte e archvo /var/named/chroot/var/named/dynamc/red(local.net.9one:
vim re--)o&#).ne$.Bone
ste deber tener e sguente contendo, donde soamente ser necesaro aadr a e|empo os
regstros de os equpos con IP f|a:
F112 664%%
[ )- S05 ser*%-or.re--)o&#).ne$. root#localhost# (
8%111%19%1Y
866%%Y
$8%%Y
6%46%%Y
664%%Y
)
[ )- -S ser*%-or.re--)o&#).ne$.
ser*%-or )- 5 37/.35.3.3
Edte e archvo /var/named/chroot/var/named/dynamc/+.+6.+7*.in(addr.arpa.9one:
vim 3.35.37/.%n-#--r.#r'#.Bone
ste deber tener e sguente contendo, donde soamente ser necesaro aadr a e|empo os
regstros de os equpos con IP f|a:
F112 664%%
[ )- S05 ser*%-or.re--)o&#).ne$. root#localhost# (
8%111%19%1Y
866%%Y
$8%%Y
6%46%%Y
664%%Y
)
[ )- -S ser*%-or.re--)o&#).ne$.
3 )- =1R ser*%-or.re--)o&#).ne$.
Cambe a drectoro >var>named>c$root>etc>:
cd /var/named/chroot/etc/
Edte e archvo >var>named>c$root>etc>named.conf:
vim named#con"
ste deber tener un contendo smar a sguente:
458
options c
"orarders c
6#6#6#6Y
6#6#4#4Y
dY
"orard "irstY
// 0pciones de &-SS'*#
// dnssec!enable yesY
// dnssec!validation yesY
// dnssec!lookaside autoY
// bindkeys!"ile ,/etc/named#iscdlv#key,Y
dY
logging c
severity dynamicY
dY
dY
controls c
dY
vie ,local, c
match!clients c 18$#%#%#%/6Y 1$8#16#3#%/86Y dY
recursion yesY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
Bone "re--)o&#).ne$" Q
$y'e <#s$erR
+%)e "-yn#<%&;re--)o&#).ne$.Bone"R
#))o0->'-#$e Q 8ey "rn-&-8ey"R SR
SR
Bone "3.35.37/.%n-#--r.#r'#" Q
$y'e <#s$erR
+%)e "-yn#<%&;3.35.37/.%n-#--r.#r'#.Bone"R
#))o0->'-#$e Q 8ey "rn-&-8ey"R SR
SR
dY
vie ,public, c
recursion noY
Cone ,#, )- c
type hintY
"ile ,named#ca,Y
dY
dY
cd
459
Actve a potca de SELnux, a cua permtr a servdor DNS poder reazar modfcacones a os
archvos de zona.
setsebool != named/rite/master/Cones 1
Rence e servco named a fn de que surtan efecto os cambos.
Rence tambn e servco d$cpd a fn de que surtan efecto os cambos y para que e servdor
DHCP comence a nteractuar con e servdor DNS.
A partr de este momento, todo cente que tenga defndo en su confguracn oca un nombre
de anftrn y a cua e sea asgnada una dreccn IP a travs de servdor DHCP recn
confgurado, comuncar su nombre de anftrn a servdor DHCP, e cua a su vez comuncar a
servdor DNS este msmo nombre asocada a a dreccn IP asgnada a cente, de modo que e
DNS aadr automtcamente e regstro correspondente a as zonas de re-envo y de resoucn
nversa correspondentes.
Verfque que e servdor DNS dnmco funcona correctamente, smuando o que en adeante
har automtcamente en segundo pano e servdor DHCP, aadendo un par de regstros a
travs de mandato nsupdate. E|ecute o sguente para conectarse a servdor DNS utzando a
frma dgta que utzarn tanto e ste como e servdor DHCP:
nsupdate !k /etc/rndc#key
Desde e ntrprete de mandatos de nsupdate, e|ecute o sguente:
server 18$#%#%#1
update add 'r>eb#.re--)o&#).ne$. 664%% 5 37/.35.3.34
send
update add 34.3.35.37/.%n-#--r.#r'#. 664%% =1R 'r>eb#.re--)o&#).ne$.
send
Juit
S o anteror devueve errores como e sguente:
update "ailed7 R'>?S'&
Sgnfca que hay errores en e procedmento reazado o a confguracn o ben que a frma
dgta utzada en e archvo >etc>named.conf es dstnta a a de archvo >etc>rndc.Oey.
S o anteror devueve errores como e sguente:
Y 1S)I error ith server7 tsig indicates error
update "ailed7 R'>?S'&(;5&H'<)
460
Sgnfca que e nombre de anftrn pertenece a un domno dstnto a confgurado o ben a
dreccn IP pertenece a otro boque dreccones dstnto a confgurado. Corr|a o necesaro s as
es e caso.
S e procedmento concuy sn errores, haga consutas a servdor DNS para
prue!a.red(local.net y +7*.+6.+.+4 para cote|ar que e servdor DNS acept os dos regstros
aaddos a travs de nsupdate, e|ecutando o sguente:
host 'r>eb#.re--)o&#).ne$
host 37/.35.3.34
Droot[servidor \EA host 'r>eb#.re--)o&#).ne$
'r>eb#.re--)o&#).ne$ has address 37/.35.3.34
Droot[servidor \EA host 37/.35.3.34
34.3.35.37/.%n-#--r.#r'# domain name pointer 'r>eb#.re--)o&#).ne$.
S a sada devueve errores, sgnfca que hay errores en e procedmento reazado o ben e
domno y zona de resoucn nversa son dferentes a os confgurados. Corr|a o necesaro s as
es e caso.
S e procedmento concuy correctamente, utce e mandato nsupdate para conectarse de
nuevo a servdor DNS e|ecutando o sguente:
Desde e ntrprete de mandatos de nsupdate, e|ecute o sguente para emnar os regstros:
server 18$#%#%#1
update delete 'r>eb#.re--)o&#).ne$. 5
send
update delete 34.3.35.37/.%n-#--r.#r'#. =1R
send
Juit
Esta es, por certo, a metodooga recomendada para aadr o emnar regstros de zonas en e
servdor DNS cuando se utzan zonas dnmcas.
47.7. Compro!aciones desde cliente DFC=.
Hecho o anteror, soamente se necestar confgurar como nterfaces DHCP, as utzadas en as
estacones de traba|o que sean necesaras, sn mportar que sstema operatvo utcen.
Despus concuda a confguracn y que estn funconando os servco correspondentes,
pueden hacerse comprobacones desde un cente GNU/Lnux, es decr, desde otro e#uipo. Abra
una termna, como usuaro root y, asumendo que se tene una nterfaz de red denomnada
et$I, utce os sguentes mandatos para desactvar a nterfaz et$I y asgnar una nueva
dreccn &= a travs de servdor d$cp.
i"don eth%
dhclient !d !) nombre!eJuipo !3 nombre!eJuipo eth%
461
Lo anteror deber devover e mensa|e Determnando a nformacn IP para eth0... y e
smboo de sstema. Para corroborar, utce e mandato ifconfig para vsuazar os dspostvos
de red actvos en e sstema. Puse CA'(C para termnar e programa.
S se dspone de varos servdores DHCP y se desea probar a confguracn de aguno en
partcuar, puede aadr a opcn (J a mandato d$client, defnendo como vaor para esta
opcn, e msmo vaor que fue asgnado para e parmetro server(identifier, estabecdo en e
archvo >etc>d$cp>d$cpd.conf de servdor correspondente.
i"don eth%
dhclient !d !) nombre!eJuipo !3 nombre!eJuipo -: 37/.35.3.3 eth%
Edte e archvo >etc>sysconfig>netRorO(scripts>ifcfg(et$I o e que corresponda a dspostvo
de red prncpa de sstema cente:
La confguracn permanente de dspostvo de red, consderando como e.emplo a nterfaz eth0
con dreccn ;AC 00:01:03:DC:67:23, soctando os datos para os servdores D)?, puerta de
enace y servdores de tempo, sera a sguente:
&'()*'+eth%
0-;001+yes
?S'R*12+yes
345&&R+%%7%17%@7&*76$78@
1<='+'thernet
-./*0-1R022'&+no
BOOT9ROTO=-h&'
DEFROUTE=yes
9EERDNS=yes
9EERROUTES=yes
9EERNT9=yes
DOMA?N=re--)o&#).ne$
DFC9_CL?ENT_?D=no<bre-e,>%'o
DFC9_FOSTNAME=no<bre-e,>%'o
S utza );UC0)A'0"DVyes, de|e que e servco )etRorO;anager se encargue por s
soo de apcar os cambos. S utza );UC0)A'0"DVno, rence e servco netRorO a fn
de que surtan efecto os cambos.
462
4:. &nstalacin y configuracin de vsftpd.
4:.+. &ntroduccin.
4:.+.+. Acerca del protocolo 8A=.
8A= (File Transfer +rotocol) o Protocoo de Transferenca de Archvos (o archvos nformtcos) es
uno de os protocoos estndar ms utzados en Internet sendo e ms dneo para a
transferenca de grandes boques de datos a travs de redes que soporten TCP/IP. E servco
utza os puertos 20 y 21, excusvamente sobre TCP. E puerto 20 es utzado para e fu|o de
datos entre cente y servdor. E puerto 21 es utzando para e envo de rdenes de cente
haca e servdor. Prctcamente todos os sstemas operatvos y pataformas ncuyen soporte
para FTP, o que permte que cuaquer computadora conectada a una red basada sobre TCP/IP
pueda hacer uso de este servco a travs de un cente FTP.
Exsten dos mtodos, e modo actvo y e modo pasvo.
URL: http://toos.etf.org/htm/rfc959
4:.+.+.+. ;odo activo.
En este modo, e cente crea una conexn de datos a travs de puerto 20 de servdor, mentras
que en e cente asoca esta conexn desde un puerto aeatoro entre 1024 y 65535, envando e
mandato PORT para ndcar a servdor e puerto a utzar para a transferenca de datos. Tene
como desventa|a que e cente FTP debe estar dspuesto a aceptar cuaquer conexn de
entrada asocada a puertos entre 1024 y 65535, o que sgnfca que e cente tendra que estar
detrs de un muro cortafuegos que acepte estabecer conexones entrantes en este rango de
puertos o ben acceder haca Internet sn un muro cortafuegos de por medo, o que
evdentemente mpca un enorme resgo de segurdad. E modo actvo so es convenente en a
ausenca de un muro cortafuegos entre e servdor y e cente, como ocurre en os escenaros de
una red de rea oca.
4:.+.+.*. ;odo pasivo.
Fue creado como una aternatva a probema que representa e modo actvo. A dferenca de ste
tmo, e modo pasvo enva un mandato PASV en ugar de mandato PORT a travs de puerto de
contro de servdor. ste devueve como respuesta e nmero de puerto a travs de cua debe
conectarse e cente para hacer a transferenca de datos. E servdor puede eegr a azar
cuaquer puerto entre 1024 y 65535 o ben e rango de puertos determnado por e
admnstrador de sstema. En e caso de Jsftpd, se puede defnr un rango arbtraro de puertos
para conexones pasvas utzando as opcones pasvUminUport y pasvUma2Uport. ste es e
mtodo recomendado para servdores de acceso pbco.
463
4:.+.*. Acerca del protocolo 8A=?.
8A=? (tambn referdo como 8A=>??) es a forma de desgnar dferentes formas a travs de as
cuaes se pueden reazar transferencas seguras de archvos a travs de 8A= utzando ?? o
A?. Son mecansmos muy dferentes a os de protocoo SFTP (S$. File Transfer +rotocol).
Exsten dos dferentes mtodos para reazar una conexn ??>A? a travs de 8A=. La prmera
y ms antgua es a travs de 8A=? &mplcito (0mplicit -T?$), que consste en cfrar a sesn
competa a travs de os puertos 990 (FTPS) y 998 (FTPS Data), sn permtr negocacn con e
cente, e cua est obgado a conectarse drectamente a servdor FTPS con e nco de sesn
??>A?. E segundo mtodo, que es e recomendado por e RFC 4217 y e utzado por Jsftpd,
es 8A=? "2plcito (,4plicit -T?$ o 8A="?), donde e cente reaza a conexn norma a travs
de puerto 21 y permtendo negocar, de manera opcona, una conexn A?.
4:.+.3. Acerca de '?A.
'?A, acrnmo de os apedos de sus autores, Ron 'vest, Ad ?hamr y Len Ademan, es un
agortmo para cfrar caves pbcas, e cua fue pubcado en 1977 y patentado 1983, en EE.UU.,
por e Insttuto Tecnogco de Mchgan (;&A). '?A es utzado en todo e mundo para os
protocoos destnados para e comerco eectrnco.
URL: http://es.wkpeda.org/wk/RSA
4:.+.4. Acerca de 0pen??.
0pen?? es una mpementacn bre, de cdgo fuente aberto, de os protocoos ?? (?ecure
?ockets ayer o Nve de Zcao Seguro) y A? (Transport *ayer Security o $eguridad para :ivel
de TransporteD. ,st basado sobre el e4tinto proyecto SS*ea', iniciado por ,ric Houng y Tim
.udson, asta que stos comenzaron a trabajar para la divisi/n de seguridad de ,F#
#orporation.
URL: http://www.openss.org/
4:.+.5. Acerca de E.5I[.
E.5I[ es un estndar &A,(A (estandarzacn de Aeecomuncacones de a 2nternational
Telecommunication 1nion) para nfraestructura de caves pbcas (=N& o +ublic 8ey
2nfrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y
un agortmo, para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a
ruta de un certfcado sea vda ba|o una nfraestructura de cave pbca determnada. Es decr,
desde e certfcado nca, pasando por certfcados ntermedos, hasta e certfcado de
confanza emtdo por una Autordad Certfcadora (CA o Certfcaton Authorty).
URL: http://es.wkpeda.org/wk/X.509
4:.+.6. Acerca de vsftpd.
Jsftpd (-ery Secure FT+ 5aemon) es un equpamento gco utzado para mpementar
servdores de archvos a travs de protocoo 8A=. Se dstngue prncpamente porque sus
vaores predetermnados son muy seguros y por su sencez en a confguracn, comparado con
otras aternatvas como ProFTPD y Wu-ftpd. Actuamente se presume que vsftpd podra ser quz
e servdor 8A= ms seguro de mundo.
464
URL: http://vsftpd.beasts.org/
4:.*.+. &nstalacin a travs de yum.
S utza Cent0?, 8edoraG o 'ed FatG "nterprise inu2, e|ecute o sguente desde una
termna:
yum !y install vs"tpd
4:.3. Arc$ivos de configuracin.
>etc>vsftpd>c$rootUlist
Lsta que defnr usuaros a en|auar o no a en|auar, dependendo de a
confguracn.
>etc>vsftpd>vsftpd.conf
Archvo de confguracn de VSFTPD.
E archvo >etc>vsftpd>c$rootUlist es nexstente, por o cua es convenente crearo antes de
comenzar a traba|ar con a confguracn. Por favor, e|ecute o sguente antes de contnuar:
touch /etc/vs"tpd/chroot/list
4:.3.+. &niciarH detener y reiniciar el servicio vsftpd.
Para ncar por prmera vez e servco vsftpd, e|ecute o sguente:
service vs"tpd start
Para rencar e servco vsftpd o ben hacer que os cambos hechos a a confguracn surtan
efecto, e|ecute o sguente:
service vs"tpd restart
Para detener e servco vsftpd, e|ecute o sguente:
service vs"tpd stop
4:.3.*. Agregar el servicio vsftpd al arran#ue del sistema.
465
Para hacer que e servco de vsftpd est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4 y 5), e|ecute o sguente:
chkcon"ig vs"tpd on
4:.4. ;odificaciones necesarias en el muro cortafuegos.
Es necesaro abrr os puerto 20 y 21, por TCP (8A=(DAAA y 8A=, respectvamente) y e rango de
puertos para conexones pasvas que se haya defndo.
4:.4.+. ?ervicio ipta!les.
Puede utzar ipta!les, e|ecutando o sguente:
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 8% !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 81 !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport @%@%%7@%@%9 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 8% !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 81 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport @%@%%7@%@%9 !Q 5**'=1
4:.4.*. ?$oreRall.
Las regas corresponderan a ago smar a o sguente, permtendo e acceso haca e servco
FTP desde cuaquer zona de muro cortafuegos:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp /6C/3C666166=
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
A termnar de confgurar as regas para ?$oreRall, rence e muro cortafuegos, e|ecutando e
sguente mandato:
4:.5. =rocedimientos.
466
4:.5.+. ?"inu2 y el servicio vsftpd.
SELnux controa varas funcones de e servco vsftpd ncrementando e nve de segurdad de
ste.
Para permtr que e servdor FTP pueda asocarse a cuaquer puerto sn reservar a funconar en
modo pasvo, e|ecute e sguente mandato:
setsebool != "tpd/use/passive/mode 1
Para permtr que os usuaros annmos puedan reazar procesos de escrtura sobre e sstema
de archvos, e|ecute e sguente mandato:
setsebool != allo/"tpd/anon/rite 1
S se necesta permtr e acceso utzando as cuentas de usuaros de anftrn oca, a fn de que
stos puedan acceder a sus drectoro de nco, se debe habtar a potca ftpU$omeUdir:
setsebool != "tp/home/dir 1
Para hacer que SELnux permta acceder a os usuaros ocaes a resto de sstema de archvos,
e|ecute e sguente mandato:
setsebool != allo/"tpd/"ull/access 1
Para permtr que e servco vsftpd pueda hacer uso de sstemas de archvos remotos a travs
de CIFS (Samba) o NFS y que sern utzados para compartr a travs de servco, e|ecute
cuaquera de os sguentes mandatos:
setsebool != allo/"tpd/use/ci"s 1
setsebool != allo/"tpd/use/n"s 1
)ota.
Lo sguente so apca para Cent0? 5 y 'ed FatG "nterprise inu2 5.
Para emnar por competo a proteccn que brnda SELnux a servco vsftpd y que ste funcone
normamente sn esta vaosa proteccn, hacendo que todo o anterormente descrto en esta seccn
perda sentdo, e|ecute e sguente mandato:
setsebool != "tpd/disable/trans 1
Esta potca es nexstente en Cent0? 6 y 'ed FatG "nterprise inu2 6.
4:.5.*. Arc$ivo >etc>vsftpd>vsftpd.conf.
Utce un edtor de texto y modfque e archvo >etc>vsftpd>vsftpd.conf.
vim /etc/vs"tpd/vs"tpd#con"
467
A contnuacn anazaremos as opcones a modfcar o aadr segn se requera para
necesdades partcuares.
4:.5.3. 0pcin anonymousUena!le.
Esta opcn vene ncuda en a confguracn predetermnada. Se utza para defnr s se
permtrn os accesos annmos a servdor. Estabezca como vaor Z"? o )0 de acuerdo a o
que se requera.
anonymous/enable+<'S
4:.5.4. 0pcin localUena!le.
Esta opcn vene ncuda en a confguracn predetermnada. Estabece s se van a permtr os
accesos autentcados de os usuaros ocaes de sstema. Estabezca como vaor Z"? o )0 de
acuerdo a o que se requera.
local/enable+<'S
4:.5.5. 0pcin RriteUena!le.
Esta opcn vene ncuda en a confguracn predetermnada. Estabece s se permte e
mandato Rrite (escrtura) en e servdor. Estabezca como vaor Z"? o )0 de acuerdo a o que
se requera.
rite/enable+<'S
4:.5.6. 0pciones anonUuploadUena!le y anonUmOdirURriteUena!le
Ambas opcones venen ncudas en a confguracn predetermnada.
La opcn anonUuploadUena!le especfca s os usuaros annmos tendrn permtdo subr
contendo a servdor. Por o genera no es una funcn deseada, por o que se acostumbra
desactvar sta.
anon/upload/enable+-0
La opcn anonUmOdirURriteUena!le especfca s os usuaros annmos tendrn permtdo
crear drectoros en e servdor. A gua que a anteror, por o genera no es una funcn deseada,
por o que se acostumbra desactvar sta.
anon/mkdir/rite/enable+-0
S se desea que os usuaros annmos puedan subr archvos a servdor FTP, se deben de|ar
estas dos opcones con vaor Z"?, guardar e archvo >etc>vsftpd>vsftpd.conf y regresar a
ntrprete de mandatos para crear un drectoro denomnado >var>ftp>incoming, e cua debe
pertenecer a usuaro y grupo ftp y tener contexto de SELnux tpo pu!licUcontentUrRUt.
468
mkdir /var/"tp/incoming
chon "tp7"tp /var/"tp/incoming
chcon !R !t public/content/r/t /var/"tp/incoming
Se recomenda que >var>ftp>incoming est asgnado como una partcn ndependente a resto
de sstema o ben se e apque cuota de dsco a usuaro ftp, porque de otro modo cuaquera
podra fcmente saturar e espaco de dsco dsponbe, desencadenando una denegacn de
servco en e servdor.
4:.5.7. 0pcin ftpdU!anner.
Esta opcn vene ncuda en a confguracn predetermnada. Srve para estabecer e bandern
de benvenda que ser mostrado cada vez que un usuaro acceda a servdor. Puede
estabecerse cuaquer frase breve que consdere convenente, pero sin signos de puntuacin.
"tpd/banner+;ienvenido al servidor >1= de nuestra empresa
4:.5.:. "sta!leciendo .aulas para los usuarios- opciones
c$rootUlocalUuser y c$rootUlistUfile.
Estas opcones venen ncudas en a confguracn predetermnada.
De modo predetermnado os usuaros de sstema que se autentquen tendrn acceso a otros
drectoros de sstema fuera de su drectoro persona. S se desea mtar a os usuaros a so
poder utzar su propo drectoro persona, puede hacerse fcmente con a opcn
c$rootUlocalUuser que habtar a funcn de c$rootPQ y as opcones c$rootUlistUena!le y
c$rootUlistUfile, para estabecer e archvo con a sta de usuaros que quedarn excudos de a
funcn c$rootPQ.
chroot/local/user+<'S
chroot/list/enable+<'S
chroot/list/"ile+/etc/vs"tpd/chroot/list
Con o anteror, cada vez que un usuaro oca se autentque en e servdor FTP, so tendr
acceso a su propo drectoro persona y o que ste contenga. Por favor recuerde crear el
arc$ivo >etc>vsftpd>c$rootUlist debdo a que de otro modo ser mposbe que funcone
correctamente e servco vsftpd.
Cabe seaar que a funcn c$rootPQ puede ser pegrosa s e usuaro reguar utzado tene
acceso a ntrprete de mandatos de sstema (>!in>!as$ o >!in>s$) y adems prvegos de
escrtura sobre e drectoro raz de su propa |aua (es decr su drectoro de nco). Los
drectoros de nco de os usuaros nvoucrados deben tener permso 755, sean propedad de
root y se asgne a usuaro >!in>false o >s!in>nologin como ntrprete de mandatos. Lo sguente
corresponde a o que sera necesaro e|ecutar para modfcar una cuenta de usuaro reguar que
se quere pueda acceder a servdor FTP utzando c$rootPQ:
chmod $:: /home/mengano
chon root7root /home/mengano
mkdir /home/mengano/uploads
chon mengano7mengano /home/mengano/uploads
usermod !s /sbin/nologin mengano
469
A partr de a versn 3.0 se mpde e ngreso con c$rootPQ a todos os usuaros reguares que
tengan acceso a ntrprete de mandatos o ben que posean prvegos de escrtura sobre su
drectoro de nco.
4:.5.[. 0pciones pasvUminUport y pasvUma2Uport.
Ambos estn ausentes en e archvo >etc>vsftpd>vsftpd.conf. Aada stas al final del
arc$ivo de configuracin. Permten estabecer e rango arbtraro de puertos utzados para as
conexones pasvas. Puede eegrse cuaquer rango de puertos entre 1024 y 65535, msmo que
deber ser habtado en e muro cortafuegos de servdor. En e sguente e|empo se estabece e
rango de puertos para conexones pasvas de 30300 a 30309:
pasv/min/port+@%@%%
pasv/max/port+@%@%9
4:.5.+I. Control del anc$o de !anda.
4:.5.+I.+. 0pcin anonUma2Urate.
Esta opcn est< ausente en a confguracn predetermnada. Puede aadra a fna de
archvo >etc>vsftpd>vsftpd.conf. Se utza para mtar a tasa de transferenca, en bytes por
segundo, para os usuaros annmos, ago sumamente t en servdores FTP de acceso pbco.
En e sguente e|empo se mta a tasa de transferenca a 500 Kb por segundo para os usuaros
annmos:
anon/max/rate+:84866
4:.5.+I.*. 0pcin localUma2Urate.
archvo >etc>vsftpd>vsftpd.conf. Hace o msmo que anonUma2Urate, pero apca para usuaros
ocaes de servdor. En e sguente e|empo se mta a tasa de transferenca a 1 MB por segundo
para os usuaros ocaes:
local/max/rate+1%46:$6
4:.5.+I.3. 0pcin ma2Uclients.
archvo >etc>vsftpd>vsftpd.conf. Estabece e nmero mxmo de centes que podrn acceder
smutneamente haca e servdor FTP. En e sguente e|empo se mtar e acceso a 20 centes
smutneos.
max/clients+8%
4:.5.+I.4. 0pcin ma2UperUip.
470
archvo >etc>vsftpd>vsftpd.conf. Estabece e nmero mxmo de conexones que se pueden
reazar desde una msma dreccn IP. Tome en cuenta que agunas redes acceden a travs de
un servdor ntermedaro (Proxy) o puerta de enace y debdo a sto podran quedar boqueados
nnecesaramente agunos accesos. En e sguente e|empo se mta e nmero de conexones
por IP smutneas a un mxmo de 10.
max/per/ip+1%
4:.5.+I.5. ?oporte ??>A?.
Sendo que todos os datos envados a travs de protocoo FTP se hacen en texto smpe
(ncuyendo nombres de usuaro y caves de acceso), hoy en da es muy pegroso operar un
servdor FTP sn SSL/TLS.
J?8A=D puede ser confgurado fcmente para utzar os protocoos ?? (?ecure ?ockets
ayer o Nve de Zcao Seguro) y A? (Aransport ayer ?ecurty o Segurdad para Nve de
Transporte) a travs de un certfcado '?A.
Acceda a sstema como e usuaro root.
Acceda a drectoro >etc>pOi>tls>.
cd /etc/pki/tls/
E certfcado y frma dgta se pueden generar utzando e sguente mandato, para o cua se
utzar una estructura E.5I[, agortmo de cfrado '?A de 1024 kb, sn Ariple D"?, e cua
permta ncar normamente, sn nteraccn aguna, a servco vsftpd, con una vadez por +:*5
das (cnco aos). Por favor, e|ecute, desde a termna, e sguente mandato:
openssl reJ !x:%9 !nodes !days 168: !nekey rsa71%84 K
!keyout private/vs"tpd#key K
!out certs/vs"tpd#crt
Lo anteror soctar se ngresen os sguentes datos:
Cdgo de dos etras para e pas.
Estado o provnca.
Cudad.
Nombre de a empresa o ben a razn soca.
Undad o seccn responsabe de certfcado.
Nombre de anftrn (FODN) o ben domno con comodn.
Dreccn de correo eectrnco de a persona responsabe de certfcado.
La sada devueta sera smar a a sguente:
471
<ou are about to be asked to enter in"ormation that ill be
incorporated into your certi"icate reJuest#
4hat you are about to enter is hat is called a &istinguished -ame or
a &-#
1here are Juite a "e "ields but you can leave some blank
>or some "ields there ill be a de"ault valueB
)" you enter X#XB the "ield ill be le"t blank#
!!!!!
*ountry -ame (8 letter code) DI;E7MX
State or =rovince -ame ("ull name) D;erkshireE7D%s$r%$o Fe-er#)
2ocality -ame (egB city) D-eburyE7MeE%&o
0rganiCation -ame (egB company) D.y *ompany 2tdE7E<'res#C S.A. -e C.:.
0rganiCational ?nit -ame (egB section) DE7&ireccion *omercial
*ommon -ame (eg your name or your serverXs hostname) DE7L.-o<%n%o.org
'mail 5ddress DE70eb<#s$erK-o<%n%o.org
E archvo de certfcado (vsftpd.crt) y e de a frma dgta (vsftpd.Oey), deben tener permsos
de so ectura para e usuaro root.
chmod 4%% certs/vs"tpd#crt private/vs"tpd#key
Regrese a drectoro de nco de usuaro root.
cd
Edte e archvo >etc>vsftpd>vsftpd.conf:
vim /etc/vs"tpd/vs"tpd#con"
Aada a fna de este archvo todo e sguente contendo:
472
A 3abilita el soporte de 12S/SS2
ssl/enable+<'S
A &eshabilita o habilita utiliCar 12S/SS2 con usuarios anPnimos
allo/anon/ssl+-0
A 0bliga a utiliCar 12S/SS2 para todas las operacionesB es decirB
A trans"erencia de datos y autenticaciPn de usuarios locales#
A 'stablecer el valor -0B hace Jue sea o'&%on#) utiliCar 12S/SS2#
"orce/local/data/ssl+<'S
"orce/local/logins/ssl+<'S
A Se pre"iere 12Sv1 sobre SS2v8 y SS2v@
ssl/tlsv1+<'S
ssl/sslv8+-0
ssl/sslv@+-0
A Rutas del certi"icado y "irma digital
rsa/cert/"ile+;e$&;'8%;$)s;&er$s;*s+$'-.&r$
rsa/private/key/"ile+;e$&;'8%;$)s;'r%*#$e;*s+$'-.8ey
A 2os desarrolladores de >ileGilla decidieron con la versiPn @#:#@ Jue
A eliminarfan el soporte para el algoritmo de ci"rado @&'S!*;*!S35B
A con el argumento de Jue este algoritmo es una de los mRs lentos#
A Sin embargo con hsto rompieron compatibilidad con miles de
A servidores >1= Jue utiliCan >1='S# 2a soluciPn temporalB mientras
A los desarrolladores de >ileGilla raConan lo absurdo de su
A decisiPnB es utiliCar la siguiente opciPn7
ssl/ciphers+3)I3
A >ileCilla ademRs reJuiere desactivar la siguiente opciPn Jue puede
A romper compatibilidad con otros clientes# *abe seValar Jue >ileCilla
A se ha convertido en un desarrollo polfticamente incorrecto por deQar
A de respetar los estRndares#
reJuire/ssl/reuse+-0
Una vez concuda a confguracn, rence e servco vsftpd e|ecutando e sguente mandato:
service vs"tpd restart
4:.5.+I.6. Clientes recomendados para acceder a 8A="?.
Entre os centes recomendados para acceder a travs de 8A="?, est 8A= (compado con a
opcn <<(it<openssl y e|ecutando con as opcones <e Iset ftp)ssl<force trueI <e Iset
ssl)verify<certificate noI). E|empo, asumendo que se ncar una conexn haca e anftrn
192.168.70.105:
l"tp !e Xset "tp7ssl!"orce trueX K
!e Xset ssl7veri"y!certi"icate noX 198#166#$%#1%:
8ile9illa 3.3.2 (confgurar conexn como -T?,$ < -T? sobre T%$*$$% e4plcito) y ]in?C=. A
momento de redactar este documento, as versones mas recentes de centes como FreFTP o
gFTP, tenen roto e soporte para FTP sobre TLS/SSL (8A=? y 8A="?), por o que por e momento
es preferbe evtaros.
S utza 8ile9illa es mportante resatar que a partr de a versin 3.5.3 os desarroadores
tomaron una absurda decsn de sus desarroadores que emn e soporte para e agortmo de
cfrado SSL 3D"?(CBC(?FA, rompendo a compatbdad con mes de servdores FTP que
utzan 8A="?. La soucn a este probema es aadr a opcn sslUcip$ersVF&@F en e archvo
>etc>vsftpd>vsftpd.conf. 8ile9illa dspone de versones para @),>inu2, ;ac 0? E y
]indoRs E=>Jista>7. La sguente magen ustra a confguracn que se requere utzar.
473
Confguracn de cuenta FTPES en Feza.
Luego de ncada a conexn, a prmera vez que 8ile9illa se conecte a servdor, mostrar una
ventana con a nformacn de certfcado y soctar se acepte ste. Actve a casa que dce
2$iempre confiar en el certificado en futuras sesiones3 antes de hacer cc en e botn de
2Aceptar.3
Daogo de certfcado de FTPES en Feza.
474
4[. Configuracin de 0pen??F.
4[.+. &ntroduccin.
4[.+.+. Acerca de ??F.
??F (?ecure ?$e) es un con|unto de estndares y protocoo de red que permte estabecer una
comuncacn a travs de un cana seguro entre un cente oca y un servdor remoto. Utza una
cave pbca cfrada para autentcar e servdor remoto y, de manera opcona, permtr a
servdor remoto autentcar a usuaro. SSH provee confdencadad e ntegrdad en a
transferenca de os datos utzando crptografa y ;AC (;essage Authentcaton Codes o
Cdgos de Autentcacn de Mensa|e). De modo predetermnado, escucha petcones a travs de
puerto 22 por TCP.
4[.+.*. Acerca de ?8A=.
?8A= (?SH 8e Aransfer =rotoco) es un protocoo que provee funconadad de transferenca y
manpuacn de archvos a travs de un fu|o confabe de datos. Comnmente se utza con
??F para proveer a ste de transferenca segura de archvos.
4[.+.3. Acerca de ?C=.
?C= (?ecure Copy o Copa Segura) es una protocoo seguro para transferr archvos entre un
anftrn oca y otro remoto, a travs de ??F. Bscamente, es dntco a 'C= ('emote Copy o
Copa Remota), con a dferenca de que os datos son cfrados durante a transferenca para
evtar a extraccn potenca de nformacn a travs de programas de captura de as tramas de
red (pacOet sniffers). ?C= so mpementa a transferenca de archvos, pues a autentcacn
requerda es reazada a travs de ??F.
4[.+.4. Acerca de 0pen??F.
0pen??F (0pen ?ecure ?$e) es una aternatva de cdgo fuente aberto, con licencia B?D,
haca a mpementacn propetara y de cdgo cerrado ??F creada por Aatu Zllnen.
0pen??F es un proyecto creado por e equpo de desarroo de OpenBSD y actuamente drgdo
por A$eo de 'aadt. Se consdera es ms segura que a versn prvatva Ynen, gracas a a
constante audtora que se reaza sobre e cdgo fuente por parte de una enorme comundad de
desarroadores, una venta|a que brnda e $oft(are %ibre.
OpenSSH ncuye servco y centes para os protocoos ??F, ?8A= y ?C=.
URL: http://www.openssh.org/.
475
4[.*. "#uipamiento lgico necesario.
4[.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
S reaz una nstaacn mnma, e|ecute o sguente para nstaar a paquetera necesara:
yum !y install openssh openssh!server openssh!clients
4[.*.*. "n open?,?"G y ?,?"G inu2 "nterprise.
S reaz una nstaacn mnma, e|ecute o sguente para nstaar a paquetera necesara:
yast !i openssh
4[.3. ActivarH desactivarH iniciarH detener y reiniciar el servicio
ss$.
De modo predetermnado, e servco ss$d est actvo en os nvees de e|ecucn 2, 3, 4 y 5.
4[.3.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
Para desactvar e servco ss$d de todos os nvees de e|ecucn e|ecute:
chkcon"ig sshd o""
Para ncar por prmera vez e servco ss$d e|ecute:
service sshd start
Para hacer que surtan efecto os cambos hechos a a confguracn de servco ss$d e|ecute:
Para detener e servco ss$d e|ecute:
service sshd stop
4[.3.*. "n open?,?"G y ?,?"G inu2 "nterprise.
Para desactvar e servco ss$d de todos os nvees de e|ecucn e|ecute:
insserv !r sshd
Para ncar por prmera vez e servco ss$d e|ecute:
rcsshd start
476
Para hacer que surtan efecto os cambos hechos a a confguracn de servco ss$d e|ecute:
rcsshd restart
Para detener e servco ss$d e|ecute:
service sshd stop
4[.4. ;odificaciones necesarias en el muro cortafuegos.
Es necesaro abrr e puerto 22 por TCP (??F) o ben e puerto que se haya seecconado para e
servco.
4[.4.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
4[.4.+.+. ?ervicio ipta!les.
Puede utzar e mandato ipta!les de sguente modo:
4[.4.+.*. ?$oreRall.
Las regas corresponderan a ago smar a o sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 net " tcp 88
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necesaro abrr
e puerto correspondente.
477
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 net " tcp 88
ACCE9T )o& +0 $&' //
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
O ben, hacer todo o anteror, con una soa rega, que permta e acceso desde cuaquer zona de
muro cortafuegos:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
ACCE9T #)) +0 $&' //
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
S se decd ofuscar e puerto de SSH, puede utzar a sguente rega, donde, en ugar de
52341, deber especfcar e puerto que haya eegdo:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
ACCE9T #)) +0 $&' !/43
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
sguente mandato:
4[.4.*. "n open?,?"G y ?,?"G inu2 "nterprise.
yast "ireall
Habte ?ecure ?$ell ?erver o ben e puerto seecconado para utzar e servco y apque os
cambos.
478
Mduo de cortafuegos de YaST, habtando Secure She Server.
4[.5. ?"inu2 y el servicio ss$d.
S utza openSUSE y SUSE Lnux Enterprse omta a sguente seccn.
S se utza de Cent0?, 8edoraG o 'ed FatG "nterprise inu2, e sstema ncuye tres
potcas para e servco ss$d.
4[.5.+. =oltica ss$Uc$rootUrRU$omedirs.
Esta potca habta o deshabta, a ectura y escrtura de archvos a travs de SFTP en os
drectoros de nco de os usuaros en|auados. E vaor predetermnado es deshabtado. Para
habtar so e|ecute:
setsebool != ssh/chroot/r/homedirs 1
4[.5.*. =oltica fencedUcanUss$.
Esta potca permte a usuaros en|auados a travs de SFTP puedan ngresar tambn a travs de
SSH. E vaor predetermnado es deshabtado. Por o genera |ams se evta utzar esta potca.
Para habtar so e|ecute:
setsebool != "enced/can/ssh 1
4[.5.3. =oltica ss$Uc$rootUmanageUapac$eUcontent.
Esta potca permte a usuaros en|auados a travs de SFTP puedan admnstrar contendo de
Apache. E vaor predetermnado es deshabtado. Para habtar so e|ecute:
479
setsebool != ssh/chroot/manage/apache/content 1
4[.5.4. =oltica ss$UsysadmUlogin.
Esta potca habta o deshabta, e acceso a travs de servco de ??F como admnstrador de
sstema (contextos sysadmUr-sysadmUt, que corresponden a os de drectoro de nco de
usuaro root o ben que pueden ser apcados a drectoro de nco de otro usuaro con
prvegos). E vaor predetermnado es deshabtado. Para habtar so e|ecute:
setsebool != ssh/sysadm/login 1
4[.5.5. =oltica alloRUss$UOeysign.
Esta potca habta o deshabta, e acceso a travs de ssh utzando frmas dgtaes. E vaor
predetermnado es deshabtado. Para habtar so e|ecute:
setsebool != allo/ssh/keysign 1
Para ms detaes, consute e documento ttuado Cmo utili9ar 0pen??F con
autenticacin a travs de firma digital..
4[.5.6. Conte2to ss$U$omeUt.
E contexto de SELnux para de os drectoros ^>.ss$ y sus contendos, debe ser tpo
ss$U$omeUt. En caso de haber actuazado e sstema desde versones anterores a CentOS 6.3 o
Red Hat Enterprse Lnux 6.3, puede re-estabecer os contextos e|ecutando o sguente:
restorecon !R /root
restorecon !R /home
O ben e|ecutando:
chcon !R !t ssh/home/t /root/#ssh
chcon !R !t ssh/home/t /home/L/#ssh
4[.6. Arc$ivos de configuracin.
>etc>ss$>ss$dUconfig
Archvo prncpa de confguracn de servdor ??F.
>etc>ss$>ss$Uconfig
Archvo prncpa de confguracn de os centes ??F utzados desde e anftrn oca.
^>.ss$>config
480
Archvo persona para cada usuaro, que amacena a confguracn utzada por os
centes ??F utzados desde e anftrn oca. Permte a usuaro oca utzar una
confguracn dstnta a a defnda en e archvo >etc>ss$>ss$Uconfig.
^>.ss$>OnoRnU$osts
Archvo persona para cada usuaro, e cua amacena as frmas dgtaes de os
servdores ??F a os que se conectan os centes. Cuando stas frmas camban, se
pueden actuazar utzando e mandato ss$(Oeygen con a opcn (' y e nombre de
anftrn como argumento, e cua emna a entrada correspondente de archvo
^>.ss$>OnoRnU$osts, permtendo aadr de nuevo e anftrn con una nueva frma
dgta. E|empo: ss$(Oeygen (' nom!re.dominio.tld.
^>.ss$>aut$ori9edUOeys
Archvo persona para cada usuaro, e cua amacena os certfcados de os centes
??F, para permtr autentcacn haca servdores ??F sn requerr contrasea.
Consute e documento ttuado Cmo utili9ar 0pen??F con autenticacin a
travs de firma digital.
Cuando se utzan cuentas con acceso a ntrprete de mandatos, as opcones sumnstradas a
mandato ss$ tenen precedenca sobre as opcones estabecdas en e archvo ^>.ss$>config,
que a su vez tene precedenca sobre as opcones defndas en e archvo >etc>ss$>ss$Uconfig.
4[.7. =rocedimientos.
Edte e archvo >etc>ss$>ss$dUconfig.
vim /etc/ssh/sshd/con"ig
A contnuacn se anazarn as opcones bscas que se recomenda modfcar.
4[.7.+. =ar<metro =ort.
Una forma de eevar consderabemente a segurdad a servco de ??F, consste en cambar e
nmero de puerto utzado por e servco, por otro que so conozca e admnstrador de
sstema. A este tpo de tcncas se es conoce como ?eguridad por 0scuridad. La mayora de
os dencuentes nformtcos utza guones que buscan servdores que respondan a petcones a
travs de puerto 22. Cambar de puerto e servco de SSH dsmnuye consderabemente a
posbdad de una ntrusn a travs de este servco.
=ort 88
??F traba|a a travs de puerto 22 por TCP. Puede eegrse cuaquer otro puerto entre e 1025 y
65535. En e sguente e|empo, se estabecer e puerto 52341:
=ort :8@41
4[.7.*. =ar<metro istenAddress.
481
De modo predetermnado e servco de SSH responder petcones a travs de todas as
dreccones presentes en todas as nterfaces de red de sstema. En e sguente e|empo, e
servdor a confgurar tene a dreccn IP +[*.+6:.+.*54, a cua so podra ser accedda desde
a red oca:
2isten5ddress 198#166#1#8:4
4[.7.3. =ar<metro =ermit'ootogin.
Estabece s se va a permtr e ngreso drecto de usuaro root a servdor SSH. S se va a permtr
e ngreso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con
e vaor no, de modo que sea necesaro ngresar prmero con una cuenta de usuaro actva, con
un ntrprete de mandatos que permta e acceso.
=ermitRoot2ogin no
4[.7.4. =ar<metro E++8orRarding.
Estabece s se permtr a e|ecucn remota de apcacones grfcas que utcen e servdor
X11. Resutar convenente para agunas tareas admnstratvas que so puedan evarse a cabo
con herramentas grfcas o ben s se requere utzar una apcacn grfca en partcuar. Para
este fn, este parmetro puede estabecerse con e vaor yes.
X11>orarding yes
4[.7.5. =ar<metro AlloR,sers.
Permte restrngr e acceso por usuaro y/o por anftrn. E sguente e|empo restrnge e acceso
haca e servdor ??F para que so puedan hacero os usuaros fuano y mengano, desde
cuaquer anftrn.
5llo?sers "ulano mengano
E sguente e|empo restrnge e acceso haca e servdor ??F para que so puedan hacero os
usuaros fuano y mengano, pero so desde os anftrones 10.1.1.1 y 10.2.2.1.
5llo?sers "ulano[1%#1#1#1 mengano[1%#1#1#1 "ulano[1%#8#8#1 mengano[1%#8#8#1
4[.7.6. =ar<metro ,seD)?.
Cuando un cente reaza una conexn haca un servdor SSH, ste tmo ntentar resover en
e DNS predetermnado de sstema, a dreccn IP de cente. S e servdor DNS predetermnado
de sstema carece de una zona de resoucn nversa que resueva un nombre para a dreccn
IP de cente, a conexn se demorar agunos segundos ms de o norma. Agunos
admnstradores preferen desactvar esta funcn, con e fn de agzar as conexones SSH en
redes donde se carece de servdores DNS que tengan zonas de reenvo para resover os nombres
o zonas de resoucn nversa para resover as dreccones IP de os segmentos de red oca,
defnendo e vaor no para este parmetro.
?se&-S no
482
De ado de cente se reaza un proceso de vadacn, que tene como ob|etvo verfcar s se
estn fasfcando regstros en un servdor DNS, en e caso de que ste tmo se haya vsto
comprometdo en su segurdad. La opcn que controa esta funcn es C$ecOFost&=, tene
estabecdo yes como vaor predetermnado y se defne en e archvo >etc>ss$>ss$Uconfig
(archvo de confguracn para os centes SSH de anftrn oca). Por o genera se recomenda
de.ar intacta esta opcin, con e vaor predetermnado, savo que os servdores SSH
nvoucrados carezcan de resoucn en agn servdor DNS. Estabecer e vaor no, tene como
resgo e ser susceptbe de conectarse nadvertdamente a un servdor dstnto a que reamente
se quera utzar, cuya resoucn de nombre de anftrn haya sdo fasfcada y que pudera
estar sendo utzado con maas ntencones para engaar y poder capturar nombres de usuaro y
contraseas, para posterormente ser utzados para acceder a servdor verdadero.
4[.:. =ro!ando 0pen??F.
4[.:.+. Acceso con intrprete de mandatos.
Para acceder con ntrprete de mandatos haca e servdor, basta con e|ecutar desde e sstema
cente e mandato ss$, defnendo como argumentos e usuaro a utzar, una arroba y a
dreccn IP o nombre de servdor a cua se quera conectar:
ssh usuario[nombre#dominio#tld
S e servdor SSH opera en un puerto dferente a 22, se puede utzar a opcn (p con e nmero
de puerto utzado como argumento. En e sguente e|empo, utzando a cuenta de usuaro
.uan, se ntentar acceder haca e servdor con dreccn IP +[*.+6:.7I.[[, e cua tene un
servco de ??F que responde petcones a travs de puerto 52341.
ssh !p :8@41 Quan[198#166#$%#99
4[.:.*. Aransferencia de arc$ivos a travs de ?8A=.
Para acceder a travs de ?8A= haca e servdor, basta con e|ecutar desde e sstema cente e
mandato sftp defnendo e usuaro a utzar y e servdor a cua conectar:
s"tp usuario[servidor
E ntrprete de mandatos de ?8A= es muy smar a utzado para e protocoo FTP y tene as
msmas funconadades.
Para acceder haca un puerto en partcuar, en e cua est traba|ando e servco de SSH, se hace
travs a opcn (o con e vaor =ortVn1mero de puerto. En e sguente e|empo, utzando a
cuenta de usuaro .uan, se acceder a travs de ?8A= haca e servdor 192.168.70.99, e cua
tene traba|ando e servco de SSH en e puerto 52341.
s"tp !o =ort+:8@41 Quan[198#166#$%#99
S dspone de un escrtoro en GNU/Lnux, con GNOME 2.x, puede acceder haca servdores ??F a
travs de protocoo ?8A= utzando e admnstrador de archvos ()autilus) para reazar
transferencas y manpuacn de archvos, especfcando e ,'& (,nform 'esource ocator o
Locazador Unforme de Recursos) Lsftp-M, segudo de servdor y a ruta haca a que se quere
acceder, segudo de puerto, en e caso que sea dstnto a 22.
483
Nautus, accedendo haca un drectoro remoto a travs de ?8A=.
4[.:.*.+. Jaulas para los usuarios #ue acceden a travs de ?8A=.
La funcn de c$root (|aua de confnamento de os usuaros) vene ncuda desde a versn
4.[p+ de OpenSSH. Para habtara, es necesaro edtar e archvo /etc/ssh/sshd_confg:
vim /etc/ssh/sshd/con"ig
Cas a fna de archvo, ocace a sguente nea:
Subsystem s"tp /usr/libexec/openssh/s"tp!server
Comente a nea con una amohada y aada e sguente contendo:
ASubsystem s"tp /usr/libexec/openssh/s"tp!server
S>bsys$e< s+$' %n$ern#)-s+$'
M#$&h Gro>' s+$'>sers
Chroo$D%re&$ory Ah
For&eCo<<#n- %n$ern#)-s+$'
A))o0T&'For0#r-%ng no
Guarde e archvo y regrese a ntrprete de mandatos
Rence e servco ss$d e|ecutando o sguente:
Utce e mandato groupadd para crear e grupo sftpusers.
groupadd s"tpusers
484
Aada a os usuaros a os cuaes se quera en|auar, a grupo sftpusers.
gpassd !a perengano s"tpusers
Cambe os permsos de drectoro de nco de os usuaros nvoucrados, para que pertenezcan a
root y tengan permso de acceso 755.
chon root7root /home/perengano
chmod $:: /home/perengano
Fnamente, cambe e ntrprete de mandatos de os usuaros nvoucrados a >s!in>nologin.
usermod !s /sbin/nologin perengano
A partr de este momento, os usuaros nvoucrados podrn ngresar a sstema a travs de SFTP,
pero so podrn tener acceso a su drectoro de nco.
D"ulano[centos6 \EF s+$' perengano[198#166#6%#6
perengano[198#166#6%#6Xs passord7
*onnected to 198#166#6%#6#
s"tpM '0-
Remote orking directory7 /
s"tpM )s -#
# ## #bash/logout #bash/pro"ile #bashrc
s"tpM
4[.:.3. Aransferencia de arc$ivos a travs de ?C=.
Para reazar transferencas de archvos a travs de ?C=, es necesaro conocer as rutas de os
drectoros ob|etvo de anftrn remoto. A contnuacn se descrben agunas de as opcones
ms mportantes de mandato scp.
(p (mnscua)
Preserva e tempo de modfcacn, tempos de acceso y os modos de archvo orgna.
(= (mayscua)
Especfca e puerto para reazar a conexn.
(r
Copa en modo descendente de os drectoros especfcados.
En e sguente e|empo, se transferr e archvo algo.t2t, preservando tempos y modos, haca
e drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp !p algo#txt "ulano[198#166#$%#997\/
En e sguente e|empo, se transferr a carpeta ;ail, |unto con todo su contendo, preservando
tempos y modos, $acia e drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
485
scp !rp .ail "ulano[198#166#$%#997\/
En e sguente e|empo, se transferr a carpeta ;ail, |unto con todo su contendo, desde e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99, cuyo servco de ??F escucha
petcones a travs de puerto 52341, preservando tempos y modos, haca e drectoro de
usuaro con e que se est traba|ando en e anftrn oca.
scp != :8@41 !rp "ulano[198#166#$%#997\/.ail #/
Por favor, contne con e documento ttuado OpenSSH con autentcacn a travs de frma
dgta.
486
5I. 0pen??F con autenticacin a travs de
firma digital.
5I.+. &ntroduccin.
Utzar frmas dgtaes en ugar de contraseas a travs de servcos como ??F, ?C= o ?8A=,
resuta una tcnca ms segura para autentcar dchos servcos, factando tambn a operacn
de guones y herramentas de respado que utzan dchos protocoos.
5I.*. =rocedimientos
5I.*.+. ;odificaciones en el ?ervidor remoto.
S utza CentOS, Fedora o Red Hat Enterprse Lnux acceda como admnstrador a servdor
remoto y habte a potca para SELnux denomnada alloRUss$UOeysign, e|ecutando o
sguente:
setsebool != allo/ssh/keysign 1 ee exit
S utza openSUSE o SUSE Lnux Enterprse omta e paso anteror.
Acceda nuevamente a servdor remoto pero con a cuenta de usuaro que se utzar. En e
e|empo se utzar a msma cuenta de root.
ssh root[servidor
S utza CentOS, Fedora o Red Hat Enterprse Lnux e|ecute os sguentes mandatos, os
cuaes tenen como ob|etvo crear e drectoro ^>.ss$> con permso de acceso de
ectura/escrtura so para e usuaro y cambar e contexto SELnux a tpo ss$U$omeUt, crear e
archvo ^>.ss$>aut$ori9edUOeys guamente con permso de acceso de ectura/escrtura so
para e usuaro y cambar e contexto SELnux a tpo ss$U$omeUt:
mkdir !m %$%% \/#ssh/
chcon !R !t ssh/home/t \/#ssh/
touch \/#ssh/authoriCed/keys
chmod 6%% \/#ssh/authoriCed/keys
chcon !t ssh/home/t \/#ssh/authoriCed/keys
exit
487
S utza openSUSE o SUSE Lnux Enterprse so e|ecute os sguentes mandatos, os cuaes
tenen como ob|etvo crear e drectoro ^>.ss$> con permso de acceso de ectura/escrtura so
para e usuaro, crear e archvo ^>.ss$>aut$ori9edUOeys guamente con permso de acceso de
ectura/escrtura so para e usuaro:
mkdir !m %$%% \/#ssh/
touch \/#ssh/authoriCed/keys
chmod 6%% \/#ssh/authoriCed/keys
exit
5I.*.*. ;odificaciones en el cliente.
5I.*.*.+. @enerar firma digital Pfirma digital p1!licaQ.
Se debe generar una frma dgta (frma dgta pbca) creada con D?A (Dgta ?gnature
Agorthm o Agortmo de Frma dgta). ?i se desea evitar utili9ar contrasea para
autenticarH slo se pulsa la tecla ")A"'. S asgna contrasea, est ser utzada para
autentcar e certfcado creado cada vez que se quera utzar ste para autentcar remotamente.
ssh!keygen !t dsa
E procedmento devover una sada smar a a sguente:
Ienerating public/private dsa key pair#
'nter "ile in hich to save the key (/home/usuario/#ssh/id/dsa)7
'nter passphrase (empty "or no passphrase)7
'nter same passphrase again7
<our identi"ication has been saved in /home/usuario/#ssh/id/dsa#
<our public key has been saved in /home/usuario/#ssh/id/dsa#pub#
1he key "ingerprint is7
8c7$@7@%7"e7687817a:7:87$67497@$7cd7:$7a"7@67d" usuario[cliente
)ota- Es mportante resatar que s desea utzar a frma dgta sn contrasea, |ams se deber
estabecer una contrasea durante a generacn de a frma dgta. Cuando e dogo de
ss$(Oeygen socte una contrasea con confrmacn, so debe pusar a teca ")A"' y
contnuar e procedmento.
Lo anteror genera os archvos os archvos ^>.ss$>idUdsa y ^>.ss$>idUdsa.pu!, os cuaes
deben tener permso de acceso 600 (so ectura y escrtura para e usuaro).
chmod 6%% \/#ssh/cid/dsaBid/dsa#pubd
>S utza CentOS, Fedora o Red Hat Enterprse Lnux debe cambar os contextos de ^>.ss$>
a tpo ss$U$omeUt:
chcon !R !t ssh/home/t \/#ssh/
S utza openSUSE o SUSE Lnux Enterprse omta e paso anteror.
Cope e contendo de archvo correspondente a a frma dgta pbca D?A (es decr
idUdsa.pu!) dentro de archvo ^>.ss$>aut$ori9edUOeys de usuaro a utzar en e servdor
remoto. En e sguente e|empo se utza a cuenta de root de servdor remoto.
488
cat \/#ssh/id/dsa#pubNssh root[servidor ,cat MM/root/#ssh/authoriCed/keys,
Para poder acceder a servdor desde cuaquer cente, basta copar os archvos idUdsa y
idUdsa.pu! dentro de drectoro ^>.ss$>, de a cuenta de usuaro de cada cente desde e que
se requera reazar conexn haca e servdor. Tendr seras mpcacones de segurdad s e
archvo idUdsa cae en manos equvocadas o se ve comprometdo. "ste arc$ivo de!er< ser
considerado como altamente confidencial.
Pueden generarse dferentes frmas dgtaes para cada usuaro que deba ngresar a travs de
SSH a servdor remoto. Smpemente se aade e contendo de archvo ^>.ss$>idUdsa.pu! de
cada usuaro a archvo ^>.ss$>aut$ori9edUOeys de a cuenta de usuaro a utzar en e servdor
remoto. Pueden agregarse cuantas frmas dgtaes en este archvo como sean necesaras. S
acaso se ve comprometda a segurdad de aguna frma dgta, se debe emnar sta de archvo
^>.ss$>aut$ori9edUOeys de servdor remoto.
5I.*.3. Compro!aciones.
S se omt asgnar contrasea para a ave D?A, deber poderse acceder haca e servdor
remoto sn necesdad de autentcar con a contrasea de usuaro remoto. S fue asgnada una
contrasea a a cave D?A, se podr acceder haca e servdor remoto autentcando con a
contrasea defnda a a cave D?A y sn necesdad de autentcar con a contrasea de usuaro
remoto.
489
5+. Configuracin y uso de )A=.
5+.+. &ntroduccin.
5+.+.+. Acerca de )A=.
)A= (!et(or' Time +rotocol) es un protocoo -de entre os ms antguos protocoos de Internet
(1985)- utzado para a sncronzacn de reo|es de sstemas computaconaes a travs de
redes, hacendo uso de ntercambo de paquetes (undades de nformacn transportadas entre
nodos a travs de enaces de datos compartdos) y atenca varabe (tempo de demora entre e
momento en que ago nca y e momento en que su efecto nca). )A= fue orgnamente
dseado -y sgue sendo mantendo- por Dave Ms, de a unversdad de Deaware.
NTP utza e agortmo de Marzuo (nventado por Keth Marzuo), e cua srve para seecconar
fuentes de orgen para a estmacn exacta de tempo a partr de un nmero determnado de
fuentes de orgen desordenadas, utzando a escaa ,AC.
La versn 4 de protocoo puede mantener e tempo con un margen de 10 msegundos a travs
de a red munda, acanzado exacttud de 200 mcrosegundos. En redes ocaes, ba|o condcones
dneas, este margen se puede reducr consderabemente.
E protocoo traba|a a travs de puerto 123, ncamente a travs de ,D=.
URL: http://www.etf.org/rfc/rfc1305.txt
5+.+.+.+. "stratos.
)A= utza e sstema |errquco de estratos de reo|.
"strato I: son dspostvos, como reo|es @=? o rado reo|es, que carecen de conectvdad haca
redes. So estn conectados a computadoras que son as encargadas de dstrbur os datos.
"strato +: Los sstemas se sncronzan con dspostvos de estrato 0. Los sstemas de este
estrato son referdos como servdores de tempo.
"strato *: Los sstemas envan sus petcones NTP haca servdores de estrato 1, utzando e
agortmo de Marzuo para recabar as me|ores muestra de datos, descartando que parezcan
proveer datos errneos y compartendo datos con sstemas de msmo estrato 2. Los sstemas de
este estrato actan como servdores para e estrato 3.
490
"strato 3: Los sstemas utzan funcones smares a as de estrato 2, srvendo como servdores
para e estrato 4.
"strato 4: Los sstemas utzan funcones smares a as de estrato 3.
Lsta de servdores pbcos, de estrato 1 y 2, en http://kopernx.com/?q=ntp y
http://www.eecs.ude.edu/-ms/ntp/servers.htm
5+.+.*. Acerca de ,AC.
,AC (Coordinated 1niversal Time o Tempo Unversa Coordnado) es un estndar de ata
precsn de tempo atmco. Tene segundos unformes defndos por AA& (Aempo Atmco
&nternacona o 0nternational Atomic Time), con segundos ntercaares o adconaes que se
anuncan a ntervaos rreguares para compensar a desaceeracn de a rotacn de paneta
Terra, as como otras dscrepancas. Estos segundos adconaes permten a ,AC estar cas a a
par de Tempo Unversa (,A o 1niversal Time), e cua es otro estndar pero basado sobre e
nguo de rotacn de a Terra, en ugar de e paso unforme de os segundos.
URL: http://es.wkpeda.org/wk/UTC
5+.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
yum !y install ntp ntpdate
5+.*.*. "n open?,?"G y ?,?"G inu2 "nterprise.
yast !i ntp
5+.3. ;odificaciones necesarias en el muro cortafuegos.
Es necesaro abrr e acceso haca e puerto +*3 so por UDP ()A=).
5+.3.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
5+.3.+.+. ?ystem(config(fireRall.
Y habte e acceso a puerto 123 por UDP y apque os cambos.
491
Herramenta system-confg-frewa habtando e puerto 123 por UDP.
5+.3.+.*. ?ervicio ipta!les.
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 18@ !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 18@ !Q 5**'=1
5+.3.+.3. ?$oreRall.
Las regas correspondera a ago smar a o sguente, asumendo que so se va a permtr a a
red de rea oca acceder a servdor NTP para permtr a stos sncronzar a hora de sstema:
492
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 loc " udp 18@
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
S se va a permtr a a red de rea oca acceder haca servdores de tempo ocazados en
Internet, en ugar de utzar un servdor en a msma red de rea oca, es necesaro utzar as
sguentes regas:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 loc net udp 18@
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Para apcar os cambos, rence e servco s$oreRall:
5+.3.*. "n open?,?"G y ?,?"G inu2 "nterprise.
yast "ireall
Y habte xntp Server o Servdor xntp, segn sea e caso o ben abra e puerto 123 por UDP y
apque os cambos.
Mduo de cortafuegos de YaST, en modo grfco, habtando servdor xntp.
493
Mduo de cortafuegos de YaST, en modo texto, habtando xntp Server.
5+.4. &niciarH detener y reiniciar el servicio ntpd.
5+.4.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
E mtodo estndar para actvar o desactvar e servco es travs de mandato c$Oconfig.
Para hacer que e servco de ntpd est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4 y 5), se e|ecuta o sguente:
chkcon"ig ntpd on
E mtodo estndar para controar e servco es travs de mandato service.
Para ncar e servco por prmera vez, so necesta e|ecutar:
service ntpd start
Para rencar e servco so se necesta e|ecutar:
service ntpd restart
Para detener e servco, so necesta e|ecutar:
service ntpd stop
5+.4.*. "n open?,?"G y ?,?"G inu2 "nterprise.
494
E mtodo estndar para actvar o desactvar e servco es travs de mandato insserv.
Para hacer que e servco de ntpd est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4 y 5), se e|ecuta o sguente:
insserv ntp
E mtodo estndar para controar e servco es travs de mandato rcntp.
rcntp start
rcntp restart
rcntp stop
5+.5.+. Ferramienta ntpdate
Una forma muy senca de sncronzar e reo| de sstema con cuaquer servdor de tempo es a
travs de mandato ntpdate. Se trata de una herramenta smar a rdate y se utza para
estabecer a fecha y hora de sstema utzando )A=. E sguente e|empo reaza una consuta
drecta )A=, utzando e mandato ntpdate con a opcn (u, para defnr se utce un puerto sn
prvegos, haca e servdor J.pool.ntp.org.
ntpdate !u %#pool#ntp#org
La opcn (u se utza cuando hay un cortafuegos que mpde a sada desde e puerto 123/UDP o
ben s e servco ntp est funconando y utzando e puerto 123/UDP.
E manua competo de mandato ntpdate puede consutarse e|ecutando o sguente:
man 6 ntpdate
5+.5.*. Arc$ivo de configuracin >etc>ntp.conf.
E manua competo para e formato de archvo >etc>ntp.conf puede consutarse e|ecutando o
sguente:
man : ntp#con"
5+.5.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
495
Los sstemas operatvos como CentOS, Fedora y Red Hat Enterprse Lnux, se ncuye un
archvo de confguracn >etc>ntp.conf, con una confguracn para uso genera que permte
traba|ar como cente )A=. Se recomenda respadar ste para futuras consutas y utzar un
nuevo archvo en su ugar:
mv /etc/ntp#con" /etc/ntp#con"#original
Genere e nuevo archvo >etc>ntp.conf que permtr funconar como servdor )A= en a red de
rea oca:
vim /etc/ntp#con"
Aada e sguente contendo y modfque o que consdere pertnente, como seran os vaores
resaltados:
496
A Se establece la polftica predeterminada para cualJuier
A servidor de tiempo utiliCado7 se permite la sincroniCaciPn
A de tiempo con las "uentesB pero sin permitir a la "uente
A consultar (noJuery)B ni modi"icar el servicio en el
A sistema (nomodi"y) y declinando proveer mensaQes de
A registro (notrap)#
restrict de"ault nomodi"y notrap noJuery
restrict !6 de"ault nomodi"y notrap noJuery
A =ermitir todo el acceso a la inter"aC de retorno del
A sistema#
restrict 18$#%#%#1
restrict !6 771
A Se le permite a las redes local sincroniCar con el servidor
A pero sin permitirles modi"icar la con"iguraciPn del
A sistema y sin usar a hstos como iguales para sincroniCar#
A *ambiar por las Jue correspondan a sus propias redes locales#
restrict 3=/.358.3.6 mask /!!./!!./!!.6 nomodi"y notrap
restrict 3=/.358.76.6 mask /!!./!!./!!.3/8 nomodi"y notrap
restrict 37/.35.3.6 mask /!!./!!./!!./46 nomodi"y notrap
restrict 36.6.3.6 mask /!!./!!./!!./48 nomodi"y notrap
A ReloQ local indisciplinado#
A 'ste es un controlador emulado Jue se utiliCa sPlo como
A respaldo cuando ninguna de las "uentes reales estRn
A disponibles#
"udge 18$#18$#1#% stratum 1%
server 18$#18$#1#%
A 5rchivo de variaciones#
dri"t"ile /var/lib/ntp/dri"t
broadcastdelay %#%%6
A 5rchivo de claves si acaso "uesen necesarias para realiCar
A consultas
keys /etc/ntp/keys
A 2ista de servidores de tiempo de estrato 1 o 8#
A Se recomienda tener al menos @ servidores listados#
A .as servidores en7
A http7//kopernix#com/ZJ+ntp
A http7//#eecis#udel#edu/\mills/ntp/servers#html
server 6.'oo).n$'.org iburst
server 3.'oo).n$'.org iburst
server /.'oo).n$'.org iburst
server .'oo).n$'.org iburst
A =ermisos Jue se asignarRn para cada servidor de tiempo#
A 'n los eQemplosB se impide a las "uente consultar o modi"icar
A el servicio en el sistemaB asf como tambihn enviar mensaQe de
A registro#
restrict 6.'oo).n$'.org mask 8::#8::#8::#8:: nomodi"y notrap noJuery
restrict 3.'oo).n$'.org mask 8::#8::#8::#8:: nomodi"y notrap noJuery
restrict /.'oo).n$'.org mask 8::#8::#8::#8:: nomodi"y notrap noJuery
restrict .'oo).n$'.org mask 8::#8::#8::#8:: nomodi"y notrap noJuery
A Se activa la di"usiPn hacia los clientes
broadcastclient
Para sncronzar a hora de nmedato en este servdor recn confgurado, e|ecute:
497
5+.5.*.*. "n open?,?"G y ?,?"G inu2 "nterprise.
Evte modfcar drectamente e archvo >etc>ntpd.conf, pues e mtodo preferdo de
confguracn es a travs de mduo correspondente de Za?A. En su ugar utce e mduo
Cente NTP de YaST, e|ecutando o sguente:
yast ntp!client
Conserve e reo| oca ndscpnado, defna os servdores NTP a utzar y apque os cambos.
Mduo de Cente NTP de YaST, en modo grfco, confgurando como servdor NTP.
498
Mduo de Cente NTP de YaST, en modo texto, confgurando como servdor NTP.
Para sncronzar a hora de nmedato en este servdor recn confgurado, e|ecute:
5+.5.3. Configuracin de clientes.
Asumendo que os centes GNU/Lnux ya tene nstaados os paquetes de NTP y que e servdor
tene una dreccn IP 172.16.1.1, verfque prmero que hay conectvdad haca e nuevo servdor
que acaba de confgurar e|ecutando como root o sguente:
ntpdate !u 1$8#16#1#1
16 Sep 1@7@%71: ntpdateD491@E7 adQust time server 1$8#16#1#1 o""set !%#%%%618 sec
S o anteror faa, verfque a confguracn en e servdor y su muro cortafuegos.
5+.5.3.+. Asignacin autom<tica a travs de servidor DFC=.
La forma ms smpe y prctca de repcar automtcamente a asgnacn de servdores NTP en
a red de rea oca, es a travs de un servdor DHCP.
Edte e archvo >etc>d$cp>d$cpd.conf o >etc>d$cpd.conf, de acuerdo a a versn de sstema
operatvo utzado:
499
Utce a opcn ntp(servers para defnr una sta separada por comas de todos os servdores
NTP que se quera utzar en a red de rea oca:
authoritativeY
option domain!name ,red!local#net,Y
o'$%on n$'-ser*ers 37/.35.3.3Y
shared!netork redlocal c
subnet 1$8#16#1#% netmask 8::#8::#8::#198 c
option routers 1$8#16#1#1Y
option subnet!mask 8::#8::#8::#198Y
option broadcast!address 1$8#16#1#6@Y
option domain!name!servers 1$8#16#1#1Y
option netbios!name!servers 1$8#16#1#1Y
range 1$8#16#1#8 1$8#16#1#:6Y
d
d
Rence e servco d$cpd a fn de que surtan efecto os cambos.
Para ms detaes acerca de a confguracn de servdor DHCP, por favor consute e documento
ttuado #onfiguraci/n de servidor &.#?.
5+.5.3.*. Configuracin manual en Cent0?H 8edoraG y 'ed FatG "nterprise
inu2.
Edte e archvo >etc>ntpd.conf:
vim /etc/ntp#con"
Aada o modfque e sguente contendo:
dri"t"ile /var/lib/ntp/dri"t
restrict de"ault kod nomodi"y notrap nopeer noJuery
restrict !6 de"ault kod nomodi"y notrap nopeer noJuery
restrict 18$#%#%#1
restrict !6 771
server 37/.35.3.3 iburst
include"ile /etc/ntp/crypto/p
keys /etc/ntp/keys
Y rence e servco ntp a fn de que surtan efecto os cambos:
5+.5.3.3. Configuracin manual en open?,?"G y ?,?"G inu2 "nterprise.
500
Evte modfcar archvo >etc>ntpd.conf, pues e mtodo preferdo de confguracn es a travs de
YaST.
vim /etc/ntp#con"
Utce e mduo Cente NTP de YaST, e|ecutando o sguente:
yast ntp!client
Emne e reo| oca ndscpnado, defna e servdor NTP a utzar y apque os cambos.
Mduo de Cente NTP de YaST, en modo grfco.
501
Mduo de Cente NTP de YaST, en modo texto.
502
5*. Configuracin de servidor )8?.
5*.+. &ntroduccin.
)8? ()etwork 8e ?ystem), es un popuar protocoo utzado para compartr sstemas de
archvos de manera transparente entre anftrones dentro de una red de rea oca. Es utzado
para sstemas de archvos dstrbudo.
Fue desarroado en 1984 por Sun Mcrosystems, tenendo en mente a ndependenca de
anftrn, sstema operatvo, protocoo de transporte. Funcona a travs de os protocoos ED'
(nve de presentacn de modeo OSI de TCP/IP) y 0)C '=C (nve de sesn de modeo OSI de
TCP/IP).
Es muy popuar entre sstemas basados sobre e estndar POSIX y vene ncudo en a mayora
de stos de modo predetermnado. Es muy fc de confgurar y utzar, sn embargo cabe
seaar que hay quenes denomnan cari!osamente a )8? como K:o -ile $ecurityK, pues carece
de soporte para vadar usuaros por contraseas, como o hacen otras aternatvas como Samba.
Su segurdad se basa sobre stas de de contro de acceso compuestas por dreccones IP o
nombres de anftrn. Es por sto que es mportante que e admnstrador de a red de rea oca
comprenda que un servdor NFS puede ser un sero probema de segurdad, s ste es
confgurado ncorrectamente.
Exsten tres versones de NFS que se utzan hoy en da:
)8?v*: Es a versn ms antgua y me|or soportada.
)8?v3: Tene ms caracterstcas que NFSv2, como e mane|o de archvos de
tamao varabe y me|ores nformes de errores. So es parcamente compatbe con
os centes para NFSv2.
)8?v4: Es a versn ms moderna, y, entre otras cosas, ncuye soporte para
segurdad a travs de Kerberos, soporte para ACL y utza operacones con
descrpcn de estado.
Savo que se trate de drectoros de acceso pbco, se recomenda utzar )8? so dentro de
una red de rea oca detrs de un muro contrafuegos y que so se permta e acceso a os
anftrones que ntegren a red de rea oca y evtar compartr sstemas de archvos con
nformacn sensbe a travs de Internet.
5*.*. "#uipamiento lgico necesario.
503
5*.*.+. "n Cent0?H 8edora y 'ed Fat "nterprise inu2.
E paquete nfs(utils vene ncudo |unto con a nstaacn estndar de estos sstemas operatvos
y contene tanto as herramentas de cente como as de servdor. De ser necesaro, como por
e|empo en e caso de una nstaacn mnma, e|ecute o sguente para nstaar todo o
necesaro:
yum !y install n"s!utils
S prefere una herramenta grfca para confgurar e servdor NFS, puede nstaar tambn e
paquete system(config(nfs:
yum !y install system!con"ig!n"s
5*.*.*. &nstalacin en open?,?" y ?,?" inu2 "nterprise.
En estos sstemas operatvos, exsten dos paquetes a nstaar: nfs(client, que corresponde a as
herramentas para centes NFS y nfs(Oernel(server, que corresponde a as herramentas de
servdor NFS. Ambos paquetes estn ncudos en a nstaacn estndar de openSUSE y SUSE
Lnux Enterprse. En caso de haber hecho una nstaacn mnma, e|ecute o sguente para
nstaaros:
yast !i n"s!client n"s!kernel!server
S prefere una herramenta, que funcona tanto desde a termna como desde e escrtoro, para
confgurar e sstema como cente NFS, puede nstaar tambn e paquete yast*(nfs(client.
yast !i yast8!n"s!client
S prefere una herramenta, que funcona tanto desde a termna como desde e escrtoro, para
confgurar e sstema como servdor NFS, puede nstaar tambn e paquete yast*(nfs(server.
yast !i yast8!n"s!server
5*.3. Definir los puertos utili9ados por )8?.
E sguente paso puede ser omtdo en openSUSE y SUSE Lnux Enterprse, gracas a que
?u?"8ireRall* detecta automtcamente os puertos aeatoros utzados por e servco
nfsserver.
En CentOS, Fedora y Red Hat Enterprse Lnux es mportante defnr os puertos f|os que utzar
NFS, pues e cortafuegos es ncapaz de abrr dnmcamente os puertos aeatoros que de modo
predetermnado utza ste.
Edte e archvo >etc>sysconfig>nfs:
vim /etc/syscon"ig/n"s
504
Habte o ben modfque, os sguentes parmetros, estabecendo os vaores mostrados a
contnuacn:
R_?015&/=0R1+6$:
20*H&/1*==0R1+@86%@
20*H&/?&==0R1+@8$69
.0?-1&/=0R1+698
S151&/=0R1+668
Tambn puede estabecer os puertos desde a ventana Confguracn de servdor de a
herramenta system(config(nfs.
Confguracn de Servdor en system(config(nfs.
S e servdor NFS va a traba|ar sn muro cortafuegos en una red de rea oca, este paso es
nnecesaro.
5*.4. &niciar servicio y aadir el servicio al inicio del sistema.
5*.4.+. "n Cent0?H 8edora y 'ed Fat "nterprise inu2.
S se reaz una nstaacn estndar, os servcos requerdos por nfs, es decr rpc!ind y
nfslocO, estarn actvos y funconando. So en e caso de haber reazado una nstaacn
mnma, es necesaro ncar prmero estos dos servcos, e|ecutando o sguente:
service rpcbind start
service n"slock start
De modo predetermnado os servcos rpc!ind y nfslocO estarn actvos en os nvees de
e|ecucn 3, 4 y 5.
De modo predetermnado e servco nfs estar nactvo. Para actvar este servco en os nvees
de e|ecucn 3 y 5, es decr os nvees recomendados, e|ecute o sguente:
chkcon"ig !!level @: n"s on
E mtodo estndar para detener, ncar o rencar e servco nfs, es travs de mandato
service, e nombre de servco (nfs) y reoad, restart, start o stop como argumentos.
505
service n"s start
Para vover a eer a confguracn de servco y apcar os cambos, sn nterrumpr as
conexones exstentes, so se necesta e|ecutar:
service n"s reload
service n"s restart
service n"s stop
Para verfcar e estado de servco, so necesta e|ecutar:
service n"s status
5*.4.*. "n open?,?" y ?,?" inu2 "nterprise.
E mtodo estndar para agregar e servco a nco de sstema es a travs de mandato
insserv. Para actvar e servco en os nvees de e|ecucn 3 y 5, e|ecute o sguente:
insserv n"sserver
E mtodo estndar para detener, ncar o rencar e servco, es travs de mandato
rcnfsserver.
rcn"sserver start
Para vover a eer a confguracn de servco y apcar os cambos, sn nterrumpr as
conexones exstentes, so se necesta e|ecutar:
rcn"sserver reload
rcn"sserver restart
rcn"sserver stop
506
Para verfcar e estado de servco, so necesta e|ecutar:
rcn"sserver status
5*.5. ;odificaciones necesarias en los arc$ivos
>etc>$osts.alloR y >etc>$osts.deny.
Convene estabecer un poco de segurdad extra a travs de tcpURrapper (tcpd), sobre todo s
e servdor NFS so va a operar en una red de rea oca sn muro cortafuegos.
Edte e archvo >etc>$osts.deny:
vim /etc/hosts#deny
portmap7 522
lockd7 522
mountd7 522
rJuotad7 522
statd7 522
Edte e archvo >etc>$osts.alloR:
vim /etc/hosts#allo
Asumendo que se va a permtr e acceso a as redes +[*.+6:.7I.I>*5, +7*.+6.+.I>*: y
+I.I.+.I>*[, aada e sguente contendo:
portmap7 198#166#$%#%/8:B 1$8#16#1#%/86B 1%#%#1#%/89
lockd7 198#166#$%#%/8:B 1$8#16#1#%/86B 1%#%#1#%/89
mountd7 198#166#$%#%/8:B 1$8#16#1#%/86B 1%#%#1#%/89
rJuotad7 198#166#$%#%/8:B 1$8#16#1#%/86B 1%#%#1#%/89
statd7 198#166#$%#%/8:B 1$8#16#1#%/86B 1%#%#1#%/89
Los cambos apcan de manera nmedata, sn rencar servco aguno.
5*.6. ;odificaciones necesarias en el muro cortafuegos.
verfque e|ecutando e mandato rpcinfo con a opcn (p os puertos y protocoos utzados por
os servcos portmapper, nfs, locOd, mountd, r#uotad y statd.
rpcin"o !p
La sada debe ser smar a a sguente.
507
program vers proto port service
1%%%%% 4 tcp 111 portmapper
1%%%%% @ tcp 111 portmapper
1%%%%% 8 tcp 111 portmapper
1%%%%% 4 udp 111 portmapper
1%%%%% @ udp 111 portmapper
1%%%%% 8 udp 111 portmapper
1%%%11 1 udp 6$: rJuotad
1%%%11 8 udp 6$: rJuotad
1%%%11 1 tcp 6$: rJuotad
1%%%11 8 tcp 6$: rJuotad
1%%%%@ 8 tcp 8%49 n"s
1%%%%@ @ tcp 8%49 n"s
1%%%%@ 4 tcp 8%49 n"s
1%%88$ 8 tcp 8%49 n"s/acl
1%%88$ @ tcp 8%49 n"s/acl
1%%%%@ 8 udp 8%49 n"s
1%%%%@ @ udp 8%49 n"s
1%%%%@ 4 udp 8%49 n"s
1%%88$ 8 udp 8%49 n"s/acl
1%%88$ @ udp 8%49 n"s/acl
1%%%81 1 udp @8$69 nlockmgr
1%%%81 @ udp @8$69 nlockmgr
1%%%81 4 udp @8$69 nlockmgr
1%%%81 1 tcp @86%@ nlockmgr
1%%%81 @ tcp @86%@ nlockmgr
1%%%81 4 tcp @86%@ nlockmgr
1%%%%: 1 udp 698 mountd
1%%%%: 1 tcp 698 mountd
1%%%%: 8 udp 698 mountd
1%%%%: 8 tcp 698 mountd
1%%%%: @ udp 698 mountd
1%%%%: @ tcp 698 mountd
Para servdores de NFSv4, en readad so es necesaro abrr en e muro cortafuegos e puerto
*I4[>AC= (nfs), pues es esta versn de| de depender de servco de mapa de puertos
(portmap). Sn embargo, para poder traba|ar con compatbdad para NFSv2 y NFSv3, es
necesaro abrr os puertos +++>,D=, +++>AC=, 66*>AC=, 66*>,D=, :75>AC=, :75>,D=,
:[*>AC=, :[*>,D=, *I*[>AC=, *I4[>,D=, 3*:I3>AC= y 3*76[>,D=. Los puertos que se abran
para os servcos locOd, mountd, r#uotad y statd deben corresponder con os msmo puertos
defndos e archvo >etc>sysconfig>nfs.
5*.6.+. "n Cent0?H 8edora y 'ed Fat "nterprise inu2.
5*.6.+.+. Ferramienta system(config(fireRall.
Habte os puertos +++>,D=, +++>AC=, 66*>AC=, 66*>,D=, :75>AC=, :75>,D=, :[*>AC=,
:[*>,D=, *I*[>AC=, *I4[>,D=, 3*:I3>AC= y 3*76[>,D= y apque os cambos.
508
System-confg-frewa habtando puertos para NFS.
5*.6.+.*. ?ervicio ipta!les.
S o prefere, tambn puede utzar drectamente e mandato ipta!les, e|ecutando o sguente:
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 8%49 !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 8%49 !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 111 !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 6$: !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 6$: !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport @86%@ !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport @8$69 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 8%49 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 8%49 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 111 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 6$: !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 6$: !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport @86%@ !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport @8$69 !Q 5**'=1
509
5*.6.+.3. ?$oreRall.
Las regas para e archvo >etc>s$oreRall>rules de ?$oreRall corresponderan a o sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp 111B668B6$:B698B8%49B@86%@
5**'=1 all " udp 111B668B6$:B698B8%49B@8$69
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Para apcar os cambos en Shorewa, e|ecute o sguente:
5*.6.*. "n open?,?" y ?,?" inu2 "nterprise.
yast "ireall
Y habte !FS Ser,er Ser,ice o Ser,icio de Ser,idor !FS y apque os cambos. sto
habtar todos os puertos necesaros.
Mduo de cortafuegos de YaST, en modo grfco, habtando e Ser,icio de Ser,idor !FS.
510
Mduo de cortafuegos de YaST, en modo texto, habtando !FS Ser,er Ser,ice.
5*.7.+. "l arc$ivo >etc>e2ports.
Es e archvo utzado para confgurar os drectoros que se compartrn a travs de NFS. E
formato utzado es e sguente:
/directorio/a/compatir an"itriones(opciones)
Se puede compartr cuaquer drectoro de sstema y sus respectvos subdrectoros, excepto por
aqueos subdrectoros que estn en otros sstemas de archvos.
Los anftrones se pueden defnr por domnos, nombres de anftrn, dreccones IP o segmentos
de boques de dreccones IP.
Las opcones utzadas pueden ser as sguentes:
ro y rR: So ectura o ectura y escrtura, respectvamente. Vaor predetermnado es
rR.
linOUrelative y linOUa!solute: convertr os enaces smbcos absoutos en enaces
smbcos reatvos o ben de|ar os enaces smbcos como estn,
respectvamente. Vaor predetermnado es nk_absoute.
noUrootUs#uas$ y rootUs#uas$: respeta e ud/gd 0 (root) o ben trasada ud/gd 0
haca ud/gd de usuaro annmo de NFS. Vaor predetermnado es root_squash.
511
s#uas$Uuids y s#uas$Ugids: especfca una sta de uds o gds que se trasadarn
a usuaro annmo utzado por NFS. E|empo: squash_uds=0-15,20,25-50.
allUs#uas$: trasada todos os ud y gd haca e ud y gd de usuaro annmo
utzado por NFS. Comnmente utzado para compartr drectoros de acceso
pbco, como e drectoro >var>ftp>pu!.
anonuid y anongid: estabecen en forma expcta e ud y gd de usuaro annmo
utzado por NFS. E|empo: anonud=150,anongd=100.
E manua que detaa e formato y opcones de archvo >etc>e2ports puede consutarse
man : exports
Para ver a sta de centes conectados a servdor NFS, se e|ecuta e mandato s$oRmount:
shomount
Para ver a sta de centes conectados a servdor NFS y os drectoros utzados por cada uno,
se e|ecuta e mandato s$oRmount con a opcn (a:
shomount !a
E manua que detaa as opcones de mandato s$oRmount puede consutarse e|ecutando o
sguente:
man 6 shomount
5*.7.+.+. ".emplos de configuracin del arc$ivo >etc>e2ports.
En e sguente e|empo, se comparte e drectoro oca >$ome en modo lectura y escritura (rR)
a todos os anftrones de +7*.+6.+.I>*:, respetando e ud y gd de root (noUrootUs#uas$):
/home 1$8#16#1#%/86(rBno/root/sJuash)
En e sguente e|empo, se comparte e drectoro oca >var>RRR en modo lectura y escritura
(rR) a +7*.+6.+.*, respetando e ud y gd de root (noUrootUs#uas$) y a +7*.+6.+.3 en modo
de slo lectura, trasadando todos os ud y gd a usuaro annmo utzado por NFS
(rootUs#uas$ es e vaor por omsn):
/var/ 1$8#16#1#8(rBno/root/sJuash) 1$8#16#1#@(roBall/sJuash)
5*.7.+.*. Ferramienta system(config(nfs en Cent0?H 8edora y 'ed Fat
"nterprise inu2.
La confguracn de os drectoros a exportar, con sus posbes opcones, en e archvo
>etc>e2ports, as como a confguracn de os puertos de NFS en e archvo >etc>sysconfig>nfs,
pueden hacer desde a herramenta grfca system(config(nfs.
512
Herramenta grfca system(config(nfs.
5*.7.+.3. Za?A nfs(server en open?,?" y ?,?" inu2 "nterprise.
La confguracn de os drectoros a exportar, con sus posbes opcones, en e archvo
>etc>e2ports, as como a confguracn de opcones de servdor NFS, pueden hacer utzando e
mduo nfs(server de YaST. E|ecute o sguente:
yast n"s!server
Mduo nfs(server de YaST.
5*.7.*. Jerificacin del servicio.
513
E mandato rpcinfo se utza para verfcar e estado de servdores NFS y otros servdores que
funconan sobre RPC.
Para verfcar e estado de os servcos en e anftrn oca, e|ecute:
rpcin"o
Para ver as estadstcas de uso en e anftrn oca, e|ecute e mandato rpcinfo con a opcn
(m:
rpcin"o !m
Para mostrar una sta de todos os programas RPC en e anftrn oca, e|ecute e mandato
rpcinfo con a opcn (p:
rpcin"o !p
Para mostrar una sta ms concsa de todos os programas RPC en e anftrn oca, e|ecute e
mandato rpcinfo con a opcn (s:
rpcin"o !s
Para mostrar os transportes soportados por e anftrn oca, e|ecute e mandato rpcinfo con a
opcn (A, udp, e nombre o dreccn IP de anftrn oca y nfs como argumentos. E|empo:
rpcin"o !1 udp localhost n"s
Para verfcar e estado de os servcos en un anftrn remoto, e|ecute e mandato rpcinfo con e
nombre o dreccn IP de un servdor NFS remoto como argumento. E|empo:
rpcin"o 198#166#1#64
Para ver as estadstcas de uso en un anftrn remoto, e|ecute e mandato rpcinfo con a opcn
(m y e nombre o dreccn IP de un servdor NFS remoto como argumento. E|empo:
rpcin"o !m 198#166#1#64
Para mostrar una sta de todos os programas RPC en un anftrn remoto, e|ecute e mandato
rpcinfo con a opcn (p y e nombre o dreccn IP de un servdor NFS remoto como argumento.
E|empo:
rpcin"o !p 198#166#1#64
Para mostrar una sta ms concsa de todos os programas RPC en un anftrn remoto, e|ecute e
mandato rpcinfo con a opcn (s y e nombre o dreccn IP de un servdor NFS remoto como
argumento. E|empo:
rpcin"o !s 198#166#1#64
514
Para mostrar os transportes soportados por un anftrn remoto, e|ecute e mandato rpcinfo con
a opcn (A, udp, e nombre o dreccn IP de un servdor NFS remoto y nfs como argumentos.
E|empo:
rpcin"o !1 udp 198#166#1#64 n"s
5*.7.3. ;onta.e de sistemas de arc$ivos )8?.
Para montar sstemas de archvos tpo NFS se utza e mandato mount con a sguente sntaxs:
mount D!o opcionesE servidor7/directorio /punto/montaQe
Para hacer permanentes os puntos de monta|e, se aaden entradas en e archvo >etc>fsta!,
utzando e sguente formato:
servidor7/directorio /punto/montaQe n"s4 opciones % %
Las posbes opcones para ambos archvos, son as sguentes:
rsi9e: Defne e tamao de bfer para ectura. E vaor predetermnado es 1024
bytes. S se ncrementa a 8192 bytes, me|ora consderabemente e rendmento de
servdor NFS a hacer a ectura de datos desde e cente. E|empo: mount -o
rsze=8192 servdor:/drectoro /mnt/servdor
Rsi9e: Defne e tamao de bfer para escrturas. E vaor predetermnado es 1024
bytes. S se ncrementa a 8192 bytes, me|ora consderabemente e rendmento de
servdor NFS a hacer a escrtura de datos desde e cente. E|empo: mount -o
wsze=8192 servdor:/drectoro /mnt/servdor
$ard y soft: E prmero hace que as apcacones que estn utzando e sstema de
archvos remoto entren en pausa cuando fae o se nterrumpa a conectvdad con e
servdor NFS, pudendo utzarse en combnacn con a opcn ntr para poder
nterrumpr as apcacones pausadas. E segundo permte, despus de un tempo
que se defne con a opcn tmeo, descartar as conexones fadas o nterrumpdas
haca un servdor NFS.
intr: Permte nterrumpr as apcacones y/o os procesos que hayan sdo pausados
tras a faa o nterrupcn de conectvdad con un servdor NFS.
timeo: Se utza para estabecer e mte de tempo en dcmas de segundo usado
antes de a prmera retransmsn despus de que ha faado o se ha nterrumpdo
una conexn a un servdor NFS. E vaor por omsn es 7 dcmas de segundo, tras
o cua se dupca por cada expracn RPC, hasta un mxmo de 60 segundos. Se
recomenda aumentar e vaor en redes con mucha congestn.
auto y noauto: E prmero defne s e sstema de archvos remoto se montar
automtcamente |unto con e nco de sstema. E segundo mpde que se monte
automtcamente e sstema de archvos remoto. E vaor predetermnado es auto.
515
user: permte a os usuaros reguares poder montar un sstema de archvos NFS.
Automtcamente aade as opcones noe2ec, nosuid y nodev (prohbdo e|ecutar
archvos de este sstema de archvos, prohbdo utzar SUID, prohbdo e uso de
dspostvos de boque, respectvamente).
E manua que detaa as opcones de montado para NFS para e archvo >etc>fsta! y que
tambn son utzadas por e mandato mount, pueden consutarse e|ecutando o sguente:
man : n"s
5*.7.4. ;odulo nfs de Za?A en open?,?" y ?,?" inu2 "nterprise.
Para confgurar os sstemas de archvos remotos para ser montados en e sstema de archvos
oca, e mtodo preferdo es utzar e mduo nfs de YaST. E|ecute o sguente:
yast n"s
Defna os servdores, drectoros remotos, puntos de monta|e y opcones a utzar y apque os
cambos.
Mduo de nfs de YaST, en modo texto.
5*.:. ".ercicios.
5*.:.+. Compartir un volumen )8? para acceso p1!lico.
S acaso fuese nexstente, genere e drectoro oca >var>ftp>pu!:
test !d /var/"tp/pub NN mkdir !p /var/"tp/pub
516
Cope cuaquer contendo de acceso pbco dentro de este drectoro.
Para compartr e drectoro oca >var>ftp>pu! en modo de slo lectura (ro), edte e archvo
>etc>e2ports:
vim /etc/exports
Asumendo que se trata de drectoro pbco de e servdor FTP de sstema, que ste se
compartr en modo de slo lectura (opcn ro) convrtendo todos os UID y GID de os centes
a usuaro annmo de NFS (opcn allUs#uas$), a toda a red de rea oca y que sta
corresponde a +[*.+6:.7I.I>*5, aada e sguente contendo:
/var/"tp/pub 198#166#$%#%/8:(roBall/sJuash)
S utza CentOS, Fedora o Red Hat Enterprse Lnux, e|ecute o sguente para apcar os
cambos:
service n"s restart
S utza openSUSE o SUSE Lnux Enterprse Server, e|ecute o sguente para apcar os cambos:
rcn"sserver restart
5*.:.+.+. Acceso desde los clientes )8?.
Como root, desde e anftrn cente, e|ecute e mandato s$oRmount con a opcn (e para
consutar os vomenes exportados por e servdor NFS:
shomount !e 198#166#$%#8
La sada debe ser smar a a sguente:
'xport list "or 198#166#$%#87
/var/"tp/pub 198#166#$%#%/8:
S acaso fuese nexstente, genere e drectoro oca >var>ftp>pu!:
test !d /var/"tp/pub NN mkdir !p /var/"tp/pub
Monte e drectoro remoto +[*.+6:.7I.*->var>ftp>pu! en e drectoro oca >var>ftp>pu!-
mount !o hardBintrBro 198#166#$%#87/var/"tp/pub /var/"tp/pub
Verfque con e mandato df que se ha montado con xto e drectoro remoto.
d" !h
Para confgurar permanentemente e drectoro remoto, edte e archvo >etc>fsta!:
517
vim /etc/"stab
198#166#$%#87/var/"tp/pub /var/"tp/pub n"s4 hardBintrBro % %
Rence e sstema y verfque que e drectoro remoto mont extosamente.
5*.[. Bi!liografa.
es.wkpeda.org/wk/Network_Fe_System
518
53. Configuracin !<sica de ?am!a.
ma uso de stos.
53.+. &ntroduccin.
53.+.+. Acerca del protocolo ?;B.
?;B (acrnmo de Server 6essage 3loc') es un protocoo, de )ivel de =resentacin de
modeo OSI de TCP/IP, creado en 1985 por IBM. Agunas veces es referdo tambn como C&8?
(Acrnmo de Common 2nternet File System, http://samba.org/cfs/) tras ser renombrado por
Mcrosoft en 1998. Entre otras cosas, Mcrosoft aad a protocoo soporte para enaces
smbcos y duros as como tambn soporte para archvos de gran tamao. ?or mera
coincidencia, sto ocurr por a msma poca en que Sun Mcrosystems hzo e anzamento de
WebNFS (una versn extendda de )8?, http://www.sun.com/software/webnfs/overvew.xm).
?;B fue orgnamente dseado para traba|ar a travs de protocoo NetBIOS, e cua a su vez
traba|a sobre )etB",& (acrnmo de !etB01$ %4tended 1ser 2nterface, que se traduce como
Interfaz de Usuaro Extendda de NetBIOS), &=E>?=E (acrnmo de 2nternet +ac'et
,(cange*Sequenced +ac'et ,(cange, que se traduce como &ntercam!io de pa#uetes
inter(red>&ntercam!io de pa#uetes secuenciales) o )BA, aunque tambn puede traba|ar
drectamente sobre AC=>&=.
53.+.*. Acerca de ?am!a.
SAMBA es un con|unto de programas orgnamente creados por Andrew Trdge y actuamente
mantendos por Te $AFBA Team, ba|o a Lcenca Pubca Genera GNU y que mpementan en
sstemas basados sobre UNIX e protocoo ?;B. Srve como reempazo tota para Wndows
NT, Warp, NFS o servdores Netware.
Necestar tener nstaados os sguentes paquetes:
samba: Servdor SMB.
samba-cent: Dversos centes para e protocoo SMB.
samba-common: Archvos necesaros para cente y servdor.
&nstalacin a travs de yum.
S utza Cent0?, 8edoraG o 'ed FatG "nterprise inu2, so e|ecute:
519
yum !y install samba samba!client samba!common
En e caso de Cent0? 6 y 'ed FatG "nterprise inu2 6, se nstaar ?am!a 3.6.[.
En e caso de Cent0? 5 y 'ed FatG "nterprise inu2 5, se nstaar ?am!a 3.I.33, sn
embargo hay opcn a utzar en su ugar ?am!a 3.5.4 nstaando os paquetes sam!a32,
sam!a32(client y sam!a32(common.
yum remove samba samba!client samba!common
yum !y install samba@x samba!client@x samba!common@x
Es necesaro abrr os puertos 135 a 139 por TCP y UDP y e puerto 445 por TCP.
Puede utzar drectamente e mandato ipta!les e|ecutando o sguente:
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 1@:71@9 !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 1@:71@9 !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 44: !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 1@:71@9 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m udp !p udp !!dport 1@:71@9 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 44: !Q 5**'=1
53.3.*. ?$oreRall.
Para permtr e acceso desde cuaquer zona de muro cortafuegos o s so se tene una zona en
e muro cortafuegos, as regas corresponderan a ago smar a o sguente:
520
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp 1@:71@9B44:
5**'=1 all " udp 1@:71@9
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
S se tenen varas zonas en e muro cortafuegos y so se desea permtr e acceso desde a zona
correspondente a red oca, e|ecute.
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 loc " tcp 1@:71@9B44:
5**'=1 loc " udp 1@:71@9
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
sguente mandato:
53.4. ?"inu2 y el servicio sm!.
A fn de que SELnux permta a servco sm! a escrtura como usuaro annmo, e|ecute:
setsebool != allo/smbd/anon/rite 1
A fn de que SELnux permta a servco sm! funconar como Controador Prmaro de Domno
(=DC, =rmary Doman Controer), e|ecute:
setsebool != samba/domain/controller 1
A fn de que SELnux permta a servco sm! compartr os drectoros de nco de os usuaros
ocaes de sstema, e|ecute:
setsebool != samba/enable/home/dirs 1
A fn de que SELnux desactve a proteccn para os drectoros de nco de os usuaros a travs
de servco sm!, e|ecute:
setsebool != use/samba/home/dirs 1
A fn de que SELnux permta a servco sm! crear nuevos drectoros de nco para os usuaros
a travs de PAM (operacn comn en Controadores Prmaros de Domno), e|ecute:
setsebool != samba/create/home/dirs 1
A fn de que SELnux permta a servco sm! funconar como un organzador de mapa de puertos
(portmappper), e|ecute:
521
setsebool != samba/portmapper 1
A fn de que SELnux permta a servco sm! e|ecutar guones dentro de drectoro
>var>li!>sam!a>scripts en sn confnamento, e|ecute:
setsebool != samba/run/uncon"ined 1
A fn de que SELnux permta a servco sm! compartr todos os recursos en modo de so
ectura, e|ecute:
setsebool != samba/export/all/ro 1
A fn de que SELnux permta a servco sm! compartr todos os recursos en modo de ectura y
escrtura, e|ecute:
setsebool != samba/export/all/r 1
Para defnr que un drectoro ser compartdo a travs de servco sm!, como por e|empo
>var>sam!a>pu!lico y que se debe consderar como contendo tpo Samba, e|ecute:
chcon !t samba/share/t /var/samba/publico
Cada nuevo drectoro que vaya a ser compartdo a travs de Samba, debe ser confgurado como
acaba de descrbrse antes de ser confgurado en e archvo >etc>sam!a>sm!.conf.
53.5. &niciar el servicio y aadirlo al arran#ue del sistema.
Para ncar os servcos nm! y sm! por prmera vez, e|ecute:
service nmb start
service smb start
S reaza agn cambo en a confguracn de a opcn net!ios name, es necesaro rencar e
servco nm!, e cua es e encargado de proveer e servdor de nombres para os centes a
travs de NetBIOS sobre IP.
service nmb restart
S va a apcar agn cambo en cuaquer otra opcn de a confguracn, como son os recursos
compartdos, so es necesaro rencar e servco sm!:
service smb restart
Para que os servcos nm! y sm! ncen automtcamente |unto con e sstema, so utce os
dos sguentes mandato:
chkcon"ig nmb on
chkcon"ig smb on
522
53.6.+. Alta de cuentas de usuario.
Asgne una contrasea a usuaro root. sta puede ser dstnta a a utzada en e sstema.
smbpassd !a root
Es mportante sncronzar as cuentas entre e servdor ?am!a y as estacones Wndows. Es
decr, s en una mquna con Wndows ngresamos como e usuaro fulano con contrasea
6LMq(e, en e servdor ?am!a deber exstr tambn dcha cuenta con ese msmo nombre y a
msma contrasea. Como a mayora de as cuentas de usuaro que se utzarn para acceder
haca ?am!a no requeren acceso a ntrprete de mandatos de sstema, no es necesaro
asgnar contrasea con e mandato passRd y se deber defnr >s!in>nologin o ben >!in>false
como ntrprete de mandatos para a cuenta de usuaro nvoucrada.
useradd !s /sbin/nologin >s>#r%o
smbpassd !a >s>#r%o
Es opcona asgnar contrasea con e mandato passRd. Cuaquer cuenta de usuaro a a cua se
haya omtdo asgnar contrasea a travs de mandato passRd, estar como cuenta inactiva
para e resto de os servcos.
S se necesta que as cuentas se puedan utzar para acceder haca otros servcos como seran
Tenet, SSH, etc, es decr, que se permta acceso a ntrprete de mandatos, ser necesaro
especfcar >!in>!as$ como ntrprete de mandatos y adems se deber asgnar una contrasea
en e sstema con e mandato passRd:
useradd !s /bin/bash >s>#r%o
passd >s>#r%o
smbpassd !a >s>#r%o
53.6.*. "l arc$ivo lm$osts
Es necesaro empezar resovendo de manera oca os nombres )etB&0?, asocndoos con as
dreccones IP correspondentes, en e archvo >etc>sam!a>lm$osts (mhosts es acrnmo de AN
;anager $osts). Edte e archvo >etc>sam!a>lm$osts con cuaquer edtor de texto smpe.
vim /etc/samba/lmhosts
E nombre :etB01$ debe tener un m<2imo de doce caracteres alfanumricos. Normamente
se utza e nombre corto de servdor, ben o e nombre corto que se asgno como aas a a
nterfaz de red. S se edta e archvo >etc>sam!a>lm$osts, se encontrar un contendo smar a
sguente:
18$#%#%#1 localhost
Se pueden aadr os nombres y dreccones IP de cada uno de os anftrones de a red oca.
Como mnmo debe defnrse e nombre de anftrn de servdor ?am!a, |unto con su
correspondente dreccn IP:
523
18$#%#%#1 localhost
3=/.358.76.3 ser*%-or
De manera opcona, tambn puede aadr e resto de os anftrones de a red oca. La
separacn de campos se hace con un tabuador. E|empo:
18$#%#%#1 localhost
198#166#$%#1 servidor
198#166#$%#8 Qoel
198#166#$%#@ blanca
198#166#$%#4 aleQandro
198#166#$%#: sergio
198#166#$%#6 isaac
198#166#$%#$ "inanCas
198#166#$%#6 direccion
53.6.3. 0pciones principales del arc$ivo sm!.conf.
Edte e archvo >etc>sam!a>sm!.conf con cuaquer edtor de texto smpe.
vim /etc/samba/smb#con"
Dentro de este archvo, encontrar nformacn que ser de utdad y que est comentada con
amohadas (smboo j) y varos e|empos comentados con punto y coma (smboo e), sendo
estos tmos os que se pueden tomar como referenca para confgurar.
53.6.3.+. 0pcin RorOgroup.
Se utza para estabecer e grupo de traba|o:
orkgroup + .)IR?=0
53.6.3.*. 0pcin net!ios name.
Permte estabecer arbtraramente un nombre de anftrn dstnto a detectado
automtcamente. Este nombre de anftrn deber corresponder con e estabecdo en e archvo
>etc>sam!a>lm$osts:
netbios name + servidor
53.6.3.3. 0pcin server string.
Es de carcter nformatvo para os usuaros de a red de rea oca. Permte defnr una
descrpcn breve acerca de servdor.
server string + Servidor Samba Wv en W2
53.6.3.4. 0pcin $osts alloR.
524
Permte estabecer segurdad adcona estabecendo a sta de contro de acceso de anftrones.
En sta se pueden defnr dreccones IP ndvduaes o redes que tendrn permso de acceso
haca e servdor. S, por menconar un e|empo, a red consste en as anftrones con dreccn IP
que van desde 192.168.70.1 hasta 192.168.70.254, e rango de dreccones IP que se defnr en
$osts alloR ser +[*.+6:.7I., de modo ta que so se permtr e acceso dchas mqunas.
En e sguente e|empo se defnen as redes 192.168.70.0/24 y 192.168.37.0/24, especfcando
os tres prmeros octetos de a dreccn IP de red, as como cuaquer dreccn IP de a red
127.0.0.0/8 (retorno de sstema o loopbac'), sendo necesaro defnr so e prmer octeto de
dcho segmento:
hosts allo + 18$#B 198#166#$%#B 198#166#@$#
53.6.3.5. 0pcin name resolve order.
De modo predetermnado est ausente de a confguracn. Puede aadra despus de a opcn
menconada arrba. Defne e orden a travs de cua se tratar de resover os nombres NETBIOS.
S utza e sguente e|empo, se estabece que prmero se ntentar resover os nombres
NETBIOS con a nformacn de archvo >etc>sam!a>lm$osts, uego e archvo >etc>$osts, uego
a travs de consutas en e servdor WINS y, s todo o anteror faa, a travs de a dreccn IP de
dfusn de a red oca.
name resolve order + lmhosts hosts ins bcast
S se va a utzar un servdor WINS en otro servidor o se est confgurando e sstema so
como cente SMB, se pueden agzar as comuncacones con e resto de os equpos de a red
oca estabecendo Rins como a prmera opcn para resoucn de nombres NETBIOS:
name resolve order + 0%ns lmhosts hosts bcast
525
)ota.
Nautus, e gestor de archvos predetermnado de escrtoro de GNOME, requere que est presente esta
tma confguracn en e archvo >etc>sam!a>sm!.conf de anftrn desde e cua se e|ecute y que
adems se especfque Rins en e orden de resoucn de nombres de archvo >etc>nssRitc$.conf de
anftrn desde e cua se e|ecute. De otro modo Nautus mostrar nvarabemente un error cada vez que
se ntente conectar a cuaquer servdor de red utzando un nombre NETBIOS.
Guarde e archvo /etc/samba/smb.conf, regrese a ntrprete de mandatos y edte e archvo
>etc>nssRitc$.conf:
vim /etc/nssitch#con"
En CentOS 6 y Red Hat Enterprse Lnux 6, arededor de a nea 38, ocace o sguente:
hosts7 "iles dns
Aada Rins despus de dns:
hosts7 "iles dns 0%ns
En versones recentes de Fedora openSUSE o Ubuntu, encontrar o sguente arededor de a nea
63:
"iles mdns4/minimal D-01>0?-&+returnE dns
Aada Rins despus de dns:
"iles mdns4/minimal D-01>0?-&+returnE dns 0%ns
53.6.3.6. 0pcin interfaces.
Permte estabecer desde que nterfaces de red de sstema se escucharn petcones. ?am!a
rechazar todas as conexones provenentes desde cuaquer otra nterfaz o dreccn IP, sn
defnr. sto es t cuando ?am!a se e|ecuta en un servdor que srve adems de puerta de
enace para a red oca, mpdendo se estabezcan conexones haca este servco desde Internet
o ben fuera de boque o segmento, de dreccones de a red oca.
Los vaores aceptados para esta opcn conssten una sta separada por comas o espacos, con
os nombres de as nterfaces (o, eth0, eth1, etc.) y dreccones IP utzada en una nterfaz en
partcuar, con a mscara de sub-red en formato C&D' (Cassess &nter-Doman 'outng), es
decr, expresada en bts. E|empo:
inter"aces + loB eth1B 198#166#$%#8:4/8:
53.6.4. 0pcin remote announce.
La opcn remote announce se encarga de que e servdor Samba se anunce a s msmo de
forma perdca haca uno o ms grupos de traba|o especfcos. Se utza cuando se necesta que
e servdor ?am!a aparezca en otros grupos de traba|o exstentes en a red de rea oca. E
grupo de traba|o de destno puede estar en donde sea, mentras exsta una ruta y sea posbe a
dfusn extosa de paquetes.
526
Los vaores que pueden ser utzados son dreccones IP de dfusn (!roadcast) de a red
utzada (es decr a tma dreccn IP de segmento de red) y/o nombres de grupos de traba|o.
En e sguente e|empo se defne que e servdor ?am!a se anunce a travs de as dreccones IP
de dfusn +[*.+6:.7I.+*7 (que corresponde a a dreccn IP de dfusn de a red
+[*.+6:.7I.I>*5) y +[*.+6:.*.*55 (que corresponde a a dreccn IP de dfusn de a red
+[*.+6:.*.I>*4), haca os grupos de traba|o D0;&)&0+ y D0;&)&0* que corresponden a
estas redes.
remote announce + 198#166#$%#18$/&0.)-)01B 198#166#8#8::/&0.)-)08
Para apcar os cambos, rence os servcos sm! y nm!:
service smb restart
service nmb restart
53.6.5. &mpresoras en ?am!a.
Las mpresoras se comparten de modo predetermnado, as que so hay que reazar agunos
a|ustes. S se desea que se pueda acceder haca a mpresora como usuaro nvtado sn
contrasea, basta con aadr pu!lic V Zes (que es o msmo que guest oO V Zes) en a seccn
de mpresoras. Edte e archvo /etc/samba/smb.conf:
Locace a seccn de mpresoras y aada pubc = Yes a a confguracn:
DprintersE
comment + 'l comentario Jue guste#
path + /var/spool/samba
printable + <es
broseable + -o
ritable + no
printable + yes
'>b)%& = Nes
Para apcar os cambos, rence e servco sm!:
service smb restart
Para a admnstracn de as coas de mpresn, anterormente se haca utzando a opcn
printer admin, defnendo una sta de usuaros o grupos. Actuamente se hace de manera
smar a cmo se hace en en Wndows, utzando potcas, e|ecute:
net !S ser*%-or !? roo$ rpc rights grant +>)#no Se=rint0perator=rivilege
53.6.6. Compartiendo directorios a travs de ?am!a.
Para os drectoros o vomenes que se rn a compartr, en e msmo archvo de confguracn
encontrar dstntos e|empos para dstntas stuacones partcuares. En genera, puede utzar e
sguente e|empo que funconar para a mayora:
527
Dlo/Jue/seaE
comment + *omentario Jue se le ocurra
path + /cualJuier/ruta/Jue/desee/compartir
Procure que os nombres de os recursos a compartr tengan un mxmo de 12 caracteres,
utzando so caracteres afanumrcos de a taba de caracteres ASCII.
E voumen puede utzar cuaquera de as sguentes opcones:
0pcin Descripcin
guest ok Defne s se permtr e acceso como usuaro nvtado. E vaor puede ser
<es o -o.
public Es un e#uivalente de a aopcn guest oO, es decr defne s se permtr
e acceso como usuaro nvtado. E vaor puede ser <es o -o.
broseable
Defne s se permtr mostrar este recurso en as stas de recursos
compartdos. E vaor puede ser <es o -o.
ritable Defne s se permtr a escrtura. Es a opcn contrara de read only. E
vaor puede ser <es o -o. E|empos: `ritable + <esa es lo mismo #ue
`read only + -oa. Obvamente `ritable + -oa es lo mismo #ue
`read only + <esa
valid users Defne os usuaros o grupos, que podrn acceder a recurso compartdo.
Los vaores pueden ser nombres de usuaros separados por comas o ben
nombres de grupo anteceddos por una @. E|empo: "ulanoB menganoB
[administradores
rite list Defne os usuaros o grupos, que podrn acceder con permso de
escrtura. Los vaores pueden ser nombres de usuaros separados por
comas o ben nombres de grupo anteceddos por una @. E|empo: "ulanoB
menganoB [administradores
admin users Defne os usuaros o grupos, que podrn acceder con permsos
admnstratvos para e recurso. Es decr, podrn acceder haca e recurso
reazando todas as operacones como super-usuaros. Los vaores pueden
ser nombres de usuaros separados por comas o ben nombres de grupo
anteceddos por una @. E|empo: "ulanoB menganoB [administradores
directory mask Es o msmo que directory mode. Defne qu permso en e sstema
tendrn os subdrectoros creados dentro de recurso. E|empos: 1$$$
create mask Defne que permso en e sstema tendrn os nuevos archvos creados
dentro de recurso. E|empo: %644
En e sguente e|empo se compartr a travs de Samba e recurso denomnado e.emplo, e cua
est ocazado en e drectoro >var>sam!a>e.emplo de dsco duro. Se permtr e acceso a
cuaquera pero ser un recurso de so ectura savo para os usuaros admnstrador y fuano.
Todo drectoro nuevo que sea creado en su nteror tendr permso 755 (drR2r(2r(2) y todo
archvo que sea puesto en su nteror tendr permsos 644 ((rR(r((r(().
Genere e nuevo drectoro >var>sam!a>e.emplo e|ecutando o sguente:
mkdir !p /var/samba/eQemplo
Cambe e contexto de SELnux, a fn de que este drectoro sea consderado como contendo
Samba.
chcon !t samba/share/t /var/samba/eQemplo
Cambe asgne permsos de ectura, escrtura y e|ecucn a os usuaros fuano y zutano:.
set"acl !m u7"ulano7$Bu7Cutano7$ /var/samba/eQemplo
528
Edte e archvo >etc>sam!a>sm!.conf:
A fna de archvo aada e sguente contendo:
DeQemploE
comment + Recurso de eQemplo
path + /var/samba/eQemplo
guest ok + <es
read only + <es
rite list + "ulanoB Cutano
directory mask + %$::
create mask + %644
service smb restart
53.6.6.+. 0cultando arc$ivos #ue inician con punto.
Es poco convenente que os usuaros puedan acceder, notando a presenca de archvos ocutos
(archvos de confguracn, por o genera), es decr archvos cuyo nombre comenza con un
punto, como es e caso de drectoro de nco de usuaro en e servdor ?am!a (.bashrc,
.bash_profe, .bash_hstory, etc.). Puede utzarse a opcn $ide dot files, con e vaor Zes,
para manteneros ocutos.
hide dot "iles + <es
Esta opcn es t para compementar a confguracn de os drectoros personaes de os
usuaros.
Edte e archvo >etc>sam!a>sm!.conf:
Locace a confguracn correspondente a os drectoros de nco de os usuaros y aada a
opcn $ide dot files con e vaor Zes, como se muestra a contnuacn:
DhomesE
comment + 3ome &irectories
broseable + no
ritable + yes
h%-e -o$ +%)es = Nes
service smb restart
529
53.7.+. ;odo te2to desde @),>inu2.
53.7.+.+. ;onta.e de recursos compartidos desde @),>inu2.
Desde un cente GNU/Lnux, abra una termna y utce e mandato mOdir para crear un punto
de monta|e:
mkdir /mnt/eQemplo
Utce e mandato mount, con a opcn (t con e vaor cifs, a opcn (o para especfcar con
username e nombre de usuaro a utzar, a ruta de recurso compartdo en e servdor Samba y
e punto de monta|e a utzar:
mount !t ci"s !o username+"ulano //servidor/eQemplo /mnt/eQemplo
Lo anteror soctar se ngrese a contrasea de usuaro utzado en e servdor Samba
especfcado.
Para hacer permanente o anteror, utce un edtor de texto para crear e archvo
>etc>credentials:
vim /etc/credentials
Aada e sguente contendo, especfcando e nombre de usuaro y contrasea que sern
utzados especfcamente con e recurso compartdo nvoucrado:
username+"ulano
passord+contraseVa
Cambe os permsos de acceso de archvo, de modo que so e usuaro root pueda ver y
modfcar e contendo de ste:
chmod 6%% /etc/credentials
vim /etc/"stab
Aada e sguente contendo, especfcando con as opcones uid y gid os nmeros de ,&D y
@&D de usuaro y grupo de anftrn oca que utzarn e recurso. De modo predetermnado,
este recurso ser montado automtcamente con e sguente renco de sstema.
//servidor/eQemplo /mnt/eQemplo ci"s credentials+/etc/credentialsBuid+1%%:Bgid+1%%: % %
Utce as opcones noauto y user s se prefere que e recurso sea montado manuamente por
un usuaro de anftrn oca:
//servidor/eQemplo /mnt/eQemplo ci"s credentials+/etc/credentialsBuid+1%%:Bgid+1%%:Bno#>$oC>ser
% %
530
53.7.+.*. Ferramienta sm!client desde @),>inu2.
Indudabemente e mtodo ms prctco y tambn e ms senco para utzar y hacer pruebas
de dagnstco, es e mandato smbclient. ste permte acceder haca cuaquer servdor Samba o
Wndows, de modo smar a como se hace con e mandato ftp en e ntrprete de mandatos.
Para acceder a cuaquer recurso de aguna mquna Wndows o servdor Samba, determne
prmero que vomenes o recursos compartdos posee sta. Utce e mandato smbclient de
sguente modo:
smbclient !? usuario !2 servidor
Lo anteror devover una sada smar a sguente:
&omain+D.)!&0.)-)0E 0S+D?nixE Server+DSamba @#6#9!1:1#el6E
Sharename 1ype *omment
!!!!!!!!! !!!! !!!!!!!
homes &isk 3ome &irectories
netlogon &isk -etork 2ogon Service
ejemplo Disk ejemplo
)=*F )=* )=* Service (Servidor Samba @#:#4!66#el6/%#8 en mi!servidor)
5&.)-F )=* )=* Service (Servidor Samba @#:#4!66#el6/%#8 en mi!servidor)
epl:9%% =rinter *reated by system!con"ig!printer 1#8#x
hp8::%b =rinter *reated by system!con"ig!printer 1#8#x
5nonymous login success"ul
&omain+D.)!&0.)-)0E 0S+D?nixE Server+DSamba @#6#9!1:1#el6E
Server *omment
!!!!!!!!! !!!!!!!
mi!servidor Servidor Samba @#6#9!1:1#el6 en mi!servidor
4orkgroup .aster
!!!!!!!!! !!!!!!!
.)!&0.)-)0 .)!S'R()&0R
La sguente corresponde a a sntaxs bsca para poder navegar os recursos compartdos por a
mquna Wndows o e servdor SAMBA:
smbclient //alguna/maJuina/recurso !? usuario
E|empo:
smbclient //S'R()&0R/'O'.=20 !? "ulano
Despus de e|ecutar o anteror, e sstema soctar se proporcone a contrasea de usuaro
fulano en e equpo denomnado %0:5A.
smbclient //S'R()&0R/'O'.=20 !? "ulano
added inter"ace ip+198#166#$%#186 bcast+198#166#$%#18$ nmask+8::#8::#8::#186
=assord7
&omain+D"ulanoE 0S+D?nixE Server+DSamba @#6#9!1:1#el6E
smb7 M
531
Pueden utzarse cas os msmos mandatos que en e ntrprete de ftp, como seran get, mget,
put, de, etc.
53.7.*. ;odo gr<fico
53.7.*.+. Desde el escritorio de @)0;".
S utza GNOME 2.x o superor, ste ncuye un mduo de cente SMB para Nautus
(gnome(vfs(sm!, en Cent0? 5 o gvfs(sm!, en Cent0? 6), e cua permte acceder haca os
recursos compartdos a travs de servdores Samba. So hay que hacer cc en ?ervidores de
red (men de GNOME o ben e msmo Nautus). Para que funcone correctamente, se requere
que exsta un servdor WINS en a red oca, se tenga estabecda a opcn name resolve order
en e archvo >etc>sam!a>sm!.conf y que a opcn $osts de archvo >etc>nssRitc$.conf
ncuya Rins.
53.7.*.*. Desde ]indoRs.
Desde Wndows deber ser posbe acceder sn probemas haca cuaquer servdor ?am!a, como
s fuese haca cuaquer otro sstema con Wndows.
532
54. Cmo configurar ?am!a denegando acceso
a ciertos arc$ivos.
ma uso de stos.
54.+. &ntroduccin.
En agunos casos puede ser necesaro denegar e acceso a certas extensones de archvos, como
archvos de sstema y archvos de mutmedos como MP3, MP4, MPEG y DvX.
Este documento consdera que usted ya ha edo prevamente, a detae y en su totadad e
manua Cmo confgurar Samba bsco. y que ha confgurado extosamente ?am!a como
servdor de archvos.
E parmetro veto files se utza para especfcar a sta, separada por dagonaes, de aqueas
cadenas de texto que denegarn e acceso a os archvos cuyos nombres contengan estas
cadenas. En e sguente e|empo, se denegar e acceso haca os archvos cuyos nombres
ncuyan a paabra 2$ecurity3 y os que tengan extensn o termnen en 2.tmp3:
DhomesE
broseable + no
ritable + yes
*e$o +%)es = ;LSe&>r%$yL;L.$<';
En e sguente e|empo, se denegar e acceso haca os archvos que tengan as extensones o
termnen en 2.mpM3, 2.mpN3, 2.mpeg3 y 2.avi3 en todos os drectoros personaes de todos os
usuaros de sstema:
DhomesE
broseable + no
ritable + yes
*e$o +%)es = ;L.<';L.<'4;L.<'g;L.#*%;L.$<';
54.3. Aplicando los cam!ios.
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, utce:
533
service smb restart
Con a fnazad de reazar pruebas, genere con e mandato ec$o de sstema un archvo
denomnado prue!a.mp3:
echo ,archivo .=@ de pruebas, M prueba#mp@
S an no exstera, genere a usuaro fulano:
useradd "ulano
Utce e mandato sm!passRd y asgne +*3#Re como cave de acceso a usuaro fulano:
smbpassd !a "ulano
Acceda con sm!client haca e servdor ?am!a con e usuaro fulano:
smbclient //18$#%#%#1/"ulano !?"ulanoW18@Je
&omain+D.%64E 0S+D?nixE Server+DSamba @#8#%rc1!14#9#el:#alE
smb7 M
Utzando e mandato put de intrprete ?;B, suba e archvo prue!a.t2t a drectoro
persona de fuano:
smb7 M '>$ 'r>eb#.<'
Lo anteror debe devover una sada smar a a sguente ndcando e mensa|e
)AU?AAA,?U0BJ"CAU)A;"U)0AU80,)D como respuesta, o cua ndca que no fue permtdo
subr e archvo prue!a.mp3:
smb7 M put prueba#mp@
NT_STATUS_OBOECT_NAME_NOT_FOUND o'en%ng re<o$e +%)e 'r>eb#.<'
smb7 M
Para sar de intrprete ?;B utce e mandato e2it:
smb7 M exit
534
55. Cmo configurar ?am!a con =apelera de
'ecicla.e.
ma uso de stos.
55.+. &ntroduccin.
En agunas crcunstancas, es necesaro aadr una =apelera de 'ecicla.e ('ecycle Bin) para
evtar a emnacn permanente de contendo de un drectoro compartdo a travs de ?am!a.
Es partcuarmente t para os drectoros personaes de os usuaro.
Este documento consdera que usted ya ha edo prevamente, a detae y en su totadad e
servdor de archvos.
55.*. =rocedimientos
La =apelera de 'ecicla.e se actva aadendo a recurso a compartr os parmetros vfs
o!.ects y recycle-repository de modo e|empfcado a contnuacn:
DhomesE
broseable + no
ritable + yes
*+s obDe&$s = re&y&)e
re&y&)e1re'os%$ory = Re&y&)e B%n
Lo anteror creara e ob|eto recycle, que amacenar os contendos emnados desde e cente
en un subdrectoro denomnado 'ecycle Bin, e cua es creado s ste no exstera. S e
contendo de 'ecycle Bin es emnado, ste se har de forma permanente.
En e caso de drectoros compartdos que sean acceddos por dstntos usuaros, e subdrectoro
'ecycle Bin se crea con permsos de acceso soo para e prmer usuaro que emne contendo.
Lo correcto es soo utzaro en drectoros compartdos que soo sean utzados por un soo
usuaro. De ser necesaro, se puede cambar e permso de acceso de subdrectoro 'ecycle Bin
con e mandato c$mod de I7II a +777 para permtr a otros usuaros utzar ste, tomando en
cuenta que de esta forma e contendo conservar os prvegos de cada usuaro y os
contendos soo podrn ser emnados permanentemente por sus propetaros correspondentes.
535
Se pueden aadr ms opcones para ograr un comportamento ms smar a de una =apelera
de 'ecicla.e norma en ]indoRs. E parmetro recycle-versions defne que s hay dos o ms
archvos con e msmo nombre y estos son envados a a =apelera de 'ecicla.e, se mantendrn
todos donde os archvo ms recentes tendrn un nombre con e esquema LCopy j2 of
nom!re(arc$ivoM (es decr, Copia j2 del nom!re(arc$ivo). E parmetro recycle-Oeeptree
defne que s se emna un drectoro con subdrectoros y contendo, se mantendr a estructura
de stos.
DhomesE
broseable + no
ritable + yes
v"s obQects + recycle
recycle7repository + Recycle ;in
re&y&)e1*ers%ons = Nes
re&y&)e18ee'$ree = Nes
Se puede defnr adems que se excuyan archvos (recycle-e2clude) y drectoros
(recycle-e2cludeUdir) de ser envado a a =apelera de 'ecicla.e certo tpo de contendo y sea
emnado de forma permanente de nmedato. Las stas para archvos y drectoros son
separadas por tuberas (m) y aceptan comodnes (Y y ?). En e sguente e|empo se excuyen os
archvos con extensones Y.tmp, Y.temp, Y.o, Y.o!., ^`Y, Y.^??, Y.log, Y.trace y Y.A;= y os
drectoros >tmp, >temp y >cac$e.
DhomesE
broseable + no
ritable + yes
recycle7versions + <es
recycle7keeptree + <es
re&y&)e1eE&)>-e = L.$<'UL.$e<'UL.oUL.obDUVWLUL.VXXUL.)ogUL.$r#&eUL.TM9
re&y&)e1eE&)>-e-%r = ;$<'U;$e<'U;&#&he
S no se quere que se guarden versones dstntas de archvos con e msmo nombre, para
agunas extensones, es posbe hacero defnendo e parmetro recycle-noversions y una sta
de extensones de archvos separados por tuberas (m). En e sguente e|empo, se ndca que no
se guarden dferentes versones de archvos con e msmo nombre que tengan as extensones
Y.doc, Y.ppt, Y.dat y Y.ini.
DhomesE
broseable + no
ritable + yes
recycle7exclude + L#tmpNL#tempNL#oNL#obQN\FLNL#\ZZNL#logNL#traceNL#1.=
recycle7excludedir + /tmpN/tempN/cache
re&y&)e1no*ers%ons = L.-o&UL.''$UL.-#$UL.%n%
536
Tambn es posbe defnr un mnmo y un mxmo de tamao en !ytes a travs de os
parmetros recycle-minsi9e, que defne un tamao mnmo y recycle-ma2si9e, que defne un
tamao mxmo. Cuaquer archvo que est fuera de estos mtes estabecdos, ser emnado
permanentemente de forma nmedata. En e sguente e|empo se defne que soo podrn ser
envados a a =apelera de 'ecicla.e os archvos que tengan un tamao mnmo de 10 bytes y
un tamao mxmo de 5120 bytes (5 MB)
DhomesE
broseable + no
ritable + yes
recycle7exclude + L#tmpNL#tempNL#oNL#obQN\FLNL#\ZZNL#logNL#traceNL#1.=
recycle7excludedir + /tmpN/tempN/cache
recycle7noversions + L#docNL#pptNL#datNL#ini
re&y&)e1<%ns%Be = 36
re&y&)e1<#Es%Be = !3/6
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, utce:
service smb restart
Con a fnazad de reazar pruebas, genere con e mandato ec$o de sstema un archvo
denomnado prue!a.t2t:
echo ,archivo de pruebas, M prueba#txt
S an no exstera, genere a usuaro fulano:
useradd "ulano
Utce e mandato sm!passRd y asgne +*3#Re como cave de acceso a usuaro fulano:
smbpassd !a "ulano
Acceda con sm!client haca e servdor ?am!a con e usuaro fulano:
smbclient //18$#%#%#1/"ulano !?"ulanoW18@Je
&omain+D.%64E 0S+D?nixE Server+DSamba @#8#%rc1!14#9#el:#alE
smb7 M
537
Utzando e mandato put de intrprete ?;B, suba e archvo prue!a.t2t a drectoro
persona de fuano:
smb7 M '>$ 'r>eb#.$E$
smb7 M put prueba#txt
putting "ile prueba#txt as prueba#txt (%B4 kb/s) (average %B4 kb/s)
smb7 M
Vsuace e contendo de drectoro actua desde e intrprete ?;B utzando e mandato
dirpara verfcar que se ha subdo e archvo prue!a.t2t:
smb7 M -%r
smb7 M dir
# & % 4ed Oun 16 8%7447@9 8%%6
## & % 4ed Oun 16 8%7%4714 8%%6
#bashrc 3 184 4ed Oun 16 8%7%4714 8%%6
#bash/pro"ile 3 1$6 4ed Oun 16 8%7%4714 8%%6
#bash/logout 3 84 4ed Oun 16 8%7%4714 8%%6
prueba#txt 5 19 4ed Oun 16 8%7447@9 8%%6
@41$@ blocks o" siCe :84866# 1814@ blocks available
smb7 M
Emne e archvo prue!a.t2t utzando e mandato de desde e intrprete ?;B:
smb7 M -e) 'r>eb#.$E$
smb7 M
Vsuace de nuevo e contendo de drectoro con e mandato dir, o cua debe devover una
sada smar a a sguente donde ha desaparecdo e archvo prue!a.t2t y ahora aparece e
drectoro 'ecycle Bin:
smb7 M -%r
# & % 4ed Oun 16 8%7:8749 8%%6
## & % 4ed Oun 16 8%7%4714 8%%6
#bashrc 3 184 4ed Oun 16 8%7%4714 8%%6
#bash/pro"ile 3 1$6 4ed Oun 16 8%7%4714 8%%6
#bash/logout 3 84 4ed Oun 16 8%7%4714 8%%6
#Cshrc 3 6:6 4ed Oun 16 8%7%4714 8%%6
#kde &3 % 4ed Oun 16 8%7%4714 8%%6
#emacs 3 :1: 4ed Oun 16 8%7%4714 8%%6
Re&y&)e B%n & % 4ed Oun 16 8%7:8749 8%%6
@41$@ blocks o" siCe :84866# 1814@ blocks available
smb7 M
Acceda a drectoro 'ecycle Bin utzando e mandato cd:
538
smb7 M smb7 M &- "Re&y&)e B%n"
Vsuace e contendo con e mandato dir, o cua debe devover una sada smar a a sguente
donde se muestra que e archvo prue!a.t2t, que fue emnado con e mandato del, ahora est
dentro de drectoro 'ecycle Bin.
smb7 Re&y&)e B%nM -%r
# & % 4ed Oun 16 8%7:8749 8%%6
## & % 4ed Oun 16 8%7:8749 8%%6
'r>eb#.$E$ 5 19 4ed Oun 16 8%7447@9 8%%6
@41$@ blocks o" siCe :84866# 18141 blocks available
Para sar de intrprete ?;B utce e mandato e2it.
539
56. Cmo configurar ?am!a como cliente o
servidor ]&)?.
Sitio de Red:ttp)**(((.alcancelibre.org*
ma uso de stos.
56.+. &ntroduccin.
]&)? (]ndows &nternet )ame ?ervce) es un servdor de nombres de para NetBIOS, que se
encarga de mantener una taba con a correspondenca entre dreccones IP y nombres )etB&0?,
de os equpos que conforman a red oca. Esta sta permte ocazar rpdamente a otro equpo
dentro de a red. A utzar un servdor ]&)? se evta e reazar bsquedas nnecesaras a travs
de dfusn (!roadcast) reducendo sustancamente e trfco de red. La resoucn de nombres
em ?am!ase eva a cabo reazando consutas en e sguente orden:
+. Servdor ]&)?
*. Informacn de archvo >etc>sam!a>lm$osts
3. Informacn de archvo >etc>$osts
4. Dfusn (!roadcast)
Este documento consdera que usted ya ha edo prevamente, a detae y en su totadad, e
servdor de archvos.
Todos os parmetros descrtos a contnuacn, se defnen en a seccn Sglo!alT de archvo
>etc>sam!a>sm!.conf.
56.*.+. =ar<metros Rins server y Rins support.
Se puede defnr que e servdor ?am!a recn confgurado se converta en un servdor ]&)? o
ben utzar un servdor ]&)? ya exstente. )o es posi!le ser cliente y servidor al mismo
tiempo. Los parmetros Rins server y Rins support, que se defnen en a seccn Sglo!alT de
archvo >etc>sam!a>sm!.conf, son mutuamente excuyentes.
S e sstema va ser utzado como servdor ]&)?, debe habtarse e parmetro Rins support
con e vaor yes:
ins support + <es
540
S e sstema va a utzar un servdor ]&)? e2istente, debe habtarse e parmetro Rins
server y como vaor se especfca a dreccn IP que utce e servdor ]&)?. En e sguente
e|empo se defne a sstema con dreccn IP +[*.+6:.+.+ como servdor ]&)?:
ins server + 198#166#1#1
56.*.*. =ar<metro name resolve order
Defne en ?am!a e orden de os mtodos a travs de os cuaes se ntentar resover os
nombres )etB&0?. Pueden defnrse hasta hasta cuatro vaores: wns, mhosts, hosts y bcast,
como se muestra en e sguente e|empo.
name resolve order + ins lmhosts hosts bcast
56.*.3. =ar<metro Rins pro2y.
Cuando su vaor es yes, permte a ?am!a como servdor ntermedaro (pro2y) para otro
servdor ]&)?.
ins proxy + yes
E vaor predetermnado de este parmetro es no.
56.*.4. =ar<metro dns pro2y.
Cuando su vaor es yes, permte a ?am!a reazar bsquedas en un servdor D)? s e es
mposbe determnar un nombre a travs de un servdor ]&)?.
dns proxy + yes
E vaor predetermnado de este parmetro es no.
56.*.5. =ar<metro ma2 ttl.
E parmetro ma2 ttl defne e mxmo tempo de vda en segundos para os nombres )etB&0?
que han sdo consutados como cente ]&)? en un servdor ]&)?. su vaor predetermnado es
*5[*II, que corresponde a tres das. =or lo general no es necesario modificar este
par<metro. S as dreccones IP de os equpos que ntegran a red oca camban demasado
frecuentemente, puede reducrse este tempo. En e sguente e|empo, se defnen 48 horas como
tempo mxmo de vda para os nombres )etB&0?:
max ttl + 664%%
56.*.6. =ar<metros ma2 Rins ttl y min Rins ttl.
541
Los parmetros ma2 Rins ttl y min Rins ttl, corresponden a os tempos mxmo y mnmo,
respectvamente, en escaa de segundos, que tendrn de vda os nombres )etB&0? que han
sdo asgnados por e servdor ?am!a. E vaor predetermnado de ma2 Rins ttl, es 5+:4II, es
decr, 6 das y e vaor predetermnado de min Rins ttl, es *+6II, es decr, 6 horas. =or lo
general no es necesario modificar estos par<metros. S as dreccones IP de os equpos
que ntegran a red oca camban muy frecuentemente, pueden modfcarse estos tempos. En e
sguente e|empo se redundan os vaores predetermnados:
max ins ttl + :164%%
min ins ttl + 816%%
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, rence os
servcos sm! y nm!:
service smb restart
service nmb restart
542
57. &nstalacinH configuracin y optimi9acin
de ?pamassassin.
57.+. &ntroduccin.
57.+.+. Acerca de ?pamAssassin.
?pamAssassin es una mpementacn que utza un sstema de puntuacn, basado sobre
agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser
correo masvo no soctado, aadendo cabeceras a os mensa|es de modo que pueda ser
ftrados por e cente de correo eectrnco o ;,A (;a ,ser Agent).
URL: http://spamassassn.apache.org/
57.+.*. Acerca de =rocmail.
Procma es un programa que funcona como ;DA (;a Devery Agent o Agente de Entrega de
Correo) que se utza para gestonar a entrega de correo oca en e sstema. Adems de o
anteror, permte tambn reazar ftracn automtca de correo eectrnco, pre-ordenamento
y otras tareas.
Procma puede ser utzado ndstntamente con Sendma o ben Postfx.
URL: http://www.procma.org
S dspone de un servdor con Cent0? 5 o 6 o ben 'ed FatG "nterprise inu2 5 o 6, puede
utzar e sguente mandato:
yum !y install spamassassin procmail
S se utza Sendma como servdor de correo eectrnco, procmail ya debe estar nstaado,
pues es dependenca de paquete sendmail. S se utza Postfx como servdor de correo
eectrnco, es necesaro edtar e archvo >etc>postfi2>main.cf y aadr o descomentar
mail!o2Ucommand V >usr>!in>procmail o ben smpemente e|ecutar os sguentes dos
mandatos.
543
postcon" !e Xmailbox/command + /usr/bin/procmailX
service post"ix restart
S se quere nstaar paquetes adconaes para ncrementar as capacdades de ftrado de
Spamassassn, se pude crear e archvo >etc>yum.repos.d>A(?erver.repo. S dspone de un
servdor con Cent0? 5 o 6 o ben 'ed FatG "nterprise inu2 5 o 6, puede utzar e e
amacn YUM de Alcance i!re para servdores en produccn, descargando e archvo
$ttp->>RRR.alcanceli!re.org>al>server>A(?erver.repo dentro de drectoro
>etc>yum.repos.d>:
cd
Este archvo, que se guarda como >etc>yum.repos.d>A(?erver.repo, debe tener e sguente
contendo:
D52!ServerE
gpgcheck+1
Hecho o anteror, ser posbe nstaar os paquetes perl(;ail(?=8, perl('a9or(Agent, py9or,
spamassassin(8u99y0cr, popler(utils y re*c:
yum !y install perl!.ail!S=> perl!RaCor!5gent pyCor
yum !y install spamassassin!>uCCy0cr poppler!utils re8c
57.3. ?"inu2 y el servicio spamasssassin.
57.3.+. =olticas de ?"linu2.
A fn de que SELnux permta a servco spamassassin conectarse a servcos externos, como
'a9or o =y9or, utce e sguente mandado:
setsebool != spamassassin/can/netork 1
A fn de que SELnux permta a os usuaros de sstema utzar spamassassin desde sus
drectoros de nco, utce e sguente mandato:
setsebool != spamd/enable/home/dirs 1
544
)ota.
Lo sguente so apca para Cent0? 5 y 'ed FatG "nterprise inu2 5.
S se desea desactvar toda gestn de SELnux sobre e servco spamassassin, hacendo que todo o
anteror perda sentdo y emnando a proteccn que brnda esta mpementacn, utce e sguente
mandato:
setsebool != spamd/disable/trans 1
Esta potca es nexstente en Cent0? 6 y 'ed FatG "nterprise inu2 6.
57.3.*. 0tros a.ustes de ?"inu2.
A fn de que SELnux permta a spamassassin aadr regstros a a btcora de servco de
'a9or, es necesaro generar una nueva potca.
Genere un nuevo drectoro denomnado >usr>s$are>selinu2>pacOages>spamd:
mkdir ;>sr;sh#re;se)%n>E;'#&8#ges;s'#<-
Cambarse a drectoro >usr>s$are>selinu2>pacOages>spamd:
cd ;>sr;sh#re;se)%n>E;'#&8#ges;s'#<-
S se utza Cent0? 6 o 'ed Fat "nterprise inu2 6, Descargar e archvo
$ttp->>RRR.alcanceli!re.org>linu2>secrets>el6>spamd.te:
get http7//#alcancelibre#org/linux/secrets/el6/spamd#te
Edtar e archvo recn descargado:
vim spamd#te
Asegurarse que tenga e sguente contendo:
545
module spamd 1#%Y
reJuire c
type spamc/tY
type admin/home/tY
type sendmail/tY
type spamd/tY
type root/tY
class lnk/"ile readY
class "i"o/"ile riteY
class "ile c ioctl read open getattr append dY
d
A+++++++++++++ spamd/t ++++++++++++++
allo spamd/t root/t7"ile c ioctl append dY
allo spamd/t admin/home/t7"ile c read ioctl open getattr append dY
A+++++++++++++ spamc/t ++++++++++++++
allo spamc/t sendmail/t7"i"o/"ile riteY
allo spamc/t admin/home/t7"ile c read open dY
Lo anteror fue obtendo de a sada de mandato dmesgmgrep auditmaudit*alloR (m
spamdgspamd.te en un sstema donde SELnux mpeda a spamassassin reazar escrtura
sobre a btcora de Razor. En s, defne que se permta aadr contendo a archvo
>ra9or(agent.log.
S se utza Cent0? 5 o 'ed Fat "nterprise inu2 5, Descargar e archvo
$ttp->>RRR.alcanceli!re.org>linu2>secrets>el5>spamd.te:
get http7//#alcancelibre#org/linux/secrets/el:/spamd#te
vim spamd#te
module spamd 1#%Y
reJuire c
type spamc/tY
type sendmail/tY
type spamd/tY
type root/tY
class "ile c ioctl append dY
d
A+++++++++++++ spamd/t ++++++++++++++
A+++++++++++++ spamc/t ++++++++++++++
546
A contnuacn, se genera e archvo de mduo para SELnux (spamd.mod) utzando e
mandato c$ecOmodule de a sguente forma:
checkmodule !. !m !o spamd#mod spamd#te
Luego, se procede a empaquetar e archvo spamd.mod como e archvo spamd.pp:
semodule/package !o spamd#pp !m spamd#mod
Fnamente se vncua e archvo spamd.pp obtendo con as potcas actuaes de SELnux y se
cargan stas en e nceo en e|ecucn:
semodule !i /usr/share/selinux/packages/spamd/spamd#pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos spamd.te y spamd.mod,
pues so ser necesaro que exsta e archvo bnaro spamd.pp.
57.4.+. &niciar el servicio y aadirlo a los servicios de arran#ue del
sistema.
chkcon"ig spamassassin on
service spamassassin restart
Cabe seaar, que so es necesaro utzar e servco spamassassin s e servdor de correo
eectrnco dspone de una gran cantdad de usuaros o ben tene una eevada cantdad de
trfco. S se dspone de pocos usuaros, es posbe utzar e mandato spamassassin a travs
de archvo >etc>procmailrc o ben ^>.procmailrc.
57.4.*. Configuracin de =rocmail.
Hay tres formas de utzar Procma para hacer uso de Spamassassn.
57.4.*.+. ,tili9ando el mandato spamassassin.
La forma ms smpe de utzar Spamassassn es hacendo uso de mandato con e msmo
nombre. Funcona ben so s se tenen pocos usuaros, pues genera una nstanca de ste cada
vez que se utza o ega un mensa|e de correo eectrnco a sstema. La sguente es a
confguracn recomendada para e archvo >etc>procmailrc, s se desea que apque a todos os
usuaros de sstema o ben e archvo ^>.procmailrc de drectoro de nco de un usuaro en
partcuar, s so se desea que sea utzado por agunos usuaros:
7%"
N /usr/bin/spamassassin
547
S se dspone de muchos usuaros, es ms convenente utzar e mandato spamc, msmo que
requere est funconado e servco spamassassin. La sguente es a confguracn
recomendada para e archvo >etc>procmailrc, s se desea que apque a todos os usuaros de
sstema o ben e archvo ^>.procmailrc de drectoro de nco de un usuaro en partcuar, s
so se desea que sea utzado por agunos usuaros:
7%"
N /usr/bin/spamc
Todo o anteror hace que e correo eectrnco sea examnado y marcado como $pam s acanza
una cantdad sufcente de puntos. S se desea reazar un ftrado envando e correo cafcado
como $pam haca una capeta de correo (^>mail>?pam), se puede utzar o sguente:
7%"
N /usr/bin/spamc
A 2os mensaQes marcados como spam se almacenan en carpeta de spam
161
L YX-S'#<-S$#$>s1 Nes
WFOME;<#%);S'#<
57.4.3. Configuracin del arc$ivo >etc>mail>spamassassin>local.cf.
Edte e archvo >etc>mail>spamassassin>local.cf.
vim /etc/mail/spamassassin/local#c"
Se pueden modfcar y aadr parmetros con vaores, entre os cuaes se pueden confgurar os
sguentes:
548
requred_hts Se utza para estabecer a cantdad de puntos acumuados y
asgnados por ?pamAssassin, en un mensa|e para
consderar e ste como Spam. E vaor predetermnado es 5,
acepta decmaes y se puede a|ustar con un vaor nferor o
mayor de acuerdo a crtero de admnstrador. E|empo: 4.5
report_safe Determna s e mensa|e, s es cafcado como spam, se
ncuye en un ad|unto, con e vaor 1 o se de|a e mensa|e ta
y como est, con e vaor 0. E vaor predetermnado es I.
rewrte_header Defne con que cadena de caracteres se aadr a mensa|e
para dentfcaro como Spam. E vaor predetermnado es
S?=A;T y puede cambarse por o que consdere apropado e
admnstrador. E|empo: reRriteU$eader ?u!.ect S?pam?T
whtest_from Se utza para defnr que |ams se consdere como Spam os
mensa|es de correo eectrnco cuyo remtente sea un
domno o cuenta de correo eectrnco en partcuar. Se
pueden defnr varas neas. E|empo:
whtest_from *@mdomno.ago
whtest_from *@acancebre.org
whtest_from 201.161.1.226
whtest_to S utza una sta de correo eectrnco (ma.ordomo o
mailman) y se desea evtar que accdentamente se
consdere Spam un mensa|e de correo eectrnco emtdo por
una de estas stas, se puede defnr que nunca se consdere
Spam e correo emtdo por dcha sta. E|empo: whtest_to
maman-users@ago.ago
backst_from Se puede defnr que todo e correo eectrnco provenente
de un domno o cuenta de correo eectrnco en partcuar
sempre sea consderado como Spam. E|empo: backst_from
aguen@spammer.com
Hay una herramenta de confguracn de SpamAssassn, que permte generar e archvo
>etc>mail>spamassassin>local.cf, en http://www.yrex.com/spam/spamconfg.php.
De prmera nstanca, aada a archvo >etc>mail>spamassassin>local.cf sus dreccones IP
ocaes con e parmetro R$itelistUfrom. E|empo:
A 1hese values can be overridden by editing \/#spamassassin/user/pre"s#c"
A (see spamassassin(1) "or details)
A 1hese should be sa"e assumptions and allo "or simple visual si"ting
A ithout risking lost emails#
reJuired/hits :
report/sa"e %
rerite/header SubQect DS=5.E
0h%$e)%s$_+ro< 3/7.6.6.3
0h%$e)%s$_+ro< 3=/.358.3.=3
0h%$e)%s$_+ro< /63.353.3.//5
549
S se utza e mandato spamassassin en e archvo >etc>procmailrc o ^>.procmailrc, os
cambos surten efecto de nmedato. S se utza e mandato spamc, para que surtan efecto os
cambos se requere rencar e servco spamassassin:
57.5. Conse.os para sacarle me.or provec$o a ?pamassassin
utili9ando sa(learn.
Muchos admnstradores de servdores utzan Spamassassn para ftrar os mensa|es de correo
eectrnco que egan a sus servdores. S embargo, son muy pocos os que conocen y utzan a
herramenta sa(learn, ncuda con ?pamassassin, msma que srve para entrenar y ensear a
dentfcar spam (o correo catarra) a propo ?pamassassin.
Esencamente, e mandato sa(learn srve para entrenar a componente casfcador Bayesano
de Spamassassn.
La forma que sugero consste en utzar e cente de correo eectrnco y mover todos os
mensa|es que se consderen como spam a una carpeta destnada para ta fnadad, como por
e|empo ^>mail>?pam y mover de a carpeta de spam todos aqueos mensa|es que se
consderan como egtmos a cuaquer otra carpeta de correo o ben e buzn de entrada.
Acto segudo, se utza e mandato sa(learn, con as opcones ((spam, para ndcar que se trata
de mensa|es de spam y a opcn ((m!o2, para ndca que se trata de un buzn de correo en
formato m!o2, o cua permtr examnar todos os mensa|es contendos en ste:
sa!learn !!spam !!mbox \/mail/Spam
Para que os mensa|es que se casfcaron ncdentamente como spam y que fueron movdos a
otra carpeta (como por e|empo ^>mail>;ensa.es) o ben e buzn de entrada
(>var>spool>mail>usuario), se utza e mandato sa(learn con as opcones (($am, para ndcar
que es correo egtmo y que se debe de|ar de consderar ste como spam y a opcn ((m!o2,
para ndca que se trata de un buzn de correo en formato m!o2, o cua permtr examnar
todos os mensa|es contendos en ste:
sa!learn !!ham !!mbox \/mail/.ensaQes
sa!learn !!ham !!mbox /var/spool/mail/usuario
De este modo y consderando que se utza e archvo ^>.promailrc, o cua so apcara para e
usuaro utzado o ben >etc>procmailrc, s se desea que apque para todos os usuaros de
servdor, contene ago smar a o sguente:
.5)2&)R+F30.'/mail
20I>)2'+F30.'/mail/log
A send mail through spamassassin
7%"
A.ensQes marcados como spamB ponerlos en carpeta de spam
7%7
L ]X!Spam!Status7 <es
Spam
550
Se consegur que a mayora os mensa|es de spam smares a os que se moveron a a carpeta
^>mail>?pam, en adeante sern ms fces de dentfcar y ftrar y os mensa|es que
ncdentamente se casfcaron como spam, de|arn de ser casfcados como taes o ben ser
ms dfc que sean casfcados como spam.
Todo o anteror puede ser utzado como e usuaro root, o cua hara que os nuevos ftros
creados a entrenar a ?pamassassin apquen para todos os usuaros o ben como cuaquer
usuaro, o cua so tendran efecto para ste en partcuar.
S aguen tene nters en aprender ms acerca de mandato sa(learn, puede hacero
consutando desde una termna de texto e|ecutando man sa(learn.
57.6. &ncrementando las capacidades de filtrado.
A fn de enrquecer a capacdad de deteccn de spam de ?pamassassin, pueden nstaarse
paquetes opconaes como perl(;ail(?=8, perl('a9or(Agent. Los tres brndan capacdades
adconaes de ftracn de spam, descrtas ms adeante y pueden contrbur de manera
sgnfcatva a reducr a cantdad de spam que de otro modo podra pasar por ato
?pamassassin.
Para os todos os procedmentos descrtos a contnuacn, se consdera que en e servdor de
correo eectrnco se utza como sstema operatvo Cent0? 5 y 6 o ben 'ed Fat "nterprise
inu2 5 y 6, se tenen nstaados os paquetes procmail (requsto de paquete sendmail y
opcona para e paquete postfi2) y spamassassin y que se tene confgurado a menos o
sguente en e archvo >etc>procmailrc:
A send mail through spamassassin
7%"
N /usr/bin/spamc
A 2os mensaQes marcados como Spam se almacenan en carpeta \/mail/Spam
7%7
F30.'/mail/Spam
Prmeramente y con a fnadad de actuazar e |uego de regas y ftros de Spamassassn, es
convenente utzar e mandato sa(update de vez en cuando, a o sumo una o dos veces a mes.
Los |uegos de regas y ftros de Spamassassn reamente sufren pocos cambos a o argo de ao
y se amacenan en un sub-drectoro dentro de >var>li!>spamassassin>. So es necesaro
conservar e sub-drectoro con a versn ms recente. E sguente mandato reazar a consuta
y actuazacn de regas y ftros de Spamassassn y rencar e servco soamente s se
descarg una actuazacn:
sa!update !v ee service spamassassin restart
La opcn -v hace que se muestre una sada que ncuye una descrpcn de os canaes
actuazados. S desea una sada mpa, sn mensa|es descrptvos, e|ecute o sguente:
sa!update ee service spamassassin restart
Para nstaar e con|unto de paquetes que enrquecern as capacdades de ftrado de
?pamassassin, consderando que tene confgurados os amacenes YUM para AL Server de
Acance Lbre, e|ecute o sguente:
551
yum !y install perl!.ail!S=> perl!RaCor!5gent pyCor
yum !y install spamassassin!>uCCy0cr poppler!utils
S se utzan paquetes provenentes de otros amacenes YUM dstntos a os de Acance Lbre, e
compemento para =y9or ncudo dentro de ?pamassassin requerr adems e paquete
perl(Digest(?FA:
yum !y install perl!&igest!S35
A fn de que ?pamassassin pueda utzar os compementos que hacen uso de os
compementos que se actvan con estos componentes, es necesaro rencar e servco
spamassassin:
57.6.+. 0ptimi9ando ?pamassassin.
S se tene un servdor de correo eectrnco con mucha carga de traba|o, convene optmzar
spamasassassin compando as regas de ste para convertras a formato bnaro. Para ta fn
es necesaro que est nstaados os paquetes re*c y gcc:
yum !y install re8c gcc
Y enseguda se e|ecuta e mandato sa-compe:
sa!compile
S a sntaxs de archvo >etc>mail>spamassassin>local.cf est correcta, e sstema debe reazar
a compacn y amacenar os bnaros dentro de >var>li!>spamassassin>compiled>. Lo anteror
deber ser repetdo cada vez que se reacen modfcacones de archvo
>etc>mail>spamassassin>local.cf o ben se actuace e con|unto de regas con e mandato
sa(update.
57.6.*. =or #u =erl(;ail(?=8H =erl('a9or(AgentH =y9orH
?pamassassin(8u99y0cr y poppler(utils?
57.6.*.+. =erl(;ail(?=8.
=erl(;ail(?=8 Impementa una proteccn contra a fasfcacn de dreccones en e envo de
correo eectrnco conocda como ?=8 (?ender =ocy 8ramework o Conveno de Remtentes).
Funcona reazando consutas a os servdores DNS en busca de regstro TXT para ?=8 que
especfca os servdores de correo eectrnco autorzados para envar correo eectrnco para un
domno en partcuar.
Para que un domno en partcuar o ben e propo domno, sea excudo de este tpo de
ftracn, requere contar con un regstro smar a sguente, o cua estabece que
preferentemente se descartan como emsores de correo eectrnco todos aqueos servdores
que carezcan de regstro tpo MX o tpo A:
dominio#com# )- 1X1 ,v+sp"1 a mx \all,
552
O ben, s se quere ago ms estrcto, donde se descartan por competo como emsores de correo
eectrnco todos aqueos servdores que carezcan de regstro tpo MX o tpo A:
dominio#com# )- 1X1 ,v+sp"1 a mx !all,
57.6.*.*. =erl('a9or(Agent.
=erl('a9or(Agent es a mpementacn Per de 'a9or, que es una red dstrbuda y coaboratva
dedcada a a deteccn y ftracn de spam. Consste en un cataogo de propagacn de spam
que es actuazado constantemente. Se compementa de manera mutua con =y9or.
57.6.*.3. =y9or.
=y9or es smar a 'a9or y funcona de a msma forma como una red dstrbuda y coaboratva
dedcada a a deteccn y ftracn de spam. A dferenca de =erl('a9or(Agent, est escrto en
Python. Se compementa de manera mutua con 'a9or.
57.6.*.4. ?pamassassin(8u99y0cr.
Suee haber casos en os cuaes se envan mensa|es de spam que so ncuyen una magen
ncrustada en e mensa|e, con e fn de evadr os ftros de os servdores de correo eectrnco.
8u99y0cr es un compemento (plugin) para ?pamassassin e cua est enfocado sobre este tpo
de spam. Utza @0C' (0:5 .ptical Caracter Recognition o Reconocmento Optco de
Caracteres de GNU) y otros mtodos para anazar e contendo de as mgenes y poder
dstngur entre correo ordnaro y correo spam.
57.6.*.5. =oppler(utils.
Este con|unto de herramentas es utzado por Spamassassn para gestonar os contendos de
os documentos en formato PDF, partcuarmente as herramentas como pdftops, pstopnm y
pdfinfo. Es atamente recomendado nstaaro.
553
5:. Configuracin simple para Antivirus y
Antispam.
5:.+. =rocedimientos
Asumendo que tene confgurados os amacenes YUM de Acance Lbre, nstae os paquetes
spamassassin, clamav y clamav(update.
yum !y install spamassassin clamav clamav!update
Actve as sguentes potcas de SELnux:
setsebool != clamd/use/Qit 1
setsebool != clamscan/can/scan/system 1
Actuace a base de datos de antvrus CamAV, e|ecutando o sguente:
"reshclam
Actuace e con|unto de regas de Spamassassn, e|ecutando o sguente:
sa!update !v
Lo anteror deber ndcar qu componentes de ?pamassassin fueron actuazados.
)ota.
Para optmzar y extender e funconamento de ?pamassassin, estude e documento ttuado Cmo
instalar y configurar ?pamassassin.
Utzando e mandato touc$, genere e archvo >etc>procmailrc:
touch /etc/procmailrc
Edte e archvo >etc>procmailrc:
vim /etc/procmailrc
554
S3'22+/bin/sh
A Si desea almacenar toda la in"ormaciPn de actividad
A de =rocmail en una bitRcoraB descomente lo siguiente#
A20I>)2'+/var/log/procmail#log
A *on"iguraciPn basada sobre http7//bulma#net/body#phtmlZn)d-oticia+19$6
A y adecuada y actualiCadaB por Ooel ;arrios &ueVas#
5(/R'=0R1+^/usr/bin/clamscan !!stdout !!no!summary ! N cut !d7 !" 8^
()R?S+î" D ,F5(/R'=0R1, T+ , 0H, EY then echo <esY else echo -oY"i^
A 5Vade el campo de reporte *lam5(#
7%"
N "ormail !i ,X!(irus7 F()R?S,
A Si el mensaQe es positivo a virusB se cambia el asunto#
7%"
L ]X!(irus7 <es
N "ormail !i ,(irus7 F5(/R'=0R1, !i ,SubQect7 .'-S5O' *0- ()R?S7 F5(/R'=0R1,
A 3acer pasar todo el correo electrPnico a travhs de spamassassin
7%"
Con o anteror, en adeante todo e correo ser examnado prmero por ClamAJ y
?pamassassin y casfcado antes de ser entregado a usuaro. Es nnecesaro rencar e servco
sendmail o servco aguno. Esta soucn es perfecta para servdores de correo eectrnco con
poco carga de tra!a.o.
S se tene un servdor de correo eectrnco con mucha carga de traba|o, nstae e paquete
camav-scanner-sysvnt:
yum !y install clamav!scanner!sysvinit
Ince e servco camd.scan, e|ecutando o sguente:
service clamd#scan start
Ince e servco spamassassn, e|ecutando o sguente.
service spamassassin start
Aada os servcos clamd.scan y spamassassin, a nco de sstema:
chkcon"ig clamd#scan on
Genere un enace smbco como >etc>clamd.conf, que apunte haca >etc>clamd.d>scan.conf:
ln !s /etc/clamd#d/scan#con" /etc/clamd#con"
Edte e archvo >etc>procmailrc y cambe >usr>!in>clamscan por >usr>!in>clamdscan y
>usr>!in>spamassassin por >usr>!in>spamc.
555
S3'22+/bin/sh
A de =rocmail en una bitRcoraB des!comente lo siguiente#
5(/R'=0R1+^/usr/bin/&)#<-s&#n !!stdout !!no!summary ! N cut !d7 !" 8^
7%"
7%"
L ]X!(irus7 <es
7%"
N /usr/bin/s'#<&
Con o anteror, tendr una soucn aceptabe, barata, confabe, rpda y senca, para
servdores de correo eectrnco con muc$a carga de tra!a.o.
S, adems, necesta que todos os mensa|es de Spam y os mensa|es nfectados con vrus sean
movdos automtcamente a a carpeta de correo ^>mail>JunO, utce a sguente confguracn
para e archvo >etc>procmailrc:
S3'22+/bin/sh
A de =rocmail en una bitRcoraB descomente lo siguiente#
5(/R'=0R1+^/usr/bin/clamdscan !!stdout !!no!summary ! N cut !d7 !" 8^
7%"
7%"
L ]X!(irus7 <es
A Si el mensaQe es positivo a virusB se almacena en F30.'/mail/Ounk
7%7
L ]X!(irus7 <es
WFOME;<#%);O>n8
A Si lo deseaB puede enviar los mensaQes in"ectados a /dev/null#
7%"
N /usr/bin/spamc
A 2os mensaQes marcados como spamB se almacenan en F30.'/mail/Ounk
161
L YX-S'#<-S$#$>s1 Nes
WFOME;<#%);O>n8
556
S o desea, puede descargar una copa de archvo >etc>procmailrc desde AcanceLbre.org, con
e contendo anteror.
get http7//#alcancelibre#org/linux/secrets/procmailrc !0 /etc/procmailrc
A fn de que todo o anteror funcone correctamente, es mprescndbe que os usuaros generen
y se suscrban con anteacn a a carpeta IMAP `F0;">mail>JunO. Es mportante menconar que
con e prmer mensa|e que sea procesado, a carpeta IMAP `F0;">mail>JunO ser propedad de
root, con permso de so ectura para root, savo que haya sdo creada y suscrta prevamente
por e usuaro.
Para automatzar o anteror para as cuentas de usuaro que sean creadas en o subsecuente,
e|ecute o sguente para que /etc/ske ncuya e archvo ^>mail>JunO y para que a carpeta IMAP
correspondente est suscrta de modo predetermnado.
mkdir !m $%% /etc/skel/mail
touch /etc/skel/mail/Ounk
chmod 6%% /etc/skel/mail/Ounk
echo ,Ounk, M /etc/skel/mail/#subscriptions
chmod 6%% /etc/skel/mail/#subscriptions
S desea ahorrarse traba|o y expcacones a os usuaros exstentes, puede e|ecutar o sguente:
cd /home
"or user in L
do
mkdir !m $%% Fuser/mail
touch Fuser/mail/Ounk
chmod 6%% Fuser/mail/Ounk
echo ,Ounk, MM Fuser/mail/#subscriptions
chmod 6%% Fuser/mail/#subscriptions
chon !R Fuser7Fuser Fuser/mail/
done
cd !
S tene nters en me|orar y optmzar, e ftrado de spam, consute e documento ttuado
Cmo instalar y configurar ?pamassassin.
557
5[. &ntroduccin a los protocolos de correo
electrnico.
5[.+. &ntroduccin.
5[.+.+. =reparativos.
A fn de poder reazar todas as pruebas correspondentes a cada protocoo, nstae con e
mandato yum os paquetes netcat (nc), dovecot y postfi2 o ben sendmail.
S ege utzar sendmail, e|ecute o sguente:
yum !y install mailx nc dovecot sendmail
S ege utzar postfi2, e|ecute o sguente:
yum !y install mailx nc dovecot post"ix
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, omta e sguente paso. S utza Cent0? 6
o 'ed Fat "nterprise inu2 6, edte e archvo >etc>dovecot>conf.d>+I(mail.conf:
vim /etc/dovecot/con"#d/1%!mail#con"
Arededor de a nea 30 de archvo >etc>dovecot>conf.d>+I(mail.conf, estabezca
m!o2-^>mail-&)B0EV>var>mail>cu como vaor de a opcn mailUlocation.
A See doc/iki/(ariables#txt "or "ull list# Some examples7
A
A mail/location + maildir7\/.aildir
A <#%)_)o&#$%on = <boE1V;<#%)1?NBOX=;*#r;<#%);A>
A mail/location + mbox7/var/mail/Wd/W1n/Wn7)-&'X+/var/indexes/Wd/W1n/Wn
A
A bdoc/iki/.ail2ocation#txtM
A
mail/location + <boE1V;<#%)1?NBOX=;*#r;<#%);A>
S se va a utzar Sendma como MTA predetermnado, es mportante defnr un grupo de acceso
de correo en a confguracn de Dovecot. S se va a utzar Postfx se puede omtr os dos
sguentes pasos.
558
Arededor de a nea 115 de archvo >etc>dovecot>conf.d>+I(mail.conf, ocace a opcn
mailUprivilegedUgroup, descomente sta y defna como vaor e grupo mail:
A Iroup to enable temporarily "or privileged operations# *urrently this is
A used only ith )-;0X hen either its initial creation or dotlocking "ails#
A 1ypically this is set to ,mail, to give access to /var/mail#
mail/privileged/group + <#%)
mailUaccessUgroups, descomente sta y defna tambn como vaor e grupo mail:
A Irant access to these supplementary groups "or mail processes# 1ypically
A these are used to set up access to shared mailboxes# -ote that it may be
A dangerous to set these i" users can create symlinks (e#g# i" ,mail, group is
A set hereB ln !s /var/mail \/mail/var could allo a user to delete othersX
A mailboxesB or ln !s /secret/shared/box \/mail/mybox ould allo reading it)#
mail/access/groups + <#%)
Se requere que os usuaros ocaes pertenezcan a grupo mail para que o anteror represente
un probema de segurdad.
)ota.
Es mportante seaar Postfx crea automtcamente os buzones de entrada con permso I6II (-rw-------)
y por tanto mpde utzar buzones de entrada compartdos, mentras que Sendma o hace con permso
I66I (-rw-rw----) y por tanto permte utzar buzones de entrada compartdos. En ambos casos os
permsos predetermnados de os buzones de entrada so se pueden cambar modfcando y compando
de nuevo e cdgo fuente.
S se utza Sendma como MTA predetermnado, debdo a permso I66I con e que son creados os
buzones de entrada, a Dovecot e ser mposbe generar automtcamente as carpetas e ndces IMAP,
pues ste faar a copar e grupo a que pertenece e buzn de entrada cuando ste tene permsos de
ectura y escrtura para grupo. Por o tanto se obtendran contnuamente os sguentes errores en a
btcora >var>log>maillog:
.ar 81 887@174: mail dovecot7 pop@("ulano)7 'rror7 mkdir(/home/"ulano/mail/#imap/)-;0X) "ailed7
0peration not permitted
.ar 81 887@174: mail dovecot7 pop@("ulano)7 'rror7 *ouldnXt open )-;0X7 )nternal error occurred# Re"er
to server log "or more in"ormation# D8%1@!%@!81 887@174:E
.ar 81 887@174: mail dovecot7 pop@("ulano)7 *ouldnXt open )-;0X top+%/%B retr+%/%B del+%/%B siCe+%
Es por sto que, en e caso de utzar Sendma como MTA predetermnado, se requere confgurar que
Dovecot tenga prvegos de acceso sobre e grupo mail. De otro modo e admnstrador de sstema
estara obgado a crear manuamente os drectoros -/ma/.map/INBOX de todos os usuaros ocaes o
cambar manuamente os permsos de todos os buzones de entrada de 0660 a 0600 y repetr cuaquera
de as dos operacones cada vez que se genere un nuevo usuaro.
S se utza Postfx como MTA predetermnado, es nnecesaro defnr vaor aguno en as opcones
mailUprivilegedUgroup y mailUaccessUgroups pues os buzones de entrada se crean con permso
I6II y por tanto carecen de permsos de ectura y escrtura para grupo.
Guarde e archvo y saga de edtor de texto.
Ince y actve e servco dovecot e|ecutando:
service dovecot start
chkcon"ig dovecot on
559
Estabezca sendmail o postfi2, como agente de transporte de correo (;AA, ;a Aransport
Agent) predetermnado de sstema, utzando e mandato alternatives, de sguente modo:
alternatives !!con"ig mta
Lo anteror devover una sada smar a a sguente, donde deber eegr entre postfi2 y
sendmail como MTA predetermnado de sstema:
3ay 8 programas Jue proporcionan XmtaX#
SelecciPn *omando
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
1 /usr/sbin/sendmail#post"ix
LU 8 /usr/sbin/sendmail#sendmail
=resione )ntro para mantener la selecciPn actualDUE o escriba el nSmero de la selecciPn7 8
S eg utzar sendmail en ugar de postfi2, detenga este tmo (es e MTA predetermnado
en Cent0? 6 y 'ed Fat "nterprise inu2 6) e nce e servco sendmail:
service post"ix stop
chkcon"ig post"ix o""
service sendmail start
chkcon"ig sendmail on
S eg utzar postfi2 en ugar de sendmail, detenga este tmo> (es e MTA predetermnado
en Cent0? 5 y 'ed Fat "nterprise inu2 5) e nce e servco postfi2:
service sendmail stop
chkcon"ig sendmail o""
service post"ix start
chkcon"ig post"ix on
En todo momento podr conmutar de nuevo entre Sendma o Postfx, como MTA predetermnado
de sstema, utzando este msmo procedmento.
5[.+.*. =rotocolos utili9ados.
5[.+.*.+. ?;A= P?imple ;ail Aransfer =rotocolQ.
Es un protocolo est<ndar de Internet, de )ivel de Aplicacin utzado, para a transmsn de
correo eectrnco a travs de una conexn TCP/IP. ste es, de hecho, e nco protocoo utzado
para a transmsn de correo eectrnco a travs de Internet. Es un protocoo basado sobre texto
y reatvamente smpe, donde se especfca un destnataro o mtpes destnataros, en un
mensa|e que es transferdo. A o argo de os aos han sdo muchas as personas que han edtado
o contrbudo a as especfcacones de ?;A=, entre as cuaes estn |on Poste, Erc Aman, Dave
Crocker, Ned Freed, Randa Geens, |ohn Kensn y Keth Moore.
Para determnar e servdor ?;A= para un domno dado, se utzan os regstros ;E (;a
E2changer) en a Zona de Autordad correspondente a ese msmo domno contestado por un
?ervidor D)?. Despus de estabecerse una conexn entre e remtente (e cente) y e
destnataro (e servdor), se nca una sesn ?;A=, e|empfcada a contnuacn.
560
*liente7
F n& 3/7.6.6.3 /!
Servidor7 1rying 18$#%#%#1###
*onnected to localhost#localdomain (18$#%#%#1)#
'scape character is X]EX#
88% nombre#dominio 'S.1= Sendmail 6#1@#1/6#1@#1Y SatB 16 .ar 8%%6 167%878$ !%6%%
*liente7 FELO )o&#)hos$.)o&#)-o<#%n
Servidor7 8:% nombre#dominio 3ello localhost#localdomain D18$#%#%#1EB pleased to meet you
*liente7 MA?L FROM1Z+>)#noK)o&#)hos$.)o&#)-o<#%n[
Servidor7 8:% 8#1#% b"ulano[localhost#localdomainM### Sender ok
*liente7 RC9T TO1Z+>)#noK)o&#)hos$.)o&#)-o<#%n[
Servidor7 8:% 8#1#: b"ulano[localhost#localdomainM### Recipient ok
*liente7 DATA
Servidor7 @:4 'nter mailB end ith ,#, on a line by itsel"
*liente7 S>bDe&$1 Mens#De -e 'r>eb#
Fro<1 +>)#noK)o&#)hos$.)o&#)-o<#%n
To1 +>)#noK)o&#)hos$.)o&#)-o<#%n
Fo)#. \s$e es >n <ens#De -e 'r>eb#.
A-%os.
.
Servidor7 8:% 8#%#% k8).8RQ5%%@96$ .essage accepted "or delivery
*liente7 TU?T
Servidor7 881 8#%#% nombre#dominio closing connection
Servidor7 *onnection closed by "oreign host#
La descrpcn competa de protocoo orgna ?A;= est defnda en e '8C :*+, aunque e
protocoo utzado hoy en da, tambn conocdo como "?;A= ("xtended ?mpe ;a Aransfer
=rotoco), est defndo en e '8C *:*+. ?;A= traba|a sobre AC= en e puerto 25.
5[.+.*.*. =0=3 P=ost 0ffice =rotocol version 3Q.
Es un protocolo est<ndar de Internet, de )ivel de Aplicacin, que recupera e correo
eectrnco desde un servdor remoto a travs de una conexn TCP/IP desde un cente oca. E
dseo de =0=3 y sus predecesores es permtr a os usuaros recuperar e correo eectrnco,
mentras estn conectados en una red y manpuar os mensa|es recuperados sn necesdad de
permanecer conectados. A pesar de que muchos centes de correo eectrnco ncuyen soporte
para de|ar e correo en e servdor, todos os centes de POP3 recuperan todos os mensa|es y os
amacenan como mensa.es nuevos en a computadora o anftrn, utzado por e usuaro,
emnan os mensa|es en e servdor y termnan a conexn.
Despus de estabecerse una conexn entre e cente y e servdor, se nca una sesn =0=3,
e|empfcada a contnuacn.
561
*liente7
F n& 3/7.6.6.3 336
U0H dovecot ready#
*liente7 USER +>)#no
Servidor7 U0H
*liente7 9ASS clave de accceso
Servidor7 U0H 2ogged in#
*liente7 STAT
Servidor7 U0H 1 $86
*liente7 L?ST
Servidor7 U0H 1 messages7
1 $86
#
*liente7 RETR 3
Servidor7 U0H $86 octets
Return!=ath7 b"ulano[localhost#localdomainM
Received7 "rom localhost#localdomain (localhost#localdomain D198#166#1#8:4E)
by localhost#localdomain (6#1@#1/6#1@#1) ith S.1= id k8).8RQ5%%@96$
"or b"ulano[localhost#localdomainMY SatB 16 .ar 8%%6 167%@781 !%6%%
&ate7 SatB 16 .ar 8%%6 167%878$ !%6%%
.essage!)d7 b8%%6%@1688%@#k8).8RQ5%%@96$[localhost#localdomainM
SubQect7 .ensaQe de prueba
>rom7 "ulano[localhost#localdomain
1o7 "ulano[localhost#localdomain
Status7 0
*ontent!2ength7 4@
2ines7 8
X!?)&7 8%8
X!Heyords7
3ola# kste es un mensaQe de prueba#
5dios#
#
*liente7 TU?T
Servidor7 U0H 2ogging out#
*onnection closed by "oreign host#
=0=3 est defndo en e '8C +[3[. =0=3 traba|a sobre AC= en e puerto 110.
5[.+.*.3. &;A= P&nternet ;essage Access =rotocolQ.
Es un protocolo est<ndar de Internet, de )ivel de Aplicacin, utzado para acceder haca e
correo eectrnco amacenado en un servdor remoto, a travs de una conexn TCP/IP desde un
cente oca.
La versn ms recente de &;A= es a 4, revsn 1 y est defnda en e '8C 35I+. &;A=
traba|a sobre AC= en e puerto 143.
Fue dseado por Mark Crspn en 1986 como una aternatva ms moderna que resovera as
defcencas de protocoo =0=3. Las caracterstcas ms mportantes de &;A= ncuyen:
Soporte para os modos de operacn conectado (connected) y desconectado
(dsconnected), permtendo a os centes de correo eectrnco permanezcan
conectados e msmo tempo que su nterfaz permanezca actva, descargando os
mensa|es, por partes o competos, conforme se neceste.
A dferenca de =0=3, permte accesos smutneos desde mtpes centes y
proporcona os mecansmos necesaros para que stos detecten os cambos hechos
por otro cente de correo eectrnco que est conectado de manera concurrente a
msmo buzn de correo.
562
Permte a os centes obtener ndvduamente cuaquer parte ;&;" (acrnmo de
;ut-Purpose &nternet ;a "xtensons o Extensones de correo de Internet de
propstos mtpes), as como tambn obtener porcones de as partes ndvduaes
o ben os mensa|es competos.
A travs de !anderas defndas en e protocoo, permte vgar a nformacn de
estado de os mensa|es de correo eectrnco que se mantengan en e servdor. Por
e|empo, s e estado de mensa|e es ledo, no ledo, respondido o eliminado.
Incuye soporte para mtpes buzones de correo eectrnco, permtendo crear,
renombrar o emnar, mensa|es de correo eectrnco presentes en e servdor
dentro de carpetas y mover estos mensa|es entre dstntas cuentas de correo
eectrnco. Esta caracterstca tambn permte a servdor proporconar acceso
haca os carpetas pbcas y as compartdas.
Incuye soporte para reazar bsquedas de ado de servdor a travs de
mecansmos que permten obtener resutados de acuerdo a varos crteros,
permtendo evtar que os centes de correo eectrnco tengan que descargar todos
os mensa|es desde e servdor.
Las especfcacones de protocoo &;A= defnen un mecansmo expcto medante e
cua puede ser me|orada su funconadad a travs de extensones. Un e|empo es a
extensn &;A= &D", a cua permte sncronzar ente e servdor y e cente a
travs de avsos.
Despus de estabecerse una conexn entre e cente y e servdor, se nca una sesn &;A=,
e|empfcada a contnuacn.
*liente7
F n& 3/7.6.6.3 34
L 0H dovecot ready#
U0H dovecot ready#
*liente7 E LOG?N +>)#no clave de acceso
Servidor7 x 0H 2ogged in#
*liente7 E SELECT %nboE
Servidor7 L >25IS (K5nsered K>lagged K&eleted KSeen K&ra"t)
L 0H D='R.5-'-1>25IS (K5nsered K>lagged K&eleted KSeen K&ra"t KL)E >lags permitted#
L 1 'X)S1S
L % R'*'-1
L 0H D?-S''- 1E >irst unseen#
L 0H D?)&(52)&)1< 11%%:69@68E ?)&s valid
L 0H D?)&-'X1 8%@E =redicted next ?)&
x 0H DR'5&!4R)1'E Select completed#
*liente7 E FETCF 3 H+)#gs bo-y"he#-er.+%e)-s Hs>bDe&$I(I
Servidor7 L 1 >'1*3 (>25IS (KSeen) ;0&<D3'5&'R#>)'2&S (S?;O'*1)E c@%d
SubQect7 .ensaQe de prueba
)
x 0H >etch completed#
#
*liente7 E FETCF 3 Hbo-y"$eE$(I
Servidor7 L 1 >'1*3 (;0&<D1'X1E c4:d
3ola# kste es un mensaQe de prueba#
5dios#
)
x 0H >etch completed#
*liente7 E LOGOUT
Servidor7 L ;<' 2ogging out
x 0H 2ogout completed#
5[.*. 'eferencias.
563
$ttp->>RRR.ietf.org>rfc>rfc****.t2t
$ttp->>RRR.ietf.org>rfc>rfc:*+.t2t
$ttp->>RRR.ietf.org>rfc>rfc*:*+.t2t
$ttp->>RRR.ietf.org>rfc>rfc+[3[.t2t
$ttp->>RRR.ietf.org>rfc>rfc35I+.t2t
564
6I. Configuracin !<sica de ?endmail.
6I.+. &ntroduccin.
ttuado &ntroduccin a los protocolos de correo electrnico.
6I.+.+. Acerca de ?endmail.
Es e ms popuar agente de transporte de correo (MTA o ;a Aransport Agent), responsabe,
quz, de poco ms de 70% de correo eectrnco de mundo. Aunque por argo tempo se e ha
crtcado por muchos ncdentes de segurdad, o certo es que stos sempre han sdo resuetos
en pocas horas.
URL: http://www.sendma.org/.
6I.+.*. Acerca de Dovecot.
Dovecot es un servdor de POP3 e IMAP, de cdgo fuente aberto, que funcona en Lnux y
sstemas basados sobre Unx y dseado con a segurdad como prncpa ob|etvo. Dovecot
puede utzar tanto e formato m!o2 como maildir y es compatbe con as mpementacones de
os servdores UW-IMAP y Courer IMAP.
URL: http://dovecot.procontro.f/.
6I.+.3. Acerca de ?A? y Cyrus ?A?.
?A? (?mpe Authentcaton and ?ecurty ayer) es una mpementacn dseada para a
segurdad de datos en protocoos de Internet. Desempare|a os mecansmos de a autentcacn
desde protocoos de apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn
soportado por SASL, para ser utzado en cuaquer protocoo de apcacn que sea capaz de
utzar SASL. Actuamente SASL es un protocoo de a IETF (&nternet "ngneerng Aask 8orce) que
ha sdo propuesto como estndar. Est especfcado en e '8C **** creado por |ohn Meyers en
a Unversdad Carnege Meon.
Cyrus ?A? es una mpementacn de ?A? que puede ser utzada de ado de servdor o ben
de ado de cente y que ncuye como prncpaes mecansmos de autentcacn soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y PLAIN. E cdgo fuente ncuye tambn soporte
para os mecansmos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sas/sas-brary.htm.
565
cyrus-sas
cyrus-sas-pan
dovecot
m4
make
sendma-cf
sendma
S se utza de Cent0? o 'ed Fat "nterprise inu2 e|ecute o sguente:
yum !y install sendmail sendmail!c" dovecot m4 make K
cyrus!sasl cyrus!sasl!plain
S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que este utza e mtodo
de autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos. De gua manera, s estuvese nstaado, emne e paquete cyrus-sas-md5, ya
que este utza os mtodos de autentcacn CRAM-MD5 y Dgest-MD5, msmos que requeran
asgnar as contraseas para SMTP a travs de mandato saspasswd2. Outook carece de soporte
para estos mtodos de autentcacn.
yum remove cyrus!sasl!gssapi cyrus!sasl!md:
6I.3.+. Definiendo ?endmail como agente de transporte de correo
predeterminado.
E mandato alternatives, con a opcn ((config y e vaor mta, se utza para conmutar e
servco de correo eectrnco de sstema y eegr qu programa utzar. So es necesaro utzar
ste s prevamente estaban nstaados Postfx o Exm. S este es e caso, e|ecute o sguente
desde una termna y defna ?endmail como agente de transporte de correo (;AA, ;a
Aransport Agent), seecconado ste.
SelecciPn *omando
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
1 /usr/sbin/sendmail#post"ix
LU 8 /usr/sbin/sendmail#sendmail
=resione )ntro para mantener la selecciPn actualDUE o bien escriba el nSmero de la selecciPn7 8
566
S estuvera presente postfi2, detenga ste (es e ;AA predetermnado en Cent0? 6 y 'ed Fat
"nterprise inu2 6) e nce e servco sendmail:
service post"ix stop
chkcon"ig post"ix o""
6I.3.*. Alta de cuentas de usuario y asignacin de contraseas.
La autentcacn para ?;A=, a travs de cuaquer mtodo (=A&), 0@&), Digest(;D5 o
C'A;(;D5), requere se actve, e nce, e servco saslaut$d de sguente modo:
chkcon"ig saslauthd on
service saslauthd start
E ata de usuaros es a msma que como con cuaquer otro usuaro de sstema. Sendma
utzar e servco saslaut$d para autentcar a os usuaros a travs de os mtodos =A&) y
0@&), con opcn a utzar tambn Digest(;D5 o ben C'A;(;D5.
E ata de as cuentas de usuaro en e sstema, a cua se sugere se asgne >dev>null o
>s!in>nologin como ntrprete de mandatos, pude hacerse de sguente modo:
useradd !s /dev/null usuario
La asgnacn de contraseas, para permtr autentcar a travs de ?;A=, =0=3, e &;A=,
utzando e mtodo =A&) o ben e mtodo 0@&), se hace exactamente gua que con
cuaquer otra cuenta de usuaro de sstema, como se muestra a contnuacn:
passd usuario
E|ecutando o anteror, e sstema soctar se ngrese una contrasea, con confrmacn. Prefera
utzar buenas contraseas y de este modo evtar probemas de segurdad.
)ota.
La asgnacn de contraseas para autentcar ?;A=, a travs de mtodos cfrados (C'A;(;D5 y
D&@"?A(;D5), en sstemas con versn de Sendma compada contra ?A?(* (Red Hat Enterprse
Lnux 5, CentOS 5 y versones posterores de stos), puede hacerse a travs de mandato saslpassRd*
de sguente modo, tomando en consderacn que 0utlooO y 0utlooO "2press carecen de soporte
para autenticar contraseas a travs de estos mtodosH los cuales re#uieren adem<s tener
instalado el pa#uete cyrus(sasl(md5 en el servidor para la gestin de contraseas:
saslpassd8 usuario
Puede mostrarse a sta de os usuaros con contrasea asgnada a travs de SASL-2 utzando e
mandato sasld!listusers*.
S os usuaros se van a dar de ata sguendo e formato usuarioOdominio.tld en ugar de so
usuario, una prctca comn en os servdores con mtpes domnos vrtuaes, es necesaro
aadr a servco saslaut$d a opcn (r, a cua permte combnar e nombre de usuaro y
domno antes de pasar por e mecansmo de autentcacn. S ste es e caso, se debe edtar e
archvo >etc>sysconfig>saslaut$d:
567
vi /etc/syscon"ig/saslauthd
Y aadr a opcn (r a os argumentos de 8A@?:
A &irectory in hich to place saslauthdXs listening socketB pid "ileB and so
A on# 1his directory must already exist#
S0*H'1&)R+/var/run/saslauthd
A .echanism to use hen checking passords# Run ,saslauthd !v, to get a list
A o" hich mechanism your installation as compiled ith the ablity to use#
.'*3+pam
A 0ptions sent to the saslauthd# )" the .'*3 is other than ,pam, uncomment
A the next line#
A &5'.0-0=1S+!!user saslauth
A 5dditional "lags to pass to saslauthd on the command line# See saslauthd(6)
A "or the list o" accepted "lags#
FLAGS=-r
Y rencar e servco saslaut$d.
service saslauthd restart
6I.3.3. Dominios a administrar.
Edte e archvo >etc>mail>local($ost(names:
vi /etc/mail/local!host!names
Estabezca os domnos ocaes que sern admnstrados. En e sguente e|empo se estabecen 4
domnos a admnstrar, donde tld (Top *evel 5omain o domno de nve superor)
correspondera a .com, .org, .net, etc.:
dominio1#tld
dominio8#tld
dominio@#tld
dominio4#tld
Proceda a crear e archvo >etc>mail>relay(domains:
touch /etc/mail/relay!domains
Edte e archvo >etc>mail>relay(domains que acaba de crear:
vi /etc/mail/relay!domains
Estabezca os nombres de os domnos que tendrn permtdo re-transmtr correo eectrnco
desde e servdor. Tcncamente tendr casi e msmo contendo de
>etc>mail>local($ost(names, a menos que se desee excur agn domno en partcuar o ben
se trate de servdor de correo secundaro para otro domno en otro servdor.
568
dominio1#tld
dominio8#tld
dominio@#tld
dominio4#tld
6I.3.4. Control de acceso
Para defnr as stas de contro de acceso, edte e archvo >etc>mail>access:
vi /etc/mail/access
Debe ncur en e archvo >etc>mail>access todas las direcciones &= locales del servidor (as
que devueva e mandato ip addr s$oR).
Puede ncur tambn a sta dreccones IP, domnos o ben cuentas de correo eectrnco, a as
que se quera otorgar permsos de re-transmsn sn restrccones o con permso para envar
correo eectrnco so a cuentas ocaes. Puede defnr tambn una lista negra de dreccones de
correo eectrnco, domnos y dreccones IP, a as que se desee denegar e acceso. Consdere
que:
Cuaquer eemento que vaya acompaado de '"AZ, tendr permtdo envar
correo eectrnco, sn necesdad de autentcar y re(transmitir ste sin restriccin
alguna.
Cuaquer eemento que vaya acompaado de 0N, tendr permtdo envar correo
eectrnco, sn necesdad de autentcar, pero so a as cuentas ocaes.
Cuaquer eemento que vaya acompaado de '"J"CA, tendr prohbda cuaquer
tpo de comuncacn de correo eectrnco.
)ota.
|ams confgure una segmento competo de red oca con R'25<, ya que de|ara de tener sentdo utzar
autentcacn a travs de SMTP y potencamente podra permtr que os probemas de segurdad de
maqunas nfectadas con vrus, gusanos o troyanos, se magnfquen, sendo que permtra e envo, sin
restricciones, de correo eectrnco nfectado o ben cantdades extraordnaras de spam, orgnadas por
os equpos cuya segurdad se haya vsto comprometda.
E|empo de confguracn para e archvo >etc>mail>access:
569
*onnect7localhost#localdomain R'25<
*onnect7localhost R'25<
*onnect718$#%#%#1 R'25<
A
A &irecciPn )= del propio servidor#
*onnect7198#166#$%#:1 R'25<
A
A 0tros servidores de correo en la 25- a los Jue se les permitirR enviar
A correo libremente a travhs del propio servidor de correo#
*onnect7198#166#$%#:8 R'25<
A
A &irecciones )= Jue sPlo podrRn entregar correo de "orma localB es decirB
A no pueden enviar correo "uera del propio servidor#
*onnect7198#166#8#84 0H
A
A 2ista negra
usuario[molesto#com R'O'*1
productoinutil#com#mx R'O'*1
1%#4#:#6 R'O'*1
A
A ;loJues de 5sia =aci"ic -etorksB )S= desde el cual se emite la mayor
A parte del Spam del mundo#
A 2as redes involucradas abarcan 5ustraliaB OapPnB *hinaB *orea del SurB
1aianB
A 3ong Hong e )ndia por lo Jue bloJuear el correo de dichas redes signi"ica
A cortar comunicaciPn con estos pafsesB pero acaba con entre el 6%W y 6%W
A del Spam#
888 R'O'*1
881 R'O'*1
88% R'O'*1
819 R'O'*1
816 R'O'*1
818 R'O'*1
811 R'O'*1
81% R'O'*1
8%@ R'O'*1
8%8 R'O'*1
14%#1%9 R'O'*1
1@@ R'O'*1
61 R'O'*1
6% R'O'*1
:9 R'O'*1
:6 R'O'*1
6I.3.5. Alias de la cuenta del usuario root.
Es pegroso autentcarse con a cuenta de usuaro root, a travs de cuaquer tpo de red, so
para revsar os mensa|es de correo eectrnco orgnados por e sstema. Se recomenda defnr
aas para a cuenta de usuaro root, haca a cua se entregar todo e correo eectrnco
orgnamente drgdo a root.
Edte e archvo >etc>aliases:
vi /etc/aliases
A fna de ste, defna a que cuenta de usuaro reguar e ser entregado e correo eectrnco
orgnamente destnado a root:
570
root7 "ulano
Para convertr e archvo /etc/aases en /etc/aases.db, que es e archvo, en formato de base de
datos, que utzar sendma y para verfcar que a sntaxs est correcta o ben s exsten aases
dupcados, e|ecute e sguente mandato:
nealiases
Lo anteror, debe devover una sada smar a a sguente:
/etc/aliases7 $$ aliasesB longest 1% bytesB $$$ bytes total
6I.3.6. Configuracin de funciones de ?endmail.
Para defnr, cambar o aadr funcones, edte e archvo >etc>mail>sendmail.mc.
vi /etc/mail/sendmail#mc
6I.3.6.+. conf?;A=U0@&)U;?@.
Este parmetro permte estabecer e mensa|e de benvenda a estabecer a conexn a
servdor. Es posbe ocutar e nombre y a versn de Sendma, sto con e ob|eto de agregar
seguridad por oscuridad. Funcona de manera senca, hacendo que, quen estabezca una
conexn haca e servdor, sea ncapaz determnar qu versn de Sendma se est utzando y
con sto dfcutar a un dencuente o abusador de servco, e determnar que vunerabdad
especfca aprovechar. Descomente o sguente en e archvo >etc>mail>sendmail.mc,
emnando e dnl y e espaco que e antecede:
dnl A
dnl A &o not advertiCe sendmail version#
dnl A
-e+%neH]&on+SMT9_LOG?N_MSG@C]WD Sen-<#%)R Wb@I-n)
dnl A
dnl A de"ault logging level is 9B you might ant to set it higher to
dnl A debug the con"iguration
dnl A
dnl de"ine(^con"20I/2'('2XB ^9X)dnl
Guarde os cambos y saga de edtor.
Rence e servco sendmail:
service sendmail restart
Reace una conexn a puerto 25. Obtendr una sada smar a a sguente:
571
F n& 3/7.6.6.3 /!
1rying 18$#%#%#1###
*onnected to mail#dominio#tld#
88% mail#dominio#tld 'S.1= Sendmail Y .onB 1$ .ay 8%%4 %8788789 !%:%%
,>%$
881 8#%#% mail#dominio#tld closing connection
F
6I.3.6.*. confA,AFU0=A&0)?.
Vueva a edta e archvo >etc>mail>sendmail.mc:
vi /etc/mail/sendmail#mc
La sguente nea vene habtada de modo predetermnado y permtr reazar e proceso de
autentcacn a travs de puerto 25, utzando e mtodo =A&) o ben e mtodo 0@&), os
cuaes transmten e nombre de usuaro, |unto con su correspondente contrasea, en texto
smpe, garantzando 100% de compatbdad con todos os centes de correo eectrnco
exstentes. Sn embargo, sto tambn mpca un enorme resgo de segurdad, por o cua se
recomenda mpementar segurdad a travs de SSL/TLS.
de"ine(^??*=/.5)2'R/.5XXB ^8%%%%%%X)dnl
de"ine(^con"?S'R&;/S='*XB ^/etc/mail/userdb#dbX)dnl
de"ine(^con"=R)(5*</>25ISXB âutharningsBnovr"yBnoexpnBrestrictJrunX)dnl
-e+%neH]&on+AUTF_O9T?ONS@C]A@I-n)
dnl A
dnl A 1he "olloing allos relaying i" the user authenticatesB and disallos
dnl A plaintext authentication (=25)-/20I)-) on non!12S links
Para aadr a segurdad necesara, consute y estude e documento ttuado Cmo configurar
?endmail y Dovecot con soporte ??>A?.
.
572
)ota.
S utza a sguente nea, en ugar de a menconada arrba, se desactvar a funcn que permte a
autentcacn envando as contraseas en texto smpe, a travs de conexones sn cfrar (SSL/TLS) y se
habtar a funcn que so permte autentcar con contraseas en texto smpe a travs de SSL/TLS y a
travs de mtodos que utcen contraseas cfradas, como sera CRAM-MD5 y DIGEST-MD5 con o sn
SSL/TLS. "sto o!liga a utili9ar ??>A? para reali9ar cone2iones a travs de cual#uier cliente
de correo electrnico o !ien clientes de correo electrnico con soporte para autenticacin a
travs de C'A;(;D5 y D&@"?A(;D5.
Todos centes de correo eectrnco conocdos, excepto Outook y Outook Express), ncuyen soporte
para CRAM-MD5 y DIGEST-MD5. Las conexones sn SSL/TLS requeren a tener nstaado e paquete
cyrus(sasl(md5 en e servdor y asgnar as contraseas para SMTP a travs de mandato saslpassRd*.
dnl A 1he "olloing allos relaying i" the user authenticatesB and disallos
dnl A plaintext authentication (=25)-/20I)-) on non!12S links
dnl A
-e+%neH]&on+AUTF_O9T?ONS@C]A '@I-n)
dnl A
dnl A =25)- is the pre"erred plaintext authentication method and used by
dnl A .oCilla .ail and 'volutionB though 0utlook 'xpress and other .?5s do
dnl A use 20I)-# 0ther mechanisms should be used i" the connection is not
Convene habtar esta opcn en ugar de a anteror una vez que se ha confgurado e soporte ??>A?
para ?endmail, pues obga a os usuaros a autentcarse utzando so conexones SSL/TLS.
6I.3.6.3. A',?AUA,AFU;"CF y confA,AFU;"CFA)&?;?.
S se desea utzar SMTP con autentcacn, se requeren des-comentar as sguentes dos neas
de archvo >etc>mail>sendmail.mc, emnando e dnl y e espaco que es precede:
dnl A =25)- is the pre"erred plaintext authentication method and used by
dnl A .oCilla .ail and 'volutionB though 0utlook 'xpress and other .?5s do
dnl A use 20I)-# 0ther mechanisms should be used i" the connection is not
dnl A guaranteed secure#
dnl A =lease remember that saslauthd needs to be running "or 5?13#
dnl A
TRUST_AUTF_MECFH]EXTERNAL D?GEST-MD! CRAM-MD! LOG?N 9LA?N@I-n)
-e+%neH]&on+AUTF_MECFAN?SMS@C ]EXTERNAL GSSA9? D?GEST-MD! CRAM-MD!LOG?N 9LA?N@I-n)
dnl A
dnl A Rudimentary in"ormation on creating certi"icates "or sendmail 12S7
dnl A cd /etc/pki/tls/certsY make sendmail#pem
6I.3.6.4. DA";0)U0=A&0)?.
De modo predetermnado, ?endmail escucha petcones so a travs de a nterfaz de retorno
de sstema (127.0.0.1), e gnorando otros dspostvos de red. So se necesta emnar a
restrccn de a nterfaz de retorno para poder recbr correo desde Internet o desde a red de
rea oca. Locace a sguente nea resatada:
573
dnl A 1he "olloing causes sendmail to only listen on the )=v4 loopback address
dnl A 18$#%#%#1 and not on any other netork devices# Remove the loopback
dnl A address restriction to accept email "rom the internet or intranet#
dnl A
DAEMON_O9T?ONSH]9or$=s<$'CA--r=3/7.6.6.3C N#<e=MTA@I-n)
dnl A
dnl A 1he "olloing causes sendmail to additionally listen to port :6$ "or
dnl A mail "rom .?5s that authenticate# Roaming users ho canXt reach their
dnl A pre"erred sendmail daemon due to port 8: being blocked or redirected "ind
dnl A this use"ul#
dnl A
&5'.0-/0=1)0-S(^=ort+submissionB -ame+.S5B .+'aX)dnl
dnl A
dnl A 1he "olloing causes sendmail to additionally listen to port 46:B but
dnl A starting immediately in 12S mode upon connecting# =ort 8: or :6$ "olloed
Examne este parmetro y emne e vaor AddrV+*7.I.I.+, adems de a coma (,) que e
antecede, de modo que quede como se muestra a contnuacn:
dnl A
DAEMON_O9T?ONSH]9or$=s<$'C N#<e=MTA@I-n)
dnl A
dnl A this use"ul#
dnl A
dnl A
E puerto 587 (submsson) puede ser utzado tambn para envo de correo eectrnco. Por
estndar se utza como puerto aternatvo en os casos donde un cortafuegos mpde a os
usuaros acceder haca servdores de correo eectrnco, os cuaes normamente traba|an a
travs de puerto 25. Para este fn, se requere descomentar a nea que ncuye
DA";0)U0=A&0)?Pn=ortVsu!missionH )ameV;?AH ;V"a_Qdnl, como se ustra a
contnuacn, resatado en negrita:
dnl A
&5'.0-/0=1)0-S(^=ort+smtpB -ame+.15X)dnl
dnl A
dnl A this use"ul#
dnl A
DAEMON_O9T?ONSH]9or$=s>b<%ss%onC N#<e=MSAC M=E#@I-n)
dnl A
6I.3.6.5. 8"AA,'"PnacceptUunresolva!leUdomains_Q.
574
De modo predetermnado, como una forma de permtr e envo oca de correo de propo
sstema en una computadora de escrtoro o una computadora portt, est se utza e
parmetro 8"AA,'"PnacceptUunresolva!leUdomains_Q. Se recomenda desactvar esta funcn
a fn de mpedr se acepte correo de domnos nexstentes (generamente utzado para e envo
de correo masvo no soctado o ?pam). Comente esta nea coocando un dnl y un espaco, de
sguente modo:
dnl A 4e strongly recommend not accepting unresolvable domains i" you ant to
dnl A protect yoursel" "rom spam# 3oeverB the laptop and users on computers
dnl A that do not have 84x$ &-S do need this#
dnl A
-n) FEATUREH]#&&e'$_>nreso)*#b)e_-o<#%ns@I-n)
dnl A
dnl >'51?R'(^relay/based/on/.XX)dnl
dnl A
6I.3.6.6. "nmascaramiento.
Des-comente as sguentes tres neas y adapte e vaor de ;A?C,"'AD"UA? para defnr a
mscara que utzar e servdor para envar correo eectrnco (es decr, defne o que va
despus de a @ en a dreccn de correo):
.5S_?'R5&'/5S(^-o<%n%o3.$)-X)dnl
>'51?R'(masJuerade/envelope)dnl
>'51?R'(masJuerade/entire/domain)dnl
S se van a admnstrar mtpes domnos, aada aqueos deban conservar su propa mscara,
utzando e parmetro ;A?C,"'AD"U"EC"=A&0) de sguente modo:
.5S_?'R5&'/5S(^dominio1#tldX)dnl
MASTUERADE_EXCE9T?ONH]-o<%n%o/.$)-@I-n)
MASTUERADE_EXCE9T?ONH]-o<%n%o.$)-@I-n)
MASTUERADE_EXCE9T?ONH]-o<%n%o4.$)-@I-n)
>'51?R'(masJuerade/envelope)dnl
>'51?R'(masJuerade/entire/domain)dnl
6I.3.6.7. Control del correo c$atarra PspamQ a travs de D)?Bs.
S se desea utzar listas negras para mtgar e correo chatarra (spam), pueden aadr a
sguente nea para defnr a sta negra de ?pamCop.net, cas a fna de archvo
>etc>mail>sendmail.mc y |usto arrba de FA0%,@BsmtpDdnl:
dnl .5S_?'R5&'/&0.5)-(localhost#localdomain)dnl
dnl .5S_?'R5&'/&0.5)-(mydomainalias#com)dnl
dnl .5S_?'R5&'/&0.5)-(mydomain#lan)dnl
FEATUREH]enh-nsb)@C ]b).s'#<&o'.ne$@C ]"S'#< b)o&8e- see1 h$$'1;;s'#<&o'.ne$;b).sh$<)X"W^Q&)%en$_#--rS@C ]$@I-n)
.5)2'R(smtp)dnl
.5)2'R(procmail)dnl
dnl .5)2'R(cyrusv8)dnl
6I.3.7. Configuracin de Dovecot.
6I.3.7.+. 0pciones del arc$ivo >etc>dovecot>dovecot.conf en Cent0? 6 y 'ed
Fat "nterprise inu2 6.
575
Cent0? 6 y 'ed Fat "nterprise inu2 6 utzan a versn *.I de Dovecot y por o cua
camba radcamente a confguracn respecto de a versn +.I.2, utzada en Cent0? 5 y 'ed
Fat "nterprise inu2 5 y versones anterores. Edte e archvo >etc>dovecot>dovecot.conf y
descomente e parmetro protocols, estabecendo como vaor pop3 imap lmtp.
A =rotocols e ant to be serving#
protocols + imap pop@ lmtp
6I.3.7.*. 0pciones del arc$ivo >etc>dovecot>conf.d>+I(mail.conf en Cent0? 6 y
'ed Fat "nterprise inu2 6.
m!o2-^>mail-&)B0EV>var>mail>cu como vaor de parmetro mailUlocation.
A See doc/iki/(ariables#txt "or "ull list# Some examples7
A
A mail/location + maildir7\/.aildir
A mail/location + mbox7\/mail7)-;0X+/var/mail/Wu
A mail/location + mbox7/var/mail/Wd/W1n/Wn7)-&'X+/var/indexes/Wd/W1n/Wn
A
A bdoc/iki/.ail2ocation#txtM
A
mail/location + <boE1V;<#%)1?NBOX=;*#r;<#%);A>
En este msmo archvo, arededor de a nea 115, ocace a opcn mailUprivilegedUgroup,
descomente sta y defna como vaor e grupo mail:
A Iroup to enable temporarily "or privileged operations# *urrently this is
A used only ith )-;0X hen either its initial creation or dotlocking "ails#
A 1ypically this is set to ,mail, to give access to /var/mail#
mail/privileged/group + <#%)
mailUaccessUgroups, descomente sta y defna tambn como vaor e grupo mail:
A Irant access to these supplementary groups "or mail processes# 1ypically
A these are used to set up access to shared mailboxes# -ote that it may be
A dangerous to set these i" users can create symlinks (e#g# i" ,mail, group is
A set hereB ln !s /var/mail \/mail/var could allo a user to delete othersX
A mailboxesB or ln !s /secret/shared/box \/mail/mybox ould allo reading it)#
mail/access/groups + <#%)
Se requere que os usuaros ocaes pertenezcan a grupo mail para que o anteror represente
un probema de segurdad.
Cabe seaar que a versn de dovecot ncuda en Cent0? 6 y 'ed FatG "nterprise inu2 6,
es obgatoro generar un certfcado, pues so permtr conexones sn TLS desde 127.0.0.1.
Sga e procedmento descrto en e documento ttuado Cmo configurar ?endmail y
Dovecot con soporte ??>A?.
6I.3.7.3. 0pciones del arc$ivo >etc>dovecot>conf.d>+I(aut$.conf en Cent0? 6 y
'ed Fat "nterprise inu2 6.
576
De modo predetermnado Dovecot so permte autentcar con texto smpe sn SSL/TLS desde e
anftrn oca. La autentcacn de usuaros desde anftrones remotos so se permte a travs
de SSL/TLS. S requere permtr a autentcacn de usuaros sn SSL/TLS -algo poco prudente
en servidores en produccin, pero perfecto para reazar pruebas smpes de autentcacn-
edte e archvo /etc/dovecot/conf.d/10-auth.conf:
vi /etc/dovecot/con"#d/1%!auth#con"
Locace a opcn disa!leUplainte2tUaut$:
AA
AA 5uthentication processes
AA
A &isable 20I)- command and all other plaintext authentications unless
A SS2/12S is used (20I)-&)S5;2'& capability)# -ote that i" the remote )=
A matches the local )= (ie# youXre connecting "rom the same computer)B the
A connection is considered secure and plaintext authentication is alloed#
P-%s#b)e_')#%n$eE$_#>$h = yes
Oute a amohada y cambe e vaor yes por no:
AA
AA 5uthentication processes
AA
A &isable 20I)- command and all other plaintext authentications unless
A SS2/12S is used (20I)-&)S5;2'& capability)# -ote that i" the remote )=
A matches the local )= (ie# youXre connecting "rom the same computer)B the
A connection is considered secure and plaintext authentication is alloed#
-%s#b)e_')#%n$eE$_#>$h = no
Se recomenda de|ar a opcn disa!leUplainte2tUaut$ con a opcn yes a fn de obgar a os
usuaros a autentcar so a travs de cone2iones ??>A?.
6I.3.7.4. 0pciones del arc$ivo >etc>dovecot>dovecot.conf en Cent0? 5 y 'ed
S utza Cent0? 5 o 'ed FatG "nterprise inu2 5, so debe edtar e archvo
>etc>dovecot.conf y habtar os servcos de IMAP y/o POP3, de sguente modo (estn
habtados de modo predetermnado pop3, pop3s, map, e maps):
A =rotocols e ant to be serving7
A imap imaps pop@ pop@s
'ro$o&o)s = %<#' %<#'s 'o' 'o's
6I.3.:. Aadir al inicio del sistema e iniciar servicios dovecot y
sendmail.
E servco dovecot, en cuaquera de as versones de os sstemas operatvos menconados, se
agrega a nco de sstema de sguente modo:
577
Para ncar e servco dovecot, se e|ecuta o sguente:
Para apcar cambos en a confguracn de servco dovecot, se e|ecuta o sguente:
service dovecot restart
E servco sendmail se agrega a nco de sstema, e|ecutando o sguente:
Para ncar e servco sendmail, se e|ecuta o sguente:
Para rencar servco sendmail, so bastar e|ecutar:
Probar servdor envando/recbendo mensa|es con CUALOUIER cente estndar de correo
eectrnco con soporte para POP3/IMAP/SMTP con soporte para autentcar a travs de SMTP
utzando os mtodos LOGIN o PLAIN.
Para detectar posbes errores, se puede examnar e contendo de a btcora de correo
eectrnco de sstema, utzando e mandato tail, con a opcn (f, sobre e archvo
>var>log>maillog, como se muestra a contnuacn:
tail !" /var/log/maillog
6I.4. ;odificaciones necesarias en el muro cortafuegos.
Como medda de segurdad, sempre abra os puertos de cortafuegos so hasta despus de
fnazar a confguracn de servdor de correo eectrnco y que so hasta que haya
comprobado as confguracones.
Para e funconamento norma de un servco de correo eectrnco estndar, es necesaro abrr
os puertos 25 (smtp), 465 (smtps), 587 (submsson), 110 (pop3), 143 (map), 993 (maps) y 995
(pop3s), todos por TCP.
6I.4.+. ?ervicio ipta!les.
578
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 14@ !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport :6$ !Q 5**'=1
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 99@ !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 14@ !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport :6$ !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport 99@ !Q 5**'=1
6I.4.*. ?$oreRall.
vi /etc/shoreall/rules
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp 8:B46:B:6$
5**'=1 all " tcp 11%B14@B99@B99:
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
sguente mandato:
6I.5. ecturas posteriores.
Se recomenda consutar os documentos ttuados Cmo configurar ?endmail y Dovecot
con soporte ??>A?, Configuracin avan9ada de ?endmail, Cmo instalar y
configurar ?pamassassin y Configuracin simple para Antivirus y Antispam.
579
6+. Cmo configurar ?endmail y Dovecot con
soporte ??>A?.
6+.+. &ntroduccin.
Este documento requere a ectura y comprensn preva de documento ttuado
Configuracin !<sica de ?endmail.
6+.+.+. Acerca de D?A.
D?A (Dgta ?gnature Agorthm o Agortmo de Frma dgta) es un agortmo creado por e NIST
()atona &nsttute of ?tandards and Aechnoogy o Insttuto Nacona de Normas y Tecnooga de
EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes.
Se utza para frmar nformacn, ms no para cfrar sta.
URL: http://es.wkpeda.org/wk/DSA
6+.+.*. Acerca de '?A.
agortmo para e cframento de caves pbcas que fue pubcado en 1977, patentado en EE.UU.
en 1983 por e e Insttuto Tecnogco de Mchgan (;&A). '?A es utzado ampamente en todo
e mundo para os protocoos destnados para e comerco eectrnco.
6+.+.3. Acerca de E.5I[.
E.5I[ es un estndar &A,(A (estandarzacn de Aeecomuncacones de a &nternatona
Aeecommuncaton ,non ) para nfraestructura de caves pbcas (=N& o =ubc Ney
&nfrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y
un agortmo para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a
6+.+.4. Acerca de 0pen??.
580
0pen?? es una mpementacn bre, de cdgo aberto, de os protocoos ?? (?ecure ?ockets
Transporte). Est basado sobre e extnto proyecto ??eay, ncado por Erc Young y Tm
Hudson, hasta que stos comenzaron a traba|ar para a dvsn de segurdad de EMC
Corporaton.
6+.*. =rocedimientos.
Todos os procedmentos deben reazarse como e usuaro root.
6+.*.+. @enerando firma digital y certificado.
cd /etc/pki/tls/
Los servdores de correo eectrnco, como Sendma y Postfx, pueden utzar una frma dgta
creada con agortmo D?A de 1024 octetos. Para ta fn, se crea prmero un archvo de
parmetros D?A:
openssl dsaparam 1%84 !out dsa1%84#pem
A contnuacn, se utza este archvo de parmetros D?A para crear una ave con agortmo
D?A y estructura 25I[, as como tambn e correspondente certfcado. En e mandato de
e|empo mostrado a contnuacn, se estabece una vadez por 1825 das (cnco aos) para e
certfcado creado.
openssl reJ !x:%9 !nodes !nekey dsa7dsa1%84#pem !days 168: K
!out &er$s;s<$'.&r$ !keyout 'r%*#$e;s<$'.8ey
Lo anteror soctar se ngresen varos datos:
Estado o provnca.
Cudad.
Nombre de a empresa o razn soca.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
581
Ienerating a 1%84 bit &S5 private key
riting ne private key to Xsmtp#keyX
!!!!!
4hat you are about to enter is hat is called a &istinguished -ame
or a &-#
!!!!!
0rganiCational ?nit -ame (egB section) DE7D%re&&%on Co<er&%#)
*ommon -ame (egB your name or your serverXs hostname) DE7L.-o<%n%o.&o<
'mail 5ddress DE70eb<#s$erK-o<%n%o.&o<
S defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado so ser
vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e campo
Common )ame. Es decr, so podr utzaro cuando se defna mail.dominio.com como
servdor ?;A= con soporte A? desde e cente de correo eectrnco. Funconar
ncorrectamente s se nvoca a servdor como, por menconar un e|empo, dominio.com. Es por
eso que se sugere utzar Y.dominio.com s se panea acceder haca e msmo servdor con
dferentes subdomnos de msmo domno.
A termnar, ya no ser necesaro conservar e archvo dsa+I*4.pem, msmo que puede
emnarse con pena segurdad.
rm !" dsa1%84#pem
Es ndspensabe que todos os archvos de caves y certfcados tengan permsos de acceso de
so ectura para e usuaro root:
chmod 4%% certs/smtp#crt private/smtp#key
Cambe a drectoro >etc>pOi>dovecot>.
cd /etc/pki/dovecot/
Emne os certfcados de prueba creados durante a nstaacn.
rm !" private/dovecot#pem certs/dovecot#pem
La creacn de a frma dgta y certfcado para Dovecot es ms smpe, pero requere utzar
una cave con agortmo '?A de 1024 octetos, con estructura E.5I[. En e e|empo a
contnuacn, se estabece una vadez por 1825 das (cnco aos) para e certfcado creado.
openssl reJ !x:%9 !nodes !nekey rsa71%84 !days 168: K
!out certs/dovecot#pem !keyout private/dovecot#pem
De forma smar a como ocurr con e certfcado para e servdor correo eectrnco, o anteror
soctar se ngresen varos datos.
582
La sada devueta debe smar a a sguente:
Ienerating a 1%84 bit RS5 private key
################UUUUUU
#UUUUUU
riting ne private key to Xdovecot#pemX
!!!!!
or a &-#
!!!!!
*ommon -ame (egB your name or your serverXs hostname) DE7 L.-o<%n%o.&o<
Nuevamente, s defn un nombre de anftrn absouto (e|empo: ma.domno.com), e
certfcado so ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre
defndo en e campo Common )ame. Es decr, so podr utzaro cuando se defna
mail.dominio.com como servdor =0=3 o &;A= con soporte A? desde e cente de correo
eectrnco. Funconar ncorrectamente s se nvoca a servdor como, por menconar un
e|empo, dominio.com. Es por eso que se sugere utzar Y.dominio.com s se panea acceder
haca e msmo servdor con dferentes subdomnos de msmo domno.
A fn de factar a os centes de correo eectrnco e poder gestonar una futura actuazacn de
certfcado, convene aadr una huea dstntva ndubtabe (fngerprnt) a certfcado.
openssl x:%9 !subQect !"ingerprint !noout !in certs/dovecot#pem
so ectura para e usuaro root:
chmod 4%% private/dovecot#pem certs/dovecot#pem
cd
6+.*.*. Configuracin de ?endmail.
6+.*.*.+. =ar<metros de >etc>mail>sendmail.mc.
Edte e archvo /etc/ma/sendma.mc:
vim /etc/mail/sendmail#mc
Es necesaro confgurar os sguente parmetros a fn de que Sendma utce a cave y
certfcado recn creados:
583
de"ine(^con"*5*'R1/=513XB^/etc/pki/tls/certsX)dnl
de"ine(^con"*5*'R1XB^/etc/pki/tls/certs/ca!bundle#crtX)dnl
-e+%neH]&on+SER:ER_CERT@C];e$&;'8%;$)s;&er$s;s<$'.&r$@I-n)
-e+%neH]&on+SER:ER_.EN@C];e$&;'8%;$)s;'r%*#$e;s<$'.8ey@I-n)
E acceso cfrado con TLS es opcona s se reazan conexones a travs de puerto 25 y
obgatoro s se hacen a travs de puerto 465. E puerto 587 (submsson), puede ser tambn
utzado para envo de correo eectrnco. Por estndar se utza como puerto aternatvo en os
casos donde un cortafuegos mpde a os usuaros acceder haca servdores de correo traba|ando
por puerto 25. MS Outook Express carece de soporte para usar TLS a travs de puerto 587, pero
e resto de os centes de correo eectrnco con soporte TLS s o tenen.
A fn de habtar e puerto 465 (smtps), a travs de TCP, se debe descomentar a nea que
contene DA";0)U0=A&0)?Pn=ortVsmtpsH )ameVA?;AAH ;Vs_Qdnl, como se muestra a
contnuacn, resatado en negrita:
dnl A
&5'.0-/0=1)0-S(^=ort+smtpB -ame+.15X)dnl
dnl A
dnl A this use"ul#
dnl A
dnl A
dnl A by S15R112S is pre"erredB but roaming clients using 0utlook 'xpress canXt
dnl A do S15R112S on ports other than 8:# .oCilla .ail can 0-2< use S15R112S
dnl A and doesnXt support the deprecated smtpsY 'volution b1#1#1 uses smtps
dnl A hen SS2 is enabled!! S15R112S support is available in version 1#1#1#
dnl A
dnl A >or this to ork your 0penSS2 certi"icates must be con"igured#
dnl A
DAEMON_O9T?ONSH]9or$=s<$'sC N#<e=TLSMTAC M=s@I-n)
dnl A
dnl A 1he "olloing causes sendmail to additionally listen on the )=v6 loopback
dnl A device# Remove the loopback address restriction listen to the netork#
A fn de que surtan efecto os cambos, es necesaro rencar e servco sendmail.
6+.*.*.*. Compro!aciones.
Reace una conexn con e mandato nc (netcat) o ben e mandato telnet, a puerto 25 de
sstema. Ingrese e mandato "F0 con e domno confgurado. La sada deber devover, entre
todas as funcones de servdor, una nea que ndca ?AA'AA?. La sada puede ser smar a a
sguente:
584
n& 3/7.6.6.3 /!
88% dominio#com 'S.1= Sendmail Y SatB 19 Oun 8%1% 167167%8 !%:%%
eh)o -o<%n%o.&o<
8:%!dominio#com 3ello localhost#localdomain D18$#%#%#1EB pleased to meet you
8:%!'-35-*'&S151?S*0&'S
8:%!=)='2)-)-I
8:%!6;)1.).'
8:%!S)G'
8:%!&S-
8:%!'1R-
8:%!5?13 20I)- =25)-
/!6-STARTTLS
8:%!&'2)('R;<
8:% 3'2=
TU?T
Para sar, so escrba OUIT y puse a teca ENTER.
E|ecute os sguentes mandatos para verfcar e soporte SSL/TLS, estabecendo conexones SSL
y TLS haca os puertos 25, 465 y 587:
openssl s/client !crl" !connect 18$#%#%#178: !starttls smtp
openssl s/client !connect 18$#%#%#1746:
openssl s/client !crl" !connect 18$#%#%#17:6$ !starttls smtp
La sada de todo o anteror ser muy extensa, mostrando a nformacn de os certfcados
utzados.
A reazar a confguracn de cente de correo eectrnco, podr especfcarse conexn por
SSL, TLS o STARTTLS. Tras aceptar e certfcado, deber ser posbe autentcar, con nombre de
usuaro y cave de acceso y envar correo eectrnco.
6+.*.3. Configuracin de Dovecot.
6+.*.3.+. Configuracin de Dovecot en Cent0? 6 y 'ed Fat "nterprise inu2 6.
Edte e archvo >etc>dovecot>conf.d>+I(ssl.conf:
vim /etc/dovecot/con"#d/1%!ssl#con"
Descomente as sguentes neas resatadas en negrta:
A SS2/12S support7 yesB noB reJuired# bdoc/iki/SS2#txtM
ss) = yes
A ='. encoded X#:%9 SS2/12S certi"icate and private key# 1heyXre opened be"ore
A dropping root privilegesB so keep the key "ile unreadable by anyone but
A root# )ncluded doc/mkcert#sh can be used to easily generate sel"!signed
A certi"icateB Qust make sure to update the domains in dovecot!openssl#cn"
ss)_&er$ = Z;e$&;'8%;-o*e&o$;&er$s;-o*e&o$.'e<
ss)_8ey = Z;e$&;'8%;-o*e&o$;'r%*#$e;-o*e&o$.'e<
585
A fn de que surtan efecto os cambos, es necesaro rencar e servco dovecot.
6+.*.3.*. Configuracin de Dovecot en Cent0? 5 y 'ed Fat "nterprise inu2 5.
Edte e archvo >etc>dovecot.conf:
vim /etc/dovecot#con"
Asegrese que e parmetro protocols estn estabecdos como vaores: imap imaps pop3
pop3s.
protocols + imap imaps pop@ pop@s
De modo predetermnado, e soporte SSL de Dovecot est actvo. Verfque que e parmetro
sslUdisa!le tenga e vaor no o ben so est comentado.
Assl/disable + no
Y se especfcan as rutas de certfcado y cave a travs de os parmetros sslUcertUfile y
sslUOeyUfile, de sguente modo:
ssl/cert/"ile + /etc/pki/dovecot/certs/dovecot#pem
ssl/key/"ile + /etc/pki/dovecot/private/dovecot#pem
A fn de que surtan efecto os cambos, es necesaro rencar e servco dovecot.
6+.*.4. Compro!aciones.
E|ecute os sguentes mandatos para verfcar e soporte SSL/TLS, estabecendo conexones SSL
y TLS haca os puertos 110, 995, 143 y 993:
openssl s/client !connect 18$#%#%#1799@
openssl s/client !connect 18$#%#%#1799:
openssl s/client !crl" !connect 18$#%#%#1711% !starttls pop@
openssl s/client !crl" !connect 18$#%#%#1714@ !starttls imap
La sada de todo o anteror ser muy extensa, mostrando a nformacn de os certfcados
utzados.
S o prefere, utce cuaquer cente de correo eectrnco con soporte para SSL, TLS o STARTTLS
y confgure ste para conectarse haca e sstema a travs de &;A=? (puerto 993) o ben =0=3?
(puerto 995). Tras aceptar e certfcado de servdor, e sstema deber permtr autentcar, con
nombre de usuaro y cave de acceso y reazar a ectura de correo eectrnco.
6+.*.5. Configuracin de @)0;" "volution.
586
Para GNOME Evouton, a confguracn de IMAP o POP3 se reaza seecconando e tpo de
servdor, defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro
y usar encrptacn segura TLS.
Confguracn IMAP, en GNOME Evouton.
Se hace o msmo para a confguracn de SMTP (utzar conexn segura TLS), pero
consderando adems que tambn se puede utzar e puerto 587 (submsson) en caso de que
e proveedor de acceso a Internet de cente haya restrngdo e uso de puerto 25 (smtp).
587
Confguracn SMTP, GNOME Evouton.
6+.*.6. Configuracin ;o9illa A$under!ird.
Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado,
usuaro y usar conexn segura TLS.
588
Confguracn IMAP, Moza Thunderbrd.
Confguracn SMTP, Moza Thunderbrd.
589
6*. Configuracin avan9ada de ?endmail.
6*.+. Antes de continuar.
Este documento requere a ectura preva de os documentos ttuados &ntroduccin a los
protocolos de correo electrnico, Configuracin !<sica de ?endmail y Cmo
configurar ?endmail y Dovecot con soporte ??>A?.
6*.*. ,suarios Jirtuales.
S se desea brndar un servco de hospeda|e de domnos vrtuaes, permtendo que os usuaros
enven y recban, correo eectrnco, utzando sus propos domnos, se deben aadir os
sguentes parmetros resaltados, |usto deba|o de a funcn de virtuserta!le de archvo
>etc>mail>sendmail.mc:
de"ine(^con"10/)&'-1XB ^%X)dnl
dnl >'51?R'(delay/checks)dnl
>'51?R'(^no/de"ault/msaXB ^dnlX)dnl
>'51?R'(^smrshXB ^/usr/sbin/smrshX)dnl
>'51?R'(^virtusertableXB^hash !o /etc/mail/virtusertable#dbX)dnl
FEATUREH]gener%&s$#b)e@C]h#sh -o ;e$&;<#%);gener%&s$#b)e.-b@I-n)
GENER?CS_DOMA?N_F?LEH];e$&;<#%);gener%&s--o<#%ns@I-n)
>'51?R'(redirect)dnl
>'51?R'(alays/add/domain)dnl
>'51?R'(use/c/"ile)dnl
>'51?R'(use/ct/"ile)dnl
Se generan tres archvos nuevos dentro de drectoro /etc/mail:
touch /etc/mail/virtusertable
touch /etc/mail/genericstable
touch /etc/mail/generics!domains
E archvo >etc>mail>virtuserta!le srve para defnr qu cuentas vrtuaes de correo eectrnco
se entregan en certos buzones, de determnados usuaros. Edte e archvo
>etc>mail>virtuserta!le:
vim /etc/mail/virtusertable
590
E formato de este archvo permte que la separacin de columnas se $aga con
ta!uladores, a fn de poder anear os regstros y poder tener todo me|or organzado. En e
e|empo a contnuacn, se entrega e correo de (ebmasterOdominio6.net en a cuenta mengano
y e correo de (ebmasterOdominioL.com, en e buzn de usuaro perengano:
ebmaster[dominio1#net mengano
ebmaster[dominio8#com perengano
Para hacer que e correo eectrnco de usuaro mengano saga de servdor como
(ebmasterOdominio6.net y que e de usuaro perengano saga como
(ebmasterOdominioL.com, es necesaro defnr en e archvo >etc>mail>genericsta!le, e
contendo contraro de archvo >etc>mail>virtuserta!le.
Genere e archvo >etc>mail>genericsta!le:
touch /etc/mail/genericstable
Edte e archvo >etc>mail>genericsta!le:
vim /etc/mail/generictable
Defna e contendo contraro de archvo en e archvo >etc>mail>virtuserta!le, de sguente
modo:
mengano ebmaster[dominio1#net
perengano ebmaster[dominio8#com
Para efectos prctcos y salvo #ue se re#uiera #ue $aya m<s de una cuenta virtual de
correo electrnico para un mismo usuario o ben, #ue dos o m<s usuarios emitan
mensa.es con la misma cuenta de correo electrnico, se puede mantener sncronzados
ambos archvos, traba|ando drectamente con >etc>mail>virtuserta!le, e|ecutando e sguente
gun, e cua se encargar de pasar e texto desde e archvo >etc>mail>virtuserta!le, con e
orden nvertdo de as coumnas, haca e archvo >etc>mail>genericsta!le.
hile read cuenta usuario garbage
do
echo !e ,FcusuariodKtFccuentad, MM /etc/mail/genericstable
done b /etc/mail/virtusertable
E archvo >etc>mail>generics(domains debe contener prctcamente o msmo que e archvo
>etc>mail>local($ost(names, ms os domnos que vayan a ser gestonados como domnos
vrtuaes.
dominio#com
dominio1#net
dominio8#com
Invarabemente os archvos >etc>mail>virtuserta!le.d! y >etc>mail>genericsta!le.d!, deben
actuazarse con e contendo de >etc>mail>virtuserta!le y >etc>mail>genericsta!le,
respectvamente, cada vez que se se reacen cuaquer tpo de cambo, como actuazar, aadr o
emnar, cuentas de correo vrtuaes.
591
"or " in virtusertable genericstable
do
makemap hash /etc/mail/Fc"d#db b /etc/mail/Fc"d
done
6*.3. "ncaminamiento de dominios.
Sendma ncuye soporte para reazar en re-encamnamento de domnos de correo a travs de
parmetro 8"AA,'"Pnmailerta!le_Hn$as$ (o >etc>mail>mailerta!le.d!_Q que debe estar
$a!ilitado de modo predeterminado en e archvo >etc>mail>sendmail.mc. Esta funcn
permte a Sendma reazar traduccn de domnos, especfcar un agente de entrega y cambar
e encamnamento estabecdo en un DNS.
6*.3.+. 'edundancia del servidor de correo.
Cuando se tene un domno de correo eectrnco que recbe mucho trfco, es convenente
estabecer redundanca en e servco para garantzar que e correo sempre ser recbdo y
egar a os buzones de correo haca os que est destnado.
Se requeren dos servdores de correo. Uno deber estar regstrado en a zona de domno en e
DNS como servidor de correo primario (ma.domno.com) y otro deber estar regstrado en a
zona de domno en e DNS como servidor de correo secundario (ma2.domno.com) a fn de
contar con redundanca.
+
.
Defna en a zona de DNS de domno.com un servdor de correo prmaro (ma.domno.com) y un
servdor de correo secundaro (ma2.domno.com)
*
.
Confgure normamente e servdor de correo prmaro (ma.domno.com) para admnstrar e correo
de domno.com.
3
.
Confgure e servdor de correo secundaro (ma2.domno.com) de msmo modo, pero no aada
domno.com en e archvo >etc>mail>local($ost(names ya que de otro modo e correo ser tratado
como oca y |amas podr ser entregado en e servdor de correo prmaro.
4
.
Debe de estar stado domno.com en e archvo >etc>mail>relay(domains en e servdor de correo
secundaro (ma2.domno.com) a fn de permtr a retransmsn de ste haca e servdor de correo
prmaro (ma.domno.com).
5
.
En e servdor de correo secundaro (ma2.domno.com) modfque e archvo >etc>mail>mailerta!le
y defna que domno.com ser entregado en e servdor de correo prmaro utzando e nombre
penamente resueto en a zona de DNS.
dominio#com smtp7mail#dominio#com
S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio#com smtp7D1$8#16#1#:%E
6
.
Rence Sendma
7
.
En adeante e correo de domno.com ser entregado normamente y de prmera nstanca en e
servdor de correo prmaro (ma.domno.com), pero cuando ste, por aguna razn, se vea
mposbtado para recbr conexones, e servdor de correo secundaro (ma2.domno.com) defndo
en a zona de DNS recbr todo e correo de domno.com y o entregar en e servdor de correo
prmaro (ma.domno.com) cuando ste re-estabezca operacones normamente.
6*.3.*. ?ervidor de correo intermediario.
592
Sendma puede servr de ntermedaro de correo eectrnco ya sea para ftrado de correo con
un antvrus, equpamento gco para ftrado de correo chatarra o ben como ntermedaro
entre una red pbca y un servdor en red oca. Se requeren dos servdores de correo. Uno que
ser e servdor de correo ntermedaro (proxy.domno.com), que de forma obgatora deber
estar defndo en a zona de DNS de domno como servdor de correo prmaro (un regstro MX) y
otro que servr como servdor de correo de destno (ma.domno.com).
+
.
E servdor de correo que funconar como ntermedaro (proxy.domno.com) se confgura
normamente, pero no aada domno.com en e archvo >etc>mail>local($ost(names ya que de otro
modo e correo ser tratado como oca y |amas podr ser entregado en e servdor de correo de
destno (ma.domno.com).
*
.
Debe de estar stado domno.com en e archvo >etc>mail>relay(domains en e servdor de correo
ntermedaro (proxy.domno.com) a fn de permtr a retransmsn de ste haca e servdor de
correo prmaro (ma.domno.com).
3
.
La dreccn P de servdor de destno (ma.domno.com) debe estar stada en e archvo
>etc>mail>access con '"AZ (retransmsn autorzada) de servdor de correo ntermedaro
(proxy.domno.com).
4
.
La dreccn P de servdor de ntermedaro (proxy.domno.com) debe estar stada en e archvo
>etc>mail>access con '"AZ (retransmsn autorzada) de servdor de correo de destno
(ma.domno.com).
5
.
En e servdor de correo ntermedaro (proxy.domno.com) modfque e archvo
>etc>mail>mailerta!le y defna que domno.com ser entregado en e servdor de correo de destno
(ma.domno.com) utzando e nombre 8CD) (8uy Cuafed Doman )ame) y penamente
resueto.
dominio#com smtp7mail#dominio#com
6
.
S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio#com smtp7D1$8#16#1#:%E
7
.
En e servdor de correo de destno (ma.domno.com), des-comente y defna pro2y.dominio.com
como vaor para e parmetro definePn?;A'AUF0?A_Hnsmtp.your.provider_Q, de modo que
pro2y.dominio.com sea e servdor de retransmsn (smart host:
de"ine(^S.5R1/30S1XB^proxy#dominio#comX)
:
.
Rence Sendma en ambos servdores de correo.
6*.4. Jerificando el servicio.
Desde una termna, e|ecute e mandato nc drgdo haca e puerto 25 de a dreccn IP prncpa
de sstema:
F nc 198#166#%#8:4 8:
S Sendma est funconando correctamente, se estabecer una conexn extosa y deber
devover una sada smar a a sguente:
1rying 1$8#16#1#:%###
*onnected to nombre#dominio (1$8#16#1#:%)#
88% nombre#dominio 'S.1= Sendmail 6#1@#1/6#1@#1Y SunB : .ar 8%%6 8174:7:1 !%6%%
E|ecute e mandato F"0 segudo de nombre de anftrn:
3'20 nombre#dominio
593
Obtendr una sada smar a esta:
8:% nombre#dominio 3ello nombre#dominio D1$8#16#1#:%EB pleased to meet you
E|ecute e mandato "F0 segudo de nombre de anftrn:
'320 nombre#dominio
Obtendr una sada smar a sta y que mostrar as funcones de servdor:
8:%!nombre#dominio 3ello nombre#dominio D1$8#16#1#:%EB pleased to meet you
8:%!'-35-*'&S151?S*0&'S
8:%!=)='2)-)-I
8:%!6;)1.).'
8:%!S)G'
8:%!&S-
8:%!'1R-
8:%!5?13 &)I'S1!.&: *R5.!.&:
8:%!&'2)('R;<
8:% 3'2=
E|ecute e mandato C,&A para cerrar a conexn.
_?)1
E servdor deber contestar o sguente a termnar a conexn:
881 8#%#% nombre#dominio closing connection
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos
utzados resatados en negrita):
D"ulano[nombre \EF n& 37/.35.3.!6 /!
1rying 1$8#16#1#:%###
88% nombre#dominio 'S.1= Sendmail 6#1@#1/6#1@#1Y SunB : .ar 8%%6 8174:7:1 !%6%%
FELO no<bre.-o<%n%o
EFLO no<bre.-o<%n%o
8:%!nombre#dominio 3ello nombre#dominio D1$8#16#1#:%EB pleased to meet you
8:%!'-35-*'&S151?S*0&'S
8:%!=)='2)-)-I
8:%!6;)1.).'
8:%!S)G'
8:%!&S-
8:%!'1R-
8:%!5?13 &)I'S1!.&: *R5.!.&:
8:%!&'2)('R;<
8:% 3'2=
TU?T
6*.5. =rue!as de envo de correo.
594
6*.5.+. ,tili9ando nc.
Utzar e mandato nc permte conocer y examnar como funcona reamente a nteraccn entre
un servdor de correo y un cente de correo.
Abra una sesn con nc drgdo haca e puerto 25 de a dreccn IP prncpa de sstema.
nc 1$8#16#1#:% 8:
Saude a sstema con e mandato F"0 segudo de nombre de anftrn.
3'20 nombre#dominio
E servdor de correo deber contestare:
E|ecute e mandato ;A& 8'0; especfcando a cuenta de correo de un usuaro oca de sus
sstema de sguente modo:
.5)2 >R0.7 b"ulano[nombre#dominioM
E servdor de correo deber contestare o sguente, a menos que especfque una cuenta de
correo con un domno dstnto a os especfcados en e archvo >etc>mail>relay(domains:
8:% 8#1#% b"ulano[nombre#dominioM### Sender ok
E|ecute e mandato 'C=A A0 especfcando una cuenta de correo exstente en e servdor de
sguente modo:
R*=1 107 broot[nombre#dominioM
E servdor de correo deber contestare o sguente:
8:% 8#1#: broot[nombre#dominioM### Recipient ok
E|ecute e mandato DAAA:
&515
E servdor de correo deber contestare o sguente:
@:4 'nter mailB end ith ,#, on a line by itsel"
Enseguda se ngresa e texto que desee ncur en e mensa|e de correo eectrnco. A termnar
fnace con un punto en una nueva nea.
595
3olaB este es un mensaQe de prueba#
#
E sstema deber contestare ago smar a o sguente:
8:% 8#%#% k86@'HH%%68%9 .essage accepted "or delivery
E|ecute e mandato C,&A:
_?)1
E servdor deber contestar o sguente a termnar a conexn:
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos
utzados resatados en negrita):
D"ulano[nombre \EF n& 37/.35.3.!6 /!
1rying 1$8#16#1#:%###
88% nombre#dominio 'S.1= Sendmail 6#1@#1/6#1@#1Y SunB : .ar 8%%6 817:6714
!%6%%
FELO no<bre.-o<%n%o
MA?L FROM1 Z+>)#noKno<bre.-o<%n%o[
8:% 8#1#% b"ulano[nombre#dominioM### Sender ok
RC9T TO1 Zroo$Kno<bre.-o<%n%o[
8:% 8#1#: broot[nombre#dominioM### Recipient ok
DATA
@:4 'nter mailB end ith ,#, on a line by itsel"
Fo)#C es$e es >n <ens#De -e 'r>eb#.
.
8:% 8#%#% k86@'HH%%68%9 .essage accepted "or delivery
TU?T
6*.5.*. ,tili9ando mutt.
Mutt, trmno utzado en a engua ngesa para referrse a perros mestzos, es un cente de
correo eectrnco (MUA o ;a ,ser Agent) para modo texto. Incuye soporte para coor, hos,
MIME, PGP/GPG, protocoos POP3, IMAP y NNTP y para os formatos de correo ;aildir y m!o2.
Basta e|ecutar mutt y pusar as tecas ndcadas a nterfaz de texto para reazar dversas tareas.
Para envar un mensa|e de correo eectrnco sga este procedmento:
+
.
Como usuaro sn prvegos, e|ecute mutt.
*
.
Responda con a teca LsM para confrmar que se crear ^>;ail.
596
3
.
Una vez ncada a nterfaz de texto de mutt, puse a teca LmM para crear un nuevo mensa|e.
4
.
En a parte nferor de a pantaa aparece un dogo para e destnataro (Ao- ). Ingrese una cuenta de
correo eectrnco vda o aguna que exsta a menos en e domno de a Red Loca (A)).
5
.
En a parte nferor de a pantaa aparece un dogo para ngresar e asunto de mensa|e (?u!.ect- ).
Ingrese un ttuo para e mensa|e.
6
.
Enseguda mutt ncar vi para crear e texto que se envar en e mensa|e. Ince e modo de
insertar texto (i) de vi e ngrese agunas paabras. A termnar, guarde y saga de vi (-R#).
7
.
Tras termnar con e edtor de texto smpe vi, mutt presentar una vsta preva de mensa|e.
Confrme que os datos son os correctos y puse a teca LyM para envar e mensa|e. S necesta
cambar aguno de stos, puse LtM para cambar e destnataro o ben puse a teca LsM, para
cambar e campo de asunto de mensa|e.
:
.
Mutt e devover a a pantaa prncpa. S recbe un mensa|e de respuesta, seeccone ste y puse a
teca ")A"' para vsuazar e contendo.
[
.
S desea responder e mensa|e, puse a teca LrM y repta os procedmentos de paso 4 a 7.
S o desea, tambn puede utzar mutt desde a nea de mandatos.
echo !e K
,3olaB soy Fc?S'Rd en Fc30S1-5.'d#KnK
=or "avor responde este mensaQe#KnKnSaludos#, K
N mutt K
!s ,.ensaQe enviado desde Fc30S1-5.'d, K
"ulano[maJuina#dominio
Lo anteror enva un mensa|e de correo eectrnco haca a cuenta fuano@maquna.domno, con
e asunto ;ensa.e enviado desde nom!re.dominio con e sguente contendo como texto
de mensa|e:
3olaB soy >s>#r%o en no<bre.-o<%n%o
=or "avor responde este mensaQe#
Saludos#
597
63. 0pciones avan9adas de seguridad para
?endmail.
63.+. &ntroduccin.
Debdo a a naturaeza de correo eectrnco, es posbe para un atacante nundar fcmente e
servdor y desencadenar en una denegacn de servco. Fenmenos como e denomnado correo
masvo no soctado o Spam no hacen as cosas ms fces y as admnstracn de un servdor
de correo puede tornarse una pesada. Aadr opcones avanzadas de segurdad se converte en
ago ndspensabe.
63.*. 8unciones.
Todas as funcones expcadas a contnuacn pueden ncurse en e archvo /etc/mail/sendmail#mc
|usto deba|o de a tma nea que ncuya de"ine y arrba de a prmera nea que ncuya >'51?R'.
63.*.+. conf;AEU'C=A?U="'U;"??A@"
Este parmetro srve para estabecer un nmero mxmo de destnataros para un mensa|e de
correo eectrnco. De modo predetermnado Sendma estabece un mxmo de 256
destnataros. En e sguente e|empo se mtar e nmero de destnataros a 20:
de"ine(^con".5X/R*=1S/='R/.'SS5I'XB ^8%X)dnl
63.*.*. confBADU'C=AUAF'0AA"
Este parmetro srve para estabecer e tempo de etargo que se utzar por cada destnataro
que sobrepase e mte estabecdo por con".5X/R*=1S/='R/.'SS5I'. De modo predetermnado
Sendma no estabece tempo de etargo. En e sguente e|empo se estabecern 2 segundos de
etargo por cada destnataro rechazado por sobrepasar e mte de destnataros permtdos:
de"ine(^con";5&/R*=1/13R0112'XB ^8X)dnl
63.*.3. conf='&JACZU8A@?
598
Cuando se estabece como vaor `goaway', se deshabtan varos mandatos SMTP como EXPN y
VRFY, os cuaes puderan ser utzados para revear os nombres de usuaros ocaes a un
spammer. Tambn deshabta as notfcacones de entrega, e cua es un mecansmo
comunmente utzado por quenes envan correo masvo no soctado para verfcar/confrmar a
exstenca de una cuenta actva y hace que e sstema socte obgatoramente HELO o EHLO
antes de utzar e mandato MAIL. Muchos programas de utzados para envar correo masvo no
soctado n squera se moestan en utzar HELO o EHLO. De modo predetermnado os vaores
de confPRIVACY_FLAGS son àuthwarnngs,novrfy,noexpn,restrctqrun', cambe por o sguente:
de"ine(^con"=R)(5*</>25ISXB^goaayX)dnl
63.*.4. conf;AEUF"AD"'?U")@AF
Est parmetro se utza para defnr e tamao mxmo permtdo para a cabecera de un
mensa|e en bytes. Agunos programas utzados para envar spam tratan de mpedr que os MTA
puedan regstrar transaccones generando cabeceras muy grandes.
Lmtar e tamao de as cabeceras hace ms dfc a e|ecucn de gun que expote
vunerabdades recentes (desbordamentos de bfer) en UW IMAP, Outook y Outook Express.
La mayor parte de os mensa|es de correo eectrnco tendrn cabeceras de menos de 2 Kb (2048
bytes). Un mensa|e de correo eectrnco ordnaro, por muy exagerado que resute e tamao de
a cabecera, rara vez utzar una cabecera que sobrepase os 5 Kb o 6 Kb, es decr, de 5120 o
6144 bytes. En e sguente e|empo se mtar e tamao mxmo de a cabecera de un mensa|e
a 16 Kb (requrerdo para MaScanner):
de"ine(^con".5X/3'5&'RS/2'-I13XB ^16@64X)dnl
E vaor sugerdo es 16 Kb (16384 bytes). Aumente o dsmnuya e vaor a su dscresn.
63.*.5. conf;AEU;"??A@"U?&b"
Este parmetro srve para especfcar e tamao mxmo permtdo para un mensa|e de correo
eectrnco en bytes. Puede especfcarse o que e admnstrador consdera apropado. En e
sguente e|empo se mtar e tamao mxmo de un mensa|e a 3 MB:
de"ine(^con".5X/.'SS5I'/S)G'XB ^@14:$86X)dnl
63.*.6. conf;AEUDA";0)UCF&D'")
Este parmetro srve para especfcar cuantos procesos h|os se permtrn smutneamente en
e servdor de correo. De modo predetermnado sendma no estabece mtes para este
parmetro. S se sobre pasa e mte de conexones smutneas, e resto sern demoradas hasta
que se termnen as conexones exstentes y de|en ugar para nuevas conexones. En e sguente
e|empo se mtar e nmero de conexones smutneas haca e servdor a 5:
de"ine(^con".5X/&5'.0-/*3)2&R'-XB ^:X)dnl
63.*.7. confC0))"CA&0)U'AA"UAF'0AA"
599
Este parmetro srve para estabecer e numero de conexones mxmas por segundo. De modo
predetermnado sendma no estabece mtes para este parmetro. En e sguente e|empo se
mtar a 4 conexones por segundo:
de"ine(^con"*0--'*1)0-/R51'/13R0112'XB ^4X)dnl
600
64. Cmo instalar y configurar =ostfi2 y
Dovecot con soporte para A? y autenticacin.
ma uso de stos.
64.+. &ntroduccin.
ttuado &ntroduccin a los protocolos de correo electrnico.
64.+.+. Acerca de =ostfi2.
=ostfi2, orgnamente conocdo por os nombres VMaer e IBM Secure Maer, es un popuar
agente de transporte de correo (MTA o ;a Aransport Agent), creado con a prncpa ntencn
de ser una aternatva ms rpda, fc de admnstrar y segura que Sendma. Fue orgnamente
escrto por Wetse Venema durante su estanca en e Thomas |. Watson Research Center de IBM.
URL: http://www.postfx.org/.
64.+.*. Acerca de Dovecot.
Dovecot es un servdor de POP3 e IMAP de fuente aberta que funcona en Lnux y sstemas
basados sobre Unx y dseado con a segurdad como prncpa ob|etvo. Dovecot puede
utzar tanto e formato m!o2 como maildir y es compatbe con as mpementacones de os
servdores UW-IMAP y Courer IMAP.
URL: http://dovecot.procontro.f/.
64.+.3. Acerca de ?A? y Cyrus ?A?.
?A? (?mpe Authentcaton and ?ecurty ayer) es un estructura para a segurdad de datos en
protocoos de Internet. Desempare|a mecansmos de a autentcacn desde protocoos de
apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn soportado por SASL
para ser utzado en cuaquer protocoo de apcacn que capaz de utzar SASL. Actuamente
SASL es un protocoo de a IETF (&nternet "ngneerng Aask 8orce) que ha sdo propuesto como
estndar. Est especfcado en e '8C **** creado por |ohn Meyers en a Unversdad Carnege
Meon.
Cyrus ?A? es una mpementacn de ?A? que puede ser utzada de ado de servdor o de
ado de cente y que ncuye como prncpaes mecansmos de autentcacn soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y PLAIN. E cdgo fuente ncuye tambn soporte
para os mecansmos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.
601
URL: http://asg.web.cmu.edu/sas/sas-brary.htm.
64.+.4. Acerca de D?A.
D?A (Dgta ?gnature Agorthm o Agortmo de Frma dgta) es un agortmo creado por e NIST
()atona &nsttute of ?tandards and Aechnoogy o Insttuto Nacona de Normas y Tecnooga de
EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes.
Se utza para frmar nformacn, ms no para cfrar sta.
URL: http://es.wkpeda.org/wk/DSA
64.+.5. Acerca de '?A.
64.+.6. Acerca de E.5I[.
64.+.7. Acerca de 0pen??.
Corporaton.
Instaar os paquetes postfi2, dovecot, cyrus(sasl y cyrus(sasl(plain:
yum !y install post"ix dovecot cyrus!sasl cyrus!sasl!plain
S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que este utza e mtodo
de autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos:
602
yum remove cyrus!sasl!gssapi
De gua manera, s estuvese nstaado, emne e paquete cyrus-sas-md5, ya que este utza os
mtodos de autentcacn CRAM-MD5 y Dgest-MD5, msmos que requeran asgnar as caves de
acceso para SMTP a travs de mandato saspasswd2. Outook carece de soporte para estos
mtodos de autentcacn.
yum remove cyrus!sasl!md:
Todos os procedmentos deben reazarse como e usuaro root.
64.3.+. Definiendo =ostfi2 como agente de transporte de correo
predeterminado.
E mandato alternatives, con a opcn alternatives--confg mta, se utza para conmutar e
servco de correo eectrnco de sstema y eegr que paquete utzar. So es necesaro utzar
ste s prevamente estaban nstaados Sendma o Exm. S este es e caso, e|ecute o sguente
desde una termna y defna =ostfi2 como agente de transporte de correo (;AA, ;a Aransport
Agent), seecconado ste.
SelecciPn *omando
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
LU 1 /usr/sbin/sendmail#post"ix
8 /usr/sbin/sendmail#sendmail
=resione )ntro para mantener la selecciPn actualDUE o escriba el nSmero de la selecciPn7 1
S estuvera presente sendmail, detenga ste (es e ;AA predetermnado en Cent0? 5 y 'ed
Fat "nterprise inu2 5) e nce postfx:
service sendmail stop
chkcon"ig sendmail o""
service post"ix start
64.3.*. ?"inu2 y =ostfi2.
A fn de que SELnux permta a Postfx escrbr e e drectoro de entrada de correo eectrnco
(>var>spool>mail>), es necesaro habtar a sguente potca:
setsebool != allo/post"ix/local/rite/mail/spool 1
603
Soo en Cent0? 5 y 'ed Fat "nterpise inu2 5, a fn de que SELnux permta a ectura de
correo eectrnco, es necesaro habtar a sguente potca:
setsebool != mail/read/content 1
En Cent0? 6 y 'ed Fat "nterpise inu2 6, esta potca de| de exstr, pues se vov
nnecesara.
64.3.*.+. @enerando firma digital y certificado.
cd /etc/pki/tls/
Los servdores de correo eectrnco, como Sendma y Postfx, pueden utzar una frma dgta
creada con agortmo D?A de 1024 octetos. Para ta fn, se crea prmero un archvo de
parmetros D?A:
openssl dsaparam 1%84 !out dsa1%84#pem
A contnuacn, se utza este archvo de parmetros D?A para crear una ave con agortmo
D?A y estructura 25I[, as como tambn e correspondente certfcado. En e e|empo a
contnuacn, se estabece una vadez por 1095 das (tres aos) para e certfcado creado.
openssl reJ !x:%9 !nodes !nekey dsa7dsa1%84#pem !days 1%9: !out &er$s;s<$'.&r$ !keyout
'r%*#$e;s<$'.8ey
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
604
Ienerating a 1%84 bit &S5 private key
riting ne private key to Xsmtp#keyX
!!!!!
or a &-#
!!!!!
*ommon -ame (egB your name or your serverXs hostname) DE7L.-o<%n%o.&o<
S defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado soo ser
vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e campo
Common )ame. Es decr, soo podr utzaro cuando se defna mail.dominio.com como
servdor ?;A= con soporte A? desde e cente de correo eectrnco. Funconar
ncorrectamente s se nvoca a servdor como, por menconar un e|empo, dominio.com. Es por
eso que se sugere utzar Y.dominio.com s se panea acceder haca e msmo servdor con
dferentes subdomnos de msmo domno.
A termnar, ya no ser necesaro conservar e archvo dsa+I*4.pem, msmo que puede
emnarse con pena segurdad.
rm !" dsa1%84#pem
soo ectura para e usuaro root:
chmod 4%% certs/smtp#crt private/smtp#key
Cambe a drectoro >etc>pOi>dovecot>.
cd /etc/pki/dovecot/
Emne os certfcados de prueba creados durante a nstaacn.
rm !" private/dovecot#pem certs/dovecot#pem
La creacn de a frma dgta y certfcado para Dovecot es ms smpe, pero requere utzar
una cave con agortmo '?A de 1024 octetos, con estructura E.5I[. En e e|empo a
contnuacn, se estabece una vadez por 1095 das (tres aos) para e certfcado creado.
openssl reJ !x:%9 !nodes !nekey rsa71%84 !days 1%9: !out certs/dovecot#pem !keyout
private/dovecot#pem
openssl x:%9 !subQect !"ingerprint !noout !in certs/dovecot#pem
605
De forma smar a como ocurr con e certfcado para e servdor correo eectrnco, o anteror
soctar se ngresen varos datos.
La sada devueta debe smar a a sguente:
################UUUUUU
#UUUUUU
riting ne private key to Xdovecot#pemX
!!!!!
or a &-#
!!!!!
*ommon -ame (egB your name or your serverXs hostname) DE7 L.-o<%n%o.&o<
Nuevamente, s defn un nombre de anftrn absouto (e|empo: ma.domno.com), e
certfcado soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre
defndo en e campo Common )ame. Es decr, soo podr utzaro cuando se defna
mail.dominio.com como servdor =0=3 o &;A=, con soporte A? desde e cente de correo
eectrnco. Funconar ncorrectamente s se nvoca a servdor como, por menconar un
e|empo, dominio.com. Es por eso que se sugere utzar Y.dominio.com s se panea acceder
haca e msmo servdor con dferentes subdomnos de msmo domno.
soo ectura para e usuaro root:
chmod 4%% private/dovecot#pem certs/dovecot#pem
cd
64.3.3. Configuracin de =ostfi2.
64.3.3.+. Arc$ivo de configuracin >etc>postfi2>master.cf.
Edtar e archvo >etc>postfi2>master.cf:
vim /etc/post"ix/master#c"
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, debe descomentar as sguentes neas
resatadas en negrita:
606
smtp inet n ! n ! ! smtpd
s>b<%ss%on %ne$ n - n - - s<$'-
-o s<$'-_en+or&e_$)s=yes
-o s<$'-_s#s)_#>$h_en#b)e=yes
-o s<$'-_&)%en$_res$r%&$%ons='er<%$_s#s)_#>$hen$%&#$e-CreDe&$
s<$'s %ne$ n - n - - s<$'-
-o s<$'-_$)s_0r#''er<o-e=yes
S utza Cent0? 6 o 'ed Fat "nterprise inu2 6, debe descomentar as sguentes neas
smtp inet n ! n ! ! smtpd
s>b<%ss%on %ne$ n - n - - s<$'-
-o s<$'-_$)s_se&>r%$y_)e*e)=en&ry'$
-o <%)$er_<#&ro_-#e<on_n#<e=OR?G?NAT?NG
s<$'s %ne$ n - n - - s<$'-
-o s<$'-_$)s_0r#''er<o-e=yes
-o <%)$er_<#&ro_-#e<on_n#<e=OR?G?NAT?NG
64.3.3.*. Arc$ivo de configuracin >etc>postfi2>main.cf.
A contnuacn, se debe edtar e archvo >etc>postfi2>main.cf:
vim /etc/post"ix/main#c"
'espetando el resto del contenido original de este arc$ivo y asumendo que e nombre de
anftrn de servdor es mail.dominio.com y que se va a utzar para gestonar e correo
eectrnco de dominio.com, soo se deben locali9ar y configurar os sguentes parmetros:
607
A 1odo lo siguiente solo reJuiere descomentarse o bien modi"icar la lfnea
A correspondiente Jue esth descomentada#
A &e"inir el nombre de an"itriPn del sistema (hostname)#
myhostname + mail#-o<%n%o.&o<
A &e"inir el dominio principal a gestionar#
mydomain + -o<%n%o.&o<
myorigin + Fmydomain
A &e"inir se trabaQe por todas las inter"aces#
A &e modo predeterminado solo trabaQa por la inter"aC de retorno del sistema
A (loopback)B es decirB solo escucha peticiones a travhs de sobre 18$#%#%#1
Ainet/inter"aces + localhost
inet/inter"aces + all
A Si se van a maneQar mRs dominios de correo electrPnicoB aVadirlos tambihn#
mydestination + FmyhostnameB FmydomainB localhost#localdomainB localhost
A &e"inir tus redes localesB eQemplo asume Jue tu 25- es 198#166#1#%/84
mynetorks + 198#166#1#%/84B 18$#%#%#%/6
A Si se van a maneQar mRs dominios de correo electrPnicoB aVadirlos tambihn#
relay/domains + Fmydestination
A )mportante para poder utiliCar 'ro&<#%) para "iltrar correo#
mailbox/command + /usr/bin/procmail
A 1odo lo siguiente estR ausente en la con"iguraciPn#
A 5Vadir todo al "inal del archivo main#c"
A
smtpd/tls/security/level + may
smtpd/tls/*5"ile + /etc/pki/tls/certs/ca!bundle#crt
A 2as rutas deben corresponder a las del certi"icado y "irma digital creados#
smtpd/tls/key/"ile + /etc/pki/tls/private/smtp#key
smtpd/tls/cert/"ile + /etc/pki/tls/certs/smtp#crt
smtpd/tls/auth/only + no
smtp/use/tls + yes
smtpd/use/tls + yes
smtp/tls/note/starttls/o""er + yes
smtpd/tls/loglevel + 1
smtpd/tls/received/header + yes
smtpd/tls/session/cache/timeout + @6%%s
tls/random/source + dev7/dev/urandom
A Soporte para autenticar a travhs de S5S2#
A smtpd/sasl/local/domain + A Solo como re"erencia#
smtpd/sasl/auth/enable + yes
smtpd/sasl/security/options + noanonymous
broken/sasl/auth/clients + yes
smtpd/sasl/authenticated/header + yes
smtpd/recipient/restrictions + permit/sasl/authenticatedBpermit/mynetorksBreQect/unauth/destination
A fn de ahorrar tempo reazando bsqueda de os parmetros anterores, todo o anteror
tambn se puede confgurar utzando e mandato postconf, de sguente modo:
608
postcon" !e Xmyhostname + mail#-o<%n%o.&o<X
postcon" !e Xmydomain + -o<%n%o.&o<X
postcon" !e Xmyorigin + FmydomainX
postcon" !e Xinet/inter"aces + allX
postcon" !e Xmydestination + FmyhostnameB FmydomainB localhost#localdomainB localhostX
postcon" !e Xmynetorks + 3=/.358.3.6;/4B 18$#%#%#%/6X
postcon" !e Xrelay/domains + FmydestinationX
postcon" !e Xmailbox/command + /usr/bin/procmailX
postcon" !e Xsmtpd/tls/*5"ile + /etc/pki/tls/certs/ca!bundle#crtX
postcon" !e Xsmtpd/tls/key/"ile + /etc/pki/tls/private/smtp#keyX
postcon" !e Xsmtpd/tls/cert/"ile + /etc/pki/tls/certs/smtp#crtX
postcon" !e Xsmtpd/tls/auth/only + noX
postcon" !e Xsmtp/use/tls + yesX
postcon" !e Xsmtpd/use/tls + yesX
postcon" !e Xsmtp/tls/note/starttls/o""er + yesX
postcon" !e Xsmtpd/tls/loglevel + 1X
postcon" !e Xsmtpd/tls/received/header + yesX
postcon" !e Xsmtpd/tls/session/cache/timeout + @6%%sX
postcon" !e Xtls/random/source + dev7/dev/urandomX
postcon" !e Xsmtpd/sasl/auth/enable + yesX
postcon" !e Xsmtpd/sasl/security/options + noanonymousX
postcon" !e Xbroken/sasl/auth/clients + yesX
postcon" !e Xsmtpd/sasl/authenticated/header + yesX
postcon" !e Xsmtpd/recipient/restrictions +
permit/sasl/authenticatedBpermit/mynetorksBreQect/unauth/destinationX
64.3.3.3. Arc$ivo de configuracin >etc>aliases.
Se debe edtar tambn e archvo >etc>aliases:
vim /etc/aliases
Se debe defnr que e correo de usuaro root se entregue a cuaquer otro usuaro de sstema.
E ob|etvo de esto es que |ams se tenga necesdad de utzar a cuenta de usuaro root y se
prefera en su ugar una cuenta de usuaro sn prvegos. Soo se requere descomentar a tma
nea de este archvo, que como e|empo entrega e correo de usuaro root a usuaro marc y
defnr un usuaro exstente en e sstema
Aroot7 marc
roo$1 +>)#no
A termnar, se e|ecuta e mandato postalias para generar e archvo >etc>aliases.d! que ser
utzado por =ostfi2:
postalias /etc/aliases
64.3.4. Configuracin de Dovecot en Cent0? 5 y 'ed Fat "nterprise
inu2 5.
64.3.4.+. =ar<metros del arc$ivo >etc>dovecot.conf.
Edtar e archvo >etc>dovecot.conf:
vim /etc/dovecot#con"
En e parmetro protocols, se deben actvar todos os servcos (map, maps, pop3 y pop3s).
protocols + imap imaps pop@ pop@s
609
De modo predetermnado, e soporte SSL de Dovecot est actvo. Verfque que e parmetro
sslUdisa!le tenga e vaor no o ben soo est comentado.
Assl/disable + no
Y se especfcan as rutas de certfcado y cave a travs de os parmetros sslUcertUfile y
sslUOeyUfile, de sguente modo:
ssl/cert/"ile + /etc/pki/dovecot/&er$s/dovecot#pem
ssl/key/"ile + /etc/pki/dovecot/'r%*#$e/dovecot#pem
64.3.5. Configuracin de Dovecot en Cent0? 6 y 'ed Fat "nterprise
inu2 6.
64.3.5.+. =ar<metros del arc$ivo >etc>dovecot>dovecot.conf.
Edte e archvo >etc>dovecot>dovecot.conf y descomente e parmetro protocolos,
estabecendo como vaor pop3 imap lmtp.
protocols + imap pop@
64.3.5.*. =ar<metros del arc$ivo >etc>dovecot>conf.d>+I(mail.conf.
m!o2-^>mail-&)B0EV>var>mail>cu como vaor de parmetro mailUlocation.
mail/location + mbox7\/mail7)-;0X+/var/mail/Wu
64.3.5.3. =ar<metros del arc$ivo >etc>dovecot>conf.d>+I(ssl.conf.
En e archvo >etc>dovecot>conf.d>+I(ssl.conf, descomente as sguentes neas resatadas en
negrta:
A SS2/12S support7 yesB noB reJuired# bdoc/iki/SS2#txtM
ss) = yes
A ='. encoded X#:%9 SS2/12S certi"icate and private key# 1heyXre opened
be"ore
A dropping root privilegesB so keep the key "ile unreadable by anyone but
A root# )ncluded doc/mkcert#sh can be used to easily generate sel"!signed
A certi"icateB Qust make sure to update the domains in dovecot!openssl#cn"
ss)_&er$ = Z;e$&;'8%;-o*e&o$;&er$s;-o*e&o$.'e<
ss)_8ey = Z;e$&;'8%;-o*e&o$;'r%*#$e;-o*e&o$.'e<
64.3.6. &niciar servicios y aadir stos al arran#ue del sistema.
610
Se deben aadr a arranque de sstema e ncar (o rencar) os servcos saslaut$d, dovecot y
postfi2:
chkcon"ig saslauthd on
service saslauthd start
64.3.7. ?oporte para ;A=.
S utza Cent0? 6 o 'ed $at "nterprise inu2 6, es decr Dovecot *.I y =ostfi2 *.6.6,
podr utzar ;A= (oca ;a Aransfer =rotoco) o protocoo de transporte oca de correo. Este
protocoo esta basado sobre e protocoo SMTP y est dseado como una aternatva a SMTP para
stuacones donde e ado receptor carece de coa de correo (queue mail), como un MTA que
entende conversacones SMTP. Puede ser utzado como una forma aternatva y ms efcente
para e transporte de correo entre Postfx y Dovecot.
Edte e archvo >etc>dovecot>dovecot.conf y aada lmtp a os vaores de parmetro
protocolos, de a sguente forma.
protocols + imap pop@ )<$'
A fn de poder hacer uso de ;A= de manera apropada, es necesaro aadr e sguente
parmetro en e archvo >etc>postfi2>main.cf:
virtual/transport + lmtp7unix7/var/run/dovecot/lmtp
O ben e|ecutar o sguente:
postcon" !e Xvirtual/transport + lmtp7unix7/var/run/dovecot/lmtpX
Y rencar os servcos dovecot y postfi2.
64.3.:. ;odificaciones necesarias en el muro cortafuegos.
S se utza un cortafuegos con potcas estrctas, como por e|empo ?$oreRall, es necesaro
abrr, adems de os puertos 25, 110, 143 y 587 por TCP (?;A=, =0=3, &;A= y ?u!mission,
respectvamente), os puertos 465, 993 y 995 por TCP (?;A=?, &;A= y =0=3?,
respectvamente).
Edtar e archvo >etc>s$oreRall>rules:
611
Las regas para e archvo >etc>s$oreRall>rules de ?$oreRall correspondera a ago smar a o
sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
ACCE9T ne$ +0 $&' /!C336C34C45!C!87C==C==!
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Para que tomen efecto os cambos, hay que rencar e servco Shorewa.
64.3.[. 'e#uisitos en la 9ona de reenvo en el servidor D)?.
Es ndspensabe que exsta un DNS que resueva correctamente e domno y apunte e servco
de correo eectrnco haca a IP de servdor de correo eectrnco recn confgurado. Asumendo
que se hzo correctamente todo o menconado en este documento, a nca forma en que se
mposbtara a egada y/o sada de correo eectrnco se est utzando un enace ADSL con IP
dnmca (restrngdo por e proveedor para utzar e puerto 25) o ben que e servdor DNS que
resueve e domno, est apuntando haca otra dreccn IP para e servco de correo eectrnco.
En e DNS se requeren a menos os sguentes regstros, donde 22.22.22.22 corresponde a a IP
de servdor de correo eectrnco.
F112 664%%
[ )- S05 dns1#isp#com alguien#algo#com (
8%1%%619%1 Y -Smero de serie
866%% Y 1iempo de re"resco
$8%% Y 1iempo entre reintentos
6%46%% Y tiempo de espiraciPn
664%% Y 1iempo total de vida
)
[ )- -S dns1#isp#com#
[ )- -S dns8#isp#com#
[ )- 5 a#b#c#d
K ?N MX 36 <#%)
K ?N TXT "*=s'+3 # <E -#))"
<#%) ?N A EE.EE.EE.EE
)- 5 a#b#c#d
"tp )- 5 a#b#c#d
64.4.+. A travs de terminal.
Reace una conexn con e mandato nc (netcat) o ben e mandato telnet, a puerto 25 de
sstema. Ingrese e mandato "F0 con e domno confgurado. La sada deber devover, entre
todas as funcones de servdor, una nea que ndca ?AA'AA?. La sada puede ser smar a a
sguente:
612
n& 3/7.6.6.3 /!
88% emachine#alcancelibre#org 'S.1= =ost"ix
EFLO -o<%n%o.&o<
8:%!mail#dominio#com
8:%!=)='2)-)-I
8:%!S)G' 1%84%%%%
8:%!(R><
8:%!'1R-
/!6-STARTTLS
/!6-AUTF 9LA?N LOG?N
/!6-AUTF=9LA?N LOG?N
8:%!'-35-*'&S151?S*0&'S
8:%!6;)1.).'
8:% &S-
TU?T
Para sar, soo escrba OUIT y puse a teca ENTER.
64.4.*. A travs de clientes de correo electrnico.
Utce cuaquer cente de correo eectrnco con soporte para TLS/SSL y confgure ste para
conectarse haca e sstema a travs de &;A=? (puerto 993) o ben =0=3? (puerto 995). Tras
aceptar e certfcado de servdor, e sstema deber permtr autentcar, con nombre de usuaro
y cave de acceso y reazar a ectura de correo eectrnco.
64.4.*.+. Configuracin de @)0;" "volution.
Para GNOME Evouton, a confguracn de IMAP o POP3, se reaza seecconando e tpo de
servdor, defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro
y usar encrptacn segura TLS.
613
Confguracn IMAP, en GNOME Evouton.
614
Confguracn SMTP, GNOME Evouton.
64.4.*.*. Configuracin ;o9illa A$under!ird.
Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado,
usuaro y usar conexn segura TLS.
615
Confguracn IMAP, Moza Thunderbrd.
Confguracn SMTP, Moza Thunderbrd.
616
abrr, adems de os puertos 25, 110, 143 y 587 por TCP (?;A=, =0=3, &;A= y ?u!mission,
respectvamente), os puertos 465, 993 y 995 por TCP (?;A=?, &;A= y =0=3?,
respectvamente).
La rega para e archvo >etc>s$oreRall>rules de ?$oreRall correspondera a ago smar a o
sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp 8:B11%B14@B46:B:6$B99@B99:
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
617
65. Cmo instalar y configurar Amavisd(neR
con =ostfi2 en Cent0?.
ma uso de stos.
65.+. &ntroduccin.
Este documento permtr confgurar Postfx para utzar amavsd-new para e contro de vrus y
correo spam. Se requere haber confgurado prevamente Postfx de a forma en que se descrbe
en e documento ttuado #/mo instalar y configurar ?ostfi4 en #ent1$ P con soporte para T%$ y
autenticaci/n.3
65.+.+. Acerca de Amavisd(neR.
Amavisd(neR es una nterfaz confabe y de ato desempeo entre e agente de trasporte de
correo (;AA, ;a Aransport Agent) y uno o ms supervsores de contendo, como es e caso de
supervsores ant-vrus, y/o SpamAssassn. Est escrto en Per para asegurar su ata
confabdad, portabdad y facdad de mantenmento.
Funcona comuncndose con e MTA a travs de "?;A= ("xtended Smpe ;a Aransfer
=rotoco o Protocoo Smpe de Transferenca de Correo) o ben ;A= (oca ;a Aransfer
=rotoco o Protocoo de Transferenca Loca de Correo), a travs de programas auxares, con un
dseo que mpde se puede parder correo eectrnco de manera ncdenta.
URL: http://www.|s.s/software/amavsd/
65.*.+. Creacin del usuario para ClamAJ.
De modo predetermnado, en os paquetes RPM basados sobre os dsponbes para Fedora, e
usuaro para CamAV se asgna a travs de os mandatos fedora(groupadd y fedora(useradd
e UID y GID 4 en e sstema. A fn de prevenr un confcto de UID/GID con otros usuaros y grupos
de sstema, se recomenda crear prevamente a grupo y usuaro correspondentes para CamAV:
groupadd !r clamav
useradd !r !s /sbin/nologin !d /var/lib/clamav !. !c X*lamav 5ntivirusX !g clamav
clamav
65.*.*. Configuracin de depsitos Z,; para Cent0? 5 y 'ed Fat
"nterprise inu2 5.
618
Se pueden utzar e sguente depsto YUM para a pataforma Enterprse Lnux 5.
D52!ServerE
name+'nterprise 2inux Freleasever ! Fbasearch ! 52 Server
Instaar os paquetes necesaros se utza e sguente mandato:
yum !y install amavisd!ne clamav!update clamav!server cabextract tne"
yum !y install arQ lha unCoo p$Cip p$Cip!plugins
Lo anteror tambn nstaar todas as dependencas necesaras.
65.3.+. Configuracin de ?"inu2.
65.3.+.+. =rocedimiento para crear poltica.
Crear e drectoro /usr>s$are>selinu2>pacOages>amavisd:
mkdir /usr/share/selinux/packages/amavisd
Cambarse a drectoro /usr>s$are>selinu2>pacOages>amavisd:
cd /usr/share/selinux/packages/amavisd
$ttp->>RRR.alcanceli!re.org>linu2>secrets>amavisd.te:
get http7//#alcancelibre#org/linux/secrets/amavisd#te
Edtar e archvo amavisd.te:
vim #<#*%s-.$e
Verfcar que e archvo amavisd.te tenga e sguente contendo:
module amavisd 1#%Y
reJuire c
type traceroute/port/tY
type amavis/tY
type clamd/tY
type spamd/tY
type initrc/var/run/tY
type amavis/var/run/tY
type root/tY
class dir c rite search add/name dY
619
class udp/socket name/bindY
class "ile c ioctl append read lock dY
d
A+++++++++++++ amavis/t ++++++++++++++
allo amavis/t initrc/var/run/t7"ile c read lock dY
allo amavis/t traceroute/port/t7udp/socket name/bindY
A+++++++++++++ clamd/t ++++++++++++++
allo clamd/t amavis/var/run/t7dir c rite search add/name dY
A+++++++++++++ spamd/t ++++++++++++++
Crear e archvo de mduo amavisd.mod a partr de archvo amavisd.te:
checkmodule !. !m !o amavisd#mod amavisd#te
Crear e archvo de potca amavisd.pp a partr de archvo amavisd.mod
semodule/package !o amavisd#pp !m amavisd#mod
semodule !i /usr/share/selinux/packages/amavisd/amavisd#pp
65.3.*. Configuracin de Amavisd(neR.
Edtar e archvo /etc>amavisd>amavisd.conf
vim /etc/amavisd/amavisd#con"
Locazar a sguente nea:
Fmydomain + Xexample#comXY A a convenient de"ault "or other settings
Cambar por o sguente:
Fmydomain + Xdominio#comXY A a convenient de"ault "or other settings
65.3.3. Configuracin de =ostfi2.
Edtar e archvo /etc>postfi2>master.cf
vim /etc/post"ix/master#c"
Aadr a fna de ste todo o sguente:
A *on"iguraciPn de amavisd!ne
amavis"eed unix ! ! n ! 8 lmtp
!o lmtp/data/done/timeout+18%%
!o lmtp/send/x"orard/command+yes
620
!o disable/dns/lookups+yes
!o max/use+8%
18$#%#%#171%%8: inet n ! n ! ! smtpd
!o content/"ilter+
!o smtpd/delay/reQect+no
!o smtpd/client/restrictions+permit/mynetorksBreQect
!o smtpd/helo/restrictions+
!o smtpd/sender/restrictions+
!o smtpd/recipient/restrictions+permit/mynetorksBreQect
!o smtpd/data/restrictions+reQect/unauth/pipelining
!o smtpd/end/o"/data/restrictions+
!o smtpd/restriction/classes+
!o mynetorks+18$#%#%#%/6
!o smtpd/error/sleep/time+%
!o smtpd/so"t/error/limit+1%%1
!o smtpd/hard/error/limit+1%%%
!o smtpd/client/connection/count/limit+%
!o smtpd/client/connection/rate/limit+%
!o receive/override/options+no/header/body/checksBno/unknon/recipient/checksBno/miltersBno/addres
s/mappings
!o local/header/rerite/clients+
!o smtpd/milters+
!o local/recipient/maps+
!o relay/recipient/maps+
Edtar e archvo /etc>postfi2>main.cf:
vim /etc/post"ix/main#c"
Aadr a fna de ste o sguente:
content/"ilter + amavis"eed7D18$#%#%#1E71%%84
Lo anteror se puede defnr automtcamente en e archvo /etc>postfi2>main.cf e|ecutando:
postcon" !e Xcontent/"ilter + amavis"eed7D18$#%#%#1E71%%84X
Edtar e archvo /etc>aliases:
vim /etc/aliases
Defnr un aas para a cuenta virusalert:
virusalert7 "ulano
Para que surtan efecto os cambos, e|ecutar:
postalias /etc/aliases
65.3.4. &niciarH detener y reiniciar el servicio spamass(milter.
Aadr os servcos clamd.amavisd y amavisd a os servcos de arranque de sstema:
chkcon"ig clamd#amavisd on
chkcon"ig amavisd on
Incar os servcos clamd.amavisd y amavisd:
621
service clamd#amavisd start
service amavisd start
Rencar e servco postfi2:
65.3.5. =ostfi2 con dominios virtuales y Amavisd(neR.
Para poder utzar Postfx con dominios virtuales y Amavsd-new, es ndspensabe edtar e
archvo /etc>amavisd>amavisd.conf:
vim /etc/amavisd/amavisd#con"
Y modfcar os vaores de parmetro @localUdomainsUmaps. E vaor predetermnado es e
sguente:
[local/domains/maps + ( D,#Fmydomain,E )Y
Se deben agregar os domnos vrtuaes de a sguente manera:
[local/domains/maps + ( D,#Fmydomain,B ,dominio#com,B ,otrodominio#net,B ,otrodominio#org,E )Y
Y para que surtan efecto os cambos, se debe rencar e servco amavisd:
service amavisd restart
622
66. Cmo configurar =ostfi2 en Cent0? para
utili9ar dominios virtuales con usuarios del
sistema.
ma uso de stos.
66.+. &ntroduccin.
Este documento permtr confgurar Postfx para utzar mtpes domnos vrtuaes, utzando
os usuaros ocaes de sstema. Se requere haber confgurado prevamente Postfx de a forma
en que se descrbe en e documento ttuado 2#/mo instalar y configurar ?ostfi4 en #ent1$ con
soporte para T%$ y autenticaci/n.3 Se recomenda eer, estudar y apcar tambn os
procedmentos descrtos en e documento ttuado 2#/mo instalar y configurar Amavisd<ne( con
?ostfi4 en #ent1$.3
66.*.+. A.ustes en el servicio saslaut$d.
S os usuaros se van a dar de ata sguendo e formato usuarioOdominio.tld en ugar de so
usuario, una prctca comn en os servdores con mtpes domnos vrtuaes, es necesaro
aadr a servco saslaut$d a opcn (r, a cua permte combnar e nombre de usuaro y
domno antes de pasar por e mecansmo de autentcacn. S ste es e caso, se debe edtar e
archvo >etc>sysconfig>saslaut$d:
vim /etc/syscon"ig/saslauthd
Y aadr a opcn (r a os argumentos de 8A@?:
A &irectory in hich to place saslauthdXs listening socketB pid "ileB and so
A on# 1his directory must already exist#
S0*H'1&)R+/var/run/saslauthd
A .echanism to use hen checking passords# Run ,saslauthd !v, to get a list
A o" hich mechanism your installation as compiled ith the ablity to use#
.'*3+pam
A 0ptions sent to the saslauthd# )" the .'*3 is other than ,pam, uncomment
A the next line#
A &5'.0-0=1S+!!user saslauth
A 5dditional "lags to pass to saslauthd on the command line# See saslauthd(6)
A "or the list o" accepted "lags#
FLAGS=-r
623
Y rencar e servco saslaut$d.
service saslauthd restart
66.*.*. Configuracin de ?"inu2.
Por o genera, a mayora de os documentos dsponbes en Internet recomendan desactvar
SELnux, sn mayores argumento o expcacones. Sn embargo, hacer sto mpca renuncar a
una magnfca proteccn que brnda a sstema esta mportante mpementacn de segurdad.
Tengo un ema persona que me gusta ctar para expcar m opnn respecto de SELnux:
Fs vale tenerlo y jams necesitarlo, que necesitarlo y carecer de ste.
S es posbe utzar SELnux |unto con domnos vrtuaes. Cuando se quere mpementar un
servco de hospeda|e con domnos vrtuaes y se utza >$ome para crear os drectoros de
nco de os domnos vrtuaes, se requeren pocos o nngn a|uste en SELnux. Sn embargo, hay
escenaros donde se utza >var>RRR para crear os drectoros de nco de os domnos
vrtuaes. S se hace de este modo y s se quere mantener SELnux actvo, es necesaro generar
una potca que permta a os servcos de Postfx o Sendma, Dovecot, Pyzor y Spamassassn
poder reazar ectura, escrtura y otros atrbutos sobre drectoros y archvos con contexto
$ttpdUsysUcontentUt. E sguente procedmento srve para crear a potca necesara.
66.*.*.+. =rocedimiento para crear poltica.
Crear e drectoro >usr>s$are>selinu2>pacOages>virtualmail:
mkdir /usr/share/selinux/packages/virtualmail
Cambarse a drectoro >usr>s$are>selinu2>pacOages>virtualmail:
cd /usr/share/selinux/packages/virtualmail
$ttp->>RRR.alcanceli!re.org>linu2>secrets>virtualmail.te:
get http7//#alcancelibre#org/linux/secrets/virtualmail#te
Edtar e archvo virtualmail.te:
vim *%r$>#)<#%).$e
Verfcar que e archvo virtualmail.te tenga e sguente contendo:
624
module virtualmail 1#%Y
reJuire c
type pyCor/tY
type sendmail/tY
type post"ix/local/tY
type post"ix/postdrop/tY
type post"ix/master/tY
type procmail/tY
type spamc/tY
type dovecot/tY
type tmp/tY
type httpd/log/tY
type httpd/sys/content/tY
type httpd/con"ig/tY
type spamd/tY
type system/mail/tY
class "ile c read lock rename create rite getattr link unlink append dY
class dir c search read rite getattr remove/name add/name dY
d
A+++++++++++++ dovecot/t ++++++++++++++
allo dovecot/t httpd/sys/content/t7dir c rite search read remove/name getattr add/name dY
allo dovecot/t httpd/sys/content/t7"ile c rite getattr link rename read lock create unlink dY
A+++++++++++++ post"ix/local/t ++++++++++++++
allo post"ix/local/t httpd/sys/content/t7dir searchY
A+++++++++++++ post"ix/postdrop/t ++++++++++++++
allo post"ix/postdrop/t tmp/t7"ile c getattr append dY
allo post"ix/postdrop/t httpd/log/t7"ile getattrY
A+++++++++++++ post"ix/master/t ++++++++++++++
allo post"ix/master/t httpd/con"ig/t7dir searchY
A+++++++++++++ procmail/t ++++++++++++++
allo procmail/t httpd/sys/content/t7dir searchY
A+++++++++++++ pyCor/t ++++++++++++++
allo pyCor/t httpd/sys/content/t7dir c rite search dY
A+++++++++++++ spamc/t ++++++++++++++
A+++++++++++++ spamd/t ++++++++++++++
allo spamd/t httpd/sys/content/t7dir c rite search getattr dY
allo spamd/t httpd/sys/content/t7"ile c read getattr dY
A+++++++++++++ system/mail/t ++++++++++++++
allo system/mail/t httpd/sys/content/t7"ile appendY
Crear e archvo de mduo virtualmail.mod a partr de archvo virtualmail.te:
checkmodule !. !m !o virtualmail#mod virtualmail#te
Crear e archvo de potca virtualmail.pp a partr de archvo virtualmail.mod
semodule/package !o virtualmail#pp !m virtualmail#mod
625
semodule !i /usr/share/selinux/packages/virtualmail/virtualmail#pp
66.*.3. Configuracin de =ostfi2.
66.*.3.+. Arc$ivo >etc>postfi2>main.cf.
Edtar e archvo >etc>postfi2>main.cf:
vim ;e$&;'os$+%E;<#%n.&+
Defnr os sguentes parmetros:
626
A 'stablecer el valor de myhostname como localhost#localdomain
A 1ambihn se puede de"inir cualJuier otro dominioB siempre y cuando sea distinto
A a cualJuiera de los de"inidos en los valores de virtual/alias/domains o en
A virtual/alias/maps#
<yhos$n#<e = )o&#)hos$.)o&#)-o<#%n
A &e"inir el valor predeterminado para mydomain
<y-o<#%n = )o&#)hos$.)o&#)-o<#%n
A &e"inir los valores predeterminados para mydestination y relay/domains
<y-es$%n#$%on = W<yhos$n#<eC )o&#)hos$.W<y-o<#%nC )o&#)hos$
re)#y_-o<#%ns = W<y-es$%n#$%on
A Recomendado#
A Ounto con virtual/alias/mapsB reemplaCa a virtual/maps
A Se utiliCa para declarar los dominios virtuales#
A Se puede prescindir de hste si se aVaden dominios en /etc/post"ix/virtual#
*%r$>#)_#)%#s_-o<#%ns = W*%r$>#)_#)%#s_<#'s
A 0bligatorio#
A Ounto con virtual/alias/domainsB reemplaCa a virtual/maps
A Se utiliCa para declarar la reescritura de direcciones# 'Qemplo7
A Qbarrios[dominio#com Qoel
A 'Qemplo hace Jue todo correo para Qoel[dominio#com se entregue a Qoel
A Si se Juiere precindir de utiliCar *%r$>#)_#)%#s_-o<#%nsB aVadir tambihn los
A dominios en este "ormato7
A dominio#com dominio#com
A otrodominio#net otrodominio#net
A otrodominio#org otrodominio#org
A Si se hace lo anteriorB comentar *%r$>#)_#)%#s_-o<#%ns#
*%r$>#)_#)%#s_<#'s = h#sh1;e$&;'os$+%E;*%r$>#)
A Recomendado#
A 's la contraparte de #)%#s_-#$#b#se = ;e$&;#)%#ses
A Se utiliCa para reescritura de direcciones de salida# 'Qemplo7
A Qoel Qoel#barrios
A 'Qemplo hace Jue todo el correo de Qoel salga como Qoel#barrios
canonical/maps + hash7/etc/post"ix/canonical
A Recomendado#
A Se utiliCa solo para reescribir la direcciPn de salida de una cuenta#
A 'Qemplo7
A Qoel Qbarrios[dominio#com
A 'Qemplo hace Jue todo el correo de Qoel salga como Qbarrios[dominio#com
sen-er_&#non%&#)_<#'s = h#sh1;e$&;'os$+%E;sen-er_&#non%&#)
A 0pcional#
A =oco utiliCado# ?tiliCar virtual/alias/maps en su lugar#
A *onsiderar Jue se procesa antes Jue canonical/maps#
A Se utiliCa solo para reescribir solo la direcciPn de entrada de una cuenta#
A 'Qemplo7
A Qbarrios[dominio#com Qoel
A 'Qemplo hace Jue todo correo para Qbarrios[dominio#com se entregue a Qoel
recipient/canonical/maps + hash7/etc/post"ix/recipient/canonical
Todo o anteror se puede reazar tambn e|ecutando e mandato postconf para cada
parmetro:
627
postcon" !e Xmyhostname + localhost#localdomainX
postcon" !e Xmydomain + localhost#localdomainX
postcon" !e Xmydestination + FmyhostnameB localhost#FmydomainB localhostX
postcon" !e Xrelay/domains + FmydestinationX
postcon" !e Xvirtual/alias/domains + Fvirtual/alias/mapsX
postcon" !e Xvirtual/alias/maps + hash7/etc/post"ix/virtualX
postcon" !e Xcanonical/maps + hash7/etc/post"ix/canonicalX
postcon" !e Xsender/canonical/maps + hash7/etc/post"ix/sender/canonicalX
postcon" !e Xrecipient/canonical/maps + hash7/etc/post"ix/recipient/canonicalX
A termnar, genere os archvos >etc>postfi2>senderUcanonical y
>etc>postfi2>recipientUcanonical:
touch /etc/post"ix/sender/canonical
touch /etc/post"ix/recipient/canonical
66.*.3.*. Arc$ivos >etc>postfi2>virtual y >etc>postfi2>senderUcanonical.
Edtar e archvo >etc>postfi2>virtual:
vim ;e$&;'os$+%E;*%r$>#)
Crear a taba de cuentas de correo eectrnco vrtuaes de entrada, especfcando a que cuenta
de usuaro oca se entrega cada dreccn.
dominio#com dominio#com
otrodominio#net otrodominio#net
otrodominio#org otrodominio#org
Qoel[dominio#com Qoel
Quan[dominio#com Quan
pablo[dominio#com pablo
pedro[dominio#com pedro
hugo[otrodominio#net hugo
luis[otrodominio#org luis
ebmaster[dominio#com Qoel[dominio#com
ebmaster[otrodominio#net hugo[otrodominio#net
ebmaster[otrodominio#org luis[otrodominio#org
Edtar e archvo >etc>postfi2>senderUcanonical:
vim ;e$&;'os$+%E;sen-er_&#non%&#)
Crear a taba de cuentas de correo eectrnco vrtuaes de sada, especfcando as dreccones
de sada que utzar cada usuaro. Es decr, cas o contraro a o estabecdo en
/etc/postfx/vrtua, pero especfcando un nco usuaro para cada cuenta de correo eectrnco.
|ams se especfque ms de un usuaro por cuenta de correo eectrnco, n ms de una cuenta
de correo eectrnco por usuaro.
Qoel Qoel[dominio#com
Quan Quan[dominio#com
pablo pablo[dominio#com
pedro pedro[dominio#com
hugo hugo[otrodominio#net
luis luis[otrodominio#org
628
Utzar e mandato postmap con os archvos >etc>postfi2>canonical,
>etc>postfi2>recipientUcanonical, >etc>postfi2>senderUcanonical y >etc>postfi2>virtual a fn
de generar os archvos .db correspondentes y que surtan efecto os cambos uego de rencar e
servco postfi2:
postmap /etc/post"ix/canonical
postmap /etc/post"ix/recipient/canonical
postmap /etc/post"ix/sender/canonical
postmap /etc/post"ix/virtual
66.*.4. 'einiciar el servicio postfi2.
A fn de que surtan efecto todos os cambos, se debe rencar e servco postfi2:
629
67. "nvo de correo a todos los usuarios del
sistema.
67.+. =rocedimientos
1. Lo prmero ser generar un archvo en e sstema, e cua tendr como contendo una sta
de os usuaros de sstema a os que se quere envar un mensa|e. ste puede ocazarse
en cuaquer ugar de sstema, como por e|empo /etc/mail/allusers. Puede edtarse e
archvo /etc/mail/allusers y aadr ndvduamente cada usuaro que se desee conforme
esa sta o ben, s se quere aadr a todos os usuaros de sstema, e|ecutar o sguente:
ak !>7 XF@ M :%% c print F1 dX /etc/passd M /etc/mail/allusers
2. A contnuacn, debe modfcarse e archvo /etc/aliases y aadr a fna de msmo:
allusers7 7include7/etc/mail/allusers
1. A termnar so debe e|ecutarse e mandato nealiases o ben rencar e servco de
Sendma (e gun de nco se encarga de hacer todo o necesaro).
3. Para probar, bastar con envar un mensa|e de correo eectrnco a a cuenta allusers de
servdor.
67.*. Acerca de la seguridad
Evte a toda costa utzar allusers o paabras muy obvas como aas de correo para envar a
todas as cuentas. Seguramente quenes se dedcan a envar correo masvo no soctado o correo
chatarra ($pam), tratarn de envar correo a este aas en e servdor. No es facte e traba|o a
esas personas y trate de utzar un aas ofuscado o en cave. E|empo: QjjMRsjeiQRS.
630
6:. Cmo configurar clamav(milter.
6:.+. &ntroduccin.
6:.+.+. Acerca de clamav(milter.
Clamav(milter es un componente para aadr (=lug(in) para a bboteca de ftros de correo
(li!milter) de ?endmail, que se encarga de hacer pasar todo e correo entrante, ncuyendo todo
o que se recba a travs de rmail>,,C=, a travs de ClamAJ, que a su vez es un poderoso y
robusto motor, con cencamento bre, para a deteccn de gusanos, troyanos y vrus. Verfca
e correo eectrnco durante a conexn con e servdor de correo que remte ste utmo y o
rechaza automtcamente s ste ncuye agn gusanos, troyanos o vrus.
A gua que clamav(milter, e cua es utzado para a ftracn de Spam, representa una
exceente aternatva pues tene un ba|o consumo de recursos de sstema, hacndoo dneo
para servdores con sustento fsco obsoeto o donde otras apcacones tene mayor prordad en
a utzacn de recursos de sstema.
6:.+.*. Acerca de ClamAJ.
ClamAJ es un con|unto de herramentas antvrus, bre y de cdgo fuente aberto, que tene as
sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.

Cumpe con as especfcacones de fama de estndares =0?&E (=ortabe 0peratng ?ystem
&nterface for UNIE o nterfaz portabe de sstema operatvo para Unx).
Exporacn rpda.
Detecta ms de 720 m vrus, gusanos y troyanos, ncuyendo vrus para MS Offce.

Capacdad para examnar contendo de archvos ZIP, RAR, Tar, Gzp, Bzp2, MS OLE2, MS Cabnet, MS
CHM y MS SZDD.
Soporte para exporar archvos comprmdos con UPX, FSG y Pette.

Avanzada herramenta de actuazacn con soporte para frmas dgtaes y consutas basadas sobre
DNS.
631
sendma (prevamente confgurado) sendma-cf
make m4
camav camav-mter
6:.*.+. Creacin del usuario para ClamAJ.
De modo predetermnado, en os paquetes RPM basados sobre os dsponbes para Fedora, e
usuaro para CamAV se asgna a travs de os mandatos fedora(groupadd y fedora(useradd
e UID y GID 4 en e sstema. A fn de prevenr un confcto de UID/GID con otros usuaros y grupos
de sstema, se recomenda crear prevamente a grupo y usuaro correspondentes para CamAV:
groupadd !r clamav
useradd !r !s /sbin/nologin !d /var/lib/clamav !. !c X*lamav 5ntivirusX !g clamav clamav
6:.*.*. &nstalacin a travs de yum.
S dspone de un servdor con Cent0? 5 y 6 o 'ed FatG "nterprise inu2 5 y 6, puede utzar
e e amacn YUM de Alcance i!re para servdores en produccn, descargando e archvo
$ttp->>RRR.alcanceli!re.org>al>server>A(?erver.repo dentro de drectoro
>etc>yum.repos.d>:
cd
Este archvo, que se guarda como >etc>yum.repos.d>A(?erver.repo, debe tener e sguente
contendo:
D52!ServerE
gpgcheck+1
La nstaacn a travs de mandato yum requere utzar o sguente:
yum !y install clamav!milter clamav!milter!sysv clamav!data!empty clamav!update
clamav!scanner clamav!scanner!sysvinit
6:.3. =rocedimientos.
6:.3.+. ?"inu2 y el servicio clamav(milter.
6:.3.+.+. Cent0? 5 y 'ed Fat "nterprise inu2 5.
En CentOS 5 ,y Red Hat Enterprse Lnux 5 se debe crear una potca para permtr a servco
clamd.scan utzar J&A y a funcn e4ecmemBD.
Genere un nuevo drectoro denomnado >usr>s$are>selinu2>pacOages>clamd:
mkdir ;>sr;sh#re;se)%n>E;'#&8#ges;&)#<-
632
Cambarse a drectoro >usr>s$are>selinu2>pacOages>clamd:
cd ;>sr;sh#re;se)%n>E;'#&8#ges;&)#<-
Descargar e archvo $ttp->>RRR.alcanceli!re.org>linu2>secrets>clamd.te:
get http7//#alcancelibre#org/linux/secrets/clamd#te
vim clamd#te
module clamd 1#%Y
reJuire c
type clamd/tY
class process execmemY
d
A+++++++++++++ clamd/t ++++++++++++++
allo clamd/t sel"7process execmemY
Lo anteror fue obtendo de a sada de mandato cat >var>log>audit>audit.logmgrep
auditmaudit*alloR (m clamdgclamd.te en un sstema donde SELnux mpeda a
clamav(milter utzar a funcn e4ecmemBD.
A contnuacn, se genera un e archvo de mduo para SELnux (clamd.mod) utzando e
mandato c$ecOmodule de a sguente forma:
checkmodule !. !m !o clamd#mod clamd#te
Luego, se procede a empaquetar e archvo clamd.mod como e archvo clamd.pp:
semodule/package !o clamd#pp !m clamd#mod
Fnamente se vncua e archvo clamd.pp obtendo con as potcas actuaes de SELnux y se
cargan stas en e nceo en e|ecucn:
semodule !i /usr/share/selinux/packages/clamd/clamd#pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos clamd.te y clamd.mod,
pues soo ser necesaro que exsta e archvo bnaro clamd.pp.
A fn de evtar reazar todo o anteror, permtr que e servco clamd.scan pueda utzar a
funcn e4ecmemBD y que SELnux mpda as conexones de servco clamav(milter haca e
servco clamd.scan, utce e sguente mandato:
setsebool != clamd/disable/trans 1
633
Para que SELnux permta a servco clamav(milter funconar normamente y que permta
reazar a revsn de correo eectrnco, utce e sguente mandato:
setsebool != clamscan/disable/trans 1
Para que SELnux permta a mandato fres$clam funconar normamente y que permta
actuazar a base de datos de frmas dgtaes, utce e sguente mandato:
setsebool != "reshclam/disable/trans 1
6:.3.+.*. Cent0? 6 y 'ed Fat "nterprise inu2 6.
En CentOS 6 y Red Hat Enterprse Lnux 6 soo exste una potca a confgurar y es
clamdUuseU.it, a cua permte a servco clamd.scan utzar J&A y a funcn e4ecmemBD.
setsebool != clamd/use/Qit on
6:.3.*. 'e#uisitos previos.
Se requere un servdor de correo con ?endmail, prevamente confgurado y funconando para
envar y recbr correo eectrnco. Para ms detaes a respecto, consutar e documento ttuado
2#onfiguraci/n bsica de $endmail B?arte 0D.3.
6:.3.3. Arc$ivo >etc>mail>sendmail.mc.
Es necesaro agregar e sguente contendo en e archvo >etc>mail>sendmail.mc, |usto arrba de
a nea ;A&"'PsmtpQdnl.
)-=?1/.5)2/>)21'R(^clamavXB ^S+local7/var/run/clamav!milter/clamav#sockB >+B 1+S74mYR74mX)dnl
de"ine(^con")-=?1/.5)2/>)21'RSXB ^&)#<#*X)dnl
S se combna con ?pamassassin ;ilter, quedara de sguente modo:
)-=?1/.5)2/>)21'R(^clamavXB ^S+local7/var/run/clamav!milter/clamav#sockB >+B 1+S74mYR74mX)dnl
)-=?1/.5)2/>)21'R(^spamassassinXB ^S+unix7/var/run/spamass!milter/spamass!milter#sockB >+B
1+*71:mYS74mYR74mY'71%mX)dnl
de"ine(^con".)21'R/.5*R0S/*0--'*1XB^tB bB QB /B B B X)dnl
de"ine(^con".)21'R/.5*R0S/3'20XB^sB B B B B X)dnl
de"ine(^con")-=?1/.5)2/>)21'RSXB ^s'#<#ss#ss%nB&)#<#*X)dnl
6:.3.4. Configuracin.
Clamav(milter depende totamente de a base de datos de ClamAJ. E funconamento
estndar, que consste en rechazar correo eectrnco que contenga vrus y otros programas
magnos, funcona sn necesdad de parmetros adconaes. Las banderas de nco para
camav-mter estn defndas en e archvo >etc>sysconfig>clamav(milter, msmo que permte
funconar normamente sn necesdad de modfcar un soo parmetro, a menos que se neceste
especfcar aguna opcn avanzada defnda en a pgna de manua de camav-mter.
man clamav!milter
634
6:.3.5. &niciarH detener y reiniciar el servicio clamav(milter.
Desde a versn 0.95, CamAV-mter requere est funconando camdscan como servco. Los
paquetes de CamAV ncuyen o necesaro a travs de camav-scanner. Soo se requere agregar
a arranque de sstema y se nca os servcos clamd.scan y clamav(milter de sguente modo
y orden:
chkcon"ig clamd#scan on
service clamd#scan start
chkcon"ig clamav!milter on
service clamav!milter start
E archvo >etc>fres$clam.conf de os paquetes dstrbudos por Alcance i!re ya ncuye as
modfcacones necesaras para permtr e funconamento de mandato fres$clam. Sn embargo,
s se utzan paquetes para Fedora, es necesaro edtar este archvo y comentar o emnar a
nea 9, que ncuye smpemente a paabra ngesa ,4ample y que de otro mod mpedra utzar
e mandato fres$clam:
AA
AA 'xample con"ig "ile "or "reshclam
AA =lease read the "reshclam#con"(:) manual be"ore editing this "ile#
AA
A *omment or remove the line belo#
P EE#<')e
E archvo >etc>sysconfig>fres$clam de os paquetes dstrbudos por Alcance i!re ya ncuye
as modfcacones necesaras para permtr a actuazacn automtca de a base de datos de
ClamAJ. S se utzan paquetes de Fedora y a fn de mantener actuazada a base de datos de
frmas dgtaes, es necesaro edtar e archvo >etc>sysconfig>fres$clam con e ob|eto de
permtr as actuazacones automtcas:
AAA TTTTT R'.0(' .' TTTTTT
AAA R'.0(' .'7 ;y de"aultB the "reshclam update is disabled to avoid
AAA R'.0(' .'7 netork access ithout prior activation
P FRESFCLAM_DELAN=-%s#b)e--0#rn P REMO:E ME
Antes de poner en operacn e servdor, es recomendabe actuazar manuamente y de manera
nmedata, a base de datos de frmas utzando e mandato fres$clam, desde cuaquer termna
como root.
"reshclam
A termnar, consderando que est nstaado e paquete sendmail(mc, e cua permte
reconfgurar ?endmail a partr de archvo >etc>mail>sendmail.mc, se debe rencar e servco
sendmail para que surtan efectos os cambos.
635
6[. Cmo configurar spamass(milter.
6[.+. &ntroduccin.
6[.+.+. 'e#uisitos previos.
Se requere un servdor de correo con ?endmail, prevamente confgurado y funconando para
envar y recbr correo eectrnco. Para ms detaes a respecto, consutar e documento ttuado
2#onfiguraci/n bsica de $endmail3.
Se requere adems eer y estudar prevamente a nformacn de documento ttuado 2#/mo
instalar y configurar $pamassassin.3
6[.+.*. Acerca de spamass(milter.
?pamass(milter es un componente adcona (=lug(in) para a bboteca de ftros de correo
(li!milter) de ?endmail, que se encarga de hacer pasar todo e correo entrante, ncuyendo todo
o que se recba a travs de rmail>,,C=, a travs de ?pamAssassin, que a su vez es un
poderoso y robusto componente de ftrado de correo.
Representa una exceente aternatva pues tene un ba|o consumo de recursos de sstema,
hacndoo dneo para servdores con sustento fsco obsoeto o donde otras apcacones tene
mayor prordad en a utzacn de recursos de sstema.
URL: http://savannah.nongnu.org/pro|ects/spamass-mt/
6[.+.3. Acerca de ?pamAssassin.
?pamAssassin es una mpementacn que utza un sstema de puntuacn, basado sobre
agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser
correo masvo no soctado, aadendo cabeceras a os mensa|es de modo que puedan ser
ftrados por e cente de correo eectrnco o ;,A (;a ,ser Agent).
URL: http://spamassassn.apache.org/
6[.*. "#uipamiento lgico necesario.
sendma (prevamente confgurado) sendma-cf
make m4
spamassassn spamass-mter
636
per-Ma-SPF per-Razor-Agent
pyzor
6[.*.+. &nstalacin a travs de yum.
S dspone de un servdor con Cent0? 4 o 5 o ben 'ed FatG "nterprise inu2 4 o 5, puede
utzar e depsto yum de Alcance i!re para servdores en produccn:
D52!ServerE
gpgcheck+1
La nstaacn soo requere utzar o sguente:
yum !y install spamass!milter perl!.ail!S=> perl!RaCor!5gent pyCor
6[.3. =rocedimientos.
6[.3.+. ?"inu2 y el servicio spamass(milter.
A fn de que SELnux permta a servco spamassassin conectarse a servcos externos, como
razor o Pyzor, utce e sguente mandado:
A fn de que SELnux permta a os usuaros de sstema utzar spamassassin desde sus
drectoros de nco, utce e sguente mandato:
S se desea desactvar toda gestn de SELnux sobre os servcos spamass(milter y
spamassassin, hacendo que todo o anteror perda sentdo y emnando a proteccn que
brnda esta mpementacn, utce os sguentes mandatos:
setsebool != spamd/disable/trans 1
setsebool != spamass/milter/disable/trans 1
6[.3.+.+. A.ustes adicionales.
Actuazacones recentes en as potcas de SELnux mpedrn que e servco spamass(milter
pueda squera ncar. Por o tanto, es mperatvo nstaar as potcas de SELnux
correspondentes.
Genere un nuevo drectoro denomnado >usr>s$are>selinu2>pacOages>spamassmilter:
mkdir ;>sr;sh#re;se)%n>E;'#&8#ges;s'#<#ss<%)$er
637
Cambarse a drectoro >usr>s$are>selinu2>pacOages>spamassmilter:
cd ;>sr;sh#re;se)%n>E;'#&8#ges;s'#<#ss<%)$er
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, descargar e archvo
$ttp->>RRR.alcanceli!re.org>linu2>secrets>el5>spamassmilter.te:
get http7//#alcancelibre#org/linux/secrets/el:/spamassmilter#te
vim spamassmilter#te
module spamassmilter 1#%Y
reJuire c
type spamass/milter/data/tY
type spamass/milter/tY
type pyCor/tY
type spamd/tY
class dir c search read create rite getattr remove/name add/name dY
class "ile c read create ioctl rite getattr unlink append dY
d
A+++++++++++++ pyCor/t ++++++++++++++
allo pyCor/t spamass/milter/data/t7dir c rite search create getattr add/name dY
allo pyCor/t spamass/milter/data/t7"ile c read rite create getattr dY
A+++++++++++++ spamass/milter/t ++++++++++++++
allo spamass/milter/t initrc/var/run/t7"ile c rite getattr dY
A+++++++++++++ spamd/t ++++++++++++++
allo spamd/t spamass/milter/data/t7dir c rite search read remove/name create getattr add/name dY
allo spamd/t spamass/milter/data/t7"ile c rite getattr read create unlink ioctl append dY
auditmaudit*alloR (m spamassmiltergspamassmilter.te en un sstema Cent0? 5 donde
SELnux mpeda a spamass(milter funconar correctamente.
S utza Cent0? 6 o 'ed Fat "nterprise inu2 6, descargar e archvo
$ttp->>RRR.alcanceli!re.org>linu2>secrets>el6>spamassmilter.te:
get http7//#alcancelibre#org/linux/secrets/el6/spamassmilter#te
vim spamassmilter#te
module spamassmilter 1#%Y
638
reJuire c
type spamass/milter/data/tY
type spamass/milter/tY
type pyCor/tY
type spamc/tY
type spamd/tY
class dir c search read create rite open getattr remove/name add/name dY
class "ile c read create ioctl rite open getattr unlink append dY
d
A+++++++++++++ pyCor/t ++++++++++++++
allo pyCor/t spamass/milter/data/t7dir c rite search create getattr add/name dY
allo pyCor/t spamass/milter/data/t7"ile c read rite create getattr dY
A+++++++++++++ spamass/milter/t ++++++++++++++
allo spamass/milter/t initrc/var/run/t7"ile c rite getattr dY
A+++++++++++++ spamd/t ++++++++++++++
allo spamd/t spamass/milter/data/t7dir c rite open search read remove/name create getattr
add/name dY
allo spamd/t spamass/milter/data/t7"ile c rite open getattr read create unlink ioctl append dY
A+++++++++++++ spamc/t ++++++++++++++
allo spamc/t spamass/milter/data/t7"ile openY
auditmaudit*alloR (m spamassmiltergspamassmilter.te en un sstema Cent0? 6 donde
SELnux mpeda a spamass(milter funconar correctamente.
A contnuacn, se genera un e archvo de mduo para SELnux (spamassmilter.mod)
utzando e mandato c$ecOmodule de a sguente forma:
checkmodule !. !m !o spamassmilter#mod spamassmilter#te
Luego, se procede a empaquetar e archvo spamassmilter.mod como e archvo
spamassmilter.pp:
semodule/package !o spamassmilter#pp !m spamassmilter#mod
Fnamente se vncua e archvo spamassmilter.pp obtendo con as potcas actuaes de
SELnux y se cargan stas en e nceo en e|ecucn:
semodule !i /usr/share/selinux/packages/spamassmilter/spamassmilter#pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos spamassmilter.te y
spamassmilter.mod, pues soo ser necesaro que exsta e archvo bnaro spamassmilter.pp.
6[.3.*. Arc$ivo >etc>mail>sendmail.mc.
Edtar e archvo >etc>mail>sendmail.mc:
vim ;e$&;<#%);sen-<#%).<&
Es necesaro agregar e sguente contendo en e archvo >etc>mail>sendmail.mc, |usto arrba de
;A&"'PsmtpQdnl.
639
dnl .5S_?'R5&'/&0.5)-(localhost)dnl
?N9UT_MA?L_F?LTERH]s'#<#ss#ss%n@C ]S=>n%E1;*#r;r>n;s'#<#ss-<%)$er;s'#<#ss-<%)$er.so&8C F=C
T=C13!<RS14<RR14<RE136<@I-n)
-e+%neH]&on+M?LTER_MACROS_CONNECT@C]$C bC DC _C Q-#e<on_n#<eSC Q%+_n#<eSC Q%+_#--rS@I-n)
-e+%neH]&on+M?LTER_MACROS_FELO@C]sC Q$)s_*ers%onSC Q&%'herSC Q&%'her_b%$sSC Q&er$_s>bDe&$SC
Q&er$_%ss>erS@I-n)
-e+%neH]&on+M?LTER_MACROS_EN:RC9T@C]rC *C J@I-n)
.5)2'R(smtp)dnl
.5)2'R(procmail)dnl
S se combna con ClamAJ ;ilter, quedara de sguente modo:
dnl .5S_?'R5&'/&0.5)-(localhost)dnl
?N9UT_MA?L_F?LTERH]&)#<#*@C ]S=)o&#)1;*#r;r>n;&)#<#*-<%)$er;&)#<#*.so&8C F=C T=S14<RR14<@I-n)
?N9UT_MA?L_F?LTERH]s'#<#ss#ss%n@C ]S=>n%E1;*#r;r>n;s'#<#ss-<%)$er;s'#<#ss-<%)$er.so&8C F=C
T=C13!<RS14<RR14<RE136<@I-n)
-e+%neH]&on+M?LTER_MACROS_CONNECT@C]$C bC DC _C Q-#e<on_n#<eSC Q%+_n#<eSC Q%+_#--rS@I-n)
-e+%neH]&on+M?LTER_MACROS_FELO@C]sC Q$)s_*ers%onSC Q&%'herSC Q&%'her_b%$sSC Q&er$_s>bDe&$SC
Q&er$_%ss>erS@I-n)
-e+%neH]&on+M?LTER_MACROS_EN:RC9T@C]rC *C J@I-n)
-e+%neH]&on+?N9UT_MA?L_F?LTERS@C ]s'#<#ss#ss%nC&)#<#*@I-n)
.5)2'R(smtp)dnl
.5)2'R(procmail)dnl
6[.3.3. Arc$ivo >etc>sysconfig>spamass(milter.
Edtar e archvo >etc>sysconfig>spamass(milter:
vim ;e$&;sys&on+%g;s'#<#ss-<%)$er
E archvo >etc>sysconfig>spamass(milter ncuye e sguente contendo:
AAA 0verride "or your di""erent local con"ig
AS0*H'1+/var/run/spamass!milter/spamass!milter#sock
AAA Standard parameters "or spamass!milter are7
AAA != /var/run/spamass!milter#pid (=)& "ile)
AAA
AAA -ote that the !" parameter "or running the milter in the background
AAA is not reJuired because the milter runs in a rapper script that
AAA backgrounds itsel"
AAA
AAA <ou may add another parameters hereB see spamass!milter(1)
A'X1R5/>25IS+,!m !r 1:,
640
De forma predetermnada, a travs de parmetro (m, spamass(milter desactva a modfcacn
de asunto de mensa|e (?u!.ect-) y a cabecera Content(Aype-, o cua es convenente para
aadr cabeceras y se procesado posterormente, y, a travs de parmetro (r +5, rechaza os
mensa|es de correo eectrnco cuando stos tenen asgnados 15 puntos o ms. Se pueden
modfcar e nmero de puntos mnmos para rechazar drectamente e correo eectrnco
sospechoso de ser $pam ncrementando e vaor para e parmetro (r. La recomendacn es
asgnar un vaor mayor a defndo en e archvo >etc>mail>spamassassin>local.cf. S, por
e|empo, se estabece en ste tmo re#uiredU$its 4.5 y reRriteU$eader ?u!.ect d?pam?f y
en e archvo >etc>sysconfig>spamass(milter se estabece "EA'AU8A@?V/(m (r +I/, ocurrr
o sguente:
1. Todos os mensa|es marcados con 4.4 puntos o menos, se entregarn
nmedatamente a usuaro sn modfcacones vsbes.
2. Todos os mensa|es marcados desde 4.5 hasta 9.9 puntos se entregarn a usuaro
con e asunto modfcado aadendo a ste {Spam?} a nco.
3. Todos os mensa|es que estn marcados con 10.0 puntos o ms sern rechazados
automtcamente.
Basado sobre e e|empo menconado, e contendo de archvo >etc>sysconfig>spamass(milter
quedara de sguente modo:
AAA 0verride "or your di""erent local con"ig
AS0*H'1+/var/run/spamass!milter/spamass!milter#sock
AAA Standard parameters "or spamass!milter are7
AAA != /var/run/spamass!milter#pid (=)& "ile)
AAA
AAA -ote that the !" parameter "or running the milter in the background
AAA is not reJuired because the milter runs in a rapper script that
AAA backgrounds itsel"
AAA
AAA <ou may add another parameters hereB see spamass!milter(1)
EXTRA_FLAGS="-< -r 36"
6[.3.4. Arc$ivo >etc>procmailrc.
S se desea que e correo marcado con una mnma puntuacn para ser consderado ?pam (gua
o superor a vaor defndo para e parmetro re#uiredU$its de archvo
/etc/ma/spamassassn/oca.cf) se entregue en una carpeta dferente a buzn de entrada, para
ser consutado a travs de un webma (Squrrema o GroupOffce) o ben un cente con soporte
IMAP (Mcrosoft Outook, GNOME Evouton o Moza Thunderbrd), se puede crear e archvo
>etc>procmailrc:
vim ;e$&;'ro&<#%)r&
Y aadre e sguente contendo:
A 3acer pasar el correo por spamassassin
7%"
N /usr/bin/spamc
A .over mensaQes positivos a Spam hacia la capeta \/mail/Spam del usuario
641
7%7
F30.'/mail/Spam
Lo anteror defne una rega condconada a que a cabecera de mensa|e ncuya
E(?pam(?tatus- Zes, e cua es agregado por ?pamAssassin cuando hay casos que superan e
mnmo de puntos para ser consderado ?pam, de modo que todo correo que ncuya esta
cabecera ser amacenado en a carpeta mail>?pam propedad de usuaro a quen sea
destnado e mensa|e. A estar en >etc>procmailrc, esta rega se apca a todas a cuentas de
usuaro en e servdor. Combnado con todo o anteror, ocurrr o sguente:
1. Todos os mensa|es marcados con 4.4 puntos o menos, se entregarn
nmedatamente a usuaro sn modfcacones vsbes.
2. Todos os mensa|es marcados desde 4.5 hasta 9.9 puntos se entregarn a usuaro
con e asunto modfcado aadendo a ste {Spam?} a nco y se amacenarn en a
capeta ^>mail>?pam de usuaro.
3. Todos os mensa|es que estn marcados con 10.0 puntos o ms sern rechazados
automtcamente.
Arc$ivo >etc>sysconfig>spamassassin.
A fn de que spamass(milter y spamassassin traba|en |untos, es necesaro exsta e drectoro
de confguracn para e usuaro sa(milt que se utzar para ncar spamd, e cua corresponde
a servco spamassassin. Por o genera, este drectoro se crea automtcamente a nstaar e
paquete spamassassin.
Este drectoro debe pertenecer a usuaro sa(milt y grupo sa(milt.
chon !R sa!milt7sa!milt /var/lib/spamassassin
Se edta e archvo >etc>sysconfig>spamassassin:
vim ;e$&;sys&on+%g;s'#<#ss#ss%n
Y se aaden as opcones (u sa(milt (2 ((virtual(config(dirV>var>li!>spamassassin, as cuaes
especfcan que se ncar como e usuaro sa(milt, que se desactvar a confguracn por
usuaro y que se utzar >var>li!>spamassassin como drectoro vrtua de confguracn. De ta
modo, e archvo debe quedar de a sguente forma:
A 0ptions to spamd
S9AMDO9T?ONS="-- -& -<! -F -> s#-<%)$ -E --*%r$>#)-&on+%g--%r=;*#r;)%b;s'#<#ss#ss%n"
6[.3.5. &niciarH detener y reiniciar el servicio spamass(milter.
Se agrega a arranque de sstema y se nca e servco spamassasin de sguente modo:
service spamassassin start
642
E servco spamass(milter se agrega a arranque de sstema y se nca de sguente modo:
chkcon"ig spamass!milter on
service spamass!milter start
A termnar, consderando que est nstaado e paquete sendmail(mc, e cua permte apcar
cambos en a confguracn ?endmail a partr de archvo >etc>mail>sendmail.mc, se debe
rencar e servco sendmail para que surtan efectos os cambos reazado en e archvo
menconado.
A fn de mantener actuazado e |uego de regas y ftros de Spamassassn, es convenente
actuazar stos de vez en cuando, a o sumo una o dos veces a mes. Los |uegos de regas y
ftros de Spamassassn reamente sufren pocos cambos a o argo de ao y se amacenan en un
sub-drectoro dentro de >var>li!>spamassassin>. Soo es necesaro conservar e sub-drectoro
con a versn ms recente. E sguente mandato reazar a consuta y actuazacn de regas y
ftros de Spamassassn y rencar e servco soamente s se descarg una actuazacn:
sa!update ee service spamassassin restart
643
7I. &ntroduccin a 0penDA=.
7I.+. &ntroduccin.
7I.+.+. Acerca de DA=.
DA= (ghtweght Drectory Access =rotoco) es un protocoo para consuta y modfcacn de
servcos de drectoro que se desempean sobre TCP/IP. DA= utza e modeo X.500 para su
estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un
con|unto de atrbutos con nombre y que a su vez amacenan vaores.
E nco de a operacn StartTLS en un servdor LDAP, estabece a comuncacn A? (Aransport
ayer ?ecurty o Segurdad para Nve de Transporte) a travs de msmo puerto 389 por TCP.
Provee confdencadad en e transporte de datos e proteccn de a ntegrdad de datos. Durante
a negocacn, e servdor enva su certfcado con estructura X.509 para verfcar su dentdad.
URL: http://en.wkpeda.org/wk/LDAP
7I.+.*. Acerca de '?A.
7I.+.3. Acerca de E.5I[.
7I.+.4. Acerca de 0pen??.
644
Corporaton.
645
7+. Cmo configurar 0penDA= como servidor
de autenticacin
7+.+. &ntroduccin.
Por favor, eer e documento ttuado Introduccn a OpenLDAP.
opendap-cents-2.x
opendap-servers-2.x
authconfg
authconfg-gtk (opcona)
mgratontoos
S utza Cent0? 6 o 'ed FatG "nterprise inu2 6, e|ecute o sguente para nstaar o
actuazar, e equpamento gco necesaro:
yum !y install openldap openldap!clients openldap!servers nss!pam!ldapd
yum !y install authcon"ig authcon"ig!gtk migrationtools
)ota.
S utza Cent0? 5 o 'ed FatG "nterprise inu2 5, e|ecute o sguente para nstaar o actuazar e
equpamento gco necesaro:
yum !y install openldap openldap!clients openldap!servers nss/ldap
yum !y install authcon"ig authcon"ig!gtk
7+.3.+. ?"inu2 y el servicio ldap.
646
E servco slapd funconar perfectamente con SELnux actvo en modo de imposici/n
(enforcing).
Todo e contendo de drectoro >var>li!>ldap debe tener contexto tpo slapdUd!Ut.
chcon !R !t slapd/db/t /var/lib/ldap
Lo anteror soo ser necesaro s se restaura un respado hecho a partr de un sstema sn
SELnux.
7+.3.*. Certificados para A?>??.
Es muy mportante utzar TLS/SSL cuando se confgura e sstema para fungr como servdor de
autentcacn, por o cua e sguente procedmento es obgatoro. S utza Cent0? 6 o 'ed
FatG "nterprise inu2 6, requerr a menos openldap(*.4.*3(+6.el6, debdo a que a
versones anterores tenen roto e soporte para TLS/SSL.
Cambe a drectoro >etc>pOi>tls>certs:
cd /etc/pki/tls/certs
La creacn de a frma dgta y certfcado requere utzar una frma dgta con agortmo '?A
de 2048 octetos y estructura 25I[. De modo predetermnado se estabece una vadez por 365
das (un ao) para e certfcado que se crear.
rm !" slapd#pem
make slapd#pem
cd !
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
La sada sera smar a a sguente:
647
################UUUUUU
#UUUUUU
riting ne private key to Xdovecot#keyX
!!!!!
or a &-#
!!!!!
0rganiCation -ame (egB company) D.y *ompany 2tdE7
M% e<'res#C S.A. -e C.:.
*ommon -ame (egB your name or your serverXs hostname) DE7
ser*%-or.-o<%n%o.$)-
'mail 5ddress DE70eb<#s$erK-o<%n%o.$)-
E certfcado soo ser vdo cuando e servdor DA= sea nvocado con e nombre defndo en e
campo Common )ame. Es decr, so podr utzaro cuando se defna como nombre de
anftrn, es decr servidor.dominio.tld. Para que esto funcone, ser ndspensabe que un
servdor DNS se encargue de a resoucn de nombre de anftrn de servdor LDAP para toda a
red de rea oca.
Es ndspensabe que e archvo que contene a frma dgta y e certfcado tenga permsos de
acceso de ectura y escrtura para e usuaro root y permsos de acceso de so ectura para e
grupo ldap:
chon root7ldap /etc/pki/tls/certs/slapd#pem
chmod 64% /etc/pki/tls/certs/slapd#pem
Edte e archvo >etc>sysconfig>ldap:
vi /etc/syscon"ig/ldap
Arededor de a nea 20, ocace #SLAPD_LDAPS=no:
PSLA9D_LDA9S=no
Emne a amohada (#) y cambe no por yes, de modo que quede como ?A=DUDA=?Vyes.
SLA9D_LDA9S=yes
7+.3.3. Creacin de directorios.
Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar
con permsos de acceso excusvamente a usuaro y grupo dap.
mkdir /var/lib/ldap/autenticar
chmod $%% /var/lib/ldap/autenticar
648
Se requere copar e archvo DBUC0)8&@.e2ample dentro de drectoro
>var>li!>ldap>autenticar>, como e archvo DBUC0)8&@. Es decr, e|ecute o sguente:
cp /usr/share/openldap!servers/&;/*0->)I#example /var/lib/ldap/autenticar/&;/*0->)I
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, e|ecute o sguente:
cp /etc/openldap/&;/*0->)I#example /var/lib/ldap/autenticar/&;/*0->)I
Todo e contendo de drectoro >var>li!>ldap>autenticar debe pertenecer a usuaro y grupo
ldap. E|ecute o sguente:
chon !R ldap7ldap /var/lib/ldap/autenticar
7+.3.4. Creacin de claves de acceso para DA=.
Para crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de
drectoro, e|ecute o sguente:
slappassd
Lo anteror debe devover como sada un crptograma, smar a mostrado a contnuacn:
cSS35d2nmG2>e'1/Cebp$5y'>%9-lIa11d4ckC
Cope y respade este crptograma. E texto de a sada ser utzado ms adeante en e archvo
>etc>openldap>slapd.conf y se defnr como cave de acceso para e usuaro Administrador,
quen tendr todos os prvegos sobre e drectoro.
7+.3.5. Arc$ivo de configuracin >etc>openldap>slapd.conf.
Se debe crear >etc>openldap>slapd.conf como archvo nuevo:
touch /etc/openldap/slapd#con"
vim /etc/openldap/slapd#con"
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, e archvo >etc>openldap>slapd.conf ya exste, e
ncuye contendo de e|empo. Puede reempazar todo e contendo en su totadad, por e e|empfcado a
contnuacn.
E archvo >etc>openldap>slapd.conf debe de tener defndos todos os archvos de esquema
mnmos requerdos. De ta modo, e nco de archvo debe contener ago smar a o sguente:
649
include /etc/openldap/schema/corba#schema
include /etc/openldap/schema/core#schema
include /etc/openldap/schema/cosine#schema
include /etc/openldap/schema/duacon"#schema
include /etc/openldap/schema/dyngroup#schema
include /etc/openldap/schema/inetorgperson#schema
include /etc/openldap/schema/Qava#schema
include /etc/openldap/schema/misc#schema
include /etc/openldap/schema/nis#schema
include /etc/openldap/schema/openldap#schema
include /etc/openldap/schema/ppolicy#schema
include /etc/openldap/schema/collective#schema
Se deben habtar os parmetros A?CACertificate8ile, A?Certificate8ile y
A?CertificateNey8ile estabecendo as rutas haca e certfcado y cave.
12S*5*erti"icate>ile /etc/pki/tls/certs/ca!bundle#crt
12S*erti"icate>ile /etc/pki/tls/certs/slapd#pem
12S*erti"icateHey>ile /etc/pki/tls/certs/slapd#pem
A fn de permtr conexones desde centes con OpenLDAP 2.x, estabecer e archvo de nmero
de proceso y e archvo de argumentos de LDAP, deben estar presentes os sguentes
parmetros, con os correspondentes vaores:
allo bind/v8
pid"ile /var/run/openldap/slapd#pid
args"ile /var/run/openldap/slapd#args
Para concur con e >etc>openldap>slapd.conf, se aade o sguente, que tene como fnadad
e defnr a confguracn de nuevo drectoro que en adeante se utzar para autentcar a toda
a red de rea oca:
database bdb
su""ix ,dc+-o<%n%oBdc+tld,
rootdn ,cn+5dministradorBdc+-o<%n%oBdc+tld,
rootp cSS35d2nmG2>e'1/Cebp$5y'>%9-lIa11d4ckC
directory /var/lib/ldap/autenticar
A )ndices a mantener para esta base de datos
index obQect*lass eJBpres
index ouBcnBmailBsurnameBgivenname eJBpresBsub
index uid-umberBgid-umberBloginShell eJBpres
index uidBmember?id eJBpresBsub
index nis.ap-ameBnis.ap'ntry eJBpresBsub
En resumen, e archvo >etc>openldap>slapd.conf debera quedar de modo smar a sguente:
650
include /etc/openldap/schema/corba#schema
include /etc/openldap/schema/core#schema
include /etc/openldap/schema/cosine#schema
include /etc/openldap/schema/duacon"#schema
include /etc/openldap/schema/dyngroup#schema
include /etc/openldap/schema/inetorgperson#schema
include /etc/openldap/schema/Qava#schema
include /etc/openldap/schema/misc#schema
include /etc/openldap/schema/nis#schema
include /etc/openldap/schema/openldap#schema
include /etc/openldap/schema/ppolicy#schema
include /etc/openldap/schema/collective#schema
12S*5*erti"icate>ile /etc/pki/tls/certs/ca!bundle#crt
12S*erti"icate>ile /etc/pki/tls/certs/slapd#pem
12S*erti"icateHey>ile /etc/pki/tls/certs/slapd#pem
allo bind/v8
pid"ile /var/run/openldap/slapd#pid
args"ile /var/run/openldap/slapd#args
database bdb
su""ix ,dc+-o<%n%oBdc+tld,
rootdn ,cn+5dministradorBdc+-o<%n%oBdc+tld,
rootp cSS35d2nmG2>e'1/Cebp$5y'>%9-lIa11d4ckC
directory /var/lib/ldap/autenticar
A )ndices a mantener para esta base de datos
index obQect*lass eJBpres
index ouBcnBmailBsurnameBgivenname eJBpresBsub
index uid-umberBgid-umberBloginShell eJBpres
index uidBmember?id eJBpresBsub
index nis.ap-ameBnis.ap'ntry eJBpresBsub
A 3abilitar supervisiPn
database monitor
A =ermitir solo a rootdn ver la supervisiPn
access to L
by dn#exact+,cn+5dministradorBdc+-o<%n%oBdc+tld, read
by L none
Por segurdad, e archvo >etc>openldap>slapd.conf deber tener permsos de lectura y
escritura, so para e usuaro ldap.
chon ldap7ldap /etc/openldap/slapd#con"
chmod 6%% /etc/openldap/slapd#con"
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5 o ben versones de opendap anterores a a 2.4,
omta os sguentes tres pasos.
Emne e con|unto de archvos y drectoros que componen os confguracn predetermnada:
rm !r" /etc/openldap/slapd#d/L
Es necesaro ncazar os archvos de a base de datos para e contendo de drectoro
>var>li!>ldap>autenticar, por tanto e|ecute o sguente:
echo ,, N slapadd !" /etc/openldap/slapd#con"
651
Converta e archvo >etc>openldap>slapd.conf en e nuevo subcon|unto de archvos df que rn
dentro de drectoro >etc>ldap>slapd.d:
slaptest !" /etc/openldap/slapd#con" !> /etc/openldap/slapd#d
Todo e contendo de os drectoros >etc>ldap>slapd.d y >var>li!>ldap>autenticar deben
pertenecer a usuaro y grupo ldap. E|ecute o sguente:
chon !R ldap7ldap /etc/openldap/slapd#d /var/lib/ldap/autenticar
Restabezca os contextos de SELnux para os drectoros >etc>ldap>slapd.d y
>var>li!>ldap>autenticar e|ecutando o sguente:
restorecon !R /etc/openldap/slapd#d /var/lib/ldap/autenticar
7+.3.6. &nicio del servicio.
Ince e servco slapd y aada ste a resto de os servcos que arrancan |unto con e sstema,
e|ecutando os sguentes dos mandatos:
service slapd start
chkcon"ig slapd on
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, nce e servco slapd y aada ste a resto de os
servcos que arrancan |unto con e sstema:
service ldap start
chkcon"ig ldap on
7+.3.7. ;igracin de cuentas e2istentes en el sistema.
Edte e archvo >usr>s$are>migrationtools>migrateUcommon.p$:
vim /usr/share/migrationtools/migrate/common#ph
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, edte e archvo
>usr>s$are>openldap>migration>migrateUcommon.p$:
vim /usr/share/openldap/migration/migrate/common#ph
Modfque os os vaores de as varabes `D"8A,AU;A&UD0;A&) y F&'>5?21/;5S' a fn de que
queden de sguente modo:
A &e"ault &-S domain
F&'>5?21/.5)2/&0.5)- + ,-o<%n%o.$)-,Y
A &e"ault base
F&'>5?21/;5S' + ,-&=-o<%n%oC-&=$)-,Y
652
A contnuacn, hay que crear e ob|eto que a su vez contendr e resto de os datos en e
drectoro, utzando migrateU!ase.pl para generar e archvo !ase.ldif.
Genere e archvo !ase.ldif, e|ecutando o sguente:
/usr/share/migrationtools/migrate/base#pl M base#ldi"
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, puede generar e archvo base.df e|ecutando o
sguente:
/usr/share/openldap/migration/migrate/base#pl M base#ldi"
Utce e mandato ldapadd para nsertar os datos necesaros. Las opcones utzadas con este
mandato son as sguentes:
!x autenticaciPn simple
!4 solicitar clave de acceso
!& binddn -ombre &istinguido (dn) a utiliCar
!h an"itriPn Servidor 2&5= a acceder
!" archivo archivo a utiliCar
Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro
utzando o sguente:
ldapadd !x !4 !& Xcn+5dministradorB dc+-o<%n%oB dc+tldX !h 18$#%#%#1 !" base#ldi"
Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Lo prmero ser
mportar os grupos y usuaros exstentes en e sstema. Reace a mportacn de usuaros
creando os archvos group.ldif y passRd.ldif, utzando migrateUgroup.pl y
migrateUpassRd.pl.
E|ecute os sguentes dos mandatos:
/usr/share/migrationtools/migrate/group#pl /etc/group group#ldi"
/usr/share/migrationtools/migrate/passd#pl /etc/passd passd#ldi"
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, e|ecute os sguentes dos mandatos:
/usr/share/openldap/migration/migrate/group#pl /etc/group group#ldi"
/usr/share/openldap/migration/migrate/passd#pl /etc/passd passd#ldi"
Lo anteror crear os archvos group.ldif y passRd.ldif, os cuaes ncurn a nformacn de
os grupos y cuentas en e sstema, ncuyendo as caves de acceso. Los datos se podrn nsertar
en e drectoro LDAP utzando o sguente:
ldapadd !x !4 !& Xcn+5dministradorB dc+-o<%n%oB dc+tldX !h 18$#%#%#1 !" group#ldi"
ldapadd !x !4 !& Xcn+5dministradorB dc+-o<%n%oB dc+tldX !h 18$#%#%#1 !" passd#ldi"
7+.4. Compro!aciones.
653
Antes de confgurar e sstema para utzar LDAP para autentcar, es convenente verfcar que
todo funcona correctamente.
E sguente mandato verfca que drectoros dsponbes exsten en e servdor 127.0.0.1.
ldapsearch !h 18$#%#%#1 !x !b XX !s base X(obQectclass+L)X naming*ontexts
Lo anteror debe devover una sada smar a o sguente:
A extended 2&)>
A
A 2&5=v@
A base bM ith scope base
A "ilter7 (obQectclass+L)
A reJuesting7 naming*ontexts
A
A
dn7
naming*ontexts7 dc+-o<%n%oBdc+tld
A search result
search7 8
result7 % Success
A numResponses7 8
A num'ntries7 1
E sguente mandato debe devover toda a nformacn de todo e drectoro soctado
(dc=dominio,dc=td).
ldapsearch !x !b Xdc+-o<%n%oBdc+tldX X(obQectclass+L)X
Otro e|empo es reazar una bsqueda especfca, para un usuaro en partcuar. Asumendo que
en e drectoro exste e usuaro denomnado fulano, e|ecute o sguente:
ldapsearch !x !b Xuid+"ulanoBou+=eopleBdc+-o<%n%oBdc+tldX
Lo anteror debe regresar ago smar a o sguente:
654
A extended 2&)>
A
A 2&5=v@
A base uid+"ulanoBou+=eopleBdc+-o<%n%oBdc+tld ith scope sub
A "ilter7 (obQectclass+L)
A reJuesting7 522
A
A "ulanoB =eopleB dominio#tld
dn7 uid+"ulanoBou+=eopleBdc+-o<%n%oBdc+tld
uid7 "ulano
cn7 "ulano
obQect*lass7 account
obQect*lass7 posix5ccount
obQect*lass7 top
obQect*lass7 shado5ccount
user=assord77 xxxxxxxxxxxx
shado2ast*hange7 18:94
shado.ax7 99999
shado4arning7 $
loginShell7 /bin/bash
uid-umber7 :%:
gid-umber7 :%:
home&irectory7 /home/"ulano
A search result
search7 8
result7 % Success
A numResponses7 8
A num'ntries7 1
7+.5. Configuracin de clientes.
Los centes Cent0? 6 y 'ed Fat "nterprise inu2 6, requeren tener nstaados os paquetes
nss(pam(ldap, authconfg y openldap(clients(*.4.*3(+6.el6 (as versones anterores de este
tmo tenen roto e soporte para TLS/SSL):
yum !y install authcon"ig openldap!clients nss!pam!ldapd
)ota.
Los centes Cent0? 5 y 'ed Fat "nterprise inu2 5 requeren tener nstaados os paquetes
nssUldap, authconfg y opendap-cents:
yum !y install authcon"ig openldap!clients nss/ldap
Defna os vaores para os parmetros $ost y !ase, a fn de estabecer haca que servdor y a
que drectoro conectarse, en e archvo >etc>pamUldap.conf.
vim /etc/pam/ldap#con"
)ota.
S utza Cent0? 5 o 'ed FatG "nterprise inu2 5, defna o anteror en e archvo >etc>ldap.conf.
vim /etc/ldap#con"
655
Para fnes prctcos, e vaor de parmetro uri corresponde a nombre de servdor LDAP,
prevamente resueto por un DNS y e vaor de parmetro !ase debe ser e msmo que se
especfc en e archvo >etc>openldap>slapd.conf para e parmetro suffi2. Consderando que
e nombre de anftrn de servdor LDAP est resueto por un servdor DNS, como
servidor.dominio.tld, puede defnr o sguente:
uri ldap7//ser*%-or.-o<%n%o.$)-/
base -&=-o<%n%oC-&=$)-
ssl start/tls
tls/checkpeer no
pam/passord md:
Asumendo que e servdor LDAP tene defndo como nombre de anftrn servidor.dominio.tld,
prevamente resueto en un servdor DNS, e|ecute o sguente:
authcon"ig !!useshado !!enablemd: !!enablelocauthoriCe K
!!enablemkhomedir --en#b)e)-#' --en#b)e)-#'#>$h K
--)-#'ser*er=ser*%-or.-o<%n%o.$)- K
--)-#'b#se-n=-&=-o<%n%oC-&=$)- --en#b)e)-#'$)s !!update
S utza Cent0? 6 o 'ed FatG "nterprise inu2 6, con openldap(clients(*.4.*3(+5.el6 y
versones anterores, utce ((disa!leldaptls, en ugar de ((ena!leldaptls.
A termnar, debe ncar y agregar a os servcos de arranque de sstema a servco nslcd.
chkcon"ig nslcd on
service nslcd start
7+.6. Administracin.
Exsten muchos programas para acceder y admnstrar servdores LDAP, pero a mayora so
srven para admnstrar usuaros y grupos de sstema, como e mduo de LDAP de Webmn. La
me|or herramenta de admnstracn de drectoros LDAP que puedo recomendar es PHP LDAP
Admn.
7+.7. 'espaldo de datos.
E procedmento requere detener e servco slapd.
service slapd stop
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, debe detenerse e servco ldap antes de proceder
con e respado de datos.
service ldap stop
Utce e mandato slapcat de sguente modo, defnendo e drectoro de confguracn
>etc>openldap>slapd.d.
slapcat !v !> /etc/openldap/slapd#d !l respaldo!F(date UW<WmWd)#ldi"
656
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, se utza a herramenta slapcat, defnendo e
archvo de confguracn >etc>openldap>slapd.conf.
slapcat !v !" /etc/openldap/slapd#con" !l respaldo!F(date UW<Wm
Wd)#ldi"
Ince de nuevo e servco slapd.
service slapd start
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, nce de nuevo e servco ldap.
service ldap start
7+.:. 'estauracin de datos.
E procedmento requere detener e servco. E|ecute o sguente:
service slapd stop
)ota.
service ldap stop
Deben emnarse os datos de drectoro a restaurar.
rm !" /var/lib/ldap/autenticar/L
Vueva a copar e archvo DBUC0)8&@.e2ample dentro de drectoro >var>li!>ldap>autenticar>,
como e archvo DBUC0)8&@. Es decr, e|ecute o sguente:
cp /usr/share/openldap!servers/&;/*0->)I#example /var/lib/ldap/autenticar/&;/*0->)I
Utce a herramenta slapadd para cargar os datos de respado desde un archvo *.df.
slapadd !v !c !l respaldo!8%11%911#ldi" !> /etc/openldap/slapd#d
)ota.
S utza Cent0? 5 o 'ed Fat "nterprise inu2 5, slapadd se utza defnendo e archvo de
confguracn >etc>openldap>slapd.conf.
slapadd !v !c !l respaldo!8%11%911#ldi" !" /etc/openldap/slapd#con"
Para regenerar os ndces LDAP, e|ecute e mandato slapinde2:
slapindex
657
Ince de nuevo e servco, e|ecutando o sguente:
service slapd start
)ota.
service ldap start
7+.[. ;odificaciones necesarias en el muro cortafuegos.
abrr e puerto 389 (ldap), por TCP.
S utza ?$oreRall, edte e archvo >etc>s$oreRall>rules:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 net " tcp @69
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
sguente mandato:
658
7*. Configuracin !<sica de ;y?CG.
7*.+. &ntroduccin.
7*.+.+. Acerca de ;y?CG.
;y?CG es un DB;? (DataBase ;anagement ?ystem) o sstema de gestn de base de datos
?C (?tructured Cuery anguage o Lengua|e Estructurado de Consuta) mutusuaro y mutho
con cenca @),>@=. Fue propedad y patrocno de ;y?C AB, compaa fundada por Davd
Axmark, Aan Larsson y Mchae Wdenus, con base de operacones en Sueca, a cua posea os
derechos de autor de prctcamente todo e cdgo que o ntegraba. ;y?C AB desarro y se
encarg de mantenmento e sstema vendendo servcos de soporte y otros vaores agregados,
as como tambn cencamento prvatvos para os desarroos de equpamento gco que
requeren mantener cerrado su cdgo fuente. MySOL AB fue adqurdo en 2008 por Sun
Mcrosystems, que a su vez fue adqurdo por Orace Corporaton en 2009.
;y?CG es actuamente e servdor de base de datos ms popuar para os desarroos a travs
de a red munda, prncpamente stos de Internet. Es cebre y cas egendaro, por
consderarse rpdo y sdo.
URL: http://www.mysq.com/
7*.*. "#uipamiento lgico necesario.
7*.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
E|ecute o sguente para nstaar os paquetes mysq (cente) y mysq-server (servdor):
yum !y install mysJl mysJl!server
7*.*.*. "n open?,?"G y ?,?"G inu2 "nterprise.
E|ecute o sguente para nstaar os paquetes mysq-cent (cente) y mysq (servdor):
yast !i mysJl mysJl!client
7*.3. ;odificaciones necesarias en el muro cortafuegos.
659
Es necesaro abrr e puerto 3306 por TCP (mys#l), pero so s requere hacer conexones desde
anftrones remotos.
7*.3.I.+. Ferramienta system(config(fireRall.
Habte e puertos 33I6>AC= y apque os cambos.
Herramenta system-confg-frewa habtando e puerto 3306/TCP pata MySOL.
7*.3.I.*. ?ervicio ipta!les.
S o prefere, tambn puede utzar drectamente e mandato ipta!les, e|ecutando o sguente:
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport @@%6 !Q 5**'=1
!5 )-=?1 !m state !!state -'4 !m tcp !p tcp !!dport @@%6 !Q 5**'=1
7*.3.I.3. ?$oreRall.
La rega para e archvo >etc>s$oreRall>rules de ?$oreRall correspondera a o sguente:
660
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp @@%6
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
7*.3.+. "n open?,?"G y ?,?"G inu2 "nterprise.
yast "ireall
Y habte 6'SQ* Ser,er y apque os cambos. sto habtar todos os puertos necesaros.
Mduo de cortafuegos de YaST, en modo grfco, habtando e 6'SQ* Ser,er.
661
Mduo de cortafuegos de YaST, en modo texto, habtando 6'SQ* Ser,er.
7*.4. ?"inu2 y ;y?CGH slo en Cent0?H 8edoraG y 'ed
FatG "nterprise inu2.
Para que SELnux permta a usuaro reguar estabecer conexones haca e zcao de MySOL,
utce e sguente mandato:
setsebool != allo/user/mysJl/connect 1
Para que SELnux permta a servco mys#ld conectarse a cuaquer puerto dstnto a 3306,
utce e sguente mandato:
setsebool != mysJl/connect/any 1
7*.5.+. &niciarH detener y reiniciar el servicio mys#ld.
7*.5.+.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
Para que e servco de mys#ld est actvo en todos os nvees de e|ecucn, se e|ecuta o
sguente:
chkcon"ig mysJld on
Para ncar por prmera vez e servco mys#ld y generar a base de datos nca (mys#l), e|ecute
o sguente:
662
service mysJld start
Para rencar e servco mys#ld, e|ecute o sguente:
service mysJld restart
Para detener e servco mys#ld, e|ecute o sguente:
service mysJld stop
7*.5.+.*. open?,?"G y ?,?"G inu2 "nterprise.
Para que e servco de mys#l est actvo en todos os nvees de e|ecucn, se e|ecuta o
sguente:
insserv mysJl
Para ncar por prmera vez e servco mys#l y generar a base de datos nca (mys#l), e|ecute
o sguente:
rcmysJl start
Para rencar e servco mys#l, e|ecute o sguente:
rcmysJl restart
Para detener e servco mys#l, e|ecute o sguente:
rcmysJl stop
7*.5.*. Arc$ivos y directorios de configuracin.
E archvo >etc>my.cnf es e utzado para estabecer o cambar opcones permanentes de
MySOL. Las bases de datos se amacenan dentro de drectoro >var>li!>mys#l.
7*.5.3. Asignacin de contrasea al usuario root en ;y?C.
E usuaro root en MySOL, carece de contrasea despus de ncado e servco por prmera
vez, por o cua es muy mportante asgnar una.
E|ecute e mandato mys#ladmin, con a opcn ($ con local$ost como argumento, a opcn (u
con root y passRord como argumentos y a nueva contrasea entre comas smpes:
mysJladmin !u root passord XcualJuier!contraseVa!Jue!gusteX
En adeante, ser necesaro aadr a opcn (p a cuaquer sentenca de nea de mandatos para
mys#l, mys#ladmin y mys#ldump para ngresar a contrasea de usuaro root y poder, de
esta forma, reazar dversas tareas admnstratvas.
663
7*.5.3.+. 'ecuperacin de la contrasea del usuario root en ;y?C.
En caso de que haya ovdado a contrasea de usuaro root de MySOL, detenga e servco
e|ecutando service mys#ld stop (CentOS, Fedora y Red Hat Enterprse Lnux) o ben
rcmys#l stop (openSUSE y SUSE Lnux Enterprse).
E|ecute e mandato mys#ldUsafe con a opcn ((sOip(grant(ta!les, envando e proceso a
segundo pano:
mysJld/sa"e !!skip!grant!tables e
Ingrese a ntrprete de mandato de MySOL e|ecutando e mandato mys#l, sn argumentos u
opcones:
mysJl
E|ecute o sguente:
?=&51' mysJl#user
S'1 =assord+=5SS40R&(Xn>e*#-&on$r#se_#X)
43'R' ?ser+XrootXY
>2?S3 =R)()2'I'SY
Saga de ntrprete de mandatos de MySOL e|ecutando o sguente:
exitY
Detenga e servco mys#ld e|ecutando so o sguente:
mysJladmin shutdon
Ince MySOL e|ecutando service mys#ld start (CentOS, Fedora y Red Hat Enterprse
Lnux) o ben rcmys#l start (openSUSE y SUSE Lnux Enterprse).
Verfque e cambo de contrasea accedendo a MySOL con e mandato mys#l y a opcn (p, e
ngrese a nueva contrasea.
mysJl !p
Saga de ntrprete de mandatos de MySOL e|ecutando o sguente:
exitY
Procure memorzar a nueva contrasea asgnada a usuaro root de MySOL.
7*.5.4. Crear y eliminar !ases de datos.
664
Para crear una nueva base de datos, puede utzarse e mandato mys#ladmin con e parmetro
create, a opcn (u con root como usuaro y a opcn (p para ndcar que se ngresar una
contrasea:
mysJladmin !u root !p &re#$e basedatos
Para emnar una base de datos, se utza e mandato mys#ladmin con e parmetro drop en
ugar de create, a opcn (u con root como usuaro y a opcn (p para ndcar que se ngresar
una contrasea:
mysJladmin !u root !p -ro' basedatos
7*.5.5. 'espaldo y restauracin de !ases de datos.
Para respadar una base de datos desde e anftrn oca, se e|ecuta e mandato mys#ldump con
as opcones ((opt (que aade automtcamente as opcones --add-drop-tabe, --add-ocks,
--create-optons, --quck, --extended-nsert, --ock-tabes, --set-charset y --dsabe-keys), a opcn
(u con e nombre de usuaro a utzar, a opcn (p para ndcar que se ngresar una contrasea,
e nombre de a base de datos, g para guardar a sada estndar (STDOUT) en un archvo y e
nombre de archvo donde se guardar e respado. E|empo:
mysJldump !!opt !u root !p basedatos [ respaldo#sJl
Para restaurar un respado, se e|ecuta e mandato mys#l con as opcones (u con e nombre de
usuaro con prvegos sobre a base de datos a restaurar, (p para ndcar que se utzar
contrasea, e nombre de a base de datos a restaurar, o para ndcar que a entrada estndar
(?AD&)) ser un archvo y e nombre de archvo con e respado de a base de datos. E|empo:
mysJl !u root !p basedatos Z respaldo#sJl
Para respadar todas a bases de datos hospedadas en MySOL, se e|ecuta e mandato
mys#ldump con as opcones ((opt, ((all(data!ases para ndcar que se respadarn todas a
bases de datos, a opcn (u con root como usuaro, a opcn (p para ndcar que se utzar
contrasea, e smboo g para guardar a sada estndar (?AD0,A) en un archvo y e nombre
de archvo donde se guardar e respado. E|empo:
mysJldump !!opt !!all!databases !u root !p [ respaldo!todo#sJl
Para restaurar todas as bases de datos a partr de un nco archvo de respado, se e|ecuta e
mandato mys#l con a opcn (u con root como usuaro, a opcn (p para ndcar que se utzar
contrasea, e smboo o para ndcar que a entrada estndar (?AD&)) ser un archvo y e
nombre de archvo con e respado de todas as bases de datos. E|empo:
mysJl !u root !p Z respaldo!todo#sJl
7*.5.6. =ermisos de acceso a las !ases de datos.
Ingrese a ntrprete de MySOL como e usuaro root:
mysJl !u root !p
665
Para asgnar os permsos select (seecconar), insert (nsertar), update (actuazar), create
(crear), alter (aterar), delete (emnar) y drop (descartar) sobre as tabas de una base de datos
a usuaro prue!a desde e anftrn local$ost (anftrn oca), se e|ecuta ago smar a o
sguente:
IR5-1
selectB insertB updateB createB alterB deleteB drop
0-
base!de!datos#L
10
usuario[localhost
)&'-1)>)'& ;<
XcontraseVaXY
Puede otorgar a usuaro todos os permsos sobre a base de datos e|ecutando o sguente:
IR5-1
all
0-
base!de!datos#L
10
usuario[localhost
)&'-1)>)'& ;<
XcontraseVaXY
S se requere permtr e acceso haca una base de datos desde otro anftrn en a red de rea
oca, se e|ecuta ago smar a e|empo anteror, pero defnendo e usuaro y a dreccn IP de
anftrn remoto. E|empo:
IR5-1
selectB insertB updateB createB alterB deleteB drop
0-
directorio#L
10
usuario[198#166#$%#8
)&'-1)>)'& ;<
XcontraseVaXY
Puede otorgar a usuaro todos os permsos sobre a base de datos e|ecutando o sguente:
IR5-1
all
0-
directorio#L
10
usuario[198#166#$%#8
)&'-1)>)'& ;<
XcontraseVaXY
S se requere permtr e acceso haca una base de datos desde cuaquer anftrn, se e|ecuta
ago smar a o anteror, pero defnendo e nombre de usuaro entre comas smpes, arroba y
e smboo % entre comas smpes. E|empo:
666
IR5-1
all
0-
directorio#L
10
XusuarioX[XWX
)&'-1)>)'& ;<
XcontraseVa!usuario!usuarioXY
7*.6. 0ptimi9acin de ;y?C.
7*.6.+. Des$a!ilitar la resolucin de nom!res de anfitrin.
MySOL mantene un cache de anftrones utzados en a memora, a cua contene as
dreccones IP, nombres de anftrn y errores de nformacn asocados a stos. E cache so se
utza para conexones TCP remotas con otros anftrones y |ams o utza para conexones a
travs de a nterfaz de retorno de sstema (oopback, 127.0.0.1) o conexones hechas a travs
de archvo de zcao, tubera o ben memora compartda.
Por cada nueva conexn, MySOL utza a dreccn IP de cente para verfcar s e nombre de
anftrn de ste est en e cache de anftrones. Cuando e nombre es nexstente, MySOL
ntentar resover e nombre de anftrn, resovendo prmero a dreccn IP, uego resovendo e
nombre, comparando e resutado de a dreccn IP orgna para verfcar que correspondan.
MySOL amacena uego esta nformacn en e cache de anftrones.
E ob|etvo de cache es evtar hacer una consuta de DNS por cada conexn de cente y e
amacenamento de nformacn de errores que ocurren en e proceso de conexn de os
centes. Cuando ocurren demasados errores desde un anftrn en partcuar y se rebasa e vaor
de a varabe ma2UconnectUerrors (10, de modo predetermnado), MySOL boquea e acceso
desde dcho anftrn.
Cuando un anftrn es boqueado, so podr acceder de nuevo s se renca MySOL o s se
mpa e cache de anftrones. Este tmo puede mparse e|ecutando desde e ntrprete de
mandatos de sstema o sguente:
mysJladmin !p "lush!hosts
Cuando se tene un DNS muy ento o se carece de uno que resueva e nombre de os anftrones
o ben se tene demasados anftrones hacendo conexones haca e servdor MySOL,
deshabtar e cache de anftrones o hacer ms grande ste, me|ora e rendmento
consderabemente. La consecuenca de deshabtar e cache de anftrones es que en adeante
so se podrn otorgar permsos de acceso y reazar conexones utzando dreccones IP, es
decr utzando u$uario4a.b.c.d en ugar de u$uario4anitrin.do&inio.tld.
Para deshabtar e cache de anftrones, se requere edtar e archvo >etc>my.cnf:
vim /etc/my#cn"
Y aadr a sguente opcn en a seccn Smys#ldT:
skip!name!resolve
667
Para apcar os cambos, es necesaro rencar e servco.
S se desea hacer ms grande e cache de anftrones, cuyo vaor predetermnado es 128
anftrones, se requere cambar e vaor de F0?AUCACF"U?&b" por cuaquer vaor entre 0 y
2048 y compar MySOL desde cdgo fuente, motvo por e cua es ms prctco deshabtar e
cache de anftrones.
7*.6.*. Aumentar el tamao de cac$e de consultas.
Cuando se habta e cache de consutas en memora y se dspone de sufcente de sta, e
desempeo de servdor MySOL se ncrementa consderabemente. E vaor predetermnado de
tamao cache de consutas (#ueryUcac$eUsi9e) es 0, o que sgnfca que est desactvado. Los
vaores permtdos son mtpos de 1024 (bytes). S, por e|empo, se desea estabecer un tamao
de cache de consutas de 3* ;iB, e vaor sera 99::;<<; bytes.
Ingrese a ntrprete de MySOL como e usuaro root:
mysJl !u root !p
Verfque e vaor de a varabe #ueryUcac$eUsi9e e|ecutando o sguente:
S304 (5R)5;2'S 2)H' XWJuery/cacheWXY
La sada ser smar a a sguente:
U!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!U
N (ariable/name N (alue N
U!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!U
N have/Juery/cache N <'S N
N Juery/cache/limit N 1%46:$6 N
N Juery/cache/min/res/unit N 4%96 N
N Juery/cache/siCe N % N
N Juery/cache/type N 0- N
N Juery/cache/lock/invalidate N 0>> N
U!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!U
6 ros in set (%#%% sec)
E|ecute o sguente para cambar e vaor de #ueryUcac$eUsi9e a 9; 6i3:
S'1 I20;52 Juery/cache/siCe + @@668118Y
Verfque e cambo e|ecutando o sguente:
S304 (5R)5;2'S 2)H' XWJuery/cacheWXY
La sada ser smar a a sguente:
668
U!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!!U
U!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!!U
N have/Juery/cache N <'S N
N Juery/cache/limit N 1%46:$6 N
N Juery/cache/min/res/unit N 4%96 N
N Juery/cache/siCe N @@668118 N
N Juery/cache/type N 0- N
N Juery/cache/lock/invalidate N 0>> N
U!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!!U
Saga de ntrprete de MySOL.
exitY
E cambo prevaecer hasta que sea rencado MySOL. Para que e cambo sea permanente, se
requere edtar e archvo >etc>my.cnf:
vim /etc/my#cn"
Y aadr a sguente opcn en a seccn Smys#ldT:
Juery/cache/siCe + @@668118
Para apcar os cambos, es necesaro rencar e servco. E|ecute:
service mysJld restart
Para verfcar e estado de cache de consutas, ngrese a ntrprete de mandatos de MySOL:
mysJl !u root !p
A fn de generar ago de actvdad, reace agunas consutas a azar haca cuaquer base de
datos MySOL hospedada en e servdor. So a prmera consuta que haga sempre ser un
poco ms enta que as subsecuentes. E resto de as consutas debern ser ms rpdas.
Para verfcar e estado de cache de consutas, vueva a ngresar ngresar a ntrprete de
mandatos de MySOL:
mysJl !u root !p
Desde e ntrprete de mandatos de MySOL e|ecute o sguente:
S304 S151?S 2)H' XW_cacheWXY
La sada puede ser smar a a sguente:
669
U!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!!U
U!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!!U
N _cache/"ree/blocks N 1 N
N _cache/"ree/memory N @@664:66 N
N _cache/hits N % N
N _cache/inserts N % N
N _cache/lomem/prunes N % N
N _cache/not/cached N 61 N
N _cache/Jueries/in/cache N % N
N _cache/total/blocks N 1 N
U!!!!!!!!!!!!!!!!!!!!!!!!!U!!!!!!!!!!U
7*.6.3. ?oporte para ,A8(:.
Agunas apcacones, como vTgerCRM, requeren se confgur UTF-8 como codfcacn
predetermnada de MySOL. Se requere aadr a archvo >etc>my.cnf as sguentes neas,
"<ys,)(
-e+#>)$-&h#r#&$er-se$=>$+8
DmysJldE
datadir+/var/lib/mysJl
socket+/var/lib/mysJl/mysJl#sock
user+mysJl
A &isabling symbolic!links is recommended to prevent assorted security
risks
symbolic!links+%
skip!name!resolve
Juery/cache/siCe + @@668118
&o))#$%on_ser*er=>$+8_>n%&o-e_&%
&h#r#&$er_se$_ser*er=>$+8
-e+#>)$-&h#r#&$er-se$=>$+8
%n%$_&onne&$=@SET &o))#$%on_&onne&$%on = >$+8_gener#)_&%@
%n%$_&onne&$=@SET NAMES >$+8@
DmysJld/sa"eE
log!error+/var/log/mysJld#log
pid!"ile+/var/run/mysJld/mysJld#pid
A termnar, so es necesaro rencar e servco mys#l para que surtan efecto os cambos.
service mysJl restart
7*.7. Bi!liografa.
http://dev.mysq.com/doc/refman/5.0/en/host-cache.htm
670
73. Configuracin !<sica de Apac$e.
73.+. &ntroduccin.
73.+.+. Acerca del protocolo FAA=.
HTTP (=yperte4t Transfer +rotocol o Protocoo de Trasferenca de Hpertexto) es e mtodo
utzado para transferr o transportar nformacn a travs de Internet y (WWW, >orld >ide
>eb). Su propsto orgna fue e proveer una forma de pubcar y recuperar documentos en
formato HTML.
E desarroo de protocoo fue coordnado por >orld >ide >eb Con$ortiu& y a &"A8 (2nternet
%ngineering Tas' Force o Fuerza de Traba|o en Ingenera de Internet), cumnando con a
pubcacn de varos RFC (Request For Comments), de entre os que destaca e RFC 2616, msmo
que defne a versn 1.1 de protocoo, que es e utzado hoy en da.
FAA= es un protocoo de soctud y respuesta a travs de AC=, entre agentes de usuaro
(Navegadores, motores de ndce y otras herramentas) y servdores, reguarmente utzando e
puerto 80. Entre a comuncacn entre stos puede ntervenr otros tpos de mpementacones,
como seran servdores Intermedaros (?ro4iesD, puertas de enlace y tEneles.
URL: http://toos.etf.org/htm/rfc2616
73.+.*. Acerca de Apac$e.
Apache es un servdor HTTP de cdgo fuente aberto y cencamento bre que funcona en
Lnux, sstemas operatvos dervados de Unx, Wndows, Nove Netware y otras
pataformas. Ha desempeado un pape muy mportante en e crecmento de Internet y contnua
sendo e servdor HTTP ms utzado, sendo adems e servdor de facto contra e cua se
reazan as pruebas comparatvas y de desempeo para otros productos competdores. Es
desarroado y mantendo por una comundad de desarroadores auspcada por Apache
Sotware Foundation.
URL: http://www.apache.org/
73.*.+. "n Cent0?H 8edoraG y 'ed FatG "nterprise inu2.
E|ecute o sguente:
671
yum !y install httpd
S se desea ncur soporte para =F=/;y?C, =erl, =yt$on y ??/A?, e|ecute o sguente:
yum !y install php php!mysJl mod/perl mod/sgi mod/ssl
)ota.
En Cent0? 6, 8edoraG y 'ed FatG "nterprise inu2 6, e soporte para Python se ncuye con e
paquete modURsgi. En Cent0? 5 y 'ed FatG "nterprise inu2 5, e soporte para Python se ncuye
con e paquete modUpyt$on.
yum !y install mod/python
Para poder reazar pruebas desde e msmo anftrn oca, puede utzar cuaquer navegador,
como seran Frefox y Googe Chrome. A fn de poder prescndr de uso de modo grfco y poder
traba|ar desde una termna de texto, sugermos nstaar y utzar e navegador Lynx.
yum !y install lynx
73.3. &niciar servicio y aadir el servicio al arran#ue del
sistema.
Para aadr e servco a arranque de sstema, e|ecute:
chkcon"ig httpd on
Para ncar e servco e|ecute:
service httpd start
Para rencar e servco nterrumpendo todas as conexones estabecdas en ese momento,
e|ecute:
service httpd restart
Para cargar os cambos en a confguracn sn nterrumpr e servco y con sto mantener
actvas as conexones estabecdas, e|ecute
service httpd reload
Para detener e servco, e|ecute:
service httpd stop
73.4. ?"inu2 y Apac$e.
672
En Cent0?, 8edoraG y 'ed FatG "nterprise inu2, de modo predetermnado SELnux vene
actvo en modo obgatoro (enforcing). ste aade segurdad y proteccn adcona a Apache.
Sn embargo agunas opcones mpedrn utzar certas funcones en Apache, como drectoros
vrtuaes fuera de drectoro /var/www, drectoros -/pubc_htm, e envo de correo eectrnco
desde apcacones basadas sobre HTTP, etc.
Para permtr a Apache poder envar correo eectrnco desde aguna apcacn, e|ecute:
setsebool != httpd/can/sendmail 1
Para permtr que Apache pueda eer contendos ocazados en os drectoros de nco de os
usuaros ocaes, e|ecute:
setsebool != httpd/read/user/content 1
)ota.
Estas tmas dos potcas son ndspensabes para e funconamento de cuaquer cente de correo
eectrnco basados sobre HTTP (+ebmails).
Para permtr a Apache poder e|ecutar guones CGI, e|ecute:
setsebool != httpd/enable/cgi 1
Para permtr as ncusones de ado de servdor (??&, ?erver ?de &ncudes), e|ecute:
setsebool != httpd/ssi/exec 1
Para permtr que Apache se pueda conectar a un base de datos ocazada en otro servdor,
e|ecute:
setsebool != httpd/can/netork/connect/db 1
Para permtr a Apache reazar conexones de red haca otro servdor, e|ecute:
setsebool != httpd/can/netork/connect 1
Para permtr que os usuaros ocaes puedan utzar un drectoro pbco (pu!licU$tml),
e|ecute:
setsebool != httpd/enable/homedirs 1
)ota.
Esta tma potca es ndspensabe para e funconamento de anftrones vrtuaes asgnados a usuaros
ocaes, pues permte utzar os drectoros ^>pu!licU$tml.
673
Para permtr admnstrar a travs de FTP o FTPS cuaquer drectoro gestonado por Apache o
ben permtr a Apache funconar como un servdor FTP escuchando petcones a travs de puerto
de FTP, e|ecute e sguente mandato:
setsebool != httpd/enable/"tp/server 1
Para desactivar a e|ecucn de PHP y otros engua|es de programacn para HTTP a travs de
Apache, e|ecute e sguente mandato:
setsebool != httpd/builtin/scripting %
Para consutar todas potcas dsponbes que exsten para Apache, e|ecute:
getsebool !a Ngrep httpd
Para consutar todas potcas dsponbes que exsten para Apache, |unto con una breve
descrpcn, e|ecute:
semanage boolean !l Ngrep httpd
Para defnr que un drectoro fuera de >var>RRR, como por e|empo >sitios>dominio.tld>$tml,
pueda ser utzado por Apache, se e debe asgnar e contexto $ttpdUsysUcontentUt. ste puede
asgnarse a travs de mandato c$con, como se muestra en e sguente e|empo:
chcon !t httpd/sys/content/t /sitios/dominio#tld/html
Cuaquer contendo que sea copiado o transferido dentro de >var>RRR automtcamente
adquere e contexto $ttpdUsysUcontentUt.
Para defnr que se permte e|ecutar un gun CGI en partcuar, como por e|empo
>sitios>dominio>cgi(!in>formulario.pl, se utza e sguente mandato:
chcon !t httpd/sys/script/exec/t /sitios/dominio/cgi!bin/"ormulario#pl
Cuaquer contendo que sea copiado o transferido dentro de cuaquer sub-drectoro de
>var>RRR que se denomne cgi(!in, automtcamente adquere e contexto
$ttpdUsysUscriptUe2ecUt.
Para defnr que, por e|empo, >var>RRR>dominio>pu!licU$tml>escri!ir.p$p pueda reazar
procedmentos de so ectura de datos fuera de drectoro >var>RRR, e|ecute e sguente
mandato:
chcon !t httpd/sys/script/ro/t /var//dominio/public/html/leer#php
Para defnr que, por e|empo, >var>RRR>dominio>pu!licU$tml>escri!ir.p$p pueda reazar
procedmentos de ectura y escrtura de datos fuera de drectoro >var>RRR, e|ecute e
sguente mandato:
chcon !t httpd/sys/script/r/t /var//dominio/public/html/leer#php
674
Es necesaro abrr e puerto 80 por TCP (FAA=).
73.5.*. ?$oreRall.
Las regas corresponderan a ago smar a o sguente, permtendo e acceso haca e servco
HTTP desde cuaquer zona de muro cortafuegos:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp 6%
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
73.6.+. Arc$ivos de configuracin.
Cuaquer a|uste que se requera reazar, ya sea para confgurar anftrones vrtuaes, u otra
funconadad adcona, se puede reazar sn tocar e archvo prncpa de confguracn
(>etc>$ttpd>conf>$ttpd.conf), utzando cuaquer archvo con extensn Y.conf dentro de
drectoro >etc>$ttpd>conf.d>.
675
73.6.*. ,A8(: y codificacin de documentos.
UTF-8
UTF-8 es un mtodo de codfcacn de ASCII para Uncode (ISO-10646), e
Con|unto de Caracteres Unversa o UCS. ste codfca a mayora de os
sstemas de escrtura de mundo en un nco con|unto de caracteres,
permtendo a mezca de engua|es y guones en un msmo documento sn
a necesdad de a|ustes para reazar os cambos de con|untos de
caracteres.
Debdo a su convenenca actuamente se est adoptando UTF-8 como codfcacn para todo, sn
embargo an hay mucho matera codfcado en, por e|empo, ISO-8859-1.
Lo correcto es cambar a en UTF-8 a codfcacn de os documentos que estn en ISO8859-1, u
otras tabas de caracteres, utzando mtodos smares e sguente:
cd /var//html/
"or " in L#html
do
vi !c ,7JT UUenc+ut"6, F"
done
Lo anteror so tendra sentdo s dentro de drectoro >var>RRR>$tml hubera documentos
HTML codfcados en ISO8859-1.
S desea contnuar viviendo en el pasado y no aceptar e nuevo estndar, tambn puede
desactvar a funcn en Apache que estabece UTF-8 como codfcacn predefnda. Edte e
archvo >etc>$ttpd>conf>$ttpd.conf:
vim /etc/httpd/con"/httpd#con"
Locace o sguente:
5dd&e"ault*harset ?1>!6
Cambe ,A8(: por 0ff:
5dd&e"ault*harset 0""
73.6.3. Directorios virtuales.
S, por e|empo, se qusera aadr e aas para un drectoro ocazado en
>var>contenidos>e.emplo> y e cua queremos vsuazar como e drectoro >e.emplo> en
Apache, o prmero ser crear e drectoro:
mkdir !p /var/contenidos/eQemplo
Cambe os contextos de SELnux de este drectoro, con a fnadad de que tenga ro de ob|eto
(o!.ectUr), creado por usuaro de sstema (systemUu) y tpo $ttpdUsysUcontentUt:
676
chcon !u system/u /var/contenidos/eQemplo
chcon !r obQect/r /var/contenidos/eQemplo
chcon !t httpd/sys/content/t /var/contenidos/eQemplo
Genere e archvo >etc>$ttpd>conf.d>e.emplos.conf:
vim /etc/httpd/con"#d/eQemplos#con"
5lias /eQemplo /var/contenidos/eQemplo
Guarde y cerre e archvo.
Recargue e servco httpd.
Asumendo que reazar a prueba desde e msmo anftrn oca, vsuace este nuevo drectoro
vrtua, con cuaquer navegador, a travs de ttp)**6LR.J.J.6*ejemplo*. Se mostrar que e
drectoro exste, pero e acceso a ste est denegado.
S desea reazar as comprobacones desde e msmo anftrn, puede utzar e navegador Lynx.
lynx h$$'1;;3/7.6.6.3;eDe<')o;
Lo anteror deber mostrar un error 403 (acceso denegado), pues e drectoro carece de un
archvo ndce. Para poder acceder deber haber un documento ndce en e nteror (ndex.htm,
ndex.php, etc) o ben que dcho drectoro sea confgurado para mostrar e contendo.
Edte de nuevo e archvo >etc>$ttpd>conf.d>e.emplos.conf:
vim /etc/httpd/con"#d/eQemplos#con"
Modfque e contendo para que quede de sguente modo:
b&irectory ,/var/contenidos/eQemplo,M
O'$%ons ?n-eEes
b/&irectoryM
La opcn &nde2es ndca que se deber mostrar e ndce de contendo de drectoro.
Recargue e servco $ttpd para apcar a confguracn:
Asumendo que reazar a prueba desde e msmo anftrn oca, acceda haca
ttp)**6LR.J.J.6*ejemplo* con cuaquer navegador y vsuace e resutado.
677
S se requere que este drectoro tenga an mayor funconadad, se pueden aadr ms
opcones, como por e|empo AlloR0verrideH &ncludes y 8olloR?yminOsH como se muestra
en el siguiente e.emplo-
0ptions )ndexes ?n&)>-es Fo))o0Sy<L%n8s
A))o0O*err%-e #))
b/&irectoryM
En e e|empo anteror:
La opcn 8olloR?yminOs habta e uso de enaces smbcos dentro de
drectoro. So utce sta s necesta acceder a contendos fuera de drectoro a
utzar.
La opcn &ncludes especfca que se permte a utzacn de os ??& (Server Side
2ncludes). So utce sta s as o requere a apcacn o programa utzado dentro
este drectoro.
La opcn AlloR0verride, con e vaor all posbta utzar archvos .$taccess, os
cuaes a su vez permten apcar opcones de drectoro a vueo, sn necesdad de
modfcar otros archvos de confguracn.
Para que surtan efecto os cambos hechos a a confguracn, recargue e servco $ttpd:
Asumendo que reazar a prueba desde e msmo anftrn oca, acceda haca
lynx h$$'1;;3/7.6.6.3;eDe<')o;
73.6.4. imitar el acceso a directorios por direccin &=.
S se requere mtar e acceso de un drectoro en partcuar, para que ste est dsponbe so
haca certas dreccones IP o boques de red, defna ago como o mostrado en e sguente
e|empo:
Or-er -enyC#))o0
Deny +ro< #))
A))o0 +ro< 3/7.6.6.6;8 3=/.358.76.6;/!
0ptions )ndexes
5llo0verride all
b/&irectoryM
E e|empo anteror estabece que e orden de acceso, donde prmero se apcarn as regas de
denegacn y uego as que permtrn e acceso y que se denegar e acceso a todo e mundo,
permtendo e acceso so desde +*7.I.I.I>: y +[*.+6:.7I.I>*5.
678
sumendo que reazar a prueba desde e msmo anftrn oca, acceda haca
lynx h$$'1;;3/7.6.6.3;eDe<')o;
73.6.5. imitar el acceso por usuario y contrasea.
La autentcacn para drectoros, contra un archvo que ncuya nombres de usuaro y caves de
acceso, que tambn puede combnarse con e acceso por dreccn IP, se reaza a travs de a
sguente sntaxs:
5uth-ame ,5cceso sPlo para usuarios autoriCados,
5uth1ype ;asic
ReJuire valid!user
5uth?ser>ile /cualJuier/ruta/hacia/archivo/de/claves
Lo anteror puede ser ncudo en a confguracn exstente para cuaquer drectoro o ben en
archvo .$taccess.
Genere e drectoro >var>RRR>privado> e|ecutando o sguente:
mkdir !p /var//privado
Genere un archvo denomnado arbtraramente >etc>$ttpd>conf.d>e.emplo(autenticar.conf:
vim /etc/httpd/con"#d/eQemplo!autenticar#con"
Aada con e sguente contendo:
5lias /privado ;*#r;000;'r%*#-o
b&irectory ,;*#r;000;'r%*#-o,M
0ptions ?n-eEes
5llo0verride 5ll
0rder alloBdeny
5llo "rom all
b/&irectoryM
@enere e archvo >var>RRR>privado>.$taccess.
vim /var//privado/#hta&&ess
Agregue e sguente contendo:
679
5uth-ame ,SPlo usuarios autoriCados,
5uth1ype ;asic
ReJuire valid!user
5uth?ser>ile /var//claves
@enere e archvo de caves de acceso como >var>RRR>claves, e|ecutando e sguente
procedmento:
touch /var//claves
Cambe os permsos de so ectura y escrtura para usuaro y cambe a propedad a usuaro y
grupo apac$e:
chmod 6%% /var//claves
chon apache7apache /var//claves
Agregue agunos usuarios virtuales a archvo de caves, >var>RRR>claves, e|ecutando e
mandato $tpassRd, usando como argumentos a ruta de archvo de caves de acceso y nombre
de usuaro a aadr o modfcar:
htpassd /var//claves "ulano
htpassd /var//claves mengano
htpassd /var//claves perengano
htpassd /var//claves Cutano
Asumendo que reazar a prueba desde e msmo anftrn oca, acceda con cuaquer
navegador haca ttp)**6LR.J.J.6*privado* y compruebe que funcona e acceso con autentcacn,
utzando cuaquera de os dos usuaros vrtuaes que gener con e mandato $tpassRd, es
decr fuano o mengano.
lynx h$$'1;;3/7.6.6.3;'r%*#-o;
73.6.6. Asignacin de directivas para =F=.
Sueen darse os casos donde una apcacn, escrta en =F=, requere agunas drectvas de =F=
en partcuar. En muchos casos se egan a necestar varabes que pueden comprometer a
segurdad de otras apcacones hospedadas en e servdor. Para ta fn es que se puede evtar
modfcar e archvo >etc>p$p.ini utzando e parmetro p$pUflag en un archvo .$taccess. La
sguente sntaxs es a sguente:
php/"lag directiva/php valor
73.6.6.+. ".emplo
Se proceder a asgnar as drectvas registerUglo!als, magicU#uotesUruntime,
magicU#uotesUgpc y uploadUma2Ufilesi9e a drectoro en a ruta >var>RRR>aplicacion,
msmo que ser vsuazado desde Apache como ttp)**6LR.J.J.6*aplicacion*. E vaor para
registerUglo!als ser 0n (requerdo so por apcacones PHP muy antguas o muy ma
escrtas), e vaor para magicU#uotesUruntime ser 0n, e vaor para magicU#uotesUgpc ser
0n y e vaor para uploadUma2Ufilesi9e ser :;.
680
Genere e drectoro >var>RRR>aplicacion e|ecutando o sguente:
mkdir /var//aplicacion
Genere e archvo >etc>$ttpd>conf.d>e.emplo(directivas(p$p.conf e|ecutando o sguente:
vim /etc/httpd/con"#d/eQemplo!directivas!php#con"
5lias /aplicacion ;*#r;000;#')%&#&%on
b&irectory ,;*#r;000;#')%&#&%on,M
5llo0verride 5ll
b/&irectoryM
@enere e archvo >var>RRR>aplicacion>.$taccess reazando o sguente:
touch /var//aplicacion/#hta&&ess
"dite e archvo >var>RRR>aplicacion>.$taccess y agregue e sguente contendo:
php/"lag register/globals 0n
php/"lag magic/Juotes/gpc 0n
php/"lag magic/Juotes/runtime 0n
php/value upload/max/"ilesiCe 6.
@enere e archvo >var>RRR>aplicacion>info.p$p, una funcn que muestra toda a nformacn
acerca de =F= en e servdor, a fn de corroborar os vaores de as drectvas de =F= en reacn
a drectoro, con e sguente contendo:
bZphp
phpin"o()Y
ZM
Acceda con cuaquer navegador de red haca ttp)**6LR.J.J.6*aplicacion*info.pp.
lynx h$$'1;;3/7.6.6.3;#')%&#&%on;%n+o.'h'
Corrobore que os vaores para as varabes de =F= para e drectoro nvoucrado reamente han
sdo asgnadas. En a sub-seccn =F= Core de a seccn Configuration, hay tres coumnas. La
prmera, Directive, corresponde a a drectvas =F=. La segunda, ocal Jalue, corresponde a
os vaores de as drectvas de =F= para e drectoro actua. La tercera, ;aster Jalue,
corresponde a os vaores de as drectvas predetermnadas que estn defndas en e archvo
>etc>p$p.ini.
681
Directive ocal Jalue ;aster Jalue
magicU#uotesUgpc On Off
magicU#uotesUruntime On Off
registerUglo!als On Off
uploadUma2Ufilesi9e 8M 2M
73.6.7. 'e(direccin de directorios.
Cuando sea necesaro, es posbe confgurar un drectoro en partcuar para Apache redr|a ste
de modo transparente haca cuaquer otra dreccn.
Genere e archvo denomnado arbtraramente como
>etc>$ttpd>conf.d>e.emplo(redireccion.conf, reempazando $ttp->>mail.docminio.tld> por
cuaquer dreccn vda.
vim /etc/httpd/con"#d/eQemplo!redireccion#con"
Redirect @%1 /ebmail http7//mail#dominio#tld/
Guarde e archvo y regrese a ntrprete de mandatos.
En e e|empo anteror, se ndca que s se trata de acceder haca e sub-drectoro >Re!mail en e
servdor, Apache deber redrgr haca ttp)**mail.dominio.tld*. E nmero 301 corresponde a
mensa|e de protocoo HTTP para ndcar que a re-dreccn es permanente. S por e|empo
hubese un ob|eto en /webma, como por e|empo >Re!mail>estadisticas>estadisticas.p$p,
Apache reazara e re-drecconamento transparente haca
ttp)**mail.dominio.tld*estadisticas*estadisticas.pp.
73.6.:. Aipos de ;&;".
Para aadr cuaquer tpo de extensn y tpo MIME, como por e|empo Ogg, defnendo adems
una descrpcn e cono, genere un archvo que denomnado >etc>$ttpd>conf.d>mimes.conf:
vim /etc/httpd/con"#d/mimes#con"
5dd1ype application/ogg #ogg
5dd&escription ,0gg (orbis 5udio, #ogg
5dd)con /icons/sound8#png #ogg
682
Cope o transfera cuaquer archvo de audo Ogg Vorbs a cuaquer drectoro compartdo a
travs de Apache que permta ver e ndce de ste y vsuace e resutado.
73.6.[. &mpedir enlace remoto de im<genes.
Suee ocurrr que os admnstradores de agunos stos encuentran fc utzar mgenes y otros
tpos de contendo, vncuando desde sus documentos haca os ob|etos en e servdor. sto
representa un consumo ancho de banda adcona para e servdor, que so genera trfco nt y
por o tanto es consderado una prctca poco tca. En e sguente e|empo se desea proteger un
drectoro para que so se permta utzar su contendo s es referdo desde e msmo servdor.
Genere e drectvo >var>RRR>imagenes e|ecutando o sguente:
mkdir /var//imagenes
Cope o transfera archvos de mgenes dentro de este drectoro.
cp /usr/share/pixmaps/L#png /var//imagenes
Genere e archvo >etc>$ttpd>conf.d>imagenes.conf e|ecutando o sguente:
vim /etc/httpd/con"#d/imagenes#con"
A Se permite acceder directamente a la imagen o bien si se omite
A en el navegador la in"ormaciPn del re"erente#
Set'nv)"-o*ase Re"erer ,]F, local/re"eral+1
A Se permite al propio servidor
Set'nv)"-o*ase Re"erer ,]http7//18$#%#%#1, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//localhost, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//localhost#localdomain, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//198#166#$%#:%, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//m:%#alcancelibre#org#mx, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//(#)Zmidominio#org, local/re"eral+1
A Se permite utiliCar las imRgenes a otro servidor
Set'nv)"-o*ase Re"erer ,]http7//(#)Zsitio!amigo#org, local/re"eral+1
5lias /imagenes /var//imagenes
b&irectory ,/var//imagenes,M
0rder &enyB5llo
&eny "rom all
5llo "rom env+local/re"eral
b/&irectoryM
Pruebe a confguracn creando un documento HTML en e anftrn oca y en un anftrn
remoto, e cua enace haca mgenes hospedadas en e drectoro >var>RRR>imagenes de
servdor recn confgurado, y compare resutados.
683
En ugar de o anteror, puede utzarse tambn un archvo .$taccess. Edte e archvo
>etc>$ttpd>conf.d>imagenes.conf e|ecutando o sguente:
vim /etc/httpd/con"#d/imagenes#con"
Reempace e contendo exstente por o sguente:
5lias /imagenes /var//imagenes
b&irectory ,/var//imagenes,M
5llo0verride all
b/&irectoryM
Genere e archvo >var>RRR>imagenes>.$taccess:
vim /var//imagenes/#htaccess
A Se permite acceder directamente a la imagen o bien si se omite
A en el navegador la in"ormaciPn del re"erente#
Set'nv)"-o*ase Re"erer ,]F, local/re"eral+1
A Se permite al propio servidor
Set'nv)"-o*ase Re"erer ,]http7//18$#%#%#1, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//localhost, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//localhost#localdomain, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//198#166#$%#:%, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//m:%#alcancelibre#org#mx, local/re"eral+1
Set'nv)"-o*ase Re"erer ,]http7//(#)Zmidominio#org, local/re"eral+1
A Se permite utiliCar las imRgenes a otro servidor
Set'nv)"-o*ase Re"erer ,]http7//(#)Zsitio!amigo#com, local/re"eral+1
0rder &enyB5llo
&eny "rom all
5llo "rom env+local/re"eral
Pruebe a confguracn creando un documento HTML en e anftrn oca y en un anftrn
remoto, e cua enace haca mgenes hospedadas en e drectoro >var>RRR>imagenes de
servdor recn confgurado, y compare resutados.
684
74. Configuracin de Apac$e con soporte
??>A?.
74.+. &ntroduccin.
74.+.+. Acerca de FAA=?.
FAA=? es a versn segura de protocoo FAA=, nventada en 1996 por Netscape
Communcatons Corporaton. Es es un protocoo dependente de FAA=, consstendo de una
combnacn de ste con un mecansmo de transporte ?? o A?, garantzando as una
proteccn razonabe durante a comuncacn cente-servdor. Es ampamente utzado en a
red munda (]]] o ]ord ]de ]eb) para comuncacones como transaccones bancaras y
pago de benes y servcos.
E servco utza e puerto 443 por TCP para reazar as comuncacones (a comuncacn norma
para HTTP utza e 80 por TCP). E esquema ,'& (,nform 'esource &dentfer o Identfcador
Unforme de Recursos) es, comparando sntaxs, dntco a de FAA= (http:), utzndose como
L$ttps-M segudo de subcon|unto denomnado ,' (,nform 'esource ocator o Locazador
Unforme de Recursos). E|empo: ttps)**(((.dominio.tld*
URL: http://es.wkpeda.org/wk/HTTPS y http://wp.netscape.com/eng/ss3/draft302.txt
74.+.*. Acerca de '?A.
74.+.3. Acerca de Ariple D"?.
Ariple D"? o AD"?, es un agortmo que reaza un trpe cfrado DES, desarroado por IBM en
1978. Su orgen tuvo como fnadad e agrandar a ongtud de una cave sn necesdad de
cambar e agortmo de cframento, o cua o hace ms seguro que e agortmo D"?, obgando
a un atacante e tener que trpcar e nmero de operacones para poder hacer dao. A pesar de
que actuamente est sendo reempazado por e agortmo A"? (Advanced "ncrypton ?tandard,
tambn conocdo como 'i.ndael), sgue sendo estndar para as tar|etas de crdto y
operacones de comerco eectrnco.
685
URL: http://es.wkpeda.org/wk/Trpe_DES
74.+.4. Acerca de E.5I[.
74.+.5. Acerca de 0pen??.
Corporaton.
74.+.6. Acerca de modUssl.
;odUssl es un mduo para e servdor HTTP Apache, e cua provee soporte para SSL versones 2
y 3 y TLS versn 1. Es una contrbucn de Raf S. Engescha, dervado de traba|o de Ben Laure.
URL: http://www.apache-ss.org/ y http://httpd.apache.org/docs/2.2/mod/mod_ss.htm
74.*. 'e#uisitos.
Es necesaro dsponer de una dreccn IP pbca para cada sto de red vrtua que se quera
confgurar con soporte ??/A?. Debdo a a naturaeza de os protocoos ?? y A?, es
mposbe utzar mtpes anftrones vrtuaes con soporte ??/A? utzando una msma
dreccn IP. Cada certfcado utzado requerr una dreccn IP ndependente en e anftrn
vrtua.
E paquete modUssl nstaa e archvo >etc>$ttpd>conf.d>ssl.conf, msmo que es nnecesaro
modfcar s se utzan archvos de ncusn, con extensn *.conf, dentro de drectoro
>etc>$ttpd>conf.d>. sto se recomenda a fn de preservar a confguracn predetermnada y
poder dsponer de sta, brndando un punto de retorno en e caso de que aguna confguracn
dese probemas, mtndose soo a modfcar os parmetros de archvo ss.conf para confgurar
as rutas de certfcado y frma dgta.
74.3. "#uipamiento lgico necesario.
74.3.+. &nstalacin a travs de yum.
S se utza de Cent0? o ben 'ed Fat "nterprise inu2, e|ecute o sguente:
686
yum !y install mod/ssl
74.4.+. @enerando firma digital y certificado.
Acceda a sstema como e usuaro root.
cd /etc/pki/tls
En caso de que exsteran prevamente, debe emnar os archvos certs>dominio.tld.crt,
certs>dominio.tld.crs, private>dominio.tld.Oey y private>dominio.tld.pem.
rm !" certs/dominio#tld#crt private/dominio#tld#key
rm !" certs/dominio#tld#csr private/dominio#tld#pem
Se debe crear una cave con agortmo '?A de 2048 octetos y estructura 25I[, a cua se cfra
utzado Ariple D"? (Data "ncrypton ?tandard), amacenado en formato ="; de modo que sea
nterpretabe como texto ASCII. se soctar una cave de acceso para asgnar a a frma dgta,
por o que se recomienda utili9ar una muy !uena clave de acceso, a cua, mentras ms
compcada y dfc sea, me|or.
openssl genrsa !des@ !out 'r%*#$e;-o<%n%o.$)-.8ey 8%46
S se utza este archvo (domno.td.key) para a confguracn de anftrn vrtua, se requerr
de nteraccn de admnstrador cada vez que se tenga que ncar o rencar, e servco httpd,
ngresando a cave de acceso de a frma dgta. Este es e procedmento ms seguro, sn
embargo, debdo a que resutara poco prctco tener que ngresar una cave de acceso cada vez
que se nce e servco httpd, resuta ms convenente generar una frma dgta '?A, a cua
permta ncar normamente y sn nteraccn aguna, a servco httpd.
openssl rsa !in 'r%*#$e;-o<%n%o.$)-.8ey !out 'r%*#$e;-o<%n%o.$)-.'e<
E archvo dominio.tld.pem ser e que se especfque ms adeante como vaor de parmetro
??CertificateNey8ile en a confguracn de Apache.
A contnuacn, genere e archvo C?' (Certfcate ?gnng 'equest), e cua es e archvo de
soctud que se hace egar a una 'A ('egstraton Authorty o Autordad de Regstro), como
Jerisign, quenes, tras e correspondente pago, envan de vueta un certfcado (para ser
utzado como e archvo dominio.tld.crt) frmado por dcha autordad certfcadora.
openssl reJ !ne !key 'r%*#$e;-o<%n%o.$)-.8ey !out &er$s;-o<%n%o.$)-.&sr
Estado o provnca.
687
Cudad.
Undad o seccn.
Nombre de anftrn. Debe ser e nombre con e que se acceder haca e servdor y
dcho nombre deber estar resueto en un DNS. SI o desea, puede utzar tambn
Y.dominio.tld.
Dreccn de correo eectrnco vda de admnstrador de sstema.
De manera opcona se puede aadr otra cave de acceso y nuevamente e nombre
de a empresa. Poco recomendado, a menos que quera ngresar sta cada vez que
se nce o rence e servco $ttpd.
4hat you are about to enter is hat is called a &istinguished -ame or
a &-#
!!!!!
0rganiCational ?nit -ame (egB section) DE7&ireccion *omercial
*ommon -ame (egB your name or your serverXs hostname) DE7L.-o<%n%o.$)-
'mail 5ddress DE70eb<#s$erK-o<%n%o.$)-
=lease enter the "olloing XextraX attributes
to be sent ith your certi"icate reJuest
5 challenge passord DE7
5n optional company name DE7
S requere un certificado auto(firmado, en ugar de un certfcado frmado por un 'A, puede
generarse ste utzando e archvo de petcn C?' (domno.td.csr). En e e|empo a
contnuacn, se crea un certfcado con estructura X.509 en e que se estabece una vadez por
730 das (dos aos).
openssl x:%9 !reJ !days $@% !in certs/dominio#tld#csr !signkey private/dominio#tld#key !out
&er$s;-o<%n%o.$)-.&r$
Con a fnadad de que so e usuaro root pueda acceder a os archvos creados, se deben
cambar os permsos de stos a so ectura para root.
chmod 4%% private/dominio#tld#key private/dominio#tld#pem
chmod 4%% certs/dominio#tld#csr certs/dominio#tld#crt
74.4.*. Configuracin simple de Apac$e para un solo dominio.
Edte e archvo >etc>$ttpd>conf.d>ssl.conf:
vim /etc/httpd/con"#d/ssl#con"
688
Locace o sguente:
A Server *erti"icate7
A =oint SS2*erti"icate>ile at a ='. encoded certi"icate# )"
A the certi"icate is encryptedB then you ill be prompted "or a
A pass phrase# -ote that a kill !3?= ill prompt again# 5 ne
A certi"icate can be generated using the genkey(1) command#
SSLCer$%+%&#$eF%)e ;e$&;'8%;$)s;&er$s;)o&#)hos$.&r$
A Server =rivate Hey7
A )" the key is not combined ith the certi"icateB use this
A directive to point at the key "ile# Heep in mind that i"
A youXve both a RS5 and a &S5 private key you can con"igure
A both in parallel (to also allo the use o" &S5 ciphersB etc#)
SSLCer$%+%&#$e.eyF%)e ;e$&;'8%;$)s;'r%*#$e;)o&#)hos$.8ey
Cambe local$ost.crt y local$ost.Oey, por dominio.tld.crt y dominio.tld.pem:
A Server *erti"icate7
A =oint SS2*erti"icate>ile at a ='. encoded certi"icate# )"
A the certi"icate is encryptedB then you ill be prompted "or a
A pass phrase# -ote that a kill !3?= ill prompt again# 5 ne
A certi"icate can be generated using the genkey(1) command#
SSLCer$%+%&#$eF%)e ;e$&;'8%;$)s;&er$s;-o<%n%o.$)-.&r$
A Server =rivate Hey7
A )" the key is not combined ith the certi"icateB use this
A directive to point at the key "ile# Heep in mind that i"
A youXve both a RS5 and a &S5 private key you can con"igure
A both in parallel (to also allo the use o" &S5 ciphersB etc#)
SSLCer$%+%&#$e.eyF%)e ;e$&;'8%;$)s;'r%*#$e;-o<%n%o.$)-.'e<
A fn de que surtan efecto os cambos, es necesaro rencar e servco $ttpd.
Lo anteror deber de proceder sn soctar a cave de acceso de a frma dgta (a que asgn
cuando se creo dominio.tld.Oey). En caso contraro, sgnfca que estabec dominio.tld.Oey
como vaor de parmetro ??CertificateNey8ile en a confguracn de Apache.
74.4.3. Configuracin de Apac$e para m1ltiples dominios.
Omta e procedmento anteror.
Es mportante resatar que cada domno deber contar con su propa dreccn IP, pues e
protocoo HTTPS mpedr utzar ms de un certfcado por dreccn IP.
E prmer paso consste en crear a estructura de drectoros para e anftrn vrtua.
mkdir !p /var//-o<%n%o.$)-/ccgi!binBhtmlBlogsBetcd
De todos drectoros creados, so >var>RRR>dominio.tld>$tml, >var>RRR>dominio.tld>etc y
>var>RRR>dominio.tld>cgi(!in pueden pertenecer a un usuaro sn prvegos, quen
admnstrar este anftrn vrtua.
689
Crear e archvo >etc>$ttpd>conf.d>dominio.conf:
vim /etc/httpd/con"#d/dominio#con"
Adaptar a sguente panta como contendo de este archvo, donde a.!.c.d corresponde a una
dreccn IP y dominio.tld corresponde a nombre de domno a confgurar para e anftrn
vrtua:
AAA -o<%n%o.$)- AAA
-ame(irtual3ost #.b.&.-76%
b(irtual3ost #.b.&.-76%M
Server5dmin ebmaster[-o<%n%o.$)-
&ocumentRoot /var//-o<%n%o.$)-/html
Server-ame #-o<%n%o.$)-
Server5lias -o<%n%o.$)-
Redirect @%1 / https7//#-o<%n%o.$)-/
*ustom2og logs/-o<%n%o.$)-!access/log combined
'rrorlog logs/-o<%n%o.$)-!error/log
b/(irtual3ostM
-ame(irtual3ost #.b.&.-744@
b(irtual3ost #.b.&.-744@M
Server5dmin ebmaster[-o<%n%o.$)-
&ocumentRoot /var//-o<%n%o.$)-/html
Server-ame #-o<%n%o.$)-
Script5lias /cgi!bin/ /var//-o<%n%o.$)-/cgi!bin/
b&irectory ,/var//-o<%n%o.$)-/cgi!bin,M
SS20ptions UStd'nv(ars
b/&irectoryM
SS2'ngine on
SS2=rotocol all !SS2v8
SS2*ipherSuite 5227T5&37T'X=0R17TSS2v87R*4URS57U3)I37U.'&)?.7U204
SS2*erti"icate>ile /etc/pki/tls/certs/-o<%n%o.$)-#crt
SS2*erti"icateHey>ile /etc/pki/tls/private/-o<%n%o.$)-#pem
Set'nv)" ?ser!5gent ,#L.S)'#L, K
nokeepalive ssl!unclean!shutdon K
dongrade!1#% "orce!response!1#%
*ustom2og logs/-o<%n%o.$)-!ssl/reJuest/log K
,Wt Wh WcSS2/=R010*02dx WcSS2/*)=3'Rdx K,WrK, Wb,
'rrorlog logs/-o<%n%o.$)-!ssl/error/log
1rans"er2og logs/-o<%n%o.$)-!ssl/access/log
2og2evel arn
b/(irtual3ostM
A fn de que surtan efecto os cambos, es necesaro rencar e servco $ttpd.
Lo anteror deber de proceder sn soctar a cave de acceso de a frma dgta (a que asgn
cuando se creo dominio.tld.Oey). En caso contraro, sgnfca que estabec dominio.tld.Oey
como vaor de parmetro ??CertificateNey8ile en a confguracn de Apache.
74.4.4. Compro!acin.
690
So basta drgr cuaquer navegador HTTP haca $ttps->>RRR.dominio.tld> a fn de verfcar
que todo est traba|ando correctamente. Tras aceptar e certfcado, en e caso de que ste no
haya sdo frmado por un 'A, deber poderse observar un sgno en a barra de estado de
navegador, e cua ndca que se trata de una conexn segura.
74.4.5. ;odificaciones necesarias en el muro cortafuegos.
S se utza un cortafuegos, es necesaro abrr, adems de puerto 80 por TCP (FAA=), e puerto
443 por TCP (FAA=?).
S utza ?$oreRall, edte e archvo >etc>s$oreRall>rules:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 all " tcp 6%B44@
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
sguente mandato:
691
75. Configuracin de ?#uid- 0pciones !<sicas.
75.+. &ntroduccin.
75.+.+. Cu es ?ervidor &ntermediario P=ro2yQ?
E trmno en nges L=ro2yM tene un sgnfcado muy genera y a msmo tempo ambguo,
aunque nvarabemente se consdera un snnmo de concepto de L&ntermediarioM. Se suee
traducr, en e sentdo estrcto, como delegado o apoderado (e que tene poder sobre otro).
Un ?ervidor &ntermediario se defne como una computadora o dspostvo que ofrece un
servco de red que consste en permtr a os centes reazar conexones de red ndrectas haca
otros servcos de red. Durante e proceso ocurre o sguente:
1. Cente se conecta haca un ?ervidor =ro2y.
2. Cente socta una conexn, archvo u otro recurso dsponbe en un servdor
dstnto.
3. Servdor Intermedaro proporcona e recurso ya sea conectndose haca e servdor
especfcado o srvendo ste desde un cach.
4. En agunos casos e ?ervidor &ntermediario puede aterar a soctud de cente o
ben a respuesta de servdor para dversos propstos.
Los ?ervidores =ro2y generamente se hacen traba|ar smutneamente como muro
cortafuegos operando en e )ivel de 'ed, actuando como ftro de paquetes, como en e caso de
ipta!les o ben operando en e )ivel de Aplicacin, controando dversos servcos, como es e
caso de AC= ]rapper. Dependendo de contexto, e muro cortafuegos tambn se conoce como
B=D o Border =rotecton Devce o smpemente filtro de pa#uetes.
Una apcacn comn de os ?ervidores =ro2y es funconar como cach de contendo de Red
(prncpamente HTTP), proporconando en a proxmdad de os centes un cach de pgnas y
archvos dsponbes a travs de a Red en servdores HTTP remotos, permtendo a os centes de
a red oca acceder haca stos de forma ms rpda y confabe.
Cuando se recbe una petcn para un recurso de Red especfcado en un ,' (,nform
'esource ocator) e ?ervidor &ntermediario busca e resutado de ,' dentro de cach. S
ste es encontrado, e ?ervidor &ntermediario responde a cente proporconado
nmedatamente e contendo soctado. S e contendo soctado estuvera ausente en e cach,
e ?ervidor &ntermediario o traer desde servdor remoto, entregndoo a cente que o
soct y guardando una copa en e cach. E contendo en e cach es emnado uego a travs
de un agortmo de expracn de acuerdo a a antgedad, tamao e hstora de respuestas a
solicitudes (hts) (e|empos: ',, 8,DA y @D?8).
692
Los ?ervidores =ro2y para contendo de Red (Web Proxes) tambn pueden actuar como ftros
de contendo servdo, apcando potcas de censura de acuerdo a crteros arbtraros.
75.+.*. Acerca de ?#uid.
?#uid es un ?ervidor &ntermediario de ato desempeo que se ha vendo desarroando desde
hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os sstemas
operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y se
dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (@),>@=). Sendo equpamento
gco li!re, est dsponbe e cdgo fuente para quen as o requera.
Entre otras cosas, ?#uid puede funconar como ?ervidor &ntermediario y cac$ de contenido
de 'ed para os protocoos FAA=, 8A=, @0=F"' y ]A&?, Proxy de ??, cach transparente,
]]C=, aceeracn FAA=, cach de consutas DNS y otras muchas ms como ftracn de
contendo y contro de acceso por IP y por usuaro.
?#uid consste de un programa prncpa como servdor, un programa para bsqueda en
servdores D)?, programas opconaes para reescrbr soctudes y reazar autentcacn y
agunas herramentas para admnstracn y herramentas para centes. A ncar ?#uid da
orgen a un nmero confgurabe (5, de modo predetermnado a travs da opcn dnsUc$ildren)
de procesos de bsqueda en servdores D)?, cada uno de os cuaes reaza una bsqueda nca
en servdores D)?, reducendo a cantdad de tempo de espera para as bsquedas en
servdores D)?.
)ota.
?#uid carece de soporte para ser utili9ado como ?ervidor =ro2y para protocoos como ?;A=,
=0=3, A")"A, ??F, &'C, etc. S se requere ntermedar para cual#uier protocolo distinto a FAA=,
FAA=?, 8A=, @0=F"' y ]A&? se requerr mpementar obgatoramente un enmascaramento de IP o
)AA ()etwork Address Aransaton) o ben hacer uso de un servdor ?0CN? como Dante
(http://www.net.no/dante/).
URL: http://www.squd-cache.org/
Para poder evar a cabo os procedmentos descrtos en este y otros documentos reaconados,
se requere nstaar a menos o sguente:
A menos squd-2.5.STABLE6
Aodos os parches de segurdad dsponbes para a versn de sstema operatvo
que est utzando.
Un muro cortafuegos confgurado con system(config(fireRall, 8irestarter o
?$oreRall.
?#uid so se nstaa de manera predetermnada cuando se nstaa e grupo de paquetes
denomnado ?ervidor ]e!. E procedmento de nstaacn es exactamente e msmo que
con cuaquer otro equpamento gco.
693
S se utza Cent0? o 'ed FatG "nterprise inu2, e|ecute:
yum !y install sJuid
75.3. ?"inu2 y el servicio s#uid.
En Cent0? 6 y 'ed FatG "nterprise inu2 6, a potca s#uidUconnectUany vene habtada
de modo predetermnado. En Cent0? 5 y 'ed FatG "nterprise inu2 5, esta potca vene
deshabtada de modo predetermnado. Esta potca hace que SELnux permta a Squd aceptar
conexones de os centes desde cuaquer dreccn IP. S utza Cent0? 5 y 'ed FatG
"nterprise inu2 5, e|ecute:
setsebool != sJuid/connect/any 1
Para SELnux permta a Squd operar en modo transparente en Cent0? 6 y 'ed FatG
"nterprise inu2 6, e|ecute:
setsebool != sJuid/use/tproxy 1
)ota.
En Cent0? 5 y 'ed FatG "nterprise inu2 5, se pude utzar una potca adcona. Para que SELnux
permta a servco s#uid funconar normamente, hacendo que todo o anterormente descrto en esta
seccn perda sentdo, e|ecute:
setsebool != sJuid/disable/trans 1
75.4. Antes de continuar.
Evte de|ar espacios vacos en ugares ndebdos. E sguente e|empo muestra a manera
ncorrecta de habtar un opcn.
Ma
A 0pciPn %n&orre&$#<en$e habilitada#
h$$'_'or$ 6%6%
E sguente e|empo muestra a manera correcta de habtar un opcn.
Ben
A 0pciPn &orre&$#<en$e habilitada#
h$$'_'or$ 6%6%
75.5. Configuracin !<sica.
?#uid utza e archvo de confguracn ocazado en >etc>s#uid>s#uid.conf y podr traba|ar
sobre este utzando su edtor de texto smpe preferdo. Exsten un gran nmero de opcones, de
os cuaes recomendamos confgurar os sguentes:
A menos una ista de Control de Acceso
694
A menos una 'egla de Control de Acceso
http_port
cache_dr
error_drectory, so s va a personazar mensa|es de error.
E resto de os opcones menconados en este documento son, vaga a redundanca, opconaes.
Edte e archvo >etc>s#uid>s#uid.conf:
vim /etc/sJuid/sJuid#con"
75.5.+. Controles de acceso.
Parapoder controar e trfco de os centes haca Internet, es necesaro estabecer istas de
Control de Acceso que defnan una red o ben certos anftrones en partcuar. A cada sta se e
asgnar una 'egla de Control de Acceso que permtr o denegar e acceso a ?#uid.
75.5.+.+. istas de control de acceso.
De modo predetermnado en Cent0? 6 y 'ed FatG "nterprise inu2 6, Squd habta e
acceso a todas as redes ocaes, defndas en e RFC1918. Es decr, permte e acceso a
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, fc00::/7 y fe80::/10.
A 'xample rule alloing access "rom your local netorks#
A 5dapt to list your (internal) )= netorks "rom here brosing
A should be alloed
acl localnet src 1%#%#%#%/6 A R>*1916 possible internal netork
acl localnet src 1$8#16#%#%/18 A R>*1916 possible internal netork
acl localnet src 198#166#%#%/16 A R>*1916 possible internal netork
acl localnet src "c%%77/$ A R>* 419@ local private netork range
acl localnet src "e6%77/1% A R>* 4891 link!local (directly plugged) machines
Deshabte todo o anteror, coocando una amoada (# a nco de cada nea.
A 5dapt to list your (internal) )= netorks "rom here brosing
A should be alloed
A acl localnet src 1%#%#%#%/6 A R>*1916 possible internal netork
A acl localnet src 1$8#16#%#%/18 A R>*1916 possible internal netork
A acl localnet src 198#166#%#%/16 A R>*1916 possible internal netork
A acl localnet src "c%%77/$ A R>* 419@ local private netork range
A acl localnet src "e6%77/1% A R>* 4891 link!local (directly plugged) machines
Reguarmente una sta de contro de acceso se estabece con a sguente sntaxs:
acl Dnombre de la listaE src Dlo Jue compone a la listaE
S se desea estabecer una sta de contro de acceso que abarque a toda a red oca, basta
defnr a IP correspondente a a red y a mscara de a sub-red. Por e|empo, s se tene una red
donde os anftrones tenen dreccones de segmento IP 172.16.100.0/28, se puede utzar o
sguente:
695
acl localnet src 1$8#16#1%%#%/86
Tambn puede defnrse una ista de Control de Acceso especfcando un archvo ocazado
en cuaquer parte de dsco duro y a cua contene una sta de dreccones IP. E|empo:
acl permitidos src ,/etc/sJuid/listas/permitidos,
E archvo >etc>s#uid>listas>permitidos tendra un contendo smar a sguente:
1$8#16#1%%#1
1$8#16#1%%#8
1$8#16#1%%#@
1$8#16#1%%#1:
1$8#16#1%%#16
1$8#16#1%%#8%
1$8#16#1%%#4%
Lo anteror estara defnendo que a ista de Control de Acceso denomnada permitidos
estara compuesta por as dreccones IP ncudas en e archvo >etc>s#uid>listas>permitidos.
75.5.+.*. 'eglas de Control de Acceso.
Estas defnen s se permte o denega acceso haca ?#uid. Se apcan a as istas de Control de
Acceso. Deben coocarse en a seccn de regas de contro de acceso defndas por e
admnstrador, es decr, a partr de donde se ocaza a sguente eyenda:
A
A )-S'R1 <0?R 04- R?2'(S) 3'R' 10 52204 5**'SS >R0. <0?R *2)'-1S
A
La sntaxs bsca de una rega de contro de acceso es a sguente:
http/access Ddeny o alloE Dlista de control de accesoE
Para desactvar a confguracn predetermnada y poder utzar una dferente, ocace La nea
que ncuye $ttpUaccess alloR localnet:
A 5dapt localnet in the 5*2 section to list your (internal) )= netorks
A "rom here brosing should be alloed
h$$'_#&&ess #))o0 )o&#)ne$
http/access allo localhost
Deshabte esta nea coocando una amohada (# a nco de sta:
A 5dapt localnet in the 5*2 section to list your (internal) )= netorks
A "rom here brosing should be alloed
P h$$'_#&&ess #))o0 )o&#)ne$
696
En e sguente e|empo se consdera una rega que estabece acceso permtdo a ?#uid a a
ista de Control de Acceso denomnada permitidos:
http/access allo permitidos
Tambn pueden defnrse regas vandose de a expresn X, a cua sgnfca no. Pueden
defnrse, por e|empo, dos stas de contro de acceso, una denomnada lista+ y otra
denomnada lista*, en a msma rega de contro de acceso, en donde se asgna una expresn a
una de estas. La sguente estabece que se permte e acceso a ?#uid a o que comprenda
lista+ excepto aqueo que comprenda lista*:
http/access allo lista1 Tlista8
Este tpo de regas son tes cuando se tene un gran grupo de IP dentro de un rango de red a
que se debe permitir acceso y otro grupo dentro de a msma red a que se debe denegar e
acceso.
75.5.*. Aplicando istas y 'eglas de control de acceso.
Una vez comprenddo e funconamento de a Lstas y as Rega de Contro de Acceso, se procede
a determnar cuaes utzar para a confguracn.
75.5.*.+. Caso +.
Consderando como e|empo que se dspone de una red 172.16.100.0/28, s se desea defnr toda
a red oca, se utzara a sguente nea en a seccn de istas de Control de Acceso:
acl localnet src 1$8#16#1%%#%/86
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos
de sguente modo:
istas de Control de Acceso- definicin de una red local completa
A
A Recommended minimum con"iguration7
acl all src %#%#%#%/%
acl manager proto cache/obQect
acl localhost src 18$#%#%#1/6
#&) )o&#)ne$ sr& 37/.35.366.6;/8
A contnuacn se procede a apcar a rega de contro de acceso:
http/access allo localnet
Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar de modo
smar a sguente:
'eglas de control de acceso- Acceso a una ista de Control de Acceso.
697
A
A )-S'R1 <0?R 04- R?2'(S) 3'R' 10 52204 5**'SS >R0. <0?R *2)'-1S
A
h$$'_#&&ess #))o0 )o&#)ne$
http/access deny all
La rega $ttpUaccess alloR localnet permte e acceso a ?#uid a a ista de Control de
Acceso denomnada localnet, a cua, en e sguente e|empo, est conformada por
172.16.100.0/28. Esto sgnfca que cuaquer anftrn desde 172.16.100.1 hasta 172.16.100.14
podr acceder a ?#uid.
75.5.*.*. Caso *.
S so se desea permtr e acceso a ?#uid a certas dreccones IP de a red oca, deberemos
crear un archvo que contenga dcha sta. Genere e archvo >etc>s#uid>listas>localnet, dentro
de cua se ncurn so aqueas dreccones IP que desea confrmen a Lsta de Contro de
acceso. E|empo:
1$8#16#1%%#1
1$8#16#1%%#8
1$8#16#1%%#@
1$8#16#1%%#4
1$8#16#1%%#:
1$8#16#1%%#6
1$8#16#1%%#$
Denomnaremos a esta sta de contro de acceso como localnet:
acl localnet src ,/etc/sJuid/listas/localnet,
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos
de sguente modo:
istas de Control de Acceso- definicin de una red local completa
A
acl localhost src 18$#%#%#1/8::#8::#8::#8::
#&) )o&#)ne$ sr& ";e$&;s,>%-;)%s$#s;)o&#)ne$"
A contnuacn se procede a apcar a rega de contro de acceso:
Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar de modo
smar a sguente:
'eglas de control de acceso- Acceso a una ista de Control de Acceso.
698
A
A )-S'R1 <0?R 04- R?2'(S) 3'R' 10 52204 5**'SS >R0. <0?R *2)'-1S
A
h$$'_#&&ess #))o0 )o&#)ne$
La rega $ttpUaccess alloR localnet permte e acceso a ?#uid a a ista de Control de
Acceso denomnada localnet, a cua est conformada por as dreccones IP especfcadas en e
archvo >etc>s#uid>listas>localnet. Esto sgnfca que cuaquer anftrn excudo de archvo
>etc>s#uid>listas>localnet se e denegar e acceso a ?#uid.
75.5.3. 0pcin cac$eUmgr.
Esta opcn es de carcter nformatvo. De modo predetermnado, s ago ocurre con e cach,
como por e|empo que muera e procesos, se envar un mensa|e de avso a a cuenta
Re!master de servdor. Puede especfcarse una dstnta s acaso se consdera convenente.
cache/mgr QosepereC[midominio#net
75.5.4. 0pcin $ttpUport.
Esta opcn es utzado para ndcar e puerto a travs de cua escuchar petcones Squd. EL
vaor predetermnado es 3128, es decr, Squd escuchar petcones a travs de puerto 3128/tcp.
http/port @186
E puerto estndar desgnado para servdores de cach de Internet (webcache) es e puerto 8080.
http/port 6%6%
La opcn permte estabecer tambn s se quere utzar una dreccn IP en partcuar. Esto
aade mayor segurdad a servco, pues s se tene dos tar|etas de red, una con una dreccn IP
pbca y otra con una dreccn IP prvada, se puede estabecer que Squd soo permta
conexones desde a dreccn IP prvada.
http/port 198#166#6%#176%6%
S se necesta confgurar un servdor proxy en modo transparente, soo es necesaro aadr a
opcn intercept, msma que desde a versn 3.1 de Squd reempaza a a opcn transparent.
http/port 198#166#6%#176%6% %n$er&e'$
)ota.
Para confgurar un servdor proxy en modo transparente en CentOS 5 y Red Hat EnterprseLnux 5 y
versones anterores, utce a opcn transparent:
http/port 198#166#6%#176%6% $r#ns'#ren$
75.5.5. 0pcin cac$eUdir.
699
Esta opcn se utza para estabecer que tamao se desea que utce Squd para
amacenamento de cach en e dsco duro. De modo predetermnado Squd utzar e formato
ufs para crear en e drectoro >var>spool>s#uid un cach de 100 MB, dvddo en |erarquas de
16 drectoros subordnados, hasta 256 nvees cada uno:
cache/dir u"s /var/spool/sJuid 1%% 16 8:6
Se puede ncrementar e tamao de cach hasta donde o desee e admnstrador. Mentras ms
grande sea e cach, ms ob|etos se amacenarn en ste y por o tanto se consumr menos e
ancho de banda. La sguente nea estabece un cach de 2 GB:
cache/dir u"s /var/spool/sJuid /648 16 8:6
E formato de cache ufs puede egar a boquear e proceso prncpa de Squd en operacones de
entrada/sada sobre e sstema de archvos cuando hay muchos centes conectados. Para evtar
que esto ocurra, se recomenda utzar aufs, que utza e msmo formato de ufs, pero funcona
de manera asincr/nica, consgundose un me|or desempeo.
cache/dir #>+s /var/spool/sJuid 8%46 16 8:6
75.5.6. 0pcin ma2imumUo!.ectUsi9e.
Esta opcn se utza para defnr e tamao mxmo de os ob|etos en e cach. Se recomenda
estabecera en escenaros con ata carga de traba|o, puesto que permte evtar desperdcar
recursos de sstema amacenando en e cach ob|etos de gran tamao que probabemente so
sean aprovechados por unos pocos usuaros, optmzando e uso de cach con ob|etos pequeos
que de otro modo generaran una gran cantdad de petcones haca as redes pbcas. En e
sguente e|empo se estabece un mte de 48 MB para os ob|etos de cach.
maximum/obQect/siCe 46 .;
75.5.7. 0pciones cac$eUsRapUloR y cac$eUsRapU$ig$.
Es posbe reazar una mpeza automtca de cach de Squd cuando ste egue a certa
capacdad. La opcn cac$eUsRapUloR estabece e porcenta|e a partr de cua se comenzar a
mpar e cache. La opcn cac$eUsRapU$ig$ estabece e porcenta|e a partr de cua se
comenzar a mpar de manera agresva e cache. En e sguente e|empo se estabece que e
cache se comenza a mpar cuando acanza e 90% y se comenza a mpar de manera agresva
cuando acanza e 95%.
cache/sap/lo 9%
cache/sap/high 9:
Lo anteror permte tener un cach saludable que se mpa automtcamente. Se recomenda
utzar estas opcones en escenaros con ata carga de traba|o.
75.5.:. 0pcin cac$eUreplacementUpolicy.
A travs de esta opcn se ncuye soporte para os sguentes agortmos para e cach:
700
',
Acrnmo de east 'ecenty ,sed, que traduce como ;enos 'ecientemente ,tili9ado. En
este agortmo os ob|etos que fueron acceddos hace mucho tempo, son emnados prmero y
mantenendo sempre en e cach a os ob|etos ms recentemente soctados. ksta poltica es
la utili9ada por ?#uid de modo predeterminado.
8,DA
Acrnmo de east 8requenty ,sed wth Dynamc Agng, que se traduce como ;enos
8recuentemente ,tili9ado con "nve.ecimiento Din<mico. En este agortmo os ob|etos
ms soctados permanecen en e cach sn mportar su tamao optmzando a eficiencia (ht
rate) por octetos (Bytes) a expensas de a efcenca msma, de modo que un ob|eto grande que
se socte con mayor frecuenca mpedr que se pueda hacer cach de ob|etos pequeos que
se socten con menor frecuenca.
@D?8
Acrnmo de @reedyDua ?ze 8requency, que se traduce como 8recuencia de tamao
0reed'5ual (codicioso dual), que es e agortmo sobre e cua se basa @D?8. Optmza a
eficiencia (ht rate) por ob|eto mantenendo en e cach os ob|etos pequeos ms
frecuentemente soctados de modo que hay me|ores posbdades de ograr respuesta a una
solicitud (ht). Tene una efcenca por octetos (Bytes) menor que e agortmo 8,DA debdo
a que descarta de cach ob|etos grandes que sean soctado con frecuenca.
E agortmo recomendado y que ha demostrado me|or desempeo en escenaros de ata carga
de traba|o es LFUDA.
cache/replacement/policy heap 2>?&5
75.5.[. 0pcin cac$eUmem.
La opcn cac$eUmem estabece a cantdad dea de memora para o sguente:
Ob|etos en trnsto.
Ob|etos frecuentemente utzados (.ot).
Ob|etos negatvamente amacenados en e cach.
Los datos de estos ob|etos se amacenan en boques de 4 Kb. La opcn cac$eUmem especfca
un mte mxmo en e tamao tota de boques acomodados, donde os ob|etos en trnsto
tenen mayor prordad. Sn embargo os ob|etos frecuentemente utzados (.ot) y aqueos
negatvamente amacenados en e cach, podrn utzar a memora sn utzar hasta que esta
sea requerda. De ser necesaro, s un ob|eto en trnsto es mayor a a cantdad de memora
especfcada, ?#uid exceder o que sea necesaro para satsfacer a petcn.
De modo predetermnado, desde a versn 3.1 de Squd, se estabecen 256 MB, que es ms que
sufcente para as necesdades de redes de rea oca con pocos anftrones. Puede especfcar
una cantdad menor para obtener un me|or rendmento, pues convene utzar a memora
dsponbe para hacer cache en memora de muchos ob|etos pequeos que son frecuentemente
vstados, que hacer cache de unos pocos ob|etos grandes que so unos pocos usuaros
aprovecharn. En e sguente e|empo se estabecen 48 MB como mte de tamao para os
ob|etos en trnsto:
cache/mem 46 .;
)ota.
En CentOS 5 y Red Hat EnterprseLnux 5 y versones anterores, e vaor predetermnado de cac$eUmem
son 8 MB, por o cua puede ncrementar este vaor hasta donde se consdere pertnente.
cache/mem / MB
701
75.6. "sta!leciendo el idioma de los mensa.es mostrados por
?#uid $acia el usuario.
?#uid ncuye traduccn a dstntos domas de as dstntas pgnas de error e nformatvas que
son despegadas en un momento dado durante su operacn. Dchas traduccones se pueden
encontrar en >usr>s$are>s#uid>errors>. Desde a versn 3.0 de Squd, e doma se detecta
automtcamente a partr de navegador utzado por e usuaro. Es nnecesaro modfcar opcn
aguno, savo que se haya personazado os mensa|es, en cuyo caso convene utzar una ruta
dstnta a a de doma utzado para evtar se sobre-escrban os archvos despus de actuazar
e sstema.
)ota.
En CentOS 5 y Red Hat Enterprse Lnux 5 y versones anterores, e doma de os mensa|es de error se
estabece a travs da opcn errorUdirectory, cuyo vaor predetermnado es
>usr>s$are>s#uid>errors>"nglis$ y puede ser cambado por e vaor
>usr>s$are>s#uid>errors>?panis$:
error/directory /usr/share/sJuid/errors/Spanish
75.7. &niciandoH reiniciando y aadiendo el servicio al
arran#ue del sistema.
Una vez termnada a confguracn, para ncar por prmera vez ?#uid e|ecute:
service sJuid start
S necesta vover a cargar a confguracn para probar cambos reazados, sn detener e
servco, e|ecute:
service sJuid reload
S necesta rencar para probar cambos hechos en a confguracn, consderando que este
proceso puede egar a demorar agunos mnutos, e|ecute:
service sJuid restart
Para que ?#uid nce de manera automtca |unto con e sstema, e|ecute:
chkcon"ig sJuid on
Lo anteror habtar e servco s#uid en todos os nvees de e|ecucn.
75.:. Depuracin de errores
Cuaquer error a nco de ?#uid so sgnfca que hubo errores de sntaxs, errores de dedo o
ben se estn ctando ncorrectamente as rutas haca os archvos de as istas de Control de
Acceso.
702
Puede reazar dagnstco de probemas ndcndoe a ?#uid que vueva a eer confguracn, o
cua devover os errores que exstan en e archvo >etc>s#uid>s#uid.conf.
service sJuid re)o#-
Cuando se trata de errores graves que mpden ncar e servco, puede examnarse e contendo
de archvo >var>log>s#uid>s#uid.out con e mandato less, more o cuaquer otro vsor de texto:
tail !6% /var/log/sJuid/sJuid#out
75.[. ;odificaciones necesarias en el muro cortafuegos.
abrr e puerto 8080 por TCP (Re!cac$e), s se eg utzar e puerto 8080 en ugar de 3128.
La rega para e archvo >etc>s$oreRall>rules de ?$oreRall, que so permtr e acceso haca
?#uid desde a zona de red de rea oca, correspondera a ago smar a o sguente:
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
ACCE9T )o& +0 $&' 8686
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Para apcar os cambos en Shorewa, e|ecute:
75.[.+. 'e(direccionamiento de peticiones a travs de la opcin
'"D&'"CA en ?$oreRall.
La accn '"D&'"CA en ?$oreRall permte redrgr petcones haca protocoo FAA= para
haceras pasar a travs de ?#uid. En e sguente e|empo as petcones hechas desde a zona
que corresponde a a red oca sern redrgdas haca e puerto 8080 de cortafuegos, en donde
est confgurado ?#uid confgurado como ?ervidor =ro2y (Proxy) transparente.
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 loc " tcp 6%6%
RED?RECT )o& 8686 $&' 86
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
75.[.+.+. "2clusin de sitios en ?$oreRall.
En e caso de stos que se quera excur de ser utzados con Squd, es decr, stos
probemtcos, se puede confgurar en Shorewa que e acceso sea drecto, con una
confguracn smar a a de sguente e|empo, donde se excuye de pasar por Squd as
petcones drgdas a as redes 201.144.108.0/24 (IMSS.gob.mx) y 200.33.74.0/24 (SAT.gob.mx) y
se abre e paso drecto desde a red oca haca esta red:
703
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
5**'=1 loc " tcp 6%6%
R'&)R'*1 loc 6%6% tcp 6% - G/63.344.368.6;/4C/66..74.6;/4
ACCE9T )o& ne$1/63.344.368.6;/4 #))
ACCE9T )o& ne$1/66..74.6;/4 #))
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
75.[.*. 'e(direccionamiento de peticiones a travs de ipta!les.
Ba|o certas crcunstancas, se requerr tener sada transparente haca Internet para certos
servcos, pero a msmo tempo se necestar re-drecconar petcones haca servco FAA= para
pasar a travs de e puerto donde escucha petcones ?#uid, como proxy en modo transparente,
es decr e puerto 8080/tcp, de modo que se mpda a sada haca aguna haca servdores FAA=
en e exteror sn que sta pase antes por ?#uid. Nngn pro2y conocdo puede funconar en
modo transparente para os protocoos FAA=?, 8A=, @0=F"' n ]A&?, por o que dchos
protocoos tendrn que ser ftrados a travs de )AA.
E re-drecconamento se hace a travs de ipta!les. Consderando para este e|empo que a red
oca se accede a travs de una nterfaz eth1, e sguente esquema e|empfca un
re-drecconamento:
iptables !5 )-=?1 !m state !!state -'4 !m tcp !p tcp K
-% e$h3 !!dport 6%6% !Q 5**'=1
iptables !t nat !5 =R'R0?1)-I -% e$h3 !p tcp K
!!dport 6% !Q R'&)R'*1 !!to!port 6%6%
704
76. Configuracin de ?#uid- Acceso por
autenticacin
76.+. &ntroduccin.
Es muy t e poder estabecer un sstema de autentcacn para poder acceder haca Internet,
pues esto permte controar quenes s y quenes no accedern a Internet sn mportar desde que
mquna de a red oca o hagan. Sera de modo ta que tendremos un dobe contro, prmero por
dreccn IP y segundo por nombre de usuaro y contrasea.
Este documento consdera que se ha edo prevamente, a detae y en su totadad e documento
ttuado Confguracn de Squd: Servdor Proxy, y que ha confgurado extosamente Squd
como servdor proxy.
Para poder evar a cabo os procedmentos descrtos en este manua y documentos
reaconados, se necestar tener nstaado a menos o sguente:
squd-2.5.STABLE3
httpd-2.0.x (Apache) (opcona)
opendap-servers-2.2.x (opcona)
"ligiendo el mdulo de autenticacin.
Este manua consdera poder autentcar a travs de un archvo de texto smpe con contraseas
creadas con htpasswd o ben a travs de un servdor LDAP (una soucn ms robusta).
76.*.+. Autenticacin a travs del mdulo DA=.
Consderando que se ha confgurado extosamente OpenLDAP como servdor de autentcacn,
so se necesta defnr e drectoro (o subdrectoro) y e servdor LDAP a utzar.
La sntaxs utzada para squd_dap_auth es a sguente:
sJuid/ldap/auth !b ,&irectorio!a!utiliCar, servidor!ldap!a!utiliCar
E|empo:
705
sJuid/ldap/auth !b ,ou+=eopleBdc+dominioBdc+tld, 18$#%#%#1
Edte e archvo /etc/squd/squd.conf:
Aada a sguente confguracn, msma que consdera que squidTldapTaut se ocaza en
*usr*lib*squid*ncsaTaut:
auth/param basic program /usr/lib/sJuid/sJuid/ldap/auth !b ,ou+=eopleBdc+dominioBdc+tld, 18$#%#%#1
Lo anteror conecta a drectoro dc=su-red-oca,dc=td en e servdor LDAP en 127.0.0.1.
76.*.*. Autenticacin a travs del mdulo )C?A
Squd puede utzar e mduo ncsaTaut, de a NCSA (Natona Center for Supercomputng
Appcatons) y que ya vene ncudo como parte de paquete prncpa de Squd en a mayora de
as dstrbucones actuaes. Este mduo provee una autentcacn muy senca a travs de un
archvo de texto smpe cuyas contraseas fueron creadas con htpasswd.
76.*.*.+. Creacin del arc$ivo de contraseas.
Se requerr a creacn preva de un archvo que contendr os nombres de usuaros y sus
correspondentes contraseas (cfradas). E archvo puede ocazarse en cuaquer ugar de
sstema, con a nca condcn que sea aseqube para e usuaro squid.
Debe procederse a crear un archvo *etc*squid*claves:
touch /etc/sJuid/claves
Savo que vaya a utzarse un gun a travs de servdor web para admnstrar as contraseas,
como medda de segurdad, este archvo debe tener atrbutos de ectura y escrtura so para e
usuaro squid:
chmod 6%% /etc/sJuid/claves
chon sJuid7sJuid /etc/sJuid/claves
A contnuacn deberemos dar de ata as cuentas que sean necesaras, utzando e mandato
tpass(d <mismo que viene incluido en el paquete ttpd<L.J.4<. E|empo:
htpassd /etc/sJuid/claves QosepereC
Lo anteror soctar tecear una nueva contrasea para e usuaro joseperez y confrmar
teceando sta de nuevo. Repta con e resto de as cuentas que requera dar de ata.
Todas as cuentas que se den de ata de este modo son ndependentes a as ya exstentes en e
sstema. A dar de ata una cuenta o cambar una contrasea o estar hacendo
"EC,?&JA;")A" para e acceso a servdor Proxy. Las cuentas son ndependentes a as que
se tengan exstentes en e sstema como seran sell, correo y Samba.
706
Lo sguente ser especfcar que programa de autentcacn se utzar. Locace a seccn que
corresponde a a etqueta autTparam basic program. De modo predetermnado esta opcn
vene desactvada y carece de vaores. Consderando que ncsaTaut se ocaza en
*usr*lib*squid*ncsaTaut, se a aade o sguente:
auth/param basic program /usr/lib/sJuid/ncsa/auth /etc/sJuid/claves
*usr*lib*squid*ncsaTaut corresponde a a ocazacn de e programa para autentcar y
especfcando como argumento e archvo*etc*squid*claves, e cua corresponde a que contene
os nombres de usuaro y sus respectvas contraseas.
76.3. istas y reglas de control de acceso.
se debe especfcar una sta de contro de acceso denomnada pass(d a cua se confgurar
para utzar de modo obgatoro a autentcacn para poder acceder a Squd. Debe ocazarse a
seccn de %istas de #ontrol de Acceso y aadrse a sguente nea:
acl passord proxy/auth R'_?)R'&
Habendo hecho o anteror, debe haber ago smar a o sguente en a seccn de %istas de
#ontrol de Acceso:
A
acl localnet src 198#166#1#%/84
#&) '#ss0or- 'roEy_#>$h RETU?RED
Se procede entonces a modfcar a rega de contro de accesos que ya se tena para permtr e
acceso a Internet. Donde antes estaba o sguente:
Se aade pass(d, a defncn de a %ista de #ontrol de Acceso que requere utzar contrasea a
a rega actua, de modo que quede como se muestra a contnuacn:
http/access allo localnet passord
Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar de sguente
modo:
707
A
A )-S'R1 <0?R 04- R?2'(S) 3'R' 10 allo 5**'SS >R0. <0?R *2)'-1S
A
h$$'_#&&ess #))o0 )o&#)ne$ '#ss0or-
76.3.+. 8inali9ando procedimiento.
Fnamente, so bastar recargar a confguracn de Squd para que tomen efecto os cambos y
se puedan reazar pruebas.
708
77. Configuracin de ?#uid- 'estriccin de
acceso a ?itios de &nternet.
77.+. &ntroduccin.
Denegar e acceso a certos Stos de Red permte hacer un uso ms racona de ancho de banda
con e que se dspone. E funconamento es verdaderamente smpe y consste en denegar e
acceso a nombres de domno o dreccones de Internet que contengan patrones en comn.
como servdor proxy.
77.*. 'estriccin por e2presiones regulares.
Se debe crear un archvo donde se defnr a sta de expresones reguares.
vim /etc/sJuid/listas/expreg!denegadas
Esta sta puede contener cuaquer expresn reguar que se consdere sea usuamente utzadas
en as dreccones de certos stos.
adult
celebri
mp@
otrositioindeseable#com
playstation
porn
sex
sitioindeseable#com
taringa
torrent
areC
ii
Esta sta, a cua deber ser competada con todas as paabras (muchas de ests son paabras
obscenas en dstntos domas) y dreccones de Internet que e admnstrador consdere
pertnentes, a guardaremos como *etc*squid*listas*e4preg<denegadas.
709
Aada una sta de contro, denomnada expreg-denegadas, de acceso tpo ur_regex
(expresones reguares de URL), que defna a a sta en e archvo
/etc/squd/stas/expreg-denegadas:
acl expreg!denegadas url/regex ,/etc/sJuid/listas/expreg!denegadas,
Habendo hecho o anteror, deberemos tener en a seccn de %istas de #ontrol de Acceso ago
smar a o sguente:
A
#&) eE'reg--eneg#-#s >r)_regeE ";e$&;s,>%-;)%s$#s;eE'reg--eneg#-#s"
A contnuacn especfcaremos modfcaremos una @egla de #ontrol de Acceso exstente
agregando con un smboo de U que se denegar e acceso a a %ista de #ontrol de Acceso
denomnada e4preg<denegadas:
http/access allo localnet Texpreg!denegadas
La rega anteror permte e acceso a a %ista de #ontrol de Acceso denomnada localnet, pero e
nega e acceso a todo o que concda con o especfcado en a %ista de #ontrol de Acceso
denomnada e4preg<denegadas.
E|empo apcado a una @egla de #ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Confguracn de Squd: Acceso por Autentcacn:
Regas de contro de acceso: denegacn de stos.
A
A
h$$'_#&&ess #))o0 )o&#)ne$ '#ss0or- GeE'reg--eneg#-#s
77.3. 'estriccin por e2presiones regulares.
Para restrngr e acceso por domnos, se crea un archvo con sta con domnos.
vim /etc/sJuid/listas/dominios!denegados
Los nombres pueden ser nombres de domno especfcos:
710
#"acebook#com
#titter#com
plus#google#com
O ben puede defnrse todo e domno competo, ncuyendo sub-domnos:
#"acebook#com
#titter#com
)ota.
S defne .domno.com, es nnecesaro defnr www.domno.com o ma.domno.com o ftp.domno.com,
etc., pues todos son subdomnos de .domno.com:
O ben se pueden defnr domnos de nve superor genrcos o geogrfcos.
#co#Qp
#com#cn
#im
#tv
#xxx
O ben una combnacn de todo o anteror.
#co#Qp
#com#cn
#"acebook#com
plus#gogle#com
#tv
#titter#com#im
#xxx
Edte e archvo /etc/squd/squd.conf.
Aada una sta de contro, denomnada domnos-denegados, de acceso tpo dstdoman
(domnos de destno), que defna a a sta en e archvo /etc/squd/stas/domnos-denegados.
acl dominios!denegados dstdomain ,/etc/sJuid/listas/dominios!denegados,
Aada una rega de contro de acceso que denegue e acceso a stos que estn ncudos en a
sta de domnos.
http/access allo localnet Texpreg!denegadas Tdominios!denegados
77.3.+. =ermitiendo acceso a sitios inocentes incidentalmente
!lo#ueados.
S por e|empo, e ncur una expresn reguar en partcuar, en a sta de expresones reguares
denegadas, afecta ncdentamente e acceso a un sto de Internet en partcuar, tambn puede
generarse una sta de domnos que sern excudos de as restrccones.
711
Utce e edtor de texto para crear e archvo /etc/squd/domnos-nocentes.
vim /etc/sJuid/dominios!inocentes
E contendo puede ser una sta de domnos o ben domnos de nve superor, que se consdere
deban ser acceddos por a red oca en cuaquer momento y sn restrccones.
#alcancelibre#org
#edu
#edu#mx
#eluniversal#com#mx
#gob#mx
#gov
#milenio#com
#org
#org#mx
#unam#mx
#google#com
#google#com#mx
Este archvo ser defndo en una %ista de #ontrol de Acceso de msmo modo en que se hzo
anterormente con e archvo que contene domnos y paabras denegadas.
acl dominios!inocentes dstdomain ,/etc/sJuid/dominios!inocentes,
Para hacer uso de e archvo, so bastar utzar a expresn X en a msma nea utzada para
a @egla de #ontrol de Acceso estabecda para denegar e msmo.
http/access allo all dominios!inocentes
La rega anteror especfca que se permtr e bre acceso, en todo momento, a os domnos
ncudos en a sta de contro de acceso denomnada dominios<inocentes.
77.3.*. 8inali9ando procedimiento.
712
7:. Configuracin de ?#uid- 'estriccin de
acceso a contenido por e2tensin.
7:.+. &ntroduccin.
Denegar e acceso a certos tpos de extensones de archvo permte hacer un uso ms racona
de ancho de banda con e que se dspone. E funconamento es verdaderamente smpe y
consste en denegar e acceso a certos tpos de extensones que concdan con o estabecdo en
una %ista de #ontrol de Acceso.
como servdor proxy.
7:.*. Definiendo elementos de la ista de Control de Acceso.
Lo prmero ser generar una sta a cua contendr dreccones de Internet y paabras
usuamente utzadas en nombres de certos domnos. E|empos:
713
K#aviF
K#mp4F
K#mp@F
K#mp4F
K#mpgF
K#mpegF
K#movF
K#raF
K#ramF
K#rmF
K#rpmF
K#vobF
K#maF
K#mvF
K#avF
K#docF
K#xlsF
K#mbdF
K#pptF
K#ppsF
K#aceF
K#batF
K#exeF
K#lnkF
K#pi"F
K#scrF
K#sysF
K#CipF
K#rarF
Esta sta, a cua deber ser competada con todas as extensones de archvo que e
admnstrador consdere pertnentes, a guardaremos como *etc*squid*listas*e4tensiones.
Se debe defnr una %ista de #ontrol de Acceso que a su vez defna a archvo
*etc*squid*listas*e4tensiones. Esta sta a denomnaremos como Ke4tensionesK. De modo ta, a
nea correspondente quedara de sguente modo:
acl extensiones urlpath/regex ,/etc/sJuid/listas/extensiones,
Habendo hecho o anteror, se debe aadr en a seccn de %istas de #ontrol de Acceso ago
smar a o sguente:
A
acl expregs url/regex ,/etc/sJuid/listas/expregs,
#&) eE$ens%ones >r)'#$h_regeE ";e$&;s,>%-;)%s$#s;eE$ens%ones"
714
A contnuacn especfcaremos modfcaremos una @egla de #ontrol de Acceso exstente
agregando con un smboo de U que se denegar e acceso a a %ista de #ontrol de Acceso
denomnada e4tensiones:
http/access allo localnet Textensiones
La rega anteror permte e acceso a a %ista de #ontrol de Acceso denomnada localnet, pero e
nega e acceso a todo o que concda con o especfcado en a %ista de #ontrol de Acceso
denomnada e4tensiones.
E|empo apcado a una @egla de #ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn y e de denegacn
haca Sto de Red expcado en e documento Cmo confgurar Squd: Restrccn de acceso a
Sto de Red:
Regas de contro de acceso: denegacn de extensones.
A
A
h$$'_#&&ess #))o0 )o&#)ne$ '#ss0or- GeE'regs GeE$ens%ones
7:.*.+. 8inali9ando procedimiento.
715
7[. Configuracin de ?#uid- 'estriccin de
acceso por $orarios.
7[.+. &ntroduccin.
Denegar e acceso a certos en certos horaros permte hacer un uso ms racona de ancho de
banda con e que se dspone. E funconamento es verdaderamente smpe y consste en denegar
e acceso en horaros y das de a semana.
como servdor proxy.
7[.*. =rocedimientos
La sntaxs para crear %istas de control de acceso que defnan horaros, es a sguente:
acl Dnombre del horarioE time Ddfas de la semanaE hh7mm!hh7mm
Los das de a semana se defnen con etras, as cuaes corresponden a a prmera etra de
nombre en ng, de modo que se utzarn de sguente modo:
? - Domngo
; - Lunes
A - Martes
] - Mrcoes
F - |ueves
8 - Vernes
A - Sbado
E|empo:
acl semana time .143> %97%%!817%%
716
Esta rega defne a a sta semana, a cua comprende un horaro de 09:00 a 21:00 horas desde e
Lunes hasta e Vernes.
Este tpo de stas se apcan en as @eglas de #ontrol de Acceso con una mecnca smar a a
sguente: se permte o denega e acceso en e horaro defndo en a %ista de #ontrol de Acceso
denomnada A para as entdades defndas en a %ista de #ontrol de Acceso denomnada H. Lo
anteror expresado en una @egla de #ontrol de Acceso, quedara de sguente modo:
http/access Dallo N denyE Dnombre del horarioE Dlista de entidadesE
E|empo: Se quere estabecer que os membros de a %ista de #ontrol de Acceso denomnada
localnet tengan permtdo acceder haca Internet en un horaro que denomnaremos como
matutino y que comprende de unes a vernes de 09:00 a 15:00 horas.
La defncn para e horaro correspondera a:
acl matutino time .143> %97%%!1:7%%
La defncn de a @egla de #ontrol de Acceso sera:
http/access allo matutino localnet
Lo anteror, en resumen, sgnfca que quenes conformen localnet podrn acceder a Internet de
Lunes a Vernes de 09:00-15:00 horas.
7[.*.+. ;<s e.emplos.
7[.*.+.+. 'estringiendo el tipo de contenido.
es posbe denegar acceso a certo tpo de contendo de acuerdo a su extensn. Se requere una
%ista de #ontrol de Acceso y una @egla de #ontrol de Acceso
S se necesta una sta denomnada e4tensiones que defna a todos os archvos con
extensn .mp3, utzaramos o sguente:
acl extensiones urlpath/regex K#mp@F
S queremos denegar e acceso a todo contendo con extensn .mp3, a rega quedara de
sguente modo:
http/access allo localnet Textensiones
7[.*.+.*. Com!inando reglas de tiempo y contenido.
S por e|empo queremos restrngr parcamente e acceso a certo tpo de contendo a certos
horaros, pueden combnarse dstntos tpos de regas.
717
acl matutino time .143> %97%%!1:7%%
acl extensiones urlpath/regex #mp@F
http/access allo matutino localnet Textensiones
La @egla de #ontrol de Acceso anteror especfca acceso permitido, en e horaro defndo como
matutino, a quenes ntegran a %ista de #ontrol de Acceso denomnada localnet, para acceder
haca todo tpo de contendo, e2cepto a os contendos que concdan con os defndos en a
%ista de #ontrol de Acceso denomnada e4tensiones.
7[.*.*. 8inali9ando procedimiento.
718
:I. Cmo configurar s#uid con soporte para
direcciones ;AC.
ma uso de stos.
:I.+. &ntroduccin.
:I.+.+. Acerca de ?#uid.
?#uid es un ?ervidor &ntermediario (?ro4y) de ato desempeo que se ha vendo desarroando
desde hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os
sstemas operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst
y se dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (@),>@=). Sendo
equpamento gco li!re, est dsponbe e cdgo fuente para quen as o requera. de modo
predetermnado no est ncudo e soporte para stas de contro de acceso basadas sobre
dreccones ;AC (;eda Access Contro).
:I.*. "#uipamiento lgico necesario.
:I.*.+. &nstalacin a travs de yum.
A partr de CentOS 5.6 y Red Hat Enterprse Lnux 5.6, e paquete de Squd ya ncuye soporte
para dreccones MAC. Soo es necesaro e|ecutar o sguente:
yum !y install sJuid
:I.3. =rocedimientos
Este documento consdera que se ha edo a detae e documento #/mo configurar $quid)
?armetros bsicos para servidor de intermediaci/n B?ro4yD. Se requere se hayan confgurado
a menos os sguentes parmetros:
$ttpUport, e|empo: http/port 6%6% transparent
cac$eUdir, e|empo: cache/dir u"s /var/spool/sJuid 1%84 16 8:6
errorUdirectory, e|empo: error/directory /usr/share/sJuid/errors/Spanish
Se requere adems determnar os vaores as sguentes varabes que debern ser
reempazadas por datos reaes:
719
Las dreccones ;AC especfcadas en os e|empos.
as dreccones ;AC de todos os equpos de a A) se pueden obtener, s se est
reazando as operacones desde un servdor que srve de puerta de enace, utzando e
mandato arp con a opcn -n, es decr: arp (n.
Aternatvamente, a dreccn ;AC desde una estacn traba|o con Wndows se puede
obtener a dreccn ;AC utzando e mandato ipconfig con a opcn /all: ipcon"ig /all
Aternatvamente, a dreccn ;AC desde una estacn traba|o con Lnux se puede
obtener a dreccn ;AC utzando e mandato ifconfig.
Arc$ivo >etc>s#uid>listas>macsredlocal.
Crear un archvo denomnado /etc>s#uid>listas>macsredlocal
vi /etc/sJuid/listas/macsredlocal
Donde e contendo ser una sta de dreccones ;AC a a cua se apcarn regas de contro de
acceso. E|empo:
%%7%176%74179*765
%%7%675176471675&
%%7167'@79&7*&7$$
%%7%47$:75578&751
%%7197&876;74174:
%%71@71%76&7457''
%%71978171479;7%&
:I.3.+. Arc$ivo >etc>s#uid>s#uid.conf
Se edta e archvo /etc>s#uid>s#uid.conf:
vi /etc/sJuid/sJuid#con"
En ste se debe confgurar a sta de contro de acceso con un nombre que a dentfque y
dference caramente de as dems stas, asgnado e tpo de sta como arp. En e sguente
e|empo, se crea a sta de contro de acceso denomnada macsredlocal de tpo arp y cuyos
eementos que a conforman estn en e archvo /etc>s#uid>listas>macsredlocal:
acl macsredlocal arp ,/etc/sJuid/listas/macsredlocal,
Se crea una rega de contro de acceso que permta a os membros de a sta de contro de
acceso hacer ago. En e sguente e|empo se defne que est permtdo e acceso a a sta
macsredlocal:
http/access allo macsredlocal
720
S se creo aguna sta para mtar e acceso haca paabras y otra para extensones, como se
descrbe en os documentos #/mo configurar $quid) @estricci/n de acceso a $itios de @ed y
#/mo configurar $quid) @estricci/n de acceso a contenido por e4tensi/n, a rega de contro de
acceso podra quedar de a sguente manera:
http/access allo macsredlocal Tporno Textensiones
S adems se creo aguna sta para mtar os horaros de acceso, como se descrbe en e
documento #/mo configurar $quid) @estricci/n de acceso por orarios, a rega de contro de
acceso podra quedar de a sguente manera:
http/access allo matutino macsredlocal Tporno Textensiones
Cuaquer otra forma de utzar a sta de contro de acceso con dreccones ;AC depender de
a magnacn de admnstrador.
:I.4. &niciarH detener y reiniciar el servicio s#uid.
Para e|ecutar por prmera vez e servco s#uid con as confguracones creadas, utce:
service sJuid start
service sJuid restart
Para detener e servco s#uid utce:
service sJuid stop
Para hacer que e servco de s#uid est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4 y 5), se utza o sguente:
chkcon"ig sJuid on
721
:+. Configuracin de ?#uid- Cac$s en
.erar#ua.
:+.+. &ntroduccin.
Coocar cachs en |erarqua en redes grandes donde hay mtpes servdores proxy, ayuda a
ahorrar y aprovechar me|or os recursos.
:+.+.+. =rocedimientos
E parmetro cache_peer se utza para especfcar otros ?ervidores =ro2y con cach en una
|erarqua como padres o como $ermanos. Es decr, defnr s hay un ?ervidor &ntermediario
adeante o en paraeo. La sntaxs bsca es a sguente:
cache/peer servidor tipo http/port icp/port opciones
Edte e archvo >etc>s#uid>s#uid.conf:
S e cach va a estar traba|ando detrs de otro servdor cache, es decr un cach padre y
consderando que e cach padre tene una IP 172.16.100.1, escuchando petcones FAA= en e
puerto 8080 y petcones ICP en puerto 3130 Ppuerto utili9ado de modo predeterminado por
?#uidQ, especfcando que se omta amacenar en cach os ob|etos que ya estn presentes en e
cach de ?ervidor &ntermediario padre, utce a sguente nea:
cache/peer 1$8#16#1%%#1 parent 6%6% @1@% proxy!only
Cuando se traba|a en redes muy grandes donde exsten varos Servdores Intermedaros (Proxy)
hacendo cach de contendo de Internet, es una buena dea hacer traba|ar todos os cach entre
s. Confgurar caches vecnos como si!ling (hermanos) tene como benefco e que se
consutarn estos caches ocazados en a red oca antes de acceder haca Internet y consumr
ancho de banda para acceder haca un ob|eto que ya podra estar presente en otro cach vecno.
".emplo- S e cach va a estar traba|ando en paraeo |unto con otros caches, es decr caches
hermanos y consderando os caches tenen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1, todos escuchando
petcones FAA= en e puerto 8080 y petcones ICP en puerto 3130, especfcando que se omtr
se amacenen en cach os ob|etos que ya estn presentes en os caches hermanos, utce as
sguentes neas:
722
cache/peer 1%#1#%#1 sibling 6%6% @1@% proxy!only
cache/peer 1%#@#%#1 sibling 6%6% @1@% proxy!only
Pueden hacerse combnacones que de manera ta que se podran tener caches padres y
hermanos traba|ando en con|unto en una red oca. E|empo:
cache/peer 1%#%#%#1 parent 6%6% @1@% proxy!only
cache/peer 1%#@#%#1 sibling 6%6% @1@% proxy!only
En os casos anterores, a resoucn de nombres se hace de manera oca. S se desea hacer que
a resoucn de nombres se reace en e servdor padre, se puede utzar ago smar a o
sguente:
cache/peer 1%#%#%#1 parent 6%6% @1@% no!Juery no!digest de"ault
Para apcar os cambos en Squd, e|ecute:
service sJuid re)o#-
723
:*. Configuracin de ]=AD
:*.+. &ntroduccin.
Gracas a que una gran cantdad de stos de Internet ahora funconan a travs de HTTPS, resuta
poco prctco confgurar servdores ntermedaros (proxes) en modo transparente, pues stos
soo permten e modo transparente para e protocoo HTTP (puerto 80/TCP), obgando a os
admnstradores de redes de rea oca a confgurar a sada de protocoo HTTPS (puerto
443/TCP) a travs de NAT en e muro cortafuegos.
Una forma de enfrentar e probema y poder controar y ftrar a actvdad de os usuaros a
travs de HTTPS, es ovdarse de modo transparente de Squd y utzar una confguracn
manua de servdor proxy. Sn embargo, sto representara una enorme cantdad de traba|o para
os admnstradores de redes de rea oca, quenes tendran que pasar anftrn por anftrn a
reazar a confguracn. sta, sn embargo, se puede automatzar anuncando sta a travs de
servdores DHCP y servdores DNS, utzando ]=AD.
Emnar a confguracn de proxy en modo trasparente y utzar en su ugar e mtodo descrto
en este documento, combnado con una confguracn de proxy-cache que permta e acceso
haca Internet utzando so a una sta banca y e cerre de a sada por NAT haca e puerto
443, adems de permtr !lo#uear servcos como 8ace!ooO, permte tambn !lo#uear de
manera efcente programas como ,ltrasurf y Zour 8reedom.
:*.+.+. Acerca de ]=AD.
]=AD (]eb =roxy Auto-Dscovery protoco) es un mtodo utzado por os centes de
servdores Proxy para ocazar e URI de un archvo de confguracn, vandose de mtodos de
descubrmento a travs de DHCP y DNS.
Los centes descargan y e|ecutan un archvo, que debe denomnarse Rpad.dat, utzando e
formato de auto-confguracn de proxy (=AC, =roxy Auto-Confg) dseado por Netscape en
1996 para Netscape Navgator 2.0.
E !orrador de protocoo ]=AD, e cua expr en 1999, fue eaborado por un consorco de
empresas que ncuan a Inktom Corp., Mcrosoft, Rea Networks Inc. y Sun Mcrosystems Inc. A
pesar de tratarse de un !orrador #ue $a e2pirado, a mayora de os navegadores modernos
ncuyen soporte para este protocoo.
:*.*. =rocedimientos.
724
Este documento asume que se tene confgurado un servdor proxy-cache con Squd, un servdor
DHCP y un servdor DNS. Por favor, cambe todos os vaores resaltados en e procedmento por
aqueos que correspondan a escenaro de su red de rea oca.
:*.*.+. "#uipamiento lgico necesario.
Instae Apache en e servdor que utce como muro cortafuegos/proxy.
yum !y install httpd
Ince e servco $ttpd.
service httpd start
Para que e servco $ttpd nce |unto con e sstema, e|ecute o sguente:
chkcon"ig httpd on
:*.*.*. A.ustes en el muro cortafuegos.
Es necesaro abrr en e muro cortafuegos e puerto 80 por TCP (FAA=) para a red de rea oca.
Se asume que ya estn abertos os puertos correspondentes a resto de os servcos
nvoucrados, es decr os puertos 67 (bootps), 68 (bootpc) y 53 (doman) por TCP y UDP.
:*.*.*.+. ?$oreRall.
Edte e archvo e archvo >etc>s$oreRall>rules:
Emne a confguracn de pro4y transparente deshabtando as regas correspondentes a a
sada desde a zona correspondente a a red de rea oca haca os puertos 20 (ftp-data), 21
(ftp) y 443 (https) en a zona correspondente a a red pbca y a rega que redrge haca e
puerto 8080 (webcache) as petcones desde a red de rea oca haca e puerto 80 (http):
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
PACCE9T )o& ne$ $&' /6C/3C44
PRED?RECT )o& 8686 $&' 86
A
Asumendo que Squd escucha petcones en e puerto 8080 y que so se permtrn conexones
desde a red de rea oca, a rega que habta e acceso desde a red de rea oca haca os
puertos 8080 (webcache) y 80 (http) de muro cortafuegos correspondera a ago smar a o
sguente:
725
A5*1)0- S0?R*' &'S1 =R010 &'S1 S0?R*'
A =0R1 =0R1(S)1
A5**'=1 loc net tcp 8%B81B44@
AR'&)R'*1 loc 6%6% tcp 6%
A
ACCE9T )o& +0 $&' 86C8686
:*.*.*.*. ?ervicio ipta!les.
Asumendo que Squd escucha petcones en a puerto 8080 y que a red de rea oca
corresponde a +7*.+6.+.I/*:, e|ecute o sguente:
iptables !5 )-=?1 !s 37/.35.3.6;/8 !m state !!state -'4 K
!m tcp !p tcp !!dport 6% !Q 5**'=1
iptables !5 )-=?1 !s 37/.35.3.6;/8 !m state !!state -'4 K
!m tcp !p tcp !!dport 6%6% !Q 5**'=1
iptables !5 >0R45R& !p tcp !!dport 8%781 !Q &R0=
iptables !5 >0R45R& !p tcp !!dport 44@ !Q &R0=
Y aada o sguente:
!5 )-=?1 !s 1$8#16#1#%/86 !m state !!state -'4 !m tcp !p tcp !!dport 6% !Q 5**'=1
!5 )-=?1 !s 1$8#16#1#%/86 !m state !!state -'4 !m tcp !p tcp !!dport 6%6% !Q 5**'=1
!5 >0R45R& !p tcp !!dport 8%781 !Q &R0=
!5 >0R45R& !p tcp !!dport 44@ !Q &R0=
:*.*.3. 'esolucin local del nom!re de anfitrin.
Edte e archvo >etc>$osts:
vim /etc/hosts
Asumendo que a dreccn IP de anftrn es +7*.+6.+.+ y que e domno de a red de rea
oca es red-oca.net, aada a sguente nea resaltada en negrita y respetando el resto
del contenido e2istente en este arc$ivo:
726
18$#%#%#1 localhost#localdomain localhost
771 localhost6#localdomain6 localhost6
37/.35.3.3 ser*%-or.re--)o&#).ne$ ser*%-or
37/.35.3.3 0'#-.re--)o&#).ne$ 0'#-
Modfque o que sea necesaro para que a|uste a a confguracn utzada en su red de rea
oca.
:*.*.4. Arc$ivo Rpad.dat.
Genere e drectoro >var>RRR>Rpad con permsos de acceso y escrtura para usuaro y de
acceso para grupo y otros (rwxr-xr-x):
mkdir !m %$:: /var//pad
Genere e archvo >var>RRR>Rpad>Rpad.dat:
vim /var//pad/pad#dat
Asumendo que a red de rea oca corresponde a +7*.+6.+.I/*: y que Squd est funconando
en e anftrn +7*.+6.+.+, escuchando petcones en e puerto 8080, aada e sguente
contendo:
"unction >ind=roxy>or?R2(urlB host)
c
i" (
is)n-et(hostB ,37/.35.3.6,B ,/!!./!!./!!./46,)
NN is)n-et(hostB ,18$#%#%#%,B ,8::#%#%#%,)
NN sh'xp.atch(hostB ,37/.35.3.L,)
NN sh'xp.atch(hostB ,18$#L, )
NN sh'xp.atch(hostB ,localhost,)
NN sh'xp.atch(hostB ,L.re--)o&#).ne$,)
NN is=lain3ost-ame(host)
NN dns&omain)s(hostB ,.re--)o&#).ne$,)
) c
return ,&)R'*1,Y
d
else
c
return ,=R0X< 37/.35.3.376%6%,Y
d
d
Cuaquer error en a sntaxs har que e archvo sea mposbe de utzar. Puede descargar un
archvo panta desde AcanceLbre.org e|ecutando o sguente:
get http7//#alcancelibre#org/linux/secrets/pad#dat K
!0 /var//pad/pad#dat
oca.
Es ndspensabe que e archvo >var>RRR>Rpad>Rpad.dat tenga permsos de ectura para
todos, de otro modo ser mposbe compartro a travs de servco $ttpd.
727
chmod aUr /var//pad/pad#dat
:*.*.5. Configuracin de Apac$e.
Genere e archvo >etc>$ttpd>conf.d>Rpad.conf:
vim /etc/httpd/con"#d/pad#con"
-ame(irtual3ost L76%
b(irtual3ost L76%M
Server-ame pad#re--)o&#).ne$
Server5lias pad
&ocumentRoot /var//pad
'rror2og logs/pad!error/log
*ustom2og logs/pad!access/log combined
b&irectory ,/var//pad,M
5dd1ype application/x!ns!proxy!autocon"ig #dat
&irectory)ndex pad#dat
0rder &enyB5llo
&eny "rom all
5llo "rom 18$#%#%#%/6 37/.35.3.6//8
b/&irectoryM
b/(irtual3ostM
oca.
A fn de evtar probemas con agunos navegadores, se recomienda #ue ste sea el 1nico
anfitrin virtual en el servidor o cuando menos sea e anftrn vrtua predetermnado.
Recargue o rence e servco $ttpd.
:*.*.6. Anuncio del arc$ivo Rpad.dat.
E anunco de archvo wpad.dat so puede hacerse a travs de uno de os dos sguentes
mtodos:
a. A travs de un servdor DHCP.
b. A travs de un servdor DNS.
Se puede utzar ndstntamente uno u otro mtodo. Jam<s com!ine am!os mtodos porque
os anuncos seran gnorados por os navegadores. E mtodo ms estndar es e anunco a
travs de un servdor DHCP.
:*.*.6.+. Anuncio a travs de servidor D)?.
Se requere confgurar e servdor DNS para que ncuya dos regstros, uno que resueva e
nombre wpad.red(local.net y e otro que ndque e URI de archvo wpad.dat.
728
Asumendo que tene confgurado y funconando un servdor DNS con una 9ona est<tica que
resueve os nombres de anftrn y dreccones IP de a red de rea oca, edte e archvo de zona
correspondente:
vim /var/named/data/red!local#net#Cone
Cambe e nmero de sere de a zona y aada os sguentes dos regstros en a zona de reenvo
en e DNS utzado por a red de rea oca. En e e|empo se asume que e servdor HTTP que
hospeda a archvo wpad.dat corresponde a a dreccn IP +7*.+6.+.+:
pad )- 5 37/.35.3.3
[ )- 1X1 ,service7 pad7Thttp7//pad#red!local#net76%/pad#dat,
Rence e servco named.
S se trata de una 9ona din<mica, utce e mandato nsupdate para conectarse a servdor DNS:
Desde e ntrprete de mandatos de nsupdate, e|ecute o sguente para aadr os regstros
necesaros:
server 18$#%#%#1
update add 0'#-.re--)o&#).ne$. 664%% 5 37/.35.3.3
update add re--)o&#).ne$. 664%% 1X1 ,service7 pad7Thttp7//pad#red!local#net76%/pad#dat,
send
Juit
Utzando este tmo procedmento, es nnecesaro rencar e servco named.
Recuerde que este mtodo |ams debe combnarse con e de anunco de archvo wpad.dat a
travs de servdor DHCP.
:*.*.6.*. Anuncio a travs de servidor DFC=.
Se requere confgurar prmero e servdor DNS para que ncuya un regstro que resueva e
nombre wpad.red(local.net e cua ser utzado para hacer e anunco de URI de archvo
wpad.dat a travs de servdor DHCP.
Asumendo que tene confgurado y funconando un servdor DNS con una 9ona est<tica que
resueve os nombres de anftrn y dreccones IP de a red de rea oca, edte e archvo de zona
correspondente:
vim /var/named/data/red!local#net#Cone
Cambe e nmero de sere de a zona y aada so e sguente regstro en a zona de reenvo en
e DNS utzado por a red de rea oca. En e e|empo se asume que e servdor HTTP que
hospeda a archvo wpad.dat corresponde a a dreccn IP +7*.+6.+.+:
729
pad )- 5 37/.35.3.3
Rence e servco named.
S se trata de una 9ona din<mica, utce e mandato nsupdate para conectarse a servdor DNS:
Desde e ntrprete de mandatos de nsupdate, e|ecute o sguente para aadr e regstro
necesaro:
server 18$#%#%#1
update add 0'#-.re--)o&#).ne$. 664%% 5 37/.35.3.3
send
Juit
Utzando este procedmento, es nnecesaro rencar e servco named.
Asumendo que tene confgurado y funconando un servdor DHCP para gestonar a asgnacn
de as dreccones IP utzadas por a red de rea oca, edte e archvo >etc>d$cp>d$cpd.conf:
Aada en a confguracn de servdor DHCP, as dos sguentes opcones:
option pad!url code 8:8 + textY
option pad!url ,http7//pad#re--)o&#).ne$/pad#datKn,Y
Rence e servco d$cpd.
Recuerde que este mtodo |ams debe combnarse con e de anunco de archvo wpad.dat a
travs de servdor DNS.
:*.*.7. Compro!aciones.
S todo o anteror concuy sn errores, so resta verfcar que a confguracn de os anftrones
con Wndows. Vaya a 1pciones de 0nternet #one4iones #onfiguraci/n %A: y verfque que
est habtada a casa Autodetectar configuraci/n de pro4y. En agunos casos es posbe que se
tenga que defnr tambn e URI de archvo de confguracn
(ttp)**(pad.red?local.net*(pad.dat).
730
Opcones de Internet - Confguracn de Proxy.
Para os anftrones con GNU/Lnux con GNOME 2 como escrtoro so hay que estabecer
#onfiguraci/n automtica del ?ro4y en as ?referencias de ?ro4y de la red. De|e vaco e campo
de 5@% de configuraci/n automtica para forzar a deteccn de archvo wpad.dat anuncado.
731
Confguracn de Proxy de a red en GNOME 2.
Tambn pude confgurar as opcones de cada navegador que o requera para que auto-detecte
a confguracn de servdor proxy.
732
Opcones de Frefox - autodetectar confguracn de proxy.
733
:3. &nstalacin y configuracin de la
$erramienta de reportes ?arg.
:3.+. &ntroduccin.
?arg (?qud Anayss 'eport Generator) es a ms competa y fc de utzar herramenta para a
generacn de reportes a partr de as btcoras de ?#uid. Permte ver con detae a actvda de
todos os equpos y/o usuaros dentro de a red de rea oca, regstrada en a btcora de Squd.
URL: http://sarg.sourceforge.net/.
:3.*. "#uipamiento lgico necesario.
Este documento fue dseado para ser puesto en prctca excusvamente en Cent0? 5, "lasti2
+.5, 'ed Fat "nterprise inu2 5 y ]$ite!o2 "nterprise inu2 5 o sstemas operatvos
smares, basados sobre 'ed Fat "nterprise inu2 5.
Ingrese a sstema como e usuaro root.
Proceda a confgurar e depsto YUM de Acance Lbre:
cd !
Instae os paquetes sarg y $ttpd, e|ecutando o sguente:
yum !y install sarg httpd
:3.3. =rocedimientos.
Confgure e soporte a espao para Sarg.
Edte con vm e archvo >etc>sarg>sarg.conf:
vim /etc/sarg/sarg#con"
Arededor de a nea 30, ocace a cadena de texto language "nglis$.
734
Puse a teca &nsert.
A Russian/koi6
A Russian/?>1!6
A Russian/indos18:1
A Serbian
A Slovak
A Spanish
A 1urkish
A
)#ng>#ge Eng)%sh
A 15I7 access/log "ile
A 4here is the access#log "ile
A sarg !l "ile
A
Aaccess/log /usr/local/sJuid/var/logs/access#log
access/log /var/log/sJuid/access#log
Reempace a cadena de texto con language ?panis$.
A Russian/koi6
A Russian/?>1!6
A Russian/indos18:1
A Serbian
A Slovak
A Spanish
A 1urkish
A
)#ng>#ge S'#n%sh
A 15I7 access/log "ile
A 4here is the access#log "ile
A sarg !l "ile
A
Aaccess/log /usr/local/sJuid/var/logs/access#log
access/log /var/log/sJuid/access#log
Arededor de a nea 213, ocace a cadena lastlog I.
A 15I7 lastlog n
A 3o many reports "iles must be keept in reports directory#
A 1he oldest report "ile ill be automatically removed#
A % ! no limit#
A
P )#s$)og 6
Descomente a nea lastlog I y cambe e cero por e nmero de reportes que se desea
mantener. S defne e vaor 3I, so se conservarn os 30 tmos reportes y todos os reportes
anterores se rn emnando automtcamente.
A 15I7 lastlog n
A 3o many reports "iles must be keept in reports directory#
A 1he oldest report "ile ill be automatically removed#
A % ! no limit#
A
)#s$)og 6
735
S se omte defnr un vaor adecuado para a opcn lastlog, os reportes de amacenarn en
>var>RRR>sarg> y pueden mpcar una cantdad consderabe de datos. S decde omtr un vaor
para esta opcn, perdcamente tendr que ngresar a os subdrectoros de >var>RRR>sarg>,
prncpamente e subdrectoro daily, para emnar de manera manua os reportes antguos o
que sean de poca utdad, a fn de evtar se agote e espaco en dsco duro.
Puse a teca "sc, guarde cambos y saga de vm pusando a combnacn de tecas -2 y uego
a teca = (")A"').
Edte con vm e archvo >etc>$ttpd>conf.d>sarg.conf:
vim /etc/httpd/con"#d/sarg#con"
Puse a teca &nsert.
Locace a nea alloR from +*7.I.I.+, a cua defne que soo se puede acceder haca e
drectoro >sarg> desde +*7.I.I.+ (es decr, soo puede ser acceddo como
ttp)**6LR.J.J.6*sarg*).
5lias /sarg /var//sarg
b&irectory /var//sargM
&irectory)ndex index#html
order denyBallo
deny "rom all
#))o0 +ro< 3/7.6.6.3
b/&irectoryM
Asumendo que su red de rea oca corresponde a +7*.+6.+*3.I>*:, defna que tambn se
puede acceder a drectoro >sarg> desde +7*.+6.+*3.I>*:, reempazando por alloR from
+*7.I.I.+ por alloR from +*7.I.I.+ +7*.+6.+*3.I>*:.
order denyBallo
deny "rom all
#))o0 +ro< 3/7.6.6.3 37/.35.3/.6;/8
b/&irectoryM
Defna que e acceso haca e drectoro >sarg> (que en adeante podr ser acceddo como
ttp)**pro('.red?local.net*sarg* o ben ttp)**<@;.</.<;9.<;9*sarg*) se permtr soo a
usuaros autorzados que autentcarn a travs de archvo >var>RRR>claves(sarg.
order denyBallo
deny "rom all
allo "rom 18$#%#%#1 37/.35.3/.6;/8
A>$hN#<e "So)o >s>#r%os #>$or%B#-os."
A>$hTy'e B#s%&
re,>%re *#)%-->ser
A>$hUserF%)e ;*#r;000;&)#*es-s#rg
b/&irectoryM
736
Puse a teca "sc, guarde cambos y saga de vm pusando a combnacn de tecas -2 y uego
a teca = (")A"').
Genere con e mandato touc$ e archvo >var>RRR>claves(sarg:
touch /var//claves!sarg
Utce e mandato c$mod para defnr que e archvo >var>RRR>claves(sarg soo tendr
permsos de ectura y escrtura para a case de usuaro:
chmod %6%% /var//claves!sarg
Utce e mandato c$oRn para defnr que e archvo >var>RRR>claves(sarg pertenece a
usuaro apache y grupo apache:
chon apache7apache /var//claves!sarg
Utce e mandato $tpassRd sobre e archvo >var>RRR>claves(sarg para crear e usuaro
vrtua administrador y asgnar a ste una cave de acceso que soo deber conocer e
admnstrador de servdor:
htpassd /var//claves!sarg administrador
Ince o rence s es e caso, e servco $ttpd.
service httpd start
S e servco $ttpd nc (o renc) sn errores, utce e mandato c$Oconfig para que e
servco $ttpd nce automtcamente |unto con e sstema operatvo.
chkcon"ig httpd on
Con a fnadad de generar datos en as btcoras de servco s#uid, permta a a red de rea
oca opere normamente durante agunos mnutos y uego e|ecute e mandato sarg para generar
un prmer reporte manua.
sarg
Podr consutar este reporte en a dreccn ttp)**pro('.red?local.net*sarg*1:,<$.1T* o ben
ttp)**<@;.</.<;9.<;9*sarg*1:,<$.1T*.
Podr ver un reporte generado automtcamente todos os das en a dreccn
ttp)**pro('.red?local.net*sarg*daily* o ben ttp)**<@;.</.<;9.<;9*sarg*daily*.
737
:4. Cmo configurar un servidor de 0penJ=).
:4.+. &ntroduccin.
:4.+.+. Acerca de 0penJ=).
0penJ=) es una soucn de conectvdad basada sobre equpamento gco (soft(are):
SSL(Secure Sockets Layer) VPN (Vrtua Prvate Network o red vrtua prvada), OpenVPN ofrece
conectvdad punto-a-punto con vadacn, |errquca de usuaros y host conectados
remotamente, resuta una muy buena opcn en tecnoogas W-F (redes nambrcas EEI
802.11) y soporta una ampa confguracn, entre stas e baanceo de cargas, entre otras
muchas cosas ms.
URL: http://openvpn.net
:4.+.*. Breve e2plicacin de lo #ue se lograr< con este documento.
Este documento descrbe a confguracn de una J=) tpo &ntranet.
Este tpo de redes es creado entre una ofcna centra (servdor) y una o varas ofcnas remotas
(centes). E acceso vene de exteror. Se utza este tpo de VPN cuando se necesta enazar a
os stos que son parte de una compaa, en nuestro caso ser compuesto por un servdor
Centra que conectar a muchos centes VPN entre s.
La nformacn y apcacones a as que tendrn acceso os drectvos mves en e VPN, no sern
as msmas que aqueas en donde pueden acceder os usuaros que efectan actvdades de
mantenmento y soporte, esto como un e|empo de o que se podr reazar con esta
confguracn.
Ademas de que podr conectarse a travs de Aerminal ?erver (en el ca$o de cliente$ *inu()
a termnaes Wndows de a red VPN as como de Centes Wndows a computadoras con e msmo
sstema operatvo (medante RDP).
)ota &mportante: Enfocado a esta confguracn .. Una vez que os centes (>indow$/*inu()
se conecten a a red VPN quedarn automtcamente sn conexn a Internet, o cua NO podrn
acceder a a red munda. Esto puede ser modfcabe en e servdor VPN.
738
Servdor de Pasarea OpenVPN con centes (Wndows/Lnux) remotos
E servdor VPN $ace de pasarela para que todos os centes (Wndows/Lnux) puedan estar
comunicados a travs de tne OpenVPN, estos a conectarse por medo de Internet a tne
automtcamente quedan sin lineaa a red munda quedando como una red local, esto caro
esta a travs de a VPN.
Cada cente se encuentra en ugares dferentes (cudad/estado/pas) con dferentes tpos de
segmento de red, a estar conectados medante e tne VPN se crea un red vrtua y se asgna un
nuevo segmento de red proporconada por e servdor prncpa en este caso con segmento (por
e|empo 10.10.0.0/255.255.255.0no 192.168.37.0/255.255.255.0).
:4.*. &nstalacin del e#uipamiento lgico necesario.
Fedora 9 en adeante ncuye e paquete openvpn en sus depstos Yum, por o que soo es
necesaro nstaaro desde a termna a travs de mandato yum. E sguente procedmento soo
es necesaro para Cent0? 5.
:4.*.+. &nstalacin en Cent0? 5.
Como e usuaro root, desde una termna, crear e archvo >etc>yum.repos.d>A(?erver.repo,
utzando cuaquer edtor de texto. En e sguente e|empo se utza vi.
vi /etc/yum#repos#d/52!Server#repo
739
Aadr a este nuevo arc$ivo e sguente contendo:
D52!ServerE
gpgcheck+1
Importar a frma dgta de Alcance i!re e|ecutando o sguente desde a termna:
rpm !!import http7//#alcancelibre#org/al/52!R=.!H'<
Luego de mportar a frma dgta de Acance Lbre, nstaar e equpamento gco (soft(are)
necesaro con e mandato yum. Se requeren os paquetes RPM de OpenVPN, Shorewa y
vm-enhanced (a versn me|orada de V):
yum !y install openvpn shoreall vim!enhanced
:4.3. =rocedimientos.
S fuera necesaro, cambarse a usuaro root utzando e sguente mandato:
su !l
A fn de poder utzar nmedatamente a versn me|orada de Ji (nstaado con e paquete
vim(en$anced), e|ecutar desde a termna o sguente:
alias vi+,vim,
Cambarse a drectoro, desde a termna, e|ecutar o sguente para cambarse a drectoro
>etc>openvpn:
cd /etc/openvpn/
)0AA- Todos os procedmentos necesaros para confgurar un servdor con 0penJ=) se
reazan sn sar de >etc>openvpn>. Por favor, evite cam!iar de directorio hasta haber
fnazado os procedmentos descrtos en este documento.
A fn de factar os procedmentos, se coparn dentro de drectoro >etc>openvpn> os archvos
openssl.cnf, R$ic$opensslcnf, pOitool y vars, que se ocazan en
>etc>openvpn>easy(rsa>*.I>:
cp /usr/share/openvpn/easy!rsa/8#%/openssl#cn" #/
cp /usr/share/openvpn/easy!rsa/8#%/hichopensslcn" #/
cp /usr/share/openvpn/easy!rsa/8#%/pkitool #/
cp /usr/share/openvpn/easy!rsa/8#%/vars #/
Utzar e edtor de texto y abrr e archvo >etc>openvpn>vars:
740
vi /etc/openvpn/vars
De este archvo, soamente edtar as tmas neas, que corresponden a o sguente:
export H'</*0?-1R<+,?S,
export H'</=R0()-*'+,*5,
export H'</*)1<+,San>rancisco,
export H'</0RI+,>ort!>unston,
export H'</'.5)2+,me[myhost#mydomain,
Reempazar por vaores reaes, como os de sguente e|empo:
export H'</*0?-1R<+,.X,
export H'</=R0()-*'+,&>,
export H'</*)1<+,.exico,
export H'</0RI+,servidor#mi!dominio#com,
export H'</'.5)2+,"ulanito[mi!dominio#com,
Se requere e|ecutar de sguente modo e archvo >etc>openvpn>vars a fn de que carguen as
varabes de entorno que se acaban de confgurar.
source /etc/openvpn/#/vars
Cada vez que se vayan a generar nuevos certfcados, debe e|ecutarse e mandato anteror a fn
de que carguen as varabes de entorno defndas.
Se e|ecuta e archvo >usr>s$are>openvpn>easy(rsa>*.I>clean(all a fn de mpar cuaquer
frma dgta que accdentamente estuvera presente.
sh /usr/share/openvpn/easy!rsa/8#%/clean!all
Lo anteror reaza un rm (fr (emnacn recursva) sobre e drectoro >etc>openvpn>Oeys, por
o que se emnarn todas os certfcados y frmas dgtaes que huberan exstdo con
anterordad.
A fn de crear e certfcado de servdor, se crea un certfcado:
sh /usr/share/openvpn/easy!rsa/8#%/build!ca
Se crea e archvo dh1024.pem, e cua contendr os parmetros de protocoo Dffe-Feman, de
1024 bts:
sh /usr/share/openvpn/easy!rsa/8#%/build!dh
E protocoo Dffe-Feman permte e ntercambo secreto de caves entre dos partes que sn que
stas hayan tendo contacto prevo, utzando un cana nseguro y de manera annma (sn
autentcar). Se empea generamente como medo para acordar caves smtrcas que sern
empeadas para e cfrado de una sesn, como es e caso de una conexn VPN.
Para generar a frma dgta, se utzan e sguente mandato:
741
sh /usr/share/openvpn/easy!rsa/8#%/build!key!server server
Fnamente se crean os certfcados para os centes. En e sguente3 e|empo se crean os
certfcados para cliente+, cliente*, cliente3, cliente4, cliente5 y cliente6:
sh /usr/share/openvpn/easy!rsa/8#%/build!key cliente1
sh /usr/share/openvpn/easy!rsa/8#%/build!key cliente@
sh /usr/share/openvpn/easy!rsa/8#%/build!key cliente:
A fn de utzar os certfcados y que se confgure e sstema, se crea con e edtor de texto e
archvo >etc>openvpn>servidorvpn(udp(++[4.conf, donde servidorvpn se reempaza por e
nombre de anftrn de sstema:
vi /etc/openvpn/servidorvpn!udp!1194#con"
Para a J=) se recomenda utzar una red prvada que sea poco usua, a fn de poder permtr a
os centes conectarse sn confctos de red. Un e|empo de una red poco utzada sera
192.168.37.0/255.255.255.0, o cua permtr conectarse a a J=) a 253 centes. Tomando en
cuenta o anteror, e contendo de archvo >etc>openvpn>servidorvpn(udp(++[4.conf, debe
ser e sguente:
port 1194
proto udp
dev tun
A!!!! Seccion de llaves !!!!!
ca keys/ca#crt
cert keys/server#crt
key keys/server#key
dh keys/dh1%84#pem
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!
server 198#166#@$#% 8::#8::#8::#%
i"con"ig!pool!persist ipp#txt
keepalive 1% 18%
comp!lCo
persist!key
persist!tun
status openvpn!status!servidorvpn!udp!1194#log
verb @
Descrpcn de os parmetros anterores:
+ort: Especfca e puerto que ser utzado para que os centes vpn puedan conectarse a servdor.
+roto: tpo de protocoo que se empear en a conexn a travs de VPN
de,: Tpo de nterfaz de conexn vrtua que se utzar e servdor openvpn.
ca: Especfca a ubcacn exacta de archvo de Autordad Certfcadora |.ca|.
cert: Especfca a ubcacn de archvo |.crt| creado para e servdor.
)e': Especfca a ubcacn de a ave |.key| creada para e servdor openvpn.
dh: Ruta exacta de archvo |.pem| e cua contene e formato de Dffe Heman (requrerdo para
((tls(serversoamente).
$er,er: Se asgna e rango IP vrtua que se utzar en a red de tne VPN.
742
2conig?pool?per$i$t: Archvo en donde quedarn regstrado as dreccones IP de os centes que se
encuentran conectados a servdor OpenVPN.
8eepali,e <A <;A : Enva os paquetes que se mane|an por a red una vez cada 10 segundos; y asuma
que e acopamento es aba|o s nnguna respuesta ocurre por 120 segundos.
co&p?lzo: Especfca os datos que recorren e tne vpn ser compactados durante a trasferenca de
estos paquetes.
per$i$t?)e': Esta opcn soucona e probema por aves que perssten a travs de os rea|ustes
SIGUSR1, as que no necestan ser reedos.
+er$i$t?tun: Permte que no se cerre y re-abre os dspostvos TAP/TUN a correr os guones up/down
$tatu$: archvo donde se amacenar os eventos y datos sobre a conexn de servdor |.og|
,erb: Nve de nformacn (defaut=1). Cada nve demuestra todo e Info de os nvees anterores. Se
recomenda e nve 3 s usted desea un buen resumen de qu est sucedendo.
I ((No muestra una sada excepto errores fataes. + to 4 pRango de uso norma. 5 ((Sada 'y
]caracteres en a consoa par os paquetes de ectura y escrtura, mayscuas es usada por paquetes
TCP/UDP mnscuas es usada para paquetes TUN/TAP.
S ?"inu2 est actvo, es necesaro que e drectoro >etc>openvpn y sus contendos, tengan os
contextos apropados de esta mpementacn de segurdad
(system_u:ob|ect_r:openvpnUetcUrRUt para ipp.t2t y
openvpn(status(servidorvpn(udp(++[4.log y system_u:ob|ect_r:openvpnUetcUt para e resto
de contendo de drectoro).
Se utza uego e mandato restorecon sobre e drectoro >etc>openvpn a fn de asgnar os
contextos adecuados.
restorecon !R /etc/openvpn/
Se crean os archvos ipp.t2t y openvpn(status(servidorvpn(udp(++[4.log:
cd /etc/openvpn/
touch ipp#txt
touch openvpn!status!servidorvpn!udp!1194#log
S se tene actvo SELnux, estos tmos dos archvos requeren se es asgne contexto de ectura
y escrtura (openvpnUetcUrRUt).
cd /etc/openvpn/
chcon !u system/u ipp#txt
chcon !u system/u openvpn!status!servidorvpn!udp!1194#log
chcon !r obQect/r ipp#txt
chcon !r obQect/r openvpn!status!servidorvpn!udp!1194#log
chcon !t openvpn/etc/r/t ipp#txt
chcon !t openvpn/etc/r/t openvpn!status!servidorvpn!udp!1194#log
Los anteror camba os contextos a usuaro de sstema (systemUu), ro de ob|eto (o!.ectUr) y
tpo confguracn de OpenVPN de ectura y escrtura (openvpnUetcUrRUt).
Para ncar e servco, se utza e mandato service de sguente modo:
service openvpn start
743
Para que e servco de OpenVPN est actvo en e sguente nco de sstema, se utza e
mandato c$Oconfig de a sguente forma:
chkcon"ig openvpn on
:4.3.+. Configuracin de muro cortafuegos con ?$oreRall.
E sguente procedmento consdera que se ha confgurado un muro cortafuegos
apropadamente, de acuerdo a as ndcacones descrtas en e documento ttuado Cmo
configurar un muro cortafuegos con ?$oreRall y tres interfaces de red.
Independentemente de contendo, en e archvo >etc>s$oreRall>9ones, se aade a zona rem
con e tpo ipv4, antes de a tma nea.
P O'en:9N ----
re< %'*4
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Independentemente de contendo, en e archvo >etc>s$oreRall>interfaces, se aade a zona
rem asocada a a nterfaz tunI, con a opcn detect, para detectar automtcamente e
nmero de dreccn &= de dfusn (broadcast) y a opcn d$cp. Tambn debe defnrse antes
de a tma nea de archvo.
P O'en:9N ----
re< $>n6 -e$e&$ -h&'
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Independentemente de contendo, en e archvo >etc>s$oreRall>policy, se aade a potca
deseada para permtr e acceso de os membros de a J=) haca as zonas que se consderen
apropadas. En e sguente e|empo, se defne una potca que permte e acceso de as
conexones orgnadas desde a zona rem haca e cortafuegos, a red pbca y a red oca. Todo
debe defnrse antes de a tma nea de archvo.
" all 5**'=1
loc all 5**'=1
P O'en:'n ----
re< +0 ACCE9T
re< ne$ ACCE9T
re< )o& ACCE9T
P ------------
net all &R0= in"o
all all R'O'*1 in"o
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Independentemente de contendo, en e archvo >etc>s$oreRall>rules, se debe abrr en e
cortafuegos e puerto 1194 por UDP, para todas as zonas desde as cuaes se pretenda conectar
centes a a J=).
5**'=1 net " udp 1194
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
Fnamente, se edta e archvo >etc>s$oreRall>tunnels a fn de defnr e tne SSL que ser
utzado para e servdor de J=) y que permta conectarse desde cuaquer ubcacn.
744
A1<=' G0-' I51'45< I51'45<
A G0-'
openvpnserver71194 rem %#%#%#%/%
A25S1 2)-' !! 5&& <0?R '-1R)'S ;'>0R' 13)S 0-' !! &0 -01 R'.0('
En ugar de I.I.I.I>I, se puede especfcar una dreccn IP o ben una red desde a cua se
quera estabecer as conexones J=).
Para apcar os cambos, es necesaro rencar s$oreRall con e mandato service, de sguente
modo:
:4.3.*. Configuracin de clientes ]indoRs.
:4.3.*.+. A travs de 0penJ=) @,&.
Instaar 0penJ=) @,& desde http://openvpn.se/. Se requere nstaar a versn de desarroo
+.I.3 de 0penJ=) @,&, compatbe con OpenVPN 2.1.x. E cente es esta!le, sempre que se
verfque que funcone adecuadamente a confguracn utzada antes de poner en marcha en
un entorno productvo.
Crear e archvo cliente+(udp(++[4.ovpn, con e sguente contendo, donde es mportante que
as rutas defndas sean as correctas y as dagonaes nvertdas sean dobes:
745
client
dev tun
proto udp
remote dominio!o!ip#del#servidor#vpn 1194
"loat
resolv!retry in"inite
nobind
persist!key
persist!tun
A!!!!!! S'**)0- &' 225('S !!!!!!!!
ca ,*7KK5rchivos de =rogramaKK0pen(=-KKcon"igKKca#crt,
cert ,*7KK5rchivos de =rogramaKK0pen(=-KKcon"igKKcliente1#crt,
key ,*7KK5rchivos de =rogramaKK0pen(=-KKcon"igKKcliente1#key,
ns!cert!type server
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
comp!lCo
verb @
Descrpcn de os parmetros anterores:
client: Especfca e tpo de confguracn, en este caso tpo cente OpenVPN.
+ort: Especfca e puerto que ser utzado para que os centes VPN puedan conectarse a servdor.
+roto: tpo de protocoo que se empear en a conexn a travs de VPN
de,: Tpo de nterfaz de conexn vrtua que se utzar e servdor openvpn.
remote: Host remoto o dreccn IP en e cente, e cua especfca a servdor OpenVPN.
E cente OpenVPN puede tratar de conectar a servdor con $ost-port en e orden especfcado de as
opcones de a opcn ((remote.
float: Este e dce a OpenVPN aceptar os paquetes autentcados de cuaquer dreccn, no soamente a
dreccn cu fue especfcado en a opcn ((remote.
resolv(retry: S a resoucn de nombre de anftrn (ostname) faa para (( remote, a resoucn
antes de faar hace una re-comprobacn de n segundos.
no!ind: No agrega bnd a a dreccn oca y a puerto.
ca: Especfca a ubcacn exacta de archvo de Autordad Certfcadora |.ca|.
cert: Especfca a ubcacn de archvo |.crt| creado para e servdor.
)e': Especfca a ubcacn de a ave |.key| creada para e servdor OpenVPN.
re&ote: Especfca e domno o IP de servdor as como e puerto que escuchara as petcones para
servco VPN.
co&p?lzo: Especfca os datos que recorren e tne VPN ser compactados durante a trasferenca de
estos paquetes.
per$i$t?)e': Esta opcn soucona e probema por aves que perssten a travs de os rea|ustes
SIGUSR1, as que no necestan ser reedos.
+er$i$t?tun: Permte que no se cerre y re-abre os dspostvos TAP/TUN a correr os guones up/down
,erb: Nve de nformacn (defaut=1). Cada nve demuestra toda a Informacn de os nvees
anterores. Se recomenda e nve 3 s usted desea un buen resumen de qu est sucedendo.
I ((No muestra una sada excepto errores fataes. + to 4 pRango de uso norma. 5 ((Sada 'y
]caracteres en a consoa par os paquetes de ectura y escrtura, mayscuas es usada por paquetes
TCP/UDP mnscuas es usada para paquetes TUN/TAP.
746
E cente necestar que os archvos ca.crt, cliente+.crt, cliente+.Oey y
cliente+(udp(++[4.ovpn estn presentes en e drectoro /C-aArc$ivos de
=rogramaa0penJ=)aconfiga/. Estos archvos fueron creados, a travs de un procedmento
descrto en este documento, dentro de drectoro >etc>openvpn>Oeys> de servdor.
S se quere que os centes de a J=) se puedan conectar a a red oca, es mportante
consderar as mpcacones de segurdad que esto coneva s aguno de os certfcados es
robado o ben e cente se ve comprometdo en su segurdad por una ntrusn, vrus, troyano o
gusano. Es preferbe que a red de a J=) sea ndependente a a red oca y cuaquer otra red,
unendo os servdores y centes a a J=), ndependentemente de s stos estn en a red oca
o una red pbca.
S es mperatvo hacer que os centes de a J=) se conecten a a red oca, a red desde a cua
se conectan os centes debe ser dferente a a red utzada en a red oca. Por e|empo: s a red
oca detrs de servdor de J=) es 192.168.0.0/255.255.255.0, 10.0.0.0/255.0.0.0 o
172.16.0.0/255.255.0.0, os centes que se conecten a a J=) detrs de un modem ADSL o Cabe
e ntenten estabecer conexones con a red oca, muy seguramente tendrn confctos de red.
Para permtr a os centes de a J=) poder estabecer conexones haca a red oca, se aaden
as sguentes neas en e archvo de confguracn de OpenVPN para os centes y que defnen a
ruta para a red oca y un servdor DNS que debe estar presente y confgurado para permtr
consultas recursivas a a red de a J=):
route 198#166#%#% 8::#8::#8::#%
dhcp!option &-S 198#166#%#1
Opconamente, tambn se puede defnr un servdor Wns.
dhcp!option 4)-S 198#166#86#1
E|empo, consderando que a red oca es +[*.+6:.*6.I>*55.*55.*55.I:
client
dev tun
proto udp
"loat
nobind
persist!key
persist!tun
ro>$e 3=/.358./5.6 /!!./!!./!!.6
-h&'-o'$%on DNS 3=/.358./5.3
-h&'-o'$%on M?NS 3=/.358./5.3
A!!!!!! S'**)0- &' 225('S !!!!!!!!
ca ,*7KK5rchivos de =rogramaKK0pen(=-KKcon"igKKca#crt,
cert ,*7KK5rchivos de =rogramaKK0pen(=-KKcon"igKKcliente1#crt,
key ,*7KK5rchivos de =rogramaKK0pen(=-KKcon"igKKcliente1#key,
ns!cert!type server
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
comp!lCo
verb @
:4.3.3. Clientes @),>inu2.
747
:4.3.3.+. A travs del servicio openvpn.
Este es e mtodo que funconar en prctcamente todas as dstrbucones de de GNU/Lnux
basadas sobre 'ed Fat, Cent0? y 8edora. Se requere nstaar e paquete openvpn:
yum !y install openvpn
Para Cent0? 5, se requere haber confgurado prevamente e depsto de A ?erver, descrto
con anterordad en este msmo documento.
Para os centes con GNU/Lnux utzando e servco openvpn, bscamente se utza e msmo
archvo para 0penJ=) @,& para Wndows, pero defnendo rutas en e sstema de archvos de
GNU/Lnux. E|empo:
client
dev tun
proto udp
"loat
nobind
persist!key
persist!tun
A!!!!!! S'**)0- &' 225('S !!!!!!!!
ca /etc/openvpn/keys/ca#crt
cert /etc/openvpn/keys/cliente1#crt
key /etc/openvpn/keys/cliente1#key
ns!cert!type server
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
comp!lCo
verb @
Este archvo se guarda como >etc>openvpn>cliente+(udp(++[4.ovpn. Requere que os
certfcados defndos en a confguracn estn en as rutas especfcadas dentro de drectoro
>etc>openvpn>Oeys>.
Para ncar a conexn haca a J=), smpemente se nca e servco openvpn:
service openvpn start
Para que a conexn se estabezca automtcamente cada vez que se nce e sstema, se utza
e mandado c$Oconfig de a sguente manera:
chkcon"ig openvpn on
:4.3.3.*. A travs de )etRorO;anager.
)etRorO;anager es una mpementacn que permte a os usuaros confgurar nterfaces de
red de todos os tpos, sn necesdad de contar con prvegos de admnstracn en e sstema. Es
a forma ms fexbe, senca y prctca de conectarse a una red J=).
748
Se requere que os centes Lnux tengan nstaado e paquete )etRorO;anager(openvpn,
msmo que debe estar ncudo en os depstos Yum de 8edora [ en adeante y dstrbucones
recentes de GNU/Lnux. Cent0? 5 carece de soporte para utzar )etRorO;anager(openvpn,
por o que soo podr conectarse a a J=) a travs de mtodo anteror, con e servco openvpn.
Para nstaar a travs de mandato yum en dstrbucones basadas sobre 8edora [ en adeante,
se hace de a sguente manera:
yum !y install -etork.anager!openvpn
Se puede rencar e sstema para que tengan efectos os cambos o smpemente rencar e
servco )etRorO;anager:
service -etork.anager restart
Lo anteror cerrar y vover a estabecer as conexones de red exstentes.
A gua que e mtodo anteror, para os centes con GNU/Lnux con NetworkManager,
bscamente se utza e msmo archvo para 0penJ=) @,& para Wndows, pero defnendo
rutas en e sstema de archvos de GNU/Lnux. E|empo:
client
dev tun
proto udp
"loat
nobind
persist!key
persist!tun
A!!!!!! S'**)0- &' 225('S !!!!!!!!
ca /etc/openvpn/keys/ca#crt
cert /etc/openvpn/keys/cliente1#crt
key /etc/openvpn/keys/cliente1#key
ns!cert!type server
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
comp!lCo
verb @
Este archvo se puede utzar con a nterfaz grfca de )etRorO;anager. Soo hay que hacer
cc sobre e cono en e qrea de notificacin de pane de GNOME y uego hacer cc en
Configurar J=).
749
En a ventana que abre a contnuacn, hay un botn que permte mportar e archvo de
confguracn.
S os certfcados y frma dgta son coocados en a ruta >etc>openvpn>Oeys> con SELnux
actvo, stos funconarn adecuadamente. S os certfcados y frma dgta son amacenados
dentro de drectoro de nco de usuaros, es necesaro estabecer a potca
openvpnUena!leU$omedirs con vaor + (que equvae a on o actva):
setsebool != openvpn/enable/homedirs 1
Personamente recomendo crear una confguracn nueva desde a nterfaz de
)etRorO;anager. Desde a ventana de redes VPN de a nterfaz de )etRorO;anager, hacer
cc en Aadir.
750
Aparecer un dogo donde se debe seecconar que se trata de una J=) con 0penJ=).
En a sguente ventana de dogo, se defne e nombre de a conexn, dreccn IP o nombre de
servdor donde est nstaado OpenVPN y os certfcados a utzar. S se sgueron os
procedmentos de ese documento, se de.a en !lanco e campo Contrasea de clave privada.
751
Luego, se hace cc en Avan9ado para especfcar que se utzar compresn b0.
Para evtar confctos de conectvdad, se hace cc en a pestaa A.ustes &=J4 y se defne un
servdor DNS que permta a cente navegar a travs de Internet y dentro de a red de a J=).
752
Se hace cc en 'utas para abrr otra ventana de dogo y se seecconan as casas de as
opcones &gnorar las rutas o!tenidas autom<ticamente y ,sar esta cone2in solo para
los recursos de su red. Opconamente se pueden aadr as rutas esttcas para tener
conectvdad con a red oca detrs de servdor de J=), tomando en cuenta que a red oca
desde a cua se est conectado e cente debe ser dferente a a de a red oca detrs de
servdor de J=), a fn de evtar confctos de red.
753
Fnamente se hace cc en apcar. Para conectarse a a red J=), soo basta hacer cc sobre e
cono de )etRorO;anager en e qrea de notificacin de pane de GNOME y seecconar a red
J=) recn confgurada.
:4.4. Bi!iliografa.
Este documento se basa sobre os manuaes ttuados VPN en servdor Lnux y centes
Wndows/Lnux con OpenVPN + Shorewa |Parte 1| y VPN en servdor Lnux y centes
Wndows/Lnux con OpenVPN + Shorewa |Parte 2|, por ]illiam pe9 Jimne9, pubcados en
Alcance i!re, cumpendo cabamente con os trmnos de a cenca Creative Commons
Reconocmento-NoComerca-CompartrIgua 2.1.
754
:5. ,sando ?martd para anticipar los
desastres de disco duro
condcones sguentes: a) Debe reconocer y ctar a autor orgna. !Q )o puede utili9ar esta o!ra para fines comerciales. c) S atera o
transforma esta obra o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur
a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso
de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La
nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna
s e usuaro o ector hace ma uso de stos.
:5.+. &ntroduccin
La mayora de as dstrbucones recentes ncuyen smartct y smartd (parte de smartmontoos
ncudo en e paquete kerne-uts), que son herramentas utzadas para supervsar a saud de
os dscos duros reazando pruebas para comprobar su buen funconamento. Mentras e dsco y
a tar|eta madre (soporte se actva en e BIOS) tengan capacdad para utzar S.M.A.R.T.
(Sef-Montorng, Anayss and Reportng Technoogy) es posbe antcpar as faas de un dsco
duro. Soo basta confgurar un archvo (/etc/smartd.conf) e ncar un servco (smartd).
:5.*. =rocedimientos
E archvo /etc/smartd#con" soo requere una nea de confguracn por cada dsco duro en e
sstema. E|empos:
/dev/hda !a !m alguien[dominio#com
/dev/sda !d scsi !a !m alguien[dominio#com
/dev/sdb !d scsi !a !m alguien[dominio#com
Lo anteror hace que se env un reporte competo y detaado de toda a nformacn S.M.A.R.T. y
as aertas pendentes. La opcn !a en dscos IDE equvae a:
/dev/hda !3 !i !c !5 !l error !l sel"test !l selective
Y en dscos SCSI equvae a:
/dev/sda !3 !i !5 !l error !l sel"test
Donde:
!F
Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar reportes a un
tefono mv, esta sera a opcn nca a utzar.
!%
Incuye en e reporte e numero de modeo, nmero de sere, versn de Frmware e nformacn
adcona reaconada.
755
!&
Incuye en e reporte as capacdades S.M.A.R.T.
-A
Incuye en e reporte atrbutos S.M.A.R.T. especfcos de fabrcante de dsco.
!) error
Incuye en e reporte a btcora de errores de S.M.A.R.T.
!) se)+$es$
Incuye en e reporte a btcora de pruebas de S.M.A.R.T.
!) se)e&$%*e
Agunos dscos tpo ATA-7 (e|empo: Maxtor) ncuyen una btcora de pruebas seectvas.
!<
Cuenta de correo eectrnco a a cua se envarn reportes.
?i por e.emplo, soo nos nteresa recbr reportes de saud de /dev>$da, /dev>sda y /dev>sd!,
en una cuenta de correo eectrnco (que puede ser a que coresponda para recbr mensa|es en
un tefono mv), se utzaran o sguente en e archvo /etc>smartd.conf:
/dev/hda !3 !m alguien[dominio#com
/dev/sda !d scsi !3 !m alguien[dominio#com
/dev/sdb !d scsi !3 !m alguien[dominio#com
Hecho o anteror, soo se necesta agregar e servco a os servcos de arranque de sstema e
ncar (o rencar, segn e caso) smartd:
chkcon"ig smartd on
service smartd start
E servco se encarga de e|ecutar automtcamente en e tras fondo de sstema todas as
pruebas necesaras y soportadas por as undades de dsco duro presentes. E reporte se enva
automtcamente |unto con e mensa|e con e reporte de a btcora de sstema unos mnutos
despus de as 4:00 AM.
S se quere ver un reporte a momento, competo y detaado, suponendo que se trata de un
dsco duro en e IDE 1, basta e|ecutar:
smartctl !a /dev/hda
S se quere ver un reporte a momento que soo muestre e estado de saud de a undad,
suponendo que se trata de un dsco duro en e IDE 1, basta e|ecutar:
smartctl !3 /dev/hda
756
:6. 'estriccin de acceso a unidades de
almacenamiento e2terno
:6.+. &ntroduccin.
En os entornos corporatvos y agunas empresas que utzan GNU/Lnux como sstema operatvo
de escrtoro, es una prctca comn boquear e acceso a undades de dsco ptco y undades de
amacenamento USB. Hay varas formas de ograr este ob|etvo. Pueden usarse ndvduamente
o en combnacn, dependendo de o que prefera e admnstrador de sstema.
:6.*. =rocedimientos.
:6.*.+. Blo#uear el uso de unidades de disco ptico.
E procedmento es e msmo para CentOS, Fedora, openSUSE, Red Hat Enterprse Lnux y SUSE
Lnux Enterprse.
vim /etc/"stab
/dev/dvd /media/dvd auto noautoBde"aults % %
Lo anteror har que a undad de dsco ptco so pueda ser utzada por root.
Lo anteror se compementa estabecendo como vaor obgatoro que |ams se monten
automtcamente as undades de amacenamento externo.
gcon"tool!8 !!direct !!con"ig!source K
xml7readrite7/etc/gcon"/gcon"#xml#mandatory K
/apps/nautilus/pre"erences/media/automount K
!!type bool "alse
So para SUSE Enterprse Lnux 10, a ruta de drectoro gconf.2ml.mandatory corresponde a
>etc>opt>gnome>gconf>gconf.2ml.mandatory:
757
gcon"tool!8 !!direct !!con"ig!source K
xml7readrite7/etc/opt/gnome/gcon"/gcon"#xml#mandatory K
/apps/nautilus/pre"erences/media/automount K
!!type bool "alse
Concudo o anteror, s un usuaro reguar nserta un CD o DVD en a undad ptca, a undad
|ams ser montada y s e usuaro ntenta montar manuamente e ser denegado e acceso
mostrando una ventana de aerta.
:6.*.*. Blo#uear uso del mdulo us!(storage o uas del n1cleo de inu2.
Es posbe boquear e acceso a mduo us!(storage o ben e mduo uas, de nceo de Lnux.
stos son os dos controadores utzados para acceder a cuaquer tpo de undad de
amacenamento externo por USB.
:6.*.3. "n Cent0?H 8edora y 'ed Fat "nterprise inu2.
Utce cuaquer edtor de texto para crear e archvo >etc>modpro!e.d>us!(storage.conf:
vim /etc/modprobe#d/usb!storage#con"
install usb!storage /bin/"alse
Rence e sstema para que surtan efecto os cambos o ben desconecte cuaquer undad de
amacenamento USB que est presente en e sstema y e|ecute o sguente:
rmmod usb!storage
depmod !a
Inserte cuaquer undad de amacenamento USB para verfcar que es mposbe acceder haca e
contendo de sta.
S o prefere, tambn es posbe permtr cargar e mduo us!(storage, pero emtendo un
mensa|e de correo eectrnco que nformar a admnstrador de sstema cuando se nserte una
undad de amacenamento USB.
Utce cuaquer edtor de texto para crear o modfcar e archvo
>etc>modpro!e.d>us!(storage.conf:
Emne a confguracn preva y/o aada e sguente contendo:
install usb!storage /bin/mail K
!s ,?nidad ?S; insertada en F30S15-5.', K
alguien[algo#com
758
rmmod usb!storage
depmod !a
Espere unos mnutos y verfque e mensa|e que ha emtdo e sstema en e buzn entrada de a
cuenta de correo eectrnco defnda.
:6.*.4. "n open?,?".
En openSUSE se utza de modo predetermnado e mduo uas (,SB Attached ?CSI), e cua es
una aternatva ms moderna y que tene un me|or desempeo y funconamento que e mduo
us!(storage.
Utce cuaquer edtor de texto para crear e archvo >etc>modpro!e.d>us!(storage.conf:
vim /etc/modprobe#d/usb!storage#con"
install uas /bin/"alse
rmmod uas
depmod !a
contendo de sta.
S o prefere, tambn es posbe permtr cargar e mduo uas, pero emtendo un mensa|e de
correo eectrnco que nformar a admnstrador de sstema cuando se nserte una undad de
amacenamento USB.
Utce cuaquer edtor de texto para crear o modfcar e archvo >etc>modpro!e.d>uas.conf:
install uas /usr/bin/mail K
alguien[algo#tld
rmmod uas
depmod !a
759
:6.*.5. "n ?,?" inu2 "nterprise.
Utce cuaquer edtor de texto para modfcar e archvo >etc>modpro!e.conf.local:
vim /etc/modprobe#con"#local
install usb!storage /bin/"alse
rmmod usb!storage
depmod !a
contendo de sta.
S o prefere, tambn es posbe permtr cargar e mduo us!(storage, pero emtendo un
mensa|e de correo eectrnco que nformar a admnstrador de sstema cuando se nserte una
undad de amacenamento USB.
Utce cuaquer edtor de texto para modfcar e archvo >etc>modpro!e.conf.local:
vim /etc/modprobe#con"#local
install usb!storage /usr/bin/mail K
alguien[algo#com
rmmod usb!storage
depmod !a
:6.*.6. 'eglas de ,D"J para impedir el acceso a unidades de
almacenamiento ,?B.
,D"J es una coeccn de herramentas y un servco que se encarga de gestonar os eventos
recbdos desde e nceo de sstema, encargndose de stos en e espaco de usuaro. Se
encarga de gestonar os permsos correspondentes, crear y emnar enaces smbcos
mportantes haca os nodos de os dspostvos que estn dentro de drectoro >dev, cuando os
componentes de ard(are son descubertos o removdos de sstema.
760
:6.*.6.+. "n Cent0?H 8edoraH ?,?" inu2 "nterprise y 'ed Fat "nterprise inu2.
Para restrngr e acceso a as undades de amacenamento USB, se debe crear un archvo
denomnado >etc>udev>rules.d>+I(us!(storage.rules:
vim /etc/udev/rules#d/1%!usb!storage#rules
&R)('R++,usb!storage,B 0=1)0-SU+,ignore/device last/rule,
Lo anteror estabece que a utzar e mduo us!(storage, se gnoren os dspostvos a os que
corresponda y que se mpda aadr nuevas regas que puderan cambar esta potca.
Para que apquen os cambos, es necesaro rencar e sstema.
reboot
contendo de sta.
:6.*.6.*. "n open?,?".
Para restrngr e acceso a as undades de amacenamento USB, se debe crear un archvo
denomnado >etc>udev>rules.d>+I(uas.rules:
vim /etc/udev/rules#d/1%!uas#rules
&R)('R++,uas,B 0=1)0-SU+,ignore/device last/rule,
Lo anteror estabece que a utzar e mduo uas, se gnoren os dspostvos a os que
corresponda y que se mpda aadr nuevas regas que puderan cambar esta potca.
Para que apquen os cambos, es necesaro rencar e sstema.
reboot
contendo de sta.
:6.*.7. =olicyNit para restringir el acceso a unidades de
almacenamiento e2terno en general.
PocyKt es un con|unto de herramentas para defnr y gestonar a autorzacn haca dversas
operacones en e sstema.
:6.*.7.+. "n Cent0?H 8edoraH open?,?" y 'ed Fat "nterprise inu2.
761
Estos sstemas operatvos utzan PocyKt 0.94 o versones ms recentes. La confguracn vara
respecto de as de versones anterores.
Lo prmero es determnar e estado de a potca
org.freedesOtop.udisOs.filesystem(mount(system(internal, e|ecutando o sguente:
pkaction !!action!id K
org#"reedesktop#udisks#"ilesystem!mount!system!internal K
!!verbose
Para defnr a potca que so permtr montar undades de amacenamento externo (USB,
CDROM y DVDROM) a usuaro root, se crear e archvo
/var/b/pokt-1/ocaauthorty/50-oca.d/udsks.pka:
vim /var/lib/polkit!1/localauthority/:%!local#d/udisks#pkla
Y se aade e sguente contendo:
D?nidades de almacenamientoE
)dentity+unix!user7L
5ction+org#"reedesktop#udisks#"ilesystem!mount!system!internal
Result5ny+auth/admin
Result)nactive+auth/admin
Result5ctive+auth/admin
Para permtr so a un usuaro en partcuar, se camba uni2(user-Y (defne a cuaquer usuaro
de sstema) por uni2(user-usuario. En e sguente e|empo se permte e uso soo a usuaro
fuano:
)dentity+>n%E->ser1+>)#no
Result5ny+auth/admin
Result)nactive+auth/admin
Result5ctive+auth/admin
Para verfcar o anteror, se puede e|ecutar como root o sguente, donde 1586 corresponde a
nmero de dentdad de proceso de gnome-sesson y fuano corresponde a nombre de usuaro
actvo de escrtoro:
pkcheck !!action!id K
!!process 1:66 !u "ulano
Lo anteror debe devover una ventana de autentcacn smar a a sguente.
762
Ventana de autentcacn para admnstradores.
S se quere que en e caso anteror se use a contrasea de msmo usuaro, para evtar
proporconar a contrasea de root, cambe auth_admn por aut$Uself:
)dentity+unix!user7"ulano
Result5ny+#>$h_se)+
Result)nactive+#>$h_se)+
Result5ctive+#>$h_se)+
Para verfcar o anteror, se puede e|ecutar como root o sguente, donde 1586 corresponde a
nmero de dentdad de proceso de gnome-sesson y fuano corresponde a nombre de usuaro
actvo de escrtoro:
pkcheck !!action!id K
!!process 1:66 !u "ulano
Lo anteror debe devover una ventana de autentcacn smar a a sguente.
763
Ventana de autentcacn para usuaro.
Inserte una undad de amacenamento USB o dsco CD o DVD y verfque que aparece una
ventana de autentcacn, smar a cuaquera de as de arrba.
S so se desea prohbr e acceso a as undades de amacenamento externo a un soo usuaro,
se camba aut$Uself por no:
)dentity+unix!user7"ulano
Result5ny+no
Result)nactive+no
Result5ctive+no
Lo anteror mpedr que e usuaro fuano pueda hacer uso de undades de amacenamento
externo por competo, sn mostrar squera a ventana de autentcacn.
Para emnar a potca, smpemente se emna e archvo udisOs.pOla.
rm !" /var/lib/polkit!1/localauthority/:%!local#d/udisks#pkla
:6.*.7.*. "n ?,?" inu2 "nterprise ++.
Este sstemas operatvo utza =olicyNit I.[I. La confguracn vara respecto de as de
versones posterores. cabe seaar que SUSE Lnux Enterprse 10 carece de soporte para
PocyKt, por o cua e procedmento so apca para a versn 11 y posterores.
Lo prmero es determnar e estado de a potca
org.freedesOtop.$al.storage.mount(remova!le, e|ecutando o sguente:
polkit!action !!action K
org#"reedesktop#hal#storage#mount!removable
Para defnr a potca que so permtr montar undades de amacenamento externo (USB,
CDROM y DVDROM) a usuaro root, se edta e archvo >etc>polOit(default(privs.local:
764
vim /etc/polkit!de"ault!privs#local
Y se aade e sguente contendo:
org#"reedesktop#hal#storage#mount!removable auth/admin/keep/alays
A termnar se e|ecuta e mandato setUpolOitUdefaultUprivs para que se actve a potca.
set/polkit/de"ault/privs
Para permtr que so un usuaro reguar en partcuar pueda hacer uso de as undades de
amacenamento externo, se e|ecuta e mandato polOit(aut$ de sguente modo:
polkit!auth !!user "ulano !!grant K
Para deshacer e cambo, se e|ecuta o sguente:
polkit!auth !!user "ulano !!revoke K
Para mpedr que un soo usuaro sea quen tenga prohbdo hacer uso de as undades de
amacenamento externo, se omten todos os procedmentos anterores y se e|ecuta:
polkit!auth !!user "ulano !!block K
Para determnar os permsos de acceso de un usuaro en partcuar para
org.freedesktop.ha.storage.mount-removabe, se e|ecuta:
polkit!auth !!user "ulano !!explicit K
Inserte una undad de amacenamento USB o dsco CD o DVD y verfque que aparece una
ventana de autentcacn, smar a as de arrba.
765
:7. Administracin de configuraciones de
@)0;" *.
:7.+. &ntroduccin.
E escrtoro de GNOME 2 utza GConf para amacenar y admnstrar a confguracn de a mayor
parte de sus componentes. Se e|ecuta en segundo pano como gconfd-2 e nca
automtcamente |unto con e escrtoro, so una nstanca por usuaro.
La confguracn de escrtoro puede hacerse desde as preferencas de as apcacones
ndvduaes, desde e Centro de Contro, utzando e mandato gconftool(* o ben a travs de a
herramenta grfca gconf(editor.
GConf amacena as confguracones de os usuaros en e drectoro ^>.gconf de cada usuaros.
Los datos dentro de este drectoro so pueden ser modfcados por as preferencas de as
apcacones y componentes de escrtoro, e mandato gconftool(* o ben a herramenta grfca
gconf(editor. Cuaquer modfcacn reazada con edtor de texto dentro de este drectoro, ser
gnorada por competo por gconfd-2 y se perder rremedabemente a cerrar a sesn.
:7.*. ;andato gconftool(*.
E mandato gconftool(* puede ser utzado como usuaro reguar para cambar e vaor de
cuaquer confguracn amacenada dentro de drectoro ^>.gconf. Como root es posbe
cambar os vaores predetermnados o ben estabecer vaores obgatoros.
Para obtener una sta competa de as opcones de confguracn de escrtoro de un usuaro
reguar, |unto con os vaores que stas tengan, se e|ecuta e mandato gconftool(* con a opcn
((recursive(list (o ben -R) y /desktop/gnome (sn dagona a fna) como argumento:
gcon"tool!8 !!recursive!list /desktop/gnome
Para obtener una sta competa de as opcones de confguracn de as apcacones que utzan
GConf, |unto con os vaores que stas tengan, como usuaro reguar, se e|ecuta e mandato
gconftool(* con a opcn ((recursive(list (o ben -R) y /apps (sn dagona a fna) como
argumento:
gcon"tool!8 !!recursive!list /apps
766
Para reazar a bsqueda de una cave en partcuar, se e|ecuta e mandato gconftool(* con a
opcn ((searc$(Oey(rege2, seguda de una expresn reguar o cadena de texto que se desee
buscar. En e sguente e|empo se reaza a bsqueda de caves que concdan con a cadena
pictureTfilename:
gcon"tool!8 !!search!key!regex picture/"ilename
Para obtener una descrpcn corta de una cave en partcuar, se e|ecuta gconftoo-2, con a
opcn ((s$ort(docs y e nombre de a cave como argumento. En e sguente e|empo se
consuta a descrpcn corta de a cave /desktop/gnome/background/pcture_fename:
gcon"tool!8 !!short!docs K
/desktop/gnome/background/picture/"ilename
Lo anteror devover en esta cave se estabece un archvo de magen.
Para obtener una descrpcn de una cave en partcuar, se e|ecuta gconftoo-2, con a opcn
((long(docs y e nombre de a cave como argumento. En e sguente e|empo se consuta a
descrpcn de a cave /desktop/gnome/background/pcture_fename:
gcon"tool!8 !!long!docs K
/desktop/gnome/background/picture/"ilename
Lo anteror devover que se trata de a confguracn para estabecer e tapz o fondo de pantaa
de escrtoro.
Para obtener os vaores de una cave en partcuar, como usuaro reguar, se utza e mandato
gconftool(* con a opcn ((get (o ben -g) y e nombre de a cave como argumento. En e
sguente e|empo se consuta e vaor de /desktop/gnome/background/pcture_fename, que
corresponde a archvo de magen utzado como fondo de pantaa de escrtoro:
gcon"tool!8 !!get /desktop/gnome/background/picture/"ilename
La sada puede devover ago smar a o sguente:
/usr/share/backgrounds/aves/aves#xml
Para cambar cambar e vaor de esta confguracn, so para e usuaro reguar utzado, se
e|ecuta e mandato gconftool(* con a opcn ((set (o ben -s), e nombre de a cave, a opcn
((type (o ben -t) y e tpo de vaor (boo, foat, nt, st, par o strng para defnr vaores tpo
booeano, fotante, entero, sta, par o cadena, respectvamente) y fnamente e vaor a
estabecer para a cave. En e sguente e|empo se estabece
/usr/share/backgrounds/cosmos/|upter.|pg como e vaor para a cave
/desktop/gnome/background/pcture_fename:
gcon"tool!8 !!set /desktop/gnome/background/picture/"ilename K
!!type string ,/usr/share/backgrounds/cosmos/Qupiter#Qpg,
Para regresar una cave a su vaor predetermnado, se e|ecuta e mandato gconftool(* con a
opcn ((unset (o ben -u) y e nombre de a cave como argumento. En e sguente e|empo se
emna e vaor personazado para e cave /desktop/gnome/background/pcture_fename:
767
gcon"tool!8 !!unset /desktop/gnome/background/picture/"ilename
Para regresar a sus vaores predetermnados varas caves que estn dentro un msmo drectoro,
se e|ecuta e mandato gconftool(* con a opcn --recursve-unset y e nombre de drectoro
sobre e cua se emnarn de manera recursva os vaores personazados. En e sguente
e|empo, se emnarn os vaores personazados de todas as confguracones que estn deba|o
de >desOtop>gnome>!acOground:
gcon"tool!8 !!recursive!unset /desktop/gnome/background
Para estabecer vaores predetermnados, se utza gconftoo-2 como root, con a opcn ((direct
(acceso drecto a a base de datos de confguracones), a opcn ((config(source con a ruta
2ml-readRrite->etc>gconf>gconf.2ml.defaults, a opcn ((set con e nombre de a cave
cambar, a opcn ((type con e tpo de vaor y e vaor que se desea estabecer como
predetermnado para una cave en partcuar. En e sguente e|empo se estabecer e archvo
>usr>s$are>!acOgrounds>cosmos>.upiter..pg como e vaor predetermnado de
>desOtop>gnome>!acOground>pictureUfilename:
gcon"tool!8 !!direct K
!!con"ig!source xml7readrite7/etc/gcon"/gcon"#xml#de"aults K
!!set /desktop/gnome/background/picture/"ilename K
Lo anteror har que cuando e usuaro e|ecute o sguente:
gcon"tool!8 !!unset /desktop/gnome/background/picture/"ilename
Se muestre como magen predetermnada a archvo
>usr>s$are>!acOgrounds>cosmos>.upiter..pg en a que se estabec orgnamente en e
sstema. E usuaro podr estabecer cuaquer otra magen que desee como fondo de escrtoro y
cuando emne su confguracn personazada para esta cave, se mostrar a magen que se
haya estabecdo como predetermnada.
Para regresar una cave a vaor orgna, se e|ecuta e mandato gconftool(* con a opcn
((direct, a opcn ((config(source con a ruta 2ml-readRrite->etc>gconf>gconf.2ml.defaults
y a opcn ((unset. En e sguente e|empo se regresar a su vaor orgna a cave
!!con"ig!source xml7readrite7/etc/gcon"/gcon"#xml#de"aults K
!!unset /desktop/gnome/background/picture/"ilename
Para estabecer vaores obgatoros, es decr confguracones que os usuaros estarn
mposbtados para cambar, se utza gconftoo-2 como root, con a opcn ((direct (acceso
drecto a a base de datos de confguracones), a opcn ((config(source con a ruta
2ml-readRrite->etc>gconf>gconf.2ml.mandatory, a opcn ((set con e nombre de a cave a
cambar, a opcn ((type con e tpo de vaor y e vaor que se desea estabecer como
predetermnado para una cave en partcuar. En e sguente e|empo se estabecer
/usr/share/backgrounds/cosmos/|upter.|pg como e vaor obgatoro de
768
!!con"ig!source xml7readrite7/etc/gcon"/gcon"#xml#mandatory K
!!set /desktop/gnome/background/picture/"ilename K
Para poder aprecar este cambo en partcuar, es necesaro cerrar a sesn de escrtoro que est
actvo y vover a ngresar a ste. En agunos casos so ser necesaro cerrar y vover a e|ecutar
una apcacn en partcuar para a cua se hayan estabecdo os vaores obgatoros.
Para regresar una cave a vaor orgna, se e|ecuta e mandato gconftool(* con a opcn
((direct, a opcn ((config(source con a ruta 2ml-readRrite->etc>gconf>gconf.2ml.defaults
y a opcn ((unset. En e sguente e|empo se regresar a su vaor orgna a cave
!!con"ig!source xml7readrite7/etc/gcon"/gcon"#xml#mandatory K
!!unset /desktop/gnome/background/picture/"ilename
La mayora de as dstrbucones actuaes de GNU/Lnux utzan as rutas
>etc>gconf>gconf.2ml.defaults y >etc>gconf>gconf.2ml.mandatory, por o cua todo o
anteror deber funconar sn probemas. En SUSE Lnux Enterprse 10 y versones anterores, as
rutas son >etc>opt>gnome>gconf>gconf.2ml.defaults y
>etc>opt>gnome>gconf>gconf.2ml.mandatory, para as confguracones predetermnadas y
obgatoras, respectvamente.
:7.*.+. Configuraciones m<s com1nmente restringidas en el escritorio
de @)0;".
>desOtop>gnome>locOdoRn>disa!leUapplicationU$andlers:
Tpo de vaor booeano. S se estabece e vaor true, prevenr que cuaquer
apcacn e|ecute cuaquer gestor de URL o tpos MIME.
>desOtop>gnome>locOdoRn>disa!leUcommandUline:
Tpo de vaor booeano. S se estabece e vaor true, mpde que e usuaro acceda a
a termna de GNOME o que especfque una nea de mandatos para ser e|ecutada.
Esto tambn desactva e acceso a dogo de pane E|ecutar apcacn.
>desOtop>gnome>locOdoRn>disa!leUlocOUscreen:
Tpo de vaor booeano. S se estabece e vaor true, prevene que e usuaro boquee
su pantaa.
>desOtop>gnome>locOdoRn>disa!leUprinting:
Tpo de vaor booeano. S se estabece e vaor true, mpde que e usuaro mprma.
Desactva e acceso a todos os dogos Imprmr de todas as apcacones para
GNOME.
>desOtop>gnome>locOdoRn>disa!leUprintUsetup:
Tpo de vaor booeano. S se estabece e vaor true, mpde que e usuaro pueda
modfcar os a|ustes de mpresn. Desactva e acceso a todos os dogos
Confgurar mpresn de todas as apcacones.
769
>desOtop>gnome>locOdoRn>disa!leUsaveUtoUdisO:
Tpo de vaor booeano. S se estabece e vaor true, mpde que e usuaro pueda
guardar archvos en e dsco. Desactva e acceso a todos os dogos Guardar
como de todas as apcacones.
>desOtop>gnome>locOdoRn>disa!leUuserUsRitc$ing:
Tpo de vaor booeano. S se estabece e vaor true, prevene que e usuaro
seeccone otra cuenta mentras su sesn est actva.
>apps>nautilus>locOdoRn>disa!leUconte2tUmenus:
Tpo de vaor booeano. S se estabece e vaor true, prevene que os usuaros
puedan utzar os menes contextuaes de admnstrador de archvos. Muy
recomendado para koskos.
>apps>panel>glo!al>disa!leUlogUout:
Tpo de vaor booeano. S se estabece e vaor true, e pane mpedr a usuaro
cerrar a sesn, emnando as entradas de men de sada de sesn.
>apps>panel>glo!al>locOedUdoRn:
Tpo de vaor booeano. S se estabece e vaor true, e pane mpedr cambos en su
confguracn. Agunas mn-apcacones ndvduaes quz necesten boquearse de
forma ndependente. E pane (o a sesn) debe rencarse para que esto surta
efecto.
Ferramienta gconf(editor.
La herramenta grfca gconf(editor permte hacer todo o que hace gconftoo-2, pero con una
nterfaz grfca. So es necesaro ocazar y seecconar a cave, hacer cc derecho y edtar e
vaor de a cave o ben desestabecer sta o ben estabecer e vaor de a cave como
predetermnado u obgatoro. Para dstrbucones que ncuyen PocyKt (o pokt), aparecer un
dogo que soctar a contrasea de admnstrador cuando se requera estabecer vaores
predetermnados u obgatoros. Para as dstrbucones que carecen de PocyKt, es necesaro
e|ecutar gconf-edtor como root a fn de poder estabecer vaores predetermnados u obgatoros.
770
GConf-edtor.
En caso de ser necesaro, puede nstaarse en CentOS, Fedora y Red Hat Enterprse Lnux
e|ecutando:
yum !y install gcon"!editor
En caso de ser necesaro, puede nstaarse en openSUSE y SUSE Lnux Enterprse e|ecutando:
yast !i gcon"!editor
771
)otas
772
)otas
773
)otas
774
)otas
775

Configuracion Servidores Linux 20130329 MARZO

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Configuracion Servidores Linux 20130329 MARZO

Cargado por

Copyright:

Formatos disponibles

Configuracin De Servidores Con GNU/Linux Configuracin De Servidores Con GNU/Linux

Edicin Edicin Marzo 2013 Marzo 2013

También podría gustarte