|oe Barros Dueas Impementacn de Servdores con GNU/Lnux
Linux Para Todos
Implementacin de Servidores con GNU/Linux Edicin febrero 2007 oel !arrios "ue#as 1 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 2 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux A mi difunto padre, a quien debo reconocer jams supe comprender y a quien jams le d la oportunidad de entenderme. A mi madre, quien siempre tuvo una increble paciencia con mi desorden. A Blanca, Ana Elena, Gabriela M. (q.e.p.d., Alejandra, Ana!, Gabriela "., #ely y $ulieta, las mujeres que de al%una forma y en al%&n momento !an tenido si%nificado en mi vida y fueron fuente de inspiraci'n durante diversas etapas de mi e(istencia. Blanca, %racias a ti inici) mi %usto por escribir. *e a%rade+co el !aberme permitido escribirte todas esas cosas !ace tantos a,os. -iempre tendrs un lu%ar muy especial en mi cora+'n y mis pensamientos. A 3 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux $onformacin% Me encuentro de regreso en ms races, revso ms traba|os pasados, entre rsas y otros curss versos (sueos entonces de adoescente), desde exstencaes a o absurdo, gerezas tan sentmentaes construyendo un carcter (m mundo). 4 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux &ndice de contenido 1.Oue es GNU/Lnux?........................................................................................... .......23 1.1.Requermentos de sstema............................................................................... ......................24 2.Estndar de |erarqua de Sstema de Fcheros......................................................... 25 2.1.Introduccn.......................................................................................................................... ....25 2.2.Estructura de drectoros................................................................................. .........................25 2.3.Partcones recomendadas para nstaar GNU/Lnux..................................................... ............27 3.Instaacn en modo texto de CentOS 4.............................................................. .....28 3.1.Procedmentos......................................................................................................... ................28 4.Instaacn en modo grfco de CentOS 4.................................................... ............47 4.1.Procedmentos......................................................................................................... ................47 5.Cmo ncar e modo de rescate en CentOS 4........................................................66 5.1.Procedmentos......................................................................................................... ................66 6.Incando e sstema en nve de corrda 1 (nve mono-usuaro)............................71 6.1.Introduccn......................................................................................................................... .....71 6.2.Procedmentos......................................................................................................... ................71 7.Procedmentos de emergenca.................................................... ............................75 7.1.Introduccn.......................................................................................................................... ....75 7.2.Dsco de rescate................................................................................................... ....................75 7.3.Verfcacn de a ntegrdad de dsco............................................................................ ..........76 7.4.Asgnacn de formato de as partcones............................................................................. ....76 8.Cmo confgurar y utzar Sudo.......................................................... .....................77 8.1.Introduccn......................................................................................................................... .....77 8.1.1.Hstora........................................................................................................................................ ...........77 8.2.Fchero /etc/sudoers................................................................................. ................................77 8.2.1.Cmnd_Aas......................................................................................................................................... ....78 8.2.2.User_Aas..................................................................................................................................... ..........78 8.2.3.Host_Aas....................................................................................................................................... ........78 8.2.4.Runas_Aas...................................................................................................................... ......................79 8.3.Candados de segurdad.................................................................................................. ..........79 8.4.Lo que no se recomenda......................................................................... ................................80 8.5.Factando a vda a travs de -/.bash_profe...................................................... ...................80 9.Cmo crear cuentas de usuaro.......................................................................... ......82 9.1.Introduccn.......................................................................................................................... ....82 9.2.Procedmentos......................................................................................................... ................82 9.2.1.Creando una cuenta en e modo de texto: useradd y passwd..............................................................82 9.2.1.1.Lo prmero: e mandato useradd.................................................................................................. .......................82 9.2.1.2.Lo segundo: e mandato passwd.......................................................................................................... ...............83 9.2.1.3.Opcones avanzadas................................................................................................................... ........................83 9.2.2.Emnar una cuenta de usuaro.............................................................................................. ...............84 9.3.Mane|o de grupos....................................................................................................... ..............85 9.3.1.Ata de grupos................................................................................................................................ ........85 9.3.2.Ata de grupos de sstema................................................................................................ .....................85 9.3.3.Ba|a de grupos......................................................................................................................... ..............85 5 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 9.3.4.Asgnacn de usuaros exstentes a grupos exstentes........................................................................85 9.4.Comentaros fnaes acerca de a segurdad........................................................................ .....85 9.5.Apndce: Confgurando vaores predefndos para e ata de cuentas de usuaro...................87 9.5.1.Fchero /etc/defaut/useradd para defnr varabes utzadas por e mandato useradd.......................87 9.5.1.1.Varabe HOME............................................................................................................................................ .........87 9.5.1.2.Varabe SHELL............................................................................................................................ ........................87 9.5.2.Drectoro /etc/ske como mode para crear os drectoros de nco de os usuaros............................88 9.6.Apndce: E|ercco: Creando cuentas de usuaro.............................................................. .......89 9.6.1.Introduccn..................................................................................................................... ......................89 9.6.2.Procedmentos................................................................................................................................ .......89 10.Breve eccn de mandatos bscos.............................................. .........................91 10.1.Introduccn........................................................................................................................ ....91 10.2.Procedmentos........................................................................................................ ...............91 10.2.1.Buces.............................................................................................................................................. .....94 10.2.2.Aases.................................................................................................................................. ................95 10.2.3.Apagado y renco de sstema................................................................................................ .............96 10.3.Resumen de mandatos bscos.............................................................................. ................96 11.Funcones bscas de v............................................................ ..............................98 11.1.Introduccn........................................................................................................................ ....98 11.2.Procedmentos........................................................................................................ ...............98 11.2.1.Instaacn y paquetes adconaes.......................................................................................... ............98 11.3.Conocendo v.............................................................................................................. ...........98 11.4.Otras combnacones de tecas........................................................................................... ..111 11.5.Ms a de as funcones bscas.................................................................................... .....112 12.Permsos de Sstema de Fcheros......................................... ...............................113 12.1.Introduccn....................................................................................................................... ...113 12.2.Notacn smbca.......................................................................................... .....................113 12.3.Notacn octa....................................................................................................................... 114 12.3.1.Permsos adconaes............................................................................................................. .............114 12.4.E|empos....................................................................................................................... ........115 12.4.1.E|empos de permsos reguares...................................................................................... ..................115 12.4.2.E|empos de permsos especaes............................................................................ ..........................116 12.5.Uso de chmod.................................................................................................................... ...116 12.5.1.Opcones de chmod.................................................................................................... .......................117 12.5.2.E mandato chmod y os enaces smbcos..................................................................................... .117 13.Cmo utzar e mandato chattr............................................................... ............118 13.1.Introduccn....................................................................................................................... ...118 13.1.1.Acerca de mandato chattr............................................................................................................ .....118 13.2.Opcones............................................................................................................................. ..118 13.3.Operadores................................................................................................................. ..........119 13.4.Atrbutos................................................................................................................. ..............119 13.5.Utzacn.................................................................................................................. ...........120 13.5.1.E|empos............................................................................................................................................ .120 14.Creando depstos yum......................................................................... ...............121 14.1.Introduccn....................................................................................................................... ...121 14.2.Procedmentos....................................................................................................... ..............121 15.Uso de yum para nstaar y desnstaar paquetera y actuazar sstema...........123 15.1.Introduccn....................................................................................................................... ...123 15.2.Procedmentos....................................................................................................... ..............123 15.2.1.Actuazar sstema..................................................................................................................... .........123 15.2.2.Bsquedas................................................................................................................ .........................123 6 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 15.2.3.Consuta de nformacn..................................................................................................... ...............123 15.2.4.Instaacn de paquetes................................................................................................................. ....124 15.2.5.Desnstaacn de paquetes........................................................................................................... ....124 15.2.5.1.Agunos paquetes que se pueden desnstaar de sstema..............................................................................124 15.2.6.Lstado de paquetes................................................................................................. .........................124 15.2.7.Lmpeza de sstema................................................................................................. ........................125 16.Cmo crear paquetera con rpmbud..................................................................126 16.1.Introduccn....................................................................................................................... ...126 16.2.Instaacn de sustento gco necesaro................................................................... ..........126 16.3.Procedmentos....................................................................................................... ..............127 16.3.1.Creacn de a cave GnuPG........................................................................................................ .......127 16.3.2.Confguracn y creacn de una |aua para rpmbud............................................................ ...........127 16.3.2.1.Componentes de fchero -/.rpmmacros.......................................................................................... ...............128 16.3.2.2.Creacn de a estructura de a |aua para rpmbud................................................................................ ........128 16.3.3.Creacn de os fcheros*.spec.............................................................................................. .............129 16.3.3.1.E|empo de fchero *.spec...................................................................................................................... ..........131 16.3.4.Uso de mandato rpmbud..................................................................................... ...........................132 16.3.4.1.E|empos de uso de mandato rpmbud.......................................................................................... ................133 16.4.E|erccos.................................................................................................... ..........................134 16.4.1.Paquete RPM bnaro y e paquete *.src.rpm correspondente creando e fchero *.spec necesaro. 134 16.4.2.Paquete RPM bnaro y e paquete *.src.rpm correspondente reazando mpeza de drectoro, frma dgta.................................................................................................................................. ..........................135 17.Cmo asgnar cuotas de dsco........................................................................... ...136 17.1.Introduccn....................................................................................................................... ...136 17.2.Procedmentos....................................................................................................... ..............136 17.2.1.Edquota........................................................................................................................................... ...137 17.2.1.1.Cuota absouta...................................................................................................................................... ..........138 17.2.1.2.Cuota de graca....................................................................................................................................... ........138 17.2.1.3.Apcando cuotas masvamente.............................................................................................. ........................138 17.3.Comprobacones............................................................................................................. ......138 18.Introduccn a TCP/IP................................................................. ...........................140 18.1.Introduccn....................................................................................................................... ...140 18.2.Nvees de pa....................................................................................................... ...............140 18.2.1.Modeo TCP/IP.................................................................................................................................. ...141 18.2.1.1.Nve de apcacn........................................................................................................................ ..................143 18.2.1.2.Nve de Transporte................................................................................................................. ........................143 18.2.1.3.Nve de Red..................................................................................................................................... ...............145 18.2.1.4.Nve de Enace........................................................................................................................................... .....146 18.2.1.5.Nve Fsco...................................................................................................................................... ................146 18.2.2.Modeo OSI............................................................................................................................ .............146 19.Introduccn a IP versn 4........................................................ ...........................148 19.1.Introduccn....................................................................................................................... ...148 19.2.Dreccones................................................................................................................ ...........148 19.2.1.Representacn de as dreccones............................................................................................... ......148 19.3.Asgnacn............................................................................................................... .............149 19.3.1.Boques reservados....................................................................................................................... .....149 19.3.1.1.Redes prvadas......................................................................................................................................... .......150 19.3.1.2.Anftrn oca (Locahost).......................................................................................................................... ......150 19.4.Referenca de subredes de IP versn 4......................................................................... .......151 19.5.Referencas.................................................................................................................. .........152 20.Cmo confgurar correctamente os parmetros de red.....................................153 20.1.Introduccn....................................................................................................................... ...153 20.2.Procedmentos....................................................................................................... ..............153 20.2.1.Deteccn y confguracn de sustento fsco (hardware)......................................................... ........153 20.2.2.Asgnacn de parmetros de red........................................................................................... ...........154 20.2.2.1.Nombre de anftrn (HOSTNAME).............................................................................................. ....................154 7 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 20.2.2.2.Dreccn IP, mscara de subred y puerta de enace............................................................................ ...........154 20.2.2.3.Servdores de nombres.................................................................................................................................. ..154 20.2.3.Agregar encamnamentos (rutas) adconaes................................................................... ...............155 20.2.4.Funcn de reenvo de paquetes para IP versn 4....................................................................... .....155 20.2.5.Comprobacones......................................................................................................... .......................155 20.2.6.Ata de dreccones IP vrtuaes........................................................................................... ...............156 20.2.7.La funcn Zeroconf........................................................................................................ ...................156 20.2.8.Deshabtar IPv6................................................................................................................... .............158 20.3.E|erccos.................................................................................................... ..........................158 20.3.1.Encamnamentos esttcos............................................................................................... ................158 20.3.2.Dreccones IP vrtuaes.......................................................................................................... ............161 21.Cmo confgurar un servdor DHCP en una LAN........................................... .......166 21.1.Introduccn....................................................................................................................... ...166 21.2.Sustento gco necesaro.................................................................................................... .166 21.3.Fchero de confguracn.......................................................................... ............................167 22.Cmo confgurar vsftpd (Very Secure FTP Daemon)...........................................169 22.1.Introduccn....................................................................................................................... ...169 22.2.Sustento gco necesaro.................................................................................................... .169 22.3.Fcheros de confguracn............................................................................................. ........169 22.4.Procedmentos...................................................................................................... ...............169 22.4.1.Parmetro anonymous_enabe................................................................................... .......................169 22.4.2.Parmetro oca_enabe.................................................................................................................. ....170 22.4.3.Parmetro wrte_enabe...................................................................................................... ...............170 22.4.4.Parmetro ftpd_banner............................................................................................... .......................170 22.4.5.Estabecendo |auas para os usuaros: parmetros chroot_oca_user y chroot_st_fe..................170 22.4.6.Contro de ancho de banda.............................................................................................................. .170 22.4.6.1.Parmetro anon_max_rate...................................................................................................... ........................170 22.4.6.2.Parmetro oca_max_rate.................................................................................................................. .............171 22.4.6.3.Parmetro max_cents......................................................................................................................... ...........171 22.4.6.4.Parmetro max_per_p................................................................................................................................... ..171 22.5.Apcando os cambos............................................................................................... ...........171 22.6.Modfcacones necesaras en e muro cortafuegos............................................... ...............172 23.Cmo confgurar OpenSSH............................................................... ....................173 23.1.Introduccn....................................................................................................................... ...173 23.1.1.Acerca de SSH......................................................................................................................... ...........173 23.1.2.Acerca de SFTP................................................................................................................ ...................173 23.1.3.Acerca de SCP................................................................................................................................. ....173 23.1.4.Acerca de OpenSSH.................................................................................................... .......................173 23.2.Sustento gco necesaro.................................................................................................... .174 23.3.Fcheros de confguracn............................................................................................. ........174 23.4.Procedmentos...................................................................................................... ...............174 23.4.1.Parmetro Port................................................................................................................ ...................174 23.4.2.Parmetro LstenAddress............................................................................................ .......................174 23.4.3.Parmetro PermtRootLogn...................................................................................... .........................174 23.4.4.Parmetro X11Forwardng...................................................................................... ...........................175 23.4.5.Parmetro AowUsers................................................................................................. .......................175 23.5.Apcando os cambos............................................................................................... ...........175 23.6.Probando OpenSSH............................................................................................................... 176 23.6.1.Acceso a travs de ntrprete de mandatos............................................................................... .......176 23.6.2.Transferenca de fcheros a travs de SFTP............................................................................. ...........176 23.6.3.Transferenca de fcheros a travs de SCP................................................................. ........................177 23.7.Modfcacones necesaras en e muro cortafuegos............................................... ...............178 24.Cmo utzar OpenSSH con autentcacn a travs de cave pbca.................179 24.1.Introduccn....................................................................................................................... ...179 24.2.Procedmentos....................................................................................................... ..............179 24.2.1.Modfcacones en e Servdor................................................................................. ...........................179 8 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 24.2.2.Modfcacones en e Cente...................................................................................... ........................179 24.2.2.1.Generar cave pbca............................................................................................................. ........................179 24.2.3.Comprobacones.......................................................................................................... ......................180 25.Cmo confgurar OpenSSH con Chroot........................................ ........................181 25.1.Introduccn....................................................................................................................... ...181 25.2.Procedmentos....................................................................................................... ..............181 25.2.0.1.E|empo de contendo de /etc/passwd dentro de a |aua.......................................................................... ......182 25.2.0.2.E|empo de contendo de /etc/group dentro de a |aua..................................................................................182 25.3.E|empo prctco:.............................................................................................................. ....183 25.3.1.Crear as cuentas de os usuaros................................................................................... ...................183 25.3.2.Confguracn de Apache......................................................................................................... ..........184 25.4.Comprobacones............................................................................................................. ......184 26.Cmo confgurar NTP........................................................ ....................................186 26.1.Introduccn....................................................................................................................... ...186 26.1.1.Acerca de NTP................................................................................................................................... ..186 26.1.1.1.Estratos............................................................................................................................................... ............186 26.1.2.Acerca de UTC....................................................................................................................... .............187 26.2.Procedmentos...................................................................................................... ...............187 26.2.1.Herramenta ntpdate................................................................................................... ......................187 26.2.2.Fchero de confguracn /etc/ntp.conf.......................................................................................... .....187 26.2.3.Agregar e servco a arranque de sstema........................................................... ...........................188 26.2.4.Incar, detener y rencar servco........................................................................................... ..........188 26.3.Modfcacones necesaras en e muro cortafuegos............................................... ...............189 27.Cmo confgurar e sstema para sesones grfcas remotas.............................190 27.1.Introduccn....................................................................................................................... ...190 27.2.Sesn grfca remota con GDM.................................................................. .........................190 27.2.1.Procedmento............................................................................................................... .....................190 28.Cmo confgurar un servdor NFS........................................................................193 28.1.Introduccn....................................................................................................................... ...193 28.2.Procedmentos....................................................................................................... ..............193 28.2.1.Instaacn de sustento gco necesaro............................................................................ ..............193 28.3.Confgurando a segurdad.............................................................................. .....................193 28.3.1.Compartr un voumen NFS......................................................................................................... .......194 28.3.2.Confgurando as mqunas centes.......................................................................................... ........195 28.4.Instaacn de GNU/Lnux a travs de un servdor NFS.................................................. .......196 29.Cmo confgurar SAMBA............................................................................ ...........198 29.1.Introduccn....................................................................................................................... ...198 29.1.1.Acerca de protocoo SMB........................................................................................ ..........................198 29.1.2.Acerca de Samba............................................................................................................ ...................198 29.2.Sustento gco necesaro...................................................................... ..............................198 29.3.Confguracn bsca de Samba......................................................................... ..................199 29.3.1.Ata de cuentas de usuaro............................................................................................... .................199 29.3.2.E fchero mhosts.......................................................................................................................... .....199 29.3.3.Parmetros prncpaes de fchero smb.conf.................................................................... .................200 29.3.4.Parmetros tes para a segurdad................................................................................ ..................200 29.3.5.Impresoras en Samba........................................................................................................ ................201 29.3.6.Compartendo drectoros a travs de Samba................................................................. ..................202 29.4.Confguracn avanzada de Samba.......................................................................... ............203 29.4.1.Reasgnacn de grupos de Wndows en Samba............................................................ ...................203 29.4.2.Ata de cuentas de usuaro en Controador Prmaro de Domno......................................................205 29.4.3.Parmetros de confguracn avanzada en e fchero smb.conf........................................................206 29.4.3.1.Anuncando e servdor Samba en os grupos de traba|o............................................................................ .....206 29.4.3.2.Ocutando y denegando acceso a fcheros...................................................................................... ................206 29.4.3.3.Opcones para cente o servdor Wns......................................................................................................... ....207 29.4.3.4.Opcones especfcas para Controador Prmaro de Domno (PDC).................................................................207 9 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Drectoro para Netogon y perfes en Controador Prmaro de Domno (PDC)..............208 29.5.Incar e servco y aadro a arranque de sstema................................ ...........................209 29.6.Accedendo haca Samba.......................................................................... ...........................209 29.6.1.Modo texto............................................................................................................................ .............209 29.6.1.1.Smbcent............................................................................................................................................. ...........209 29.6.1.2.Por monta|e de undades de red.................................................................................................................... ..210 29.6.2.Modo grfco............................................................................................................... .......................212 29.6.2.1.Desde e entorno de GNOME...................................................................................................... .....................212 29.6.2.2.Desde Wndows.................................................................................................................................... ...........212 29.7.Unendo mqunas a domno de Controador Prmaro de Domno...................................212 29.7.1.Creando manuamente cuentas de mqunas............................................................................. ......213 29.7.2.Wndows 95/98/ME y Wndows XP Home.................................................................................... .......213 29.7.3.Wndows NT............................................................................................................. ..........................213 29.7.4.Wndows 2000/2003 y Wndows XP Profesona................................................................................213 30.La ngenera soca y os |ncorrectos| hbtos de usuaro................................215 30.1.Recomendacones para evtar ser vctmas de a ngenera soca a travs de correo eectrnco........................................................................................................................... .........216 31.Confguracn bsca de Sendma................................................. ......................217 31.1.Introduccn....................................................................................................................... ...217 31.1.1.Acerca de Sendma................................................................................................. ..........................217 31.1.2.Acerca de Dovecot.............................................................................................................. ...............217 31.1.3.Acerca de SASL y Cyrus SASL.............................................................................................. ..............217 31.1.4.Protocoos utzados................................................................................................. .........................218 31.1.4.1.SMTP (Smpe Ma Transfer Protoco)........................................................................................................... ....218 31.1.4.2.POP3 (Post Offce Protoco, verson 3).............................................................................................................. 218 31.1.4.3.IMAP (Internet Message Access Protoco)...................................................................................... ..................219 31.2.Sustento gco necesaro...................................................................... ..............................221 31.2.1.Instaacn a travs de yum............................................................................................................. ..221 31.2.2.Instaacn a travs de Up2date............................................................................................. ...........221 31.3.Procedmentos....................................................................................................... ..............222 31.3.1.Ata de cuentas de usuaro y asgnacn de caves de acceso..........................................................222 31.3.2.Domnos a admnstrar............................................................................................................... .......222 31.3.3.Contro de acceso.................................................................................................... ..........................223 31.3.4.Aas de a cuenta de root.................................................................................................. ................224 31.3.5.Confguracn de funcones de Sendma................................................................... .......................224 31.3.5.1.confSMTP_LOGIN_MSG.................................................................................................................................... .224 31.3.5.2.confAUTH_OPTIONS................................................................................................................................ .........225 31.3.5.3.TRUST_AUTH_MECH y confAUTH_MECHANISMS......................................................................................... ......225 31.3.5.4.DAEMON_OPTIONS........................................................................................................................................... 225 31.3.5.5.FEATURE(`accept_unresovabe_domans').............................................................................................. ........225 31.3.5.6.Enmascaramento........................................................................................................................ ...................226 31.3.5.7.Parmetro Cw.......................................................................................................................................... ........226 31.3.6.Usuaros Vrtuaes....................................................................................................... .......................226 31.3.7.Contro de correo chatarra (Spam) a travs de DNSBLs................................................................... 227 31.3.8.Protocoos para acceder haca e correo.......................................................................... ..................228 31.3.9.Rencando servco................................................................................................. ..........................228 31.4.Encamnamento de domnos............................................................................ ..................228 31.4.1.Redundanca de servdor de correo............................................................................ ......................228 31.4.2.Servdor de correo ntermedaro...................................................................................... .................229 31.5.Verfcando e servco............................................................................ ..............................230 31.6.Pruebas para e envo de correo............................................................................ ...............231 31.6.1.Utzando tenet............................................................................................................................. ....231 31.6.2.Utzando mutt.......................................................................................................... ........................233 31.7.Referencas.................................................................................................................. .........234 32.Opcones avanzadas de segurdad para Sendma..............................................235 32.1.Introduccn....................................................................................................................... ...235 32.2.Funcones.................................................................................................. ...........................235 32.2.1.confMAX_RCPTS_PER_MESSAGE.................................................................................... ....................235 32.2.2.confBAD_RCPT_THROTTLE............................................................................................... ..................235 10 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 32.2.3.confPRIVACY_FLAGS........................................................................................................... ................235 32.2.4.confMAX_HEADERS_LENGTH..................................................................................... ........................236 32.2.5.confMAX_MESSAGE_SIZE....................................................................................................... ............236 32.2.6.confMAX_DAEMON_CHILDREN............................................................................................ ...............236 32.2.7.confCONNECTION_RATE_THROTTLE................................................................................................. ..236 33.Cmo confgurar Sendma y Dovecot con soporte SSL/TLS...............................237 33.1.Introduccn....................................................................................................................... ...237 33.1.1.Acerca de DSA................................................................................................................................. ...237 33.1.2.Acerca de RSA......................................................................................................................... ...........237 33.1.3.Acerca de X.509...................................................................................................................... ...........237 33.1.4.Acerca de OpenSSL................................................................................................................... .........238 33.2.Procedmentos...................................................................................................... ...............238 33.2.1.Sendma. .......................................................................................................................... ................238 33.2.1.1.Generando cave y certfcado............................................................................................................. ............238 33.2.1.2.Parmetros de /etc/ma/sendma.mc............................................................................................ .................239 33.2.1.3.Comprobacn..................................................................................................................................... ............240 33.2.2.Dovecot. ...................................................................................................................................... ......240 33.2.2.1.Generando cave y certfcado............................................................................................................. ............240 33.2.2.2.Parmetros de /etc/dovecot.conf.......................................................................................................... ...........241 33.2.2.3.Comprobacn..................................................................................................................................... ............242 33.2.3.Confguracn de GNOME Evouton.................................................................................................. .242 33.2.3.1.Confguracn GNOME Evouton................................................................................................................. .....242 33.2.3.2.Confguracn Moza Thunderbrd.................................................................................................... ..............244 33.2.4.Modfcacones necesaras en e muro cortafuegos......................................................... ..................245 34.Instaacn y confguracn de SqurremMa (correo a travs de nterfaz HTTP )... 246 34.1.Introduccn....................................................................................................................... ...246 34.2.Procedmentos....................................................................................................... ..............246 34.2.1.Instaacn de sustento gco necesaro............................................................................ ..............246 34.2.2.Confguracn de SqurreMa............................................................................................. ...............246 34.3.Fnazando confguracn........................................................................................... ..........249 34.4.A|ustes en php.n para optmzar e uso de Squrrema.....................................................250 35.Apndce: Envar correo a todos os usuaros de sstema..................................252 35.1.Procedmentos....................................................................................................... ..............252 35.2.Acerca de a segurdad......................................................................................... ................252 36.Confguracn de MaScanner y CamAV con Sendma......................................253 36.1.Introduccn....................................................................................................................... ...253 36.1.1.Acerca de MaScanner........................................................................................................ ...............253 36.1.2.Acerca de CamAV................................................................................................... ...........................254 36.1.3.Acerca de SpamAssassn................................................................................................................. ...254 36.2.Procedmentos...................................................................................................... ...............254 36.2.1.Sustento gco necesaro....................................................................................................... ...........254 36.2.2.Confguracn de MaScanner................................................................................ ...........................255 36.2.2.1.Lengua|e de os mensa|es de sstema............................................................................................... ..............255 36.2.2.2.Identfcacn de a organzacn....................................................................................................... ..............255 36.2.2.3.Ad|untos en formato de texto enrquecdo...................................................................................................... .256 36.2.2.4.Defnr ant-vrus a utzar................................................................................................................................ 256 36.2.2.5.Poner en cuarentena os mensa|es nfectados o no?.....................................................................................257 36.2.2.6.Permtr mensa|es con etqueta Iframe, Form y Scrpt.....................................................................................257 36.2.3.Contro de Spam............................................................................................................. ...................258 36.2.3.1.A travs de DNSBL o stas negras............................................................................................................. ......258 36.2.3.2.A travs de SpamAssassn.............................................................................................................................. .258 36.2.3.3.Lstas Bancas................................................................................................................................................. .260 36.2.4.Confguracn de servcos..................................................................................................... ............260 36.3.Comprobacones............................................................................................................ .......261 36.4.Modfcacones necesaras en e muro cortafuegos............................................... ...............262 11 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 37.Cmo confgurar OpenLDAP como servdor de autentcacn............................263 37.1.Introduccn....................................................................................................................... ...263 37.2.Sustento gco requerdo.................................................................................................. ...263 37.2.1.Instaacn a travs de yum.............................................................................................................. .263 37.2.2.Instaacn a travs de up2date....................................................................................... .................263 37.3.Procedmentos...................................................................................................... ...............263 37.4.Comprobacones............................................................................................................ .......265 37.5.Confguracn de centes...................................................................................... ...............267 37.5.1.authconfg (modo texto)......................................................................................................... ...........267 37.5.2.authconfg-gtk (modo grfco)................................................................................................ ...........268 37.6.Admnstracn.................................................................................................................... ..269 37.7.Respado de datos............................................................................................. ...................270 37.8.Restauracn de datos............................................................................................ ..............270 37.9.Modfcacones necesaras en e muro cortafuegos............................................... ...............271 38.Cmo confgurar OpenLDAP como breta de dreccones...................................272 38.1.Introduccn....................................................................................................................... ...272 38.2.Sustento gco requerdo.................................................................................................. ...272 38.2.1.Instaacn a travs de yum.............................................................................................................. .272 38.2.2.Instaacn a travs de up2date....................................................................................... .................272 38.3.Procedmentos...................................................................................................... ...............272 38.4.Confguracn de centes...................................................................................... ...............275 38.4.1.Nove Evouton.................................................................................................................. ...............275 38.4.2.Moza Thunderbrd.................................................................................................. .........................277 38.4.3.Squrrema.......................................................................................................................... ..............278 38.5.Admnstracn.................................................................................................................... ..278 38.6.Respado de datos............................................................................................. ...................279 38.7.Restauracn de datos............................................................................................ ..............279 38.8.Modfcacones necesaras en e muro cortafuegos............................................... ...............280 39.Cmo confgurar OpenLDAP con soporte SSL/TLS...............................................281 39.1.Introduccn....................................................................................................................... ...281 39.1.1.Acerca de LDAP en modo SSL/TLS...................................................................................... ...............281 39.1.2.Acerca de RSA......................................................................................................................... ...........281 39.1.3.Acerca de X.509...................................................................................................................... ...........281 39.1.4.Acerca de OpenSSL................................................................................................................... .........282 39.2.Procedmentos...................................................................................................... ...............282 39.2.1.Generando cave y certfcado.......................................................................................... .................282 39.2.2.Parmetros de /etc/opendap/sapd.conf.................................................................... .......................283 39.2.3.Comprobacn......................................................................................................................... ...........283 39.2.4.Confguracn de GNOME Evouton.................................................................................................. .283 39.2.5.Confguracn de Moza Thunderbrd.............................................................................. .................284 39.2.6.Confguracn LDAP Browser.................................................................................................. ............285 39.2.7.Confguracn LDAP Admnstraton Too................................................................................ ............285 39.3.Modfcacones necesaras en e muro cortafuegos............................................... ...............286 40.Confguracn bsca de Apache................................................ ..........................287 40.1.Introduccn....................................................................................................................... ...287 40.1.1.Acerca de protocoo HTTP.......................................................................................................... ........287 40.1.2.Acerca de Apache..................................................................................................... .........................287 40.2.Sustento gco necesaro.................................................................................................... .287 40.2.1.Instaacn a travs de yum.............................................................................................................. .287 40.2.2.Instaacn a travs de Up2date............................................................................................. ...........288 40.3.Incar servco y aadr e servco a arranque de sstema................................. ................288 40.4.Procedmentos...................................................................................................... ...............288 40.4.1.SELnux y Apache..................................................................................................... .........................288 40.4.2.UTF-8 y codfcacn de documentos................................................................................. ................289 40.4.3.Fcheros de confguracn........................................................................................... .......................290 40.4.4.Drectoros vrtuaes.............................................................................................................. .............290 12 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 40.4.5.Redreccn de drectoros............................................................................................................ ......291 40.4.6.Tpos de MIME..................................................................................................................... ...............291 40.4.7.Soporte para CGI con extensn *.cg......................................................................................... .......291 40.4.7.1.Probando a confguracn.................................................................................................................... ...........291 40.4.7.2.Probemas posterores.......................................................................................................................... ...........292 40.4.7.3.Error ms comn nmero 1................................................................................................................ .............292 40.4.7.4.Error ms comn nmero 2................................................................................................................ .............292 40.4.8.Robo de mgenes....................................................................................................... ......................292 40.5.Modfcacones necesaras en e muro cortafuegos............................................... ...............293 40.6.Apndce: Confguracn de Stos de Red vrtuaes en Apache...........................................294 40.7.Apndce: Cmo habtar os .htaccess y SSI en Apache 2.0.x.........................................296 40.7.1.Introduccn.................................................................................................................... ...................296 40.7.2.E|empo........................................................................................................................... ...................296 41.Cmo confgurar Apache con soporte SSL/TLS. ......................................... .........298 41.1.Introduccn....................................................................................................................... ...298 41.1.1.Acerca de HTTPS............................................................................................................... .................298 41.1.2.Acerca de RSA......................................................................................................................... ...........298 41.1.3.Acerca de Trpe DES....................................................................................................... ...................298 41.1.4.Acerca de X.509...................................................................................................................... ...........299 41.1.5.Acerca de OpenSSL................................................................................................................... .........299 41.1.6.Acerca de mod_ss.................................................................................................. ...........................299 41.2.Requstos.............................................................................................................. ...............299 41.3.Sustento gco necesaro.................................................................................................... .299 41.3.1.Instaacn a travs de yum.............................................................................................................. .299 41.3.2.Instaacn a travs de Up2date............................................................................................. ...........299 41.4.Procedmentos...................................................................................................... ...............300 41.4.1.Generando cave y certfcado.......................................................................................... .................300 41.4.2.Confguracn de Apache.......................................................................................................... .........302 41.4.3.Comprobacn......................................................................................................................... ...........302 41.4.4.Modfcacones necesaras en e muro cortafuegos......................................................... ..................303 42.Cmo confgurar un servdor de nombres de domno (DNS).............................304 42.1.Introduccn....................................................................................................................... ...304 42.1.1.Bnd (Berkeey Internet Name Doman)........................................................................................... ..304 42.1.2.DNS (Doman Name System)........................................................................................................ .....304 42.1.3.NIC (Network Informaton Center)................................................................................... ..................304 42.1.4.FODN (Fuy Ouafed Doman Name)....................................................................................... .........305 42.1.5.Componentes de un DNS................................................................................................................ ...305 42.1.5.1.Centes DNS.............................................................................................................................. .....................305 42.1.5.2.Servdores DNS...................................................................................................................... .........................305 42.1.5.3.Zonas de Autordad................................................................................................................................ .........306 42.1.6.Herramentas de bsqueda y consuta.................................................................................. ............308 42.1.6.1.Mandato host................................................................................................................................. .................308 42.1.6.2.Mandato dg..................................................................................................................................... ...............308 42.1.6.3.Mandato |whos (whos).......................................................................................................................... .........309 42.2.Sustento gco necesaro...................................................................... ..............................309 42.2.1.Instaacn a travs de yum............................................................................................................. ..309 42.2.2.Instaacn a travs de Up2date............................................................................................. ...........309 42.3.Procedmentos....................................................................................................... ..............310 42.3.1.Preparatvos.................................................................................................................... ...................310 42.3.2.Creacn de os fcheros de zona.................................................................................... ...................310 42.3.2.1.Zona de reenvo red oca /var/named/chroot/var/named/red-oca.zone.........................................................310 42.3.2.2.Zona de resoucn nversa red oca /var/named/chroot/var/named/1.168.192.n-addr.arpa.zone..................311 42.3.2.3.Zona de reenvo de domno /var/named/chroot/var/named/domno.com.zone.............................................311 42.3.2.4.Zona de resoucn nversa de domno /var/named/chroot/var/named/1.243.148.n-addr.arpa.zone............312 42.3.2.5.Confguracn de parmetros en e fchero /etc/named.conf...........................................................................312 42.3.3.Segurdad adcona en DNS para uso pbco............................................................................. ......313 42.3.3.1.Fchero /etc/named.conf......................................................................................................................... .........313 42.3.4.Segurdad adcona en DNS para uso excusvo en red oca............................................................314 42.3.4.1.Fchero /etc/named.conf......................................................................................................................... .........314 42.3.5.Las zonas escavas.......................................................................................................................... ...315 42.3.5.1.Fchero /etc/named.conf Servdor DNS secundaro............................................................................... ...........315 42.3.5.2.Fchero /etc/named.conf Servdor DNS prmaro................................................................................ ..............315 13 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 42.3.6.Rencar servco y depuracn de confguracn............................................................................... 316 43.Cmo confgurar Squd: Parmetros bscos para Servdor Intermedaro (Proxy). . 318 43.1.Introduccn....................................................................................................................... ...318 43.1.1.Ou es Servdor Intermedaro (Proxy)?..................................................................... ......................318 43.1.2.Acerca de Squd............................................................................................................ .....................319 43.1.2.1.Agortmos de cach utzados por Squd................................................................................................... .....319 43.2.Sustento gco necesaro...................................................................... ..............................320 43.2.1.Instaacn a travs de yum............................................................................................................. ..320 43.2.2.Instaacn a travs de up2date...................................................................................... ..................320 43.2.3.Otros componentes necesaros....................................................................................................... ...320 43.3.Antes de contnuar........................................................................................ .......................321 43.4.Confguracn bsca............................................................................................ ................321 43.4.1.Parmetro http_port: Ou puerto utzar para Squd?................................................................... ..321 43.4.2.Parmetro cache_mem.............................................................................................. ........................322 43.4.3.Parmetro cache_dr: Cunto desea amacenar de Internet en e dsco duro?...............................323 43.4.4.Parmetro ftp_user.......................................................................................................................... ...323 43.4.5.Controes de acceso.................................................................................................................. .........323 43.4.5.1.Lstas de contro de acceso....................................................................................................... ......................324 43.4.5.2.Regas de Contro de Acceso...................................................................................................... .....................324 43.4.6.Apcando Lstas y Regas de contro de acceso................................................................................325 43.4.6.1.Caso 1............................................................................................................................................... ..............325 43.4.6.2.Caso 2................................................................................................................................................ .............326 43.4.7.Parmetro chache_mgr....................................................................................................... ...............327 43.4.8.Parmetro cache_peer: caches padres y hermanos..........................................................................327 43.5.Cach con aceeracn.......................................................................... ...............................328 43.5.1.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) en modo convencona..................328 43.5.2.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) Transparente.................................328 43.5.3.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) Transparente para redes con Internet Exporer 5.5 y versones anterores................................................................................... ...........................328 43.6.Estabecendo e doma de os mensa|es mostrados por de Squd haca e usuaro............329 43.7.Incar, rencar y aadr e servco a arranque de sstema...............................................329 43.8.Depuracn de errores........................................................................................... ...............330 43.9.A|ustes para e muro corta-fuegos....................................................................................... .330 43.9.1.Re-drecconamento de petcones a travs de ptabes y Frestarter...............................................330 43.9.2.Re-drecconamento de petcones a travs de a opcn REDIRECT en Shorewa..........................331 44.Cmo confgurar Squd: Acceso por autentcacn..............................................332 44.1.Introduccn....................................................................................................................... ...332 44.2.Sustento gco necesaro...................................................................... ..............................332 44.3.Egendo e mduo de autentcacn....................................................... ...........................332 44.3.1.Autentcacn a travs de mduo LDAP................................................................................. ..........332 44.3.1.1.Parmetros en /etc/squd/squd.conf............................................................................................... ................333 44.3.2.Autentcacn a travs de mduo NCSA....................................................................... ...................333 44.3.2.1.Creacn de fchero de caves de acceso........................................................................................ ................333 44.3.2.2.Parmetros en /etc/squd/squd.conf............................................................................................... ................333 44.4.Lstas y regas de contro de acceso........................................................................ .............334 44.4.1.Fnazando procedmento.................................................................................................. ...............335 45.Cmo confgurar Squd: Restrccn de acceso a Stos de Red..........................336 45.1.Introduccn....................................................................................................................... ...336 45.2.Sustento gco necesaro...................................................................... ..............................336 45.3.Defnendo patrones comunes........................................................................................ ......336 45.4.Parmetros en /etc/squd/squd.conf.......................................................... ..........................337 45.4.1.Permtendo acceso a stos nocentes ncdentamente boqueados................................................337 45.4.2.Fnazando procedmento.................................................................................................. ...............338 46.Cmo confgurar Squd: Restrccn de acceso a contendo por extensn........339 46.1.Introduccn....................................................................................................................... ...339 14 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 46.2.Sustento gco necesaro...................................................................... ..............................339 46.3.Defnendo eementos de a Lsta de Contro de Acceso............................................ ...........339 46.4.Parmetros en /etc/squd/squd.conf.......................................................... ..........................340 46.4.1.Fnazando procedmento................................................................................................ .................341 47.Cmo confgurar Squd: Restrccn de acceso por horaros...............................342 47.1.Introduccn....................................................................................................................... ...342 47.2.Sustento gco necesaro...................................................................... ..............................342 47.3.Procedmentos....................................................................................................... ..............342 47.3.1.Ms e|empos............................................................................................................... ......................343 47.3.1.1.Restrngendo e tpo de contendo............................................................................................................ ......343 47.3.1.2.Combnando regas de tempo y contendo......................................................................................... ............343 47.3.2.Fnazando procedmento.................................................................................................. ...............344 48.Apndce: Lstas y regas de contro de acceso para Squd................................345 48.0.1.Regas apcadas....................................................................................................... .........................345 49.Cmo confgurar un muro cortafuegos con Shorewa y tres nterfaces de red. 347 49.1.Introduccn....................................................................................................................... ...347 49.1.1.Acerca de Shorewa................................................................................................................... ........347 49.1.2.Acerca de Iptabes y Netfter.................................................................................................... .........347 49.1.3.Acerca de Iproute...................................................................................................................... .........347 49.1.4.Requstos....................................................................................................................................... ....348 49.2.Conceptos requerdos..................................................................................................... ......348 49.2.1.Ou es una zona desmtarzada?................................................................................ ...................348 49.2.2.Oue es una Red Prvada?........................................................................................ .........................348 49.2.3.Ou es un NAT?................................................................................................................. ...............349 49.2.4.Ou es un DNAT?............................................................................................................................ ..349 49.3.Procedmentos...................................................................................................... ...............349 49.3.1.Sustento gco necesaro....................................................................................................... ...........349 49.3.2.Fchero de confguracn /etc/shorewa/shorewa.conf................................................................... ..349 49.3.3.Fchero de confguracn /etc/shorewa/zones............................................................... ...................350 49.3.4.Fchero de confguracn /etc/shorewa/nterfaces....................................................................... .....350 49.3.5.Fchero de confguracn /etc/shorewa/pocy............................................................... ...................351 49.3.6.Fchero de confguracn /etc/shorewa/masq........................................................................... ........352 49.3.7.Fchero de confguracn /etc/shorewa/rues............................................................................. .......352 49.3.7.1.ACCEPT.................................................................................................................................. .........................352 49.3.7.2.REDIRECT........................................................................................................................................ ................353 49.3.7.3.DNAT............................................................................................................................................ ...................353 49.3.7.4.E|empos dversos de regas............................................................................................................ ................353 49.4.Incar e cortafuegos y aadro a os servcos de arranque de sstema............................355 50.Cmo confgurar SNMP.................................................................. .......................356 50.1.Introduccn....................................................................................................................... ...356 50.2.Sustento gco necesaro...................................................................... ..............................356 50.3.Procedmentos....................................................................................................... ..............356 50.3.1.Fchero de confguracn........................................................................................................ ............356 50.3.2.Lstas de contro de acceso........................................................................................................... .....357 50.3.3.Defncn de grupos............................................................................................................. .............357 50.3.4.Ramas permtdas......................................................................................................... .....................357 50.3.5.Asgnacn de permsos a os grupos............................................................................................ .....357 50.3.6.Parmetros de carcter nformatvo......................................................................... .........................358 50.3.7.Un e|empo rea........................................................................................................................ ..........358 50.3.8.Incar e servco y aadro a os servcos de arranque de sstema................................................359 50.4.Comprobacones............................................................................................................. ......359 51.Cmo confgurar MRTG....................................................................... ..................360 51.1.Introduccn....................................................................................................................... ...360 51.2.Sustento gco necesaro...................................................................... ..............................360 15 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 51.3.Procedmentos....................................................................................................... ..............360 51.4.Comprobacones............................................................................................................. ......361 52.Cmo nstaar correctamente |ava a partr de paquete RPM...........................362 52.1.Procedmento.................................................................................................................... ...362 52.2.Comprobacones............................................................................................................. ......363 53.Cmo nstaar a extensn (pug-n) Fash para Moza......................................365 53.1.Introduccn....................................................................................................................... ...365 53.2.Procedmentos....................................................................................................... ..............365 53.2.1.Instaacn de sustento gco necesaro en CentOS, Whte Box y Red Hat Enterprse Lnux 3.. .365 53.2.2.Instaacn de sustento gco necesaro en CentOS, Whte Box y Red Hat Enterprse Lnux 4.. .365 53.2.3.Comprobacones......................................................................................................... .......................366 54.Cmo confgurar escner en red............................................................ ..............367 54.1.E servdor.............................................................................................. ..............................367 54.1.1.Sustento gco necesaro......................................................................................................... .........367 54.1.2.Procedmentos................................................................................................................................ ...367 54.2.Los centes.................................................................................................................... .......369 54.2.1.Sustento gco necesaro......................................................................................................... .........369 54.2.2.Procedmentos................................................................................................................................ ...369 55.Usando Smartd para antcpar os desastres de dsco duro................................370 55.1.Introduccn....................................................................................................................... ...370 55.2.Procedmentos....................................................................................................... ..............370 56.Gosaro de mandatos bscos........................................................................... ...372 56.1.Mandatos generaes......................................................................................... ....................372 56.2.Tratamento de archvos..................................................................................... ..................373 56.3.Mane|o de paquetera........................................................................................................ ...373 56.4.Sstema................................................................................................. ...............................374 57.LPT Desktop......................................................................... .................................376 57.1.Ou es LPT Desktop?............................................................................ ..............................376 57.2.Sstemas operatvos soportados por LPT Desktop..................................................... ...........376 57.3.Cmo puedo nstaaro?................................................................................. .....................376 57.3.1.LPT Desktop 3.6...................................................................................................................... ...........377 57.3.2.LPT Desktop 2.4...................................................................................................................... ...........377 57.3.3.Procedmentos................................................................................................................................ ...377 57.3.3.1.LPT Desktop 2.4........................................................................................................................... ...................377 LPT Desktop 3.6........................................................................................................................................... .................377 57.4.Errores conocdos........................................................................................... ......................378 57.4.1.LPT Desktop 3.6...................................................................................................................... ...........378 57.4.2.LPT Desktop 2.4...................................................................................................................... ...........378 57.5.Cmo puedo cooperar con e proyecto?................................................ .............................378 57.6.Ms preguntas?................................................................................................................ ...379 58.E|erccos............................................................................... ................................380 58.1.E|ercco NFS............................................................................................................ .............380 58.1.1.Introduccn.................................................................................................................... ...................380 58.1.2.Procedmentos................................................................................................................................ ...380 58.1.2.1.Servdor........................................................................................................................................................ ...380 58.1.2.2.Cente......................................................................................................................................................... ....380 58.2.E|ercco Samba..................................................................................................... ...............382 58.2.1.Procedmentos................................................................................................................................ ...382 58.3.E|ercco Apache y VSFTPD................................................................................ ................384 58.3.1.Procedmentos................................................................................................................................ ...384 16 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 58.3.2.Comprobacones......................................................................................................... .......................385 58.4.E|ercco: Cuotas de dsco, Apache, VSFTPD y DNS................................... ...........................387 58.4.1.Procedmentos................................................................................................................................ ...387 58.4.2.Comprobacones......................................................................................................... .......................391 58.5.E|ercco Servdor Intermedaro (Proxy)................................................ ...............................393 58.6.E|ercco de confguracn de sstema para Lnux, Apache, PHP y MySOL...........................399 58.7.Confguracn de sstema como estacn de traba|o................................................. ..........402 17 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Informacin de "erec'os reservados de esta publicacin% (econocimiento)No$omercial)$ompartirI*ual 2%+ Usted es libre de, copar, dstrbur y comuncar pbcamente a obra hacer obras dervadas !a-o las condiciones si*uientes, (econocimiento. Debe reconocer y ctar a autor orgna. No comercial. No puede utzar esta obra para fnes comercaes. $ompartir ba-o la misma licencia. S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor Los derec'os derivados de usos le*.timos u otras limitaciones no se ven afectados por lo anterior% (econocimiento)No$omercial)$ompartirI*ual 2%+ CREATIVE COMMONS CORPORATION NO ES UN DESPACHO DE ABOGADOS Y NO PROPORCIONA SERVICIOS |URDICOS. LA DISTRIBUCION DE ESTA LICENCIA NO CREA UNA RELACION ABOGADO-CLIENTE. CREATIVE COMMONS PROPORCIONA ESTA INFORMACION TAL CUAL (ON AN "AS-IS" BASIS). CREATIVE COMMONS NO OFRECE GARANTA ALGUNA RESPECTO DE LA INFORMACION PROPORCIONADA, NI ASUME RESPONSABILIDAD ALGUNA POR DANOS PRODUCIDOS A CONSECUENCIA DE SU USO. .icencia LA OBRA (SEGN SE DEFINE MAS ADELANTE) SE PROPORCIONA BA|O TRMINOS DE ESTA LICENCIA PBLICA DE CREATIVE COMMONS ("CCPL" O "LICENCIA"). LA OBRA SE ENCUENTRA PROTEGIDA POR LA LEY ESPANOLA DE PROPIEDAD INTELECTUAL Y/O CUALESOUIERA OTRAS NORMAS RESULTEN DE APLICACION. OUEDA PROHIBIDO CUALOUIER USO DE LA OBRA DIFERENTE A LO AUTORIZADO BA|O ESTA LICENCIA O LO DISPUESTO EN LAS LEYES DE PROPIEDAD INTELECTUAL. MEDIANTE EL E|ERCICIO DE CUALOUIER DERECHO SOBRE LA OBRA, USTED ACEPTA Y CONSIENTE LAS LIMITACIONES Y OBLIGACIONES DE ESTA LICENCIA. EL LICENCIADOR LE CEDE LOS DERECHOS CONTENIDOS EN ESTA LICENCIA, SIEMPRE OUE USTED ACEPTE LOS PRESENTES TRMINOS Y CONDICIONES. 18 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +% "efiniciones a. La /obra/ es a creacn terara, artstca o centfca ofrecda ba|o os trmnos de esta cenca. b. E /autor/ es a persona o a entdad que cre a obra. c. Se consderar /obra con-unta/ aquea susceptbe de ser ncuda en aguna de as sguentes categoras: . /0bra en colaboracin/, entendendo por ta aquea que sea resutado untaro de a coaboracn de varos autores. d. /0bra colectiva/, entendendo por ta a creada por a ncatva y ba|o a coordnacn de una persona natura o |urdca que a modfque y dvugue ba|o su nombre y que est consttuda por a reunn de aportacones de dferentes autores cuya contrbucn persona se funde en una creacn nca y autnoma, para a cua haya sdo concebda sn que sea posbe atrbur separadamente a cuaquera de eos un derecho sobre e con|unto de a obra reazada. e. /0bra compuesta e independiente/, entendendo por ta a obra nueva que ncorpore una obra preexstente sn a coaboracn de autor de esta tma. f. Se consderarn /obras derivadas/ aqueas que se encuentren basadas en una obra o en una obra y otras preexstentes, taes como: as traduccones y adaptacones; as revsones, actuazacones y anotacones; os compendos, resmenes y extractos; os arregos muscaes y, en genera, cuaesquera transformacones de una obra terara, artstca o centfca, savo que a obra resutante tenga e carcter de obra con|unta en cuyo caso no ser consderada como una obra dervada a os efectos de esta cenca. Para evtar a duda, s a obra consste en una composcn musca o grabacn de sondos, a sncronzacn tempora de a obra con una magen en movmento ("synchng") ser consderada como una obra dervada a os efectos de esta cenca. g. Tendrn a consderacn de /obras audiovisuales/ as creacones expresadas medante una sere de mgenes asocadas, con o sn sonorzacn ncorporada, as como as composcones muscaes, que estn destnadas esencamente a ser mostradas a travs de aparatos de proyeccn o por cuaquer otro medo de comuncacn pbca de a magen y de sondo, con ndependenca de a naturaeza de os soportes materaes de dchas obras. h. E /licenciador/ es a persona o a entdad que ofrece a obra ba|o os trmnos de esta cenca y e cede os derechos de expotacn de a msma conforme a o dspuesto en ea. . /Usted/ es a persona o a entdad que e|ercta os derechos ceddos medante esta cenca y que no ha voado prevamente os trmnos de a msma con respecto a a obra, o que ha recbdo e permso expreso de cencador de e|erctar os derechos ceddos medante esta cenca a pesar de una voacn anteror. |. La /transformacin/ de una obra comprende su traduccn, adaptacn y cuaquer otra modfcacn en su forma de a que se derve una obra dferente. Cuando se trate de una base de datos segn se defne ms adeante, se consderar tambn transformacn a reordenacn de a msma. La creacn resutante de a transformacn de una obra tendr a consderacn de obra dervada. k. Se entende por /reproduccin/ a f|acn de a obra en un medo que permta su comuncacn y a obtencn de copas de toda o parte de ea. . Se entende por /distribucin/ a puesta a dsposcn de pbco de orgna o copas de a obra medante su venta, aquer, prstamo o de cuaquer otra forma. m. Se entender por /comunicacin p1blica/ todo acto por e cua una puradad de personas pueda tener acceso a a obra sn preva dstrbucn de e|empares a cada una de eas. No se consderar pbca a comuncacn cuando se ceebre dentro de un mbto estrctamente domstco que no est ntegrado o conectado a una red de dfusn de cuaquer tpo. A efectos de esta cenca se consderar comuncacn pbca a puesta a dsposcn de pbco de a obra por procedmentos ambrcos o nambrcos, ncuda a puesta a dsposcn de pbco de a obra de ta forma que cuaquer persona pueda acceder a ea desde e ugar y en e momento que e|a. n. La /explotacin/ de a obra comprende su reproduccn, dstrbucn, comuncacn pbca y transformacn. o. Tendrn a consderacn de /bases de datos/ as coeccones de obras a|enas, de datos o de otros eementos ndependentes como as antoogas y as bases de datos propamente dchas que por a seeccn o dsposcn de sus contendos consttuyan creacones nteectuaes, sn per|uco, en su caso, de os derechos que puderan subsstr sobre dchos contendos. p. Los /elementos de la licencia/ son as caracterstcas prncpaes de a cenca segn a seeccn efectuada por e cencador e ndcadas en e ttuo de esta cenca: Reconocmento de autora (Reconocmento), Sn uso comerca (NoComerca), Compartr de manera gua (CompartrIgua). 19 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 2% L.mites 2 uso le*.timo de los derec'os% Nada en esta cenca pretende reducr o restrngr cuaesquera mtes egaes de os derechos excusvos de ttuar de os derechos de propedad nteectua de acuerdo con a Ley de Propedad Inteectua o cuaesquera otras eyes apcabes, ya sean dervados de usos egtmos, taes como e derecho de copa prvada o e derecho a cta, u otras mtacones como a dervada de a prmera venta de e|empares. 3% $oncesin de licencia% Conforme a os trmnos y a as condcones de esta cenca, e cencador concede (durante toda a vgenca de os derechos de propedad nteectua) una cenca de mbto munda, sn derecho de remuneracn, no excusva e ndefnda que ncuye a cesn de os sguentes derechos: a. Derecho de reproduccn, dstrbucn y comuncacn pbca sobre a obra; b. Derecho a ncorporara en una o ms obras con|untas o bases de datos y para su reproduccn en tanto que ncorporada a dchas obras con|untas o bases de datos; c. Derecho para efectuar cuaquer transformacn sobre a obra y crear y reproducr obras dervadas; d. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, como ncorporada a obras con|untas o bases de datos; e. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, por medo de una obra dervada. Los anterores derechos se pueden e|erctar en todos os medos y formatos, tangbes o ntangbes, conocdos o por conocer. Los derechos menconados ncuyen e derecho a efectuar as modfcacones que sean precsas tcncamente para e e|ercco de os derechos en otros medos y formatos. Todos os derechos no ceddos expresamente por e cencador quedan reservados, ncuyendo, a ttuo enuncatvo pero no mtatvo, os estabecdos en a seccn 4(e). 4% (estricciones% La cesn de derechos que supone esta cenca se encuentra su|eta y mtada a as restrccones sguentes: a. Usted puede reproducr, dstrbur o comuncar pbcamente a obra soamente ba|o trmnos de esta cenca y debe ncur una copa de a msma, o su Identfcador Unforme de Recurso (URI), con cada copa o grabacn de a obra que usted reproduzca, dstrbuya o comunque pbcamente. Usted no puede ofrecer o mponer nngn trmno sobre a obra que atere o restrn|a os trmnos de esta cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma. Usted no puede subcencar a obra. Usted debe mantener ntactos todos os avsos que se referan a esta cenca y a a ausenca de garantas. Usted no puede reproducr, dstrbur o comuncar pbcamente a obra con meddas tecnogcas que controen e acceso o uso de a obra de una manera contrara a os trmnos de esta cenca. Lo anteror se apca a una obra en tanto que ncorporada a una obra con|unta o base de datos, pero no mpca que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de a msma. S usted crea una obra con|unta o base de datos, preva comuncacn de cencador, usted deber qutar de a obra con|unta o base de datos cuaquer referenca a dcho cencador o a autor orgna, segn o que se e requera y en a medda de o posbe. S usted crea una obra dervada, preva comuncacn de cencador, usted deber qutar de a obra dervada cuaquer referenca a dcho cencador o a autor orgna, o que se e requera y en a medda de o posbe. b. Usted puede reproducr, dstrbur o comuncar pbcamente una obra dervada soamente ba|o os trmnos de esta cenca, o de una versn posteror de esta cenca con sus msmos eementos prncpaes, o de una cenca Commons de Creatve Commons que contenga os msmos eementos prncpaes que esta cenca (e|empo: Reconocmento-NoComerca-Compartr 2.0 |apn). Usted debe ncur una copa de a esta cenca o de a menconada anterormente, o ben su Identfcador Unforme de Recurso (URI), con cada copa o grabacn de a obra que usted reproduzca, dstrbuya o comunque pbcamente. Usted no puede ofrecer o mponer nngn trmno respecto de as obras dervadas o sus transformacones que ateren o restrn|an os trmnos de esta cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma, Usted debe mantener ntactos todos os avsos que se referan a esta cenca y a a ausenca de garantas. Usted no puede reproducr, dstrbur o comuncar pbcamente a obra dervada con meddas tecnogcas que controen e acceso o uso de a obra de una manera contrara a os trmnos de esta cenca. Lo anteror se apca a una obra dervada en tanto que ncorporada a una obra con|unta o base de datos, pero no mpca que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de esta cenca. c. Usted no puede e|erctar nnguno de os derechos ceddos en a seccn 3 anteror de manera que pretenda prncpamente o se encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada. E ntercambo de a obra por otras obras protegdas por a propedad nteectua medante sstemas de compartr archvos no se consderar como una manera que pretenda prncpamente o se encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada, sempre que no haya nngn pago de cuaquer remuneracn monetara en reacn con e ntercambo de as obras protegdas. d. S usted reproduce, dstrbuye o comunca pbcamente a obra o cuaquer obra dervada, con|unta o base datos que a ncorpore, usted debe mantener ntactos todos os avsos sobre a propedad nteectua de a obra y reconocer a autor orgna, de manera razonabe conforme a medo o a os medos que usted est utzando, ndcando e nombre (o e seudnmo, en su caso) de autor orgna s es factado; e ttuo de a obra s es factado; de manera razonabe, e Identfcador Unforme de Recurso (URI), s exste, que e cencador especfca para ser vncuado a a obra, a menos que ta URI no se refera a avso sobre propedad nteectua o a a nformacn sobre a cenca de a obra; y en e caso de una obra dervada, un avso que dentfque e uso de a obra en a obra dervada (e.g., "traduccn francesa de a obra de Autor Orgna," o "gun basado en obra orgna de Autor Orgna"). Ta avso se puede desarroar de cuaquer manera razonabe; con ta de que, sn embargo, en e caso de una obra dervada, con|unta o base datos, aparezca como mnmo este avso a donde aparezcan os avsos correspondentes a otros autores y de forma comparabe a os msmos. e. Para evtar a duda, sn per|uco de a preceptva autorzacn de cencador, y especamente cuando a obra se trate de una obra audovsua, e cencador se reserva e derecho excusvo a percbr, tanto ndvduamente como medante una entdad de gestn de derechos, o varas, (por e|empo: SGAE, Dama, VEGAP), os derechos de expotacn de a obra, as como os dervados de obras dervadas, con|untas o bases de datos, s dcha expotacn pretende prncpamente o se encuentra drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada. 20 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux f. En e caso de a ncusn de a obra en aguna base de datos o recopacn, e propetaro o e gestor de a base de datos deber renuncar a cuaquer derecho reaconado con esta ncusn y concernente a os usos de a obra una vez extrada de as bases de datos, ya sea de manera ndvdua o con|untamente con otros materaes. 5% Exoneracin de responsabilidad A MENOS OUE SE ACUERDE MUTUAMENTE ENTRE LAS PARTES, EL LICENCIADOR OFRECE LA OBRA TAL CUAL (ON AN "AS-IS" BASIS) Y NO CONFIERE NINGUNA GARANTA DE CUALOUIER TIPO RESPECTO DE LA OBRA O DE LA PRESENCIA O AUSENCIA DE ERRORES OUE PUEDAN O NO SER DESCUBIERTOS. ALGUNAS |URISDICCIONES NO PERMITEN LA EXCLUSION DE TALES GARANTAS, POR LO OUE TAL EXCLUSION PUEDE NO SER DE APLICACION A USTED. 6% Limitacin de responsabilidad% SALVO OUE LO DISPONGA EXPRESA E IMPERATIVAMENTE LA LEY APLICABLE, EN NINGN CASO EL LICENCIADOR SERA RESPONSABLE ANTE USTED POR CUALOUIER TEORA LEGAL DE CUALESOUIERA DANOS RESULTANTES, GENERALES O ESPECIALES (INCLUIDO EL DANO EMERGENTE Y EL LUCRO CESANTE), FORTUITOS O CAUSALES, DIRECTOS O INDIRECTOS, PRODUCIDOS EN CONEXION CON ESTA LICENCIA O EL USO DE LA OBRA, INCLUSO SI EL LICENCIADOR HUBIERA SIDO INFORMADO DE LA POSIBILIDAD DE TALES DANOS. 7% 7inali8acin de la licencia a. Esta cenca y a cesn de os derechos que contene termnarn automtcamente en caso de cuaquer ncumpmento de os trmnos de a msma. Las personas o entdades que hayan recbdo obras dervadas, con|untas o bases de datos de usted ba|o esta cenca, sn embargo, no vern sus cencas fnazadas, sempre que taes personas o entdades se mantengan en e cumpmento ntegro de esta cenca. Las seccones 1, 2, 5, 6, 7 y 8 permanecern vgentes pese a cuaquer fnazacn de esta cenca. b. Conforme a as condcones y trmnos anterores, a cesn de derechos de esta cenca es perpetua (durante toda a vgenca de os derechos de propedad nteectua apcabes a a obra). A pesar de o anteror, e cencador se reserva e derecho a dvugar o pubcar a obra en condcones dstntas a as presentes, o de retrar a obra en cuaquer momento. No obstante, eo no supondr dar por concuda esta cenca (o cuaquer otra cenca que haya sdo concedda, o sea necesaro ser concedda, ba|o os trmnos de esta cenca), que contnuar vgente y con efectos competos a no ser que haya fnazado conforme a o estabecdo anterormente. 9% :iscel;nea a. Cada vez que usted expote de aguna forma a obra, o una obra con|unta o una base datos que a ncorpore, e cencador orgna ofrece a os terceros y sucesvos cencataros a cesn de derechos sobre a obra en as msmas condcones y trmnos que a cenca concedda a usted. b. Cada vez que usted expote de aguna forma una obra dervada, e cencador orgna ofrece a os terceros y sucesvos cencataros a cesn de derechos sobre a obra orgna en as msmas condcones y trmnos que a cenca concedda a usted. c. S aguna dsposcn de esta cenca resuta nvda o napcabe segn a Ley vgente, eo no afectar a vadez o apcabdad de resto de os trmnos de esta cenca y, sn nnguna accn adcona por cuaquera as partes de este acuerdo, ta dsposcn se entender reformada en o estrctamente necesaro para hacer que ta dsposcn sea vda y e|ecutva. d. No se entender que exste renunca respecto de agn trmno o dsposcn de esta cenca, n que se consente voacn aguna de a msma, a menos que ta renunca o consentmento fgure por escrto y eve a frma de a parte que renunce o consenta. e. Esta cenca consttuye e acuerdo peno entre as partes con respecto a a obra ob|eto de a cenca. No caben nterpretacones, acuerdos o trmnos con respecto a a obra que no se encuentren expresamente especfcados en a presente cenca. E cencador no estar obgado por nnguna dsposcn compementara que pueda aparecer en cuaquer comuncacn de usted. Esta cenca no se puede modfcar sn e mutuo acuerdo por escrto entre e cencador y usted. Creatve Commons no es parte de esta cenca, y no ofrece nnguna garanta en reacn con a obra. Creatve Commons no ser responsabe frente a usted o a cuaquer parte, por cuaquer teora ega de cuaesquera daos resutantes, ncuyendo, pero no mtado, daos generaes o especaes (ncudo e dao emergente y e ucro cesante), fortutos o causaes, en conexn con esta cenca. A pesar de as dos (2) oracones anterores, s Creatve Commons se ha dentfcado expresamente como e cencador, tendr todos os derechos y obgacones de cencador. Savo para e propsto mtado de ndcar a pbco que a obra est cencada ba|o a CCPL, nnguna parte utzar a marca regstrada "Creatve Commons" o cuaquer marca regstrada o nsgna reaconada con "Creatve Commons" sn su consentmento por escrto. Cuaquer uso permtdo se har de conformdad con as pautas vgentes en cada momento sobre e uso de a marca regstrada por "Creatve Commons", en tanto que sean pubcadas su pgna web (webste) o sean proporconadas a petcn preva. <uede contactar con $reative $ommons en, 'ttp,//creativecommons%or*/% 21 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 0tras notas acerca de esta publicacin% La nformacn contenda en este manua se dstrbuye con a esperanza de que sea de utdad, y se proporcona ta cua es pero SIN G=(=N>?= =LGUN=, an sn a garanta mpcta de comercazacn o adecuamento para un propsto en partcuar, y e autor o autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de esta. Lnux es una marca regstrada de Lnus Torvads, Red Hat Lnux, RPM y GLINT son marcas regstradas de Red Hat Software, Unx es marca regstrada de X/Open. MS-DOS, MS-Offce y Wndows son marcas regstradas de Mcrosoft Corporaton. X Wndow System es marca regstrada de X Consortum, Inc., TrueType es una marca regstrada de Appe Computer, WordPerfect es una marca regstrada de Core Corporaton, StarOffce es una marca regstrada de Sun Mycrosystems. Apache es una marca regstrada de The Apache Group. Fetchma es una marca regstrada de Erc S. Raymond. Sendma es una marca regstrada de Sendma, Inc. Darkshram es 1987 y marca regstrada de |oe Barros Dueas. Lnux Para Todos es 1999 y marca regstrada de |oe Barros Dueas. 22 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +% @Aue es GNU/LinuxB $oel Barrios /ue,as dar0s!ram1%mail.com !ttp233444.linu(paratodos.net3 $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. GNU/LinuxD es un poderoso y sumamente verst sstema operatvo con cenca bre y que mpementa e estndar <0SIE (acrnmo de <ortabe 0peratng System Interface, que se traduce como Interfaz de Sstema Operatvo Portabe). Fue creado en 1991 por Lnus Torvads, sendo entonces un estudante de a Unversdad de Hesnsk, Fnanda. GNU/Lnux es <ro*ram;tica Libre. Esto sgnfca que e usuaro es bre de redstrbur y modfcar de acuerdo a necesdades especfcas, sempre que se ncuya e cdgo fuente, como o ndca a Lcenca Pbca Genera GNU (acrnmo de GNU s Not Unx), que es e modo que ha dspuesto a Free Software Foundaton (Fundacn de Programtca Lbre). Esto tambn ncuye e derecho a poder nstaar e nceo de GNU/LinuxD en cuaquer nmero de ordenadores o equpos de cmputo que e usuaro desee. GNU/Lnux no es un sustento l*ico *ratuito (comnmente denomnada como Freeware); se trata de <ro*ram;tica Libre. Cuando nos referrnos a <ro*ram;tica Libre, o hacemos en reacn a a bertad y no a preco. La G<L (acrnmo de Genera <ubc Lcence, que se traduce como Lcenca Pbca Genera), a a cua Lnus Torvads ncorpor a Lnux, est dseada para asegurar que e usuaro tenga sempre a bertad de dstrbur copas de sustento gco bre (y cobrar por e servco s as o desea). La G<L tene como ob|etvo garantzar a usuaro a bertad de compartr y cambar <ro*ram;tica Libre; es decr, asegurarse de que e sustento gco sempre permanezca sendo bre para todos os usuaros. La G<L es apcabe a a mayora de sustento gco de a Free Software Foundaton as como a cuaquer otro programa cuyos autores se comprometan a usaro. GNU/Lnux es tambn a me|or aternatva de sgo XXI para os usuaros que no soo desean bertad, sno que tambn requeren un sstema operatvo estabe, robusto y confabe. Es un sstema operatvo dneo para utzar en Redes, como es e caso de servdores, estacones de traba|o y tambiFn para computadoras personaes. Las caracterstcas de GNU/Lnux e permten desempear mtpes tareas en forma smutnea de forma segura y confabe. Los dstntos servcos se pueden detener, ncar o rencar ndependentemente sn afectar a resto de sstema, permtendo operar as 24 horas de da os 365 das de ao. Ta ha sdo e mpacto acanzado por GNU/Lnux en os tmos aos, que muchas de as empresas de Software ms mportantes de mundo, entre as cuaes estn IBM, Orace y Sun Mcrosystems, han encontrado en GNU/Lnux una pataforma con un muy ampo mercado, y se han vocado a desarroo de versones para Lnux de sus ms mportantes apcacones. Grandes corporacones, como Compaq, De, Hewett Packard, IBM y muchos ms, evan varos aos dstrbuyendo equpos con GNU/Lnux como sstema operatvo. Gracas a sus caracterstcas, a constante evoucn de os ambentes grfcos para X Wndow, que cada vez son de ms fc uso, como es e caso de GNOME y KDE, a traba|o de centos de programadores y usuaros fees arededor de mundo, Lnux ha de|ado de ser un sstema operatvo 23 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux poco atractvo y compcado de utzar, para convertrse en una aternatva rea para quenes buscan un sstema operatvo confabe y poderoso; ya sea para una servdor, estacn de traba|o o a computadora persona de un usuaro ntrpdo. +%+% (eGuerimientos del sistema Se debe contar con a sufcente cantdad de memora y un mcroprocesador en buen estado. Con cas cuaquer dstrbucn comerca de Lnux, e ambente grfco necestar a menos 192 MB RAM, y 650-800 MB de espaco en dsco duro para a nstaacn mnma. Para contar con a menor cantdad de apcacones prctcas, se requeren a menos 800 MB adconaes de espaco en dsco duro, repartdo en a menos 2 partcones. Se recomenda un mcroprocesador 80586 (pentum o equvaente) a 200 MHz. Sn ambente grfco, como es e caso de un servdor, o ben soamente apcacones para modo de texto, 64MB RAM y un mcroprocesador 80586 a 100 MHz sern sufcentes. E servdor de vdeo puede funconar con so 64 MB RAM; pero su desempeo ser muc'o mu2 lento. Agunas apcacones para modo grfco pueden necestar escaar 64 MB, 128 MB o 256 MB de RAM adcona. E mnmo recomendado para utzar GNOME 2.x es de 192 MB RAM; se recomendan 256 MB. E ptmo es de 512 MB RAM. S desea nstaar Lnux en una computadora persona con as sufcentes apcacones para ser totamente funcona y productvo y contar con e espaco necesaro para nstaar herramentas de ofcna (OpenOffce.org), se recomienda contar con a menos 2 GB de espaco, a menos 256 MB RAM y un mcroprocesador AMD K6, K6-II, K6-III, Athon, Duron, Pentum, Pentum MMX, Pentum II, Pentum III, Pentum 4, o Cyrx MII a cuando menos 300 Mhz o ms. 24 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 2% Est;ndar de erarGu.a de Sistema de 7ic'eros $oel Barrios /ue,as dar0s!ram1%mail.com !ttp233444.linu(paratodos.net3 Artculo basado sobre el publicado en in%l)s por 5i0ipedia, Enciclopedia .ibre, en !ttp233en.4i0ipedia.or%34i0i367-. $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 2%+% Introduccin E estndar de |erarqua de fcheros (FSH o 7esystem Herarchy Standard) defne os prncpaes drectoros y sus contendos en GNU/Lnux y otros sstemas operatvos smares a Unx. E proceso de desarroar un estndar de sstema de fcheros |errquco nc en agosto de 1993, como un esfuerzo para reformar as estructuras de fcheros y drectoros de GNU/Lnux. E 14 de febrero de 1994 se pubc e FSSTND (7esystem Standard); un estndar de |erarqua de fcheros especfco para GNU/Lnux. Revsones de ste se pubcaron e 9 de octubre de 1994 y e 28 de marzo de 1995. A prncpos de 1996, con a ayuda de membros de a comundad de desarroadores de BSD, se f| como ob|etvo desarroar una versn de 7SS>N" ms detaada, drgda no so haca Lnux sno tambn haca otros sstemas operatvos smares a Unx. Como uno de os resutados, e estndar camb de nombre a FSH o Fesystem Herarchy Standard. E FSH es mantendo por Free Standards Group; organzacn sn fnes de ucro consttuda por compaas que manufacturan sustento fsco (Hardware) y sustento fsco (Software) como Hewett Packard, De, IBM y Red Hat. La mayora de as dstrbucones de Lnux, ncusve as que forman parte de Free Software Standards, no apcan de forma estrcta e estndar. La versn actua de FSH es a 2.3, anuncada en 29 de enero de 2004. 2%2% Estructura de directorios Todos os fcheros y drectoros aparecen deba|o de drectoro raz /, an s estn amacenados en dspostvos fscamente dferentes. "irectorio "escripcin /bin/ Mandatos bnaros esencaes (cp, mv, s, rm, etc.). /boot/ Fcheros utzados durante e arranque de sstema (nceo y dscos RAM). /dev/ Dspostvos esencaes. /etc/ Fcheros de confguracn utzados en todo e sstema y que son especfcos de anftrn. /etc/opt/ Fcheros de confguracn utzados por programas ao|ados dentro de /opt/ 25 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux "irectorio "escripcin /etc/X11/ (opcional) Fcheros de confguracn para e sstema X Wndow. /etc/sgml/ (opcional) Fcheros de confguracn para SGML. /etc/xml/ (opcional) Fcheros de confguracn para XML. /home/ (opcional) Drectoros de nco de os usuaros. /lib/ Bbotecas compartdas esencaes para os bnaros de /bn/, /sbn/ y e nceo de sstema. /mnt/ Sstemas de fcheros montados temporamente. /media/ Puntos de monta|e para dspostvos de medos como undades ectoras de dscos compactos. /opt/ Paquetes de apcacones esttcas. /proc/ Sstema de fcheros vrtua que documenta sucesos y estados de nceo. Contene prncpamente fcheros de texto. /root/ (opcional) Drectoro de nco de usuaro root (sper-usuaro). /sbin/ Bnaros de admnstracn de sstema. /tmp/ Fcheros temporaes /srv/ Datos especfcos de sto servdos por e sstema. /usr/ |erarqua secundara para datos compartdos de so ectura (Unx system resources). Este drectoro debe poder ser compartdo para mtpes anftrones y no debe contener datos especfcos de anftrn que os comparte. /usr/bin/ Mandatos bnaros. /usr/include/ Fcheros de ncusn estndar (cabeceras de cabecera utzados para desarroo). /usr/lib/ Bbotecas compartdas. /usr/share/ Datos compartdos ndependentes de a arqutectura de sstema. Imgenes, fcheros de texto, etc. /usr/src/ (opcional) Cdgos fuente. /usr/X11R6/ (opcional) Sstema X Wndow, versn 11, anzamento 6. /usr/local/ |erarqua tercara para datos compartdos de so ectura especfcos de anftrn. /var/ Fcheros varabes como son: btcoras, bases de datos, drectoro raz de servdores HTTP y FTP, coas de correo, fcheros temporaes, etc. /var/account/ (opcional) Procesa btcoras de cuentas de usuaros. /var/cache/ Cache da datos de apcacones. /var/crash/ (opcional) Depsto de nformacn referente a estreamentos de sstema. /var/games/ (opional) Datos varabes de apcacones para |uegos. /var/lib/ Informacn de estado varabe. Agunos servdores como MySOL y PostgreSOL amacenan sus bases de datos en drectoros 26 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux "irectorio "escripcin subordnados de ste. /var/lock/ Fcheros de boqueo. /var/log/ Fcheros y drectoros de btcoras. /var/mail/ (opcional) Buzones de correo de usuaros. /var/opt/ Datos varabes de /opt/. /var/spool/ Coas y carretes de datos de apcacones. /var/tmp/ Fcheros temporaes preservados entre rencos. Ms detaes acerca de FSH en http://www.pathname.com/fhs/. 2%3% <articiones recomendadas para instalar GNU/Linux Como mnmo se requeren tres partcones: /boot Por o menos 75 MB. Asgnar ms espaco puede consderarse desperdco. / 350 a 512 MB. Swap Debe asgnarse e doble del tama#o del (=: f.sico; esta ser sempre a tma partcn de dsco duro y no se e asgna punto de monta|e. Otras partcones que se recomenda asgnar son: /usr Por o menos 1.5 GB en nstaacones bscas. Debe consderarse todo e sustento gco a utzar a futuro. Para uso genera, se recomendan no menos de 5 GB. De ser posbe, consdere un tamao ptmo de hasta 8 GB en nstaacones promedo. /tmp 350 MB y se puede asgnar hasta 2 GB o ms dependendo de a carga de traba|o y tpo de apcacones. S por e|empo e sstema cuenta con un grabador de DVD, ser necesaro asgnar a /tmp e espaco sufcente para amacenar una magen de dsco DVD, es decr, a menos 4.2 GB. /var Un m.nimo de 512 MB en estacones de traba|o sin servicios. En servdores, reguarmente se e asgna cuando menos la mitad del disco duro. /home En estacones de traba|o se asgna cuando menos a mtad de dsco duro a esta partcn. 27 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 3% Instalacin en modo texto de $ent0S 4 Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 3%+% <rocedimientos% Inserte e dsco de nstaacn de CentOS y en cuanto aparezca e dogo de nco (boot:), puse a teca EN>E( o ben ngrese as opcones de nstaacn deseadas. Para fnes prctcos, ngrese Ilinux textJ para ncar a nstaacn en modo texto. 28 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S desea verfcar a ntegrdad de dsco a partr de cua se reazar a nstaacn, seeccone I0KJ y puse a teca EN>E(, consdere que esto puede demorar varos mnutos. S est seguro de que e dsco o dscos a partr de os cuaes se reazar a nstaacn estn en buen estado, seeccone ISLipJ y puse a teca EN>E(. Puse a teca EN>E( en a pantaa de benvenda a programa de nstaacn de CentOS. 29 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Seeccone ISpanis'J como doma para ser utzado durante a nstaacn. Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa IesJ corresponde a a dsposcn de tecado Espao Espaa. E mapa Ilatin)+J corresponde a a dsposcn de tecado Espao Latno Amercano. 30 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Seeccone I$ustomJ y uego puse a teca EN>E( para reazar una nstaacn personazada. No utce I<articin autom;ticaJ, a menos de que dsponga de muy poco espaco en dsco duro. Seeccone I"isL "ruidJ y puse a teca EN>E( para ngresar a a herramenta para partcones de dsco duro. 31 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Proceda a crea una nueva partcn seecconado INuevoJ y pusando a teca EN>E(. Asgne 100 MB a a partcn /boot y defna sta como partcn prmara, sempre que a taba de partcones o permta. 32 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S est conforme, seeccone otra vez INuevoJ y proceda a crear a sguente partcn. Asgne a a partcn / e resto de espaco dsponbe menos o que tenga cacuado asgnar para a partcn de ntercambo (200% de a memora fsca, o cuanto baste para 2 GB). Se recomenda asgnar / como partcn prmara, sempre que a taba de partcones o permta. 33 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S est conforme, seeccone otra vez INuevoJ y proceda a crear a sguente partcn. La partcn para a memora de ntercambo no requere punto de monta|e. Seeccone en e campo de I>ipo de sistema de arc'ivosJ a opcn IsMapJ, asgne e 200% de a memora fsca (o cuanto basta para 2 GB). Por tratarse de a tma partcn de a taba, es buena dea asgnare e espaco por rango. 34 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S est conforme con a taba de partcones creada, seeccone I=$E<>=(J y puse a teca EN>E( para satar a a sguente pantaa. Seeccone que se utzar e gestor de arranque GRUB y puse a teca EN>E( para satar a a sguente pantaa. 35 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S necesta pasar agn parmetro en partcuar a nceo (kerne), como por e|empo, a resoucn de pantaa para e modo texto, ngrese en e campo correspondente aqueo que sea necesaro. En a mayora de os casos no necestar ngresar parmetro aguno. Por motvos de segurdad, y prncpamente con a fnadad de mpedr que aguen sn autorzacn y con acceso fsco a sstema pueda ncar e sstema en nve de corrda 1, o cuaquera otro, asgne, con confrmacn, una cave de acceso excusva para e gestor de arranque. A termnar, puse a teca EN>E( para satar a a sguente pantaa. 36 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux De haber otro sstema operatvo nstaado en e sstema, seeccone e que utzar para ncar de forma predetermnada. S soo est nstaando Lnux, soo puse a teca EN>E( para satar a a sguente pantaa. Seeccone que e gestor de arranque se nstae en e sector maestro de dsco duro (:!( o :aster !oot (ecord). A termnar, puse a teca EN>E( para satar a a sguente pantaa. 37 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Defna a dreccn IP y mscara de subred que utzar en adeante e sstema. Confrme con e admnstrador de a red donde se ocace que estos datos sean correctos antes de contnuar. A termnar, puse a teca EN>E( para satar a a sguente pantaa. Defna a dreccn IP de a puerta de enace y as dreccones IP de os servdores DNS de os que dsponga. A termnar, puse a teca EN>E( para satar a a sguente pantaa. 38 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Asgne un nombre de anftrn (HOSTNAME) para e sstema. Se recomenda que dcho nombre sea un 7A"N (7uy Auafed "oman Name) resueto a menos en un DNS oca. A termnar, puse a teca EN>E( para satar a a sguente pantaa. No confgure cortafuegos en este momento. La herramenta utzada para ta fn, s2stem)confi*) securit2level, crea un cortafuegos smpe y con muchas mtacones. Se recomenda consderar otras aternatvas como Frestarter o Shorewa. 39 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Seeccone proceder y puse a teca EN>E( a fn de satar a confguracn de cortafuegos. De|e actvo SELnux, ya que ste proveer a sstema de segurdad adcona. 40 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Agregue e soporte para domas adconaes de acuerdo a pas donde se hospedar e sstema. S emna ISpanis' NSpainCJ, se emnar a documentacn y soporte para espao genrco, por o que o es convenente de|ar dcha casa habtada. Seeccone e doma predetermnado a utzar en e sstema 41 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Seeccone a casa IS2stem clocL uses U>$J, que sgnfca que e reo| de sstema utzar U>$ (>empo Unversa $oordnado), que es e sucesor de G:> (b>Greenwch :ean >me, que sgnfca Tempo Promedo de Greenwch), y es a zona horara de referenca respecto a a cua se cacuan todas as otras zonas de mundo. Puse a teca de tabuacn una vez y seeccone a zona horara que corresponda a a regn donde se hospedar fscamente e sstema. 42 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Asgne una cave de acceso a usuaro root. Debe escrbra dos veces a fn de verfcar que est concde con o que reamente se espera. Por razones de segurdad, se recomenda asgnar una cave de acceso que evte utzar paabras provenentes de cuaquer dcconaro, en cuaquer doma, as como cuaquer combnacn que tenga reacn con datos personaes. 43 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Reace una nstaacn con e mnmo de paquetes, desactvando todas as casas de cada grupo de paquetes. E ob|eto de esto es soo nstaar o mnmo necesaro para e funconamento de sstema operatvo, y permtr nstaar, posterormente, soo aqueo que reamente se requera de acuerdo a a fnadad productva que tendr e sstema. Antes de ncar a nstaacn sobre e dsco duro, e sstema e nformar respecto a que se guardar un regstro de proceso en s en e fchero /root/install%lo*. Soo puse a teca EN>E( mentras est seecconado I=$E<>=(J. 44 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S ncar de forma automtca e proceso de formato de as partcones que haya creado para nstaar e sstema operatvo. Se reazar de forma automtca a transferenca de de una magen de programa de nstaacn haca e dsco duro, con a fnadad de agzar e procedmento. 45 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Incar a nstaacn de os paquetes necesaros para e funconamento de sstema operatvo. Espere agunos mnutos hasta que concuya e proceso. Una vez concuda a nstaacn de os paquetes, proceda a pusar a teca EN>E( para rencar e sstema. 46 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 4% Instalacin en modo *r;fico de $ent0S 4 Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 4%+% <rocedimientos% Inserte e dsco de nstaacn de CentOS y en cuanto aparezca e dogo de nco (boot:), puse a teca EN>E( o ben ngrese as opcones de nstaacn deseadas. 47 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S desea verfcar a ntegrdad de dsco a partr de cua se reazar a nstaacn, seeccone I0KJ y puse a teca EN>E(, consdere que esto puede demorar varos mnutos. S est seguro de que e dsco o dscos a partr de os cuaes se reazar a nstaacn estn en buen estado, seeccone ISLipJ y puse a teca EN>E(. Haga cc sobre e botn INextJ en cuanto aparezca a pantaa de benvenda de CentOS. 48 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Seeccone ISpanis'J como doma para ser utzado durante a nstaacn. Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa ISpanis'J corresponde a a dsposcn de tecado Espao Espaa. A termnar, haga cc sobre e botn ISi*uienteJ. 49 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S es necesaro, e mapa ILatin =mericanJ corresponde a a dsposcn de tecado Espao Latno Amercano. A termnar, haga cc sobre e botn ISi*uienteJ. Haga cc sobre e botn ISi*uienteJ y espere a que e sstema ntente detectar nstaacones prevas de CentOS. 50 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Seeccone e tpo de nstaacn I<ersonali8adaJ para reazar esta con un mayor contro de as opcones dsponbes. A termnar, haga cc sobre e botn ISi*uienteJ. No utce I<articionamiento =utom;ticoJ, a menos de que dsponga de muy poco espaco en dsco duro. Seeccone I"isL "ruidJ. A termnar, haga cc sobre e botn ISi*uienteJ para ngresar a a herramenta para partcones de dsco duro. 51 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux La herramenta de partcones mostrar e espaco dsponbe. Haga cc en e botn INuevoJ. Asgne 100 MB a a partcn /boot y defna sta como partcn prmara, sempre que a taba de partcones o permta. 52 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S est conforme, haga cc otra vez en e botn INuevoJ y proceda a crear a sguente partcn. Asgne a a partcn / e resto de espaco dsponbe menos o que tenga cacuado asgnar para a partcn de ntercambo (200% de a memora fsca, o cuanto baste para 2 GB). Se recomenda asgnar / como partcn prmara, sempre que a taba de partcones o permta. 53 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S est conforme, haga cc otra vez en e botn INuevoJ y proceda a crear a sguente partcn. La partcn para a memora de ntercambo no requere punto de monta|e. Seeccone en e campo de I>ipo de sistema de arc'ivosJ a opcn IsMapJ, asgne e 200% de a memora fsca (o cuanto basta para 2 GB). Por tratarse de a tma partcn de a taba, es buena dea asgnare e espaco por rango, especfcando vaores geramente por deba|o y geramente por arrba de o paneado. 54 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S est conforme con a taba de partcones creada, seeccone I=$E<>=(J y haga cc sobre e botn Isi*uienteJ para pasar a a sguente pantaa. Por motvos de segurdad, y prncpamente con a fnadad de mpedr que aguen sn autorzacn y con acceso fsco a sstema pueda ncar e sstema en nve de corrda 1, o cuaquera otro, haga cc en a casa IUsar la contrase#a del *estor de arranGueJ. 55 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Se abrr una ventana emergente donde deber ngresar, con confrmacn, a cave de acceso excusva para e gestor de arranque. A termnar, haga cc sobre e botn I=ceptarJ. A termnar, haga cc sobre e botn ISi*uienteJ. 56 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Para confgurar os parmetros de red de sstema, haga cc sobre e botn I:odificarJ para a nterfaz eth0. En a ventana emergente para modfcar a nterfaz eth0, desactve a casa I$onfi*urar usando "H$<J y especfque a dreccn IP y mscara de subred que utzar en adeante e sstema. Confrme con e admnstrador de a red donde se ocace que estos datos sean correctos antes de contnuar. A termnar, haga cc sobre e botn I=ceptarJ. 57 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Asgne un nombre de anftrn (HOSTNAME) para e sstema. Se recomenda que dcho nombre sea un 7A"N (7uy Auafed "oman Name) resueto a menos en un DNS oca. Defna, adems, en esta msma pantaa, a dreccn IP de a puerta de enace y as dreccones IP de os servdores DNS de os que dsponga. A termnar, haga cc sobre e botn ISi*uienteJ. No confgure cortafuegos en este momento. La herramenta utzada para ta fn, s2stem)confi*) securit2level, crea un cortafuegos smpe y con muchas mtacones. Se recomenda consderar otras aternatvas como Frestarter o Shorewa. De|e actvo SELnux, ya que ste proveer a sstema de segurdad adcona. A termnar, haga cc sobre e botn ISi*uienteJ. 58 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Haga cc sobre e botn I<rocederJ a fn de satar a confguracn de cortafuegos. Agregue e soporte para domas adconaes de acuerdo a pas donde se hospedar e sstema. S emna ISpanis' NSpainCJ, se emnar a documentacn y soporte para espao genrco, por o que o es convenente de|ar dcha casa habtada. Fnamente, seeccone e doma predetermnado a utzar en e sstema. A termnar, haga cc sobre e botn ISi*uienteJ. 59 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Seeccone a casa IEl sistema 'orario usar; U>$J, que sgnfca que e reo| de sstema utzar U>$ (>empo Unversa $oordnado), que es e sucesor de G:> (b>Greenwch :ean >me, que sgnfca Tempo Promedo de Greenwch), y es a zona horara de referenca respecto a a cua se cacuan todas as otras zonas de mundo. Haga cc con e ratn sobre a regn que corresponda en e mapa munda o seeccone en e sguente campo a zona horara que corresponda a a regn donde se hospedar fscamente e sstema. 60 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Asgne una cave de acceso a usuaro root. Debe escrbra dos veces a fn de verfcar que est concde con o que reamente se espera. Por razones de segurdad, se recomenda asgnar una cave de acceso que evte utzar paabras provenentes de cuaquer dcconaro, en cuaquer doma, as como cuaquer combnacn que tenga reacn con datos personaes. A termnar, haga cc sobre e botn ISi*uienteJ, y espere a que e sstema haga a ectura de nformacn de os grupos de paquetes. 61 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux En a sguente pantaa podr seecconar os grupos de paquetes que quera nstaar en e sstema. Aada o emne a su convenenca. Lo recomendado, sobre todo s se trata de un servdor, es reazar una nstaacn con e mnmo de paquetes, actvando a casa I:.nimoJ que est a fna de a sta de grupos de paquetes. E ob|eto de esto es soo nstaar o mnmo necesaro para e funconamento de sstema operatvo, y permtr nstaar, posterormente, soo aqueo que reamente se requera de acuerdo a a fnadad productva que tendr e sstema. A termnar, haga cc sobre e botn ISi*uienteJ. 62 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Una vez hecho o anteror, haga cc sobre e botn ISi*uienteJ a fin de iniciar el proceso% S ncar de forma automtca e proceso de formato de as partcones que haya creado para nstaar e sstema operatvo. 63 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Se reazar de forma automtca a transferenca de de una magen de programa de nstaacn haca e dsco duro, con a fnadad de agzar e procedmento. Espere a que se termnen os preparatvos de proceso de nstaacn. 64 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Incar a nstaacn de os paquetes necesaros para e funconamento de sstema operatvo. Espere agunos mnutos hasta que concuya e proceso. Una vez concuda a nstaacn de os paquetes, haga cc sobre e botn I(einiciarJ. 65 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 5% $mo iniciar el modo de rescate en $ent0S 4% utor, |oe Barros Dueas $orreo electrnico, darLs'ramO*mail%com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 5%+% <rocedimientos% Inserte e dsco de nstaacn de CentOS y en cuanto aparezca e dogo de nco (boot:), ngrese linux rescue para dar comenzo a modo de rescate. En cuanto nce e programa, e|a ISpanis'J (espao) como e doma a utzar. 66 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa IesJ corresponde a a dsposcn de tecado Espao Espaa. E mapa Ilatin)+J corresponde a a dsposcn de tecado Espao Latno Amercano. E programa preguntar s desea actvar as tar|etas de red presentes en e sstema. Responda que si. Resuta muy convenente, para agunas tareas de mantenmento y reparacones, contar con conectvdad. 67 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Defna a dreccn I< y mscara de subred que utzar en adeante e sstema. Confrme con e admnstrador de a red donde se ocace que estos datos sean correctos antes de contnuar. A termnar, puse a teca EN>E( para satar a a sguente pantaa. Defna a dreccn I< de a puerta de enace y as dreccones IP de os servdores "NS de os que dsponga. A termnar, puse a teca EN>E( para satar a a sguente pantaa. 68 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Puede eegr $ontinuar para montar e sstema en modo de ectura y escrtura, para reazar tareas admnstratvas y modfcacones en confguracones, o ben en modo de Solo Lectura, para reazar verfcacn y reparacn de sstema de fcheros. Una vez hecha a eeccn, e sstema e ndcar que e sstema se ha montado ba|o /mnt/s2sima*e y que s desea que ste sstema de fcheros sea e entorno de root, soo deber utzar c'root /mnt/s2sima*e. Soo puse a teca EN>E( para sar a ntrprete de mandatos. 69 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Desde e ntrprete de mandatos se pueden reazar tareas admnstratvas y correctvas, dependendo de a stuacn y as condcones. Utce c'root /mnt/s2sima*e para cambar e entorno de root haca e sstema de fcheros en dsco duro, o ben utce herramentas, como fscL, para reazar otras operacones. 70 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 6% Iniciando el sistema en nivel de corrida + Nnivel mono)usuarioC% Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 6%+% Introduccin% Exsten stuacones en as cuaes se puede requerr e nco de sstema en nve de corrda 1 o nve mono-usuaro a fn de reazar tareas de mantenmento o, en su defecto, reparacones. 6%2% <rocedimientos% A ncar e sstema, ste o har presentando a pantaa de gestor de arranque conocdo como Grub presentando una pantaa smar a a sguente: Grub version 0.93 (639K lower / 261056K upper memory) _________________________________________________________________ |Wi!e "o# $n!erprise %inu# (2.&.21'15.0.&.$%) | | | | | | | | | | | | | | | | | | | | | |________________________________________________________________| (se !e )n* !e !o sele+! wi+ en!ry is i,li,!e*. -ress en!er !o boo! !e sele+!e* ./ or 0p0 !o en!er ) p)sswor* !o unlo+1 !e ne#! se! o2 2e)!ures. 71 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Puse a teca 'p' e ngrese a cave de acceso defnda desde e programa de nstaacn de sstema operatvo: Grub version 0.93 (639K lower / 261056K upper memory) _________________________________________________________________ |Wi!e "o# $n!erprise %inu# (2.&.21'15.0.&.$%) | | | | | | | | | | | | | | | | | | | | | |________________________________________________________________| (se !e )n* !e !o sele+! wi+ en!ry is i,li,!e*. -ress en!er !o boo! !e sele+!e* ./ or 0p0 !o en!er ) p)sswor* !o unlo+1 !e ne#! se! o2 2e)!ures. -)sswor*3444444 E texto de opcones cambar despus de ngresar a cave de acceso correcta: Grub version 0.93 (639K lower / 261056K upper memory) _________________________________________________________________ |Wi!e "o# $n!erprise %inu# (2.&.21'15.0.&.$%) | | | | | | | | | | | | | | | | | | | | | |________________________________________________________________| (se !e )n* !e !o sele+! wi+ en!ry is i,li,!e*. -ress en!er !o boo! !e sele+!e* ./5 0e0 !o e*i! !e +omm)n*s be2ore boo!in,5 0)0 !o mo*i2y !e 1ernel )r,umen!s be2ore boo!in,5 or 0+0 2or ) +omm)n* line. 72 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Puse a teca 'e' para modfcar as opcones de arranque de nceo seecconado: Grub version 0.93 (639K lower / 261056K upper memory) _________________________________________________________________ |roo! (*050) | |1ernel /vmlinu6'2.&.21'15.0.&.$% ro roo!7%8"$%7/ | |ini!r* /ini!r*'2.&.21'15.0.&.$%.im, | | | | | | | | | | | | | | | | | |________________________________________________________________| (se !e )n* !e !o sele+! wi+ en!ry is i,li,!e*. -ress 0b0 !o boo!5 0e0 !oe*i! !e sele+!e* +omm)n* in !e boo! se9uen+e5 0+0 2or ) +omm)n* line5 0o0 !o open ) new line )2!er (000 2or be2ore) !e sele+!e* line5 0*0 !o remove !e sele+!e* line5 or es+)pe !o ,o b)+1 !o !e m)in menu. Seeccone a nea referente a nceo y vueva a pusar a teca 'e' a fn de modfcar dcha nea: Grub version 0.93 (639K lower / 261056K upper memory) _________________________________________________________________ |roo! (*050) | |1ernel /vmlinu6'2.&.21'15.0.&.$% ro roo!7%8"$%7/ | |ini!r* /ini!r*'2.&.21'15.0.&.$%.im, | | | | | | | | | | | | | | | | | |________________________________________________________________| (se !e )n* !e !o sele+! wi+ en!ry is i,li,!e*. -ress 0b0 !o boo!5 0e0 !oe*i! !e sele+!e* +omm)n* in !e boo! se9uen+e5 0+0 2or ) +omm)n* line5 0o0 !o open ) new line )2!er (000 2or be2ore) !e sele+!e* line5 0*0 !o remove !e sele+!e* line5 or es+)pe !o ,o b)+1 !o !e m)in menu. 73 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Agregue un espaco y un nmero 1 a fna de a nea y puse a teca ENTER : ;inim)l "8/<'li1e line e*i!in, is suppor!e*. =or !e 2irs! wor*5 >8" lis! possible +omm)n* +omple!i!ions. 8nywere else >8" lis!s !e possible +omple!i!ions o2 ) *evi+e/2ilen)me. $/? )! )ny +)n+els. $@>$A )! )ny !ime )++ep!s your +)n,es B ,rub e*i!C 1ernel /vmlinu6'2.&.21'15.0.&.$% ro roo!7%8"$%7/ 1 Regresar a a pantaa anteror. Smpemente puse a teca 'b' para ncar e sstema en nve de corrda 1: Grub version 0.93 (639K lower / 261056K upper memory) _________________________________________________________________ |roo! (*050) | |1ernel /vmlinu6'2.&.21'15.0.&.$% ro roo!7%8"$%7/ 1 | |ini!r* /ini!r*'2.&.21'15.0.&.$%.im, | | | | | | | | | | | | | | | | | |________________________________________________________________| (se !e )n* !e !o sele+! wi+ en!ry is i,li,!e*. -ress 0b0 !o boo!5 0e0 !oe*i! !e sele+!e* +omm)n* in !e boo! se9uen+e5 0+0 2or ) +omm)n* line5 0o0 !o open ) new line )2!er (000 2or be2ore) !e sele+!e* line5 0*0 !o remove !e sele+!e* line5 or es+)pe !o ,o b)+1 !o !e m)in menu. 74 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 7% <rocedimientos de emer*encia Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 7%+% Introduccin En ocasones suee ser necesaro reazar tareas de mantenmento y de reparacn en e sstema de archvos. Estas stuacones requeren que e admnstrador conozca a menos as herramentas correspondentes. 7%2% "isco de rescate E prmer dsco de nstaacn de Red Hat Enterprse Lnux 3 y Whte Box Enterprse Lnux 3 ncuye a opcn de ncar e sstema en modo de rescate desde ste. Soo bastar dgtar nux rescue en e avso de nco (prompt) que aparece a arrancar e sstema con e dsco 1: boot: linux rescue Despus de ncar, confgurar e tecado y, de forma opcona, a conectvdad a travs de dspostvos de red, se ngresar a un nterprete de mandatos (BASH) con un con|unto bsco de herramentas que permtrn reazar tareas de mantenmento y reparacn. Dgte o sguente a fn de mostrar en pantaa as partcones de sstema: df -h Lo anteror deber mostrar ago parecdo a o sguente: !ficheros "ama#o $sado %isp $so& 'ontado en /dev/sda( 1)* +!,* -!(* .+& / /dev/sda1 /6' ,!1' 6+' 1(& /boot none )0/' 0 )0/' 0& /dev/shm /dev/hda) +0* .)* (!6* -+& /home /dev/sdb. (!0* .6' 1!-* (& /tmp /dev/sdb1 6!+* +!0* (!(* 66& /usr/local /dev/sdb) 6!+* +!.* 1!,* /1& /usr/src /dev/sdb( (!0* )/0' 1!+* .0& /var /dev/hda6 1-* 1/* --,' -)& /var/ftp /dev/hda( 6!0* ()/' )!+* )& /var/lib /dev/hda1 6!-* /-(' )!,* 1(& /var/111 75 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 7%3% Perificacin de la inte*ridad del disco La verfcacn de cuaquer partcn de dsco duro requere, necesaramente, desmontar antes sta. Una vez hecho esto es posbe reazar una verfcacn utzando o sguente, consderando en e e|empo que se ntenta verfcar a partcn /dev/'da+: fsck -f2 /dev/hda1 De ser necesara una verfcacn de superfce en busca de sectores daados, considerando Gue dic'o proceso puede demorar incluso varias 'oras, se puede utzar o sguente: fsck -f2c /dev/hda1 7%4% =si*nacin de formato de las particiones Cuando a stuacn o amerte, ser posbe dar formato a una partcn en partcuar utzando o sguente, consderando en e e|empo que se ntenta proporconar formato EXT3 a a partcn /dev/'da+: mkfs!ext. /dev/hda1 Se encuentran tambn dsponbes as sguentes herramentas para asgnacn de formato: mkfs.ext2 mkfs.vfat (fat32) mkfs.msdos (fat16) mkswap S se necesta dar un formato de ba|o nve a fn de emnar toda a nformacn de dsco duro, puede utzarse o sguente, consderando en e e|empo que se ntenta dar formato de ba|o nve a dsco duro /dev/'da, para escrbr 0 (ceros) en cada sector de dsco duro. dd if3/dev/4ero of3/dev/hda S se requere, tambn es posbe dar formato de ba|o nve escrbendo nmeros aeatoros en todos os sectores de dsco duro: dd if3/dev/urandom of3/dev/hda 76 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 9% $mo confi*urar 2 utili8ar Sudo $oel Barrios /ue,as dar0s!ram1%mail.com !ttp233444.linu(paratodos.net3 $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 9%+% Introduccin% Sudo es una herramenta de sstema que permte a os usuaros reazar a e|ecucn de mandatos como superusuaro u otro usuaro de acuerdo a como se especfque en e fchero /etc/sudoers, donde se determna quen est autorzado. Los nmeros de dentdad de usuaro y de grupo (UID y GID) reaes y efectvas se estabecen para guaar a aqueas de usuaro ob|etvo como est especfcado en e fchero /etc/passMd. De modo predetermnado sudo requere que os usuaros se autentquen as msmos con su propa cave de acceso (nunca la clave de acceso de root). Una vez que e usuaro se ha autentcado, e usuaro podr utzar nuevamente sudo sn necesdad de vover a autentcarse durante 5 mnutos, savo que se especfque o contraro en e fchero /etc/sudoers. S e usuaro e|ecuta e mandato sudo )v podr refrescar ste perodo de tempo sn necesdad de tener que e|ecutar un mandato, en cuyo caso contraro exprar esta autentcacn y ser necesaro vover a reazara. S un usuaro no stado en e fchero /etc/sudoers. trata de e|ecutar un mandato a travs de sudo, se regstra a actvdad en a btcora de sstema (a travs de s2slo*d) y se enva un mensa|e de correo eectrnco a admnstrador de sstema (root). 9%+%+% Historia% Sudo fue ncamente concebdo en 1980 por Bob Coggesha y Cff Spencer de departamento de cenca computacona en SUNY (State Unversty of New York o Unversdad Estata de Nueva York), en Buffao. En 1985 se pubc e grupo de notcas net.sources una versn me|orada acredtada a Ph Betche, Cff Spencer, Gretchen Phps, |ohn LoVerso y Don Gworek. Garth Snyder pubc otra versn me|orada en e verano de 1986 y durante os sguentes cnco aos fue mantendo con a coaboracn de muchas personas, ncuyendo Bob Coggesha, Bob Manchek, y Trent Hen. En 1991 Dave Heb y |eff Neusma escrberon una nueva versn con un formato me|orado para e fchero /etc/sudoers ba|o contrato con a frma consutora The Root Group, versn que posterormente fue pubcada ba|o os trmnos de a Lcenca Pbca Genera de GNU (GNU/GPL). Desde 1996 e proyecto es mantendo por Todd Mer con a coaboracn de Chrs |epeway y Aaron Spanger. 9%2% 7ic'ero /etc/sudoers E fchero /etc/sudoers se edta con e mandato visudo, herramenta que a travs de v permte reazar cambos y verfcar sntaxs y errores. S se trata de modfcar drectamente /etc/sudoers, 77 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ste tene permsos de soo ectura. La sntaxs bsca de una sta sera: XXXX56lias 78'9R:;<"6 3 elemento1= elemento(= elemento. La sntaxs bsca de una rega sera: >usuario= &grupo= 78'9R:;<"6? >anfitri@n? 3 (id de usuario a usar) mandatos Se pueden defnr Aases y regas. Los aases permten defnr una sta de mandatos , una sta de usuaros, un asta de anftrones o ben e|ecutar como otros usuaros. 9%2%+% $mndQ=lias% Amnd56lias '67%6"8B""C% 3 /sbin/service httpd restart= D /usr/bin/vim /etc/httpd/conf!d/variables!conf= D /usr/bin/vim /etc/php!ini Lo anteror defne una sta de mandatos que podran utzarse para rencar e servco de httpd, modfcar un fchero de confguracn en a ruta /etc/'ttpd/conf%d/varables%conf y modfcar e fchero fulano 6;; 3 '67%6"8B""C% Lo anteror defne que e usuaro fuano puede utzar os mandatos de a sta MANDATOSHTTPD desde cuaquer anftrn. 9%2%2% UserQ=lias% $ser56lias $$6R<8B""C 3 fulano= mengano= 4utano Lo anteror defne una sta denomnada H>><USE(S, ntegrada por os usuaros fuano, mengano y zutano. $$6R<8B""C 6;; 3 /usr/bin/vim La rega anteror defne que os usuaros que conforman a sta USU=(I0SH>>< pueden utzar e mandato vm desde cuaquer anftrn. 9%2%3% HostQ=lias% Bost56lias B8"B""C% 3 1-(!16,!0!()= 1-(!16,!0!(6= 1-(!16,!0!(. Lo anteror defne que a sta H0S>SH>><" est ntegrada por as 3 dreccones IP stadas anterormente. S adems se aade a sguente rega: $$6R<8B""C% B8"B""C% 3 6%'<7B""C% 78 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Lo anteror defne que os usuaros de a sta H>><"USE(S pueden utzar os mandatos stados en =":INH>><" soamente s estn conectados desde as dreccones IP stadas en H0S>SH>><". 9%2%4% (unasQ=lias% S por e|empo se qusera que os usuaros de a sta USU=(I0SH>>< puderan adems utzar os mandatos s, rm, chmod, cp, mv, mkdr, touch y vm como e usuaros |uan, pedro y hugo, se requere defnr una sta para estos mandatos y otra para os aases de usuaros aternos, y a rega correspondente. Runas56lias A;<:7":1 3 Euan= pedro= hugo Amnd56lias '67%6"8A;<:7": 3 /bin/ls= D /bin/rm= D /bin/chmod= D /bin/cp= /bin/mv= D /bin/mkdir= D /bin/touch= D /usr/bin/vim $$6R<8B""C% B8"B""C% 3 (A;<:7":1) '67%6"8A;<:7": Lo anteror permte a os usuaros defndos en USU=(I0SH>><" (fuano, mengano y zutano), utzar os mandatos defndos en :=N"=>0S$LIEN>ES (s, rm, chmod, cp, mv, mkdr, touch y vm) dentfcndose como os usuaros defndos en $LIEN>ES+ (|uan, pedro y hugo) soamente s se reaza desde as dreccones IP stadas en H0S>SH>><" (192.168.0.25, 192.168.0.26, 192.168.0.23). 9%3% $andados de se*uridad% Sudo ncuye varos candados de segurdad que mpden se puedan reazar tareas pegrosas. S se defne e mandato /usr/bin/vim en /etc/sudoers, se podr hacer uso de ste de os sguentes modos: F sudo /usr/bin/vim F sudo vim Sn embargo, no podr ser utzado as: F cd /usr/bin F sudo !/vim S se defne e mandato /bin/ec'o, e usuaro podr utzaro de os sguentes modos: F sudo /bin/echo GBolaG F sudo echo GBolaG Pero no podr utzaro de a sguente forma: F sudo echo GBolaG H algo!txt 79 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Para poder reazar a operacn anteror, tendra que utzar: F sudo bash -c Gecho IBolaI H algo!txtG Sudo e permtr reazar una tarea sobre cuaquer fchero dentro de cuaquer drectoro an s no tene permsos de acceso para ngresar a dcho drectoro sempre y cuando especfque la ruta exacta de dcho fchero. F sudo cho1n named /var/named/dominio!4one Pero no podr utzaro as: F sudo cho1n named /var/named/J!4one 9%4% Lo Gue no se recomienda% S se quere permtr a un usuaro utzar lo Gue sea, desde cuaquer anftrn, cmo cuaquer usuaro de sstema y sin necesidad de autenticar, se puede smpemente defnr: fulano 6;; 3 (6;;) 78C6K%: 6;; 9%5% 7acilitando la vida a travFs de R/%bas'Qprofile% BASH (!ourne-=gan S'e) permte utzar varabes de entorno y aases defndas en R/%bas'Qprofile a ncar a sesn, sendo que e admnstrador utzar actvamente muchos mandatos dversos, estos se pueden smpfcar a travs de aases que resuman stos. Por e|empo, s se quere defnr que se utce sudo cada vez que se nvoque a mandato c'Lconfi*, se puede aadr o sguente a fchero R/%bas'Qprofile: alias chkconfig3Gsudo /sbin/chkconfigG Lo anteror permtr e|ecutar drectamente e mandato c'Lconfi* sn necesdad de preceder ste con e mandato sudo. A contnuacn s dversos aases que pueden ser de utdad en e fchero R/%bas'Qprofile y que permtrn utzar mandatos dversos con sudo. 80 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L !bash5profile L *et the aliases and functions if > -f M/!bashrc ?N then ! M/!bashrc fi L $ser specific environment and startup programs C6"B3FC6"B:FB8':/bin3/sbin3/usr/sbin export C6"B unset $:R76': )li)s +1+on2i,7Dsu*o /sbin/+1+on2i,D )li)s servi+e7Dsu*o /sbin/servi+eD )li)s rou!e7Dsu*o /sbin/rou!eD )li)s *epmo*7Dsu*o /sbin/*epmo*D )li)s i2+on2i,7Dsu*o /sbin/i2+on2i,D )li)s +mo*7Dsu*o /bin/+mo*D )li)s +own7Dsu*o /bin/+ownD )li)s +,rp7Dsu*o /bin/+,rpD )li)s user)**7Dsu*o /usr/sbin/user)**D )li)s user*el7Dsu*o /usr/sbin/user*elD )li)s ,roup)**7Dsu*o /usr/sbin/,roup)**D )li)s ,roup*el7Dsu*o /usr/sbin/,roup*elD )li)s e*9uo!)7Dsu*o /usr/sbin/e*9uo!)D )li)s vi7Dsu*o /usr/bin/vimD )li)s less7Dsu*o /usr/bin/lessD )li)s !)il7Dsu*o /usr/bin/!)ilD )li)s yum7Dsu*o /usr/bin/yumD )li)s s)slp)ssw*27Dsu*o /usr/sbin/s)slp)ssw*2D )li)s !p)ssw*7Dsu*o /usr/bin/!p)ssw*D )li)s openssl7Dsu*o /usr/bin/opensslD )li)s smbp)ssw*7Dsu*o /usr/bin/smbp)ssw*D )li)s sys!em'+on2i,'prin!er7Dsu*o /usr/sbin/sys!em'+on2i,'prin!erD )li)s sys!em'+on2i,'ne!wor17Dsu*o /usr/sbin/sys!em'+on2i,'ne!wor1D )li)s sys!em'+on2i,'*ispl)y7Dsu*o /usr/bin/sys!em'+on2i,'*ispl)yD Para que surtan efectos os cambos, hay que sar de a sesn y vover a ngresar a sstema con a msma cuenta de usuaro, en cuyo fchero R/%bas'Qprofile se aaderon estos aases. 81 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S% $mo crear cuentas de usuario $oel Barrios /ue,as dar0s!ram1%mail.com !ttp233444.linu(paratodos.net3 $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. S%+% Introduccin GNU/Lnux es un sstema operatvo con muchas caracterstcas y una de eas es que se dse para ser utzado por mtpes usuaros. An cuando se tenga una PC con un nco usuaro, es mportante recordar que no es convenente reazar e traba|o daro desde a cuenta de root, msma que so debe utzarse para a admnstracn de sstema . Una cuenta de usuario contene as restrccones necesaras para mpedr que se e|ecuten mandatos que puedan daar e sstema 8pro%ramas troyanos como el Bliss8, se atere accdentamente a confguracn de sstema, os servcos que traba|an en e trasfondo, os permsos y ubcacn de os archvos y drectoros de sstema, etc. S%2% <rocedimientos Generamente e paso que procede a una nstaacn de GNU/Lnux es a creacn de cuentas de usuaro. Para eo exsten dstntos mtodos, todos sencos que permten crear una cuenta con su propo drectoro de traba|o y os archvos necesaros. Actuamente exsten recursos como e programa nstaador de Red Hat Lnux y programas que funconan desde un entorno grfco, como es Lnuxconf y Webmn, as como recursos que funconan en modo de texto o desde una ventana termna, como son os mandatos tradconaes, useradd y pass4d, y agunos otros programas, como YaST y a versn correspondente de Lnuxconf o Webmn. S%2%+% $reando una cuenta en el modo de texto, useradd 2 pass!d Este procedmento puede reazarse de forma segura tanto fuera de X Wndow como desde una ventana termna en e entorno grfco de que se dsponga. Fue e mtodo comnmente utzado antes de a aparcn de programas como YaST y Lnuxconf. Sn embargo an resuta t para a admnstracn de servdores, cuando no se tene nstaado X Wndow, no se tenen nstaados YaST o Lnuxconf 8o las versiones de estos que se !an instalado no trabajan correctamente8, o ben se tenen mtacones o probemas para utzar un entorno grfco. S%2%+%+% Lo primero, el mandato useradd E prmer paso para crear una nueva cuenta consste en utzar e mandato useradd de sguente modo: useradd nombre5del5usuario 82 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux E|empo: useradd fulano S%2%+%2% Lo se*undo, el mandato pass!d E paso sguente despus de crear a nueva cuenta con useradd es especfcar una contrasea para e usuaro. Determne una que e resute fc de recordar, que mezce nmeros, mayscuas y mnscuas y que, preferentemente, no contenga paabras que se encontraran fcmente en e dcconaro. Exsten otras recomendacones, por o que es convenente eer, antes de contnuar, os comentaros fnaes acerca de a segurdad ncudos en este msmo artcuo. Aunque e sstema sempre tratar de prevenro cuando se esco|a una mala contrasea, ste no e mpedr que o haga. Especfcar una nueva contrasea para un usuaro, o ben cambar a exstente, se puede reazar utzando e mandato pass!d de sguente modo: pass1d nombre5del5usuario E|empo: pass1d fulano E sstema soctar entonces que proceda a escrbr a nueva contrasea para e usuaro y que repta sta para confrmar. Por segurdad, e sstema no mostrar os caracteres teceados, por o que debe hacero con cudado. S se consdera que ta vez se cometeron errores de teceado, puede presonarse as veces que sean necesaras a teca <Backspace> o <Retroceso>. De cuaquer forma e sstema e nformar s concde o no o teceado. S todo sa ben recbr como respuesta de sstema code ". S en cambo recbe code #, sgnfcar que deber repetr e procedmento, en vrtud de haberse producdo un error. Este procedmento tambn puede utzarse para cambar una contrasea exstente. S%2%+%3% 0pciones avan8adas En muchos casos as opcones pueden no ser necesaras, pero s se est admnstrando un servdor o estacn de traba|o, o ben se es un usuaro un poco ms expermentado, y se quere crear una cuenta con mayores o menores restrccones, atrbutos y/o permsos, pueden utzarse as sguentes opcones de useradd: -c comment Se utza para especfcar e archvo de comentaro de campo para a nueva cuenta. -d home dr Se utza para estabecer e drectoro de traba|o de usuaro. Es convenente, a fn de tener un sstema ben organzado, que este se ocace dentro de drectoro 3!ome. -e expre date Se utza para estabecer a fecha de expracn de una cuenta de usuaro. sta debe ngresarse en e sguente formato: AAAA-MM-DD. -g nta group Se utza para estabecer e grupo nca a que pertenecer e usuaro. De forma predetermnada se estabece como nco grupo #. Nota: e grupo asgnado debe exstr. 83 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux -G group,|...| Se utza para estabecer grupos adconaes a os que pertenecer e usuaro. stos deben separarse utzando una coma y sn espacos. Lo anteror es muy convenente cuando se desea que e usuaro tenga acceso a determnados recursos de sstema, como acceso a a undad de dsquetes, admnstracn de cuentas PPP y POP. Nota: os grupos asgnado deben de exstr. -m Se utza para especfcar que e drectoro de traba|o de usuaro debe ser creado s acaso este no exstese, y se coparn dentro de ste os archvos especfcados en 3etc3s0el. -s she Se utza para estabecer e ntrprete de mandatos que podr utzar e usuaro. De forma predetermnada, en Red Hat Lnux y Fedora Core, se estabece bas! como ntrpete de mandatos predefndo. -u ud Se utza para estabecer e UID, es decr, a ID de usuaro. Este debe ser nco. De forma predetermnada se estabece como UID e nmero mnmo mayor a 99 y mayor que e de otro usuaro exstente. Cuando se crea una cuenta de usuaro por prmera vez, como ocurre en Red Hat Lnux y Fedora Core generamente se asgnar 9:: como UID de usuaro. Los UID entre 0 y 99 son reservados para as cuentas de os servcos de sstema. E|empo: useradd -u )00 -d /home/fulano -* flopp2=pppusers=popusers fulano Lo anteror crear una cuenta de usuaro amada fuano, que se encuentra ncuda en os grupos foppy, pppusers y popusers, que tendr un UID=500; utzar Bash como ntrprete de mandatos y tendr un drectoro de traba|o en /home/fuano. Exsten ms opcones y comentaros adconaes para e mandato useradd, as que se encuentran especfcadas en os manuaes. Para acceder a esta nformacn, utce e mandato man useradd desde una ventana termna. S%2%2% Eliminar una cuenta de usuario En ocasones un admnstrador necestar emnar una o ms cuentas de usuaro. Este es un procedmento prncpamente utzado en servdores y estacones de traba|o a os cuaes acceden mtpes usuaros. Para ta fn nos vadremos de mandato userdel. La sntaxs bsca de este mandato es a sguente: userdel nombre_del_usuario E|empo: userdel fulano S se desea emnar tambn todos os archvos y drectoros subordnados contendos dentro de drectoro de traba|o de usuaro a emnar, se deber agregar a opcn -r: userdel -r nombre5del5usuario E|empo: 84 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux userdel -r fulano S%3% :ane-o de *rupos S%3%+% =lta de *rupos groupadd grupo-Oue-sea S%3%2% =lta de *rupos de sistema Un grupo de sstema es aque que tene un nmero de dentdad de grupo (GID) por deba|o de 500. Reguarmente se asgna automtcamente e nmero de dentdad de grupo ms ba|o dsponbe. groupadd -r grupo-Oue-sea S%3%3% !a-a de *rupos groupdel grupo-Oue-sea S%3%4% =si*nacin de usuarios existentes a *rupos existentes gpass1d -a usuario-Oue-sea grupo-Oue-sea S%4% $omentarios finales acerca de la se*uridad Cuando, en a mayora de os casos, un dencuente nformtco consgue nftrarse en un sstema GNU/Lnux o Unx no es porque ste cuente con un hueco de segurdad, sno porque e ntruso pudo vunerar aguna de as contraseas de as cuentas exstentes. S usted especfc durante e proceso de nstaacn de Lnux una mala contrasea de root, ago muy comn entre usuaros novcos, es atamente recomendado cambara. Evte especfcar contraseas fces de advnar . Con esto nos refermos partcuarmente a utzar contraseas que utcen paabras ncudas en cuaquer dcconaro de cuaquer doma, datos reaconados con e usuaro o empresa, como son e regstro federa de causantes (R.F.C.), fechas de nacmento, nmeros teefncos, seguro soca, nmeros de cuentas de acadmcos o aumnos y nombres de mascotas, a paabra .inu(;, nombres de persona|es de cenca fccn, etc. Evte escrbr as contraseas sobre medos fscos, prefera sempre mtarse a memorzaras. S necesta amacenar contraseas en un archvo, hgao utzando cfrado. S se e dfcuta memorzar contraseas compe|as, utce entonces contraseas fces de recordar, pero c;mbielas peridicamente. |ams proporcone una contrasea a personas o nsttucones que se a socten. Evte proporconara en especa a personas que se dentfquen como membros de agn servco de soporte o ventas. Este tmo caso o mencona con nfass a pgna de manua de mandato pass!d. Consderaremos como una buena contrasea aquea se compone de una combnacn de nmeros 85 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux y etras mayscuas y mnscuas y que contene a menos 8 caracteres. Tambn es posbe utzar pares de paabras con puntuacn nsertada y frases o secuencas de paabras, o ben acrnmos de stas. Observar estas recomendacones, prncpamente en sstemas con acceso a redes ocaes y/o pbcas como Internet, har que e sstema sea ms seguro. 86 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S%5% =pFndice, $onfi*urando valores predefinidos para el alta de cuentas de usuario S%5%+% 7ic'ero /etc/default/useradd para definir variables utili8adas por el mandato useradd Como root, utce un edtor de texto sobre /etc/default/useradd. Encontrar, nvarabemente, e sguente contendo: L useradd defaults file *R8$C3100 B8':3/home <76A"<P:3-1 :XC<R:3 B:;;3/bin/bash Q:;3/etc/skel Puede cambar o vaores que consdere convenentes. S%5%+%+% Pariable H0:E E drectoro de nco de usuaro ser creado dentro de /home, de acuerdo a como se estpua en Est;ndar de erarGu.a de Sistema de 7ic'eros o FHS (7esystem Herarchy Standard). E vaor de esta varabe puede ser cambado de acuerdo a as necesdades o preferencas de admnstrador. Por e|empo, en e caso de un sstema dedcado a servco de hospeda|e de stos de red vrtuaes a travs de HTTPD, pudera preferrse utzar /var/111 para este fn a modo de smpfcar tareas para e admnstrador de sstema. En otros casos, especfcamente en servdores de correo, donde se quere apcar una soa cuota de disco genera para buzn de correo y carpetas de correo en e drectoro de nco, pudera crearse un drectoro dentro de /var, como por e|empo /var/home o /var/users, de modo que a apcar cuota de dsco sobre a partcn /var, sta nvoucrara tanto e buzn de entrada de usuaro, ocazado en /var/spool/mail/usuario, como as carpetas de correo en e drectoro de nco de usuaro, ocazados dentro de drectoro /var/home/usuario/mail/. S%5%+%2% Pariable SHELL E ntrprete de mandatos a utzar para as nuevas cuentas que sean creadas en adeante se defne a travs de a varabe SHELL. De modo predefndo e sstema asgna /bin/bash (BASH o !ourne =gan S'e) como ntrprete de mandatos; sn embargo o certo es que s e sstema se utzar como servdor, o ms convenente sera asgnare de modo predefndo otro vaor. E ms utzado es /sbin/nolo,in, e cua es un programa que de forma corts rechaza e ngreso en e sstema (ogn). Muestra un mensa|e respecto a que a cuenta no est dsponbe (o ben o que se defna en /etc/nologin!txt) y da sada. Se utza como reempazo de un ntrprete de mandatos en cuentas que han sdo desactvadas o ben que no se quere accedan haca un ntrprete de mandatos. Este programa regstra en a btcora de sstema todo ntento de acceso. Para utzaro como vaor para a varabe SHELL, so hay que cambar SHELLT/bin/bas' por SHELLT/sbin/nolo*in. L useradd defaults file GROUP=100 87 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux B8':3/home <76A"<P:3-1 :XC<R:3 /<$%%7/sbin/nolo,in Q:;3/etc/skel En adeante todo nuevo usuaro que sea dado de ata en e sstema con e mandato useradd sn parmetro aguno, de modo predefndo no podr acceder a sstema a travs de ntrprete de mandatos (she), es decr, acceso en termna oca o remotamente. Los usuaros con estas caracterstcas podrn, sn embargo, utzar cuaquer otro servcos como FTP, correo o Samba sn probema aguno. Otros vaores para a varabe SHELL pueden ser: /sbin/nolo*in, programa que de forma corts rechaza e ngreso en e sstema (ogn). /bin/false, programa que reaza sada nmedata ndcando faa. Es decr, que no permte a reazacn de cosa aguna y adems con faa. Idea s se quere tener cuentas de usuaro con acceso haca FTP, correo, Samba, etc., aunque sn permtr e acceso haca un ntrprete de mandatos. /dev/null, e dspostvo nuo que descarta todos os datos escrtos sobre ste y no provee datos para cuaquer proceso que o ea. Idea para defnrse cuando se quere utzar una cuenta que so tenga acceso a correo (SMTP, POP3, IMAP y/o cente de correo con nterfaz HTTP). /bin/bas', ntrprete de mandatos desarroado por e proyecto GNU. Es e ntrprete de mandatos predefndo en Lnux y Mac OS X (a partr de Tger). /bin/s', un enace smbco que apunta haca /bn/bash y ofrece una versn smpfcada de Bash muy smar a Bourne She (sh). /bin/tcs', una versn me|orada de de mandatos de C (csh). /bin/as', un con de Bourne she (sh) que utza menos memora. /bin/8s', una versn me|orada de sh con funcones tes encontradas en Bash y tcsh. S%5%2% "irectorio /etc/sLel como molde para crear los directorios de inicio de los usuarios De modo predefndo as cuentas de usuaro de sstema utzarn como mode a drectoro /etc/skel para crear e drectoro de nco de todos os usuaros de sstema. En sstemas basados sobre Red Hat, reguarmente y como mnmo, e drectoro /etc/skel ncuye os sguentes guones de nco: !bash5logout !bash5profile !bashrc !gtkrc S, por e|empo, se desea que cada cuenta de usuaro ncuya un drectoro subordnado para carpetas de correo y suscrpcn a stas a travs de servco de IMAP, se debe reazar e sguente procedmento: mkdir /etc/skel/mail/ touch /etc/skel/mail/9orradores touch /etc/skel/mail/:nviados touch /etc/skel/mail/Capelera Y ,fnamente, crear con el editor de texto e fchero /etc/skel/!mailboxlist que srve para regstrar as suscrpcones haca carpetas de correo que sern utzadas por e servco IMAP con un servdor UW-IMAP, utzando e sguente contendo: 88 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux mail/9orradores mail/:nviados mail/Capelera S se pretende utzar modo grfco en e sstema, de forma adcona se puede corregr un probema con agunas versones de Frefox que generan un drectoro -/.moza con permsos de acceso so para root, de modo ta que a aadro en /etc/ske se ncuya un drectoro -/.moza con permsos de acceso para e usuaro a crear cada cuenta de usuaro. mkdir /etc/skel/!mo4illa S%6% =pFndice, E-ercicio, $reando cuentas de usuario S%6%+% Introduccin A fn de poder traba|ar con comoddad, se crearn agunos grupos y cuentas de usuaro con dversas caracterstcas. S%6%2% <rocedimientos 1. Genere contendo predefndo para os drectoros de nco a fn de que e de cada usuaro contenga os drectoro subordnados -/Desktop, -/Documents, -/ma y -/.moza: ls -a /etc/skel mkdir /etc/skel/R%esktop=%ocuments=mail=!mo4illaS ls -a /etc/skel 2. Genere, s no o ha hecho an como parte de os procedmentos de curso, a usuaro denomnado fuano con derecho a ntrprete de mandatos, drectoro de nco /'ome/fulano y grupo prncpa fuano (vaores por defecto): useradd -s /bin/b)s fulano pass1d fulano 3. Genere a usuaro denomnado mengano sn derecho a ntrprete de mandatos, asgnando e drectoro de nco /'ome/men*ano y grupo prncpa mengano (vaores por defecto): useradd -s /sbin/nolo,in mengano pass1d mengano 4. Genere e grupo denomnado desarroo: groupadd desarrollo 5. Genere e grupo denomnado sstemas como grupo de sstema: groupadd 'r sistemas 6. Genere os drectoros subordnados /'ome/desarrollo y /'ome/sistemas/ de sguente modo: 89 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux mkdir -p /home/desarrollo mkdir -p /home/sistemas 7. Genere a usuaro denomnado perengano con derecho a ntrprete de mandatos, asgnando e drectoro de nco /home/desarrollo/perengano, grupo prncpa de desarroo y grupo adcona sstemas: useradd -s /bin/bash -m -d /ome/*es)rrollo/peren,)no ', *es)rrollo -* sistemas perengano pass1d perengano 8. Genere a usuaro denomnado zutano con derecho a ntrprete de mandatos, asgnando e drectoro de nco /home/sistemas/zutano, grupo prncpa sstemas y grupo adcona de desarroo: useradd -s /bin/bash -m -d /ome/sis!em)s/6u!)no ', sis!em)s -* desarrollo 4utano pass1d 4utano 9. Vsuace e contendo de os fcheros /etc/*roup y /etc/passMd y compare y determne as dferencas entre os grupos desarroo y sstemas y os usuaros fuano, mengano, perengano y zutano. cat /etc/group cat /etc/pass1d 90 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +0% !reve leccin de mandatos b;sicos Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +0%+% Introduccin Por favor si*a los procedimientos al pie de la letra. +0%2% <rocedimientos Ingrese a sstema como usuaro (fuano). Una vez que ha ngresado a sstema, reace o sguente: p1d Lo anteror e mostrar a ruta actua donde se ocaza (/'ome/fulano). Reace o sguente: cd /usr/local p1d Lo anteror o cambar a drectoro /usr/local y e mostrar a ruta actua. Reace o sguente: cd p1d Lo anteror o regresar a /'ome/fulano/ y mostrar que ahora se ocaza en e drectoro /'ome/fulano/% Reace o sguente: ls /usr/local Lo anteror mostrar e contendo de drectoro /usr/local as como mostrar que no es necesaro cambarse a un drectoro en partcuar para ver su contendo. Reace o sguente: 91 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ls ls -a Lo anteror prmeramente mostrar que aparentemente no hay contendo en e drectoro /home/fuano; despus se mostrar o sguente y que en readad s hay contendo. Los fcheros y drectoros de converten a ocutos a renombrares y poneres un punto a nco. !bash5logout !bash5profile !bashrc Reace o sguente: ls -la Lo anteror deber mostrar todo e contendo de /'ome/fulano as como os atrbutos y permsos: dr1xr-xr-x ( fulano fulano +0-6 ago 1. 00:16 ! dr1xr-xr-x (6 root root ,1-( ago (- 11:0- !! -r1-r--r-- 1 fulano fulano (+ dic 11 (00. !bash5logout -r1-r--r-- 1 fulano fulano 1-1 dic 11 (00. !bash5profile -r1-r--r-- 1 fulano fulano 1(+ dic 11 (00. !bashrc Reace o sguente: ls --help Lo anteror e mostrar a ayuda rpda de s. Puse smutneamente en su tecado os botones <SHIFT> y <Re Pg> y uego puse smutneamente en su tecado os botones <SHIFT> y <Av Pg>; sto har que se despace a pantaa permtendo eer toda a nformacn. Puse e botn <ENTER> y reace o sguente: man ls Lo anteror e mostrar e manua en espao. Puse as tecas de <Av Pg> y <Reg Pg> para avanzar en e manua. Puse a teca / y a contnuacn ngrese nmedatamente a paabra drectoro y uego puse a teca <ENTER>: :/directorio Lo anteror e mostrar que se ha reazado una bsqueda y resatado de a paabra drectoro en e manua de s. Para sar de manua de s, puse a teca G. Reace o sguente para crear un nuevo drectoro: mkdir eEemplos1 Reace o sguente para ntentar generar un subdrectoro denomnado uno dentro de drectoro e|empos2 (e cua no exste an). 92 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux mkdir eEemplos(/uno/ Lo anteror deber devover un mensa|e de error como e sguente: mkdir: no se puede crear el directorio ejemplos2/uno: No existe el fichero o el directorio A fn de poder crear e subdrectoro uno dentro de drectoro e|empos2, es necesaro crear prmero e|empos2. Sn embargo puede ndcare a mkdr que genere toda a ruta aadendo a opcn -p (path): mkdir -p eEemplos(/uno ls ls eEemplos( Lo anteror cre e drectoro e|empos2 |unto con e subdrectoro uno en su nteror y mostr que fue creado e|empos2 y posterormente e contendo de e|empos2 para verfcar que tambn fue creado uno. Ahora coparemos agunos fcheros para expermentar un poco dentro de esta carpeta utzando e mandato cp: cp /etc/fstab /home/fulano/eEemplos1/ Vueva a utzar e mandato cp de este modo: cp /etc/pass1d /home/fulano/eEemplos1/ Con os dos procedmentos anterores habr copado dos dstntos fcheros (/etc/fstab y /etc/passMd) dentro de drectoro ejemplos<. Proceda entonces a |ugar con stos. Utce de nuevo e mandato mLdir y genere una carpeta denomnada adicional dentro de drectoro de e-emplos+. mkdir /home/fulano/eEemplos1/adicional Ahora acceda haca e drectoro de ejemplos< para contnuar. Reace o sguente: cd /home/fulano/eEemplos1/ Proceda a ver e contendo de esta carpeta. Utce e sguente mandato: ls Observar en a pantaa ago como esto: >fulanoTlocalhost eEemplos1?F adicional fstab pass1d >fulanoTlocalhost eEemplos1?F Ahora est vsuazando os fcheros fstab y passMd y e drectoro adicional 93 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Mueva uno de estos fcheros dentro de drectoro adicional utzando e mandato mv: mv fstab adicional Para ver e resutado, prmero vea que ocurr en e drectoro e-emplos+ utzando de nuevo e mandato ls: ls Observar una sada en pantaa smar a a sguente: >fulanoTlocalhost eEemplos1?F adicional pass1d >fulanoTlocalhost eEemplos1?F Acceda haca e drectoro adicional con e mandato cd cd adicional Se observar una sada smar a a sguente: >fulanoTlocalhost adicional?F fstab >fulanoTlocalhost adicional?F
Regrese haca e drectoro e-emplos+ que se encuentra en e nve superor utzando e mandato cd: cd !!/ Ahora proceda a emnar e fchero passMd que se encuentra en e drectoro e-emplos+ rm pass1d Haga o msmo con fstab, e cua se ocaza dentro de drectoro adicional: rm adicional/fstab Emne e drectoro adicional: rmdir adicional +0%2%+% !ucles A contnuacn aprender a utzar funcones ms avanzadas. En e sguente caso usted crear respados de un con|unto de fcheros de mgenes, asgnando a cada uno un nombre dstnto a que tenan en su drectoro de orgen. Prmero crear un nuevo drectoro: 94 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux mkdir M/respaldos Reace os sguentes mandatos: +* /usr/s)re/pi#m)ps/ for f in J!png do cp Ff M/respaldos/copia-Ff done cd Lo anteror reazar a copa en sere de os fcheros dentro de /usr/s'are/pixmaps/ y dentro de R/respaldos/ anteponendo en e nombre de as copas a paabra copa. Mre e contendo de R/respaldos/ de sguente modo: ls M/respaldos/ En e sguente caso usted defnr dos varabes ($hombre y $mu|er) cuyos datos sern obtendos a partr de un fchero de texto smpe (pare|as.txt) y obtendr una sada por cada |uego de varabes. cd echo GUuan UosefinaG HH pareEas!txt echo GCedro UulietaG HH pareEas!txt echo GCablo 'iriamG HH pareEas!txt echo GUorge 6ntoniaG HH pareEas!txt echo G:rnesto AarmenG HH pareEas!txt 1hile read hombre muEer do echo GFhombre es pareEa de FmuEerG echo G----------------------------------------G done V pareEas!txt +0%2%2% =liases Reace o sguente: touch algo-nuevo!txt touch otro-nuevo!txt cp algo-nuevo!txt otro-nuevo!txt Para o anteror se crearon con e mandato touc' os fcheros al*o)nuevo%txt y otro)nuevo%txt y se reaz una copa de al*o)nuevo%txt sobreescrbendo otro)nuevo%txt. Note que se sobreescrb a otro)nuevo%txt sn preguntar. E|ecute ahora o sguente: alias cp3Gcp -iG cp algo-nuevo!txt otro-nuevo!txt En o anteror se cre un aas denomnado cp que corresponde en readad a mandato cp con a opcn )i, a cua corresponde a preguntar s se sobreescrben fcheros reguares destno exstentes. Cuando se e|ecuta de nuevo e mandato cp, ste o hace drectamente con a opcn )i. 95 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Para deshacer e aas sobre e mandato cp, so basta e|ecutar: unalias cp Reace o sguente para crear un nuevo mandato como alias: alias mi-mandato3Gls -l WlessG Lo anteror crea un alias denomnado mi)mandato, e cua corresponder a e|ecutar e mandato s con a opcn - as como e|ecutar como subrutna a mandato ess. E|ecute mi)mandato de sguente modo y estude a sada. mi-mandato /etc Lo anteror debe haber mostrado e contendo de drectoro /etc utzando less para poder despazar cmodamente a pantaa. Para sar de less soo puse a teca G. Los aases creados perduran hasta que es cerrada a sesn de usuaro. Para que cuaquer aas sea permanente para un usuaro en partcuar, hay que especfcar estos a fna de fchero R/%bas'Qprofile, o ben como root en agn fchero *.sh dentro de drectoro /etc/profile%d/ para que sea utzado por todos os usuaros de sstema. E|ecute e mandato alias para ver a sta de aases predefndos en e sstema. alias +0%2%3% =pa*ado 2 reinicio de sistema Fnamente, y para concur a breve eccn de mandatos, es mportante saber que aunque no se vea nada en pantaa, en Lnux empean varos procesos en e trasfondo. Estos servcos deben ser fnazados apropadamente. No es como en MS-DOS, en donde se poda apagar e sstema en cuaquer momento. Hay que cerrar e sstema apropadamente. Para ta fn se utzan poMeroff y reboot. Para cerrar y apagar e sstema, debe utzar e sguente mandato: po1eroff Para cerrar y rencar e sstema, debe utzarse e sguente mandato: reboot +0%3% (esumen de mandatos b;sicos Puede y debe obtener ms detaes acerca de estos y otros muchos ms mandatos utzando a opcn ))'elp con cas cuaquer mandato. Puede consutar e manua detaado de cas cuaquer mandato conocdo dgtando man precedendo de mandato a consutar: man >nombre del mandato? Para sar de as pgnas de manua de mandatos soo tecee q. 96 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux >abla +% (esumen de mandatos b;sicos% S se necesta acceder haca una carpeta en especa, utce: cd ruta exacta o relativa! S se necesta crear una nueva carpeta, utce: mkdir nombre del directorio! S se desea copar un fchero, utce: cp ori"en! destino! S se desea mover un fchero, utce: mv ruta del fichero a mover! directorio en donde se desea mover! S se desea emnar un fchero, utce: rm nombre del fichero o ruta exacta hacia el fichero! S se desea emnar una carpeta, utce: rmdir nombre del fichero o ruta exacta hacia el directorio! S se desea apagar o rencar e sstema, utce: poweroff # reboot $pueden ser utili%ados como usuario& shutdown 'h 'r! now ()2)*)+),)-...! $solo como root 97 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ++% 7unciones b;sicas de vi Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. ++%+% Introduccin v es uno de os edtores de texto ms poderosos y ae|os que hay en e mundo de a nformtca. Resuta sumamente t conocer a funconadad bsca de v a fn de factar a edcn de fcheros de texto smpe, prncpamente fcheros de confguracn. ++%2% <rocedimientos ++%2%+% Instalacin 2 paGuetes adicionales Por o genera, v se nstaa de modo predefndo en a mayora de as dstrbucones de GNU/Lnux a travs de paquete vim)minimal. Puede aadrse funconadad adcona a travs de os sguentes paquetes: vim) en'anced, Una versn me|orada de v que aade coor a a sntaxs y otras me|oras en a nterfaz. vim)E++: Versn de v para modo grfco que resuta ms fc de utzar gracas a os mens y barra de herramentas. S o desea, puede proceder a nstaar v y e resto de os paquetes reaconados reazando o sguente: 2um -2 install vim vim-enhanced vim-common vim-minimal ++%3% $onociendo vi Acceda a sstema autentcando como usuaro (fuano) y reace o sguente: vi holamundo!txt Lo anteror mostrar una nterfaz como a sguente: 98 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux M M M M M M M M M M M M M M M M M M M M Gholamundo!txtG >Xichero nuevo? 0=0-1 "odo Puse una vez e botn <INSERT> de su tecado y observe os cambos en a pantaa M M M M M M M M M M M M M M M M M M M M '' E@/$A>8A '' 0-1 "odo Note que en a parte nferor de a pantaa aparece a paabra INSE(>=(. Esto sgnfca que, a gua que cuaquer otro edtor de texto conocdo, puede comenzar a nsertar texto en e fchero. Escrba a frase Lnux Para Todos, puse a teca <ENTER> y escriba de forma propostva a frase un vuen cto donde empesa: 99 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un vuen citio donde empesar M M M M M M M M M M M M M M M M M M M M '' E@/$A>8A '' 0-1 "odo Poscone e cursor de tecado |usto por deba|o de a v de a paabra vuen y puse de nuevo a teca <INSERT> de tecado. Notar que ahora aparece a paabra REEMPLAZAR: ;inux Cara "odos un vuen citio donde empesar M M M M M M M M M M M M M M M M M M M M '' A$$;-%8F8A '' 0-1 "odo Puse a teca b y observe como se reempaza a etra v dando como resutado que a paabra quede ortogrfcamente correcta como buen: 100 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen citio donde empesar M M M M M M M M M M M M M M M M M M M M '' A$$;-%8F8A '' 0-1 "odo Mueva e cursor con as fechas de tecado y repta e procedmento reempazando a etra c por una s en a paabra cto de modo que quede como sto y de gua modo reempace a etra s por una z en a paabra reempasar de modo que quede como empezar: ;inux Cara "odos un buen sitio donde empe4ar M M M M M M M M M M M M M M M M M M M M '' A$$;-%8F8A '' 0-1 "odo Puse a teca <ESC> para sar de modo de reempazo e nmedatamente puse a teca : (dos puntos) segudo de a etra w a fn de proceder a guardar e fchero en e dsco duro: 101 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen sitio donde empe4ar M M M M M M M M M M M M M M M M M M M M :1 Puse a teca <ENTER> y notar que aparece un mensa|e en a parte nferor de a pantaa que ndcar que e fchero ha sdo guardado: ;inux Cara "odos un buen sitio donde empe4ar M M M M M M M M M M M M M M M M M M M M Gholamundo!txtG >7uevo? (;= ++A escritos (=. "odo Vueva a pusar a teca , (dos puntos) e nmedatamente escrba saveas adosmundo.txt: 102 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen sitio donde empe4ar M M M M M M M M M M M M M M M M M M M M :saveas adiosmunto!txt Puse nuevamente a teca <ENTER> y observe e mensa|e en a parte nferor de a pantaa que ndca que e fchero acaba de ser guardado como adosmundo.txt: ;inux Cara "odos un buen sitio donde empe4ar M M M M M M M M M M M M M M M M M M M M Gadiosmundo!txtG >7uevo? (;= ++A escritos (=. "odo Vueva a pusar a teca INSERT para regresar a modo de nsercn y escrba o sguente: 103 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 malo ;a gente Oue cono4co es mala 'i vida ha sido mu2 mala M M M M M M M M M M M M M M M M M -- <7:R"6R -- )=(+ "odo A contnuacn puse a teca <ESC> e nmedatamente puse a teca , (dos puntos) segudo de a combnacn de tecas Us/mal/buen/* de sguente modo: ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 malo ;a gente Oue cono4co es mala 'i vida ha sido mu2 mala M M M M M M M M M M M M M M M M M :&s/mal/buen/g Puse de nuevo a teca <ENTER> y observe como ha sdo reempazada a cadena de caracteres ma por a cadena de caracteres buen en todo e fchero, quedando de sguente modo: 104 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M M M M M M . sustituciones en . lYneas )=1 "odo En e procedmento anteror, e smboo % ndcaba que se apcara un procedmento a todo e fchero, no soo en a msma nea; a etra s ndcaba que se reazara a bsqueda de a cadena de caracteres ma defnda despus de a dagona (/) por a cadena de caracteres buen en toda a nea, ndcado por a etra g. A contnuacn, poscone e cursor de tecado utzando as fechas de tecado hasta e prmer carcter de a prmera nea: ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M M M M M M . sustituciones en . lYneas )=1 "odo 105 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Ahora puse dos veces consecutvas a teca d, es decr, pusar dd. Observe como desaparece a prmera nea: un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M M M M M M M
Puse ahora a teca p para vover a pegar a nea: un buen sitio donde empe4ar ;inux Cara "odos Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M M M M M M
Observe que a nea Lnux Para Todos reaparec deba|o de a nea un buen sto donde empezar. Utzando as fechas de tecado, cooque e cursor de tecado nuevamente sobre e prmer carcter de a prmera nea de fchero, es decr, sobre a etra u de a nea un buen sto 106 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux donde empezar: un buen sitio donde empe4ar ;inux Cara "odos Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M M M M M M 1=1 "odo Vueva a pusar dd para cortar a nea un buen sto donde empezar e nmedatamente puse a teca p para pegar a nea en e ugar correcto: ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M M M M M M (=1 "odo Cooque ahora e cursor sobre a etra C de a nea Creo que e mundo es un ugar muy bueno y puse a teca 3 segudo de dd y observe como son cortadas as tres sguentes neas: 107 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen sitio donde empe4ar M M M M M M M M M M M M M M M M M M . lYneas menos (=1 "odo Puse a teca p una vez, observe e resutado. Vueva a pusar a teca p y observe e resutado. Las dos accones anterores aaderon ahora 6 neas restaurando as emnadas anterormente y agregando tres neas ms con e msmo contendo: ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 bueno Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M . lYneas mZs (=1 "odo Puse ahora a teca , (dos puntos) segudo de a teca x y a teca <ENTER> a fn de sar guardando e fchero. Abra nuevamente e fchero adiosmundo%txt con v y puse a combnacn de tecas ,/buen, de modo que se reace una bsqueda de a cadena de caracteres buen y adems se resaten as concdencas: 108 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 bueno Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M /buen (=1 "odo Para cancear o que se encuentra resatado de os resutados, puse a combnacn de tecas ,no'l: ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 bueno Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M (=1 "odo Puse = (combnacn de as tecas SHIFT+a) mentras e cursor permanece en a segunda nea y observe que ncar e modo INSE(>=( coocando e cursor a fna de a nea donde se encontraba: 109 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen sitio donde empe4ar Areo Oue el mundo es un lugar mu2 bueno Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M M '' E@/$A>8A '' (=1 "odo Puse a teca <ESC> y enseguda o. Notar que ncar e modo INSE(>=( abrendo una nueva nea: ;inux Cara "odos un buen sitio donde empe4ar
Areo Oue el mundo es un lugar mu2 bueno Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M '' E@/$A>8A '' .=1 "odo Puse nuevamente a teca <ESC> y en seguda a combnacn dG (d, uego SHIFT+G). Notar que se emna todo e contendo de texto desde a poscn de cursor hasta e fna de fchero: 110 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ;inux Cara "odos un buen sitio donde empe4ar M M M M M M M M M M M M M M M M M M / lYneas menos (=1 "odo Puse a combnacn ,u y notar que e cambo se ha descartado, regresando as 7 neas que haban sdo emnadas: ;inux Cara "odos un buen sitio donde empe4ar
Areo Oue el mundo es un lugar mu2 bueno Areo Oue el mundo es un lugar mu2 bueno ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena ;a gente Oue cono4co es buena 'i vida ha sido mu2 buena M M M M M M M M M M M / lYneas mZs .=0-1 "odo ++%4% 0tras combinaciones de teclas $ombinacin (esultado |o ben a teca nsert| Inca nsertar texto antes de cursor a Inca nsertar texto despuFs de cursor 111 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux $ombinacin (esultado I ( + SHIFT) Inca nsertar texto a inicio de a nea donde se encuentra e cursor A (a + SHIFT) Inca nsertar texto a final de a nea donde se encuentra e cursor. o Abre una nueva nea e nca nsertar texto en a nueva nea. x Emna e carcter que est sobre e cursor. dd Emna a nea actua donde se encuentre e cursor. D Emna desde a poscn actua de cursor hasta e fna de a msma nea donde se encuentra e cursor. dG Emna todo hasta e fna de fchero. :q Aparece s no hubo cambos en e fcheros. :q! Aparece descartando os cambos en e fchero. :w Guarda e fchero sn sar. :wq Guarda e fchero y sae de v. :x Lo msmo que :wq :saveas /o/que/sea Guarda e fchero como otro fchero donde sea necesaro. :wq! ++enc=utf8 Codfca e fchero en UTF-8. :u Deshacer cambos :red Rehacer cambos. :/cadena de caracteres Bsqueda de cadenas de caracteres. :noh Cancear e resatado de resutados de Bsqueda. ++%5% :;s all; de las funciones b;sicas Instae e paquete vm-enhanced: 2um -2 install vim-enhanced Utce vimtutor y compete e tutor interactivo oficial de v a fn de que conozca e resto de as funconadades ms mportantes. 112 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +2% <ermisos del Sistema de 7ic'eros Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +2%+% Introduccin La asgnacn de permsos de acceso (de ectura, escrtura y e|ecucn) pueden asgnarse a travs de modos, que son combnacones de nmeros de tres dgtos (usuaro, grupo y resto de mundo) y e mandato c'mod. +2%2% Notacin simblica E esquema de notacn smbca se compone de 10 caracteres, donde e prmer carcter ndca e tpo de fchero: Palor "escripcin - %enota un fichero regular! d %enota un directorio! b %enota un fichero especial de dispositivos de bloOue! c %enota un fichero de carZcter especial l %enota un enlace simb@lico! p %enota una tuberYa nombrada (X<X8) s %enota un 4@calo de dominio (socket) Cada case de permsos es representada por un con|unto de tres caracteres. E prmer con|unto de caracteres representa a case de usuaro, e segundo con|unto de tres caracteres representa a case de grupo y e tercer con|unto representa a case de otros (resto de mundo). Cada uno de os tres caracteres representa permsos de ectura, escrtura y e|ecucn, respectvamente y en ese orden. E|empos: <ermisos "escripcin *r1xr'#r-x Drectoro con permso 755. +r1-rw'r-- Fchero de carcter especa con permso 664. sr1xrw#r-x Zcao con permso 775. pr1-rw'r-- Tubera (FIFO) con permso 664. 113 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux <ermisos "escripcin 'r1-r''r-- Fchero reguar con permso 644. +2%3% Notacin octal La notacn octa consste de vaores de tres a cuatro dgtos en base-8. Con a notacn octa de tres dgtos cada nmero representa un componente dferente de permsos a estabecer: case de usuaro, case de grupo y case de otros (resto de mundo), respectvamente. Cada uno de estos dgtos es a suma de sus bts que o componen (en e sstema numera bnaro). Como resutado, bts especfcos se aaden a a suma conforme son representados por un numera: E Bt de e|ecucn aade + a a suma. E bt de escrtura aade 2 a a suma. E bt de ectura aade 4 a a suma. Estos vaores nunca producen combnacones ambguas y cada una representa un con|unto de permsos especfcos. De modo ta puede consderarse a sguente taba: Palor <ermiso "ecripcin 0 - 7ada 1 x :Eecuci@n ( 1 :scritura . 1x :scritura 2 eEecuci@n + r ;ectura ) rx ;ectura 2 :Eecuci@n 6 r1 ;ectura 2 :scritura / r1x ;ectura= :scritura 2 :Eecuci@n Nota, 3 (wx) es e resutado de 1+2 (w+x). 5 (rx) es e resutado de 4+1 (r+x). 6 (rw) es e resutado de 4+2 (r+w). 7 (rwx) es e resutado de 4+3 (r+xw). +2%3%+% <ermisos adicionales Hay una forma de cuatro dgtos. Ba|o este esquema e estndar de tres dgtos descrto arrba se converte en os tmos tres dgtos de con|unto. E prmer dgto representa permsos adconaes. En sstemas y sustento gco donde no puede ser omtdo este prmer dgto de con|unto de cuatro, se estabece cero como vaor de ste. E prmer dgto de con|unto de cuatro es tambn a suma de sus bts que e componen: 1. E bt pega|oso (stcky bt) aade + a tota de a suma. 2. E bt setgd aade 2 a tota de a suma. 3. E bt setud aade 4 a tota de a suma. 114 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Lo que hace e permso SUID o bt setud es que cuando se ha estabecdo a e|ecucn, e proceso resutante asumr a dentdad de usuaro dado en a case de usuaro (propetaro de eemento). De a msma manera que e anteror, o que hace e permso SGID o bt setgd es que cuando se ha estabecdo a e|ecucn, e proceso resutante asumr a dentdad de grupo dado en a case de grupo (propetaro de eemento). Cuando setgd ha sdo apcado a un drectoro, todos os nuevos fcheros creados deba|o de este drectoro heredarn e grupo propetaro de este msmo drectoro. Cuando no se ha estabecdo setgd, e comportamento predefndo es asgnar e grupo de usuaro a crear nuevos eementos. E bt pega|oso (stcky bt) sgnfca que un usuaro so podr modfcar y emnar fcheros y drectoros subordnados dentro de un drectoro que e pertenezca. En ausenca de bt pega|oso (stcky bt) se apcan as regas generaes y e derecho de acceso de escrtura por s soo permte a usuaro crear, modfcar y emnar fcheros y drectoros subordnados dentro de un drectoro. Los drectoros a os cuaes se es ha estabecdo bt pega|oso restrngen as modfcacones de os usuaros a so ad|untar contendo, mantenendo contro tota sobre sus propos fcheros y pueden crear nuevos fcheros; sn embargo, so pueden ad|untar o aadr contendo a os fcheros de otros usuaros. E bt pega|oso (stcky bt) es utzado en drectoros como /tmp y /var/spool/mail. De modo ta puede consderarse a sguente taba: Palor <ermiso "escripcin 1 --- --- --! bit pegaEoso ( --- --s --- bit setgid . --- --s --! bit pegaEoso [ bit setgid + --s --- --- bit setuid ) --s --- --! bit setuid [ bit pegaEoso 6 --s --s --- bit setuid [ bit setgid / --s --s --! bit setuid [ bit setgid [ bit pegaEoso Cuando un fchero no tene permsos de e|ecucn en aguna de as cases y e es asgnado un permso especa, ste se representa con una etra mayscua. <ermiso $lase E-ecuta No e-ecuta setuid $suario s setgid *rupo s pegaEoso (stick2) 8tros t " +2%4% E-emplos +2%4%+% E-emplos de permisos re*ulares <ermiso $lase de Usuario $lase de Grupo $lase de 0tros 0+00 r-- --- --- 0++0 r-- r-- --- 115 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux <ermiso $lase de Usuario $lase de Grupo $lase de 0tros 0+++ r-- r-- r-- 0)00 r-x --- --- 0))0 r-x r-x --- 0))) r-x r-x r-x 06++ r1- r-- r-- 066+ r1- r1- r-- 0666 r1- r1- r1- 0/00 r1x --- --- 0/11 r1x --x --x 0/0/ r1x --- r1x 0/)0 r1x r-x --- 0/)) r1x r-x r-x 0/// r1x r1x r1x +2%4%2% E-emplos de permisos especiales <ermiso $lase de Usuario $lase de Grupo $lase de 0tros 16++ r1- r-- r-> 26++ r1- r-/ r-- 36++ r1- r-/ r-> &6++ r1/ r-- r-- 56++ r1/ r-- r-> 66++ r1/ r-/ r-- G6++ r1/ r-/ r-> 1/// r1x r1x r1! 2/)) r1x r-s r-x 3/)) r1x r-s r-! &/)) r1s r-x r-x 5/)) r1s r-x r-! 6/)) r1s r-s r-x G/)) r1s r-s r-! +2%5% Uso de c'mod chmod >opciones? modo fichero E|empo: 116 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux mkdir 'p //tmp/ touch //tmp/al"o.txt ls 'l //tmp/al"o.txt chmod 0,, //tmp/al"o.txt ls 'l //tmp/al"o.txt Lo anteror debe arro|ar una sada smar a a sguente: fulano1localhost /!2 mkdir 'p //tmp/ fulano1localhost /!2 touch //tmp/al"o.txt fulano1localhost /!2 ls 'l //tmp/al"o.txt -rw-rw-r-- 1 fulano fulano 0 mar 2 15:09 /home/fulano/tmp/al"o.txt fulano1localhost /!2 chmod 0,, //tmp/al"o.txt fulano1localhost /!2 ls 'l //tmp/al"o.txt -rwxr-xr-x 1 fulano fulano 0 mar 2 15:09 /home/fulano/tmp/al"o.txt fulano1localhost /!2 +2%5%+% 0pciones de c'mod Opcn "escripcin -R Camba permsos de forma descendente en un drectoro dado. Es a nca opcn de os estndares POSIX -c Muestra que fcheros han cambado recentemente en una ubcacn dada -f No muestra errores de fcheros o drectoros que no se hayan poddo cambar -v Descrpcn detaada de os mensa|es generados por e proceso +2%5%2% El mandato c'mod 2 los enlaces simblicos E mandato c'mod |ams camba os permsos de enaces smbcos; sn embargo no representa un probema en vrtud de que |ams se utzan os permsos de os enaces smbcos. S se apca e mandato c'mod sobre un enace smbco, se cambar e permso de fchero o drectoro haca e cua apunta. Cuando se apca c'mod de forma descendente en un drectoro, ste gnora os enaces smbcos que pudera encontrar en e recorrdo. 117 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +3% $mo utili8ar el mandato c'attr% Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +3%+% Introduccin% +3%+%+% =cerca del mandato c'attr% E mandato c'attr se utza para cambar os atrbutos de os sstemas de fcheros ext2 y ext3. Desde certo punto de vsta, es anogo a mandato c'mod, pero con dferente sntaxs y opcones. Utzado adecuadamente, dfcuta as accones en e sstema de fcheros por parte de un ntruso que haya ogrado sufcentes prvegos en un sstema. En a mayora de os casos, cuando un ntruso consgue sufcentes prvegos en un sstema, o prmero que har ser emnar os regstros de sus actvdades modfcando estructuras de os fcheros de btcoras de sstema y otros componentes. Utzar e mandato c'attr certamente no es obstcuo para un usuaro experto, pero, afortunadamente, a gran mayora de os ntrusos potencaes no sueen ser expertos en GNU/Lnux o Unx, dependendo enormemente de dversos programas o guones (os denomnados root0its y +appers) para emnar aqueo que permta descubrr sus actvdades. Utzar e mandato c'attr, ncudo en e paquete e2fspro*s, que se nstaa de forma predetermnada en todas as dstrbucones de GNU/Lnux por, tratarse de un componente esenca, hace ms dfc borrar o aterar btcoras, fcheros de confguracn y componentes de sstema. Theodore Ts'o es e desarroador y quen se encarga de mantener e2fspro*s, msmo que se dstrbuye ba|o os trmnos de a cenca GNU/G<L, e ncuye otras herramentas como e2fsck, e2abe, fsck.ext2, fsck.ext3, mkfs.ext2, mkfs.ext3, tune2fs y dumpe2fs, entre otras. URL: http://e2fsprogs.sourceforge.net/ +3%2% 0pciones% )( Camba recursvamente os atrbutos de drectoros y sus contendos. Los enaces smbcos que se encuentren, son gnorado )P Sada de c'arttr ms descrptva, mostrando adems a versn de programa. )v Ver e nmero de versn de programa. 118 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +3%3% 0peradores% V Hace que se aadan os atrbutos especfcados a os atrbutos exstentes de un fchero. ) Hace que se emnen os atrbutos especfcados de os atrbutos exstentes de un fchero T Hace que soamente haya os atrbutos especfcados. +3%4% =tributos% = Estabece que a fecha de tmo acceso (atme) no se modfca. a Estabece que e fchero soo se puede abrr en modo de ad|untar para escrtura. c Estabece que e fchero es comprmdo automtcamente en e dsco por e nceo de sstema operatvo. A reazar ectura de este fchero, se descomprmen os datos. La escrtura de dcho fchero comprme os datos antes de amacenaros en e dsco. " Cuando se trata de un drectoro, estabece que os datos se escrben de forma sncrnca en e dsco. Es decr, os datos se escrben nmedatamente en ugar de esperar a operacn correspondente de sstema operatvo. Es equvaente a a opcn dirs2nc de mandato mount, pero apcada a un subcon|unto de fcheros. d Estabece que e fchero no sea canddato para respado a utzar a herramenta dump. i Estabece que e fchero ser nmutabe. Es decr, no puede ser emnado, n renombrado, no se pueden apuntar enaces smbcos, n escrbr datos en e fchero. - En os sstemas de fcheros ext3, cuando se montan con as opcones dataTordered o dataTMritebacL, se estabece que e fchero ser escrto en e regstro por daro (ournal). S e sstema de fcheros se monta con a opcn dataT-ournal (opcn predetermnada), todo e sstema de fcheros se escrbe en e regstro por daro y por o tanto e atrbuto no tene efecto. s Cuando un fchero tene este atrbuto, os boques utzados en e dsco duro son escrtos con ceros, de modo que os datos no se puedan recuperar por medo aguno. Es a forma ms segura de emnar datos. S Cuando e fchero tene este atrbuto, sus cambos son escrtos de forma sncrnca en e dsco duro. Es decr, os datos se escrben nmedatamente en ugar de esperar a operacn correspondente de sstema operatvo. Es equvaente a a opcn s2nc de mandato mount. 119 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux u Cuando un fchero con este atrbuto es emnado, sus contendos son guardados permtendo recuperar e fchero con herramentas para ta fn. +3%5% Utili8acin% chattr >-RP? [-3>6ac%diEsu? >-v versi@n? ficheros +3%5%+% E-emplos% e sguente mandato agrega e atrbuto nmutabe a fchero ago.txt.. chattr [i algo!txt E sguente mandato emna e atrbuto nmutabe a fchero ago.txt. chattr -i algo!txt E sguente mandato agrega e modo de soo ad|untar para escrtura a fchero ago.txt. chattr [a algo!txt E sguente mandato emna e modo de soo ad|untar para escrtura a fchero ago.txt. chattr -a algo!txt E sguente mandato estabece que e fchero ago.txt soo tendr os atrbutos a, =, s y S. chattr 3a6s algo!txt E sguente mandato sta os atrbutos de fchero ago.txt. lsattr algo!txt 120 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +4% $reando depsitos 2um Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +4%+% Introduccin% Yum es una herramenta sumamente t para e mane|o de paquetera RPM. Aprender a crear en e dsco duro as bases de datos para os depstos yum resuta prctco puesto que no habr necesdad de recurrr haca os depstos ocazados en servdores en Internet y consumr nnecesaramente ancho de banda en e proceso. +4%2% <rocedimientos Prmero se deben generar os drectoros que ao|arn os depstos. Uno para a paquetera ncuda en os dscos de nstaacn y otro para as actuazacones: mkdir -p /var/ftp/pub/os mkdir -p /var/ftp/pub/updates Tome todos os dscos de nstaacn y cope ntegramente su contendo haca e nteror de drectoro ocazado en a ruta /var/ftp/pub/os/ con e sguente procedmento: mount /media/cdrom cp -Rf /media/cdrom/J /var/ftp/pub/os/ eEect De msmo modo, s dspone de CD correspondente, cope (o ben descargue) todas as actuazacones dentro de drectoro ocazado en a ruta /var/ftp/pub/updates/ con e sguente procedmento: mount /media/cdrom cp -Rf /media/cdrom/J /var/ftp/pub/updates/ eEect Una vez copado todo a dsco duro, hay que nstaar e paquete createrepo, ncudo en os dscos de nstaacn de CentOS y Whte Box Enterprse Lnux. 2um -2 install createrepo Una vez nstaado, so basta e|ecutar createrepo sobre cada drectoro a fn de generar os depstos yum: 121 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux createrepo /var/ftp/pub/os/ createrepo /var/ftp/pub/updates/ Se puede acceder ocamente a os depstos generados utili8ando las si*uientes l.neas como contendo de fchero W%repo ocazado dentro de /etc/2um%repos%d/, en ugar de as neas que apuntan haca servdores en Internet: >base? name3:nterprise ;inux Freleasever - Fbasearch - base baseurl3file:///var/ftp/pub/os/ gpgcheck31 enabled31 >updates-released? name3:nterprise ;inux Freleasever - Fbasearch - $pdates Released baseurl3file:///var/ftp/pub/updates/ gpgcheck31 enabled31 S se desea acceder a estos msmo depstos utzando e servco FTP, y suponiendo que e servdor utzara 192.168.1.1 como dreccn IP, as mqunas cente deben utzar o sguente: >base? name3:nterprise ;inux Freleasever - Fbasearch - base baseurl3ftp://1-(!16,!1!1/pub/os/ gpgcheck31 enabled31 >updates-released? name3:nterprise ;inux Freleasever - Fbasearch - $pdates Released baseurl3ftp://1-(!16,!1!1/pub/updates/ gpgcheck31 enabled31 Antes de utzar a opcn *p*c'ecLT+, se debern mportar as aves pbcas GPG que estn en e dsco 1 de nstaacn de sstema. mount /media/cdrom rpm --import /media/cdrom/JQ:\J S cre un depsto con e dsco de extras de curso, a ave pbca de Lnux Para Todos se encuentra en e drectoro raz de CD. S utza Red Hat Enterprse Lnux 3, CentOS 3.0 o Whte Box Enterprse Lnux 3, se utza 2um) arc' en ugar de createrepo, y /mnt/cdrom en ugar de /meda/cdrom. Whte Box Enterprse Lnux 4 no ncuye yum por defecto, por o que hay que nstaaro manuamente desde os dscos de nstaacn. 122 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +5% Uso de 2um para instalar 2 desinstalar paGueter.a 2 actuali8ar sistema Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +5%+% Introduccin Actuazar e sstema apcando os ms recentes parches de segurdad y correctvos a sstema operatvo no es tan dfc como muchos suponen, n tampoco tene que ser un nferno de dependencas entre paquetes RPM como agunos argumentan. La readad de as cosas es que es mucho muy smpe y so requere de un buen ancho de banda, o ben, de muchsma pacenca. A contnuacn presentamos os procedmentos para utzar yum y reali8ar f;cilmente o que agunos denomnan como !orrible, difcil y complicado=. Los procedmentos son tan smpes que reamente no hay muchas excusas para no apcar os parches de segurdad y correctvos a sstema. +5%2% <rocedimientos +5%2%+% =ctuali8ar sistema Actuazacn de sstema con todas as dependencas que sean necesaras: 2um update +5%2%2% !1sGuedas Reazar una bsqueda de agn paquete o trmno en a base de datos en aguno de os depstos yum confgurados en e sstema: 2um search cualOuier-paOuete E|empo: 2um search httpd +5%2%3% $onsulta de informacin Consutar a nformacn contenda en un paquete en partcuar: 2um info cualOuier-paOuete 123 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux E|empo: 2um info httpd +5%2%4% Instalacin de paGuetes Instaacn de paquetera con resoucn automtca de dependencas: 2um install cualOuier-paOuete E|empo: 2um install httpd +5%2%5% "esinstalacin de paGuetes Desnstaacn de paquetes |unto con todo aqueo que dependa de os msmos: 2um remove cualOuier-paOuete E|empo: 2um remove httpd +5%2%5%+% =l*unos paGuetes Gue se pueden desinstalar del sistema% Los sguentes paquetes pueden ser desnstaados de sstema de manera segura |unto con todo aqueo que dependa de stos: 1. pcmca-cs (kerne-pcmca-cs): requerdo so en computadoras porttes para e soporte de PCMCIA. 2. mdadm: requerdo so para arregos RAID. 3. autofs: servco de auto-montado de undades de dsco. 4. ypserv: servdor NIS, utzado prncpamente como servdor de autentcacn. 5. ypbnd, yp-toos: herramentas necesaras para autentcar contra un servdor NIS (ypserv) 6. hwcrypto: bbotecas y herramentas para nteractuar con aceeradores crptogrfcos de sustento fsco (hardware). 7. vnc-server: servdor VNC 8. rda-uts: herramentas y soporte para dspostvos nfrarro|os. E|ecute o sguente para desnstaar os paquetes anterormente menconados: 2um -2 remove pcmcia-cs mdadm autofs 2pserv 2pbind 2p-tools h1cr2pto vnc-server irda-utils +5%2%6% Listado de paGuetes Lo sguente star todos os paquetes dsponbes en a base de datos yum y que pueden nstaarse: 2um list available W less 124 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Lo sguente star todos os paquetes nstaados en e sstema: 2um list installed Wless Lo sguente star todos os paquetes nstaados en e sstema y que pueden (y deben) actuazarse: 2um list updates W less +5%2%7% Limpie8a del sistema Yum proporcona como resutado de su uso cabeceras y paquetes RPM amacenados en e nteror de drectoro ocazado en a ruta /var/cac'e/2um/. Partcuarmente os paquetes RPM que se han nstaado pueden ocupar mucho espaco y, es por ta motvo, que convene emnaros una vez que ya no tenen utdad. Iguamente convene hacer o msmo con as cabeceras ve|as de paquetes que ya no se encuentran en a base de datos. A fn de reazar a mpeza correspondente, puede e|ecutarse o sguente: 2um clean all 125 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +6% $mo crear paGueter.a con rpmbuild Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +6%+% Introduccin Crear paquetera a travs de rpmbud no es tan compcado como agunos suponen. Aunque no se nstaa de modo predetermnado, rpmbud es una herramenta que forma parte de paquete rpm-bud y que se ncuye en a mayora de as dstrbucones actuaes que utzan paquetera en formato RPM. Este documento mostrar os procedmentos para: Generar una cave GnuPG para frmar dgtamente os paquetes creados. Confguracn y creacn de una |aua para rpmbud. Creacn de fcheros *.spec. Uso de mandato rpmbud. +6%2% Instalacin del sustento l*ico necesario Es ndspensabe contar con a paquetera de desarroo mnma necesara nstaada en e sstema. Lamentabemente no hay recetas mgcas. S se pretende crear paquetera a partr de cdgos fuente es necesaro estar famarzado con as bbotecas compartdas necesaras, cabeceras de desarroo, compadores y otras herramentas de desarroo reaconadas o requerdas por un sustento gco en partcuar. Un con|unto mnmo sera e sguente: Gcc: compador. gbc-deve: bbotecas de desarroo para C. automake: generador de fcheros Makefe. autoconf: herramenta para confguracn de cdgos fuente y fcheros Makefe. rpm-bud y rpm-deve. gnupg Gpgme y seahorse: 'erramientas incluidas en L<> "esLtop que se utzarn en os procedmentos de este documento para generar a cave utzada para frmar dgtamente os paquetes rpm resutantes. S va a crear paquetera para GNOME, necestar por o menos o sguente, con todo o que dependa de ste: gb2-deve, atk-deve, pango-deve, gtk2-deve, bbonobou- deve, bgnomeu-deve, gnome-vfs2-deve, bwnck-deve, gnome-pane-deve, gnome- desktop-deve, nautus-deve, gstreamer-deve y gstreamer-pugns-deve. S va a crear paquetera para KDE, necestar a menos o sguente, con todo o que dependa de ste: qt-deve, arts-deve, kdebs-deve, kdebase-deve, kdenetwork-deve, kdegraphcs-deve y kdemutmeda-deve. S utza Cent OS, Whte Box Enterprse Lnux o ben Red Hat Enterprse Lnux, necestar correr o sguente para nstaar e mnmo de paquetera: 126 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux #um '# install "cc3 automake3 autoconf3 rpm'build rpm'devel "nup" S desea generar paquetera para GNOME, necestar tambiFn nstaar e mnmo de paquetera de desarroo de GNOME: #um '# install "lib2'devel atk'devel pan"o'devel "tk2'devel libbonoboui'devel lib"nomeui'devel "nome'vfs2'devel libwnck'devel "nome'panel'devel "nome'desktop'devel nautilus'devel "streamer' devel "streamer'plu"ins'devel S va a generar paquetera para KDE, necestar tambiFn nstaar e mnmo de paquetera de desarroo de KDE: yum -y nsta qt-deve arts-deve kdebs-deve kdebase-deve kdenetwork-deve kdegraphcs-deve kdemutmeda-deve S adems tene nstaado LPT Desktop, puede nstaar tambiFn e sustento gco restante: #um '# install seahorse "p"me +6%3% <rocedimientos +6%3%+% $reacin de la clave Gnu<G 1. Desde una sesn grfca, nce seahorse y de cc en en botn de Nuevo en e pane de Opcones de prmera vez. 2. Lo anteror ncar un asstente de creacn de caves. 3. E|a e nve de segurdad como Segurdad extra ata. 4. Especfque su nombre competo, un breve comentaro opcona y su cuenta de correo eectrnco permanente que se reaconar excusvamente con a nueva cave. 5. Especfque una frase de paso que so usted pueda recordar. Se recomenda utzar espacos y sgnos de puntuacn. 6. En a pantaa de Fecha de caducdad, savo que especfcamente requera o contraro, especfque Sn caducdad. 7. Tome nota de como aparece exactamente e nombre de a ave, ncuyendo parntess, espacos y otros smboos, ya que se utzarn en e sguente procedmento. +6%3%2% $onfi*uracin 2 creacin de una -aula para rpmbuild am;s utilice la cuenta de root sn mportar a crcunstanca, para crear o reconstrur paquetera en formato RPM. Esto puede resutar pegroso debdo a que a confguracn de agunos programas pueden tratar de nstaar componentes en e sstema en ugar de drectoro especfcado para rpmbud, o cua dar como resutado dversas consecuencas de segurdad y de estabdad para e sstema. La |aua ser creada de modo seguro dentro de una cuenta de usuario normal sin privile*ios, a 127 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux fn de poder detectar e mpedr que agunos procedmentos durante a creacn de paquetes ntenten nstaar componentes no deseados en e sstema. +6%3%2%+% $omponentes del fic'ero R/%rpmmacros Utzando cuaquer edtor de texto, genere e fchero -/.rpmmacros, en e cua se defnrn vaores para agunas varabes utzadas por rpmbud: %debug_package: srve para especfcar s se anua o no a generacn de paquetera de depuracn. La paquetera de depuracn soo es t para os programadores a fn de ocazar faas en os programas empaquetados. Para a mayora de os casos se especfca e vaor %{n} a fn de mpedr que se genere paquetera de depuracn. %_unpackaged_fes_termnate_bud: srve para especfcar s a construccn de un paquete se deber nterrumpr s hay componentes gnorados por e fchero *.spec. 0 deshabta, 1 habta. Ou vaor se recomenda?; a respuesta es obva: no es deseabe un paquete a cua e fatan componentes, as que se especfcar 1. %_sgnature: se utzar gpg para frmar os paquetes resutantes. %_gpg_path: ruta de drectoro .gpg a utzar. Estar ocazado dentro de a carpeta de nco de usuaro utzado. %_gpg_name: dentdad a utzar para frmar os paquetes resutantes. E formato utzado es e msmo como aparece e nombre de su cave GnuPG en seahorse: Su Nombre (Breve comentaro) <su cuenta de correo eectrnco>. %_gpgbn: ruta de bnaro gpg, normamente en /usr/bn/gpg. %_topdr: ruta donde se ocaza a |aua para rpmbud. %_tmppath: drectoro de eementos temporaes que ser utzado para smuar nstaacones. %packager: su nombre competo y dreccn de correo eectrnco o ben e URL de su sto de red. %dstrbuton: nombre de producto o ben para especfcar para que dstrbucn de GNU/Lnux se utzar a paquetera. %vendor: nombre de su empresa u organzacn. %desktop_vendor: varabe opcona (y no ofca) para defnr e nombre de a empresa en e nombre agunos fcheros, prncpamente entradas de men. Especfque e nombre corto de su empresa sin espacios. A contnuacn un e|empo de contendo de fchero -/.rpmmacros, utzando vaores fctcos: 4debu"_packa"e 45nil6 4_unpacka"ed_files_terminate_build ( 4_si"nature "p" 4_"p"_path 4$echo 7289:;7&/."nup" 4_"p"_name Fulano de Perengano (Una empresa ficticia) fulano!alg"n-dominio#com$ 4_"p"bin /usr/bin/"p" 4_topdir 4$echo 7289:;7&/rpmbuild 4_tmppath 4$echo 7289:;7&/rpmbuild/<:= 4packa"er >ulano de =eren"ano ?su cuenta de correo o %ien &ttp:''su-sitio-de-red#com@ 4distribution nom%re de su producto a(u) 4vendor su nom%re o nom%re de su empresa a(u) 4desktop_vendor nom%re-de-su-empresa-sin-espacios +6%3%2%2% $reacin de la estructura de la -aula para rpmbuild Desde una termna, genere a estructura de drectoros necesara utzando o sguente: mkdir 'p //rpmbuild/5ABCDE)F=:S)S9BFG;S)SF=:S)S=;GS)<:=6 mkdir 'p //rpmbuild/F=:S/5athlon)i*H-)i,H-)i-H-)noarch6 128 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +6%3%3% $reacin de los fic'erosW%spec Los fcheros *.spec contenen a nformacn que utzar rpmbud para construr un paquete. De contendo de stos depender que sea posbe descomprmr, confgurar, compar, nstaar vrtuamente y empaquetar un sustento gco en partcuar a partr de un cdgo fuente. Name: Se refere nombre de paquete. No puede evar espacos. Reguarmente es e msmo nombre utzado para e paquete de cdgo fuente. Verson: Se refere a nmero de versn de paquete Reease: Nmero de anzamento o entrega URL: URL orgna de sto de red de sustento gco que se va a empaquetar. Summary: Resumen o descrpcn corta de paquete. Lcense: Lcenca o cencas utzadas por e paquete. Group: Grupo o categora de sustento gco a cua pertenece e paquete. Lsta de grupos vdos: Amusements/Games Amusements/Graphcs Appcatons/Archvng Appcatons/Communcatons Appcatons/Databases Appcatons/Edtors Appcatons/Emuators Appcatons/Engneerng Appcatons/Fe Appcatons/Internet Appcatons/Mutmeda Appcatons/Productvty Appcatons/Pubshng Appcatons/System Appcatons/Text Deveopment/Debuggers Deveopment/Languages Deveopment/Lbrares Deveopment/System Deveopment/Toos Documentaton System Envronment/Base System Envronment/Daemons System Envronment/Kerne System Envronment/Lbrares System Envronment/Shes User Interface/Desktops User Interface/X User Interface/X Hardware Support Budroot: Ruta donde se reazar a nstaacn vrtua, es decr: 45_tmppath6/45name6'45version6'root 129 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Source: Se puede especfcar soamente e nombre de paquete utzado para e cdgo fuente, aunque por norma se sugere especfcar e URL exacto haca e cdgo fuente. BudRequres: Lsta separada por comas o espacos de componentes o paquetes requerdos para poder construr e sustento gco nvoucrado. BudPreReq: Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a compacn de sustento gco nvoucrado. Requres: Lsta de paquetes de os cuaes depende e sustento gco empaquetado para poder funconar. PreReq: Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a nstaacn de e sustento gco nvoucrado. %descrpton Descrpcn detaada acerca de paquete %prep Procedmentos, s os hubere, requerdos antes de desempaquetar e cdgo fuente. Reguarmente no os hay. %setup Procedmentos, s os hubere, requerdos a desempaquetar o despus de desempaquetar e cdgo fuente. Reguarmente aqu es donde se apcan parches y otros correctvos. %bud Procedmentos necesaros para poder compar desde e cdgo fuente de un sustento gco en partcuar. Por o genera basta con un 4confi"ure y 4__make, pero se recomenda eer a detae e nstructvo de nstaacn de cada programa en partcuar a fn de asegurar os procedmentos correctos para compar e sustento gco. %nsta Procedmento de nstaacn requerdo para un paquete en partcuar. Se recomenda mpar cuaquer nstaacn preva utzando 4__rm 'fr 45buildroot6. La nstaacn ser vrtua y se reazar dentro de -/rpmbud/TMP/ que es estabecdo por a varabe %{budroot}. Por o genera es sufcente 4__make E;S<ECFI45buildroot6 install, ; sn embargo agunos programas puderan requerr nstaacn ndvdua de agunos o todos sus componentes. %cean Procedmentos para mpar aqueo que ya no se necesta despus de haber creado extosamente e paquete RPM. Especfcamente se refere a a nstaacn vrtua que se reaz dentro de -/rpmbud/TMP/. Para a mayora de os casos es sufcente utzar 4__rm 'fr 45buildroot6.. %preun Procedmentos que se deben correr |usto antes de proceder a nstaar un paquete. Se utza prncpamente con paquetes que necestan crear cuentas de sstema u otros preparatvos. 130 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux %post Procedmentos que se deben correr |usto despus de proceder a nstaar un paquete. E|empos: Cuando os paquetes ncuyen bbotecas compartdas, se e|ecuta dconfg. S un paquete ncuye un esquema para GConf, se debe correr o necesaro para regstrar e esquema. %postun Procedmentos que se deben correr |usto despus de proceder a desnstaar un paquete. Se utza prncpamente con paquetes que necestan correr tareas admnstratvas, como detener y/o dar de ba|a un servco. %fes Lsta de todos os componentes de e sustento gco empaquetado en sus rutas defntvas. %changeog Btcora de cambos de fchero *.spec. Requere un formato especa: * |Da de a semana en abrevado y en ngs| |Mes abrevado en ngs| da ao Nombre empaquetador <correo eectrnco o URL de sto de red> - Agunos cambos - Ms cambos - Otros cambos E|empo: * Sun Sep 25 2005 Fuano de Perengano <http://m-sto-geb.ago/> - Fchero *.spec nca. - Se aaderon cosas - Se puso un gun para ago +6%3%3%+% E-emplo de fic'ero W%spec% Name: algo Jersion: 0#1 Felease: 1 BFD: &ttp:''sitio-de-red-del-sustento-l*gico-a-utili+ar' Summar#: Pa(uete imaginario (ue &ace algo# Dicense: ,P- Kroup: .pplications'File Auildroot: 45_tmppath6/45name6'45version6'root Source: &ttp:''un-sitio-g/e%#algo'algo-0#1#tar#%+2 AuildFeLuires: gt02-de1el Auild=reFeL: 'usr'%in'des0top-file-install FeLuires: gt02 =reFeL: 'usr'%in'update-des0top-data%ase 4description Programa imaginario escrito en un lengua2e a%stracto e inexistente (ue &ace cosas imaginarias e imposi%les s*lo para fines demostrati1os# 4prep 4setup 'L 4build 4confi"ure 4__make 4install 4__make E;S<ECFI45buildroot6 install 4clean 4__rm 'fr 45buildroot6 4preun 4post /sbin/ldconfi" 131 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 4postun 4files defattr$')root)root& /usr/bin/al"o /usr/lib/libal"o.so.M /usr/share/applications/al"o.desktop 4chan"elo" 3 Sun Sep 2, 2MM, >ulano de =eren"ano ?http://mi'sitio'"Neb.al"o/@ ' Se aOadieron cosas ' Se puso un "uiPn para al"o 3 Sat Sep 2+ 2MM, >ulano de =eren"ano ?http://mi'sitio'"Neb.al"o/@ ' >ichero 3.spec inicial. +6%3%4% Uso del mandato rpmbuild Lsta y descrpcn de opcones prncpaes: ''si"n Especfca que se debe frmar un paquete con cave dgta predetermnada. ''clean Socta a rpmbud corra os procesos especfcados en a seccn %cean para de|ar mpo e drectoro de temporaes utzado para reazar nstaacones vrtuaes. ''tar"etIarLuitectura! Se utza para ndcar a rpmbud para que arqutectura ser construdo e paquete. De modo predefndo rpmbud crea os paquetes para a arqutectura predetermnada de sstema. Puede especfcarse 386, 585, 686, noarch, athon, etc., de acuerdo a o que sea requerdo. 'ba Socta a rpmbud corra todos os procedmentos necesaros para generar un paquete RPM bnaro y e paquete RPM fuente (*.src.rpm) a partr de un fchero *.spec. 'bb Socta a rpmbud corra todos os procedmentos necesaros para generar soamente un paquete RPM bnaro a partr de un fchero *.spec. 'bp Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep y apcacn de parches en %setup. Se utza prncpamente para verfcar y depurar estos procedmentos antes de comenzar a compacn e nstaacn. 'bc Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep, apcacn de parches en %setup y compacn en %bud. No reaza nstaacn vrtua n crea paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos. 'bi Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep, apcacn de parches en %setup, compacn en %bud e nstaacn vrtua en %nsta. No crea paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos. ''short'circuit Se utza en combnacn con -bc y b. Socta a rpmbud satar todos os pasos prevos y 132 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux correr ncamente a compacn, en e caso de ser combnado con -bc, o ben satar todos os pasos prevos y correr ncamente os procedmentos para reazar a nstaacn vrtua, en e caso de ser combnado con -b. Se utza prncpamente para verfcar y depurar estos procedmentos. ''rmspec Socta a rpmbud emne e fchero *.spec despus de crear extosamente os paquetes RPM correspondentes. Se utza para mantener mpa a |aua de rpmbud. ''rmsource Socta a rpmbud emne todo o que corresponda a as fuentes, es decr, cdgos fuentes, parches y otros eementos, despus de crear extosamente os paquetes RPM correspondentes. Se utza para mantener mpa a |aua de rpmbud. ''rebuild Socta a rpmbud reconstruya un paquete a partr de un *.src.rpm. +6%3%4%+% E-emplos de uso del mandato rpmbuild Construr so un paquete RPM, sin *enerar W%src%rpm, a partr de un fchero *.spec: rpmbuild 'bb al"o.spec Construr so un paquete RPM |unto con e correspondente *.src.rpm a partr de un fchero *.spec: rpmbuild 'ba ''clean ''si"n ''rmspec ''rmsource al"o.spec Construr soo un paquete RPM sn *.src.rpm a partr de un fchero *.spec, con frma dgta, mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar extosamente: rpmbuild 'bb 3.spec Construr so un paquete RPM y e correspondente *.src.rpm a partr de un fchero *.spec, con frma dgta, mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar extosamente: rpmbuild 'ba ''clean ''si"n ''rmspec ''rmsource 3.spec
Reconstrur so un paquete RPM a partr de un *.src.rpm: rpmbuild ''rebuild cualLuier'paLuete.src.rpm Reconstrur so un paquete RPM a partr de un *.src.rpm, con frma dgta, mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar extosamente: rpmbuild ''rebuild ''clean ''si"n ''rmspec ''rmsource cualLuier'paLuete.src.rpm 133 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +6%4% E-ercicios +6%4%+% <aGuete (<: binario 2 el paGuete W%src%rpm correspondiente creando el fic'ero W%spec necesario 1. Acceda haca http://www.nano-edtor.org y descargue e cdgo fuente de la m;s reciente versin estable de edtor de texto Nano. 2. Cooque e *.tar.gz de cdgo fuente dentro de drectoro -/rpmbud/SOURCES/ mv nano'(.2.,.tar."% //rpmbuild/S9BFG;S/ 3. Cambe haca e drectoro -/rpmbud/SPECS/ cd //rpmbuild/S=;GS/ 4. Con cuaquer edtor de texto smpe, genere e fchero -/rpmbud/SPECS/nano.spec con e sguente contendo Nal terminarX por favor verifiGue la sintaxisX l.nea por l.neaC: Name: nano Jersion: 1#2#5 Felease: 1 BFD: &ttp:''www#nano-editor#org' Summar#: Un pe(ue3o editor de texto# Dicense: ,P- Kroup: .pplications'4ditors Auildroot: 45_tmppath6/45name6'45version6'root Source: &ttp:''www#nano-editor#org'dist'11#2'nano-1#2#5#tar#g+ AuildFeLuires: ncurses-de1el5 gli%c-de1el5 gcc FeLuires: ncurses 4description ,6U nano es un pe(ue3o 7 f8cil de utili+ar editor de texto# 4prep 4setup 'L 4build 4confi"ure 4__make 4install 4__make E;S<ECFI45buildroot6 install 4clean 4__rm 'fr 45buildroot6 4files 4defattr$')root)root& 4doc QB<89FS ABKS G9=RCNK Ghan"eDo" CNS<QDD N;SS F;QE:; <8QNTS <9E9 4doc nanorc.sample /usr/bin/nano /usr/share/info/nano.info."% /usr/share/man/man(/nano.(."% /usr/share/man/man,/nanorc.,."% /usr/share/locale/3/DG_:;SSQK;S/nano.mo 4chan"elo" 3 Sun Sep 2, 2MM, >ulano de =eren"ano ?http://mi'sitio'"Neb.al"o/@ ' >ichero 3.spec inicial. 134 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 5. Para poder construr nano, necestar tener nstaados os paquetes ncurses-deve (cabeceras de desarroo para ncurses), gbc-deve (cabeceras de desarroo para C) y gcc (compador de GNU.org). De ser necesaro, proceda a nstaar stos: #um '# install ncurses'devel "libc'devel "cc 6. Utce o sguente para generar os paquetes bnaro y fuente correspondentes: rpmbuild 'ba nano.cpec 7. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a concur e proceso, encontrar e paquete bnaro RPM dentro de drectoro //rpmbuild/F=:S/i*H-/ y e paquete *.src.rpm dentro de drectoro //rpmbuild/SF=:S/. +6%4%2% <aGuete (<: binario 2 el paGuete W%src%rpm correspondiente reali8ando limpie8a de directorioX firma di*ital 1. Utzar e msmo fchero *.spec de e|ercco pasado. 2. Utce o sguente para generar os paquetes correspondentes, ngresando a cave de acceso para GnuPG cuando e sea requerda: rpmbuild 'ba ''clean ''si"n nano.cpec 3. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a termnar e proceso, encontrar e paquete bnaro RPM dentro de drectoro //rpmbuild/F=:S/i*H-/ y e paquete *.src.rpm dentro de drectoro //rpmbuild/SF=:S/. 135 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +7% $mo asi*nar cuotas de disco Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +7%+% Introduccin La utzacn de cuotas de dsco permte a os admnstradores de sstemas reazar a gestn efcente de espaco compartdo en dsco por mtpes usuaros. Las cuotas restrngen a capacdad de os usuaros para acceder haca os recursos de sstema, taes como boques (asgnacn de undades) e nodos (entradas de sstema de fcheros). Cuando una cuota es excedda se apca una potca determnada por e admnstrador. Las cuotas se admnstran por sstema de archvos ndvduaes y son ncas para usuaros o grupos. +7%2% <rocedimientos I. Debe ncarse e sstema en nve de corrda 1 (mono usuaro), ya que se reGuiere no 'a2a procesos activos utzando contendo de a partcn a a cua se e apcar a cuota de dsco. II. Obvamente, durante a nstaacn, deb asgnarse una partcn dedcada para, por menconar un e|empo, os drectoros /var y /home. III. Con a fnadad de aadr e soporte para cuotas en as partcones anterormente menconadas, se debe aadr en e fchero /etc/fstab os parmetros usrGuota y *rpGuota a as neas que defnen a confguracn de as partcones /var y /home: ;69:;3/var /var ext. defaults=usr9uo!)5,rp9uo!) 1 ( ;69:;3/home /home ext. defaults=usr9uo!)5,rp9uo!) 1 ( IV. Debe remontar as partcones para que surtan efecto os cambos: mount -o remount /var mount -o remount /home V. Se deben crear os fcheros aquota.user, aquota.group, quota.user y quota.group, os cuaes se utzarn en adeante para amacenar a nformacn y estado de as cuotas en cada partcn. cd /var touch aOuota!user aOuota!group Ouota!user Ouota!group cd /home touch aOuota!user aOuota!group Ouota!user Ouota!group 136 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux VI. E|ecutar: Ouotacheck -avug La prmera vez que se e|ecuta e mandato anteror es norma que marque advertencas refrndose a posbes fcheros truncados, que en readad no eran otra cosa sno fcheros de texto smpe vacos a os cuaes se es acaba de convertr a formato bnaro. S se e|ecuta de nuevo Guotac'ecL ) avu*, no deber mostrar advertenca aguna. VII.Para actvar as cuotas de dsco recn confguradas, soo bastar e|ecutar: Ouotaon /var Ouotaon /home VIII.Vaya a nve de corrda 3 a fn de apcar cuota de dsco a agunos usuaros. init . +7%2%+% EdGuota Es mportante conocer que sgnfca cada coumna mostrada por edquota. !locLs, Boques. Corresponde a a cantdad de boques de 1 Kb que est utzando e usuaro. Inodes, Inodos. Corresponde a nmero de fcheros que est utzando e usuaro. Un inodo (tambn conocdo como Index Node) es un apuntador haca sectores especfcos de dsco duro en os cuaes se encuentra a nformacn de un fchero. Contene adems a nformacn acerca de permsos de acceso as como os usuaros y grupos a os cuaes pertenece e fchero. Soft, Lmte de graca. Lmte de boques de 1 KB que e usuaro puede utzar y que puede rebasar hasta que sea exceddo e perodo de graca (de modo predetermnado son 7 das). Hard, Lmte absouto. Lmte que no puede ser rebasado por e usuaro ba|o crcunstanca aguna. Asgnar cuotas de dsco a cuaquer usuaro o grupo. Soamente har fata utzar edGuota ctando e nombre de usuaro a cua se e quere apcar: edOuota fulano Lo anteror deber mostrar ago como o sguente a travs de vi u otro edtor de texto smpe: %isk Ouotas for user fulano (uid )01): Xiles2stem blocks soft hard inodes soft hard /dev/hda/ 0 0 0 0 0 0 /dev/hda) (+ 0 0 10 0 0 137 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +7%2%+%+% $uota absoluta Suponendo que se quere asgnar una cuota de dsco de 6 MB para e usuaro fuano en en /dev/hda0 y /dev/hda,, se utzara o sguente: %isk Ouotas for user fulano (uid )01): Xiles2stem blocks soft hard inodes soft hard /dev/hda/ 0 0 61++ 0 0 0 /dev/hda) (+ 0 61++ 10 0 0 E usuaro sempre podr rebasar una cuota de *racia pero nunca una cuota absoluta. +7%2%+%2% $uota de *racia E sstema tene de modo predetermnado un periodo de *racia de 7 das que se puede modfcar con e mandato edGuota )t, donde se puede estabecer un nuevo perodo de graca por das, horas, mnutos o segundos. *race period before enforcing soft limits for users: "ime units ma2 be: da2s= hours= minutes= or seconds Xiles2stem 9lock grace period <node grace period /dev/hdb/ /da2s /da2s /dev/hdb) /da2s /da2s La cuota de *racia estabece os mtes de boques o inodos que un usuaro tene en una partcn. Cuando e usuaro excede e mte estabecdo por a cuota de graca, e sstema adverte a msmo que se ha exceddo a cuota de dsco; sn embargo permte a usuaro contnuar escrbendo hasta que trascurre e tempo estabecdo por e perodo de graca, tras e cua a usuaro se e mpde contnuar escrbendo sobre a partcn. Suponendo que quere asgnar una cuota de graca de 6 MB en /dev/hda/ y /dev/hda), a cua podr ser excedda hasta por 7 das, entonces se utzara o sguente: %isk Ouotas for user fulano (uid )01): Xiles2stem blocks soft hard inodes soft hard /dev/hda/ 0 61++ 0 0 0 0 /dev/hda) (+ 61++ 0 10 0 0 +7%2%+%3% =plicando cuotas masivamente S se quere que todo apque para os usuaros exstentes a partr de UID 510, por e|empo, s se que tene a usuaro pepto como mode Nnote por favor el acento *rave en el mandato -usto antes de aMLX no es una comilla ni apostrofeC: edLuota 'p pepito Uawk '>: V2* @ ,(M 5print 2(6V /etc/passwdU +7%3% $omprobaciones Utce e mandato edquota con e usuaro fuano. edLuota fulano 138 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Asgne a usuaro fuano una cuota de dsco de 50 MB en todas as partcones con cuota de dsco habtada: %isk Ouotas for user fulano (uid )01): Xiles2stem blocks soft hard inodes soft hard /dev/hda/ 0 0 )1(00 0 0 0 /dev/hda) (+ 0 )1(00 10 0 0 "esde otra terminal acceda haca e sstema como e usuaro fuano y e|ecute e mandato Guota y observe con detenmento a sada: %isk Ouotas for user fulano (uid )01): Xiles2stem blocks Ouota limit grace files Ouota limit grace /dev/hda/ 0 0 )1(00 1 0 0 /dev/hda) (+ 0 )1(00 10 0 0 Reace una copia de drectoro /usr/lib como e drectoro subordnado R/prueba)cuotas dentro de su drectoro de nco: cp 'r /usr/lib //prueba'cuotas Notar que egar un momento en e que e sstema ndcar que ya no es posbe contnuar copando contendo dentro de R/prueba)cuotas debdo a que se ha agotado e espaco en a partcn. Utilice de nuevo e mandato Guota y observe con detenmento a sada, en donde aparecer un astersco |usto |unto a a cantdad en a coumna de boques, a cua ndca que se ha exceddo a cuota de dsco: %isk Ouotas for user fulano (uid )01): Xiles2stem blocks Ouota limit grace files Ouota limit grace /dev/hda/ 0 0 )1(00 1 0 0 /dev/hda) )1(00J 0 )1(00 /+.- 0 0 Para poder vover a escrbr sobre a partcn, es necesaro berar espaco. Emne por competo e drectoro R/prueba)cuotas y vueva a utzar e mandato quota: rm 'fr //prueba'cuotas Luota 139 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +9% Introduccin a >$</I< Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +9%+% Introduccin TCP/IP fue desarroado y presentado por e Departamento de Defensa de EE.UU. en 1972 y fue apcado en =(<=NE> (=dvanced (esearch <ro|ects =gency Network), que era a red de rea extensa de Departamento de Defensa como medo de comuncacn para os dferentes organsmos de EE.UU. La transcn haca TCP/IP en =(<=NE> se concret en 1983. Se conoce como familia de protocolos de Internet a con|unto de protocoos de red que son mpementados por a pa de protocoos sobre os cuaes se fundamenta Internet y que permten a transmsn de datos entre as redes de computadoras. Los dos protocoos ms mportantes, y que fueron tambn os prmeros en defnrse y tambn os ms utzados, son >$< (Protocoo de Contro de Transmsn o >ransmsson $ontro <rotoco) e I< (Protocoo de Internet o Internet <rotoco), de ah que se denomne tambn como $on-unto de <rotocolos >$</I<. Los tpos de protocoos exstentes superan os cen, ente os cuaes podemos menconar como os ms conocdos a HTTP, FTP, SMTP, POP, ARP, etc. TCP/IP es a pataforma que sostene Internet y que permte a comuncacn entre dferentes sstemas operatvos en dferentes computadoras, ya sea sobre redes de rea oca (LAN) o redes de rea extensa (WAN). +9%2% Niveles de pila En a actuadad contna a dscusn respecto a s e modeo TCP/IP de cnco nvees enca|a dentro de modeo OSI (Interconexn de Sstemas Abertos u 0penSystems Interconnecton) de sete nvees. :odelo Niveles TCP/IP 5 Apcacn 4 Transporte 3 Red 2 Enace 1 Fsco. OSI 7 Apcacn 6 Presentacn 5 Sesn 4 Transporte 3 Red 2 Enace de datos 140 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux :odelo Niveles 1 Fsco +9%2%+% :odelo >$</I< Utza encapsuamento para proveer a abstraccn de protocoos y servcos haca dferentes capas en a pa. La pa consste de cnco nvees: Nivel Nombre "escripcin 5 =plicacin Se compone de dversos protocoos de servcos como: "NS (Doman Name System) >LS/SSL (>ransport Layer Securty) >7>< (>rva 7e >ransfer <rotoco) 7>< (7e >ransfer <rotoco) H>>< (Hyper >ext >ransfer <rotoco) I:=< (Internet :esssage =ccess <rotoco) I($ (Internet (eay $hat) NN>< (Network News >ransfer <rotoco) <0<3 (<ost 0ffce <rotoco) SI< (Sesson Incaton <rotoco) S:>< (Smpe :a >ransfer <rotoco) SN:< (Smpe Network :anagement <rotco) SSH (Secure S'e) >ELNE> !it>orrent (>< ((ea-tme >ransport <rotoco) rlo*in EN(< (Endpont Handespace (edundancy <rotoco) Los protocoos de encamnamento como !G< (!order Gateway <rotoco) y (I< ((outng Informaton <rotoco) que utzan transporte por TCP y UDP respectvamente pueden ser consderados como parte de este nve. 141 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Nivel Nombre "escripcin 4 >ransporte Se compone de dversos protocoos de servcos como: >$< (>ransmson $ontro <rotoco) U"< (User "atagram <rotoco), "$$< ("atagram $ongeston $ontro <rotoco) S$>< (Stream $ontro >ransmson <rotococo) IL (Internet Lnk Protoco, smar a TCP pero ms smpe) (U"< ((eabe User "atagram <rotoco), etc. Los protocoos como 0S<7 (0pen Shortest <ath 7rst), que corren sobre IP, pueden ser tambn consderados como parte de esta capa. I$:< (Internet $ontro :essage <rotoco) e IG:< (Internet Group :anagement <rotoco) que tambn utzan IP, pueden ser consderados parte de Nve de Red. 3 (ed Se compone de dversos protocoos de servcos como I< (ncuyendo I<v4 e I<v6). Protocoos como =(< (=ddress (esouton <rotoco) y (=(< ((everse =ddress (esouton <rotoco) que operan por deba|o de IP, pero arrba de Nve de enace, de modo que pertenecen a un punto ntermedo entre e Nve de Red y e Nve de Enace. 2 Enlace Compuesto de protocoos como: Et'ernet Yi)7i >oLen rin* <<< (Pont-to-Pont <rotoco) SLI< (Sera Lne Internet <rotoco) 7""I (Fber Dstrbuted "ata Interface) =>: (=synchronous >ransfer <rotoco) 7rame (ela2 S:"S (Swtched :ut-megabt "ata Servces) 1 7.sico Medo fsco. Los nvees ms cercanos atos son os ms cercanos a usuaro, mentras que os que estn ms haca aba|o se encuentran ms cercanos a a transmsn fsca de os datos. Savo por evdentes razones en e prmer y tmo nvees, cada nve tene un nve superor y un nve nferor que, respectvamente, o ben utzan un servco de nve o proveen un servco. Un mtodo de abstraccn para entender esto es mrar os nvees como proveedores o consumdores de servcos. E|empo: TCP en e nve de transporte requere un protocoo de nve de Red, como sera IPv4, e 142 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux cua a su vez requere de un protocoo de nve de enace, sendo TCP un proveedor de servco para os protocoos de nve de apcacn. +9%2%+%+% Nivel de aplicacin Es e nve que utzan os programas de red ms comunes a fn de comuncarse a travs de una red. La comuncacn que se presenta en este nve es especfca de as apcacones y os datos transportados desde e programa que estn en e formato utzado por a apcacn y van encapsuados en un protocoo de Nivel de >ransporte. Sendo que e modeo TCP/IP no tene nvees ntermedos, e nve de Apcacn debe ncur cuaquer protocoo que acte de msmo modo que os protocoos de Nivel de <resentacin y Nivel de Sesin de :odelo 0SI. Los protocoos de Nve de Transporte ms comnmente utzados son TCP y UDP, msmos que requeren un puerto dsponbe y especfco para e servco para os servdores y puertos efmeros. Aunque os encamnadores (routers) e nterruptores (swtches) no utzan este nve, as apcacones que controan e ancho de banda s o utzan. +9%2%+%2% Nivel de >ransporte Este nve prncpamente provee o necesaro para conectar apcacones entre s a travs de puertos. Mentras que IP (Internet Protoco),de Nve de Red, provee soamente a me|or forma de entrega, e nve de transporte es e prmer nve que se encarga de a fabdad. De entre todos os protocoos de este nve, tanto TCP como UDP son utzados para transportar un gran nmero de apcacones de ato nve. Las apcacones en cuaquer nve se dstnguen a travs de os puertos TCP o UDP que utcen. >$<% E me|or e|empo de este nve es TCP, que es un protocoo orentado haca conexn que resueve numerosos probemas de fabdad para proveer una transmsn de bytes fabe, ya que se encarga de que os datos eguen en orden, tenga un mnmo de correccones de errores, se descarten datos dupcados, se vuevan a envar os paquetes perddos o descartados e ncuya contro de congestn de trfco. La conexones a travs de TCP tenen tres fases: I% Establecimiento de la conexin Antes de que e cente ntente conectarse con e servdor, ste tmo debe prmero garse haca e puerto para abrro para as conexones, es decr, una apertura pasiva. Una vez estabecda, e cente puede ncar a apertura activa. Se requere de un saudo de tres etapas: 1. La apertura actva se reaza envando un paquete SYN (sncronza) haca e servdor. 2. En respuesta, e servdor responde con un paquete SYN-ACK (conformacn de sncronzacn). 3. Fnamente e cente enva un paquete ACK (confrmacn) de regreso haca e servdor. En este punto tanto cente como servdor han recbdo una conformacn de a conexn. II% >ransferencia de datos 143 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Hay tres funcones cave que dferencan a TCP de UDP: 1. Transferenca de datos bre de errores. 2. Transferenca de datos ordenada. 3. Retransmsn de paquetes perddos. 4. Descartado de paquetes dupcados. 5. A|uste en a congestn de a transmsn de datos. III. >erminacin de la conexin. Esta etapa utza un saudo de tres vas, con cada extremo de a conexn termnando ndependentemente. Cuando uno de os extremos desea detener su parte de a conexn, enva un paquete FIN, que a otra parte confrma con un paquete ACK. Por tanto, una nterrupcn de a conexn requere un par de paquetes FIN y ACK desde cada ado de a conexn TCP. Una conexn puede quedar aberta a medas cuando uno de os extremos ha termnado a conexn desde su ado pero e otro extremo no. E extremo que termn a conexn ya no puede envar datos en a conexn, pero e e otro extremo s. E mtodo ms comn es un saudo de tres etapas donde un anftrn A enva un paquete FIN y e anftrn B responde con un paquete FIN y un ACK (en e msmo paso) y e anftrn A responde con un paquete ACK. TCP reaza as sguentes etapas en su zcao: 1. LISTEN 2. SYN-SENT 3. SYN-RECEIVED 4. ESTABLISHED 5. FIN-WAIT-1 6. FIN-WAIT-2 7. CLOSE-WAIT 8. CLOSING 9. LAST-ACK 10.TIME-WAIT 11.CLOSED LIS>EN representa a conexn en espera de petcones desde cuaquer puerto TCP remoto. SZN)SEN> representa a espera de TCP remoto para envar de regreso e paquete TCP estabecendo banderas SZN y =$K. SZN)(E$IPE" representa a espera para e TCP remoto para envar de regreso a confrmacn despus de haber envado de regreso otra confrmacn de conexn a TCP remoto (estabecdo por e servdor TCP). ES>=!LISHE" representa que e puerto est sto para recbr/envar datos desde/haca e TCP remoto (o hacen tanto centes como servdores TCP). >I:E)Y=I> representa e tempo de espera necesaro para asegurar que e TCP remoto ha recbdo a confrmacn de su soctud de termnacn de a conexn. U"<% UDP, a veces referdo sarcstcamente como >nreliable Datagram Protoco (Protcoo no fabe de datagrama), es un protocoo de datagrama sn correccn; no provee as garanta de fabdad y ordenamento de TCP a os protocoos de Nivel de =plicacin y os datagramas pueden egar en desorden o perderse sn notfcacn. Como consecuenca de o anteror es que UDP es un protocoo ms rpdo y efcente para tareas geras o sensbes a tempo una nterfaz muy smpe entre e Nivel de (ed y Nivel de =plicacin. S se requere agn tpo de fabdad para os datos transmtdos, sta debe ser mpementada en os nvees superores 144 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux de a pa. A gua que IP, y a dferenca de TCP, es un protocoo de me|or esfuerzo o no-fabe. E nco probema de fabdad que resueve es a correccn de errores en a cabecera y datos transmtdos a travs de un campo de 16 bts para suma de verificacin (checksum), una forma de contro de redundanca con a fnadad de proteger a ntegrdad de datos verfcando que no hayan sdo corrompdos. La estructura de paquetes UDP consste de 4 campos. <uerto de ori*en. Encargado de dentfcar e puerto que enva y que se asume ser e puerto haca donde se enva a respuesta s se necesta. Este campo es opcona: s no se utza, e vaor de campo debe ser 0. <uerto de destino. Identfca e puerto de destno. Es obgatoro. Lon*itud. Un campo de 16 bts que especfca a ongtud de datagrama competo: cabecera y datos. La ongtud mnma es de 8 bytes ya que es a ongtud msma de a cabecera. Suma de verificacin. Un campo de 16 bts que se utza para verfcar errores en cabecera y datos. Las apcacones ms comunes que hacen uso de este tpo de protocoo son DNS, apcacones de transmsn de medos, voz sobre IP (VoIP), TFTP y |uegos en nea. S$><% SCTP es un mecanismo de transporte fiable orentado haca conexn. Est orentado tambn haca transmsn de datos pero no est orentado haca bytes como TCP. Provee mtpes transmsones dstrbudos sobre una msma conexn. Puede adems representar una conexn con mtpes dreccones IP de modo que s una IP faa, a conexn no se nterrumpe. Se desarro ncamente para apcacones de teefona pero se puede utzar en otras apcacones. "$$<% DCCP se encuentra en fase de desarroo y ba|o a tutea de a IETF (Internet Engneerng Task Force) que pretende proveer a semntca de contro de fu|o de TCP y e modeo de servco de datagrama de UDP a a vsta de usuaro. (><% RTP es un protocoo de datagrama que fue dseado para datos en tempo rea como a transmsn de audo y vdeo. Es un nve de sesn que utza e formato de paquetes de UDP como base. Sn embargo se consdera que este protocoo pudera acomodar deba|o de nve de transporte de modeo TCP/IP. +9%2%+%3% Nivel de (ed Este nve resueve e probema de capturar os datos a travs de una red nca. I< (Internet <rotoco) reaza a tarea bsca de capturar os paquetes de datos desde una fuente haca un destno. IP puede transportar datos para una gran cantdad de protocoos de nve superor (Nve de Transporte). Otro e|empo de protocoo de este nve es X.25, que es un con|unto de protocoos para redes WAN utzando neas teefncas o sstema ISDN. 145 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +9%2%+%4% Nivel de Enlace Este nve no es reamente parte de $on-unto de <rotocolos >$</I<, sno que es e mtodo utzado para pasar paquetes desde e Nve de Red sobre dos dferentes anftrones. Este proceso puede ser controado a travs de sustento gco utzado como controador de dspostvo para una tar|eta de red as como tambn sobre a <ro*ramacin en firme (Frmware) o crcutos ntegrados auxares (chpsets). Estos procesos reazarn funcones de enace de datos taes como aadr una cabecera de paquete para preparar a transmsn, y entonces transmtr e todo a travs de un medo fsco. Este nve es donde os paquetes son nterceptados y envados haca una Red Prvada Vrtua (VPN). Cuando esto se eva a acabo, os datos de Nve de Enace se consderan como os datos de a apcacn y procede descendendo por a pa de modeo TCP/IP para reazar a verdadera transmsn. En e extremo receptor, os datos suben por a pa de modeo TCP/IP dos veces; una para a VPN y otra para e encamnamento (routng). +9%2%+%5% Nivel 7.sico A gua que e Nve de Enace, no es reamente parte de $on-unto de <rotocolos >$</I<. Contempa todas as caracterstcas fscas de a comuncacn como a naturaeza de medo, detaes de conectores, cdgo de canaes y moduacn, potencas de sea, ongtudes de onda, sncronzacn y tempo de vda as como dstancas mxmas. +9%2%2% :odelo 0SI E $on-unto de <rotocolos >$</I< (y su correspondente pa) han sdo utzados antes de que se estabecera e modeo OSI (Interconexn de Sstemas Abertos u 0pen Systems Interconnecton) y desde entonces e modeo TCP/IP ha sdo comparado con e modeo OSI tanto en bros como en nsttucones educatvas. Ambas se reaconan pero no son equparabes. E modeo OSI utza sete nvees, mentras que e modeo TCP/IP utza cnco. Los dos nvees que hacen a dferenca en e Modeo OSI son e Nivel de <resentacin y e Nivel de Sesin, msmos que podran ser equvaentes a Nivel de =plicacin de modeo TCP/IP. De msmo modo que a pa de modeo TCP/IP, e modeo OSI no es o sufcentemente dverso en os nvees nferores para abarcar as verdaderas capacdades de $on-unto de <rotocolos >$</I<. Un caro e|empo es que fata un nve ntermedo para acomodar entre e Nivel de (ed y e Nivel de >ransporte para poder determnar donde corresponden os protocoos ICMP e IGMP, y otro nve ntermedo entre e Nivel de (ed y e Nivel de >ransporte para determnar donde corresponden os protocoos ARP y RARP. Nivel Nombre "escripcin 7 =plicacin HTTP, SMTP, SNMP, FTP, Tenet, SIP, SSH, NFS, RTSP, E:<< (Extensbe :essagng and <resence <rotoco), Whos, ENRP Tenet. 6 <resentacin E"( (Externa "ata (epresentaton), =SN%+ (=bstract Syntax Notaton 1), S:! (Server :essage !ock),=7< (=ppe 7ng <rotoco), N$< (NetWare $ore <rotoco) 5 Sesin =S=< (=ggregate Server =ccess <rotoco), TLS, SSH, ISO 8327 / CCITT X.225, (<$ ((emote <rocedure $a), Net!I0S, =S< (=ppetak Sesson <rotoco), Wnsock, BSD sockets 4 >ransporte TCP, UDP, RTP, SCTP, SPX, ATP, IL 2 Enlace de datos Ethernet, Token rng, HDLC, Frame reay, ISDN, ATM, 802.11 WF, FDDI, PPP 146 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Nivel Nombre "escripcin 1 7.sico Defne todas as especfcacones fscas y ectrcas de os dspostvos, como son dsposcn de pnes, vota|es, especfcacones de cabeado, concentradores, repetdores, adaptadores de red, etc. $able, (adio, fibra ptica, (ed por palomas. Los nvees 7 a 4 se casfcan como nvees de anftrn, mentras que os niveles inferiores de 1 a 3 se casfcan como niveles de medios. 147 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux +S% Introduccin a I< versin 4 Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. +S%+% Introduccin IPv4 es a versn 4 de Protocoo de Internet (I< o Inernet <rotoco) y consttuye a prmera versn de IP que es mpementada de forma extensva. I<v4 es e prncpa protocoo utzado en e Nve de Red de Modeo TCP/IP para Internet. Fue descrto ncamente en e RFC 791 eaborado por e Grupo de Traba|o en Ingenera de Internet (IE>7 o Internet Engneerng >ask 7orce) en septembre de 1981, documento que de| obsoeto a RFC 760 de enero de 1980. IPv4 es un protocoo orentado haca datos que se utzan para comuncacn entre redes a travs de nterrupcones (swtches) de paquetes (por e|empo a travs de Ethernet). Tene as sguentes caracterstcas: Es un protocoo de un servco de datagramas no fabe (tambn referdo como de mejor esfuer+o). No proporcona garanta en a entrega de datos. No proporcona garantas sobre a correccn de os datos. Puede resutar en paquetes dupcado o en desorden. Todos os probemas menconados se resueven en e nve superor en e modeo TCP/IP, por e|empo, a travs de >$< o U"<. E propsto prncpa de I< es proveer una dreccn nca a cada sstema para asegurar que una computadora en Internet pueda dentfcar a otra. +S%2% "irecciones IPv4 utza dreccones de 32 bts (4 bytes) que mta e nmero de dreccones posbes a utzar a 4,294,967,295 dreccones ncas. Sn embargo, muchas de stas estn reservadas para propstos especaes como redes prvadas, :ultidifusin (Mutcast), etc. Debdo a esto se reduce e nmero de dreccones IP que reamente se pueden utzar, es esto msmo o que ha mpusado a creacn de I<v6 (actuamente en desarroo) como reempazo eventua dentro de agunos aos para IPv4. +S%2%+% (epresentacin de las direcciones Cuando se escrbe una dreccn I<v4 en cadenas, a notacn ms comn es a decimal con puntos. Hay otras notacones basadas sobre os vaores de os octetos de a dreccn IP. Utzando como e|empo: www.nuxparatodos.net que tene como dreccn IP 200.76.185.250 en a notacn decma con puntos: 148 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Notacin Palor $onversin desde decimal con puntos Decma con puntos 200.76.185.250 - Hexadecma con puntos 0xC8.0x4C.0xB9.0xFA Cada octeto de a dreccn es convertdo ndvduamente a hexadecma. Octa con puntos 0310.0114.0271.0372 Cada octeto es convertdo ndvduamente a octa. Bnaro con puntos 11001000.01001100.10111001.1111101 0 Cada octeto es convertdo ndvduamente a bnaro Hexadecma 0xC84CB9FA Concatenacn de os octetos de hexadecma con puntos. Decma 3360471546 La forma hexadecma convertda a decma. Octa 031023134772 La forma hexadecma convertda a octa. Bnaro 11001000010011001011100111111010 La forma hexadecma convertda a bnaro. *e'ricamente todos estos formatos deberan estar reconocdos en os navegadores (sn combnar). Adems, en as formas con puntos, cada octeto puede ser representado en dferentes bases. E|empo: 200.0114 .0xB9.250. +S%3% =si*nacin Desde 1993 rge e esquema $I"( ($assess Inter-"oman (outng) cuya prncpa venta|a es permtr a subdvsn de redes y permte a as entdades sub-asgnar dreccones IP, como hara un ISP con un cente. E prncpo fundamenta de encamnamento (routng) es que a dreccn codfca nformacn acerca de ocazacn de un dspostvo dentro de una red. Esto mpca que una dreccn asgnada a una parte de una red no funconar en otra parte de a red. Exste una estructura |errquca que se encarga de a asgnacn de dreccones de Internet arededor de mundo. Esta estructura fue creada por e $I"( y hasta 1998 fue supervsada por a I=N= (Internet =ssgned Numbers =uthorty o Agenca de Asgnacn de Nmeros Internet) y sus (I( ((egona Internet (egstres o Regstros Regonaes de Internet). Desde e 18 de septembre de 1998 a supervsn est a cargo de a I$=NN (Internet $orporaton for =ssgned Names and Numbers o Corporacn de Internet para os Nombres y Nmeros Asgnados). Cada (I( mantene una base de datos YH0IS dsponbe a pbco que permte hacer bsquedas que proveen nformacn acerca de as asgnacones de dreccones IP. La nformacn obtenda a partr de estas bsquedas |uega un pape centra en numerosas herramentas, as cuaes se utzan para ocazar dreccones IP geogrfcamente. +S%3%+% !loGues reservados !loGues de direcciones reservadas !loGue de direcciones $I"( "escripcin (eferencia 0.0.0.0/8 Red actua (soo vdo como dreccn de RFC 1700 149 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux !loGue de direcciones $I"( "escripcin (eferencia orgen) 10.0.0.0/8 (ed <rivada RFC 1918 14.0.0.0/8 Red de datos pbcos RFC 1700 39.0.0.0/8 Reservado RFC 1797 127.0.0.0/8 Anftrn oca (ocahost) RFC 1700 128.0.0.0/16 Reservado 169.254.0.0/16 (ed <rivada (Zeroconf) RFC 3927 172.16.0.0/12 (ed <rivada RFC 1918 191.255.0.0/16 192.0.0.0/24 192.0.2.0/24 Red de pruebas RFC 3330 192.88.99.0/24 Retransmsn desde I<v6 haca I<v4 RFC 3068 192.168.0.0/16 (ed <rivada RFC 1918 198.18.0.0/15 Pruebas de desempeo de red RFC 2544 223.255.255.0/24 Reservado RFC 3330 224.0.0.0/4 Mutdfusn (Mutcast, antes red Case D) RFC 3171 240.0.0.0/4 Reservado (Antes red Case E) RFC 1700 255.255.255.255 Dfusones (Broadcast) +S%3%+%+% (edes privadas De os ms de cuatro m mones de dreccones permtdas por I<v4, tres rangos estn especamente reservados para utzarse soamente en redes prvadas. Estos rangos no tenen encamnamento fuera de una red prvada y as mqunas dentro de estas redes prvadas no pueden comuncarse drectamente con as redes pbcas. Pueden, sn embargo, comuncarse haca redes pbcas a travs de a Traduccn de Dreccones de Red o N=> (Network =ddress >ransaton). !loGues reservados para redes privadas Nombre (an*o de direcciones I< Numero de direcciones I< >ipo de clase !loGue $I"( ma2or Boque de 24bts 10.0.0.0 - 10.255.255.255 16,777,215 nca case A 10.0.0.0/8 Boque de 20bts 172.16.0.0 - 172.31.255.255 1,048,576 16 cases B contguas 172.16.0.0/12 Boque de 16bts 192.168.0.0 - 192.168.255.255 65,535 256 cases C contguas 192.168.0.0/1 6 +S%3%+%2% =nfitrin local NLocal'ostC Adems de as redes prvadas, e rango 127.0.0.0 - 127.255.255.255 (o 127.0.0.0/8 en a notacn 150 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux $I"() est reservado para a comuncacn de anftrn oca (Locahost). Nnguna dreccn de este rango deber aparecer en una red, sea pbca o prvada, y cuaquer paquete envado haca cuaquer dreccn de este rango deber regresar como un paquete entrante haca a msma mquna. +S%4% (eferencia de subredes de I< versin 4 Agunos segmentos de espaco de dreccones de IP versn 4 son especamente asgnadas por documentos RFC (Con|unto de notas tcncas y de organzacn que se eaboran desde 1969 donde se descrben os estndares o recomendacones de Internet, antes ARPANET). E|empos de esto son os usos de Retorno de sstema (oopback, RFC 1643), as redes prvadas (RFC 1918) y Zeroconf (RFC 3927) que no estn ba|o e contro de os (I( ((egona Internet (egstres o Regstros Regonaes de Internet). La mscara de subred es utzada para separar os bts de un dentfcador de una red a partr de os bts de dentfcador de anftrn. Se escrbe utzando e msmo tpo de notacn para escrbr dreccones IP. $I"( :;scara de subred =nfitriones Nombre de la clase Uso t.pico /8 255.0.0.0 16777216 Case A Boque ms grande defndo por a IANA /9 255.128.0.0 8388608 /10 255.192.0.0 4194304 /11 255.224.0.0 2097152 /12 255.240.0.0 1048576 /13 255.248.0.0 524288 /14 255.252.0.0 262144 /15 255.254.0.0 131072 /16 255.255.0.0 65536 Case B /17 255.255.128.0 32768 ISP / negocos grandes /18 255.255.192.0 16384 ISP / negocos grandes /19 255.255.224.0 8192 ISP / negocos grandes /20 255.255.240.0 4096 ISP pequeos / negocos grandes /21 255.255.248.0 2048 ISP pequeos / negocos grandes /22 255.255.252.0 1024 /23 255.255.254.0 512 /24 255.255.255.0 256 Case C LAN grande /25 255.255.255.128 128 LAN grande /26 255.255.255.192 64 LAN pequea 151 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux $I"( :;scara de subred =nfitriones Nombre de la clase Uso t.pico /27 255.255.255.224 32 LAN pequea /28 255.255.255.240 16 LAN pequea /29 255.255.255.248 8 /30 255.255.255.252 4 Redes de unn (enaces punto a punto) /31 255.255.255.254 2 Red no utzabe, sugerda para enaces punto a punto (RFC 3021) /32 255.255.255.255 1 Ruta de anftrn +S%5% (eferencias http://www.etf.org/rfc/rfc760.txt http://www.etf.org/rfc/rfc791.txt http://www.etf.org/rfc/rfc1643.txt http://www.etf.org/rfc/rfc1700.txt http://www.etf.org/rfc/rfc1797.txt http://www.etf.org/rfc/rfc1918.txt http://www.etf.org/rfc/rfc2544.txt http://www.etf.org/rfc/rfc3021.txt http://www.etf.org/rfc/rfc3068.txt http://www.etf.org/rfc/rfc3171.txt http://www.etf.org/rfc/rfc3330.txt http://www.etf.org/rfc/rfc3927.txt 152 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 20% $mo confi*urar correctamente los par;metros de red Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 20%+% Introduccin Confgurar os parmetros de red en una estacn de traba|o GNU/Lnux o un servdor no es reamente compcado. Soamente requerr de agunos conocmentos bscos sobre redes y cuaquer edtor de texto smpe. 20%2% <rocedimientos 20%2%+% "eteccin 2 confi*uracin del sustento f.sico N'ardMareC La deteccn de sustento fsco (hardware) es reazada o ben por e programa de nstaacn, o ben a travs de 0ud+u, un servco que nca con e sstema y que se encarga de detectar y confgurar os dspostvos de sustento fsco (hardware) nstaados. En trmnos generaes, no hace fata confgurar parmetro aguno, mentras os dspostvos de red sean compatbes y exsta un controador para a versn de nceo (kerne) e|ecutado. S acaso no fuese detectado e dspostvo de red debdo a a ausenca de 0ud+u, es posbe confgurar todo manuamente. La marca de a tar|eta de red es o que menos nteresa; o que es mportante es que se determne con exacttud qu crcuto ntegrado auxar (chpset) utza a tar|eta de red. Esto puede determnarse examnando fscamente a tar|eta de red o ben examnando a detae a sada en pantaa que se obtene a e|ecutar e sguente mandato: lspci W grep :thernet Lo anteror devueve una sada smar a as sguente (en e caso de una tar|eta 3Com 905 C): :thernet controller: .Aom Aorporation .c-0)A-"X >Xast :therlink? (rev 1(0)! Debe modfcarse con un edtor de textos e fchero /etc/modules%conf (nceos de a sere 2.4) o /etc/modprobe%conf (nceos de a sere 2.6) y debe verfcarse que e mduo de su tar|eta de red reamente est especfcado correctamente. E|empo: alias eth0 .c)-x S se reaz aguna edcn de este fchero, deber e|ecutarse e sguente mandato, a fn de actuazar dependencas: 153 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux depmod -a S utza un nceo de a sere 2.4.x o 2.6, a sta de mduos exstentes en e sstema que se pueden utzar para dstntos crcutos ntegrados auxares (chpset) de dstntos modeos de tar|etas de red, se puede obtener stando e contendo de drectoro /lib/modules/[versin del n1cleo\/Lernel/drivers/net/. E|empo: ls /lib/modules/(!6!--((/kernel/drivers/net/ 20%2%2% =si*nacin de par;metros de red 20%2%2%+% Nombre del anfitrin NH0S>N=:EC Debe modfcarse con un edtor de textos e fchero /etc/'osts, y debe verfcarse que est dferencado e eco o retorno de sstema de nombre de sstema, e cua deber estar asocado a una de as dreccones IP, especfcamente a que est asocada a dcho nombre en e servdor de nombres de domno o DNS s se cuenta con uno en a red oca. E|empo: (20.M.M.( localhost.localdomain localhost (W2.(-H.(.,M nombre.dominio nombre Se debe estabecer un nombre para e sstema. ste deber ser un nombre de domno competamente resueto por un servdor de nombre de domno (DNS) o ben, en e caso de sstemas sn conexn a red o sstemas caseros, sea resueto ocamente en /etc/'osts. De ta modo, e nombre del anfitrin (!ostname) de sstema se defnr dentro de fchero /etc/s2sconfi*/netMorL de sguente modo: 7:"K8RQ<7*32es B8"76':3nombre!dominio 20%2%2%2% "ireccin I<X m;scara de subred 2 puerta de enlace Debe modfcarse con cuaquer edtor de textos y verfcar que sus parmetros de red sean os correctos, e fchero ocazado en a ruta /etc/s2sconfi*/netMorL)scripts/ifcf*)et'0. E|empo: %:P<A:3eth0 87988"32es 988"CR8"83static <C6%%R31-(!16,!1!)0 7:"'6Q3())!())!())!0 *6":K6\31-(!16,!1!()+ Los parmetros anterores son proporconados por e admnstrador de a red oca en donde se ocace a mquna que est sendo confgurada, o ben defndos de acuerdo a una panfcacn predefnda. E admnstrador de a red deber proporconar una dreccn IP dsponbe (IPADDR) y una mscara de a sub-red (NETMASK). 20%2%2%3% Servidores de nombres Debe modfcarse con un edtor de textos /etc/resolv%conf y deben estabecerse en ste os servdores de resoucn de nombres de domno (DNS). E|empo: 154 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux nameserver 1-(!16,!1!()+ nameserver 1-(!16,!1!1 20%2%3% =*re*ar encaminamientos NrutasC adicionales S se requere estabecer encamnamentos adconaes para obtener conectvdad con otras redes, se pueden generar fcheros para cada nterfaz que sea necesaro, en donde se estabecen os vaores para puerta de enace, red a a que se quere acceder y a mscara de subred correspondente. Los fcheros se deben generar dentro de drectoro /etc/s2sconfi*/netMorL) scripts/ como route8?interfa+@ y deben evar e sguente formato: *6":K6\03xxx!xxx!xxx!xxx 6%%R:03xxx!xxx!xxx!xxx 7:"'6Q03xxx!xxx!xxx!xxx Por ctar un e|empo, magnemos que nos encontramos dentro de a red 192.168.1.0 y se requere estabecer conectvdad con as redes 192.168.2.0 y 192.168.3.0, con mscaras 255.255.255.0, a travs de as puertas de enace o enrutadores o encamnadores con dreccn IP 192.168.2.1 y 192.168.3.1, correspondentemente para cada red ctada, a travs de a prmera nterfaz Ethernet de sstema (eth0). La confguracn de /etc/s2sconfi*/netMorL)scripts/route)et'0 sera a sguente: *6":K6\031-(!16,!(!1 6%%R:031-(!16,!(!0 7:"'6Q03())!())!())!0 *6":K6\131-(!16,!.!1 6%%R:131-(!16,!.!0 7:"'6Q13())!())!())!0 20%2%4% 7uncin de reenv.o de paGuetes para I< versin 4 S se tene paneado mpementar un NAT o DNAT, se debe habtar e reenvo de paquetes para IP versn 4. Esto se reaza en e fchero /etc/s2sctl%conf cambando net%ipv4%ipQforMard T 0 por net%ipv4%ipQforMard T +: net!ipv+!ip5for1ard 3 1 20%2%5% $omprobaciones Despus de haber confgurado todos os parmetros de red deseados, so deber ser rencado e servco de red, e|ecutando o sguente: service net1ork restart Basta soamente comprobar s hay reamente conectvdad. Puede e|ecutarse e mandato pin* haca cuaquer dreccn de a red oca para ta fn. ping 1-(!16,!1!()+ Las nterfaces y a nformacn de as msmas se puede examnar utzando: 155 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux /sbin/ifconfig Las encamnamentos se pueden comprobar e|ecutado: /sbin/route -n Para comprobar s hay resoucn de nombres, se puede reazar una consuta haca os DNS defndos para e sstema utzando: host alg]n!dominio 20%2%6% =lta de direcciones I< virtuales E ata de dreccones IP es verdaderamente smpe. Basta defnr soamente a dreccn IP, a mscara de subred y e nombre de dspostvo. E fchero se genera guamente con e nombre de dspostvo con e pref|o ifcf*). E|empo de contendo de fchero /etc/s2sconfi*/netMorL) scripts/ifcf*)et'0,0 que corresponde a prmer dspostvo vrtua de prmer dspostvo ethernet: %:P<A:3e!030 <C6%%R31-(!16,!(!()+ 7:"'6Q3())!())!())!0 La comprobacn, a e|ecutar e mandatoifconfi*, deber regresar ago como o sguente eth0 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0) inet addr:1-(!16,!1!()+ 9cast:1-(!16,!1!()) 'ask:())!())!())!0 $C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1 RX packets:(6+,.0 errors:0 dropped:0 overruns:0 frame:0 "X packets:()).-6 errors:0 dropped:0 overruns:0 carrier:0 collisions:.+, txOueuelen:1000 RX b2tes:+(./)61, (+0!+ 'i9) "X b2tes:(0.060,0 (1-!. 'i9) <nterrupt:11 9ase address:0xd000 eth0:0 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0) inet addr:1-(!16,!(!()+ 9cast:1-(!16,!(!()) 'ask:())!())!())!0 $C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1 <nterrupt:11 9ase address:0xd000 lo ;ink encap:;ocal ;oopback inet addr:1(/!0!0!1 'ask:())!0!0!0 $C ;88C96AQ R$77<7* '"$:16+.6 'etric:1 RX packets:()-0 errors:0 dropped:0 overruns:0 frame:0 "X packets:()-0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txOueuelen:0 RX b2tes:..(/,-- (.!1 'i9) "X b2tes:..(/,-- (.!1 'i9) 20%2%7% La funcin ]eroconf De modo predetermnado, y a fn de permtr a comuncacn entre dos dferentes sstemas a travs de un cabe R|45 cruzado (crossover), e sstema tene habtado ]eroconf, tambn conocdo como 156 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ]ero $onfi*uration NetMorLin* o =utomatic <rivate I< =ddressin* (APIPA). Es un con|unto de tcncas que automtcamente crean una dreccn IP utzabe sn confguracn de servdores de especaes. Permte a usuaros sn conocmentos de redes conectar computadoras, mpresoras en red y otros artcuos entre s. Sn Zeroconf os usuaros sn conocmentos tendran que confgurar servdores especaes como DHCP y DNS para poder estabecer conectvdad entre dos equpos. Estando habtado Zeroconf se mostrar un regstro en a taba de encamnamentos para a red 169.254.0.0 a e|ecutar route )n, devovendo una sada smar a a sguente: 1-(!16,!1!0 0!0!0!0 ())!())!())!0 $ 0 0 0 eth0 169.25&.0.0 0.0.0.0 255.255.0.0 ( 0 0 0 e!0 1(/!0!0!0 0!0!0!0 ())!0!0!0 $ 0 0 0 lo 0!0!0!0 1-(!16,!1!1 0!0!0!0 $* 0 0 0 eth0 S se desea desactvar Zeroconf, so bastar aadr en e fchero /etc/s2sconfi*/netMorL e parmetro N0]E(0$0N7 con e vaor 2es: 7:"K8RQ<7*32es B8"76':3nombre!dominio @.F$A.?.@=7yes A termnar, soamente hay que rencar e servco de red para que surtan efecto os cambos y comprobar de nuevo con route )n que a ruta para ]eroconf ha desaparecdo: 1-(!16,!1!0 0!0!0!0 ())!())!())!0 $ 0 0 0 eth0 1(/!0!0!0 0!0!0!0 ())!0!0!0 $ 0 0 0 lo 0!0!0!0 1-(!16,!1!1 0!0!0!0 $* 0 0 0 eth0 Una vez hecho o anteror, exsten dos servcos en e sstema en CentOS, Whte Box y Red Hat Enterprse Lnux 4 que se pueden desactvar, puesto que srven para estabecer a comuncacn a travs de Zeroconf, stos son mDNSResponder y nfd. Desactvar estos dos servcos ahorrar tempo en e arranque y se consumrn menos recursos de sistema. chkconfig nifd off chkconfig m%7Responder off service nifd stop service m%7Responder stop Para ms detaes acerca de ]eroconf, puede consutara nformacn dsponbe en: http://www.zeroconf.org/ http://en.wkpeda.org/wk/Zeroconf 157 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 20%2%9% "es'abilitar I<v6 IPv6 o Protocoo de Internet versn 6 (Internet Protoco Verson 6) es un estndar, de nve de red de modeo TCP, orentada haca datos, utzada por dspostvos eectrncos para transmtr datos a travs de una Anter8red (Internetworkng), creado por Steve Deerng y Crag Mudge mentras traba|aban para e Centro de Investgacones de Pao Ato de Xerox, o Eerox <alo =lto (esearc' $enter (Xerox PARC). Sucedendo a IPv4, es a segunda versn de Protocoo de Internet en ser formamente adoptada para uso genera. IPv6 tene como ob|etvo souconar e probema concernente a mte de dreccones IP que se pueden asgnar a travs de IPv4, as cuaes tendrn mucha demanda en un futuro no muy e|ano cuando se ncremente e nmero de tefonos mves y otros dspostvos de comuncacn que ofrezcan acceso haca Internet. IPv4 so ncuye soporte para 4,294 m mones (4,294 x 10 9 ) de dreccones IP, o cua es adecuado para asgnar una dreccn IP a cada persona de paneta. IPv6 ncuye soporte para 340 undecones (340 x 10 38 ) de dreccones IP. Se espera que IPv4 sga sendo t hasta arededor de ao 2025, o cua dar tempo para corregr errores y probemas en IPv6. Mentras no se mpemente de modo forma IPv6, ste cargar un controador en e sstema que har que agunas apcacones manfesten un acceso ento haca Internet o probemas de conectvdad. S no se va a utzar IPv6 o ms convenente es desactvaro de sstema. Edte e fchero /etc/modprobe%conf y aada o sguente: alias ipv6 off alias net-pf-10 off A termnar e|ecute: /sbin/depmod -a Rence e sstema a fn de que se efecten os cambos. 20%3% E-ercicios 20%3%+% Encaminamientos est;ticos Este e|ercco consdera o sguente: 1. Se tene dos equpos de cmputo con GNU/Lnux nstaado en ambos. 2. pc+%dominio tene una dreccn IP 192.168.0.101 con mscara de subred 255.255.255.0 en e dspostvo eth0. Una dreccn IP 10.0.0.101 con mscara de subred 255.0.0.0 en e dspostvo eth1. 3. pc2%dominio tene una dreccn IP 192.168.0.102 (o cuaquera otra en e msmo segmento) con mscara de subred 255.255.255.0 en e dspostvo eth0. No tene otros dspostvos de red actvos. Vsuace desde pc2%dominio os regstros de a taba de encamnamento. 158 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux route -n Obtendr una sada smar a a sguente: Qernel <C routing table %estination *ate1a2 *enmask Xlags 'etric Ref $se <face 1-(!16,!0!0 0!0!0!0 ())!())!())!0 $ 0 0 0 eth0 0!0!0!0 1-(!16,!0!1 0!0!0!0 $* 0 0 0 eth0 Intente e|ecutar pin* haca a dreccn recn aadda en pc+%dominio. ping -c . 10!0!0!101 E resutado esperado es que pin* devueva que hay 100% de prdda de paquetes. C<7* 10!0!0!101 (10!0!0!101) )6(,+) b2tes of data! --- 10!0!0!101 ping statistics --- . packets transmitted= 0 received= 100& packet loss= time 1---ms Proceda a aadr e encamnamento que corresponde especfcando a red, mascar de subred y puerta de enace necesaros para egar haca 10.0.0.101. route add D -net 10!0!0!0 D netmask ())!0!0!0 D g1 1-(!16,!0!101 D eth0 Vsuace de nuevo os regstros de a taba de encamnamento. route -n Obtendr una sada smar a a sguente: Qernel <C routing table %estination *ate1a2 *enmask Xlags 'etric Ref $se <face 1-(!16,!0!0 0!0!0!0 ())!())!())!0 $ 0 0 0 eth0 0!0!0!0 1-(!16,!0!1 0!0!0!0 $* 0 0 0 eth0 10.0.0.0 192.16H.0.1 255.0.0.0 (G 0 0 0 e!0 Intente e|ecutar pin* haca a dreccn recn aadda en pc+%dominio. 159 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ping -c . 10!0!0!101 E resutado esperado es que pin* responda a png, obtenndose una sada smar a a sguente: C<7* 10!0!0!101 (10!0!0!101) )6(,+) b2tes of data! 6+ b2tes from 10!0!0!101: icmp5seO30 ttl36+ time30!+). ms 6+ b2tes from 10!0!0!101: icmp5seO31 ttl36+ time30!.6, ms 6+ b2tes from 10!0!0!101: icmp5seO3( ttl36+ time30!.+/ ms --- 10!0!0!101 ping statistics --- . packets transmitted= . received= 0& packet loss= time 1---ms rtt min/avg/max/mdev 3 0!.+//0!.,-/0!+)./0!0+, ms= pipe ( Rence e servco de red, vsuace de nuevo os regstros de a taba de encamnamento y compruebe que ya no hay respuesta a hacer pin* haca 10.0.0.101 debdo a que e regstro en a taba de encamnamento fue emnado a rencar e servco de red. service net1ork restart route -n ping -c . 10!0!0!101 Para hacer permanente e regstro en a taba de encamnamento utce un edtor de texto de fchero /etc/s2sconfi*/netMorL)scripts/route)et'0 y ponga e sguente contendo: 6%%R:0310!0!0!0 7:"'6Q03())!0!0!0 *6":K6\031-(!16,!0!101 A termnar rence e servco de red. service net1ork restart Vsuace nuevamente os regstros de a taba de encamnamento. route -n Lo anteror debe devover una sada smar a a sguente: Qernel <C routing table %estination *ate1a2 *enmask Xlags 'etric Ref $se <face 1-(!16,!0!0 0!0!0!0 ())!())!())!0 $ 0 0 0 eth0 0!0!0!0 1-(!16,!0!1 0!0!0!0 $* 0 0 0 eth0 10.0.0.0 192.16H.0.1 255.0.0.0 (G 0 0 0 e!0 Intente e|ecutar pin* haca a dreccn recn aadda en pc+%dominio. 160 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ping -c . 10!0!0!101 Rence e servco de red, vsuace de nuevo os regstros de a taba de encamnamento y compruebe que hay respuesta a hacer png haca 10.0.0.101. service net1ork restart route -n ping -c. 10!0!0!101 20%3%2% "irecciones I< virtuales Este e|ercco consdera o sguente: 1. Se tene dos (o ms) equpos de computo con GNU/Lnux nstaado en stos. 2. pc+%dominio tene una dreccn IP 192.168%0%101 con mscara de subred 255.255.255.0 en e dspostvo eth0. No tene otros dspostvos de red actvos. 3. pc2%dominio tene una dreccn IP 192.168%0%102 con mscara de subred 255.255.255.0 en e dspostvo eth0. No tene otros dspostvos de red actvos. Vsuace as nterfaces de red actvas en e sstema. ifconfig Lo anteror debe devover una sada smar a a sguente, donde se mostrar que so estn actvas a nterfaz et'0 y a correspondente a retorno de sstema (oopback): eth0 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0) inet addr:1-(!16,!0!101 9cast:1-(!16,!0!()) 'ask:())!())!())!0 $C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1 RX packets:(+/,+ errors:0 dropped:0 overruns:0 frame:0 "X packets:(..66 errors:0 dropped:0 overruns:0 carrier:0 collisions:11( txOueuelen:1000 RX b2tes:1).(..1/ (1+!6 'i9) "X b2tes:)/-+(,, ()!) 'i9) <nterrupt:11 9ase address:0xd000 lo ;ink encap:;ocal ;oopback inet addr:1(/!0!0!1 'ask:())!0!0!0 $C ;88C96AQ R$77<7* '"$:16+.6 'etric:1 RX packets:1../ errors:0 dropped:0 overruns:0 frame:0 "X packets:1../ errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txOueuelen:0 RX b2tes:1()10( (1((!1 Qi9) "X b2tes:1()10( (1((!1 Qi9) Utce pin* para comprobar s acaso hay aguna respuesta desde a nterfaz vrtua et'0,0. ping -c. 1-(!16,.1.101 Lo anteror debe devover una sada smar a a sguente: 161 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux C<7* 1-(!16,!1!101 (1-(!16,!1!101) )6(,+) b2tes of data! --- 1-(!16,!1!101 ping statistics --- . packets transmitted= 0 received= 100& packet loss= time 1---ms Confgure, a travs de ifconfi*X os parmetros de a nterfaz vrtua et'0,0. S a sntaxs fue correcta, e sstema no deber devover mensa|e aguno. ifconfig eth0:0 1-(!16,!1!101 netmask ())!0!0!0 Utce pin* para comprobar que haya respuesta desde a nterfaz vrtua et'0,0. ping -c. 1-(!16,.1.101 Lo anteror debe devover una sada smar a a sguente: C<7* 1-(!16,!1!101 (1-(!16,!1!101) )6(,+) b2tes of data! 6+ b2tes from 1-(!16,!1!101: icmp5seO30 ttl36+ time30!+). ms 6+ b2tes from 1-(!16,!1!101: icmp5seO31 ttl36+ time30!.6, ms 6+ b2tes from 1-(!16,!1!101: icmp5seO3( ttl36+ time30!.+/ ms --- 1-(!16,!1!101 ping statistics --- . packets transmitted= . received= 0& packet loss= time 1---ms rtt min/avg/max/mdev 3 0!.+//0!.,-/0!+)./0!0+, ms= pipe ( Vsuace as nterfaces de red actvas en e sstema. ifconfig Lo anteror debe devover una sada smar a a sguente, donde se mostrar que est actva a nterfaz et'0,0 |unto con a nterfaz et'0 y a correspondente a retorno de sstema (oopback): 162 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux eth0 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0) inet addr:1-(!16,!0!101 9cast:1-(!16,!0!()) 'ask:())!())!())!0 $C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1 RX packets:(+/,+ errors:0 dropped:0 overruns:0 frame:0 "X packets:(..66 errors:0 dropped:0 overruns:0 carrier:0 collisions:11( txOueuelen:1000 RX b2tes:1).(..1/ (1+!6 'i9) "X b2tes:)/-+(,, ()!) 'i9) <nterrupt:11 9ase address:0xd000 e!030 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0) inet addr:1-(!16,.1.101 9cast:1-(!16,.1.()) 'ask:())!())!())!0 $C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1 <nterrupt:11 9ase address:0xd000 lo ;ink encap:;ocal ;oopback inet addr:1(/!0!0!1 'ask:())!0!0!0 $C ;88C96AQ R$77<7* '"$:16+.6 'etric:1 RX packets:1../ errors:0 dropped:0 overruns:0 frame:0 "X packets:1../ errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txOueuelen:0 RX b2tes:1()10( (1((!1 Qi9) "X b2tes:1()10( (1((!1 Qi9) Rence e servco de red. service net1ork restart Utce pin* para comprobar s an hay respuesta desde a nterfaz vrtua et'0,0. ping -c. 1-(!16,.1.101 Lo anteror debe devover una sada smar a a sguente: C<7* 1-(!16,!1!101 (1-(!16,!1!101) )6(,+) b2tes of data! --- 1-(!16,!1!101 ping statistics --- . packets transmitted= 0 received= 100& packet loss= time 1---ms Vsuace as nterfaces de red actvas en e sstema. ifconfig Lo anteror debe devover una sada smar a a sguente, donde se mostrar que ya no est actva a nterfaz et'0,0, y so se muestran actvas a nterfaz et'0 y a correspondente a retorno de sstema (oopback): 163 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux eth0 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0) inet addr:1-(!16,!0!101 9cast:1-(!16,!0!()) 'ask:())!())!())!0 $C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1 RX packets:(+/,+ errors:0 dropped:0 overruns:0 frame:0 "X packets:(..66 errors:0 dropped:0 overruns:0 carrier:0 collisions:11( txOueuelen:1000 RX b2tes:1).(..1/ (1+!6 'i9) "X b2tes:)/-+(,, ()!) 'i9) <nterrupt:11 9ase address:0xd000 lo ;ink encap:;ocal ;oopback inet addr:1(/!0!0!1 'ask:())!0!0!0 $C ;88C96AQ R$77<7* '"$:16+.6 'etric:1 RX packets:1../ errors:0 dropped:0 overruns:0 frame:0 "X packets:1../ errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txOueuelen:0 RX b2tes:1()10( (1((!1 Qi9) "X b2tes:1()10( (1((!1 Qi9) Para hacer permanente a nterfaz de red vrtua en et'0,0 utce un edtor de texto e fchero /etc/s2sconfi*/netMorL)scripts/ifcf*)et'0,0 y ponga e sguente contendo N^(espete ma21sculas 2 min1sculas_C: %:P<A:3eth0:0 <C6%%R31-(!16,!1!101 7:"'6Q3())!())!())!0 Rence e servco de red. service net1ork restart Vsuace as nterfaces de red actvas en e sstema. ifconfig Lo anteror debe devover una sada smar a a sguente, donde nuevamente se mostrar que est actva a nterfaz et'0,0 |unto con a nterfaz et'0 y a correspondente a retorno de sstema (oopback): 164 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux eth0 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0) inet addr:1-(!16,!0!101 9cast:1-(!16,!0!()) 'ask:())!())!())!0 $C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1 RX packets:(+/,+ errors:0 dropped:0 overruns:0 frame:0 "X packets:(..66 errors:0 dropped:0 overruns:0 carrier:0 collisions:11( txOueuelen:1000 RX b2tes:1).(..1/ (1+!6 'i9) "X b2tes:)/-+(,, ()!) 'i9) <nterrupt:11 9ase address:0xd000 e!030 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0) inet addr:1-(!16,.1.101 9cast:1-(!16,.1.()) 'ask:())!())!())!0 $C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1 <nterrupt:11 9ase address:0xd000 lo ;ink encap:;ocal ;oopback inet addr:1(/!0!0!1 'ask:())!0!0!0 $C ;88C96AQ R$77<7* '"$:16+.6 'etric:1 RX packets:1../ errors:0 dropped:0 overruns:0 frame:0 "X packets:1../ errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txOueuelen:0 RX b2tes:1()10( (1((!1 Qi9) "X b2tes:1()10( (1((!1 Qi9) Utce pin* para comprobar que haya respuesta desde a nterfaz vrtua et'0,0. ping -c. 1-(!16,.1.101 Lo anteror debe devover una sada smar a a sguente: C<7* 1-(!16,!1!101 (1-(!16,!1!101) )6(,+) b2tes of data! 6+ b2tes from 1-(!16,!1!101: icmp5seO30 ttl36+ time30!+). ms 6+ b2tes from 1-(!16,!1!101: icmp5seO31 ttl36+ time30!.6, ms 6+ b2tes from 1-(!16,!1!101: icmp5seO3( ttl36+ time30!.+/ ms --- 1-(!16,!1!101 ping statistics --- . packets transmitted= . received= 0& packet loss= time 1---ms rtt min/avg/max/mdev 3 0!.+//0!.,-/0!+)./0!0+, ms= pipe ( La nterfaz et'0,0 estar actva a sguente vez que nce e sstema operatvo con a dreccn IP y mscara de subred asgnados. 165 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 2+% $mo confi*urar un servidor "H$< en una L=N Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 2+%+% Introduccin "H$< (acrnmo de "ynamc Host $onfguraton <rotoco que se traduce como Protocoo de confguracn dnmca de servdores) es un protocoo que permte a dspostvos ndvduaes en una red de dreccones IP obtener su propa nformacn de confguracn de red (dreccn IP; mscara de subred, puerta de enace, etc.) a partr de un servdor DHCP. Su propsto prncpa es hacer ms fces de admnstrar as redes grandes. "H$< exste desde 1993 como protocoo estndar y se descrbe a detae en e RFC 2131. Sn a ayuda de un servdor "H$<, tendra que confgurarse de forma manua cada dreccn IP de cada anftrn que pertenezca a una Red de Area Loca. S un anftrn se trasada haca otra ubcacn donde exste otra Red de Area Loca, se tendr que confgurar otra dreccn IP dferente para poder unrse a esta nueva Red de Area Loca. Un servdor "H$< entonces supervsa y dstrbuye as dreccones IP de una Red de Area Loca asgnando una dreccn IP a cada anftrn que se una a a Red de Area Loca. Cuando, por menconar un e|empo, una computadora portt se confgura para utzar "H$<, a sta e ser asgnada una dreccn IP y otros parmetros de red necesaros para unrse a cada Red de Area Loca donde se ocace. Exsten tres mtodos de asgnacn en e protocoo "H$<: =si*nacin manual: La asgnacn utza una taba con dreccones :=$ (acrnmo de :eda =ccess $ontro =ddress, que se traduce como dreccn de Contro de Acceso a Medo). So os anftrones con una dreccn :=$ defnda en dcha taba recbrn e IP asgnada en a msma taba. sto se hace a travs de os parmetros 'ardMare et'ernet y fixed)address. =si*nacin autom;tica: Una dreccn de IP dsponbe dentro de un rango determnado se asgna permanentemente a anftrn que a requera. =si*nacin din;mica: Se determna arbtraramente un rango de dreccones IP y cada anftrn conectado a a red est confgurada para soctar su dreccn IP a servdor cuando se nca e dspostvo de red, utili8ando un intervalo de tiempo controlable (parmetros default)lease)time y max)lease)time) de modo que as dreccones IP no son permanentes y se reutzan de forma dnmca. 2+%2% Sustento l*ico necesario% Se requere nstaar e paquete dhcp, e cua deber estar ncudo en os dscos de nstaacn de a mayora de as dstrbucones. 166 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 2um -2 install dhcp S se utza Red Hat Enterprse Lnux, so bastar reazar o sguente para nstaar o actuazar e sustento gco necesaro: up(date -i dhcp 2+%3% 7ic'ero de confi*uracin Consderando como e|empo que se tene una red oca con as sguentes caracterstcas: Nmero de red 192.168.0.0 Mscara de subred: 255.255.255.0 Puerta de enace: 192.168.0.1 Servdor de nombres: 192.168.0.1, 148.240.241.42 y 148.240.241.10 Servdor Wns: 192.168.0.1 Servdores de tempo: 66.187.224.4 y 66.187.233.4 Rango de dreccones IP a asgnar de modo dnmco: 192.168.0.11- 192.168.0.199 N0>=, Es ndspensabe conocer 2 entender perfectamente todo o anteror para poder contnuar con este manua. Puede utzar e sguente contendo para crear desde cero e fchero /etc/d'cpd%conf. ddns-update-st2le interimN ignore client-updatesN shared-net1ork miredlocal R subnet 1-(!16,!0!0 netmask ())!())!())!0 R option routers 1-(!16,!0!1N option subnet-mask ())!())!())!0N option broadcast-address 1-(!16,!0!())N option domain-name Gre*lo+)l.ne!GN option domain-name-servers 1-(!16,!0!1= 1+,!(+0!(+1!+(= 1+,!(+0!(+1!10N option netbios-name-servers 1-(!16,!0!1N option ntp-servers 66!1,/!((+!+= 66!1,/!(..!+N range 1-(!16,!0!11 1-(!16,!0!1--N default-lease-time (1600N max-lease-time +.(00N S host m(). R option host-name Gm().!redlocal!netGN hard1are ethernet 00:)0:9X:(/:1A:1AN fixed-address 1-(!16,!0!().N S host m()+ R option host-name Gm()+!redlocal!netGN hard1are ethernet 00:01:0.:%A:6/:(.N fixed-address 1-(!16,!0!()+N S S 167 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Una buena medda de segurdad es hacer que e servco de d'cpd so funcone a travs de a nterfaz de red utzada por a LAN; o anteror en e caso de contar con mtpes dspostvos de red. Edte e fchero /etc/s2sconfi*/d'cpd y agregue como argumento de parmetro "H$<"=(GS e vaor et'0, et'+, et'2, etc., o o que corresponda. E|empo, consderando que et'0 es a nterfaz correspondente a a LAN: L Aommand line options here %BAC%6R*3eth0 Para e|ecutar por prmera vez e servco, e|ecute: /sbin/service dhcpd start Para hacer que os cambos hechos a a confguracn surtan efecto, e|ecute: /sbin/service dhcpd restart Para detener e daemon, e|ecute: /sbin/service dhcpd stop Para aadr d'cpd a arranque de sstema, e|ecute: /sbin/chkconfig dhcpd on Hecho o anteror so bastar con confgurar como nterfaces DHCP as estacones de traba|o que sean necesaras sn mportar qu sstema operatvo utcen. 168 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 22% $mo confi*urar vsftpd NPer2 Secure 7>< "aemonC Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 22%+% Introduccin% FTP (7e >ransfer <rotoco) o Protocoo de Transferenca de Archvos (o fcheros nformtcos) es uno de os protocoos estndar ms utzados en Internet e e ms dneo para a transferenca de grandes boques de datos a travs de redes que soporten TCP/IP. E servco utza os puertos 20 y 21, excusvamente sobre TCP. E puerto 20 es utzado para e fu|o de datos entre cente y servdor. E puerto 21 es utzando para e envo de rdenes de cente haca e servdor. Prctcamente todos os sstemas operatvos y pataformas ncuyen soporte para FTP, o que permte que cuaquer computadora conectada a una red basada sobre TCP/IP pueda hacer uso de este servco a travs de un cente FTP. VSFTPD (Pery Secure 7>< "aemon) es un sustento gco utzado para mpementar servdores de archvos a travs de protocoo FTP. Se dstngue prncpamente porque sus vaores por defecto son muy seguros y por su sencez en a confguracn, comparado con otras aternatvas como Wu-ftpd. Actuamente se presume que VSFTPD es quz e servdor FTP ms seguro de mundo. 22%2% Sustento l*ico necesario% 2um -2 install vsftpd 22%3% 7ic'eros de confi*uracin% /etc/vsftpd!user5list Lsta que defnr usuaros a en|auar o no a en|auar, dependendo de a confguracn. /etc/vsftpd/vsftpd!conf Fchero de confguracn. 22%4% <rocedimientos% Utce un edtor de texto y modfque e fchero /etc/vsftpd/vsftpd%conf. A contnuacn anazaremos os parmetros a modfcar o aadr, segn serequera para necesdades partcuares. 22%4%+% <ar;metro anon2mousQenable% Se utza para defnr s se permtrn os accesos annmos a servdor. Estabezca como vaor ZES o N0 de acuerdo a o que se requera. 169 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux anon2mous5enable3\: 22%4%2% <ar;metro localQenable% Es partcuarmente nteresante s se combna con a funcn de |aua (c'root). Estabece s se van a permtr os accesos autentcados de os usuaros ocaes de sstema. Estabezca como vaor ZES o N0 de acuerdo a o que se requera. local5enable3\: 22%4%3% <ar;metro MriteQenable% Estabece s se permte e mandato Mrite (escrtura) en e servdor. Estabezca como vaor ZES o N0 de acuerdo a o que se requera. 1rite5enable3\: 22%4%4% <ar;metro ftpdQbanner% Este parmetro srve para estabecer e bandern de benvenda que ser mostrado cada vez que un usuaro acceda a servdor. Puede estabecerse cuaquer frase breve que consdere convenente. ftpd5banner39ienvenido al servidor X"C de nuestra empresa! 22%4%5% Estableciendo -aulas para los usuarios, par;metros c'rootQlocalQuser 2 c'rootQlistQfile% De modo predetermnado os usuaros de sstema que se autentquen tendrn acceso a otros drectoros de sstema fuera de su drectoro persona. S se desea recur a os usuaros a soo poder utzar su propo drectoro persona, puede hacerse fcmente con e parmetro c'rootQlocalQuser que habtar a funcn de c'rootNC y os parmetros chroot_st_enabe y chroot_st_fe para estabecer e fchero con a sta de usuaros que quedarn excudos de a funcn c'rootNC. chroot5local5user3\: chroot5list5enable3\: chroot5list5file3/etc/vsftpd/vsftpd!chroot5list Con o anteror, cada vez que un usuaro oca se autentque en e servdor FTP, soo tendr acceso a su propo drectoro persona y o que este contenga. No olvide crear el fic'ero /etc/vsftpd/vsftpd%c'rootQlistX 2a Gue de otro modo no arrancar; el servicio vsftpd. touch /etc/vsftpd/vsftpd!chroot5list 22%4%6% $ontrol del anc'o de banda% 22%4%6%+% <ar;metro anonQmaxQrate% Se utza para mtar a tasa de transferenca en bytes por segundo para os usuaros annmos, ago sumamente t en servdores FTP de acceso pbco. En e sguente e|empo se mta a tasa de transferenca a 5 Kb por segundo para os usuaros annmos: 170 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux anon_max_rate=5120 22%4%6%2% <ar;metro localQmaxQrate% Hace o msmo que anon_max_rate, pero apca para usuaros ocaes de servdor. En e sguente e|empo se mta a tasa de transferenca a 5 Kb por segundo para os usuaros ocaes: oca_max_rate=5120 22%4%6%3% <ar;metro maxQclients% Estabece e nmero mxmo de centes que podrn acceder smutneamente haca e servdor FTP. En e sguente e|empo se mtar e acceso a 5 centes smutneos. max_cents=5 22%4%6%4% <ar;metro maxQperQip% Estabece e nmero mxmo de conexones que se pueden reazar desde una msma dreccn IP. Tome en cuenta que agunas redes acceden a travs de un servdor proxy o puerta de enace y debdo a esto podran quedar boqueados nnecesaramente agunos accesos. en e sguente e|empo se mta e nmero de conexones por IP smutneas a 5. max_per_p=5 22%5% =plicando los cambios% A dferenca de otros servcos FTP, VSFTPD no requere confgurarse como servco sobre demanda. Por o tanto no depende de servco xinetd. La versn ncuda en dstrbucones como Red Hat&trae; Enterprse Lnux 3.0 y Whte Box Enterprse Lnux 3.0 puede ncazarse, detenerse o rencazarse a travs de un gun smar a os de resto de sstema. De modo ta, podr ncazarse, detenerse o rencazarse a travs de mandato service y aadrse a arranque de sstema en un nve o nvees de corrda en partcuar con e mandato c'Lconfi*. Para e|ecutar por prmera vez e servco, utce: service vfstpd start Para hacer que os cambos hechos a a confguracn surtan efecto, utce: service vsftpd restart Para detener e servco, utce: service vsftpd stop Para aadr VSFTPD a arranque de sstema en todos os nvees de corrda, utce: chkconfig vsftpd on 171 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 22%6% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr os puerto 20 y 21 por TCP (7><)"=>= y 7><, respectvamente). Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp (0=(1 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 172 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 23% $mo confi*urar 0penSSH Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 23%+% Introduccin% 23%+%+% =cerca de SSH% SSH (Secure S'e) es un con|unto de estndares y protocoo de red que permte estabecer una comuncacn a travs de un cana seguro entre un cente oca y un servdor remoto. Utza una cave pbca cfrada para autentcar e servdor remoto y, opconamente, permtr a servdor remoto autentcar a usuaro. SSH provee confdencadad e ntegrdad en a transferenca de os datos utzando crptografa y :=$ (:essage =uthentcaton $odes, o Cdgos de Autentcacn de Mensa|e). De modo predetermnado, escucha petcones a travs de puerto 22 por TCP. 23%+%2% =cerca de S7><% S7>< (SSH 7e >ransfer <rotoco) es un protocoo que provee funconadad de transferenca y manpuacn de fcheros a travs de un fu|o confabe de datos. Comnmente se utza con SSH para proveer a ste de transferenca segura de fcheros. 23%+%3% =cerca de S$<% S$< (Secure $opy, o Copa Segura) es una protcoo seguro para transferr fcheros entre un anftrn oca y otro remoto, a travs de SSH. Bscamente, es dntco a ($< ((emote $opy, o Copa Remota), con a dferenca de que os datos son cfrados durante a transferenca para evtar a extraccn potenca de nformacn a travs de programas de captura de as tramas de red (pacLet sniffers). S$< soo mpementa a transferenca de fcheros, pues a autentcacn requerda es reazada a travs de SSH. 23%+%4% =cerca de 0penSSH% 0penSSH (0pen Secure S'e) es una aternatva de cdgo aberto, con licencia !S", haca a mpementacn propetara y de cdgo cerrado SSH creada por Tatu Ynen. 0penSSH es un proyecto creado por e equpo de desarroo de OpenBSD y actuamente drgdo por Theo de Raadt. Se consdera es ms segura que su contraparte propetara debdo a a constante audtora que se reaza sobre e cdgo fuente por parte de una gran comundad de desarroadores, una venta|a que brnda a tratarse de un proyecto de fuente aberta. OpenSSH ncuye servco y centes para os protocoos SSH, S7>< y S$<. URL: http://www.openssh.org/. 173 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 23%2% Sustento l*ico necesario% openssh-3.5p1-6 openssh-cents-3.5p1-6 openssh-server-3.5p1-6 Antes de contnuar verfque sempre a exstenca de posbes actuazacones de segurdad: 2um -2 install openssh openssh-server openssh-clients 23%3% 7ic'eros de confi*uracin% /etc/ssh/sshd_confg Fchero centra de confguracn de servco SSH. 23%4% <rocedimientos% Edte /etc/ss'/ss'dQconfi*. A contnuacn se anazarn os parmetros a modfcar. 23%4%+% <ar;metro <ort% Una forma de eevar consderabemente a segurdad a servco de SSH, es cambar e nmero de puerto utzado por e servco, por otro que soo conozca e admnstrador de sstema. A este tpo de tcncas se es conoce como Se*uridad por 0scuridad. La mayora de os dencuentes nformtcos utza guones que buscan servdores que respondan a petcones a travs de puerto 22. Cambar de puerto e servco de SSH dsmnuye consderabemente a posbdad de una ntrusn a travs de este servco. Cort (( SSH traba|a a travs de puerto 22 por TCP. Puede eegrse cuaquer otro puerto entre e 1025 y 65535. e|empo: Cort )(.+1 23%4%2% <ar;metro Listen=ddress% Por defecto, e servco de SSH responder petcones a travs de todas as nterfaces de sstema. En agunos casos es posbe que no se desee esto y se prefera mtar e acceso so a travs de una nterfaz a a que so se pueda acceder desde a red oca. Para ta fn puede estabecerse o sguente, consderando que e servdor a confgurar posee a IP +S2%+69%+%254: ;isten6ddress 1-(!16,!1!()+ 23%4%3% <ar;metro <ermit(ootLo*in% Estabece s se va a permtr e acceso drecto de usuaro root a servdor SSH. S se va a permtr e acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e vaor no. 174 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux CermitRoot;ogin no 23%4%4% <ar;metro E++7orMardin*% Estabece s se permte o no a e|ecucn remota de apcacones grfcas. S se va a acceder haca e servdor desde red oca, este parmetro puede quedarse con e vaor 2es. S se va a permtr e acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e vaor no. X11Xor1arding 2es 23%4%5% <ar;metro =lloMUsers% Permte restrngr e acceso por usuaro y, opconamente, anftrn desde e cua pueden hacero. E sguente e|empo restrnge e acceso haca e servdor SSH para que soo puedan hacero os usuaros fuano y mengano, desde cuaquer anftrn. 6llo1$sers fulano mengano Permte restrngr e acceso por usuaro y, opconamente, anftrn desde e cua pueden hacero. E sguente e|empo restrnge e acceso haca e servdor SSH para que soo puedan hacero os usuaros fuano y mengano, soamente desde os anftrones 10.1.1.1 y 10.2.2.1. QllowBsers fulano1(M.(.(.( men"ano1(M.(.(.( fulano1(M.2.2.( men"ano1(M.2.2.( 23%5% =plicando los cambios% E servco de SSH puede ncar, detenerse o rencar a travs de un gun smar a os de resto de sstema. De ta modo, podr ncar, detenerse o rencar a travs de mandato service y aadrse a arranque de sstema en un nve o nvees de corrda en partcuar con e mandato c'Lconfi*. Para e|ecutar por prmera vez e servco, utce: service sshd start Para hacer que os cambos hechos a a confguracn surtan efecto, utce: service sshd restart Para detener e servco, utce: service sshd stop De forma predetermnada, e servco SSH est ncudo en todos os nvees de corrda con servco de red. Para desactvar e servco Sshd de os nvees de corrda 2, 3, 4 y 5, e|ecute: chkconfig --level (.+) sshd off 175 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 23%6% <robando 0penSSH% 23%6%+% =cceso a travFs de intFrprete de mandatos% Para acceder a travs de ntrprete de mandatos haca e servdor, basta con e|ecutar desde e sstema cente e mandato ss' defnendo e usuaro a utzar y e servdor a cua conectar: ssh usuarioTservidor Para acceder haca un puerto en partcuar, se utza e parmetro )p. En e sguente e|empo, utzando a cuanta de usuaro -uan, se ntentar acceder haca e servdor con dreccn IP +S2%+69%0%SS, e cua tene un servco de SSH que responde petcones a travs de puerto 52341. ssh -p )(.+1 EuanT1-(!16,!0!-- 23%6%2% >ransferencia de fic'eros a travFs de S7><% Para acceder a travs de S7>< haca e servdor, basta con e|ecutar desde e sstema cente e mandato sftp defnendo e usuaro a utzar y e servdor a cua conectar: sftp usuarioTservidor E ntrprete de mandatos de S7>< es muy smar a utzado para e protocoo FTP y tene as msmas funconadades. Para acceder haca un puerto en partcuar, en e cua est traba|ando e servco de SSH, se hace travs de e parmetro )o, con a opcn <ortTn1mero de puerto. En e sguente e|empo, utzando a cuenta de usuaro -uan, se acceder a travs de S7>< haca e servdor 192.168.0.99, e cua tene traba|ando e servco de SSH en e puerto 52341. sftp -o Cort3)(.+1 EuanT1-(!16,!0!-- S dspone de un escrtoro en GNU/Lnux, con GNOME 2.x, puede acceder haca servdores SSH a travs de protocoo S7>< utzando e admnstrador de fcheros (Nautilus) para reazar transferencas y manpuacn de fcheros, especfcando e U(I (Unform (esource Locator o Locazador Unforme de Recursos) Isftp,J, segudo de servdor y a ruta haca a que se quere acceder, segudo de puerto, en e caso que sea dstnto a 22. 176 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Nautus, accedendo haca un drectoro remoto a travs de S7><. 23%6%3% >ransferencia de fic'eros a travFs de S$<% Para reazar transferencas de fcheros a travs de S$<, es necesaro conocer as rutas de os drectoros ob|etvo de anftrn remoto. A contnuacn se descrben agunas de as opcones ms mportantes de mandato scp. )p Preserva e tempo de modfcacn, tempos de acceso y os modos de fchero orgna. )< Especfca e puerto para reazar a conexn. )r Copa recursvamente os drectoros especfcados. En e sguente e|empo, se transferr e fchero al*o%txt, preservando tempos y modos, haca e drectoro de nco de usuaro fuano en e servdor 192.169.0.99. scp -p algo!txt fulanoT1-(!16,!0!--:M/ En e sguente e|empo, se transferr a carpeta :ail, |unto con todo su contendo, preservando tempos y modos, 'acia e drectoro de nco de usuaro fuano en e servdor 192.169.0.99. scp -rp 'ail fulanoT1-(!16,!0!--:M/ En e sguente e|empo, se transferr a carpeta :ail, |unto con todo su contendo, desde e drectoro de nco de usuaro fuano en e servdor 192.169.0.99, cuyo servco de SSH escucha petcones a travs de puerto 52341, preservando tempos y modos, haca e drectoro de usuaro con e que se est traba|ando en e anftrn oca. 177 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux scp -C )(.+1 -rp fulanoT1-(!16,!0!--:M/'ail !/ 23%7% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr e puerto 22 por UDP (SSH). Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp (( L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necearo abrr e puerto correspondente. L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp (( 8??$-> lo+ 2w !+p 22 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 178 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 24% $mo utili8ar 0penSSH con autenticacin a travFs de clave p1blica% Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 24%+% Introduccin% Utzar caves pbcas en ugar de caves de acceso a travs de servcos como SSH, S$< o S7><, resuta una tcnca ms segura para autentcar dchos servcos, factando tambn a operacn de guones y herramentas de respado que utzan dchos protocoos. 24%2% <rocedimientos 24%2%+% :odificaciones en el Servidor% Conectarse con a cuenta que se utzar para acceder a servdor. Cmo ese usuaro, y reazar as sguentes operacones para crear e fchero R/%ss'/aut'ori8edQLe2s y asgnar a ste permso de acceso 600 (soo ectura y escrtura para e usuaro): ssh usuarioTservidor mkdir -m 0/00 M/!ssh/ touch M/!ssh/authori4ed5ke2s chmod 600 M/!ssh/authori4ed5ke2s 24%2%2% :odificaciones en el $liente% 24%2%2%+% Generar clave p1blica% Se debe generar una cave pbca creada con "S= ("gta Sgnature =gorthm o Agortmo de Frma dgta). Si se desea no utili8ar clave de acceso para autenticarX solo se pulsa la tecla EN>E(. S asgna cave de acceso, est ser utzada para autentcar e certfcado creado cada vez que se quera utzar ste para autentcar remotamente. ssh-ke2gen -t dsa E procedmento devueve una sada smar a a sguente: *enerating public/private dsa ke2 pair! :nter file in 1hich to save the ke2 (/home/usuario/!ssh/id5dsa): :nter passphrase (empt2 for no passphrase): :nter same passphrase again: \our identification has been saved in /home/usuario/!ssh/id5dsa! 179 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux \our public ke2 has been saved in /home/usuario/!ssh/id5dsa!pub! "he ke2 fingerprint is: (c:/.:.0:fe:)(:(1:a):,(:/,:+-:)/:cd:./:af:.6:df usuarioTcliente Lo anteror genera os fcheros os fcheros R/%ss'/idQdsa y R/%ss'/idQdsa%pub, os cuaes deben tener permso de acceso 600 (soo ectura y escrtura para e usuaro). chmod 600 M/!ssh/ Se debe copar e contendo de a ave pbca "S= (idQdsa%pub) a fchero R/%ss'/aut'ori8edQLe2s de usuaro a utzar en servdor en donde se va a autentcar. cat M/!ssh/id5dsa!pub D W ssh usuarioTservidor D Gcat HH M/!ssh/authori4ed5ke2sG Para poder acceder a servdor desde cuaquer cente, basta copar os fcheros idQdsa y idQdsa%pub dentro de R/%ss'/, de a cuenta de usuaro de cada cente desde e que se requera reazar conexn haca e servdor. Tendr mpcacones de segurdad muy seras s e fchero idQdsa cae en manos equvocadas o se ve comprometdo, por tanto, dcho fchero deber ser consderado como atamente confdenca. 24%2%3% $omprobaciones% S no fue asgnada cave de acceso para a ave "S=, deber poderse acceder haca e servdor remoto sn necesdad de autentcar con cave de acceso de usuaro remoto. S fue asgnada una cave de acceso a a cave "S=, se podr acceder haca e servdor remoto autentcando con a cave de acceso defnda a a cave "S=, y sn necesdad de autentcar con cave de acceso de usuaro remoto. 180 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 25% $mo confi*urar 0penSSH con $'root Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 25%+% Introduccin% SSH es un protocoo que permte reazar transferencas seguras a travs de un tne seguro donde toda a nformacn trasmtda va cfrada. Sn embargo, SSH potencamente se puede vover un arma de dos fos s una cuenta de usuaro se ve comprometda. Confgurar un sstema con OpenSSH con soporte para Chroot brnda una mayor segurdad a asar a os usuaros dentro de un entorno separado de sstema prncpa, con un mnmo de herramentas para traba|ar y que dsmnuye os resgos potencaes en caso de verse comprometda aguna cuenta. Este manua consdera e ector utza Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4. 25%2% <rocedimientos Se requere nstaar os paquetes se OpenSSH modfcados con e parche dsponbe en http://chrootssh.sourceforge.net/ y que estn dsponbes a travs de Lnux Para Todos. Los sguentes son os componentes mnmos de a |aua: /bin/sh /bin/cp /bin/false /bin/ls /bin/mv /bin/p1d /bin/rm /bin/rmdir /bin/sh /bin/true /etc/group /etc/pass1d /lib/ld-linux!so!( /lib/libacl!so!1 /lib/libattr!so!1 /lib/libc!so!6 /lib/libcom5err!so!( /lib/libcr2pt!so!1 /lib/libcr2pto!so!+ /lib/libdl!so!( /lib/libnsl!so!1 /lib/libpthread!so!0 181 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux /lib/libresolv!so!( /lib/librt!so!1 /lib/libselinux!so!1 /lib/libtermcap!so!( /lib/libutil!so!1 /usr/lib/lib4!so!1 /usr/lib/libgssapi5krb)!so!( /usr/lib/libk)cr2pto!so!. /usr/lib/libkrb)!so!. /usr/libexec/openssh/sftp-server /sbin/nologin Es decr, s se requere utzar /bin/sh, y suponendo se utza /chroot/ como drectoro raz para a |aua, se debe copar dentro de ste como /chroot/bin/sh, s se requere /li%/libtermcap.so.2 se debe copar como /chroot/li%/libtermcap.so.2, s se requere /usr/libexec/openssh/sftp'server se debe copar como /chroot/usr/libexec/openssh/sftp'server, y as sucesvamente. Cuaquer otra herramenta que se quera agregar so requere que estn presentes dentro de a |aua as bbotecas correspondentes. stas se determnan a travs de mandato ldd apcado sobre a herramenta que se quere utzar. Por e|empo, s se quere aadr e mandato more a a |aua, prmero se determna qu bbotecas requere para funconar: ldd /bin/more Lo anteror devueve ago como o sguente: libtermcap!so!( 3H /lib/libtermcap!so!( (0x00bea000) libc!so!6 3H /lib/tls/i),6/libc!so!6 (0x00)1)000) /lib/ld-linux!so!( (0x00+fe000) Lo anteror sgnfca que para poder utzar more dentro de a |aua debern estar presentes dentro de sta y en e drectoro subordnado lib/ as bbotecas btermcap.so.2, bc.so.6 y d-nux.so.2. Los fcheros /etc/"roup y /etc/passwd so necestan contener a nformacn de os usuaros que nterese en|auar as como a ruta relativa a drectoro donde se encuentra a |aua de sus drectoros de nco (es decr, se defne /'ome/usuario, suponendo que reamente se ocaza en /var/www/sitiocliente/home/usuario). Es indispensable Gue se encuentre presente esta informacin dentro de la -aula o de otro modo no ser posbe reazar e ngreso a sstema. 25%2%0%+% E-emplo del contenido de /etc/passMd dentro de la -aula usuario:x:)0.:)0.::/home/usuario:/bin/bash 25%2%0%2% E-emplo del contenido de /etc/*roup dentro de la -aula usuario:x:)0.: Aunque no de todo ndspensabe para utzar OpenSSH con Chroot, es buena dea crear os sguente nodos dentro de a |aua: mkdir dev mknod -m 0666 dev/tt2 c ) 0 182 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux mknod -m 06++ dev/urandom c 1 - mknod -m 0666 dev/null c 1 . mknod -m 0666 dev/4ero c 1 1( So root podr modfcar a estructura de a |aua y su contendo. E ob|eto es permtr e acceso por SSH/SFTP a un entorno asado de sstema prncpa. Adconamente s se confgura e servco de FTP con |auas, se podr acceder ndstntamente por FTP, SSH o SFTP. 25%3% E-emplo pr;ctico, Vamos a suponer que se tene un cente, y ste ha soctado servco de hospeda|e para su sto de red a travs de HTTP. E cente quere dos usuaros dferentes para subr dstnto contendo a sto de red. Los usuaros sern fuano y mengano. E domno a admnstrar sera empresa-e|empo.com, que ser admnstrado excusvamente por fuano, y se quere un sub-domno denomnado ventas.empresa-e|empo.com que ser admnstrado por mengano. 25%3%+% $rear las cuentas de los usuarios Se crea e drectoro /var/www/empresa-e|empo.com y se copa a estructura de a |aua antes menconada dentro de drectoros subordnados reatvos a /var/www/empresa-e|empo.com, tenendo cudado de de|ar a root como propetaro, a fn de mpedr que os usuaros puedan borrar agn drectoro subordnado de nteror. Se crean as cuentas de os dos usuaros, tomando en cuenta que s se asgna /sbn/noogn o /bn/fase como ntrprete de mandatos, se podr acceder por FTP pero no se podr acceder por SSH o SFTP, y s se asgna /usr/bexec/openssh/sftp-server, so se podr acceder por SFTP. S se asgna /bn/sh como ntrprete de mandatos, se podr acceder por SSH, SFTP y FTP. useradd -s /bin/sh -d /var/111/empresa-eEemplo!com/!/ fulano mkdir /var/111/empresa-eEemplo!com cho1n root!apache /var/111/empresa-eEemplo!com pass1d fulano useradd -s /bin/sh -m -d /var/111/empresa-eEemplo!com/!/ventas mengano mkdir /var/111/empresa-eEemplo!com/ventas cho1n root!apache /var/111/empresa-eEemplo!com/ventas pass1d mengano Note que os drectoros de nco pertenecen a root. De este modo se mpde que e usuaro pueda borrar drectoros subordnados reatvos que se utzarn para guardar as btcoras de Apache. Suponendo que fuano tene UID 513 y mengano tene UID 514, e fchero /var/www/empresa- e|empo.com/etc/passwd debera tener o sguente: fulano:x:)1.:)1.::/var/111/empresa-eEemplo!com/!/home/fulano:/bin/sh mengano:x:)1+:)1+::/var/111/empresa-eEemplo!com/!/home/mengano:/bin/sh E fchero /var/www/empresa-e|empo.com/etc/group debera tener o sguente: apache:x:+,: fulano:x:)1.: mengano:x:)1+: 183 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 25%3%2% $onfi*uracin de =pac'e E domno www.empresa-e|empo.com se confgurar de sguente modo: VPirtualBost J:,0H erver7ame 111!empresa-eEemplo!com erver6lias empresa-eEemplo!com %ocumentRoot /var/111/empresa-eEemplo!com/html :rror;og /var/111/empresa-eEemplo!com/logs/error5log Austom;og /var/111/empresa-eEemplo!com/logs/access5log combined V%irector2 G/var/111/empresa-eEemplo!com/html/GH 8ptions <ndexes <ndexes <ncludes 6llo18verrride all V/%irector2H V/PirtualBostH Los drectoros necesaros se crearn de sguente modo con sguentes permsos: mkdir /var/111/empresa-eEemplo!com cho1n root!apache /var/111/empresa-eEemplo!com mkdir -p /var/111/empresa-eEemplo!com/html cho1n fulano!apache /var/111/empresa-eEemplo!com/html mkdir -p /var/111/empresa-eEemplo!com/configs cho1n fulano!apache /var/111/empresa-eEemplo!com/configs E sub-domno ventas.empresa-e|empo.com se confgurar de sguente modo: VPirtualBost J:,0H erver7ame ventas!empresa-eEemplo!com %ocumentRoot /var/111/empresa-eEemplo!com/ventas/html :rror;og /var/111/empresa- eEemplo!com/ventas/logs/error5log Austom;og /var/111/empresa- eEemplo!com/ventas/logs/access5log combined V%irector2 G/var/111/empresa-eEemplo!com/ventas/html/GH 8ptions <ndexes <ndexes <ncludes 6llo18verrride all V/%irector2H V/PirtualBostH Los drectoros necesaros se crearn de sguente modo con sguentes permsos: mkdir /var/111/empresa-eEemplo!com/ventas cho1n root!apache /var/111/empresa-eEemplo!com/ventas mkdir -p /var/111/empresa-eEemplo!com/ventas/html cho1n fulano!apache /var/111/empresa-eEemplo!com/ventas/html mkdir -p /var/111/empresa-eEemplo!com/ventas/configs cho1n fulano!apache /var/111/empresa-eEemplo!com/ventas/configs 25%4% $omprobaciones A acceder con e usuaro fuano por SSH o FTP haca 444.empresa8ejemplo.com se deber acceder 184 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux haca /var/www/empresa'ejemplo.com, e cua ser presentado como 7/7. E usuaro pubcar e contendo HTML dentro de /html, podr guardar contendo fuera de Apache en /confi"s y podr acceder haca as btcoras generadas por apache en /lo"s. Es mportante recacar que mengano no podr borrar e contendo de /ventas, como son e drectoro de btcoras /lo"s y e drectoro /html que se mostrar en Apache como !ttp233ventas.empresa8ejemplo.com3. En a ausenca de estos, Apache no podra ncar. A acceder con e usuaro mengano por SSH o FTP haca www.empresa-e|empo.com se deber acceder haca /var/www/empresa'ejemplo.com, e cua ser presentado como 7/7. E usuaro pubcar e contendo HTML dentro de /ventas/html, podr guardar contendo fuera de Apache en /ventas/confgs y podr acceder haca as btcoras generadas por apache en /ventas/lo"s. Es mportante recacar que mengano no podr borrar contendo de /ventas, como son e drectoro de btcoras /ventas/lo"s y e drectoro /ventas/html que se mostrar en Apache como !ttp233ventas.empresa8ejemplo.com3. En ausenca de stos, Apache no podra ncar. 185 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 26% $mo confi*urar N><% Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 26%+% Introduccin% 26%+%+% =cerca de N><% N>< (Network >me <rotoco) es un protocoo, de entre os ms antguos protocoos de Internet (1985), utzado para a sncronzacn de reo|es de sstemas computaconaes a travs de redes, hacendo uso de ntercambo de paquetes (undades de nformacn transportadas entre nodos a travs de enaces de datos compartdos) y atenca varabe (tempo de demora entre e momento en que ago nca y e momento en que su efecto nca). N>< fue orgnamente dseado, y sgue sendo mantendo, por Dave Ms, de a unversdad de Deaware. NTP Utza e agortmo de Marzuo (nventado por Keth Marzuo), e cua es un utzado para seecconar fuentes para a estmacn exacta de tempo a partr de un nmero de fuentes, utzando a escaa U>$. La versn 4 de protocoo puede mantener e tempo con un margen de 10 msegundos a travs de a red munda, acanzado exacttud de 200 mcrosegundos. En redes ocaes, ba|o condcones dneas, este margen se reduce consderabemente. E servco traba|a a travs de puerto 123, ncamente por U"<. URL: http://www.etf.org/rfc/rfc1305.txt 26%+%+%+% Estratos% N>< utza e sstema |errquco de estratos de reo|. Estrato 0: son dspostvos, como reo|es G<S o rado reo|es, que no estn conectados haca redes sno computadoras. Estrato +: Los sstemas se sncronzan con dspostvos de estrato 0. Los sstemas de este estrato son referdos como servdores de tempo. Estrato 2: Los sstemas envan sus petcones NTP haca servdores de estrato 1, utzando e agortmo de Marzuo para recabar a me|ores muestra de datos, descartando que parezcan proveer datos errneos, y compartendo datos con sstemas de msmo estrato 2. Los sstemas de este estrato actan como servdores para e estrato 3. Estrato 3: Los sstemas utzan funcones smares a as de estrato 2, srvendo como servdores para e estrato 4. 186 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Estrato 4: Los sstemas utzan funcones smares a as de estrato 3. Lsta de servdores pbcos, de estrato 1 y 2, en http://kopernx.com/?q=ntp y http://www.eecs.ude.edu/-ms/ntp/servers.htm 26%+%2% =cerca de U>$% U>$ ($oordnated Unversa >me, o Tempo Unversa Coordnado) es un estndar de ata precsn de tempo atmco. Tene segundos unformes defndos por >=I (>empo =tmco Internacona, o Internatona Atomc Tme), con segundos ntercaares o adconaes que se anuncan a ntervaos rreguares para compensar a desaceeracn de a rotacn de a Terra, as como otras dscrepancas. Estos segundos adconaes permten a U>$ estar cas a a par de Tempo Unversa (U>, o Unversa >me), e cua es otro estndar pero basado sobre e nguo de rotacn de a Terra, en ugar de e paso unforme de os segundos. URL: http://es.wkpeda.org/wk/UTC 26%2% <rocedimientos% 26%2%+% Herramienta ntpdate Una forma muy senca de sncronzar e reo| de sstema con cuaquer servdor de tempo es a travs de ntpdate. Es una herramenta smar a rdate, y se utza para estabecer a fecha y hora de sstema utzando N><. E sguente e|empo reaza una consuta drecta N><, utzando un puerto sn prvegos (opcn )u, muy t s hay un cortafuegos que mpda a sada) haca e servdor B.pool.ntp.or%. ntpdate -u (!pool!ntp!org 26%2%2% 7ic'ero de confi*uracin /etc/ntp%conf% Los sstemas operatvos como Red Hat Enterprse Lnux 4 y CentOS 4, se ncuye un fchero de confguracn /etc/ntp%conf, con fnes demostratvo. La recomendacn es respadaro para futura consuta, y comenzar con un fchero con una confguracn nuevo, msmo que a contnuacn se descrbe. L e establece la polYtica predeterminada para cualOuier L servidor de tiempo utili4ado: se permite la sincroni4aci@n L de tiempo con las fuentes= pero sin permitir a la fuente L consultar (noOuer2)= ni modificar el servicio en el L sistema (nomodif2) 2 declinando proveer mensaEes de L registro (notrap)! restrict default nomodif2 notrap noOuer2 L Cermitir todo el acceso a la interfa4 de retorno del L sistema! restrict 1(/!0!0!1 L e le permite a la red local sincroni4ar con el servidor L pero sin permitirles modificar la configuraci@n del L sistema= 2 sin usar a ^stos como iguales para sincroni4ar! restrict 1-(!16,!1!0 mask ())!())!())!0 nomodif2 notrap 187 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L ReloE local indisciplinado! L :ste es un controlador emulado Oue se utili4a solo como L respaldo cuando ninguna de las fuentes reales estZn L disponibles! fudge 1(/!1(/!1!0 stratum 10 server 1(/!1(/!1!0 L Xichero de variaciones! driftfile /var/lib/ntp/drift broadcastdela2 0!00, L Xichero de claves si acaso fuesen necesarias para reali4ar L consultas ke2s /etc/ntp/ke2s L ;ista de servidores de tiempo de estrato 1 o (! L e recomienda tener al menos . servidores listados! L 'as servidores en: L http://kopernix!com/_O3ntp L http://111!eecis!udel!edu/Mmills/ntp/servers!html server 0!pool!ntp!org server 1!pool!ntp!org server (!pool!ntp!org L Cermisos Oue se asignarZn para cada servidor de tiempo! L :n los eEemplos= no se permite a las fuente consultar= ni L modificar el servicio en el sistema ni enviar mensaEe de L registro! restrict 0!pool!ntp!org mask ())!())!())!()) nomodif2 notrap noOuer2 restrict 1!pool!ntp!org mask ())!())!())!()) nomodif2 notrap noOuer2 restrict (!pool!ntp!org mask ())!())!())!()) nomodif2 notrap noOuer2 26%2%3% =*re*ar el servicio al arranGue del sistema% Para hacer que e servco de ntp est actvo con e sguente nco de sstema, en todos os nvees de corrda (2, 3, 4, y 5) se utza o sguente chkconfig ntpd on 26%2%4% IniciarX detener 2 reiniciar servicio% Para e|ecutar por prmera vez e servco, utce: service ntpd start Para hacer que os cambos hechos tras modfcar a confguracn surtan efecto, utce: service ntpd restart Para detener e servco, utce: service ntpd stop 188 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 26%3% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr e puerto 123 por UDP (N><, tanto para trfco entrante como saente. Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 udp 1(. 6AA:C" f1 net udp 1(. L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necearo abrr e puerto correspondente. L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 udp 1(. 6AA:C" f1 net udp 1(. 8??$-> lo+ 2w u*p 123 8??$-> 2w lo+ u*p 123 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 189 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 27% $mo confi*urar el sistema para sesiones *r;ficas remotas Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 27%+% Introduccin Cuando se tenen dstntas mqunas en una LAN y se desea aprovechar e poder y recursos de una de stas y ahorrar traba|o, una sesn grfca remota ser de gran utdad. Lograr esto es muy fc. Se puede hacer de dos formas, una accedendo va SSH, RHS o Tenet, y a otra utzando aguna de as pantaas de acceso grfco, como GDM. 27%2% Sesin *r;fica remota con G": GDM tene una caracterstca poco usada, pero muy t. E mtodo ser de mucha utdad suponendo que se tene un servdor centra con buena cantdad de memora y un buen mcroprocesador y o ms nuevo en sustento gco; y en a red de rea oca (LAN) se tenen una o varas mqunas con muy poco espaco en dsco y/o poco poder en e mcroprocesador, o resuta mucho traba|o nstaares todo un sstema optmzado y personazado. E ob|etvo ser entonces que os usuaros puedan utzar e servdor con mayor poder y recursos para que se e|ecuten ah as sesones grfcas y as tener un mayor contro en toda a red. 27%2%+% <rocedimiento 1. Actuace gdm a menos a a versn 2.2.x o, de ser posbe, ms recente: 2um -2 install gdm 2. En e servdor, abra una termna como sperusuaro y e|ecute e mandato %dmsetup; vaya a a soapa de C/M"D y de a a a pestaa XDMCP. Deben habtarse as casas de "Activar C/M"D" y "7onrar peticiones indirectas" como se muestra a contnuacn: 190 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 3. Como medda de segurdad, deshabte e acceso de root tanto oca como remotamente. 191 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 4. Debe determnarse a ocazacn de X con e mandato whch: which X 5. En os centes, debe respadarse y edtarse e archvo /etc/X11/prefdm y debe hacerse que contenga ncamente o sguente, consderando que se debe poner a ruta competa de X: YZ/bin/sh /usr/X((F-/bin/X 'Luer# direcciPn_C=_del_Servidor E|empo: YZ/bin/sh /usr/X((F-/bin/X 'Luer# (W2.(-H.(.2,+ 6. En todas as mqunas, ya sea s se utza webmn o nuxconf o aguna otra herramenta, debe hacer que e modo de e|ecucn sea grfco y con red, es decr que arranque en modo de e|ecucn 5 (o nve de corrda 5). Puede modfcar /etc/nttab y cambar: id:3:initdefault: Por: id:5:initdefault: 7. Deben rencarse os servdores X de as mqunas centes. 8. Las mqunas centes vern a GDM e|ecutndose como s se estuvese en e msmo servdor, y permtr ncar GNOME o KDE o cuaquer otro entorno grfco utzado. S cuenta con buenos adaptadores de red, n squera se notar s se est en un cente o en e servdor. S o prefere tambn puede ncar e servdor de vdeo remoto smpemente e|ecutando o sguente desde cuaquer termna: X -Ouer2 direcci@n5<C5del5ervidor 192 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 29% $mo confi*urar un servidor N7S Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 29%+% Introduccin NFS, acrnmo de $et4or0 %ile &ystem, es un popuar protocoo utzado para compartr vomenes entre mqunas dentro de una red de manera transparente, ms comnmente utzado entre sstemas basados sobre UNIX. Es t y fc de utzar, sn embargo no en vano es apodado cari,osamente como E#o 6ile -ecurityE. NFS no utza un sstema de contraseas como e que tene SAMBA, so una sta de contro de acceso determnada por dreccones IP o nombres. Es por esto que es mportante que e admnstrador de a red oca o usuaro entenda que un servdor NFS puede ser un verdadero e nmenso agu|ero de segurdad s ste no es confgurado apropadamente e mpementado detrs de un corta-fuegos o frewa. Personamente, recomendo utzar NFS dentro de una red oca detrs de un corta-fuegos o frewa que permta e acceso so a as mqunas que ntegren a red oca, nunca para compartr sstemas de archvos a travs de Internet. A no contar con un sstema de autentcacn por contraseas, es un servco susceptbe de ataque de agn dencuente nfomtco. SAMBA es un protocoo mucho me|or y ms seguro para compartr sstemas de archvos. 29%2% <rocedimientos Tenendo en cuenta os aspectos de segurdad menconados, es mportante que sga os procedmentos descrtos a contnuacn a pe de a etra, y que posterormente se comprometa tambn consutar a detae a documentacn ncuda en e paquete nfs-uts, ya que sta e proporconar nformacn adcona y competa sobre aspectos avanzados de confguracn y utzacn. 29%2%+% Instalacin del sustento l*ico necesario #um '# install nfs'utils portmap 29%3% $onfi*urando la se*uridad Lo sguente ser confgurar un nve de segurdad para portmap. Esto se consgue modfcando os fcheros 3etc3!osts.allo4 y 3etc3!osts.deny. Debemos especfcar qu dreccones IP o rango de dreccones IP pueden acceder a os servcos de portmap y qunes no pueden hacero. Podemos entonces determnar en /etc/hosts.aow como rango de dreccones IP permtdas os sguente: portmap:1-(!16,!1!0/())!())!())!0 Esto corresponde a a dreccn IP de a red competa y a mscara de a subred. Adconamente 193 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux podemos especfcar dreccones IP ndvduaes sn necesdad de estabecer una mscara. Esto es de utdad cuando se desea compartr vomenes con otras mqunas en otras redes a travs de Internet. E|empo: portmap:1-(!16,!1!0/())!())!())!0 portmap:1-(!16,!(0!() portmap:1-(!16,!.0!( portmap:(16!(00!1)(!-6 portmap:1+,!(+0!(,!1/1 Una vez que se han determnado as dreccones IP que pueden acceder a portmap, so resta determnar qunes no pueden hacero. Evdentemente nos refermos a resto de mundo, y esto se hace agregando a sguente nea: portmap:6;; Es mportante destacar que a nea anteror es IN"IS<ENS=!LE y NE$ES=(I= s quere tener un nve de segurdad decente. De manera predetermnada as versones ms recentes de nfs-uts no permtrn ncar e servco s esta nea no se encuentra presente en /etc/hosts.deny. Una vez confgurado portmap, debe rencarse e servco de portmap: service portmap restart S tene un DNS, aada os regstros de as dreccones IP asocadas a un nombre o ben modfque /etc/hosts y agregue as dreccones IP asocadas con un nombre. Esto nos servr como stas de contro de accesos. E|empo de fchero /etc/'osts: 1(/!0!0!1 localhost!localdomain localhost 1-(!16,!1!()+ servidor!mi-red-local!org servidor 1-(!16,!1!( algun5nombre!mi-red-local!org algun5nombre 1-(!16,!1!. otro5nombre!mi-red-local!org otro5nombre 1-(!16,!1!+ otro5nombre5mas!mi-red-local!org otro5nombre5mas 1-(!16,!1!) como5se5llame!mi-red-local!org como5se5llame 1-(!16,!1!6 como5sea!mi-red-local!org como5sea 1-(!16,!1!/ lo5Oue5sea!mi-red-local!org lo5Oue5sea 29%3%+% $ompartir un volumen N7S Procederemos a determnar qu drectoro se va a compartr. Puede crear tambn uno nuevo: mkdir -p /var/nfs/publico Una vez hecho esto, necestaremos estabecer qu drectoros en e sstema sern compartdos con el resto de las m;Guinas de la redX o bien a GuF m;GuinasX de acuerdo al "NS o /etc/'osts se permtr e acceso. stos deberemos agregaros en /etc/exports determnado con qu mqunas y e modo en que se compartr e recurso. Se puede especfcar una dreccn IP o ben nombrar aguna mquna, o ben un patrn comn con comodn para defnr qu mqunas pueden acceder. Podemos utzar e sguente e|empo (a separacn de espacos se hace con un tabuador): /var/nfs/publico J!mi-red-local!org(ro=s2nc) 194 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux En e e|empo anteror se est defnendo que se compartr /var/nfs/pubco/ a todas as mqunas cuyo nombre, de acuerdo a DNS o /etc/hosts, tene como patrn comn mi)red)local%or*, en modo de ectura escrtura. Se utz un astersco (*) como comodn, segudo de un punto y e nombre de domno. Esto permtr que comoFseFllame.mi8red8local.or%, comoFsea.mi8red8local.or%, loFqueFsea.mi8red8local.or%, etc., podrn acceder a voumen /var/nfs/pubco/ en modo de so ectura. S queremos que e accesos a este drectoro sea en modo de ectura y escrtura, cambamos (ro) por (rw): /var/nfs/publico J!mi-red-local!org(r1=s2nc) Ya que se defneron os vomenes a compartr, so resta ncar o rencar e servco nfs. Utce cuaquera de as dos neas dependendo de caso: service nfs start service nfs restart A fn de asegurar de que e servco de nfs est habtado, a prxma vez que se encenda e equpo, de deber e|ecutar o sguente: chkconfig --level .+) nfs on E mandato anteror hace que se habte nfs en os nvees de corrda 3, 4 y 5. Como medda de segurdad adcona, s tene un corta-fuegos o fire4all mpementado. Cerre, para todo aqueo que no sea parte de su red oca, os puertos tcp y udp 2049, ya que stos son utzados por NFS para escuchar petcones. 29%3%2% $onfi*urando las m;Guinas clientes Para probar a confguracn, es necesaro que as mqunas centes se encuentren defndas en e DNS o en e fchero 3etc3!osts de servdor. S no hay un DNS confgurado en a red, debern defnrse os nombres y dreccones IP correspondentes en e fchero /etc/hosts de todas as mqunas que ntegran a red oca. Como root, en e equpo cente, e|ecute e sguente mandato para consutar os vomenes exportados (-e) a travs de NFS por un servdor en partcuar: sho1mount -e 1-(!16,!1!()+ Lo anteror mostrar una sta con os nombres y rutas exactas a utzar. E|empo: :xport list for 1-(!16,!1!()+: /var/nfs/publico 1-(!16,!1!0/(+ A contnuacn creamos, como root, desde cuaquer otra mquna de a red oca un punto de monta|e: mkdir /mnt/servidornfs Por tmo, para proceder a montar e voumen remoto, utzaremos a sguente nea de mandato : 195 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux mount servidor!mi-red-local!org:/var/nfs/publico /mnt/servidornfs S por aguna razn en e DNS de a red oca, o e fchero /etc/'osts de a mquna cente, decd no asocar e nombre de a mquna que fungr como servdor NFS a su correspondente dreccn IP, puede especfcar sta en ugar de nombre. E|empo: mount -t nfs 1-(!16,!1!()+:/var/nfs/publico /mnt/servidornfs Podremos acceder entonces a dcho voumen remoto cambando a drectoro oca defndo como punto de monta|e, de msmo modo que se hara con un dsquete o una undad de CDROM: cd /mnt/servidornfs S queremos montar este voumen NFS con una smpe nea de mandato o ben hacendo dobe cc en un cono sobre e escrtoro, ser necesaro agregar a correspondente nea en /etc/fstab. E|empo: servidor.mi'red'local.or":/var/nfs/publico /mnt/servidornfs nfs user)exec)dev)nosuid)rw)noauto M M La nea anteror especfca que e drectoro /var/nfs/pubco/ de a mquna servdor.m-red-oca.org ser montado en e drectoro oca /mnt/servdor/nfs, permtndoe a os usuaros poder montaro, en modo de ectura y escrtura y que este voumen no ser montado durante e arranque de sstema. Esto tmo es de mportanca, sendo que s e servdor no est encenddo a momento de arrancar a mquna cente, ste se cogar durante agunos mnutos. Una vez agregada a nea en /etc/fstab de a mquna cente, s utza GNOME-1.4 o superor, ste ncorpora Nautus como admnstrador de archvos, msmo que auto-detecta cuaquer cambo en /etc/fstab. Debe hacerse cc derecho sobre e escrtoro y posterormente seecconar e dsco que se desee montar. 29%4% Instalacin de GNU/Linux a travFs de un servidor N7S Este es quzs e uso ms comn para un voumen NFS. Permte compartr un voumen que contenga una copa de CD de nstaacn de aguna dstrbucn y reazar ncusve nstaacones smutneas en varos equpos. Tene como venta|a que a nstaacn puede resutar ms rpda que s se hcese con un CDROM, sendo que a tasa de trasferenca de archvos ser determnada por e ancho de banda de a red oca, y nos permtr nstaar GNU/Lnux en mqunas que no 196 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux tengan undad de CDROM. Una vez creado y confgurado un voumen a compartr coparemos todo e contendo de CD de nstaacn en ste: cp -r /mnt/cdrom/J /var/nfs/publico/ En e drectoro ima%es de CD encontraremos varas mgenes para crear dsquetes de arranque. Utzaremos bootnet.mg para crear e nmero de dsquetes necesaros para cada mquna en a que reazaremos una nstaacn y que nos permtrn acceder a a red. Inserte un dsquete y e|ecute o sguente: cd /var/nfs/publico/images/ dd if3bootnet!img of3/dev/fd0 bs31++0k Aada en /etc/hosts, o ben de de ata en e DNS, as dreccones IP, que sern utzadas por as nuevas mqunas, asocadas a un nombre con e domno que especfco como rega de contro de acceso en /etc/exports 8es decir G.mi8red8local.or%8. Para /etc/hosts, puede quedar como sgue: 1(/!0!0!1 localhost!localdomain localhost 1-(!16,!1!()+ servidor!mi-red-local!org servidor 1-(!16,!1!( algun5nombre!mi-red-local!org algun5nombre 1-(!16,!1!. otro5nombre!mi-red-local!org otro5nombre 1-(!16,!1!+ otro5nombre5mas!mi-red-local!org otro5nombre5mas 1-(!16,!1!) como5se5llame!mi-red-local!org como5se5llame 1-(!16,!1!6 como5sea!mi-red-local!org como5sea 1-(!16,!1!/ lo5Oue5sea!mi-red-local!org lo5Oue5sea 1-(!16,!1!, nueva5maOuina!mi-red-local!org nueva5maOuina 1-(!16,!1!- otra5nueva5maOuina!mi-red-local!org otra5nueva5maOuina Utce estos dsquetes para arrancar en os equpos, ngrese una dreccn IP y dems parmetros para esta mquna y cuando se e pregunte ngrese a dreccn IP de servdor NFS y e drectoro en ste en e que se encuentra a copa de CD de nstaacn. E resto contnuar como cuaquer otra nstaacn. 197 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 2S% $mo confi*urar S=:!= Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 2S%+% Introduccin 2S%+%+% =cerca del protocolo S:! S:! (acrnmo de Server :essage !ock) es un protocoo, de Nivel de <resentacin de modeo OSI de TCP/IP, creado en 1985 por IBM. Agunas veces es referdo tambn como $I7S (Acrnmo de $ommon Internet 7e System, http://samba.org/cfs/) tras ser renombrado por Mcrosoft en 1998. Entre otras cosas, Mcrosoft aad a protocoo soporte para enaces smbcos y duros as como tambn soporte para fcheros de gran tamao. "oincidentalmente esto ocurr por a msma poca en que Sun Mcrosystems reaz e anzamento de WebNFS (una versn extendda de N7S, http://www.sun.com/software/webnfs/overvew.xm). S:! fue orgnamente dseado para traba|ar a travs de protoco NetBIOS, e cua a su vez traba|a sobre Net!EUI (acrnmo de NetBIOS Extended User Interface, que se traduce como Interfaz de Usuaro Extendda de NetBIOS), I<E/S<E (acrnmo de Internet <acket Exchange/Sequenced <acket Exchange, que se traduce como Intercambio de paGuetes interred/Intercambio de paGuetes secuenciales) o N!>, aunque tambn puede traba|ar drectamente sobre >$</I< 2S%+%2% =cerca de Samba SAMBA es un con|unto de programas, orgnamente creados por Andrew Trdge y actuamente mantendos por The SAMBA Team, ba|o a Lcenca Pubca Genera GNU, y que se mpementan en sstemas basados sobre UNIX e protocoo S:!. Srve como reempazo tota para Wndows NT, Warp, NFS o servdores Netware. 2S%2% Sustento l*ico necesario Los procedmentos descrtos en este manua han sdo probados para poder apcarse en sstemas con Red Hat Enterprse Lnux 4, o equvaentes, o en versones posterores, y a menos Samba 3.0.10 o versones posterores. Necestar tener nstaados os sguentes paquetes, que se*uramente vienen incluidos en os dscos de nstaacn de su dstrbucn predecta: samba: Servdor SMB. samba-cent: Dversos centes para e protoco SMB. samba- common: Fcheros necesaros para cente y servdor. 198 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Consute a a base de datos RPM de sstema s se encuentran nstaados estos paquetes, utzando e sguente mandato: rpm 'L samba samba'client samba'common S se utza Red Hat Enterprse Lnux, bastar reazar o sguente para nstaar o actuazar e sustento gco necesaro: up2date 'i samba samba'client S utza CentOS 4 o Whte Box Enterprse Lnux 4, bastar reazar o sguente para nstaar o actuazar e sustento gco necesaro: 2um -2 install samba samba-client 2S%3% $onfi*uracin b;sica de Samba Para a mayora de os casos a confguracn de Samba como servdor de archvos es sufcente. 2S%3%+% =lta de cuentas de usuario Es mportante sncronzar as cuentas entre e servdor Samba y as estacones Wndows. Es decr, s en una mquna con Wndows ngresamos como e usuaro EpacoE con cave de acceso Eelpatito<HE, en e servdor Samba deber exstr tambn dcha cuenta con ese msmo nombre y a msma cave de acceso. Como a mayora de as cuentas de usuaro que se utzarn para acceder haca samba no requeren acceso a ntrprete de mandatos de sstema, no es necesaro asgnar cave de acceso con e mandato passMd y se deber defnr /sbin/nolo*in o ben /bin/false como ntrprete de mandatos para a cuenta de usuaro nvoucrada. useradd -s /sbin/nologin usu)rio'win*ows smbpass1d -a usu)rio'win*ows No hace fata asgnar una cave de acceso en e sstema con e mandato passMd puesto que a cuenta no tendr acceso a ntrprete de mandatos. S se necesta que as cuentas se puedan utzar para acceder haca otros servcos como seran Tenet, SSH, etc, es decr, que se permta acceso a ntrprete de mandatos, ser necesaro especfcar /bin/bas' como ntrprete de mandatos y a msmo tempo se deber asgnar una cave de acceso en e sstema con e mandato passMd: useradd -s /bin/bash usu)rio'win*ows pass1d usu)rio'win*ows smbpass1d -a usu)rio'win*ows 2S%3%2% El fic'ero lm'osts Es necesaro dar nco resovendo ocamente os nombres NetBIOS asocndoos con dreccones IP correspondentes. Para fnes prctcos e nombre #etBAI- debe tener un mxmo de 11 caracteres. Normamente tomaremos como referenca e nombre corto de servdor o e nombre corto que se asgn como aas a a nterfaz de red. ste o estabeceremos en e fchero /etc/samba/lm'osts, en donde encontraremos o sguente: 199 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 1(/!0!0!1 localhost Debemos aadr entonces e nombre que hayamos eegdo asocado a a dreccn IP que se tenga dentro de a red oca. 0pcionalmente se podr aadr tambn os nombres y dreccn IP de resto de as mqunas que conformen a red oca. La separacn de espacos se hace con un tabuador. E|empo: 1(/!0!0!1 localhost 1-(!16,!1!) maOuinalinux 1-(!16,!1!6 isaac 1-(!16,!1!/ finan4as 1-(!16,!1!, direccion 2S%3%3% <ar;metros principales del fic'ero smb%conf Modfque e fchero /etc/samba/smb%conf con cuaquer edtor de texto. Dentro de ste notar que a nformacn que e ser de utdad vene comentada con un smboo ` y os e|empos con a (punto y coma), sendo estos tmos os que tomaremos como referenca. Empezaremos por estabecer e grupo de traba|o edtando e vaor de parmetro MorL*roup asgnando un grupo de traba|o deseado: 1orkgroup 3 '<*R$C8 0pcionalmente puede estabecer con e parmetro netbios name otro nombre dstnto para e servdor s fuese necesaro, pero sempre tomando en cuenta que dcho nombre deber corresponder con e estabecdo en e fchero /etc/samba/lm'osts: netbios name 3 maOuinalinux E parmetro server strin* es de carcter descrptvo. Puede utzarse un comentaro breve que d una descrpcn de servdor. server string 3 ervidor amba &v en &; 2S%3%4% <ar;metros 1tiles para la se*uridad La segurdad es mportante y sta se puede estabecer prmeramente estabecendo a sta de contro de acceso que defnr qu mqunas o redes podrn acceder haca e servdor. E parmetro 'osts alloM srve para determnar esto. S a red consste en a mqunas con dreccn IP desde 192.168.1.1 hasta 192.168.1.254, e rango de dreccones IP que se defnr en hosts aow ser +S2%+69%+% de modo ta que so se permtr e acceso dchas mqunas. Note por favor e punto a fna de cada rango. Modfque sta de manera que quede de sguente modo: hosts allo1 3 1-(!16,!1! 1(/! E parmetro interfaces permte estabecer desde qu nterfaces de red de sstema se escucharn petcones. Samba no responder a petcones provenentes desde cuaquer nterfaz no especfcada. Esto es t cuando Samba se e|ecuta en un servdor que srve tambn de puerta de enace para a red oca, mpdendo que se estabezcan conexones desde fuera de a red oca. 200 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux interfaces 3 1-(!16,!1!()+/(+ 2S%3%5% Impresoras en Samba Las mpresoras se comparten de modo predetermnado, as que so hay que reazar agunos a|ustes. S se desea que sea posbe acceder haca a mpresora como usuaro nvtado sn cave de acceso, basta con aadr public T Zes en a seccn de mpresoras de sguente modo: >printers? comment 3 :l comentario Oue guste! path 3 /var/spool/samba printable 3 \es bro1seable 3 7o 1ritable 3 no printable 3 2es publi+ 7 Ies Wndows NT, 2000 y XP no tendrn probema aguno para acceder e mprmr haca as mpresoras; sn embargo Wndows 95, 98 y ME sueen tener probemas para comuncarse con Samba para poder mprmr. Por tanto, s se quere evtar probemas de conectvdad con dchos sstemas operatvos hay que agregar agunos parmetros que resovern cuaquer eventuadad: >printers? comment 3 <mpresoras! path 3 /var/spool/samba printable 3 \es bro1seable 3 7o 1ritable 3 no printable 3 2es public 3 \es prin! +omm)n* 7 lpr '- Jp 'o r)w Js 'r lp9 +omm)n* 7 lps!)! 'o Jp lprm +omm)n* 7 +)n+el Jp'JK Se pude defnr tambn a un usuaro o ben un grupo (O*rupoQGueQsea) para a admnstracn de as coas en as mpresoras: >printers? comment 3 <mpresoras! path 3 /var/spool/samba printable 3 \es bro1seable 3 7o 1ritable 3 no printable 3 2es public 3 \es print command 3 lpr -C &p -o ra1 &s -r lpO command 3 lpstat -o &p lprm command 3 cancel &p-&E prin!er )*min 7 2ul)no5 Lopers_impresion Con o anteror se defne que e usuaro fulano y quen pertenezca a grupo opersQimpresion podrn reazar tareas de admnstracn en as mpresoras. 201 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 2S%3%6% $ompartiendo directorios a travFs de Samba Para os drectoros o vomenes que se rn a compartr, en e msmo fchero de confguracn encontrar dstntos e|empos para dstntas stuacones partcuares. En genera, puede utzar e sguente e|empo que funconar para a mayora: >;o5Oue5sea? comment 3 Aomentario Oue se le ocurra path 3 /cualOuier/ruta/Oue/desee/compartir E voumen puede utzar cuaquera de as sguentes opcones: 0pcin "escripcin "uest ok Defne s se permtr e acceso como usuaro nvtado. E vaor puede ser Res o No. public Es un eGuivalente de parmetro *uest oL, es decr, defne s se permtr e acceso como usuaro nvtado. E vaor puede ser Res o No. browseable Defne s se permtr mostrar este recurso en as stas de recursos compartdos. E vaor puede ser Res o No. writable Defne s ser permtr a escrtura. Es e parmetro contraro de read onl#. E vaor puede ser Res o No. E|empos: writable I Res es lo mismo Gue read onl# I No. Obvamente writable I No es lo mismo Gue read onl# I Res valid users Defne que usuaros o grupos pueden acceder a recurso compartdo. Los vaores pueden ser nombres de usuaros separados por comas o ben nombres de grupo anteceddos por una @. E|empo: fulano) men"ano) 1administradores write list Defne qu usuaros o grupos pueden acceder con permso de escrtura. Los vaores pueden ser nombres de usuaros separados por comas o ben nombres de grupo anteceddos por una @. E|empo: fulano) men"ano) 1administradores admin users Defne qu usuaros o grupos pueden acceder con permsos admnstratvos para e recurso. Es decr, podrn acceder haca e recurso reazando todas as operacones como sperusuaros. Los vaores pueden ser nombres de usuaros separados por comas o ben nombres de grupo anteceddos por una @. E|empo: fulano) men"ano) 1administradores director# mask Es o msmo que director# mode. Defne qu permso en e sstema tendrn os subdrectoros creados dentro de recurso. E|empo: (000 create mask Defne qu permso en e sstema tendrn os nuevos fcheros creados dentro de recurso. E|empo: M-++ En e sguente e|empo se compartr a travs de Samba e recurso denomnado ftp, e cua est ocazado en e drectoro /var/ftp/pub de dsco duro. Se permtr e acceso a cuaquera pero ser 202 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux un recurso de so ectura savo para os usuaros admnstrador y fuano. Todo drectoro nuevo que sea creado, en su nteror tendr permso 755 y todo fchero que sea puesto en su nteror tendr permso 644. >ftp? comment 3 %irectorio del servidor X"C path 3 /var/ftp/pub guest ok 3 \es read onl2 3 \es 1rite list 3 fulano= administrador director2 mask 3 0/)) create mask 3 06++ 2S%4% $onfi*uracin avan8ada de Samba Samba fue creado con un ob|etvo: ser en un reempazo defntvo para Wndows como servdor en una red oca. Esto, por supuesto, requere agunos procedmentos adconaes dependendo de as necesdades de a red oca. 2S%4%+% (easi*nacin de *rupos de YindoMs en Samba Los grupos que exsten en Wndows tambn se utzan en Samba para certas operacones, prncpamente reaconadas con o que nvoucra un Controador Prmaro de domno (o <"$ que sgnfca <rmary "oman $ontroer). Estos grupos exsten de modo predefndo en Samba. Sn embargo, s se e|ecuta o sguente: net groupmap list Devover a sguente nformacn: S#stem 9perators $S'(','*2',+W& '@ '( Eomain Qdmins $S'(','2('9999999999-9999999999-9999999999',(2& '@ '( Feplicators $S'(','*2',,2& '@ '( Kuests $S'(','*2',+-& '@ '( Eomain Kuests $S'(','2('9999999999-9999999999-9999999999',(+& '@ '( =ower Bsers $S'(','*2',+0& '@ '( =rint 9perators $S'(','*2',,M& '@ '( Qdministrators $S'(','*2',++& '@ '( Qccount 9perators $S'(','*2',+H& '@ '( Eomain Bsers $S'(','2('9999999999-9999999999-9999999999',(*& '@ '( Aackup 9perators $S'(','*2',,(& '@ '( Bsers $S'(','*2',+,& '@ '( Lo anteror corresponde a mapa de os grupos que, de modo predetermnado, utzar Samba s ste fuese confgurado como Controador Prmaro de Domno. EEEEEEEEEE)EEEEEEEEEE) EEEEEEEEEE corresponde a un nmero generado aeatoramente a ncarse Samba por prmera vez. >ome nota de dic'o n1meroX 2a Gue lo reGuerir; m;s adelante para reasgnar os nombres a espao en e mapa de grupos. Los grupos anterormente descrtos traba-ar;n perfecta 2 limpiamente asocndoos contra grupos en e sstema, pero slamente si utili8a al*una versin de YindoMs en in*lFs. S utza aguna versn de Wndows en espao, 'abr; Gue reasi*nar los nombres de los *rupos a los correspondientes al espa#ol y asocares a grupos en e sstema, esto a fn de permtr asgnar usuaros a dchos grupos y de este modo deegar tareas de admnstracn de msmo modo que en Wndows. 203 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Es por ta motvo que s se tene a ntencn de confgurar Samba como Controador Prmaro de Domno y a msmo tempo poder hacer uso de os grupos de msmo modo que en Wndows, es decr, por menconar un e|empo, permtr a certos usuaros pertenecer a grupo de admnstradores de domno con prvegos de admnstrador, o prmero ser entonces generar os grupos en e sstema e|ecutando como root os sguentes mandatos: "roupadd 'r administradores "roupadd 'r admins_dominio "roupadd 'r duplicadores "roupadd 'r invitados "roupadd 'r invs_dominio "roupadd 'r opers_copias "roupadd 'r opers_cuentas "roupadd 'r opers_impresion "roupadd 'r opers_sistema "roupadd 'r usrs_avan%ados "roupadd 'r usuarios "roupadd 'r usuarios_dominio Una vez creados os grupos en e sstema, so resta reasgnar os nombres a espao en e mapa de grupo de Samba y asocares a stos os grupos recn creados en e sstema. E procedmento se resume a e|ecutar ago como o sguente: net "roupmap modif# [ nt"roupI7Nombre "rupo Sindows en espaOol7 [ sidI7n\mero'de'identidad'en'sistema7 [ unix"roupI7"rupo_en_linux7 [ commentI7comentario descriptivo acerca del "rupo7 Lo anteror estabece que se modfque e regstro de grupo que corresponda a sid (dentdad de sstema) defndo con e nombre estabecdo con nt*roup, asocndoo a grupo en e servdor con unix*roup y aadendo un comentaro descrptvo acerca de dcho grupo con comment. De modo ta, y a fn de factar as cosas a quen haga uso de este manua, puede utzar e sguente gun para convertr os nombres a espao y asocaros a grupos en Lnux, donde soamente deber defnr e nmero de dentdad de sstema que corresponda a servdor: YZ/bin/sh SCESQ:AQI9999999999-9999999999-9999999999 net "roupmap modif# nt"roupI7Qdministradores7 [ sidI7S'(','*2',++7 unix"roupIadministradores [ commentI7Dos administradores tienen acceso completo # sin restricciones al eLuipo o dominio7 net "roupmap modif# nt"roupI7Qdmins. del dominio7 [ sidI7S'(','2('2SCESQ:AQ',(27 unix"roupIadmins_dominio [ commentI7Qdministradores desi"nados del dominio7 net "roupmap modif# nt"roupI7Euplicadores7 [ sidI7S'(','*2',,27 unix"roupIduplicadores [ commentI7=ueden duplicar archivos en un dominio7 net "roupmap modif# nt"roupI7Cnvitados del dominio7 [ sidI7S'(','2('2SCESQ:AQ',(+7 unix"roupIinvitados [ commentI7<odos los invitados del dominio7 net "roupmap modif# nt"roupI7Cnvitados7 [ sidI7S'(','*2',+-7 unix"roupIinvitados [ commentI7Dos invitados tienen de modopredeterminado el mismo acceso Lue los miembros del "rupo Bsuarios) excepto la cuenta Cnvitado Lue tiene mas restricciones7 net "roupmap modif# nt"roupI79peradores de copias7 [ sidI7S'(','*2',,(7 unix"roupIopers_copias [ 204 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux commentI7Dos operadores de copia pueden sobrescribir restricciones de se"uridad con el unico proposito de hacer copias de se"uridad o restaurar archivos7 net "roupmap modif# nt"roupI79pers. de cuentas7 [ sidI7S'(','*2',+H7 unix"roupIopers_cuentas [ commentI7=ueden administrar cuentas de usuarios # "rupos del dominio7 net "roupmap modif# nt"roupI79pers. de impresiPn7 [ sidI7S'(','*2',,M7 unix"roupIopers_impresion [ commentI7=ueden operar impresoras del dominio7 net "roupmap modif# nt"roupI79pers. de servidores7 [ sidI7S'(','*2',+W7 unix"roupIopers_sistema [ commentI7=ueden administrar sistemas del dominio7 net "roupmap modif# nt"roupI7Bsuarios avan%ados7 [ sidI7S'(','*2',+07 unix"roupIusrs_avan%ados [ commentI7Dos usuarios avan%ados tienen mas derechos administrativos con al"unas restricciones. Ee este modo) pueden ejecutar aplicaciones heredadas junto con aplicaciones certificadas7 net "roupmap modif# nt"roupI7Bsuarios del dominio7 [ sidI7S'(','2('2SCESQ:AQ',(*7 unix"roupIusuarios_dominio [ commentI7<odos los usuarios del dominio7 net "roupmap modif# nt"roupI7Bsuarios7 [ sidI7S'(','*2',+,7 unix"roupIusuarios [ commentI7Dos usuarios no pueden hacer cambios accidentales o intencionados en el sistema. =ueden ejecutar aplic. certificadas) pero no la ma#or]a de las heredadas7 exit M Nota, Este gun se encuentra ncudo en e dsco de "Extras de curso" de Lnux Para Todos. Soo basta edtaro y defnr a varabe SIDSAMBA y e|ecutaro como root. Una vez hecho o anteror, a vover a reazar o sguente: net "roupmap list Se deber de mostrar ahora esto otro: 9pers. de servidores $S'(','*2',+W& '@ opers_sistema Qdmins. del dominio $S'(','2('9999999999-9999999999-9999999999',(2& '@ admins_dominio Euplicadores $S'(','*2',,2& '@ duplicadores Cnvitados $S'(','*2',+-& '@ invitados Cnvitados del dominio $S'(','2('9999999999-9999999999-9999999999',(+& '@ invitados Bsuarios avan%ados $S'(','*2',+0& '@ usrs_avan%ados 9pers. de impresiPn $S'(','*2',,M& '@ opers_impresion Qdministradores $S'(','*2',++& '@ administradores 9pers. de cuentas $S'(','*2',+H& '@ opers_cuentas Bsuarios del dominio $S'(','2('9999999999-9999999999-9999999999',(*& '@ usuarios_dominio 9peradores de copias $S'(','*2',,(& '@ opers_copias Bsuarios $S'(','*2',+,& '@ usuarios De este modo, s por e|empo, se agrega a usuaro fuano a grupo adminsQdominio, se tendr e msmo efecto que s se hcera o msmo en Wndows agregando a usuaro a grupo =dmins% del dominio. Esto por supuesto soamente tendr utdad s Samba se confgura y utza como Controador Prmaro de Domno. 2S%4%2% =lta de cuentas de usuario en $ontrolador <rimario de "ominio S se confgur Samba para funconar como Controador Prmaro de Domno, ser necesaro asgnar a root una cave de acceso en Samba, a cua por supuesto puede ser dferente a a de sstema, 205 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux debdo a que as estacones de traba|o necestan autentcar prmero con e usuaro root de Samba para poder unrse domno y poder crear de este modo una cuenta de mquna en e sstema a travs de parmetro add mac'ine script ya descrto anterormente. Es necesaro dar de ata a os usuaros de modo que queden agregados a os que correspondan en e sstema a grupos Usuarios y Usuarios del dominio de Wndows, es decr a os grupos usuarios y usuariosQdominio. useradd 's /sbin/nolo"in 'K usuarios)usuarios_dominio usuario-windows smbpasswd 'a usuario-windows S e usuaro ya exstese, ser necesaro agregaro a os grupos usuarios y usuariosQdominio con *passsMd de sguente modo: "passwd 'a usuario-windows usuarios "passwd 'a usuario-windows usuarios_dominio En teora en e drectoro defndo para e recurso <rofiles se deben crear automtcamente os drectoros de os usuaros donde se amacenarn os perfes. De ser necesaro es posbe generar stos drectoros utzando e sguente gun: cd /home for user in 3 do mkdir 'p /var/lib/samba/profiles/2user chown 2user.2user /var/lib/samba/profiles/2user done 2S%4%3% <ar;metros de confi*uracin avan8ada en el fic'ero smb%conf 2S%4%3%+% =nunciando el servidor Samba en los *rupos de traba-o La opcn remote announce se encarga de que e servco nmbd se anunce a s msmo de forma perdca haca una red en partcuar y un grupo de traba|o especfco. Esto es partcuarmente t s se necesta que e servdor Samba aparezca no soamente en e grupo de traba|o a que pertenece sno tambn en otros grupos de traba|o. E grupo de traba|o de destno puede estar en cuaquer ugar en tanto exsta una ruta y sea posbe a transmsn extosa de paquetes. remote announce I (W2.(-H.(.2,,/:C'E9:CNC9 (W2.(-H.2.2,,/9<F9'E9:CNC9 E e|empo anteror defn que e servdor Samba se anunce a s msmo a os grupos de traba|o MI- DOMINIO y OTRO-DOMINIO en as redes cuyas IP de transmsn son 192.168.1.255 y 192.168.2.255 correspondentemente. 2S%4%3%2% 0cultando 2 dene*ando acceso a fic'eros No es convenente que os usuaros accedan o ben puedan ver a presenca de fcheros ocutos en e sstema, es decr fcheros cuyo nombre comenza con un punto, partcuarmente s acceden a su drectoro persona en e servdor Samba (.bashrc, .bash_profe, .bash_hstory, etc.). Puede utzarse e parmetro 'ide dot files para manteneros ocutos. hide dot files I Res 206 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux En agunos casos puede ser necesaro denegar e acceso a certo tpo de fcheros de sstema. E parmetro veto files se utza para especfcar a sta, separada por dagonaes, de aqueas cadenas de texto que denegarn e acceso a os fcheros cuyos nombres contengan estas cadenas. En e sguente e|empo, se denegar e acceso haca os fcheros cuyos nombres ncuyan a paabra J-ecurity= y os que tengan extensn o termnen en J.tmp=: veto files I /3Securit#3/3.tmp/ 2S%4%3%3% 0pciones para cliente o servidor Yins Puede habtar convertrse en servdor WINS o ben utzar un servdor WINS ya exstente. Se puede ser un servdor WINS o un cente WINS, pero no ambas cosas a a vez. S se va ser e servdor WINS, debe habtarse o sguente: wins support I Res S se va a utzar un servdor WINS ya exstente, debe descomentar a sguente nea y especfcar qu dreccn IP utza dcho servdor WINS: wins server I (W2.(-H.(.( 2S%4%3%4% 0pciones espec.ficas para $ontrolador <rimario de "ominio N<"$C S se va a confgurar Samba como Controador Prmaro de Domno, se debe especfcar todos os parmetros descrtos a contnuacn. S se quere que as caves de acceso de sstema y Wndows se mantengan sncronzadas, es necesaro descomentar as sguente enas: unix password s#nc I Res passwd pro"ram I /usr/bin/passwd 4u passwd chat I 3New3BNCX3password3 4n[n 3Fe<#pe3new3BNCX3password3 4n[n 3passwd:3all3authentication3tokens3updated3successfull#3 E parmetro local master defne a servdor como examnador de domno (o master browser); E parmetro domain master defne a servdor maestro de domno; E parmetro preferred master defne a servdor como maestro de domno preferdo, en caso de haber ms servdores presentes en e msmo domno como controadores de domno. E parmetro time server se utza para defnr que as estacones debern sncronzar a hora con e servdor a unrse a domno; E parmetro domain lo*ons defne que e servdor permtr a as estacones autentcar contra Samba. local master I Res domain master I Res preferred master I Res time server I Res domain lo"ons I Res La confguracn de Controador Prmaro de Domno requere adems defnr dnde se amacenarn os perfes de os usuaros. Wndows 95, 98 y ME que soctan se defna con e parmetro lo*on 'ome, en tanto que Wndows NT, 2000 y XP requeren se haga con e parmetro lo*on pat'% Para efectos prctcos y de prevsn, utce ambos parmetros y defna a undad H para dcho voumen: 207 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux lo"on path I [[4D[=rofiles[4B lo"on home I [[4D[4B[.profile lo"on drive I 8: S se va a utzar Samba como Controador Prmaro de Domno, es necesaro estabecer e gun que e|ecutarn as estacones Wndows a conectarse haca e servdor. Esto se hace a travs de parmetro lo*on script e cua puede defnr o ben un gun a utzar por cada usuaro (%u.bat) o ben por cada mquna (%m.bat) o ben de modo genera para todos (ogon.cmd). Para no compcar as cosas, defna ncamente un gun genera para todos de sguente modo: lo"on script I lo"on.cmd E fchero /var/lib/samba/netlo*on/lo*on%cmd deber contener ago como o sguente: F;: windows client lo"on script F;: net time [[mi'servidor /S;< /R;S net use 8: [[mi'servidor[homes /=;FSCS<;N<:N9 E Controador Prmaro de Domno va a necestar tambn se defnan os guones a e|ecutar para dstntas tareas como ata de mqunas, usuaros y grupos as como a ba|a de stos. add user script I /usr/sbin/useradd 4u add machine script I /usr/sbin/useradd 'd /dev/null '" (MM 's /bin/false 'c 7Guenta de m^Luina7 ': 4u delete user script I /usr/sbin/userdel 4u delete "roup script I /usr/sbin/"roupdel 4" add user to "roup script I /usr/bin/"passwd 'a 4u 4" set primar# "roup script I /usr/sbin/usermod '" 4" 4u E parmetro add user script srve para defnr o que se deber e|ecutar en e trasfondo de sstema para crear una nueva cuenta de usuaro. E parmetro add mac'ine script es partcuarmente mportante porque es e mandato utzado para dar de alta cuentas de m;Guinas (trust accounts o cuentas de confanza) de modo autom;tico. E parmetro delete user script es para defnr o propo para emnar usuaros, delete *roup script para emnar grupos, add user to *roup para aadr usuaros a grupos y set primar2 *roup script para estabecer un grupo como e prncpa para un usuaro. "irectorio para Netlo*on 2 perfiles en $ontrolador <rimario de "ominio N<"$C S se va a utzar Samba como Controador Prmaro de Domno, es necesaro defnr os recursos donde resdr netogon y tambn dnde se amacenarn os perfes de os usuaros: netlo"on! comment I Network Do"on Service path I /var/lib/samba/netlo"on write list I 1administradores) 1admins_dominio "uest ok I Res browseable I Res =rofiles! path I /var/lib/samba/profiles read onl# I No "uest ok I Res create mask I M-MM director# mask I M0MM 208 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Genere con e mandato mkdr os drectoros /var/lib/samba/profiles y /var/lib/samba/netlo*on. E drectoro /var/lib/samba/profiles deber pertenecer a root y a grupo users y tener permso 1777 a fn de permtr crear e drectoro de perf correspondente para cada usuaro. mkdir 'p 'm (000 /var/lib/samba/profiles mkdir 'p /var/lib/samba/netlo"on ch"rp users /var/lib/samba/profiles 2S%5% Iniciar el servicio 2 a#adirlo al arranGue del sistema S ncara Samba por prmera vez reace o sguente: /sbin/service smb start S va a rencar e servco, reace o sguente: /sbin/service smb restart Para que Samba nce automtcamente cada vez que nce e servdor so e|ecute e sguente mandato: /sbin/chkconfi" smb on 2S%6% =ccediendo 'acia Samba 2S%6%+% :odo texto 2S%6%+%+% Smbclient Indudabemente e mtodo ms prctco y seguro es e mandato smbclient. ste permte acceder haca cuaquer servdor Samba o Wndows como s fuese e mandato ftp en modo texto. Para acceder a cuaquer recurso de aguna mquna Wndows o servdor SAMBA determne prmero qu vomenes o recursos compartdos posee sta. Utce e mandato smbclient de sguente modo: smbclient 'B usuario 'D al"una_maLuina Lo cua e devovera ms menos o sguente: %omain3>'<-%8'<7<8? 83>$nix? erver3>amba .!0!/-1!.:? harename "2pe Aomment --------- ---- ------- homes %isk Bome %irectories netlogon %isk 7et1ork ;ogon ervice ftp %isk ftp <CAF <CA <CA ervice (ervidor amba .!0!/-1!.: en mi-servidor) 6%'<7F <CA <CA ervice (ervidor amba .!0!/-1!.: en mi-servidor) epl)-00 Crinter Areated b2 redhat-config-printer 0!6!x hp())0b1 Crinter Areated b2 redhat-config-printer 0!6!x 209 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 6non2mous login successful %omain3>'<-%8'<7<8? 83>$nix? erver3>amba .!0!/-1!.:? erver Aomment --------- ------- mi-servidor ervidor amba .!0!/-1!.: en mi-servidor Korkgroup 'aster --------- ------- '<-%8'<7<8 '<-:RP<%8R Lo sguente corresponde a a sntaxs bsca para poder navegar os recursos compartdos por a mquna Wndows o e servdor SAMBA: smbclient //al"una_maLuina/recurso 'B usuario E|empo: smbclient //DCNBX/><= 'B jbarrios Despus de e|ecutar o anteror, e sstema soctar se proporcone a cave de acceso de usuaro jbarrios en e equpo denomnado .A#>C. smbclient //DCNBX/><= 'B jbarrios added interface ipI(W2.(-H.(.2,+ bcastI(W2.(-H.(.2,, nmaskI2,,.2,,.2,,.M =assword: EomainImiusuario! 9SIBnix! ServerISamba 2.2.(a! smb: [@ Pueden utzarse vrtuamente os msmos mandatos que en e ntrprete de ftp, como seran get, mget, put, de, etc. 2S%6%+%2% <or monta-e de unidades de red S necesta poder vsuazar desde GNU/Lnux a as mqunas con Wndows e nteractuar con os drectoros compartdos por stas, necestar reazar agunos pasos adconaes. De manera predetermnada, y por motvos de segurdad, soo root puede utzar os mandatos smbmnt y smbumount. Deber entonces estabecer permsos de SUID a dchos mandatos. Puede hacero e|ecutando, como root o sguente: chmod +0,, /usr/bin/smbmnt chmod +0,, /usr/bin/smbumount Para acceder haca una mquna Wndows determne prmero qu vomenes o recursos compartdos posee sta. Utce e mandato smbclient de sguente modo: smbclient 'N 'D al"una_maLuina Lo cua e devovera ms menos o sguente: 6non2mous login successful %omain3>'<-%8'<7<8? 83>$nix? erver3>amba .!0!/-1!.:? 210 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux harename "2pe Aomment --------- ---- ------- homes %isk Bome %irectories netlogon %isk 7et1ork ;ogon ervice ftp %isk ftp <CAF <CA <CA ervice (ervidor amba .!0!/-1!.: en mi-servidor) 6%'<7F <CA <CA ervice (ervidor amba .!0!/-1!.: en mi-servidor) epl)-00 Crinter Areated b2 redhat-config-printer 0!6!x hp())0b1 Crinter Areated b2 redhat-config-printer 0!6!x 6non2mous login successful %omain3>'<-%8'<7<8? 83>$nix? erver3>amba .!0!/-1!.:? erver Aomment --------- ------- mi-servidor ervidor amba .!0!/-1!.: en mi-servidor Korkgroup 'aster --------- ------- '<-%8'<7<8 '<-:RP<%8R En e e|empo anteror hay un voumen compartdo amado al%&nFvolumen. S queremos montaro, debemos crear un punto de monta|e. ste puede crearse en cuaquer drectoro sobre e que tengamos permsos de escrtura. Para montaro, utzamos entonces a sguente nea de mandato: smbmount //al"una_maLuina/al"\n_volumen /punto/de/montaje/ S a mquna Wndows requere un usuaro y una cave de acceso, puede aadr a o anteror as opcones 8usernameKelFnecesario 8pass4ordKelFrequerido 84or0%roupKMAGL>DI S a dstrbucn de GNU/Lnux utzada es recente, tambn puede utzar e ya conocdo mandato mount de sguente modo: mount 't smbfs 'o usernameIel_necesario)passwordIel_reLuerido //al"una_maLuina/al"\n_volumen /punto/de/montaje/ S se genera una cuenta pc%uest, smar a a cuenta nobody, podemos montar vomenes SMB sn ngresar una cave de acceso pero con prvegos restrngdos, o aqueos que defnamos a un voumen acceddo por un usuaro nvtado. Esto sera e mtodo por eeccn para compartr vomenes en una red de rea oca. Puede generarse una cuenta pc%uest o ben de|ar que e sstema tome a usuaro nobody. S opta por o prmero, so d de ata a cuenta, N0 asgne cave de acceso aguna. Montar vomenes remotos como usuaro nvtado es muy senco. Un e|empo rea sera: mount -t smbfs -o ,ues! //;<7$X/X"C //var/ftp Lo anteror monta un voumen SAMBA de una mquna con GNU/Lnux en otra mquna con GNU/Lnux. Puede aadrse tambn una entrada en 3etc3fstab de modo que so tenga que ser teceado mount 3punto3de3montaje. Esta nea sera de modo smar a sguente: //DCNBX/><= /var/ftp smbfs user)auto)"uest)ro)"idI(MM M M 211 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Recurdese que e voumen compartdo debe estar confgurado para permtr usuaros nvtados: >X"C? comment 3 CrogramZtica libre (RC') path 3 /var/ftp/pub public 3 \es guest ok 3 \es 2S%6%2% :odo *r;fico 2S%6%2%+% "esde el entorno de GN0:E S utza GNOME 2.x o superor, ste ncuye un mduo para Nautus que permte acceder haca os recursos compartdos a travs de Samba sn necesdad de modfcar cosa aguna en e sstema. Soamente hay que hacer cc en Servidores de red en e men de GNOME. 2S%6%2%2% "esde YindoMs Por su parte, desde Wndows deber ser posbe acceder sn probemas haca Samba como s fuese haca cuaquer otra mquna con Wndows. N Wndows n e usuaro notarn squera a dferenca. 2S%7% Uniendo m;Guinas al dominio del $ontrolador <rimario de "ominio E controador de domno permte utzar Samba como servdor de autentcacn y servdor de archvos que adems permte amacenar e perf, preferencas y documentos de usuaro en e servdor automtcamente sn a ntervencn de usuaro. 212 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 2S%7%+% $reando manualmente cuentas de m;Guinas Ba|o agunas crcunstancas ser necesaro crear cuentas de mqunas (trust accounts o cuentas de confanza) a fn de permtr unrse a domno. E procedmento es smpe: /usr/sbin/useradd 'd /dev/null '" (MM 's /bin/false 'c 7Guenta de m^Luina7 ': maLuina'windows: smbpasswd 'a maLuina'windows: Cabe resatar que as cuentas de mqunas deben ncur obli*atoriamente un smboo $ a fna de nombre. 2S%7%2% YindoMs S5/S9/:E 2 YindoMs E< Home Ya que os sstemas con Wndows 95/98/ME y Wndows XP Home no ncuyen una mpementacn competa como membros de domno, no se requeren cuentas de confanza. E procedmento para unrse a domno es e sguente: Acceder haca Men de nco Confguracones Pane de contro Red. Seeccone a pestaa de Confguracn. Seeccone Cente de redes Mcrosoft. Haga cc en e botn de propedades. Seeccone Acceder a domno de Wndows NT y especfque e domno correspondente. Haga cc en todos os botones de Aceptar y rence e sstema. Acceda con cuaquer usuaro que haya sdo dado de ata en e servdor Samba y que adems cuente con una cave de acceso asgnada con smbpasswd. 2S%7%3% YindoMs N> Crear manuamente a cuenta de mquna como se descrb anterormente. Acceder haca Men de nco Confguracones Pane de contro Red. Seecconar a pestaa de Identfcacn. Cc en e botn de Cambar. Ingrese e nombre de domno y e nombre de sstema. No selecione Crear una cuenta de mquna en e Domno. Cc en Aceptar. Espere agunos segundos. Deber mostrarse un mensa|e emergente de confrmacn que dce Benvendo a MI-DOMINIO. Rence e sstema. Acceda con cuaquer usuaro que haya sdo dado de ata en e servdor Samba y que adems cuente con una cave de acceso asgnada con smbpasswd. 2S%7%4% YindoMs 2000/2003 2 YindoMs E< <rofesional Cc derecho en e cono de M PC. Seecconar Propedades. 213 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Haga cc en a pestaa de Identfcacn de red o Nombre de sstema. Cc en e botn de Propedades. Cc en e botn Membro de domno. Ingrese e nombre de domno y e nombre de a mquna y haga cc en e botn de Aceptar. Aparecer un dogo que preguntar por una cuenta y cave de acceso con prvegos de admnstracn en e servdor. Especfque a root y a cave de acceso que asgn a a cuenta de root con e mandato smbpasswd (N0 L= $L=PE "E =$$ES0 "E (00> EN EL SIS>E:=). Espere agunos segundos. Deber mostrarse un mensa|e emergente de confrmacn que dce Benvendo a MI-DOMINIO. Rence e sstema. Acceda con cuaquer usuaro que haya sdo dado de ata en e servdor Samba y que adems cuente con una cave de acceso asgnada con smbpasswd. 214 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 30% La in*enier.a social 2 los [incorrectos\ ';bitos del usuario Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. E Tan de Aques de cuaquer red o componen os usuaros que a ntegran. La me|or tecnooga y segurdad de mundo es nservbe cuando un usuaro es ncapaz de mantener en secreto una cave de acceso o nformacn confdenca. Es por ta motvo que tene partcuar reevanca e mpusar una cutura de concencar a os usuaros acerca de os pegros de a Ingenera Soca en a segurdad nformtca. E ms cebre persona|e que utz sta tan extosamente, que durante agn tempo se convrt en e hombre ms buscado por e FBI fue Kevn Mtnck. An%eniera -ocial es la prctica de obtener informaci'n confidencial a trav)s de la manipulaci'n de usuarios le%timos. >n in%eniero social usar com&nmente el tel)fono o Anternet para en%a,ar a la %ente y llevarla a revelar informaci'n sensible, o bien a violar las polticas de se%uridad tpicas. "on este m)todo, los in%enieros sociales aprovec!an la tendencia natural de la %ente a confiar en su palabra, antes que aprovec!ar a%ujeros de se%uridad en los sistemas informticos. Generalmente se est de acuerdo en que Mlos usuarios son el eslab'n d)bilE en se%uridadN )ste es el principio por el que se ri%e la in%eniera social. 5i0ipedia, la enciclopedia libre. Cscos e|empos de ataques extosos aprovechando a ngenera soca es e envo de os ad|untos en e correo eectrnco (vrus, troyanos y gusanos) que pueden e|ecutar cdgo macoso en una estacn de traba|o o computadora persona. Lo anteror fue o que obg a os proveedores de sustento gco a desactvar e e|ecucn automtca de os ad|untos a abrr e mensa|e de correo eectrnco, por o que es necesaro que e usuaro actve esta funconadad de modo expcto a fn de vover a ser vunerabe. Sn embargo, a mayora de os usuaros smpemente hacen cc con e ratn a cuaquer cosa que egue en e correo eectrnco, hacendo que ste mtodo de ngenera soca sea extoso. Otro tpo de ataque de ngenera soca e ncrebemente e ms fc de reazar, consste en engaar a un usuaro hacndoe pensar que se trata de un admnstrador de a red donde se abora soctando caves de acceso u otro tpo de nformacn confdenca. Buena parte de correo eectrnco que ega a buzn de usuaro consste de engaos soctando caves de acceso, nmero de tar|eta de crdto y otra nformacn, hacendo pensar que es con una fnadad egtma, como sera e caso de reactvar o crear una cuenta o confguracn. Este tpo de ataque se conoce actuamente como p!isin% (pesca). Lamentabemente muchos estudos muestran que os usuaros tenen una pobre concenca acerca de a mportanca de a segurdad. Una encuesta de InfoSecurty arro| como resutados que 90% de os ofcnstas reveara una cave de acceso a cambo de un bografo. 215 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Un tpo de ngenera soca muy efectvo es ncur grandes cantdades de texto a un acuerdo de cencamento. La gran mayora de os usuaros, ncuyendo admnstradores, rara vez een squera una paabra contenda en dcho texto y sencamente dan cc en a aceptacn de cencamentos y acuerdos. Esto reguarmente es aprovechado por Adware (sustento gco que despega anuncos comercaes) y Spyware (sustento gco que espa a actvdad de usuaro). En Latnoamrca este probema es an mayor debdo a vergonzoso y pobre ndce de ectura (menos de un bro por ao). La prncpa defensa contra a ngenera soca es a educacn de usuaro, empezando por os propos admnstradores de redes. La me|or forma de combatr a ngenera soca es a prevencn. 30%+% (ecomendaciones para evitar ser v.ctimas de la in*enier.a social a travFs del correo electrnico No utzar cuentas de correo eectrnco para uso persona para asuntos aboraes. No utzar cuentas de correo eectrnco destnadas para uso abora para asuntos personaes. Adestrar a os usuaros para |ams pubcar cuentas de correo en reas pbcas que permtan sean cosechadas a travs de sustento gco hecho para este fn. Adestrar a usuaro para no pubcar cuentas de correo eectrnco en ugares pbcos. Adestrar a usuaro para evtar proporconar cuentas de correo eectrnco y otros datos personaes a personas o entdades que puedan utzar stos con otros fnes. Evtar pubcar dreccones de correo eectrnco en formuaros destnados a recabar datos de os centes utzando formuaros que ocuten a dreccn de correo eectrnco. S es nevtabe, utzar una cuenta destnada y dedcada para ser mostrada a travs de HTTP. Adestrar a usuaro a utzar caves de acceso ms compe|as. Adestrar a usuaro a no abrr y dar cc a todo o que egue por correo. Adestrar a usuaro para |ams responder a un mensa|e de spam. Adestrar a usuaro a no hacer cc en os enaces en os mensa|es de spam y que pueden ser utzados para confrmar a spammer que se trata de una cuenta de correo actva. 216 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 3+% $onfi*uracin b;sica de Sendmail Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 3+%+% Introduccin 3+%+%+% =cerca de Sendmail Es e ms popuar agente de transporte de correo (MTA o :a >ransport =gent), responsabe quz de poco ms de 70% de correo eectrnco de mundo. Aunque por argo tempo se e ha crtcado por muchos ncdentes de de segurdad, o certo es que stos sempre han sdo resuetos en pocas horas. URL: http://www.sendma.org/. 3+%+%2% =cerca de "ovecot "ovecot es un servdor de POP3 e IMAP de fuente aberta que funcona en Lnux y sstemas basados sobre Unx y est dseado con a segurdad como prncpa ob|etvo. "ovecot puede utzar tanto e formato mbox como maildir y es compatbe con as mpementacones de os servdores UW-IMAP y Courer IMAP. URL: http://dovecot.procontro.f/. 3+%+%3% =cerca de S=SL 2 $2rus S=SL S=SL (Smpe =uthentcaton and Securty Layer) es un estructura para a segurdad de datos en protocoos de Internet. Desempare|a mecansmos de a autentcacn desde protocoos de apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn soportado por SASL para ser utzado en cuaquer protocoo de apcacn que capaz de utzar SASL. Actuamente SASL es un protocoo de a IETF (Internet Engneerng >ask 7orce) que ha sdo propuesto como estndar. Est especfcado en e (7$ 2222 creado por |ohn Meyers en a Unversdad Carnege Meon. $2rus S=SL es una mpementacn de S=SL que puede ser utzada de ado de servdor o de ado de cente y que ncuye como prncpaes mecansmos de autentcacn soportados a ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y PLAIN. E cdgo fuente ncuye tambn soporte para os mecansmos LOGIN, SRP, NTLM, OPT y KERBEROS_V4. URL: http://asg.web.cmu.edu/sas/sas-brary.htm. 217 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 3+%+%4% <rotocolos utili8ados 3+%+%4%+% S:>< NSimple :ail >ransfer <rotocolC Es un protocolo est;ndar de Internet de Nivel de =plicacin utzado para a transmsn de correo eectrnco a travs de una conexn TCP/IP. Este es de hecho e nco protocoo utzado para a transmsn de correo eectrnco a travs de Internet. Es un protocoo basado sobre texto y reatvamente smpe donde se especfcan uno ms destnataros en un mensa|e que es transferdo. A o argo de os aos han sdo muchas as personas que han edtado o contrbudo a as especfcacones de S:><, entre as cuaes estn |on Poste, Erc Aman, Dave Crocker, Ned Freed, Randa Geens, |ohn Kensn y Keth Moore. Para determnar e servdor S:>< para un domno dado, se utzan os regstros :E (:a Exchanger) en a Zona de Autordad correspondente a ese msmo domno contestado por un Servidor "NS. Despus de estabecerse una conexn entre e remtente (e cente) y e destnataro (e servdor), se nca una sesn S:><, e|empfcada a contnuacn. Gliente: 2 telnet 12;#0#0#1 25 Servidor: <r#in" (20.M.M.(... Gonnected to localhost.localdomain $(20.M.M.(&. ;scape character is V_!V. 22M nombre.dominio ;S:<= Sendmail H.(*.(/H.(*.(` Sat) (H :ar 2MM- (-:M2:20 'M-MM Gliente: <4-= local&ost#localdomain Servidor: 2,M nombre.dominio 8ello localhost.localdomain (20.M.M.(!) pleased to meet #ou Gliente: >.?- F@=>:fulano!local&ost#localdomain$ Servidor: 2,M 2.(.M ?fulano1localhost.localdomain@... Sender ok Gliente: @APB B=:root!local&ost#localdomain$ Servidor: 2,M 2.(., ?root1localhost.localdomain@... Fecipient ok Gliente: C.B. Servidor: *,+ ;nter mail) end with 7.7 on a line b# itself Gliente: Du%2ect: >ensa2e de prue%a From: fulano!local&ost#localdomain Bo: root!local&ost#localdomain <ola# 4ste es un mensa2e de prue%a# .dios# # Servidor: 2,M 2.M.M k2C:2FjQMM*WH0 :essa"e accepted for deliver# Gliente: EU?B Servidor: 22( 2.M.M nombre.dominio closin" connection Servidor: Gonnection closed b# forei"n host. La descrpcn competa de protocoo orgna S>:< est defndo en e (7$ 92+, aunque e protocoo utzado hoy en da, tambn conocdo como ES:>< (Extended Smpe :a >ransfer <rotoco), est defndo en e (7$ 292+. S:>< traba|a sobre >$< en e puerto 25. 3+%+%4%2% <0<3 N<ost 0ffice <rotocolX version 3C Es un protocolo est;ndar de Internet de Nivel de =plicacin que recupera e correo eectrnco desde un servdor remoto a travs de una conexn TCP/IP desde un cente oca. E dseo de <0<3 y sus predecesores es permtr a os usuaros recuperar e correo eectrnco a estar conectados haca una red y manpuar os mensa|es recuperados sn necesdad de permanecer conectados. A pesar de que muchos centes de correo eectrnco ncuyen soporte para de|ar e correo en e servdor, todos os centes de POP3 recuperan todos os mensa|es y os amacenan como mensa-es nuevos en a computadora o anftrn utzado por e usuaro, emnan os mensa|es en e servdor y termnan a conexn. Despus de estabecerse una conexn entre e cente y e servdor, se nca una sesn <0<3, 218 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux e|empfcada a contnuacn. Gliente: 2 telnet 12;#0#0#1 110 Servidor: <r#in" (20.M.M.(... Gonnected to localhost.localdomain $(20.M.M.(&. ;scape character is V_!V. a9T dovecot read#. Gliente: UD4@ fulano Servidor: a9T Gliente: P.DD clave de accceso Servidor: a9T Do""ed in. Gliente: DB.B Servidor: a9T ( 02H Gliente: -?DB Servidor: a9T ( messa"es: ( 02H . Gliente: @4B@ 1 Servidor: a9T 02H octets Feturn'=ath: ?fulano1localhost.localdomain@ Feceived: from localhost.localdomain $localhost.localdomain (W2.(-H.(.2,+!& b# localhost.localdomain $H.(*.(/H.(*.(& with S:<= id k2C:2FjQMM*WH0 for ?root1localhost.localdomain@` Sat) (H :ar 2MM- (-:M*:2( 'M-MM Eate: Sat) (H :ar 2MM- (-:M2:20 'M-MM :essa"e'Cd: ?2MM-M*(H22M*.k2C:2FjQMM*WH01localhost.localdomain@ Subject: :ensaje de prueba >rom: fulano1localhost.localdomain <o: root1localhost.localdomain Status: 9 Gontent'Den"th: +* Dines: 2 X'BCE: 2M2 X'Te#words: 8ola. ;ste es un mensaje de prueba. Qdios. . Gliente: EU?B Servidor: a9T Do""in" out. Gonnection closed b# forei"n host. <0<3 est defndo en e (7$ +S3S. <0<3 traba|a sobre >$< en e puerto 110. 3+%+%4%3% I:=< NInternet :essa*e =ccess <rotocolC Es un protocolo est;ndar de Internet de Nivel de =plicacin utzado para acceder haca e correo eectrnco en un servdor remoto a travs de una conexn TCP/IP desde un cente oca. La versn ms recente de I:=< es a 4, revsn 1, y est defnda en e (7$ 350+. I:=< traba|a sobre >$< en e puerto 143. Fue dseado por Mark Crspn en 1986 como una aternatva ms moderna que cubrera as defcencas de <0<3. Las caracterstcas ms mportantes de I:=< ncuyen: Soporte para os modos de operacn conectado (connected) y desconectado (dsconnected), permtendo a os centes de correo eectrnco permanezcan conectados e tempo que su nterfaz permanezca actva, descargando os mensa|es conforme se neceste. A dferenca de <0<3, permte accesos smutneos desde mtpes centes y proporcona os mecansmos necesaros para stos para que se detecten os 219 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux cambos hechos por otro cente de correo eectrnco concurrentemente conectado en e msmo buzn de correo. Permte a os centes obtener ndvduamente cuaquer parte :I:E (acrnmo de :ut-Purpose Internet :a Extensons o Extensones de correo de Internet de propstos mtpes), as como tambn obtener porcones de as partes ndvduaes o ben os mensa|es competos. A travs de banderas defndas en e protocoo, vgar a nformacn de estado de os mensa|es de correo eectrnco que se mantengan en e servdor. Por e|empo s e estado de mensa|e es le.do, no le.do, respondido o eliminado. Incuye soporte para mtpes buzones de correo eectrnco que permte crear, renombrar o emnar mensa|es de correo eectrnco presentados en e servdor dentro de carpetas, y mover stos mensa|es entre dstntas cuentas de correo eectrnco. Esta caracterstca tambn permte a servdor proporconar acceso haca os carpetas pbcas y compartdas. Incuye soporte para reazar bsquedas de ado de servdor a travs de mecansmos que permten obtener resutados de acuerdo a varos crteros, permtendo evtar que os centes de correo eectrnco tengan que descargar todos os mensa|es desde e servdor. Las especfcacones de protocoo I:=< defnen un mecansmo expcto medante e cua puede ser me|orada su funconadad a travs de extensones. Un e|empo es a extensn I:=< I"LE, a cua permte sncronzar ente e servdor y e cente a travs de avsos. Despus de estabecerse una conexn entre e cente y e servdor, se nca una sesn I:=<, e|empfcada a contnuacn. Gliente: 2 telnet 12;#0#0#1 1FG Servidor: <r#in" (20.M.M.(... Gonnected to localhost.localdomain $(20.M.M.(&. ;scape character is V_!V. 3 9T dovecot read#. a9T dovecot read#. Gliente: x -=,?6 fulano clave de acceso Servidor: x 9T Do""ed in. Gliente: x D4-4AB in%ox Servidor: 3 >DQKS $[Qnswered [>la""ed [Eeleted [Seen [Eraft& 3 9T =;F:QN;N<>DQKS $[Qnswered [>la""ed [Eeleted [Seen [Eraft [3&! >la"s permitted. 3 ( ;XCS<S 3 M F;G;N< 3 9T BNS;;N (! >irst unseen. 3 9T BCEJQDCEC<R ((MM,-W*H2! BCEs valid 3 9T BCEN;X< 2M*! =redicted next BCE x 9T F;QE'SFC<;! Select completed. Gliente: x F4BA< 1 (flags %od7H&eader#fields (su%2ect)I) Servidor: 3 ( >;<G8 $>DQKS $[Seen& A9ER8;QE;F.>C;DES $SBAb;G<&! 5*M6 Subject: :ensaje de prueba & x 9T >etch completed. . Gliente: x F4BA< 1 (%od7HtextI) Servidor: 3 ( >;<G8 $A9ER<;X<! 5+,6 8ola. ;ste es un mensaje de prueba. Qdios. & x 9T >etch completed. Gliente: x -=,=UB Servidor: 3 AR; Do""in" out x 9T Do"out completed. Gonnection closed b# forei"n host. 220 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 3+%2% Sustento l*ico necesario sendma make sendma-cf cyrus-sas dovecot (o ben map) cyrus-sas-md5 m4 cyrus-sas-pan 3+%2%+% Instalacin a travFs de 2um S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, e paquete map es reempazado por e paquete dovecot. De ta modo que se e|ecuta o sguente: #um '# install sendmail sendmail'cf do1ecot m+ make c#rus'sasl c#rus'sasl'md, c#rus'sasl'plain S se utza de CentOS 3 o Whte Box Enterprse Lnux 3, e paquete map es reempazado por e paquete dovecot. De ta modo que se e|ecuta o sguente: #um '# install sendmail sendmail'cf imap m+ make c#rus'sasl c#rus'sasl'md, c#rus'sasl'plain S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que ste utza e mtodo de autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un servdor Kerberos: #um '# remove c#rus'sasl'"ssapi 3+%2%2% Instalacin a travFs de Up2date S se utza de Red Hat Enterprse Lnux 4, e paquete map es reempazado por e paquete dovecot. De ta modo que se e|ecuta o sguente: up2date 'i sendmail sendmail'cf do1ecot m+ make c#rus'sasl c#rus'sasl'md, c#rus'sasl'plain S se utza de Red Hat Enterprse Lnux 3, e paquete map es reempazado por e paquete dovecot. De ta modo que se e|ecuta o sguente: up2date 'i sendmail sendmail'cf imap m+ make c#rus'sasl c#rus'sasl'md, c#rus'sasl'plain S acaso estuvese nstaado, emne e paquete c2rus)sasl)*ssapi, ya que ste utza e mtodo de autentcacn GSS=<I, msmo que requerra de a base de datos de cuentas de usuaro de un servdor Kerberos: rpm 'e c#rus'sasl'"ssapi 221 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 3+%3% <rocedimientos 3+%3%+% =lta de cuentas de usuario 2 asi*nacin de claves de acceso E ata de usuaros a travs de este mtodo ser dferente de a manera tradcona, debdo a que para utzar e mtodo de autentcacn para S:><, Sendma utzar S=SL. Por ta motvo, e ata de cuentas de usuaro de correo deber de segur e sguente procedmento: +% Ata de a cuenta de usuaro en e sstema, a cua se sugere no deber tener acceso a ntrprete de mandato aguno: useradd -s /sbin/nologin fulano 2% Asgnacn de caves de acceso en e sstema para permtr autentcar a travs de os mtodos <L=IN y L0GIN para autentcar S:>< y a travs de os protocoos <0<3 e I:=<: pass1d usuario 3% Asgnacn de caves de acceso para autentcar S:>< a travs de mtodos cfrados ($(=:):"5 y "IGES>):"5) en sstemas con versn de Sendma compada contra S=SL)2 (Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4), requeren utzar e mandato saslpassMd2 de sguente modo: s)slp)ssw*2 usuario 4% Asgnacn de caves de acceso para autentcar S:>< a travs de mtodos cfrados ($(=:):"5 y "IGES>):"5) en sstemas con versn de Sendma compada contra S=SL)+ (Red Hat Enterprse Lnux 3, CentOS 3 o Whte Box Enterprse Lnux 3), requeren utzar e mandato saslpassMd de sguente modo: saslpass1d usuario 5% La autentcacn para S:>< a travs de cuaquer mecansmo requere se actve e nce e servco de saslaut'd de sguente modo: chkconfig saslauthd on service saslauthd start Puede mostrarse a sta de os usuaros con cave de acceso a travs de SASL-2 utzando e mandato sasldblistusers2. Puede mostrarse a sta de os usuaros con cave de acceso a travs de SASL-1 utzando e mandato sasldblistusers. S ya se cuenta con un grupo de caves de acceso de usuaros dados de ata en SASL-1, se pueden convertr haca SASL-2 con e mandato dbconverter)2. 3+%3%2% "ominios a administrar Estabecer domnos a admnstrar en e fchero /etc/mail/local)'ost)names de sguente modo: dominio!com mail!dominio!com mi-otro-dominio!com mail!mi-otro-dominio!com Estabecer domnos permtdos para poder envar correo en: 222 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux vi /etc/mail/rela#'domains Por defecto, no exste dcho fchero, hay que generaro. Para fnes generaes tene e msmo contendo de /etc/mail/local)'ost)names a menos que se desee excur agn domno en partcuar. dominio!com mail!dominio!com dominio(!com mail!dominio(!com 3+%3%3% $ontrol de acceso Defnr sta de contro de acceso en: vi /etc/mail/access Incur soo as IPs ocaes de servdor y a sta negra de dreccones de correo, domnos e IPs denegadas. Consdere que cuaquer IP que vaya acompaada de F;DQR se e permtr envar correo sn necesdad de autentcar, o cua puede ser t s se utza un cente de correo con nterfaz HTTP (Webma) en otro servdor. E|empo: L Aheck the /usr/share/doc/sendmail/R:6%':!cf file for a description L of the format of this file! (search for access5db in that file) L "he /usr/share/doc/sendmail/R:6%':!cf is part of the sendmail-doc L package! L L b2 default 1e allo1 rela2ing from localhost!!! localhost!localdomain R:;6\ localhost R:;6\ 1(/!0!0!1 R:;6\ L L %irecci@n <C del propio servidor! 1-(!16,!1!()+ R:;6\ L L 8tros servidores de correo en la ;67 a los Oue se les permitirZ enviar L correo libremente a trav^s del propio servidor de correo! 1-(!16,!1!(). R:;6\ 1-(!16,!1!()( R:;6\ L L %irecciones <C Oue solo podrZn entregar correo de forma local= es decir= L no pueden enviar correo fuera del propio servidor! 1-(!16,!(!(+ 8Q 1-(!16,!(!(. 8Q 1-(!16,!(!() 8Q L L ;ista negra usuarioTmolesto!com R:U:A" productoinutil!com!mx R:U:A" 10!+!)!6 R:U:A" L L 9loOues de 6sia Cacific 7et1orks= <C desde el cual se emite la ma2or L parte del pam del mundo! L ;as redes involucradas abarcan 6ustralia= Uap@n= Ahina= Qorea= "ai1an= 223 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L Bong Qong e <ndia por lo Oue bloOuear el correo de dichas redes significa L cortar comunicaci@n con estos paYses= pero acaba con entre el 60& 2 ,0& L del pam! ((( R:U:A" ((1 R:U:A" ((0 R:U:A" (1- R:U:A" (1, R:U:A" (1( R:U:A" (11 R:U:A" (10 R:U:A" (0. R:U:A" (0( R:U:A" 1+0!10- R:U:A" 1.. R:U:A" 61 R:U:A" 60 R:U:A" )- R:U:A" ), R:U:A" 3+%3%4% =lias de la cuenta de root No es convenente estar autentcando a cuenta de root a travs de a red para revsar os mensa|es orgnados por e sstema. Se debe defnr aas para a cuenta de root a donde redrecconar e correo en e fchero /etc/aliases de sguente modo: root: fulano 3+%3%5% $onfi*uracin de funciones de Sendmail Modfcar e fchero /etc/mail/sendmail%mc y desactvar o habtar funcones: vi /etc/mail/sendmail!mc 3+%3%5%+% confS:><QL0GINQ:SG Este parmetro permte estabecer e mensa|e de benvenda a estabecer a conexn a servdor. Es posbe ocutar e nombre y a versn de Sendma, esto con e ob|eto de agregar segurdad por secreto. Funcona smpemente hacendo que quen se conecte haca e servdor no pueda saber qu sustento gco y versn de msmo se est utzando y con eos dfcutar a un dencuente o abusador de servco e determnar qu vunerabdad especfca expotar. Recomendamos utzar o sguente: define$UconfS:<=_D9KCN_:SKV)U2j ` 2bV&dnl Lo anteror regresar ago como o sguente a reazar una conexn haca e puerto 25 de servdor: F telnet 1(/!0!0!1 () "r2ing 1(/!0!0!1!!! Aonnected to nombre!dominio! :scape character is I`?I! ((0 nombre!dominio :'"C N 'on= 1/ 'a2 (00+ 0(:((:(- -0)00 Ouit 224 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ((1 (!0!0 nombre!dominio closing connection Aonnection closed b2 foreign host! F Est confguracn se puede poner |usto antes de a ena correspondente a parmetro conf=U>HQ0<>I0NS. 3+%3%5%2% conf=U>HQ0<>I0NS S se utza a sguente nea, habtada por defecto, se permtr reazar autentcacn a travs de puerto 25 por cuaquer mtodo, ncuyendo PLAIN, e cua se reaza en texto smpe. Esto mpca certo resgo de segurdad. define(aconf6$"B58C"<87I=a6I)dnl S comenta a anteror nea con dnl, y se utza en cambo a sguente nea, se desactva a autentcacn por una de texto smpe en conexones no seguras (TLS), de modo ta que so se podr autentcar a travs de mtodos que utcen cfrado, como sera CRAM-MD5 y DIGEST-MD5. Esto obli*a a utili8ar clientes de correo electrnico con soporte para autenticacin a travFs de $(=:):"5 2 "IGES>):"5. define(aconf6$"B58C"<87I=a8 pI)dnl 3+%3%5%3% >(US>Q=U>HQ:E$H 2 conf=U>HQ:E$H=NIS:S S se desea utzar SMTP autentcado para equpos no ncudos dentro de fchero /etc/mail/access, se requeren descomentar as sguentes dos neas, emnando e dnl que es precede: <FBS<_QB<8_:;G8$U;X<;FNQD ECK;S<':E, GFQ:':E, D9KCN =DQCNV&dnl define$UconfQB<8_:;G8QNCS:SV) U;X<;FNQD KSSQ=C ECK;S<':E, GFQ:':E,D9KCN =DQCNV&dnl 3+%3%5%4% "=E:0NQ0<>I0NS De modo predefndo Sendmail escucha petcones a travs de a nterfaz de retorno de sstema por medo de I<v4 (127.0.0.1) y no a travs de otros dspostvos de red. So se necesta emnar as restrccn de a nterfaz de retorno para poder recbr correo desde Internet o a LAN. Locace a sguente nea: %6:'8758C"<87(aCort3smtp=8**r712G.0.0.15 7ame3'"6I)dnl Emne de dcho parmetro e vaor =ddrT+27%0%0%+ y a coma (,) que e antecede, de sguente modo: %6:'8758C"<87(aCort3smtp= 7ame3'"6I)dnl 3+%3%5%5% 7E=>U(ENbacceptQunresolvableQdomainscC De modo predefndo, como una forma de permtr e correo de propo sstema en una computadora de escrtoro o una computadora portt, est se utza e parmetro 7E=>U(ENbacceptQunresolvableQdomainscC. Sn embargo se recomenda desactvar esta funcn a fn de mpedr aceptar correo de domnos nexstentes (generamente utzado para e envo de correo masvo no soctado o Spam), basta con comentar esta confguracn precedendo un dnl, 225 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux de sguente modo: *nl X:6"$R:(aaccept5unresolvable5domainsI)dnl 3+%3%5%6% Enmascaramiento Habtar as sguentes neas y adaptar vaores para defnr a mscara que utzar e servdor: '6b$:R6%:56(a*ominio.+omI)dnl X:6"$R:(masOuerade5envelope)dnl X:6"$R:(masOuerade5entire5domain)dnl S va a admnstrar mtpes domnos, decare os domnos que no se quera enmascarar con e parmetro :=SAUE(="EQEE$E<>I0N de sguente modo: '6b$:R6%:56(adominio!comI)dnl ;8/M($A8N$_$O?$->E.@(P*ominio2.ne!0)*nl ;8/M($A8N$_$O?$->E.@(P*ominio3.or,0)*nl ;8/M($A8N$_$O?$->E.@(P*ominio&.+om.m#0)*nl X:6"$R:(masOuerade5envelope)dnl X:6"$R:(masOuerade5entire5domain)dnl 3+%3%5%7% <ar;metro $M Aadr a fna de fchero /etc/mail/sendmail%mc un parmetro que defna qu dominio.com se trata de un domno oca. Note que no debe haber espacos entre $M y dominio%com, y que $M se escrbe con una $ mayscua y una M mnscua. Gwdominio#com 3+%3%6% Usuarios Pirtuales S se desea brndar un servco de hospeda|e de domnos vrtuaes permtendo que os usuaros enven y recban correo utzando sus propos domnos, se deben aadr os sguentes parmetros deba|o de a funcn de virtusertable de fchero /etc/mail/sendmail%mc: X:6"$R:(avirtusertableI=ahash -o /etc/mail/virtusertable!dbI)dnl =$8>(A$(P,eneri+s!)ble05P)s 'o /e!+/m)il/,eneri+s!)ble.*b0)*nl G$@$AE?/_N.;8E@_=E%$(P/e!+/m)il/,eneri+s'*om)ins0)*nl Se generan tres fcheros nuevos dentro de drectoro /etc/mail: touch /etc/mail/Rvir!user!)ble=,eneri+s!)ble=,eneri+s'*om)insS E fchero /etc/mail/virtusertable srve para defnr qu cuentas de correo vrtuaes se entregan en os buzones correspondentes. La separacin de columnas se 'ace con tabuladores. En e e|empo se entrega e correo de webmaster@domno1.net en a cuenta mengano y e correo de webmaster@domno2.com en e buzn de usuaro perengano: 1ebmasterTdominio1!net mengano 1ebmasterTdominio(!com perengano 226 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Para hacer que e correo de usuaro mengano saga de servdor como webmaster@domno1.net y e de perengano saga como webmaster@domno2.com, es necesaro hacer e contendo contraro de /etc/mail/virtusertable de sguente modo: mengano 1ebmasterTdominio1!net perengano 1ebmasterTdominio(!com Para efector prctcos, se pueden mantener sncronzados ambos fcheros traba|ando drectamente con /etc/mail/virtusertable y e|ecutando e sguente gun que se encargar de pasar e texto desde /etc/mail/virtusertable con orden nvertdo de coumnas haca /etc/mail/*enericstable. 1hile read cuenta usuario garbage do echo -e GFRusuarioSDtFRcuentaSG HH /tmp/genericstable done V /etc/mail/virtusertable mv /tmp/genericstable /etc/mail/genericstable E fchero /etc/mail/*enerics)domains debe contener prctcamente o msmo que /etc/mail/local)'ost)names ms os domnos que vayan a estar sendo utzados por domnos vrtuaes. dominio!com dominio1!net dominio(!com Invarabemente os fcheros /etc/mail/virtusertable%db y /etc/mail/*enericstable%db deben actuazarse con e contendo de /etc/mail/virtusertable y /etc/mail/*enericstable, respectvamente, cada vez que se se reace cuaquer tpo de cambo, como actuazar, aadr o emnar cuentas de correo vrtuaes. for f in virtusertable genericstable do makemap hash /etc/mail/FRfS!db V FRfS done 3+%3%7% $ontrol del correo c'atarra NSpamC a travFs de "NS!Ls S se desea cargar listas ne%ras para mtgar e Spam, pueden aadrse as sguentes neas |usto arrba de MAA.EL(smtpdnl: >;Q<BF;$dnsbl) Ublackholes.mail'abuse.or"V) UFecha%ado ' vea http://www.mail'abuse.or"/rbl/V&dnl >;Q<BF;$dnsbl) Udialups.mail'abuse.or"V) UFecha%ado ' vea http://www.mail'abuse.or"/dul/V&dnl >;Q<BF;$dnsbl) Urela#s.mail'abuse.or"V) UFecha%ado ' vea http://work'rss.mail'abuse.or"/rss/V&dnl >;Q<BF;$dnsbl) Usbl'xbl.spamhaus.or"V) U7,,M Su C= esta en lista ne"ra en Spamhaus ' =or favor vea http://www.spamhaus.or"/Luer#/blcipIa72d5client_addr6V&dnl >;Q<BF;$dnsbl) Ubl.spamcop.netV) U7,,M Su C= esta en lista ne"ra en SpamG9= ' =or favor vea http://spamcop.net/bl.shtmlc72d5client_addr6V&dnl >;Q<BF;$dnsbl) Ulist.dsbl.or"V) U7,,M Su C= esta en lista ne"ra en ESAD ' =or favor vea http://dsbl.or"/listin"c72d5client_addr6V&dnl >;Q<BF;$dnsbl) Umultihop.dsbl.or"V) U7,,M Su C= esta en lista ne"ra en ESAD ' =or favor vea http://dsbl.or"/listin"c72d5client_addr6V&dnl >;Q<BF;$dnsbl) Udnsbl.ahbl.or"V)U7,,M Su C= esta en lista ne"ra en Q8AD ' =or favor vea http://www.ahbl.or"/tools/lookup.phpcipI72d5client_addr6V&dnl >;Q<BF;$dnsbl) Urhsbl.ahbl.or"V)U7,,M Su C= esta en lista ne"ra en Q8AD ' =or favor vea http://www.ahbl.or"/tools/lookup.phpcipI72d5client_addr6V&dnl >;Q<BF;$dnsbl) Ubl.csma.bi%V) U7,,M Su C= esta en lista ne"ra en GS:Q ' =or favor vea http://bl.csma.bi%/c"i'bin/listin".c"icipI72d5client_addr6V&dnl >;Q<BF;$dnsbl) Udnsbl.antispam.or.idV) U7,,M Su C= esta en lista ne"ra en QENSAD ' =or favor vea http://antispam.or.id/cipI72d5client_addr6V&dnl 227 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux >;Q<BF;$dnsbl) Ublacklist.spamba".or"V) U7,,M Su C= esta en lista ne"ra en S=Q:AQK ' =or favor vea http://www.spamba".or"/c"i'bin/spamba"cLuer#I72d5client_addr6V&dnl 3+%3%9% <rotocolos para acceder 'acia el correo S utza Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4, e paquete map es reempazado por dovecot, e cua funcona como otros servcos. Se debe modfcar e fchero /etc/dovecot%conf y habtar os servcos de map y/o pop3 de sguente modo (de modo predefndo estn habtados map e maps): L Crotocols 1e 1ant to be serving: L imap imaps pop. pop.s pro!o+ols 7 im)p pop3 E servco se agrega a arranque de sstema y se nca de sguente modo: chkconfig dovecot on service dovecot start S utza Red Hat Enterprse Lnux 3, CentOS 3 o Whte Box Enterprse Lnux 3, e procedmento utzar e paquete map, e cua requere un smpe mandato para actvar e servco. chkconfig imap on chkconfig ipop. on 3+%3%S% (einiciando servicio Para rencar servco de Sendma bastar con e|ecutar: service sendmail restart Probar servdor envando/recbendo mensa|es con CUALOUIER cente estndar de correo eectrnco con soporte para POP3/IMAP/SMTP con soporte para autentcar a travs de SMTP utzando os mtodos DIGEST-MD5 o CRAM-MD5. Para depurar posbes errores, se puede examnar e contendo de a btcora de correo de sstema en /var/lo*/maillo* de sguente modo: tail -f /var/log/maillog 3+%4% Encaminamiento de dominios Sendma ncuye soporte para reazar en re-encamnamento de domnos de correo a travs de parmetro 7E=>U(ENbmailertablecXb'as' )o /etc/mail/mailertable%dbcC que debe estar 'abilitado de modo predefinido en e fchero /etc/mail/sendmail%mc. Esta funcn permte a Sendma reazar traduccn de domnos, especfcar un agente de entrega y cambar e encamnamento estabecdo en un DNS. 3+%4%+% (edundancia del servidor de correo% Cuando se tene un domno de correo eectrnco que recbe mucho trfco, es convenente 228 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux estabecer redundanca en e servco para garantzar que e correo sempre ser recbdo y egar a os buzones de correo haca os que est destnado. Se requeren dos servdores de correo. Uno deber estar regstrado en a zona de domno en e DNS como servidor de correo primario (mail.dominio.com) y otro deber estar regstrado en a zona de domno en e DNS como servidor de correo secundario (mailB.dominio.com) a fn de contar con redundanca. +% Defna en a zona de DNS de domno.com un servdor de correo prmaro (mail.dominio.com) y un servdor de correo secundaro (mailB.dominio.com) 2% Confgure normamente e servdor de correo prmaro (mail.dominio.com) para admnstrar e correo de domno.com. 3% Confgure e servdor de correo secundaro (mailB.dominio.com) de msmo modo, pero no aada domno.com en e fchero /etc/mail/local)'ost)names ya que de otro modo e correo ser tratado como oca y |ams podr ser entregado en e servdor de correo prmaro. 4% Debe estar stado domno.com en e fchero /etc/mail/rela2)domains en e servdor de correo secundaro (mailB.dominio.com) a fn de permtr a retransmsn de ste haca e servdor de correo prmaro (mail.dominio.com). 5% En e servdor de correo secundaro (mailB.dominio.com) modfque e fchero /etc/mail/mailertable y defna qu domno.com ser entregado en e servdor de correo prmaro utzando e nombre penamente resueto en a zona de DNS. dominio!com smtp:mail!dominio!com S o desea, puede especfcar a dreccn IP en ugar de nombre: dominio!com smtp:>1-(!16,!1!()+? 6% Rence Sendma service sendmail restart 7% En adeante e correo de domno.com ser entregado normamente y de prmera nstanca en e servdor de correo prmaro (mail.dominio.com), pero cuando ste, por aguna razn, se vea mposbtado para recbr conexones, e servdor de correo secundaro (mailB.dominio.com) defndo en a zona de DNS recbr todo e correo de domno.com y o entregar en e servdor de correo prmaro (mail.dominio.com) cuando ste reestabezca operacones normamente. 3+%4%2% Servidor de correo intermediario Sendma puede servr de ntermedaro de correo eectrnco ya sea para ftrado de correo con un antvrus, sustento gco para ftrado de correo chatarra o ben como ntermedaro entre una red pbca y un servdor en red oca. Se requeren dos servdores de correo. Uno que ser e servdor de correo ntermedaro (pro(y.dominio.com), que de forma obgatora deber estar defndo en a zona de DNS de domno como servdor de correo prmaro (un regstro MX), y otro que servr como servdor de correo de destno (mail.dominio.com). +% E servdor de correo que funconar como ntermedaro (pro(y.dominio.com) se confgura normamente, pero no aada domno.com en e fchero /etc/mail/local)'ost)names ya que de otro modo e correo ser tratado como oca y |ams podr ser entregado en e servdor de correo de destno (mail.dominio.com). 2% Debe estar stado domno.com en e fchero /etc/mail/rela2)domains en e servdor de correo ntermedaro (pro(y.dominio.com) a fn de permtr a 229 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux retransmsn de ste haca e servdor de correo prmaro (mail.dominio.com). 3% La dreccn P de servdor de destno (mail.dominio.com) debe estar stada en e fchero /etc/mail/access con (EL=Z (retransmsn autorzada) de servdor de correo ntermedaro (pro(y.dominio.com). 4% La dreccn P de servdor de ntermedaro (pro(y.dominio.com) debe estar stada en e fchero /etc/mail/access con (EL=Z (retransmsn autorzada) de servdor de correo de destno (mail.dominio.com). 5% En e servdor de correo ntermedaro (pro(y.dominio.com) modfque e fchero /etc/mail/mailertable y defna qu domno.com ser entregado en e servdor de correo de destno (mail.dominio.com) utzando e nombre 7A"N (7uy Auafed "oman Name) y penamente resueto. dominio!com smtp:mail!dominio!com 6% S o desea, puede especfcar a dreccn IP en ugar de nombre: dominio!com smtp:>1-(!16,!1!()+? 7% En e servdor de correo de destno (mail.dominio.com), descomente y defna prox2%dominio%com como vaor para e parmetro defineNbS:=(>QH0S>cXbsmtp%2our%providercC, de modo que prox2%dominio%com sea e servdor de retransmsn (smart host: define(a'6R"5B8"I=aprox2!dominio!comI) 9% Rence Sendma en ambos servdores de correo. service sendmail restart 3+%5% Perificando el servicio Desde una termna, e|ecute e programa telnet drgdo haca e puerto 25 de a dreccn IP prncpa de sstema: F telnet 1-(!16,!0!()+ () S Sendma est funconando correctamente, se estabecer una conexn extosa y deber devover una sada smar a a sguente: <r#in" (W2.(-H.(.2,+... Gonnected to nombre.dominio $(W2.(-H.(.2,+&. ;scape character is V_!V. 22M nombre.dominio ;S:<= Sendmail H.(*.(/H.(*.(` Sun) , :ar 2MM- 2(:+,:,( 'M-MM E|ecute e mandato HEL0 segudo de nombre de anftrn: B:;8 nombre!dominio Obtendr una sada smar a esta: 2,M nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou E|ecute e mandato EHL0 segudo de nombre de anftrn: 230 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux :B;8 nombre!dominio Obtendr una sada smar a sta y que mostrar as funcones de servdor: 2,M'nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou 2,M';N8QNG;ES<Q<BSG9E;S 2,M'=C=;DCNCNK 2,M'HAC<:C:; 2,M'SCe; 2,M'ESN 2,M';<FN 2,M'QB<8 ECK;S<':E, GFQ:':E, 2,M'E;DCJ;FAR 2,M 8;D= E|ecute e mandato AUI> para cerrar a conexn. b$<" E servdor deber contestar o sguente a termnar a conexn: ((1 (!0!0 nombre!dominio closing connection Aonnection closed b2 foreign host! La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos utzados resatados en ne*rita): fulano1nombre /!2 telnet 192#1JK#1#25F 25 <r#in" (W2.(-H.(.2,+... Gonnected to nombre.dominio $(W2.(-H.(.2,+&. ;scape character is V_!V. 22M nombre.dominio ;S:<= Sendmail H.(*.(/H.(*.(` Sun) , :ar 2MM- 2(:+,:,( 'M-MM <4-= nom%re#dominio 2,M nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou 4<-= nom%re#dominio 2,M'nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou 2,M';N8QNG;ES<Q<BSG9E;S 2,M'=C=;DCNCNK 2,M'HAC<:C:; 2,M'SCe; 2,M'ESN 2,M';<FN 2,M'QB<8 ECK;S<':E, GFQ:':E, 2,M'E;DCJ;FAR 2,M 8;D= EU?B 22( 2.M.M nombre.dominio closin" connection Gonnection closed b# forei"n host. 3+%6% <ruebas para el env.o de correo 3+%6%+% Utili8ando telnet Utzar e mandato telnet permte conocer y examnar cmo funcona reamente a nteraccn entre un servdor de correo y un cente de correo. Abra una sesn con telnet drgdo haca e puerto 25 de a dreccn IP prncpa de sstema. 231 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux telnet 1-(!16,!1!()+ () Saude a sstema con e mandato HEL0 segudo de nombre de anftrn. B:;8 nombre!dominio E servdor de correo deber contestare: 2,M nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou E|ecute e mandato :=IL 7(0: especfcando a cuenta de correo de un usuaro oca de sus sstema de sguente modo: '6<; XR8': VfulanoTnombre!dominioH E servdor de correo deber contestare o sguente, a menos que especfque una cuenta de correo con un domno dstnto a os especfcados en e fchero /etc/mail/rela2)domains: 2,M 2.(.M ?fulano1nombre.dominio@... Sender ok E|ecute e mandato ($<> >0 especfcando una cuenta de correo exstente en e servdor de sguente modo: RAC" "8: VrootTnombre!dominioH E servdor de correo deber contestare o sguente: ()0 (!1!) VrootTnombre!dominioH!!! Recipient ok E|ecute e mandato "=>=: %6"6 E servdor de correo deber contestare o sguente: .)+ :nter mail= end 1ith G!G on a line b2 itself Enseguda ngrese e texto que desee ncur en e mensa|e de correo eectrnco. A termnar fnace con un punto en una nueva nea. Bola= este es un mensaEe de prueba! ! E sstema deber contestare ago smar a o sguente: ()0 (!0!0 k(6.1:QQ006(0- 'essage accepted for deliver2 E|ecute e mandato AUI>: 232 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux b$<" E servdor deber contestar o sguente a termnar a conexn: ((1 (!0!0 nombre!dominio closing connection Aonnection closed b2 foreign host! La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos utzados resatados en ne*rita): fulano1nombre /!2 telnet 192#1JK#1#25F 25 <r#in" (W2.(-H.(.2,+... Gonnected to nombre.dominio $(W2.(-H.(.2,+&. ;scape character is V_!V. 22M nombre.dominio ;S:<= Sendmail H.(*.(/H.(*.(` Sun) , :ar 2MM- 2(:,H:(+ 'M-MM <4-= nom%re#dominio 2,M nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou >.?- F@=>: fulano!nom%re#dominio$ 2,M 2.(.M ?fulano1nombre.dominio@... Sender ok @APB B=: root!nom%re#dominio$ 2,M 2.(., ?root1nombre.dominio@... Fecipient ok C.B. *,+ ;nter mail) end with 7.7 on a line b# itself <ola5 este es un mensa2e de prue%a# # 2,M 2.M.M k2-*w;TTMM-2MW :essa"e accepted for deliver# EU?B 22( 2.M.M nombre.dominio closin" connection Gonnection closed b# forei"n host. 3+%6%2% Utili8ando mutt Mutt, trmno utzado en engua ngesa para referrse a perros mestzos, es un cente de correo eectrnco (MUA o :a User =gent) para modo texto. Incuye soporte para coor, hos, MIME, PGP/GPG, protocoos POP3, IMAP y NNTP, y para os formatos de correo :aildir y mbox. Basta e|ecutar mutt y pusar as tecas ndcadas a nterfaz de texto para reazar dversas tareas. Para envar un mensa|e de correo eectrnco sga este procedmento: +% Como usuaro sn prvegos, e|ecute mutt. 2% Responda con a teca IsJ para confrmar que se crear R/:ail. 3% Una vez ncada a nterfaz de texto de mutt, puse a teca ImJ para crear un nuevo mensa|e. 4% En a parte nferor de a pantaa aparece un dogo para e destnataro (>o, ). Ingrese una cuenta de correo eectrnco vda o aguna que exsta a menos en e domno de a Red Loca (L=N). 5% En a parte nferor de a pantaa aparece un dogo para ngresar e asunto de mensa|e (Sub-ect, ). Ingrese un ttuo para e mensa|e. 6% Enseguda mutt ncar vi para crear e texto que se envar en e mensa|e. Ince e modo de insertar texto (i) de vi e ngrese agunas paabras. A termnar, guarde y saga de vi (,MG). 7% Tras termnar con e edtor de texto smpe vi, mutt presentar una vsta preva de mensa|e. Confrme que os datos son os correctos y puse a teca I2J para envar e mensa|e. S necesta cambar aguno de stos, puse ItJ para cambar e destnataro o IsJ para cambar e campo de asunto de mensa|e. 233 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 9% Mutt e devover a a pantaa prncpa. S recbe un mensa|e de respuesta, seeccone ste y puse a teca EN>E( para vsuazar e contendo. S% S desea responder e mensa|e, puse a teca IrJ y repta os procedmentos de paso 4 a 7. S o desea, tambn puede utzar mutt desde a nea de mandatos. echo -e D GBola= so2 FR$:RS en FRB8"76':S!DnD Cor favor responde este mensaEe!DnDnaludos!G D W mutt D -s G'ensaEe enviado desde FRB8"76':SG D fulanoTmaOuina!dominio Lo anteror enva un mensa|e de correo eectrnco haca a cuenta fuano@maquna.domno, con e asunto :ensa-e enviado desde nombre%dominio con e sguente contendo como texto de mensa|e: Bola= so2 usu)rio en nombre.*ominio Cor favor responde este mensaEe! aludos! 3+%7% (eferencias 'ttp,//MMM%ietf%or*/rfc/rfc2222%txt 'ttp,//MMM%ietf%or*/rfc/rfc92+%txt 'ttp,//MMM%ietf%or*/rfc/rfc292+%txt 'ttp,//MMM%ietf%or*/rfc/rfc+S3S%txt 'ttp,//MMM%ietf%or*/rfc/rfc350+%txt 234 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 32% 0pciones avan8adas de se*uridad para Sendmail Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 32%+% Introduccin Debdo a a naturaeza de correo eectrnco es posbe para un atacante nundar fcmente e servdor y desencadenar en una denegacn de servco. Fenmenos como e denomnado correo masvo no soctado o Spam no hacen as cosas ms fces y as admnstracn de un servdor de correo puede tornarse una pesada. Es por todo esto que aadr opcones avanzadas de segurdad se converte en ago ndspensabe. 32%2% 7unciones Todas as funcones expcadas a contnuacn pueden ncurse en e fchero /etc/mail/sendmail.mc |usto deba|o de a tma nea que ncuya define y arrba de a prmera nea que ncuya >;Q<BF;. 32%2%+% conf:=EQ($<>SQ<E(Q:ESS=GE Este parmetro srve para estabecer un nmero mxmo de destnataros para un mensa|e de correo eectrnco. De modo predefndo, sendma estabece un mxmo de 256 destnataros. En e sguente e|empo se mtar e nmero de destnataros a 20: define$Uconf:QX_FG=<S_=;F_:;SSQK;V) U2MV&dnl 32%2%2% conf!="Q($<>Q>H(0>>LE Este parmetro srve para estabecer e tempo de etargo que se utzar por cada destnataro que sobrepase e mte estabecdo por conf:QX_FG=<S_=;F_:;SSQK;. De modo predefndo Sendma no estabece tempo de etargo. En e sguente e|empo se estabecern 2 segundos de etargo por cada destnataro rechazado por sobrepasar e mte de destnataros permtdos: define$UconfAQE_FG=<_<8F9<<D;V) U2V&dnl 32%2%3% conf<(IP=$ZQ7L=GS Cuando se estabece como vaor `goaway', se deshabtan varos mandatos SMTP como EXPN y VRFY, os cuaes puderan ser utzados para revear os nombres de usuaros ocaes a aguen con pretensones de envar spam. Tambn deshabta as notfcacones de entrega, e cua es un mecansmo comnmente utzado por quenes envan spam para verfcar a exstenca de una cuenta, y hace que e sstema socte obgatoramente HELO o EHLO antes de utzar e mandato 235 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux MAIL. Muchos programas son utzados para envar correo masvo no soctado n squera se moestan en utzar HELO o EHLO. Por defecto os vaores de confPRIVACY_FLAGS son `authwarnngs,novrfy,noexpn,restrctqrun', cambe por o sguente: define$Uconf=FCJQGR_>DQKSV)U"oawa#V&dnl 32%2%4% conf:=EQHE="E(SQLENG>H Est parmetro se utza para defnr e tamao mxmo permtdo para a cabecera de un mensa|e en bytes. Agunos programas utzados para envar spam tratan de mpedr que os MTA puedan regstrar transaccones generando cabeceras muy grandes. Lmtar e tamao de as cabeceras hace ms dfc a e|ecucn de gun que expote vunerabdades recentes (desbordamentos de bfer) en UW IMAP, Outook y Outook Express. La mayor parte de os mensa|es de correo eectrnco tendrn cabeceras de menos de 2 Kb (2048 bytes). Un mensa|e de correo eectrnco ordnaro, por muy exagerado que resute e tamao de a cabecera, rara vez utzar una cabecera que sobrepase os 5 Kb o 6 Kb, es decr, de 5120 o 6144 bytes. En e sguente e|empo se mtar e tamao mxmo de a cabecera de un mensa|e a 16 Kb: define$Uconf:QX_8;QE;FS_D;NK<8V) U(-*H+V&dnl E vaor sugerdo es 16 Kb (16384 bytes). Aumente o dsmnuya e vaor a su dscresn. 32%2%5% conf:=EQ:ESS=GEQSI]E Este parmetro srve para especfcar e tamao mxmo permtdo para un mensa|e de correo eectrnco en bytes. Puede especfcarse o que e admnstrador consdera apropado. En e sguente e|empo se mtar e tamao mxmo de un mensa|e a 3 MB: define$Uconf:QX_:;SSQK;_SCe;V) U*(+,02HV&dnl 32%2%6% conf:=EQ"=E:0NQ$HIL"(EN Este parmetro srve para especfcar cuntos procesos h|os se permtrn smutneamente en e servdor de correo. De modo predefndo sendma no estabece mtes para este parmetro. S se sobrepasa e mte de conexones smutneas, e resto sern demoradas hasta que se termnen as conexones exstentes y de|en ugar para nuevas conexones. En e sguente e|empo se mtar e nmero de conexones smutneas haca e servdor a 5: define$Uconf:QX_EQ;:9N_G8CDEF;NV) U,V&dnl 32%2%7% conf$0NNE$>I0NQ(=>EQ>H(0>>LE Este parmetro srve para estabecer e nmero de conexones mxmas por segundo. De modo predefndo sendma no estabece mtes para este parmetro. En e sguente e|empo se mtar a 4 conexones por segundo: define$UconfG9NN;G<C9N_FQ<;_<8F9<<D;V) U+V&dnl 236 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 33% $mo confi*urar Sendmail 2 "ovecot con soporte SSL/>LS% Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 33%+% Introduccin% Este documento requere a ectura y comprensn preva de os sguentes temas: Confguracn bsca de Sendma. 33%+%+% =cerca de "S=% "S= ("gta Sgnature =gorthm o Agortmo de Frma dgta) es un agortmo creado por e NIST (Natona Insttute of Standards and >echnoogy o Insttuto Nacona de Normas y Tecnooga de EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes. Se utza para frmar nformacn, ms no para cfrar sta. URL: http://es.wkpeda.org/wk/DSA 33%+%2% =cerca de (S=% (S=, acrnmo de os apedos de sus autores, Ron (vest, Ad Shamr y Len =deman, es un agortmo para e cfrado de caves pbcas que fue pubcado en 1977, patentado en EE.UU. en 1983 por e e Insttuto Tecnogco de Mchgan (:I>). (S= es utzado ampamente en todo e mundo para os protocoos destnados para e comerco eectrnco. URL: http://es.wkpeda.org/wk/RSA 33%+%3% =cerca de E%50S% E%50S es un estndar I>U)> (estandarzacn de >eecomuncacones de a Internatona >eecommuncaton Unon ) para nfraestructura de caves pbcas (<KI, o <ubc Key Infrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y un agortmo para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a ruta de un certfcado sea vda ba|o una nfraestructura de cave pbca determnada. Es decr, desde e certfcado nca, pasando por certfcados ntermedos, hasta e certfcado de confanza emtdo por una Autordad Certfcadora ($=, o $ertfcaton =uthorty). URL: http://es.wkpeda.org/wk/X.509 237 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 33%+%4% =cerca de 0penSSL% 0penSSL es una mpementacn bre, de cdgo aberto, de os protocoos SSL (Secure Sockets Layer o Nve de Zcao Seguro) y >LS (>ransport Layer Securty, o Segurdad para Nve de Transporte). Est basado sobre e extnto proyecto SSLea2, ncado por Erc Young y Tm Hudson, hasta que stos comenzaron a traba|ar para a dvsn de segurdad de EMC Corporaton. URL: http://www.openss.org/ 33%2% <rocedimientos% Acceda a sstema como e usuaro root. Se debe crear e drectoro donde se amacenarn os certfcados para todos os stos SSL. E drectoro, por motivos de se*uridad, debe ser soamente accesbe para e usuaro root. mkdir -m 0/00 /etc/ssl A fn de mantener certa organzacn, es convenente crear un drectoro especfco para amacenar e certfcado de servdor. Iguamente, por motivos de se*uridad, debe ser soamente accesbe para e usuaro root. mkdir -m 0/00 /etc/ssl/mi*ominio.or, Acceder a drectoro que se acaba de crear. cd /etc/ssl/mi*ominio.or, 33%2%+% Sendmail% 33%2%+%+% Generando clave 2 certificado% Sendmail requere una ave creada con agortmo "S= de 1024 octetos. Para ta fn, se crea prmero un fchero de parmetros "S=: openssl dsaparam 10(+ -out dsa10(+!pem A contnuacn, se utza este fchero de parmetros "S= para crear una ave con agortmo "S= y estructura x50S, as como tambn e correspondente certfcado. En e e|empo a contnuacn, se estabece una vadez por 730 das (dos aos) para e certfcado creado. openssl reO -x)0- -nodes -ne1ke2 dsa:dsa10(+!pem D -da2s /.0 -out sen*m)il.+r! -ke2out sen*m)il.1ey Lo anteror soctar se ngresen varos datos: Cdgo de dos etras para e pas. Estado o provnca. Cudad. 238 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Nombre de a empresa o razn soca. Undad o seccn. Nombre de anftrn. Dreccn de correo. La sada devueta sera smar a a sguente: *enerating a 10(+ bit %6 private ke2 1riting ne1 private ke2 to Isendmail!ke2I ----- \ou are about to be asked to enter information that 1ill be incorporated into 2our certificate reOuest! Khat 2ou are about to enter is 1hat is called a %istinguished 7ame or a %7! "here are Ouite a fe1 fields but 2ou can leave some blank Xor some fields there 1ill be a default value= <f 2ou enter I!I= the field 1ill be left blank! ----- Aountr2 7ame (( letter code) >*9?:;O tate or Crovince 7ame (full name) >9erkshire?:Nis!ri!o =e*er)l ;ocalit2 7ame (eg= cit2) >7e1bur2?:;e#i+o 8rgani4ation 7ame (eg= compan2) >'2 Aompan2 ;td?: ;i empres)5 /.8. *e ?.Q. 8rgani4ational $nit 7ame (eg= section) >?:Nire++ion ?omer+i)l Aommon 7ame (eg= 2our name or 2our serverIs hostname) >?: mi*ominio.or, :mail 6ddress >?:webm)s!erLmi*ominio.or, E certfcado soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e campo $ommon Name. Es decr, soo podr utzaro cuando se defna midominio%or* como servdor S:>< con soporte >LS. No funconar s se nvoca a servdor como, por menconar un e|empo, mail%midominio%or*. A termnar, ya no ser necesaro conservar e fchero dsa+024%pem, msmo que puede emnarse con pena segurdad. rm -f dsa10(+!pem Es ndspensabe que todos os fcheros de caves y certfcados tengan permsos de acceso de soo ectura para e usuaro root: chmod +00 /etc/ssl/mi*ominio.or,/sendmail!J 33%2%+%2% <ar;metros de /etc/mail/sendmail%mc% Es necesaro confgurar os sguente parmetros en e fchero /etc/ma/sendma.mc a fn de que Sendma utce a cave y certfcado recn creados: define(aconfA6A:R"5C6"BI=a/etc/ssl/midominio!orgI) define(aconfA6A:R"I=a/etc/ssl/midominio!org/sendmail!crtI) define(aconf:RP:R5A:R"I=a/etc/ssl/midominio!org/sendmail!crtI) 239 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux define(aconf:RP:R5Q:\I=a/etc/ssl/midominio!org/sendmail!ke2I) Soo resta actvar e puerto que ser utzado para SMTPS (465 por TCP). %6:'8758C"<87(aCort3smtps= 7ame3";'"6= '3sI)dnl E acceso cfrado con TLS es opcona s se reazan conexones a travs de puerto 25, y obgatoro s se hacen a travs de puerto 465. E puerto 587 (submsson), puede ser tambn utzado para envo de correo eectrnco. Por estndar se utza como puerto aternatvo en os casos donde un cortafuegos mpde a os usuaros acceder haca servdores de correo traba|ando por puerto 25. MS Outook Express no tene soporte para usar TLS a travs de puerto 587, pero e resto de os centes de correo eectrnco con soporte TLS s. %6:'8758C"<87(aCort3submission= 7ame3'6= '3:aI)dnl A fn de que surtan efecto os cambos, es necesaro rencar e servco sendma. service sendmail restart 33%2%+%3% $omprobacin% Reace una conexn con telnet a puerto 25 de sstema. Ingrese e mandato EHL0. La sada deber devover, entre todas as funcones de servdor, una nea que ndca S>=(>>LS. La sada puede ser smar a a sguente: telnet (20.M.M.( 2, ;8D9 midominio.or" <r#in" (20.M.M.(... Gonnected to (20.M.M.(. ;scape character is V_!V. 22M midominio.or" ;S:<= Sendmail H.(*.(/H.(*.(` :on) 2 9ct 2MM- (*:(H:M2 'M,MM ehlo midominio.or" 2,M'midominio.or" 8ello localhost.localdomain (20.M.M.(!) pleased to meet #ou 2,M';N8QNG;ES<Q<BSG9E;S 2,M'=C=;DCNCNK 2,M'HAC<:C:; 2,M'SCe; 2,M'ESN 2,M';<FN 2,M'QB<8 D9KCN =DQCN 250-DB.@BB-D 2,M'E;DCJ;FAR 2,M 8;D= A reazar a confguracn de cente de correo eectrnco, deber especfcarse conexn por TLS. Tras aceptar e certfcado, deber ser posbe autentcar, con nombre de usuaro y cave de acceso, y envar correo eectrnco. 33%2%2% "ovecot% 33%2%2%+% Generando clave 2 certificado% La creacn de a ave y certfcado para "ovecot es ms smpe, pero requere utzar una cave con agortmo (S= de 1024 octetos, con estructura E%50S. En e e|empo a contnuacn, se estabece una vadez por 730 das (dos aos) para e certfcado creado. 240 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux openssl reO -x)0- -nodes -ne1ke2 rsa:10(+ D -da2s /.0 -out dovecot!crt -ke2out dovecot!ke2 De forma smar a como ocurr con Sendmail, o anteror soctar se ngresen varos datos: Cdgo de dos etras para e pas. Estado o provnca. Cudad. Nombre de a empresa o razn soca. Undad o seccn. Nombre de anftrn. Dreccn de correo. La sada devueta sera smar a a sguente: *enerating a 10(+ bit R6 private ke2 !!!!!!!!!!!!!!!![[[[[[ ![[[[[[ 1riting ne1 private ke2 to Idovecot!ke2I ----- \ou are about to be asked to enter information that 1ill be incorporated into 2our certificate reOuest! Khat 2ou are about to enter is 1hat is called a %istinguished 7ame or a %7! "here are Ouite a fe1 fields but 2ou can leave some blank Xor some fields there 1ill be a default value= <f 2ou enter I!I= the field 1ill be left blank! ----- Aountr2 7ame (( letter code) >*9?:;O tate or Crovince 7ame (full name) >9erkshire?:Nis!ri!o =e*er)l ;ocalit2 7ame (eg= cit2) >7e1bur2?:;e#i+o 8rgani4ation 7ame (eg= compan2) >'2 Aompan2 ;td?: ;i empres)5 /.8. *e ?.Q. 8rgani4ational $nit 7ame (eg= section) >?:Nire++ion ?omer+i)l Aommon 7ame (eg= 2our name or 2our serverIs hostname) >?: mi*ominio.or, :mail 6ddress >?:webm)s!erLmi*ominio.or, E certfcado soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e campo $ommon Name. Es decr, soo podr utzaro cuando se defna midominio%or* como servdor <0<3 o I:=< con soporte >LS. No funconar s se nvoca a servdor como, por menconar un e|empo, mail%midominio%or*. Es ndspensabe que todos os fcheros de caves y certfcados tengan permsos de acceso de soo ectura para e usuaro root: chmod +00 /etc/ssl/mi*ominio.or,/dovecot!J 33%2%2%2% <ar;metros de /etc/dovecot%conf% En e parmetro protocols, se actvan todos os servcos (map, maps, pop3 y pop3s). 241 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux protocols 3 imap imaps pop. pop.s De modo predetermnado, e soporte SSL de "ovecot est actvo. Verfque que e parmetro sslQdisable tenga e vaor no, o ben soo est comentado. Lssl5disable 3 no Y se especfcan as rutas de certfcado y cave a travs de os parmetros sslQcertQfile y sslQLe2Qfile, de sguente modo: ssl5cert5file 3 /etc/ssl/midominio!org/dovecot!crt ssl5ke25file 3 /etc/ssl/midominio!org/dovecot!ke2 A fn de que surtan efecto os cambos, es necesaro rencar e servco dovecot. service dovecot restart 33%2%2%3% $omprobacin% Utce cuaquer cente de correo eectrnco con soporte para TLS y confgure ste para conectarse haca e sstema a travs de I:=<S (puerto 993) o ben <0<3S (puerto 995). Tras aceptar e certfcado de servdor, e sstema deber permtr autentcar, con nombre de usuaro y cave de acceso, y reazar a ectura de correo eectrnco. 33%2%3% $onfi*uracin de GN0:E Evolution% 33%2%3%+% $onfi*uracin GN0:E Evolution% Para GNOME Evouton, a confguracn de IMAP o POP3 se reaza seeconando e tpo de servdor, defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro, y usar encrptacn segura TLS. 242 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Confguracn IMAP, en GNOME Evouton. Se hace o msmo para SMTP. 243 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Confguracn SMTP, GNOME Evouton. 33%2%3%2% $onfi*uracin :o8illa >'underbird% Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado, usuaro y usar conexn segura TLS. 244 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Confguracn IMAP, Moza Thunderbrd. Se hace o msmo para SMTP. Confguracn SMTP, Moza Thunderbrd. 33%2%4% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr, adems de os puertos 25, 110, 143 y 587 por TCP (S:><, <0<3, I:=< y Submission, respectvamente), os puertos 465, 993 y 995 por TCP (S:><S, I:=< y <0<3S, respectvamente). Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp ()=110=1+.=+6)=),/=--.=--) L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 245 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 34% Instalacin 2 confi*uracin de SGuirrelm:ail Ncorreo a travFs de interfa8 H>>< C Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 34%+% Introduccin SqurreMa es un nteresante, extensbe, funcona y robusto sustento gco para correo y que permte acceder a usuaro a su correo eectrnco desde e navegador de su predeccn. SqurreMa est escrto en PHP4 y cumpe con os estndares como correo a travs de nterfaz HTTP. Incuye su propo soporte para os protocoos IMAP y SMTP. Adems todas as pgnas se muestran con HTML 4.0 sn a necesdad de |avaScrpt para una mxma compatbdad con cuaquer navegador. SqurreMa ncuye toda a funconadad deseada para un cente de correo como un robusto soporte MIME, breta de dreccones y admnstracn de carpetas. 34%2% <rocedimientos 34%2%+% Instalacin del sustento l*ico necesario 2um -2 install sOuirrelmail httpd 34%2%2% $onfi*uracin de SGuirrel:ail% Cambe a drectoro /usr/s'are/sGuirrelmail/confi*/ y e|ecute e gun de confguracn que se encuentra en e nteror: cd /usr/share/sOuirrelmail/config/ !/conf!pl Lo anteror e devover una nterfaz de texto muy smpe de utzar, como a mostrada a contnuacn: 246 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Ouirrel'ail Aonfiguration : Read: config!php (1!+!.) --------------------------------------------------------- 'ain 'enu -- 1! 8rgani4ation Creferences (! erver ettings .! Xolder %efaults +! *eneral 8ptions )! "hemes 6! 6ddress 9ooks (;%6C) /! 'essage of the %a2 ('8"%) ,! Clugins -! %atabase %! et pre-defined settings for specific <'6C servers A! "urn color on ave data b buit Aommand HH Ingrese haca as preferencas de a organzacn y defna e nombre de a empresa, e ogotpo y sus dmensones, E mensa|e en a barra de ttuo de a ventana de navegador, e doma a utzar, URL y e ttuo de a pgna prncpa de servdor de red. Ouirrel'ail Aonfiguration : Read: config!php (1!+!.) --------------------------------------------------------- 8rgani4ation Creferences 1! 8rgani4ation 7ame : A)6Rn_/o+i)l_*e_su_empres) (! 8rgani4ation ;ogo : !!/images/sm5logo!png .! 8rg! ;ogo Kidth/Beight : (.0,/111) +! 8rgani4ation "itle : "ienveni*o )l Webm)il *e /u_empres). )! ignout Cage : 6! %efault ;anguage : es_$/ /! "op Xrame : 5top ,! Crovider link : !!p3//url_*e_su_empres)/ -! Crovider name : @ombre_*e_su_emrpes) R Return to 'ain 'enu A! "urn color on ave data b buit Aommand HH En as opcones de servdores defna soamente e domno a utzar. S e servdor de correo va a coexstr en e msmo sstema con e servdor HTTP, no har fata modfcar ms en esta seccn. S o desea, puede especfcar otro servdor SMTP e IMAP ocazados en otro equpo. 247 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Ouirrel'ail Aonfiguration : Read: config!php (1!+!.) --------------------------------------------------------- erver ettings *eneral ------- 1. Nom)in 3 su'mS9uin).su'*ominio (! <nvert "ime : false .! endmail or '"C : endmail
R Return to 'ain 'enu A! "urn color on ave data b buit Aommand HH En as opcones de as carpetas cambe Trash por Papeera, Sent por Envados y Drafts por Borradores. Ouirrel'ail Aonfiguration : Read: config!php (1!+!.) --------------------------------------------------------- Xolder %efaults 1! %efault Xolder Crefix : mail/ (! ho1 Xolder Crefix 8ption : true 3. >r)s =ol*er 3 -)peler) &. /en! =ol*er 3 $nvi)*os 5. Nr)2!s =ol*er 3 "orr)*ores 6! 92 default= move to trash : true /! 92 default= move to sent : true ,! 92 default= save as draft : true -! ;ist pecial Xolders Xirst : true 10! ho1 pecial Xolders Aolor : true 11! 6uto :xpunge : true 1(! %efault ub! of <798X : true 1.! ho1 IAontain ub!I 8ption : false 1+! %efault $nseen 7otif2 : ( 1)! %efault $nseen "2pe : 1 16! 6uto Areate pecial Xolders : true 1/! Xolder %elete 92passes "rash : false 1,! :nable /7oelect folder fix : false
R Return to 'ain 'enu A! "urn color on ave data b buit Aommand HH Fnamente esco|a y habte as extensones (pug-ns) que consdere apropados para sus necesdades: 248 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Ouirrel'ail Aonfiguration : Read: config!php (1!+!.) --------------------------------------------------------- Clugins <nstalled Clugins 1. *ele!e_move_ne#! 2. s9uirrelspell 3. newm)il &. +)len*)r 5. 2il!ers 6. m)il_2e!+ G. !r)nsl)!e H. )boo1_!)1e 9. mess),e_*e!)ils 10. sen!_sub2ol*ers 6vailable Clugins: 11! administrator 1(! bug5report 1.! info 1+! listcommands 1)! spamcop 16! fortune
R Return to 'ain 'enu A! "urn color on ave data b buit Aommand HH Guarde os cambos pusando a teca S y uego a teca Enter. 34%3% 7inali8ando confi*uracin Actve, s no o ha hecho an, e servco de IMAP. S utza Red Hat Enterprse Lnux 4, CentOS 4.0 o Whte Box Enterprse Lnux 4. E paquete map es reempazado por dovecot, e cua funcona como otros servcos. Se debe modfcar e fchero /etc/dovecot%conf y asegurarse que estn habtados os servcos de map (de modo predefndo so debe estar habtado map): protocols I imap pop* E servco se agrega a arranque de sstema y se ncaza de sguente modo: chkconfi" dovecot on service dovecot start S utza Red Hat Enterprse Lnux 3, CentOS 3.0 o Whte Box Enterprse Lnux 3, e procedmento utzar e paquete map, e cua so requere un smpe mandato para actvar e servco. chkconfi" imap on Rence o nce e servco de apache: 249 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux service httpd start Acceda con e navegador de su predeccn haca 'ttp,//+27%0%0%+/Mebmail/. elinks !!p3//12G.0.0.1/webm)il/ 34%4% =-ustes en p'p%ini para optimi8ar el uso de SGuirrelmail A contnuacn agunos a|ustes tes para e fchero /etc/p'p%ini que pueden resover agunos probemas comunes a utzar Squrrema. Un servdor de red combnado con servco de correo y otras apcacones utza muchos recursos de sstema, y s se estn e|ecutando adems varas apcacones PHP smutneamente, es norma que se tengan probemas a exceder e mte de memora para a e|ecucn de un gun. Habr que aumentar e RAM en agunos servdores en partcuar s modfca os mtes actuaes. Por defecto PHP so utce 8 MB para a e|ecucn de guones PHP: memor25limit 3 ,' post5max5si4e 3 ,' Se pueden cambar esos vaores en e fchero /etc/p'p%ini por unos geramente mayores N^<or favorX N0 =!US=(_C% Utce 9 o 10 MB. memor25limit 3 10' post5max5si4e 3 10' Consutar http://www.squrrema.org/wk/en_US/LowMemoryProbem para mayores detaes a respecto. Hay otro parmetro que seguramente agunos van a cuestonar a cuestonar: por defecto PHP que so permte subr un mxmo de 2 MB. Por ende, Squrrema so permtr subr no ms de 2 MB en os ad|untos. Basta con modfcar e fchero /etc/p'p%ini y cambar: upload5max5filesi4e 3 (' Por ago como: upload5max5filesi4e 3 +' Adconamente postQmaxQsi8e defne e tamao mxmo para una pubcacn. S se quere subr ob|etos grandes, debe defnrse con un vaor geramente mayor que uploadQmaxQfile. E vaor por defecto es 8M y puede ser ms que sufcente, aunque 10 MB puede ser ago apropado. post5max5si4e 3 10' Ms detaes en http://www.squrrema.org/wk/en_US/AttachmentSze. Respecto a as mgenes ncudas en os mensa|es, desde as preferencas para cada cuenta en Squrrema se confguran as opcones para actvaras y poderas ver. S as mgenes no est;n incluidas en e msmo mensa|e y se vncuan desde stos externos, por defecto no se cargan <0( :0>IP0S SEGU(I"=". Cargar una magen externa puede servr a un spammer para confrmar que 250 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux aguen a ha edo su mensa|e desde una cuenta actva o ben puede hacer que e usuaro acceda haca y e|ecute cdgo macoso. Consutar http://www.squrrema.org/wk/en_US/UnsafeImages antes de ngresar e compemento que permte ver mgenes nseguras: http://www.squrrema.org/pugn_vew.php?d=98. 251 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 35% =pFndice, Enviar correo a todos los usuarios del sistema Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 35%+% <rocedimientos 1. Lo prmero ser generar un fchero en e sstema, e cua tendr como contendo una sta de os usuaros de sstema a os que se quere envar un mensa|e. ste puede ocazarse en cuaquer ugar de sstema, como por e|empo /etc/mail/allusers. Puede edtarse e fchero /etc/mail/allusers y aadr ndvduamente cada usuaro que se desee conforme esa sta o ben, s se quere aadr a todos os usuaros de sstema, e|ecutar o sguente: awk '>: V2* @ ,MM 5 print 2( 6V /etc/passwd @ /etc/mail/allusers 2. A contnuacn, debe modfcarse e fchero /etc/aliases y aadr a fna de msmo: allusers: :include:/etc/mail/allusers 1. A termnar so debe e|ecutarse e mandato newaliases o ben rencar e servco de Sendma (e gun de nco se encarga de hacer todo o necesaro). 3. Para probar, bastar con envar un mensa|e de correo eectrnco a a cuenta allusers de servdor. 35%2% =cerca de la se*uridad Evte a toda costa utzar allusers o paabras muy obvas como aas de correo para envar a todas as cuentas. Seguramente quenes se dedcan a envar correo masvo no soctado o correo chatarra (-pam), tratarn de envar correo a este aas en e servdor. No es facte e traba|o a esas personas y trate de utzar un aas ofuscado o en cave. E|empo: OjjPQsjeiOQH. 252 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 36% $onfi*uracin de :ailScanner 2 $lam=P con Sendmail Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 36%+% Introduccin% 36%+%+% =cerca de :ailScanner% :ailScanner, un robusto servco que se encarga de examnar e correo eectrnco e dentfcar y etquetar correo masvo no soctado (Spam), as como tambn os fraudes eectrncos (<'is'in*). Combnado con CamAV, un poderoso y verst ant-vrus bre para GNU/Lnux y otros sabores de Unx, resutan una de as soucones ms robustas para a proteccn contra correo masvo no soctado, fraudes eectrncos, vrus, gusanos y troyanos desde e servdor de correo eectrnco. :ailScanner tene as sguente caracterstcas: Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2. Revsa e correo eectrnco en busca de vrus utzando cuaquer combnacn de entre ms de una docena de dstntos programas ant-vrus. Automtcamente actuaza todo os ant-vrus nstaados cada hora. Identfca arededor de 95% de correo masvo no soctado (Spam) utzando dferentes tcncas, ncuyendo atamente avanzadas tcncas de heurstca (capacdad de un sstema para reazar de forma nmedata nnovacones postvas para sus fnes). E correo dentfcado como pegroso puede ser etquetado, rechazado, descartado, archvado o reenvado haca otras dreccones para su nspeccn por os admnstradores. Puede emnar e contendo grfco de correo masvo no soctado (Spam) de tpo pornogrfco protegendo a os usuaros de contendo obsceno. Verfca e coreo eectrnco en busca de conocdas vunerabdades para as ms popuares apcacones de correo eectrnco y corrge automtcamente os mensa|es durante e proceso cuando sea posbe ponendo en cuarentena as seccones pegrosas de contendas en os mensa|es. Es atamente escaabe. Un servdor puede procesar ms de mn y medo de mensa|es de correo por da. Es robusto. Se protege a s msmo contra ataques de Denegacn de Servco ("oS) y fuga de recursos de sstema operatvo. Es atamente confgurabe, proporcona a os Proveedores de Servcos de Internet (IS< o Internet Servce <rovder y Proveedores de Servcos de 253 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Apcacones (=S< o =ppcaton Servce <rovder) a posbdad de utzar mes de dferentes regas y confguracones para cuaquer combnacn de usuaros y domnos. Es fc de nstaar y confgurar puesto que sus opcones predefndas permten traba|ar a servco de correo sn compcacones. URL: http://www.mascanner.nfo/. 36%+%2% =cerca de $lam=P% $lam=P tene as sguente caracterstcas: Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2. Cumpe con as especfcacones de fama de estndares <0SIE (<ortabe 0peratng System Interface for UNIE o nterfaz portabe de sstema operatvo para Unx). Exporacn rpda. Detecta ms de 44 m vrus, gusanos y troyanos, ncuyendo vrus para MS Offce. Capacdad para examnar contendo de fcheros ZIP, RAR, Tar, Gzp, Bzp2, MS OLE2, MS Cabnet, MS CHM y MS SZDD. Soporte para exporar fcheros comprmdos con UPX, FSG y Pette. Avanzada herramenta de actuazacn con soporte para frmas dgtaes y consutas basadas sobre DNS. URL: http://www.camav.net/ 36%+%3% =cerca de Spam=ssassin% Spam=ssassin es un sustento gco que utza un sstema de puntuacn, basado sobre agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser correo masvo no soctado, aadendo cabeceras a os mensa|es de modo que pueda ser ftrados por e cente de correo eectrnco o MUA (:a User =gent). URL: http://spamassassn.apache.org/ 36%2% <rocedimientos% 36%2%+% Sustento l*ico necesario% mascanner >= 4.50 camav >= 0.88 spamAssassn >= 3.0.4 per-Convert-BnHex per-MaToos per-MIME-toos per-IO-strngy per-TmeDate per-Net-CIDR per-Compress-Zb per-Convert-ASN1 per-Archve-Zp tnef S dspone de un sstema con Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4, puede utzar e sguente depsto yum: >mailscanner-lpt? 254 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux name3'ailcanner ;inux Cara "odos para $n!erprise %inu# & baseurl3http://111!linuxparatodos!net/lpt/1hitebox/+!0/mailscanner/ gpgke23http://111!linuxparatodos!net/lpt/;C"-RC'-Q:\ Una vez confgurado o anteror, soo bastar utzar: 2um -2 install mailscanner clamav Lo anteror nstaar mascanner y camav |unto con todas as dependencas que seas necesaras. Tambn podr nstaar MaScanner descargando a ms recente versn desde http://www.mascanner.nfo/ en donde encontrar un paquete *.tar.gz en cuyo nteror hay paquetes SRPM que podr compar e nstaar en e orden ndcado sguendo as nstruccones de fchero README. De gua modo podr proceder con camav desde http://camav.net/ 36%2%2% $onfi*uracin de :ailScanner% Utce e edtor de texto de su predeccn y dsponga a modfcar /etc/:ailScanner/:ailScanner%conf con a fnadad de confgurar os sguente parmetros: 36%2%2%+% Len*ua-e de los mensa-es de sistema% Puede confgurar MaScanner para que devueva os mensa|es de sstema en espao. Locace o sguente: &report-dir& 3 /etc/'ailcanner/reports/en Cambe por: &report-dir& 3 /etc/'ailcanner/reports/es 36%2%2%2% Identificacin de la or*ani8acin% Soo es de carcter nformatvo y srve para dentfcar s un mensa|e nfectado pertenece a un servdor u otro. Locace o sguente: &org-name& 3 2oursite Cambe por: &org-name& 3 empres) E parmetro Uor*)lon*)nameU es utzado para defnr que mostrar en a frma ocazada a fna de os reportes envados por MaScanner. Puede ncur cuanto texto sea necesaro, e ncuso defnr varas neas utzando secuencas \n. &org-long-name& 3 $mpres) Em),in)ri) /.8. *e ?.Q. E parmetro UMeb)siteU se utza para defnr e URL de a empresa, msmo que tambn se ncuye en a frma a fna de os reportes que enva MaScannmer. Se recomenda se utce una 255 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux URL haca un documento que expque e porque se han rechazado/ftrado mensa|es o ben nformacn de contacto. &1eb-site& 3 !!p3//www.empres)'im),in)ri).+om.m#/in2o'+orreo.!ml 36%2%2%3% =d-untos en formato de texto enriGuecido% Agunas versones de Mcrosoft Outook generan ad|untos en formato de Texto Enrquecdo ((ch >ext 7ormat) que no pueden ser examnados. E vaor predefndo es no ya que de otro modo habra un ato resgo de permtr a entrada de vrus a travs de este tpo de mensa|es. Sn embargo muchos usuaros de Outook pueden protestar a respecto por carecer una enfoque apropado acerca de a segurdad. Reamente vae a pena e resgo? S os usuaros estn de acuerdo en que recbr un mensa|e con coores y etras bontos es ms mportante que a segurdad, puede cambarse e vaor a 2es. %eliver $nparsable "7:X 3 no Adconamente puede, aunque no se recomenda, cambar e vaor de den2 por alloMen a nea de confguracn correspondente para ad|untos con extensn W%dat en e fchero /etc/:ailScanner/filename%rules%conf. En este fchero se defne o que se quera denegar s os mensa|es ncuyen certos tpos de fcheros ad|untos Gue se consideran de alto ries*o. E formato de este fchero consste en defnr una rega (que puede ser alloM, den2 o den2Vdelete), una expresn reguar a ftrar, texto a ncur en a btcora de sstema y e texto a utzar en e reporte para e usuaro, todo separado por tabuadores y en una soa nea por cada rega. den# winmail[.dat2 Sindows securit# vulnerabilit# No 9utlook @ich Bext Format messa"es due to securit# hole) use 8<:D instead Lo anteror rechaza os mensa|es que ncuyan ad|untos *.dat, es decr mensa|es de Outook en Formato de Texto Enrquecdo (Outook (ch >ext 7ormat), devovendo un mensa|e de error en ngs que dra: J#o Iutloo0 Ric! 'e(t %ormat messa%es due to security !ole, use 7*M. instead=. Se puede poner e mensa|e a espao: den# winmail[.dat2 Sindows securit# vulnerabilit# No aceptamos mensajes en >ormato de <exto ;nriLuecido de 9utlook) por favor utilice 8<:D. Lo anteror rechaza os mensa|es que ncuyan ad|untos *.dat, es decr mensa|es de Outook en Formato de Texto Enrquecdo (Outook (ch >ext 7ormat), devovendo un mensa|e de error en ngs que dra: J#o aceptamos mensajes en 6ormato de *e(to Enriquecido de Iutloo0, por favor utilice 7*M..=. 36%2%2%4% "efinir anti)virus a utili8ar% MaScanner puede detectar automtcamente os ant-vrus a utzar de|ando e vaor auto en e parmetro Pirus Scanners, de modo que detectar cuaquera de os sguentes: Sophos. Mcafee. Command. Btdefender. DRweb. Kaspersky. eTrust. Inocuate. Inocuan. Nod32. F-Secure. F-Prot. Panda. Rav. Antvr. CamAV. Trend. Norman. Css. AVG. Vexra. 256 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Para agzar e nco de MaScanner se pueden defnr os ant-vrus necesaros. $lam=P es e ant- vrus recomendado por tratarse de un sustento gco bre. Locace o sguente en e fchero /etc/:ailScanner/:ailScanner%conf: Pirus canners 3 none Cambe por: Pirus canners 3 +l)m)v Puede utzar ms de un ant-vrus s as o consdera convenente. Soo necestar nstaar as versones apropadas para e sstema operatvo que utce y aadros en MaScanner como sta horzonta separada por espacos. E|empo: Pirus canners 3 +l)m)v m+)2ee sopos !ren* 36%2%2%5% @<oner en cuarentena los mensa-es infectados o noB S decde no poner en cuarentena os eementos ad|untos nfectados en os mensa|es de correo eectrnco y prefere eliminar estos ad-untos inmediatamente despus de ser procesados, ocace o sguente: buarantine <nfections 3 2es Cambe por: buarantine <nfections 3 no 36%2%2%6% <ermitir mensa-es con etiGueta I(rameX %orm 2 &cript% Las etquetas iframe se utzan para cargar una pgna empotrada dentro de un marco. Lamentabemente esto representa un resgo muy ato e nnecesaro debdo a que un mensa|e de correo eectrnco podra no contener matera dano, pero ta vez e a pgna que cargue e marco que s o contenga. Actuamente se consdera e envar correo eectrnco utzando etquetas iframe como poco tco por todos os resgos que coneva. Las opcones permtdas son: 2es: Permte a etqueta en e mensa|e. no: emna os mensa|es que contengan a etqueta. disarm: Permte as etquetas pero mpde que stas funconen. E vaor predetermnado es disarm. 6llo1 <Xrame "ags 3 disarm Lo msmo apca para as etquetas form, que pueden permtr a recoeccn de datos desde e mensa|e de correo eectrnco con ayuda de a ngenudad de usuaro, o ben a e|ecucn de cdgo pegroso a travs de guones escrtos en avaScript a travs de a etqueta script. 257 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 6llo1 Xorm "ags 3 disarm 6llo1 cript "ags 3 disarm 36%2%3% $ontrol de Spam% De modo predefndo est actvo e soporte de exporacn de correo en bsqueda de correo masvo no soctado (Spam). pam Ahecks 3 2es Ouenes se dedcan a envo de correo masvo no soctado han aprenddo que pueden hacer que su mensa|e pase os ftros envando un mensa|e con muchos destnataros, uno de os cuaes podra tener confgurado tener todo en sta banca en as opcones de SpamAssassn en e drectoro de nco de usuaro. De este modo, s un mensa|e ega con ms de un nmero determnado de destnataros (20 de modo predefndo), ste se ser tratado como cuaquer otro mensa|e sn an s e destnataro ha decddo poner todo en sta banca o s e remtente est en a sta banca en e fchero /etc/:ailScanner/rules/spam%M'itelist%rules. <gnore pam Khitelist <f Recipients :xceed 3 (0 36%2%3%+% = travFs de "NS!L o listas ne*ras% MaScanner permte tambn reazar ftrado de correo contra stas negras como Spam$op y Spam'aus. Si 2a utili8a los "NS!L o listas ne*ras desde SendmailX no active esta funcionalidad en :ailScanner para no duplicar las consultas 'acia los "NS!L. Modfque e fchero /etc/:ailScanner/spam%lists%conf y defna o confrme as stas negras a utzar 8R%9-R9; rela2s!ordb!org! L L spamhaus!org sbl!spamhaus!org! L spamhaus-X9; xbl!spamhaus!org! L combinaci@n de las dos anteriores: 9;[X9; sbl-xbl!spamhaus!org! L spamcop!net bl!spamcop!net! 7U69; dnsbl!nEabl!org! 8R9 dnsbl!sorbs!net! Locace en e fchero /etc/:ailScanner/:ailScanner%conf o sguente: pam ;ist 3 8R%9-R9; 9;[X9; L '6C-R9;[ costs mone2 (except !ac!uk) Cambe por: pam ;ist 3 8R%9-R9; 9;[X9; spamcop!net 7U69; 8R9 36%2%3%2% = travFs de Spam=ssassin% MaScanner puede echar mano de SpamAssassn para una ms efcente deteccn de correo masvo no soctado. Puede actvarse o desactvarse esta funconadad a travs de parmetro Use 258 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Spam=ssassin asgnando 2es o no. $se pam6ssassin 3 2es SpamAssassn utza un sstema de cafcacn para etquetar o no como correo masvo no soctado. Se asgna un vaor numrco a partr de 1 (vaor recomendado es 6), con o sn decmaes, para e parmetro (eGuired Spam=ssassin Score. Cada vez que se dentfca en un mensa|e contene aguna caracterstca que pudera casfcaro como correo masvo no soctado, se asgnan fraccones de punto que se van sumando. Cuando un mensa|e rebasa e vaor asgnado para (eGuired Spam=ssassin Score ste es etquetado de nmedato como correo masvo no soctado. ReOuired pam6ssassin core 3 6 Puede especfcarse tambn a travs de parmetro Hi*' Spam=ssassin Score que os mensa|es que rebasen a puntuacn estabecdo como vaor de este se emnen drectamente en ugar de soo etquetaros como correo masvo no soctado. E vaor prefndo (y recomendado) es 10. Bigh pam6ssassin core 3 10 E parmetro Spam =ctions defne que potca a apcar para e correo eectrnco que se casfca como Spam, cafcado a partr de vaor defndo en (eGuired Spam=ssassin Score, pero nferor a vaor defndo a Hi*' Spam=ssassin Score. E parmetro Hi*' Scorin* Spam =ctions se utza para defnr a potca a apcar para e correo eectrnco que se casfca como Spam, cafcado a partr de vaor defndo en Hi*' Spam=ssassin Score. Pueden utzarse combnacones de os sguentes vaores: deliver Entrega de mensa|e de modo norma. delete Emnar e Mensa|e. bounce Enva un masa|e de rechazo a remtente. Este vaor soo puede utzarse con e parmetro Spam =ctions, no puede utzarse con e parmetro Hi*' Scorin* Spam =ctions. store Amacenar e mensa|e en e drectoro de cuarentena. forMard usuarioOdominio%com Reenvar copa de mensa|e a usuaro@domno.com strip'tml Converte e contendo HTML a texto smpe. Se requere especfcar e vaor deliver para que tenga efecto. attac'ment Converte e mensa|e a ad|unto, de modo que e usuaro tendr que reazar un paso adcona para mrar e contendo. notif2 Se enva una breve notfcacn a usuaro que e ndca que no e fue entregado un mensa|e por haber sdo casfcado como correo masvo no soctado, permtendo soctar recuperar e mensa|e s acaso ste fuese un mensa|e esperado. 'eader /nombre, valor/ Aade a cabecera con cuaquer nombre (sn 259 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux espacos) con e vaor especfcado. Suponendo se apcarn as sguentes potcas: S e mensa|e es cafcado a menos e vaor defndo en (eGuired Spam=ssassin Score, pero nferor a vaor defndo en Hi*' Spam=ssassin Score, se entre*ar; a usuaro como mensa-e ad-unto y aadr a cabecera /E)Spam)Status, Zes/. S e mensa|e es cafcado a menos con e vaor defndo en Hi*' Spam=ssassin Score, se eliminar; automtcamente. Los vaores para (eGuired Spam=ssassin Score y Hi*' Spam=ssassin Score coresponderan de sguente modo: pam 6ctions 3 deliver attachment header GX-pam-tatus: \esG Bigh coring pam 6ctions 3 delete 36%2%3%3% Listas !lancas% Pueden especfcarse stas bancas de dreccones o nombres de domno que no se desee etqueten como correo masvo no soctado (Spam) en e fchero /etc/:ailScanner/rules/spam%M'itelist%rules de sguente modo, donde 2es sgnfcar que e correo provenente de dchas dreccones nunca se etquetar como correo masvo no soctado (Spam): L "his is 1here 2ou can build a pam Khite;ist L 6ddresses matching in here= 1ith the value L G2esG 1ill never be marked as spam! LXrom: 1)(!/,! 2es LXrom: 1.0!(+6! 2es Xrom8r"o: default no =rom3 200.G6.1H5.250 yes =rom3 192.16H.0. yes En e e|empo anteror, todo e correo provenente de 200.76.185.250 y cuaquer dreccn IP de a red 192.168.0.0/24 quedar exento de etquetarse como correo masvo no soctado (Spam). 36%2%4% $onfi*uracin de servicios% Necestar ncazar os servcos clamd y fres'clam. E segundo, partcuarmente, se encarga de contactar os servdores que hospedan as bases de datos actuazadas con as ms recentes frmas de os ms recentes vrus, gusanos, troyanos y otros tpos de sustento gco magno. chkconfig clamd on chkconfig freshclam on service clamd start service freshclam start De ser necesaro puede actuazar manuamente y de manera nmedata a base de datos de frmas e|ecutando smpemente freshcam desde cuaquer termna como root. Se debe desactvar y detener e servco de sendma, e cua ser controado en adeante por e servco MaScanner: 260 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux chkconfig sendmail off chkconfig 'ailcanner on service sendmail stop service 'ailcanner start 36%3% $omprobaciones% Utce cuaquer cente de correo eectrnco y enve ste como ad|unto haca una cuenta de correo oca e fchero test2%8ip, ncudo en e drectoro de MaScanner de disco de extras de curso de Lnux Para Todos. E procedmento deber entregar e mensa|e a destnataro con e ttuo aterado ndcando que e mensa|e contena un vrus y en e nteror un texto que ndca que e ad|unto fue removdo y emnado. S quere hacer una prueba rpda, utce mutt para envar un mensa|e de prueba e|ecutando o sguente, suponendo que hay un usuaro denomnado como fuano en e sstema: echo 7=rueba Qnti'virus7 f mutt 'a test2.%ip 's 7=rueba Qnti'virus7 fulano Lo anteror deber devover a destnataro e sguente mensa|e de correo eectrnco: 6sunto: Crueba 6nti-virus %e: GXulanoG VfulanoTlocalhost!localdomain H Xecha: 'ie= 1, de 6gosto de (00+= 10:.1 pm Cara: GXulanoG VfulanoTlocalhost!localdomain H 6tenci@n: :ste mensaEe contenYa uno o mZs anexos Oue han sido eliminados 6tenci@n: (test(!4ip= clamtest)! 6tenci@n: Cor favor= lea el(los) anexo(s) Gempresa-6ttachment-Karning!txtG para mZs informaci@n! Crueba 6nti-virus E admnstrador de servdor de correo recbr en cambo o sguente: 6sunto: Pirus %etected %e: G'ailcannerG VpostmasterTlocalhost!localdomainH Xecha: 'ie= 1, de 6gosto de (00+= 10:.1 pm Cara: postmasterTlocalhost!localdomain "he follo1ing e-mails 1ere found to have:Pirus %etected ender: rootTlocalhost!localdomain <C 6ddress: 1(/!0!0!1 Recipient: fulanoTlocalhost!localdomain ubEect: Crueba 6nti-virus 'essage<%: i/U.P"XX00++,/ <nforme: Alam6P: clamtest contains Alam6P-"est-ignature <nforme: Alam6P: test(!4ip contains Alam6P-"est-ignature Alam6P: clamtest contains Alam6P-"est-ignature -- 'ailcanner :mail Pirus canner 111!mailscanner!info S todos os procedmentos de comprobacn por agn motvo no funconan, por favor verfque a sntaxs en todas as neas modfcadas en e fchero /etc/:ailScanner/:ailScanner%conf, como seguramente podr eer se ndca en a btcora ocazada en e fchero /var/lo*/maillo*.y que 261 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux tambn puede mostrar nformacn de utdad. tail -f /var/log/maillog 36%4% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es mportante que MaScanner pueda reazar conexones haca e exteror haca os sguentes servcos: S:><, puerto 25 a travs de TCP (entrada y sada). "NS, puerto 53 a travs de TCP y UDP (sada). (a8or23, puerto 2703 a travs de TCP y puerto 7 a travs de UDP (sada). "$$, puerto 6277 a travs de UDP (sada). <28or, puerto 24441 a travs de UDP (sada). CamAV necesta adems poder reazar conexones haca H>>< (puerto 80) en e exteror para sncronzar a base de datos de frmas. Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a esto: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"() 6AA:C" f1 net tcp ()=).=,0=(/0. 6AA:C" f1 net udp /=).=6(//=(+++1 6AA:C" net f1 tcp () L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 262 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 37% $mo confi*urar 0penL"=< como servidor de autenticacin Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 37%+% Introduccin% L"=< (Lghtweght "rectory =ccess <rotoco) es un protocoo para consuta y modfcacn de servcos de drectoro que se desempean sobre TCP/IP. L"=< utza e modeo X.500 para su estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un con|unto de atrbutos con nombre y que a su vez amacenan vaores. URL: http://en.wkpeda.org/wk/LDAP 37%2% Sustento l*ico reGuerido% opendap-2.2.13 opendap-cents-2.2.13 opendap-servers-2.2. authconfg-4.6.10 authconfg-gtk-4.6.10 (opcona) 37%2%+% Instalacin a travFs de 2um% #um '# install openldap openldap'clients openldap'servers authconfi" authconfi"'"tk 37%2%2% Instalacin a travFs de up2date% up2date 'i openldap openldap'clients openldap'servers authconfi" authconfi"'"tk 37%3% <rocedimientos% Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar con permsos de acceso excusvamente a usuaro y grupo dap. mkdir /var/lib/ldap/autenticar chmod /00 /var/lib/ldap/autenticar cho1n ldap!ldap /var/lib/ldap/autenticar 263 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro. Basta e|ecutar desde una termna: slappass1d Lo anteror debe dar como sada un crptograma como o mostrado a contnuacn: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX E texto de a sada ser utzado ms adeante en e fchero /etc/openldap/slapd%conf y se defnr a usuaro Administrador para como e utzado para acceder con todos os prvegos a drectoro. Se edta e fchero /etc/openldap/slapd%conf y se verfca que os fcheros de esquema mnmos requerdos estn presentes. De ta modo, debe quedar ago as: L L ee slapd!conf()) for details on configuration options! L "his file should 78" be 1orld readable! L include /etc/openldap/schema/core!schema include /etc/openldap/schema/cosine!schema include /etc/openldap/schema/inetorgperson!schema include /etc/openldap/schema/nis!schema Independentemente de o que ya se tenga confgurado, y que no ser tocado, se aade a fna de fchero /etc/openldap/slapd.conf o sguente con e fn de defnr e nuevo drectoro que en adeante se utzar para autentcar a toda a red oca: database bdb suffix D*+7su're*'lo+)l5*+7+omD rootdn D+n78*minis!r)*or5*+7su're*'lo+)l5*+7+omD rootp1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX director2 /var/lib/ldap/autenticar L <ndices to maintain for this database index obEectAlass eO=pres index ou=cn=mail=surname=givenname eO=pres=sub index uid7umber=gid7umber=loginhell eO=pres index uid=member$id eO=pres=sub index nis'ap7ame=nis'ap:ntr2 eO=pres=sub Ince e servco de L"=< y aada ste a resto de os servcos que arrancan |unto con e sstema: service ldap start chkconfig ldap on Edte e fchero /usr/s'are/openldap/mi*ration/mi*rateQcommon%p' y modfque os os vaores de as varabes d"E7=UL>Q:=ILQ"0:=IN y 2E;>QBD<_AQS; a fin de Lue Lueden del si"uiente modo: L %efault %7 domain F%:X6$;"5'6<;5%8'6<7 3 Gsu're*'lo+)l.+omGN 264 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L %efault base F%:X6$;"596: 3 G*+7su're*'lo+)l5*+7+omGN A contnuacn hay que crear e ob|eto que a su vez contendr e resto de os datos en e drectoro. Genere un fchero base.df de sguente modo: /usr/share/openldap/mi"ration/mi"rate_base.pl @ base.ldif Se utzar ldapadd para nsertar os datos necesaros. Las opcones utzadas con este mandato son as sguentes: -x autenticaci@n simple -K solicitar clave de acceso -% binddn 7ombre %istinguido (dn) a utili4ar -h anfitri@n ervidor ;%6C a acceder -f fichero fichero a utili4ar Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro utzando o sguente: ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'red'local) dcIcomV 'h (20.M.M.( 'f base.ldif Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Lo prmero ser mportar os grupos y usuaros exstentes en e sstema. Reace a mportacn de usuaros utzando os guones correspondentes de sguente modo: /usr/share/openldap/mi"ration/mi"rate_"roup.pl /etc/"roup "roup.ldif /usr/share/openldap/mi"ration/mi"rate_passwd.pl /etc/passwd passwd.ldif Lo anteror crear os fcheros *roup%ldif y passMd%ldif, os cuaes ncurn a nformacn de os grupos y cuentas en e sstema, ncuyendo as caves de acceso. Los datos se podrn nsertar en e drectoro LDAP utzando o sguente: ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'red'local) dcIcomV 'h (20.M.M.( 'f "roup.ldif ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'red'local) dcIcomV 'h (20.M.M.( 'f passwd.ldif 37%4% $omprobaciones% Antes de confgurar e sstema para utzar LDAP para autentcar, es convenente verfcar que todo funcona correctamente. E sguente mandato verfca que drectoros dsponbes exsten en e servdor 127.0.0.1. ldapsearch 'h (20.M.M.( 'x 'b VV 's base V$objectclassI3&V namin"Gontexts Lo anteror debe devover una sada smar a o sguente: L extended ;%<X L 265 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L ;%6Cv. L base VH 1ith scope base L filter: (obEectclass3J) L reOuesting: namingAontexts L L dn: namingAontexts: dc3su-red-local=dc3com L search result search: ( result: 0 uccess L numResponses: ( L num:ntries: 1 E sguente mandato debe devover toda a nformacn de todo e drectoro soctado (dc=su-red- oca,dc=com). ldapsearch 'x 'b VdcIsu'red'local)dcIcomV V$objectclassI3&V Otro e|empo es reazar una bsqueda especfca para un usuaro en partcuar. Suponendo que en e sstema se tene un usuaro denomnado fulano, puede e|ecutarse o sguente: ldapsearch 'x 'b VuidIfulano)ouI=eople)dcIsu'red'local)dcIcomV Lo anteror debe regresar ago como o sguente: L extended ;%<X L L ;%6Cv. L base 1ith scope sub L filter: (obEectclass3J) L reOuesting: 6;; L L fulano= Ceople= linuxparatodos!net dn: uid3fulano=ou3Ceople=dc3su-red-local=dc3com uid: fulano cn: fulano obEectAlass: account obEectAlass: posix6ccount obEectAlass: top obEectAlass: shado16ccount userCass1ord:: xxxxxxxxxxxx shado1;astAhange: 1()-+ shado1'ax: ----- shado1Karning: / loginhell: /bin/bash uid7umber: )0) gid7umber: )0) home%irector2: /home/fulano 266 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L search result search: ( result: 0 uccess L numResponses: ( L num:ntries: 1 37%5% $onfi*uracin de clientes% Defna os vaores para os parmetros 'ost y base a fn de estabecer haca que servdor y a que drectoro conectarse. Para fnes prctcos, e vaor de parmetros base debe ser e msmo que se especfc en e fchero /etc/openldap/slapd%conf para e parmetro suffix. L \our ;%6C server! 'ust be resolvable 1ithout using ;%6C! L 'ultiple hosts ma2 be specified= each separated b2 a L space! Bo1 long nss5ldap takes to failover depends on L 1hether 2our ;%6C client librar2 supports configurable L net1ork or connect timeouts (see bind5timelimit)! host 192.16H.0.1 L "he distinguished name of the search base! base *+7su're*'lo+)l5*+7+om Lo que sgue es utzar ya sea aut'confi* o aut'confi*)*tL para confgurar e sstema a fn de que se utce e servdor LDAP para autentcar. 37%5%+% aut'confi* Nmodo textoC Habte as casas Utili8ar L"=< y Utili8ar =utenticacin L"=< y puse a teca >ab hasta Si*uiente y puse a teca Enter y verfque que os datos de servdor y e drectoro a utzar sean os correctos. uthconfg, pantaa prncpa. 267 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux authconfg, pantaa confguracn dap. 37%5%2% aut'confi*)*tL Nmodo *r;ficoC S se utza authconfg-gtk se deben habtar as casas de Soporte LDAP. Antes de cerrar a ventana en a pestaas de Informacn de usuaro y Autentcacn. Antes de dar cc en =ceptar, haga cc en $onfi*urar L"=< y verfque que os datos de servdor y e drectoro a utzar sean os correctos. authconfg-gtk, pestaa de Informacn de usuaro. 268 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux authconfg-gtk, pestaa de Autentcacn. authconfg-gtk, ventana Confgurar LDAP. 37%6% =dministracin% Hay una gran cantdad de programas para acceder y admnstrar servdores LDAP, pero a mayora soo srven para admnstrar usuaros y grupos de sstema como dradmn y e mduo de LDAP de Webmn. La me|or herramenta de admnstracn de drectoros LDAP que podemos recomendar es LDAP Browser/Edtor (requere |ava). 269 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux LDAP Browser/Edtor 2.8.1. 37%7% (espaldo de datos% Debe detenerse e servco de LDAP antes de proceder con e respado de datos. service ldap stop A contnuacn, se utza a herramenta slapcat, utzando e fchero de confguracn /etc/openldap/slapd%conf. slapcat -v -f /etc/openldap/slapd!conf -l respaldo-F(date [&\&m&d)!ldif Concudo e proceso de respado de datos, puede ncarse de nuevo e servco de ldap. service ldap start 37%9% (estauracin de datos% E procedmento requere detener e servco. service ldap stop Debe emnarse os datos de drectoro a restaurar. rm -f /var/lib/ldap/autenticar/J A contnuacn, se utza a herramenta slapadd para cargar os datos desde un fchero *.df de respado. 270 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux slapadd -v -c -l respaldo-(006100.!ldif -f /etc/openldap/slapd!conf Se debe e|ecutar a herramenta slapindex, que se utza para regenerar os ndces LDAP. slapindex Concudo e proceso de restauracn de datos, puede ncarse de nuevo e servco de ldap. service ldap start 37%S% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr e puerto 389 por TCP (L"=<). Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp .,- L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 271 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 39% $mo confi*urar 0penL"=< como libreta de direcciones% Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 39%+% Introduccin% L"=< (Lghtweght "rectory =ccess <rotoco) es un protocoo para consuta y modfcacn de servcos de drectoro que se desempean sobre TCP/IP. L"=< utza e modeo X.500 para su estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un con|unto de atrbutos con nombre y que a su vez amacenan vaores. URL: http://en.wkpeda.org/wk/LDAP 39%2% Sustento l*ico reGuerido% opendap-2.2.13 opendap-cents-2.2.13 opendap-servers-2.2.13 evouton-data-server-1.x (o ben smpemente de fchero evoutonperson.schema que ncuye dcho paquete) 39%2%+% Instalacin a travFs de 2um% #um '# install openldap openldap'clients openldap'servers evolution'data'server 39%2%2% Instalacin a travFs de up2date% up2date 'i openldap openldap'clients openldap'servers evolution'data'server 39%3% <rocedimientos% Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar con permsos de acceso excusvamente a usuaro y grupo ldap. mkdir /var/lib/ldap/addressbook chmod /00 /var/lib/ldap/addressbook cho1n ldap!ldap /var/lib/ldap/addressbook Crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro. Basta 272 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux e|ecutar desde una termna: slappass1d Lo anteror debe dar como sada un crptograma como o mostrado a contnuacn: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX E texto de a sada ser utzado ms adeante en e fchero /etc/openldap/slapd%conf y se defnr a usuaro =dministrador para como e utzado para acceder con todos os prvegos a drectoro. Se copa e fchero de esquema de evouton-data-server dentro de drectoro /etc/openldap/sc'ema/: cp /usr/share/evolution-data-server-J/evolutionperson!schema D /etc/openldap/schema/ Se edta e fchero /etc/openldap/slapd%conf y se agrega e esquema de datos ncudo con evouton-data-server: L L ee slapd!conf()) for details on configuration options! L "his file should 78" be 1orld readable! L include /etc/openldap/schema/core!schema include /etc/openldap/schema/cosine!schema include /etc/openldap/schema/inetorgperson!schema include /etc/openldap/schema/nis!schema in+lu*e /e!+/openl*)p/s+em)/evolu!ionperson.s+em) Independentemente de o que ya se tenga confgurado, y que no ser tocado, se aade a fna de fchero /etc/openldap/slapd%conf o sguente con e fn de defnr e nuevo drectoro que en adeante se utzar como breta de dreccones: database bdb suffix Gdc3su-dominio=dc3comG rootdn Gcn36dministrador=dc3su-dominio=dc3comG rootp1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX director2 /var/lib/ldap/addressbook L <ndices to maintain for this database index obEectAlass eO=pres index ou=cn=mail=surname=givenname eO=pres=sub index uid7umber=gid7umber=loginhell eO=pres index uid=member$id eO=pres=sub index nis'ap7ame=nis'ap:ntr2 eO=pres=sub Ince e servco de LDAP y aada ste a resto de os servcos que arrancan |unto con e sstema: service ldap start chkconfig ldap on 273 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux A contnuacn hay que crear e ob|eto que a su vez contendr e resto de os datos en e drectoro. Genere un fchero addressbooL%ldif a cua agregar e sguente contendo: dn: dc3su-dominio= dc3com obEectclass: top obEectclass: dc8bEect obEectclass: organi4ation o: 7ombre completo de su empresa dc: su-dominio dn: ou36ddressbook= dc3su-dominio= dc3com ou: 6ddressbook obEectAlass: top obEectAlass: organi4ational$nit Se utzar ldapadd para nsertar os datos necesaros. Las opcones utzadas con este mandato son as sguentes: -x autenticaci@n simple -K solicitar clave de acceso -% binddn 7ombre %istinguido (dn) a utili4ar -h anfitri@n ervidor ;%6C a acceder -f fichero fichero a utili4ar Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro utzando o sguente: ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'dominio) dcIcomV 'h (20.M.M.( 'f addressbook.ldif Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Genere e fchero su- usuaro.df con os sguentes datos, donde reempazar os vaores por reaes. Elimine los campos Gue Gueden vac.os o no le sean de utilidadX porGue de otra forma L"=< no le de-ar; insertar Fstos. Es mportante destacar que deben estar ncudas as cases top, person, or*ani8ational<erson, inet0r*<erson y evolution<erson, ya que de otro modo no ser posbe utzar os campos de nformacn necesaros para que e drectoro funcone como breta de dreccones. dn: cn37ombre Aompleto= ou36ddressbook= dc3su-dominio= dc3com obKe+!?l)ss3 !op obKe+!?l)ss3 person obKe+!?l)ss3 or,)ni6)!ion)l-erson obKe+!?l)ss3 ine!.r,-erson obKe+!?l)ss3 evolu!ion-erson cn: 7ombre Aompleto given7ame: 7ombre sn: 6pellidos displa27ame: 6podo title: r! mail: su-cuenta-de-correoTsu-dominio!com initials: <!7!<!A!<!6!;!:!! o: 7ombre Aompleto de su empresa! ou: %epartamento o ecci@n a la Oue pertenece businessRole: Cuesto Oue desempe#a en su empresa homeCostal6ddress: %omicilio de su hogar! 274 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux postal6ddress: %omicilio de su empresa! l: Aiudad st: :stado L A@digo postal postalAode: 1(.+) L "elefono empresa telephone7umber: ))-))))-)))) L "el^fono principal primar2Chone: ))-))))-)))) L "el^fono m@vil mobile: ))-))))-)))) L "elefono hogar homeChone: ))-))))-)))) L 8tro tel^fono otherChone: ))-))))-)))) labeled$R<: http://111!linuxparatodos!net/ L u fecha de nacimiento birth%ate: 1-/0-0(-(0 file6s: 6pellidos= 7ombre categor2: AualOuier-categorYa-Oue-Oueira-crear manager7ame: 7ombre de su Eefe= si lo tiene assistant7ame: 7ombre de su asistente= si lo tiene! L "elefono de su asistente= si lo tiene assistantChone: ))-))))-)))) spouse7ame: 7ombre de su esposa(o)= si lo tiene! L fecha en Oue celebra su aniversario de bodas= si aplica anniversar2: (000-01-01 Los datos se podrn nsertar utzando o sguente: ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'dominio) dcIcomV 'h (20.M.M.( 'f su'usuario.ldif 39%4% $onfi*uracin de clientes% Acceda haca e drectoro con cuaquer cente que tenga soporte para acceder haca drectoros LDAP. 39%4%+% Novell Evolution% Hacer cc en Archvo Nuevo Lbreta de dreccones. 275 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Propedades de a breta de dreccones, pestaa Genera. 276 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Propedades de a breta de dreccones, pestaa Detaes. 39%4%2% :o8illa >'underbird% Hacer cc en Archvo Nuevo Drectoro LDAP Propedades de servdor de drectoro, pestaa Genera. 277 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Propedades de servdor de drectoro, pestaa Avanzado. 39%4%3% SGuirrelmail% Hay que edtar e fchero /etc/sGuirrelmail/confi*%p'p y aadr/edtar: Fldap5server>0? 3 arra2( IhostI 3H I1(/!0!0!1I= IbaseI 3H Iou36ddressbook=dc3su-dominio=dc3comI= InameI H3 I6ddressbookI )N 39%5% =dministracin% Hay una gran cantdad de programas para acceder y admnstrar servdores LDAP, pero a mayora soo srven para admnstrar usuaros y grupos de sstema. La me|or herramenta de admnstracn de drectoros LDAP que podemos recomendar es LDAP Browser/Edtor (requere |ava). 278 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux LDAP Browser/Edtor 2.8.1. 39%6% (espaldo de datos% Debe detenerse e servco de LDAP antes de proceder con e respado de datos. service ldap stop A contnuacn, se utza a herramenta slapcat, utzando e fchero de confguracn /etc/openldap/slapd%conf. slapcat -v -f /etc/openldap/slapd!conf -l respaldo-F(date [&\&m&d)!ldif Concudo e proceso de respado de datos, puede ncarse de nuevo e servco de ldap. service ldap start 39%7% (estauracin de datos% E procedmento requere detener e servco. service ldap stop Debe emnarse os datos de drectoro a restaurar. rm -f /var/lib/ldap/addressbook/J A contnuacn, se utza a herramenta slapadd para cargar os datos desde un fchero *.df de respado. 279 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux slapadd -v -c -l respaldo-(006100.!ldif -f /etc/openldap/slapd!conf Se debe e|ecutar a herramenta slapindex, que se utza para regenerar os ndces LDAP. slapindex Concudo e proceso de restauracn de datos, puede ncarse de nuevo e servco de ldap. service ldap start 39%9% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr e puerto 389 por TCP (L"=<). Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp .,- L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 280 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 3S% $mo confi*urar 0penL"=< con soporte SSL/>LS% Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 3S%+% Introduccin% Este documento requere a ectura y comprensn preva de cuaquera de os sguentes temas: Cmo confgurar OpenLDAP como breta de dreccones. Cmo confgurar OpenLDAP como servdor de autentcacn. 3S%+%+% =cerca de L"=< en modo SSL/>LS% E nco de a operacn StartTLS en un servdor LDAP, estabece a comuncacn >LS (>ransport Layer Securty, o Segurdad para Nve de Transporte) a travs de msmo puerto 389 por TCP. Provee confdencadad en e transporte de datos e proteccn de a ntegrdad de datos. Durante a negocacn, e servdor enva su certfcado con estructura X.509 para verfcar su dentdad. Opconamente puede estabecerse a comuncacn. La conexn a travs de puerto 389 y 636 dfere en o sguente: 1. A reazar a conexn por puerto 636, tanto e cente como e servdor estabecen TLS antes de que se transfera cuaquer otro dato, sn utzar a operacn Stat>LS. 2. La conexn a travs de puerto 636 debe cerrarse a termnar TLS. URL: http://en.wkpeda.org/wk/LDAP 3S%+%2% =cerca de (S=% (S=, acrnmo de os apedos de sus autores, Ron (vest, Ad Shamr y Len =deman, es un agortmo para e cfrado de caves pbcas que fue pubcado en 1977, patentado en EE.UU. en 1983 por e e Insttuto Tecnogco de Mchgan (:I>). (S= es utzado ampamente en todo e mundo para os protocoos destnados para e comerco eectrnco. URL: http://es.wkpeda.org/wk/RSA 3S%+%3% =cerca de E%50S% E%50S es un estndar I>U)> (estandarzacn de >eecomuncacones de a Internatona >eecommuncaton Unon ) para nfraestructura de caves pbcas (<KI, o <ubc Key Infrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y un 281 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux agortmo para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a ruta de un certfcado sea vda ba|o una nfraestructura de cave pbca determnada. Es decr, desde e certfcado nca, pasando por certfcados ntermedos, hasta e certfcado de confanza emtdo por una Autordad Certfcadora ($=, o $ertfcaton =uthorty). URL: http://es.wkpeda.org/wk/X.509 3S%+%4% =cerca de 0penSSL% 0penSSL es una mpementacn bre, de cdgo aberto, de os protocoos SSL (Secure Sockets Layer o Nve de Zcao Seguro) y >LS (>ransport Layer Securty, o Segurdad para Nve de Transporte). Est basado sobre e extnto proyecto SSLea2, ncado por Erc Young y Tm Hudson, hasta que stos comenzaron a traba|ar para a dvsn de segurdad de EMC Corporaton. URL: http://www.openss.org/ 3S%2% <rocedimientos% 3S%2%+% Generando clave 2 certificado% cd /etc/openldap/cacerts La creacn de a ave y certfcado para 0penL"=< requere utzar una cave con agortmo (S= de 1024 octetos y estructura x50S. En e e|empo a contnuacn, se estabece una vadez por 730 das (dos aos) para e certfcado creado. openssl reO -x)0- -nodes -ne1ke2 rsa:10(+ D -da2s /.0 -out sl)p*.+r! -ke2out sl)p*.1ey Lo anteror soctar se ngresen varos datos: Cdgo de dos etras para e pas. Estado o provnca. Cudad. Nombre de a empresa o razn soca. Undad o seccn. Nombre de anftrn. Dreccn de correo. La sada devueta sera smar a a sguente: *enerating a 10(+ bit R6 private ke2 !!!!!!!!!!!!!!!![[[[[[ ![[[[[[ 1riting ne1 private ke2 to Idovecot!ke2I ----- \ou are about to be asked to enter information that 1ill be incorporated into 2our certificate reOuest! Khat 2ou are about to enter is 1hat is called a %istinguished 7ame or a %7! 282 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux "here are Ouite a fe1 fields but 2ou can leave some blank Xor some fields there 1ill be a default value= <f 2ou enter I!I= the field 1ill be left blank! ----- Aountr2 7ame (( letter code) >*9?:;O tate or Crovince 7ame (full name) >9erkshire?:Nis!ri!o =e*er)l ;ocalit2 7ame (eg= cit2) >7e1bur2?:;e#i+o 8rgani4ation 7ame (eg= compan2) >'2 Aompan2 ;td?: ;i empres)5 /.8. *e ?.Q. 8rgani4ational $nit 7ame (eg= section) >?:Nire++ion ?omer+i)l Aommon 7ame (eg= 2our name or 2our serverIs hostname) >?: mi*ominio.or, :mail 6ddress >?:webm)s!erLmi*ominio.or, E certfcado soo ser vdo cuando e servdor L"=< sea nvocado con e nombre defndo en e campo $ommon Name. Es decr, soo podr utzaro cuando se defna midominio%or* como servdor L"=< con soporte SSL/>LS. No funconar s se nvoca a servdor como, por menconar un e|empo, directorio%midominio%or*. Es ndspensabe que todos os fcheros de caves y certfcados tengan permsos de acceso de soo ectura para e usuaro ldap: cho1n ldap!ldap /etc/openldap/cacerts/slapd!J chmod +00 /etc/openldap/cacerts/slapd!J 3S%2%2% <ar;metros de /etc/openldap/slapd%conf% Se deben descomentar os parmetros >LS$=$ertificate7ile, >LS$ertificate7ile y >LS$ertificateKe27ile estabecendo as rutas haca e certfcado y cave. Opconamente se puede descomentar a drectva referral para ndcar e U(I (Unform (esource Identfer o Identfcador Unforme de Recursos) de servco de drectoro superor como ldaps en ugar de ldap. ";A6AertificateXile /etc/openldap/cacerts/sl)p*.+r! ";AertificateXile /etc/openldap/cacerts/sl)p*.+r! ";AertificateQe2Xile /etc/openldap/cacerts/sl)p*.1ey referral l*)ps3//midominio!org A fn de que surtan efecto os cambos, es necesaro rencar e servco ldap. service ldap restart 3S%2%3% $omprobacin% Confgure cuaquer cente LDAP para utzar SSL en e puerto 636. Tras aceptar e certfcado, en e caso de que ste no haya sdo frmado por un (= ((egstraton =uthorty o Autordad de Regstro), servdor LDAP deber permtr competar a conexn y reazar cuaquer tpo de consuta y/o manpuacn de regstros. 3S%2%4% $onfi*uracin de GN0:E Evolution% Se debe estabecer e msmo nombre de servdor utzado para crear e certfcado, y conexn por SSL. 283 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Confguracn LDAP, GNOME Evouton. 3S%2%5% $onfi*uracin de :o8illa >'underbird% Se debe estabecer e msmo nombre de servdor utzado para crear e certfcado, y conexn por SSL. Confguracn LDAP, Moza Thunderbrd. 284 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 3S%2%6% $onfi*uracin L"=< !roMser% Se debe estabecer e msmo nombre de servdor utzado para crear e certfcado, y conexn por SSL. Confguracn LDAP Browser. 3S%2%7% $onfi*uracin L"=< =dministration >ool% Se debe estabecer e msmo nombre de servdor utzado para crear e certfcado, y conexn por SSL. 285 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Confguracn LDAP Admnstraton Too. 3S%3% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, adems de puerto 389 por TCP, es necesaro abrr e puerto 636 por TCP (L"=<S). Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp .,-=6.6 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 286 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 40% $onfi*uracin b;sica de =pac'e Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 40%+% Introduccin% 40%+%+% =cerca del protocolo H>><% HTTP (Hypertext >ransfer <rotoco, o Protocoo de Trasferenca de Hpertext), es e mtodo utzado para transferr o transportar nformacn en a Red Munda (WWW, Yord Yde Yeb). Su propsto orgna fue e proveer una forma depubcar y recupertar documentos HTML. E desarroo de protocoo fue coordnado por Word Wde Web Consortum y a IE>7 (Internet Engneerng >ask 7orce, o Fuerza de Traba|o en Ingenera de Internet), cumnando con a pubcacn de varso RFC ((equest 7or $omments), de entre os que destaca e RFC 2616, msmo que defne a versn 1.1 de protocoo, que es e utzado hoy en da. H>>< es un protocoo de soctud y respuesta a travs de >$<, entre agentes de usuaro (Navegadores, motores de ndce y otras herramentas) y servdores, reguarmente utzando e puerto 80. Entre a comuncacn entre stos puede ntervenr como servdores Intermedaros (Proxes), puertas de enace y tnees. URL: http://toos.etf.org/htm/rfc2616 40%+%2% =cerca de =pac'e% Apache es un servdor HTTP, de cdgo aberto y cencamento bre, que funcona en Lnux, sstemas operatvos dervados de Unx, Wndows, Nove Netware y otras pataformas. Ha desempeado un pape muy mportante en e crecmento de a red munda, y contnua sendo e servdor HTTP ms utzado, sendo adems e servdor de facto contra e cua se reazan as pruebas comparatvas y de desempeo para otros productos competdores. Apache es desarroado y mantendo por una comundad de desarroadores auspcada por Apache Software Foundaton. URL: http://www.apache.org/ 40%2% Sustento l*ico necesario% 40%2%+% Instalacin a travFs de 2um% S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, soo basta utzar o sguente: #um '# install httpd 287 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S se desea que Apache ncuya soporte para <H</:2SAL, <erl, <2t'on y SSL/>LS, soo bastar e|ecutar: #um '# install php php'm#sLl mod_perl mod_p#thon mod_ssl 40%2%2% Instalacin a travFs de Up2date S se utza de Red Hat Enterprse Lnux 4, soo basta utzar o sguente: up2date 'i httpd S se desea que Apache ncuya soporte para PHP/MySOL, Per, Python y SSL, soo bastar utzar: up2date 'i php php'm#sLl mod_perl mod_p#thon mod_ssl 40%3% Iniciar servicio 2 a#adir el servicio al arranGue del sistema% Apache es un servco que por fortuna soo es necesaro nstaar e ncar. No requere modfcacones adconaes para su funconamento bsco. Para aadr e servco a os servcos que ncan |unto con e sstema, soo basta e|ecuta: chkconfig httpd on Para ncar e servco por prmera vez, soo basta utzar: service httpd start Para rencar e servco, consderando que se nterrumprn todas as conexones estabecdas en ese momento, soo basta utzar: service httpd restart S e servco ya est traba|ando, tambn puede utzar reload a fn de que Apache vueva a eer y cargar a confguracn sn nterrumpr e servco, y, por ende, as conexones estabecdas. service httpd reload Para detener e servco, soo basta utzar: service httpd stop 40%4% <rocedimientos% 40%4%+% SELinux 2 =pac'e% S utza aguna dstrbucn con nceo 2.6 basada sobre Red Hat Enterprse Lnux 4.0, como seran CentOS 4.0 o Whte Box Enterprse Lnux 4.0 en adeante, stas ncuyen SELnux que aade segurdad adcona a Apache, sn embargo agunas opcones mpedrn utzar certas funcones en Apache, como drectoros vrtuaes. E|ecute s2stem)confi*)securit2level desde e modo grfco y 288 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux actve a casa que dce J/isable -E.inu( Drotection for !ttpd daemon= y haga cc en e botn de JAceptar=. S no tene paneado utzar drectoros vrtuaes, puede de|ar desactvada a casa y aprovechar toda a segurdad adcona que brnda SELnux. system-confg-securtyeve. 40%4%2% U>7)9 2 codificacin de documentos% UTF-8 UTF-8 es un mtodo de codfcacn de ASCII para Uncode (ISO-10646), e Con|unto de Caracteres Unversa o UCS. ste codfca a mayora de os sstemas de escrtura de mundo en un soo con|unto de caracteres, permtendo a mezca de engua|es y guones en un msmo documento sn a necesdad de a|ustes para reazar os cambos de con|untos de caracteres. Cuaquer sto de red que haga uso de bases de datos y documentos HTML suee toparse con probemas cuando se trata de dar con e tpo de codfcacn (UTF-8, ISO-8859-1, etc.), puesto que en agunos casos, por ctar un e|empo, os caracteres atnos se muestran ncorrectamente por e cambo de codfcacn. Debdo a su convenenca actuamente se est adoptando UTF-8 como codfcacn para todo, sn embargo an hay mucho matera codfcado en, por e|empo, ISO-8859-1. Lo correcto es codfcar os documentos codfcados en ISO8859-1 y otras tabas de caracteres haca en UTF-8, utzando mtodos como e sguente: cd /var/111/html/ 289 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux for f in J!html do vi -c G:1Oc [[enc3utf,G Ff done S desea contnuar viviendo en el pasado y no aceptar e nuevo estndar, tambn puede desactvar a funcn en Apache que estabece UTF-8 como codfcacn predefnda. Edte e fchero /etc/'ttpd/conf/'ttpd%conf y ocace o sguente: QddEefaultGharset B<>'H Cambe o anteror por esto otro: QddEefaultGharset 9ff 40%4%3% 7ic'eros de confi*uracin% Cuaquer a|uste que se requera reazar, ya sea para confgurar Stos de Red vrtuaes u otra funconadad adcona, se puede reazar sn tocar e fchero prncpa de confguracn, utzando cuaquer fchero con extensn W%conf dentro de drectoro /etc/'ttpd/conf%d/% 40%4%4% "irectorios virtuales% S, por e|empo, se qusera aadr e aas para un drectoro ocazado en /var/ftp/pub/ y e cua queremos vsuazar como e drectoro /pub/ en Apache, soo bastara crear un fchero que denomnaremos arbtraramente como e fchero denomnado /etc/'ttpd/conf%d/aliases%conf con e sguente contendo: 6lias /pub /var/ftp/pub S trata de acceder haca este nuevo drectoro vrtua con e navegador, notar que no est permtdo e acceso. Para poder acceder deber haber un documento ndce en e nteror (ndex.htm, ndex.php, etc) o ben que dcho drectoro sea confgurado para mostrar e contendo de sguente modo: 6lias /pub /var/ftp/pub V%irector2 G/var/ftp/pubGH 8ptions <ndexes <ncludes Xollo12m;inks 6llo18verride all V/%irector2H E parmetro Indexes ndca que se deber mostrar e contendo de drectoro. E parmetro 7olloMS2mLinLs posbta poder coocar enaces smbcos dentro de drectoro os cuaes se segurn. E parmetro Includes especfca que se permte a utzacn de os SSI (Server Sde Incudes) que posbtan utzar funcones como autentcacn. E parmetro =lloM0verrride all posbta utzar fcheros %'taccess. Rence o recargue Apache y acceda haca !ttp233<BQ.:.:.<3pub3 con cuaquer navegador de red y vsuace e resutado. 290 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 40%4%5% (edireccin de directorios% Cuando sea necesaro, es posbe confgurar un drectoro en partcuar para Apache redr|a de modo transparente ste y su contendo haca cuaquer otra dreccn. Fedirect *M( /webmail http://mail.su'dominio.net/ En e e|empo anteror, se ndca que s se trata de acceder haca e subdrectoro /Mebmail en e servdor, Apache deber redrgr haca !ttp233mail.su8dominio.net3. E nmero 301 corresponde a mensa|e de protocoo HTTP para ndcar que a redreccn es permanente. S por e|empo hubese un ob|eto en /webma, como por e|empo /Mebmail/estadisticas/estadisticas%p'p, Apache reazar e re-drecconamento transparente haca !ttp233mail.su8 dominio.net3estadisticas3estadisticas.p!p. 40%4%6% >ipos de :I:E% S por e|empo se qusera aadr agn tpo de extensn y tpo MIME, como por e|empo Ogg, se podra generar un fchero que denomnaremos arbtraramente como e fchero /etc/'ttpd/conf%d/extensiones%conf con e sguente contendo: Qdd<#pe application/o"" .o"" QddEescription 79"" Jorbis Qudio7 .o"" QddCcon /icons/sound2.pn" .o"" 40%4%7% Soporte para $GI con extensin W%c*i S se qusera aadr que se reconocera a extensn W%c*i como un gun $GI ($ommon Gateway Interface), soo bastar aadr un fchero que denomnaremos, arbtraramente, /etc/'ttpd/conf%d/c*i%conf con e sguente contendo: 6ddBandler cgi-script !cgi 40%4%7%+% <robando la confi*uracin% Utce e edtor de texto de su preferenca para crear e fchero /var/MMM/c*i)bin/tiempo%c*i. Este deber evar o sguente como contendo: YZ/usr/bin/perl print 7content't#pe: text/html[n[n7` print scalar localtime` print 7[n7` Deberemos de cambar e permso de archvo anteror con a sguente nea de mandato: chmod /)) /var/111/cgi-bin/tiempo!cgi Utce e navegador de red que prefera y apunte ste haca !ttp233<BQ.:.:.<3c%i8bin3tiempo.c%i. S e navegador nos da una sada smar a a sguente, se habr confgurado extosamente Apache para e|ecutar guones CGI: "ue Uul 0) ((:10:+1 (00) 291 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 40%4%7%2% <roblemas posteriores Antes escrbre a autor de este documento, de recurrr a as stas de soporte o grupos y foros de dscusn soctando ayuda para hacer traba|ar un gun CGI en partcuar, ea cudadosamente a documentacn que acompaa a este y verfque que se han estabecdo apropadamente os permsos de ectura, escrtura y e|ecucn, que se han reazado as modfcacones necesaras en os parmetros para e uso de gun en su servdor y que e gun CGI no contenga errores. Recurra a autor de gun CGI o bnaro s necesta ayuda. 40%4%7%3% Error m;s com1n n1mero +% >orbidden Rou donVt have permission to access /al"un/directorio/"uion.c"i on this server Sgnfca que e archvo no cuenta con os permsos apropados de ectura, escrtura y e|ecucn. La mayora guones CGI que encontrar en Internet necestarn a menos permso 755 para poder ser utzados. 40%4%7%4% Error m;s com1n n1mero 2% Cnternal Server ;rror <he server encountered an internal error or misconfi"uration and was unable to complete #our reLuest. Sgnfca que hay probemas con e gun CGI en s y no con Apache. En a mayora de os casos se trata de fcheros que fueron eaborados desde un edtor de texto en Wndows, cuyo retorno de carro es dstnto a de os sstemas operatvos basados sobre UNIX, por o cua se deber utzar e mandato dos2unix sobre dchos fcheros. En otros casos, ago menos frecuente, se requerr que e admnstrador revse nea por nea para ocazar un posbe error o parmetro ncorrecto. Cuando apque, verfque que a prmera nea de gun que apunta haca donde se encuentra e mandato perl sea correcta. Verfque tambn s e drectoro que abergue e gun CGI requere agn permso en partcuar, como sera 777 en e caso de agunos guones CGI. 40%4%9% (obo de im;*enes% Suee ocurrr que os admnstradores de agunos stos encuentran fc utzar mgenes, y otros tpos de contendo, vncuando desde sus documentos haca os ob|etos en e servdor. Esto consume ancho de banda adcona y es una prctca poco tca. En e sguente e|empo, consderando que se tene un drectoro /var/MMM/'tml/ima*enes, y se desea proteger ste para que soo se permta utzar su contendo s es referdo desde e msmo servdor, se utzara o sguente: L e permite al propio servidor et:nv<f Referer G`http://111!midominio!org/G local5referal L se permite aceder directamente a la imagen o bien si L no se especifica en el navegador la informaci@n de referente! et:nv<f Referer G`FG local5referal V%irector2 G/var/111/html/imagenes/GH 8rder %en2=6llo1 %en2 from all 6llo1 from env3local5referal V/%irector2H La confguracn anteror puede aadrse en cuaquer fchero *.conf dentro de drectoro 292 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux /etc/'ttpd/conf%d/. 40%5% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr e puerto 80 por TCP (H>><). Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp ,0 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 293 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 40%6% =pFndice, $onfi*uracin de Sitios de (ed virtuales en =pac'e Puede generarse cuaquer fchero con extensn G.conf dentro de drectoro 3etc3!ttpd3conf.d3 de Apache 2.0.x. Puede ncurse contendo como e sguente: L %efinici@n del itio de Red principal 7amePirtualBost 1-(!16,!1!()+ VPirtualBost 1-(!16,!1!()+H erver6dmin 1ebmasterTdominio!com %ocumentRoot /var/111/html/ /erver@)me www.*ominio.+om V/PirtualBostH L Keb virtual con definici@n de directorio para A*< VPirtualBost 1-(!16,!1!()+H %ocumentRoot /var/111/lpt/html /erver@)me www.)l,un'*ominio.+om /erver8li)s )l,un'*ominio.+om /erver8*min webm)s!erL)l,un'*ominio.+om :rror;og /var/111/algun-dominio/logs/error5log Austom;og /var/111/algun-dominio/logs/access5log combined cript6lias /cgi-bin/ G/var/111/algun-dominio/cgi-bin/G V%irector2 G/var/111/algun-dominio/cgi-binGH 6llo18verride 7one 8ptions 7one 8rder allo1=den2 6llo1 from all V/%irector2H 6ddBandler cgi-script !cgi V/PirtualBostH L 'Zs itios de Red virtuales VPirtualBost 1-(!16,!1!()+H erver6dmin webm)s!erL*ominio.+om %ocumentRoot /usr/share/sOuirrelmail/ erver7ame 1ebmail!dominio!com :rror;og logs/1ebmail!dominio!com-error5log Austom;og logs/1ebmail!dominio!com-access5log combined V/PirtualBostH VPirtualBost 1-(!16,!1!()+H erver6dmin webm)s!erLbe!).*ominio.+om %ocumentRoot /var/111/beta/ /erver@)me be!).*ominio.+om :rror;og /var/111/beta/logs/beta!dominio!com-error5log Austom;og /var/111/beta/logs/beta!dominio!com-access5log combined V/PirtualBostH VPirtualBost 1-(!16,!1!()+H erver6dmin webm)s!erL*ominio.+om %ocumentRoot /usr/share/sOuirrelmail/ /erver@)me m)il.*ominio.+om :rror;og logs/mail!dominio!com-error5log 294 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Austom;og logs/mail!dominio!com-access5log combined V/PirtualBostH VPirtualBost 1-(!16,!1!()+H erver6dmin webm)s!erL*ominio.ne! %ocumentRoot /var/111/net/ /erver@)me www.*ominio.ne! :rror;og /var/111/net/logs/111!dominio!net-error5log Austom;og /var/111/net/logs/111!dominio!net-access5log combined V/PirtualBostH 295 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 40%7% =pFndice, $mo 'abilitar los %'taccess 2 SSI en =pac'eD 2%0%x Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 40%7%+% Introduccin Apache 2.0.x vene ms seguro, ya que su confguracn predetermnada vene de ta modo que deshabta muchas cosas que podrn consderarse de certo resgo. Parte de esa segurdad ncuye desactvar os SSI (-erver -ide Ancludes y e uso de os fcheros %'taccess para modfcar o adconar funcones a drectoros. Bscamente soo se necesta aadr as sguentes neas a cuaquer defncn de drectoro que se desee utzar: 8ptions <ndexes Xollo12m;inks En+lu*es 6llo18verride 6ll Lo anteror se compementa utzando un fchero .htaccess defnendo a autentcacn para dcho drectoro contra un fchero que ncuye caves de acceso. 6uth7ame Golo usuarios autori4adosG 6uth"2pe 9asic reOuire valid-user 6uth$serXile /cualOuier/ruta/hacia/fichero/de/claves 40%7%2% E-emplo Se proceder a crear un drectoro que ser vsto con cuaquer navegador como http://127.0.0.1/prvado/. Genere e fchero /etc/'ttpd/conf%d/e-emplo)autenticar%conf con e sguente contendo: 6lias /privado /v)r/www/priv)*o V%irector2 G/v)r/www/priv)*oGH 8ptions <ndexes Xollo12m;inks En+lu*es 6llo18verride 6ll 8rder allo1=den2 6llo1 from all V/%irector2H Genere el directorio /var/www/prvado/ e|ecutando o sguente: mkdir -p /var/111/privado 296 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Genere el fic'ero /var/www/prvado/.htaccess e|ecutando o sguente: touch /var/111/privado/!hta++ess Edite e fchero /var/www/prvado/.htaccess y aada e sguente contendo: 6uth7ame Golo usuarios autori4adosG 6uth"2pe 9asic reOuire valid-user 6uth$serXile /var/111/claves Genere el fic'ero de caves de acceso /var/www/caves utili8ando el si*uiente procedimiento: touch /var/111/claves Con e fn de estabecer a segurdad necesara, cambe os atrbutos de ectura y escrtura soo para e usuaro apache: chmod 600 /var/111/claves cho1n apache:apache /var/111/claves Aada uno o dos usuaros vrtuaes a fchero de caves utili8ando el si*uiente procedimiento: htpass1d /var/111/claves fulano htpass1d /var/111/claves mengano Para comprobacones, consderando que confgur /var/MMM/privado/ como e drectoro subordnado vrtua /privado/ descrto en e e|empo de este captuo, reinicialice apac'e: service httpd restart Acceda con cuaquer navegador de red haca 'ttp,//+27%0%0%+/privado/ y compruebe que funcona e acceso con autentcacn en dcho drectoro subordnado utzando cuaquera de os dos usuaros vrtuaes que gener con htpasswd, es decr fuano o mengano. elinks !!p3//12G.0.0.1/priv)*o/
297 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 4+% $mo confi*urar =pac'e con soporte SSL/>LS% Autor: $oel Barrios /ue,a Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 4+%+% Introduccin% 4+%+%+% =cerca de H>><S% H>><S es a versn segura de protocoo H>><, nventada en 1996 por Netscape Communcatons Corporaton. No es un protocoo separado de H>><. Se trata de una combnacn de este tmo con un mecansmo de transporte SSL o >LS, garantzando una proteccn razonabe durante a comuncacn cente-servdor. Es ampamente utzado en a red munda (YYY o Yord Yde Yeb) para comuncacones como transaccones bancaras y pago de benes y servcos. E servco utza e puerto 443 por TCP para reazar as comuncacones (a comuncacn norma para HTTP utza e 80 por TCP). E esquema U(I (Unform (esource Identfer o Identfcador Unforme de Recursos) es, comparando sntaxs, dntco a de H>>< (http:), utzndose como I'ttps,J segudo de subcon|unto denomnado U(L (Unform (esource Locator o Locazador Unforme de Recursos). E|empo: !ttps233444.dominio.or%3 URL: http://es.wkpeda.org/wk/HTTPS y http://wp.netscape.com/eng/ss3/draft302.txt 4+%+%2% =cerca de (S=% (S=, acrnmo de os apedos de sus autores, Ron (vest, Ad Shamr y Len =deman, es un agortmo para e cfrado de caves pbcas que fue pubcado en 1977, patentado en EE.UU. en 1983 por e e Insttuto Tecnogco de Mchgan (:I>). (S= es utzado ampamente en todo e mundo para os protocoos destnados para e comerco eectrnco. URL: http://es.wkpeda.org/wk/RSA 4+%+%3% =cerca de >riple "ES% >riple "ES, o >"ES, es un agortmo que reaza un trpe cfrado DES, desarroado por IBM en 1978. Su orgen tuvo como fnadad e agrandar a ongtud de una cave sn necesdad de cambar e agortmo de cfrado, o cua o hace ms seguro que e agortmo "ES, obgando a un atacante e tener que trpcar e nmero de operacones para poder hacer dao. A pesar de que actuamente est sendo reempazado por e agortmo =ES (=dvanced Encrypton Standard, tambn conocdo como (i-ndael), sgue sendo estndar para as tar|etas de crdto y operacones de comerco eectrnco. URL: http://es.wkpeda.org/wk/Trpe_DES 298 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 4+%+%4% =cerca de E%50S% E%50S es un estndar I>U)> (estandarzacn de >eecomuncacones de a Internatona >eecommuncaton Unon ) para nfraestructura de caves pbcas (<KI, o <ubc Key Infrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y un agortmo para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a ruta de un certfcado sea vda ba|o una nfraestructura de cave pbca determnada. Es decr, desde e certfcado nca, pasando por certfcados ntermedos, hasta e certfcado de confanza emtdo por una Autordad Certfcadora ($=, o $ertfcaton =uthorty). URL: http://es.wkpeda.org/wk/X.509 4+%+%5% =cerca de 0penSSL% 0penSSL es una mpementacn bre, de cdgo aberto, de os protocoos SSL (Secure Sockets Layer o Nve de Zcao Seguro) y >LS (>ransport Layer Securty, o Segurdad para Nve de Transporte). Est basado sobre e extnto proyecto SSLea2, ncado por Erc Young y Tm Hudson, hasta que stos comenzaron a traba|ar para a dvsn de segurdad de EMC Corporaton. URL: http://www.openss.org/ 4+%+%6% =cerca de modQssl% :odQssl es un mduo para e servdor HTTP Apache, e cua provee soporte para SSL versones 2 y 3 y TLS versn 1. Es una contrbucn de Raf S. Engescha, dervado de traba|o de Ben Laure. URL: http://www.apache-ss.org/ y http://httpd.apache.org/docs/2.2/mod/mod_ss.htm 4+%2% (eGuisitos% Es necesaro dsponer de una dreccn IP pbca para cada sto de red vrtua que se quera confgurar con soporte SSL/>LS. Debdo a a naturaeza de os protocoos SSL y >LS, no es posbe utzar mtpes stos de red vrtuaes con soporte SSL/>LS utzando una msma dreccn IP. Cada certfcado utzado requerr una dreccn IP ndependente en e sto de red vrtua. E paquete mod_ss nstaa e fchero /etc/'ttpd/conf%d/ssl%conf, msmo que no es necesaro modfcar, puesto que se utzarn fcheros de ncusn, con extensn *.conf, dentro de drectoro /etc/'ttpd/conf%d/, a fn de respetar a confguracn predetermnada y podre contar con a msma, que es funcona, brndando un punto de retorno en e caso de que ago saera ma. 4+%3% Sustento l*ico necesario% 4+%3%+% Instalacin a travFs de 2um% S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, se e|ecuta o sguente: 2um -2 install mod5ssl 4+%3%2% Instalacin a travFs de Up2date S se utza de Red Hat Enterprse Lnux 4, se e|ecuta o sguente: 299 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux up(date -i mod5ssl 4+%4% <rocedimientos% Acceda a sstema como e usuaro root. Se debe crear e drectoro donde se amacenarn os certfcados para todos os stos SSL. E drectoro, por motivos de se*uridad, debe ser soamente accesbe para e usuaro root. mkdir -m 0/00 /etc/ssl A fn de mantener certa organzacn, y un drectoro dedcado para cada sto vrtua SSL, es convenente crear un drectoro especfco para amacenar os certfcados de cada sto vrtua SSL. Iguamente, por motivos de se*uridad, debe ser soamente accesbe para e usuaro root. mkdir -m 0/00 /etc/ssl/mi*ominio.or, Acceder a drectoro que se acaba de crear. cd /etc/ssl/mi*ominio.or, 4+%4%+% Generando clave 2 certificado% Se debe crear una cave con agortmo (S= de 1024 octetos y estructura x50S, a cua se cfra utzado >riple "ES ("ata Encrypton Standard), amacenado en formato <E: de modo que sea nterpretabe como texto ASCII. En e proceso descrto a contnuacn, se utzan 5 fcheros comprmdos con *8ip, que se utzan como semas aeatoras que me|oran a segurdad de a cave creada (server.key). openssl genrsa -des. -rand D fichero1!g4:fichero(!g4:fichero.!g4:fichero+!g4:fichero)!g4 D 'ou! server.1ey 10(+ S se utza este fchero (server.key) para a confguracn de sto vrtua, se requerr de nteraccn de admnstrador cada vez que se tenga que ncar, o rencar, e servco httpd, ngresando a cave de acceso de a cave (S=. Este es e procedmento ms seguro, sn embargo, debdo a que resutara poco prctco tener que ngresar una cave de acceso cada vez que se nce e servco httpd, resuta convenente generar una cave sn >riple "ES, a cua permta ncar normamente, sn nteraccn aguna, a servco httpd. A fn de que no se sacrfque demasada segurdad, es un requsto ndspensabe que esta cave (fchero server.pem) soo sea accesbe para root. sta es a razn por a cua se crea e drectoro /etc/ssl/midominio%or* con permso de acceso soo para root. openssl rsa -in server!ke2 'ou! server.pem Opconamente se genera un fchero de petcn $S( ($ertfcate Sgnng (equest) que se hace egar a una (= ((egstraton =uthorty o Autordad de Regstro), como Perisi*n, quenes, tras e correspondente pago, envan de vueta un certfcado (server.crt) frmado por dcha autordad. openssl reO -ne1 -ke2 server!ke2 'ou! server.+sr 300 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Lo anteror soctar se ngresen varos datos: Cdgo de dos etras para e pas. Estado o provnca. Cudad. Nombre de a empresa o razn soca. Undad o seccn. Nombre de anftrn. Dreccn de correo. Opconamente se puede aadr otra cave de acceso y nuevamente e nombre de a empresa. La sada devueta sera smar a a sguente: \ou are about to be asked to enter information that 1ill be incorporated into 2our certificate reOuest! Khat 2ou are about to enter is 1hat is called a %istinguished 7ame or a %7! "here are Ouite a fe1 fields but 2ou can leave some blank Xor some fields there 1ill be a default value= <f 2ou enter I!I= the field 1ill be left blank! ----- Aountr2 7ame (( letter code) >*9?:;O tate or Crovince 7ame (full name) >9erkshire?:Nis!ri!o =e*er)l ;ocalit2 7ame (eg= cit2) >7e1bur2?:;e#i+o 8rgani4ation 7ame (eg= compan2) >'2 Aompan2 ;td?: ;i empres)5 /.8. *e ?.Q. 8rgani4ational $nit 7ame (eg= section) >?:%ireccion Aomercial Aommon 7ame (eg= 2our name or 2our serverIs hostname) >?: www.mi*ominio.or, :mail 6ddress >?:webm)s!erLmi*ominio.or, Clease enter the follo1ing IextraI attributes to be sent 1ith 2our certificate reOuest 6 challenge pass1ord >?: 6n optional compan2 name >?: S no se desea un certfcado frmado por un (=, puede generarse uno certfcado propo utzando e fchero de petcn $S( (server.csr). En e e|empo a contnuacn, se crea un certfcado con estructura X.509 en e que se estabece una vadez por 730 das (dos aos). openssl x)0- -reO -da2s /.0 -in server!csr D -signke2 server!ke2 'ou! server.+r! Con a fnadad de que soo e usuaro root pueda acceder a os fcheros creados, se deben cambar os permsos de stos a soo ectura para root. chmod +00 /etc/ssl/mi*ominio.or,/server!J 301 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 4+%4%2% $onfi*uracin de =pac'e% Crear a estructura de drectoros para e sto de red vrtua. mkdir -p /var/111/mi*ominio.or,/ De todos drectoros creados, soo /var/MMM/midominio%or*/'tml, /var/MMM/midominio%or*/etc, /var/MMM/midominio%or*/c*i)bin y /var/MMM/midominio%or*/var pueden pertenecer a usuaro, sn prvegos, que admnstrar ste sto de red vrtua. Por motvos de segurdad, y a fn de evtar que e servco HTTPD no sea trastornado en caso de un borrado accdenta de agn drectoro, tanto /var/MMM/midominio%or*/ como /var/MMM/midominio%or*/lo*s, deben pertenecer a usuaro root. Crear e fchero /etc/'ttpd/conf%d/midominio%conf con e sguente contendo, donde a%b%c%d corresponde a una dreccn IP, y midominio%or* corresponde a nombre de domno a confgurar para e sto de red vrtua: LLL mi*ominio.or, LLL 7amePirtualBost ).b.+.*:,0 VPirtualBost ).b.+.*:++.H erver6dmin 1ebmasterTmi*ominio.or, %ocumentRoot /var/111/mi*ominio.or,/html erver7ame 111!mi*ominio.or, erver6lias mi*ominio.or, Redirect .01 / https://111!mi*ominio.or,/ Austom;og /var/111/mi*ominio.or,/logs/access5log combined :rrorlog /var/111/mi*ominio.or,/logs/error5log V/PirtualBostH 7amePirtualBost ).b.+.*:++. VPirtualBost ).b.+.*:++.H erver6dmin 1ebmasterTmi*ominio.or, %ocumentRoot /var/111/mi*ominio.or,/html erver7ame 111!mi*ominio.or, cript6lias /cgi-bin/ /var/111/mi*ominio.or,/cgi-bin/ ;:ngine on ;Aertificatefichero /etc/ssl/mi*ominio.or,/server.+r! ;AertificateQe2fichero /etc/ssl/mi*ominio.or,/server.pem et:nv<f $ser-6gent G!J'<:!JG nokeepalive ssl-unclean-shutdo1n Austom;og /var/111/mi*ominio.or,/logs/ssl5reOuest5log D G&t &h &x &x DG&rDG &bG Austom;og /var/111/mi*ominio.or,/logs/ssl5access5log combined :rrorlog /var/111/mi*ominio.or,/logs/ssl5error5log V/PirtualBostH A fn de que surtan efecto os cambos, es necesaro rencar e servco 'ttpd. service httpd restart 4+%4%3% $omprobacin% Soo basta drgr cuaquer navegador HTTP haca 'ttps,//MMM%midominio%or*/ a fn de verfcar que todo est traba|ando correctamente. Tras aceptar e certfcado, en e caso de que ste no haya sdo frmado por un (=, deber poderse observar un sgno en a barra de estado de navegador, e 302 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux cua ndca que se trata de una conexn segura. 4+%4%4% :odificaciones necesarias en el muro cortafue*os% S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr, adems de puerto 80 por TCP (H>><), e puerto 443 por TCP (H>><S). Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o sguente: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: L C8R" C8R"()1 6AA:C" net f1 tcp ,0=++. L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 303 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 42% $mo confi*urar un servidor de nombres de dominio N"NSC Autor: $oel Barrios /ue,a Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 42%+% Introduccin% 42%+%+% !ind N!erLele2 Internet Name "omainC !IN" (acrnmo de !erkeey Internet Name "oman) es una mpementacn de protocoo DNS y provee una mpementacn bre de os prncpaes componentes de Sstema de Nombres de Domno, os cuaes ncuyen: Un servdor de sstema de nombres de domno (named). Una bboteca resoutora de sstema de nombres de domno. Herramentas para verfcar a operacn adecuada de servdor DNS (bnd-uts). E Servdor DNS BIND es ampamente utzado en a Internet (99% de os servdores DNS) proporconando una robusta y estabe soucn. 42%+%2% "NS N"omain Name S2stemC "NS (acrnmo de "oman Name System) es una base de datos dstrbuda y |errquca que amacena a nformacn necesara para os nombre de domno. Sus usos prncpaes son a asgnacn de nombres de domno a dreccones IP y a ocazacn de os servdores de correo eectrnco correspondentes para cada domno. E "NS nac de a necesdad de factar a os seres humanos e acceso haca os servdores dsponbes a travs de Internet permtendo hacero por un nombre, ago ms fc de recordar que una dreccn I<. Los Servidores "NS utzan >$< y U"< en e puerto 53 para responder as consutas. Cas todas as consutas conssten de una soa soctud U"< desde un $liente "NS seguda por una soa respuesta U"< de servdor. >$< ntervene cuando e tamao de os datos de a respuesta exceden os 512 bytes, ta como ocurre con tareas como transferencia de 8onas. 42%+%3% NI$ NNetMorL Information $enterC NI$ (acrnmo de Network Informaton $enter o Centro de Informacn sobre a Red) es una nsttucn encargada de asgnar os nombres de domno en Internet, ya sean nombres de domno genrcos o por pases, permtendo personas o empresas montar stos de Internet medante a travs de un IS< medante un DNS. Tcncamente exste un NI$ por cada pas en e mundo y cada uno de stos es responsabe por todos os domnos con a termnacn correspondente a su pas. Por e|empo: NIC Mxco es a entdad encargada de gestonar todos os domnos con termnacn 304 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux %mx, a cua es a termnacn correspondente asgnada a os domnos de Mxco. 42%+%4% 7A"N N7ull2 Aualified "omain NameC 7A"N (acrnmo de 7uy Auafed "oman Name o Nombre de Domno Penamente Cafcado) es un Nombre de Domno ambguo que especfca a poscn absouta de nodo en e rbo |errquco de DNS. Se dstngue de un nombre reguar porque eva un punto a fna. Como e|empo: suponendo que se tene un dspostvo cuyo nombre de anftrn es maquna1 y un domno domno.com, e 7A"N sera maGuina+%dominio%com%, de modo defne de modo nco a dspostvo mentras que puderan exstr muchos anftrones amados maquna1, soo puede haber uno amado maGuina+%dominio%com%. La ausenca de punto a fna defnra que se pudera tratar tan soo de un pref|o, es decr maGuina+%dominio%com pudera ser de un domno ms argo como maGuina+%dominio%com%mx. La ongtud mxma de un 7A"N es de 255 bytes, con una restrccn adcona de 63 bytes para cada etqueta dentro de nombre de domno. Soo se permten os caracteres A-Z de ASCII, dgtos y e carcter -. No se dstnguen mayscuas y mnscuas. Desde 2004, a soctud de varos pases de Europa, exste e estndar I"N (acrnmo de Internatonazed "oman Name) que permte caracteres no-ASCII, codfcando caracteres Unicode dentro de cadenas de bytes dentro de con|unto norma de caracteres de 7A"N. Como resutado, os mtes de ongtud de os nombres de domno I"N dependen drectamente de contendo msmo de nombre. 42%+%5% $omponentes de un "NS Los DNS operan a travs de tres componentes: Centes DNS, Servdores DNS y Zonas de Autordad. 42%+%5%+% $lientes "NS Son programas que e|ecuta un usuaro y que generan petcones de consuta para resover nombres. Bscamente preguntan por a dreccn IP que corresponde a un nombre determnado. 42%+%5%2% Servidores "NS Son servcos que contestan as consutas reazadas por os $lientes "NS. Hay dos tpos de servdores de nombres: e Servidor :aestro No primarioC Obtene os datos de domno a partr de un fchero hospedado en e msmo servdor. e Servidor Esclavo No secundarioC A ncar obtene os datos de domno a travs de un servdor un Servdor Maestro, reazando un proceso denomnado transferencia de 8ona. Un gran nmero de probemas de operacn de servdores DNS se atrbuyen a as pobres opcones de servdores secundaros pata as zona de DNS. De acuerdo a (7$ 2+92, e DNS requere que al menos tres servidores existan para todos os domnos deegados (o zonas). Una de as prncpaes razones para tener al menos tres servidores para cada zona es permtr que a nformacn de a zona msma est dsponbe sempre y forma confabe haca os $lientes "NS a travs de Internet cuando un servdor DNS de dcha zona fae, no est dsponbe y/o est nacanzabe. 305 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Contar con mtpes servdores tambn factan a propa*acin de a zona y me|oran a efcenca de sstema en genera a brndar opcones a os $lientes "NS s acaso encontraran dfcutades para reazar una consuta en un Servidor "NS. En otras paabras: tener mtpes servdores para una zona permte contar con redundancia 2 respaldo del servicio. Con mtpes servdores, por o genera uno acta como Servidor :aestro o <rimario y os dems como Servidores Esclavos o Secundarios. Correctamente confgurados y una vez creados os datos para una zona, no ser necesaro coparos a cada Servidor Esclavo o Secundario, pues ste se encargar de transferr os datos de manera automtca cuando sea necesaro. Los Servidores "NS responden dos tpos de consutas: e $onsultas Iterativas Nno recursivasC E cente hace una consuta a Servidor "NS y este e responde con a me|or respuesta que pueda darse basada sobre su cach o en as zonas ocaes. S no es posbe dar una respuesta, a consuta se reenva haca otro Servdor DNS reptndose este proceso hasta encontrar a Servidor "NS que tene a ]ona de =utoridad capaz de resover a consuta. e $onsultas (ecursivas E Servidor "NS asume toda a carga de proporconar a una respuesta competa para a consuta reazada por e $liente "NS. E Servidor "NS desarroa entonces $onsultas Iterativas separadas haca otros Servidores "NS (en ugar de hacero e $liente "NS) para ograr a respuesta. 42%+%5%3% ]onas de =utoridad Permten a Servidor :aestro o <rimario cargar a nformacn de una zona. Cada ]ona de =utoridad abarca a menos un domno y posbemente sus sub-domnos, s estos tmos no son deegados a otras zonas de autordad. La nformacn de cada ]ona de =utoridad es amacenada de forma oca en un fchero en e Servidor "NS. Este fchero puede ncur varos tpos de regstros: >ipo de (e*istro "escripcin = (=ddress) Regstro de dreccn que resueve un nombre de un anftrn haca una dreccn I<v4 de 32 bts. ==== Regstro de dreccn que resueve un nombre de un anftrn haca una dreccn I<v6 de 128 bts. $N=:E ($anonca Name) Regstro de nombre cannco que hace que un nombre sea aas de otro. Los domnos con aas obtene os sub-domnos y regstros DNS de domno orgna. :E (:a Exchanger) Regstro de servdor de correo que srve para defnr una sta de servdores de correo para un domno, as como a prordad entre stos. <>( (<onter) Regstro de apuntador que resueve dreccones I<v4 haca e nombre anftrones. Es decr, hace o contraro a regstro =. Se utza en zonas de (esolucin Inversa. NS (Name Server) Regstro de servdor de nombres que srve para defnr una sta de servdores de nombres con autordad para un domno. 306 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux >ipo de (e*istro "escripcin S0= (Start of =uthorty) Regstro de nco de autordad que especfca e Servidor "NS Maestro (o Prmaro) que proporconar a nformacn con autordad acerca de un domno de Internet, dreccn de correo eectrnco de admnstrador, nmero de sere de domno y parmetros de tempo para a zona. S(P (Servce) Regstro de servcos que especfca nformacn acerca de servcos dsponbes a travs de domno. Protocoos como SI< (Sesson Intaton <rotoco) y E:<< (Extensbe :essagng and <resence <rotoco) sueen requerr regstros S(P en a zona para proporconar nformacn a os centes. >E> (>ext) Regstro de texto que permte a admnstrador nsertar texto arbtraramente en un regstro DNS. Este tpo de regstro es muy utzado por os servdores de stas negras "NS!L ("NS-based !ackhoe Lst) para a ftracn de Spam. Otro e|empo de uso son as VPN, donde suee requerrse un regstro >E> para defnr una ave que ser utzada por os centes. Las zonas que se pueden resover son: ]onas de (eenv.o Devueven direcciones I< para as bsquedas hechas para nombres 7A"N (7uy Auafed "oman Name). En e caso de domnos pbcos, a responsabdad de que exsta una ]ona de =utoridad para cada ]ona de (eenv.o corresponde a a autordad msma de domno, es decr, y por o genera, quen est regstrado como autordad de domno tras consutar una base de datos YH0IS. Ouenes compran domnos a travs de un NI$ (por e|empo e|empo: www.nc.mx) son quenes se hacen cargo de as ]onas de (eenv.o, ya sea a travs de su propo Servidor "NS o ben a travs de os Servidores "NS de su IS<. Savo que se trate de un domno para uso en una red oca, todo domno debe ser prmero tramtado con un NI$ como requsto para tener derecho ega a utzaro y poder propagaro a travs de Internet. ]onas de (esolucin Inversa Devueven nombres 7A"N (7uy Auafed "oman Name) para as bsquedas hechas para direcciones I<. En e caso de segmentos de red pbcos, a responsabdad de que exsta de que exsta una ]ona de =utoridad para cada ]ona de (esolucin Inversa corresponde a a autordad msma de segmento, es decr, y por o genera, quen est regstrado como autordad de segmento tras consutar una base de datos YH0IS. Los grandes IS<, y en agunos casos agunas empresas, son quenes se hacen cargo de as ]onas de (esolucin Inversa. 307 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 42%+%6% Herramientas de b1sGueda 2 consulta 42%+%6%+% :andato 'ost E mandato 'ost una herramenta smpe para hacer bsquedas en Servidores "NS. Es utzada para convertr nombres en dreccones IP y vceversa. De modo predefndo reaza as bsquedas en as Servidores "NS defndos en e fchero /etc/resolv%conf, pudendo defnrse opconamente e Servidor "NS a consutar. host 111!linuxparatodos!net Lo anteror reaza una bsqueda en os Servidores "NS defndos en e fchero /etc/resolv%conf de sstema, devovendo una dreccn IP como resutado. host 111!linuxparatodos!net (00!..!1+6!(1/ Lo anteror reaza una bsqueda en os Servidor "NS en a dreccn IP 200.33.146.217, devovendo una dreccn IP como resutado. 42%+%6%2% :andato di* E mandato di* (doman informaton *roper) es una herramenta fexbe para reazar consutas en Servidores "NS. Reaza bsquedas y muestra as respuestas que son regresadas por os servdores que fueron consutados. Debdo a su fexbdad y cardad en a sada es que a mayora de os admnstradores utzan di* para dagnostcar probemas de DNS. De modo predefndo reaza as bsquedas en as Servidores "NS defndos en e fchero /etc/resolv%conf, pudendo defnrse opconamente e Servidor "NS a consutar. La sntaxs bsca sera: dig Tservidor nombre "<C8 Donde servidor corresponde a nombre o dreccn IP de Servidor "NS a consutar, nombre corresponde a nombre de regstro de recurso que se est buscando y >I<0 corresponde a tpo de consuta requerdo (ANY, A, MX, SOA, NS, etc.) E|empo: dig T(00!..!1+6!(0- linuxparatodos!net ;O Lo anteror reaza una bsqueda en e Servidor "NS en a dreccn IP 200.33.146.209 para os regstros :E para e domno linu(paratodos.net. dig linuxparatodos!net @/ Lo anteror reaza una bsqueda en os Servidores "NS defndos en e fchero /etc/resolv%conf de sstema para os regstros NS para e domno linu(paratodos.net. dig T(00!..!1+6!(1/ linuxparatodos!net 7 308 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Lo anteror reaza una bsqueda en os Servidor "NS en a dreccn IP 200.33.146.217 para os regstros NS para e domno linu(paratodos.net. 42%+%6%3% :andato -M'ois NM'oisC% E mandato -M'ois es una herramenta de consuta a travs de servdores YH0IS. La sntaxs bsca es: E1hois dominio E|empo: E1hois linuxparatodos!net Loa anteror regresa a nformacn correspondente a domno linu(paratodos.net. 42%2% Sustento l*ico necesario <aGuete "escripcin e bind Incuye e Servidor "NS (named) y herramentas para verfcar su funconamento. e bind)libs Bboteca compartda que consste en rutnas para apcacones para utzarse cuando se nteracte con Servidores "NS. e bind)c'root Contene un rbo de fcheros que puede ser utzado como una |aua c!root para named aadendo segurdad adcona a servco. e bind)utils Coeccn de herramentas para consutar Servidores "NS. e cac'in*) nameserver Fcheros de confguracn que harn que e Servidor "NS acte como un cach para e servdor de nombres. 42%2%+% Instalacin a travFs de 2um S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, o versones posterores, se puede nstaar utzando o sguente: 2um -2 install bind bind-chroot bind-utils caching-nameserver 42%2%2% Instalacin a travFs de Up2date S se utza de Red Hat Enterprse Lnux 4, o versones posterores, se puede nstaar utzando o sguente: up(date -i bind bind-chroot bind-utils caching-nameserver 309 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 42%3% <rocedimientos 42%3%+% <reparativos Ideamente se deben defnr prmero os sguente datos: +% Domno a resover. 2% Servdor de nombres prncpa (SOA). fste debe ser un nombre Gue 2a estF plenamente resueltoX y debe ser un 7A"N (7uy Auafed "oman Name). 3% Lsta de todos os servdores de nombres (NS) que se utzarn para efectos de redundanca. fstos deben ser nombres Gue 2a estFn plenamente resueltos, y deben ser adems 7A"N (7uy Auafed "oman Name). 4% Cuenta de correo de admnstrador responsabe de esta zona. "ic'a cuenta debe existir 2 no debe pertenecer a la misma 8ona Gue se est; tratando de resolver% 5% A menos un servdor de correo (MX), con un regstro =, nunca $N=:E. 6% IP predetermnada de domno. 7% Sub-domnos dentro de domno (www, ma, ftp, ns, etc.) y as dreccones IP que estarn asocadas a estos. Es mportante tener ben en caro que os puntos 2, 3 y 4 nvoucran datos que deben existir previamente y estar penamente resuetos por otro servdor DNS; Lo anteror quere decr no pueden utzar datos que sean parte o dependan de msmo domno que se pretende resover. De gua modo, e servdor donde se mpementar e "NS deber contar con un nombre 7A"N y que est preva y penamente resueto en otro DNS. Como rega genera se generar una zona de reenvo por cada domno sobre e cua se tenga autordad pena y absouta y se generar una zona de resoucn nversa por cada red sobre a cua se tenga pena y absouta autordad. es decr, s se es propetaro de domno Jcualquiercosa.com=, se deber generar e fchero de zona correspondente a fn de resover dcho domno. Por cada red con dreccones IP prvadas sobre a cua se tenga contro y pena y absouta autordad, se deber generar un fchero de zona de resoucn nversa a fn de resover nversamente as dreccones IP de dcha zona. Reguarmente a resoucn nversa de as dreccones IP pbcas es responsabdad de os proveedores de servco ya que son estos quenes tenen a autordad pena y absouta sobre dchas dreccones IP. Todos os fcheros de zona deben pertenecer a usuaro named a fn de que e servco named pueda acceder a estos o ben modfcaros en e caso de tratarse de zonas escavas. 42%3%2% $reacin de los fic'eros de 8ona Los sguentes corresponderan a os contendos para os fcheros de zona requerdos para a red oca y por e NIC con e que se haya regstrado e domno. Note por favor que en as zonas de reenvo sempre se especfca a menos un Ma Exchanger (:E) y que se utili8an tabuladores Ntecla >=!C en lu*ar de espacio. Soo necestar susttur nombres y dreccones IP, y quz aadr nuevos regstros para compementar su red oca. 42%3%2%+% ]ona de reenv.o red local /var/named/c'root/var/named/red)local%8one F""; ,6+00 310 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux T <7 86 dns!red-local! Epere4!red-local! ( (0060.1601N n]mero de serie (,,00 N tiempo de refresco /(00 N tiempo entre reintentos de consulta 60+,00 N tiempo tras el cual expira la 4ona ,6+00 N tiempo total de vida ) T <7 7 dns T <7 'X 10 mail T <7 6 1-(!16,!1!1 intranet <7 6 1-(!16,!1!1 maOuina( <7 6 1-(!16,!1!( maOuina. <7 6 1-(!16,!1!. maOuina+ <7 6 1-(!16,!1!+ 111 <7 A76': intranet mail <7 6 1-(!16,!1!1 ftp <7 A76': intranet dns <7 A76': intranet 42%3%2%2% ]ona de resolucin inversa red local /var/named/c'root/var/named/+%+69%+S2%in)addr%arpa%8one F""; ,6+00 T <7 86 dns!red-local! Epere4!red-local! ( (0060.1601 N n]mero de serie (,,00 N tiempo de refresco /(00 N tiempo entre reintentos de consulta 60+,00 N tiempo tras el cual expira la 4ona ,6+00 N tiempo total de vida ) T <7 7 dns!red-local! 1 <7 C"R intranet!red-local! ( <7 C"R maOuina(!red-local! . <7 C"R maOuina.!red-local! + <7 C"R maOuina+!red-local! 42%3%2%3% ]ona de reenv.o del dominio /var/named/c'root/var/named/dominio%com%8one Suponendo que hpottcamente se es a autordad para e domno Idominio%comJ, se puede crear una ]ona de (eenvio con un contendo smar a sguente: F""; ,6+00 T <7 86 29*n.*ominio'resuel!o. cuenta!email!existente! ( (0060.1601N n]mero de serie (,,00 N tiempo de refresco /(00 N tiempo entre reintentos de consulta 60+,00 N tiempo tras el cual expira la 4ona ,6+00 N tiempo total de vida ) T <7 7 dns T <7 'X 10 mail T <7 6 1+,!(+.!)-!1 servidor <7 6 1+,!(+.!)-!1 311 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 111 <7 A76': servidor mail <7 6 1+,!(+.!)-!1 ftp <7 A76': servidor dns <7 A76': servidor 42%3%2%4% ]ona de resolucin inversa del dominio /var/named/c'root/var/named/+%243%+49%in)addr%arpa%8one Suponendo que hpottcamente se es a autordad para e segmento de red +49%234%+%0/24, se puede crear una ]ona de (esolucin Inversa con un contendo smar a sguente: F""; ,6+00 T <7 86 29*n.*ominio'resuel!o. cuenta!email!existente! ( (0060.1601 N n]mero de serie (,,00 N tiempo de refresco /(00 N tiempo entre reintentos de consulta 60+,00 N tiempo tras el cual expira la 4ona ,6+00 N tiempo total de vida ) T <7 7 dns!dominio!com! 1 <7 C"R servidor!dominio!com! ( <7 C"R maOuina(!dominio!com! . <7 C"R maOuina.!dominio!com! + <7 C"R maOuina+!dominio!com! Cada vez que haga agn cambo en agn fchero de zona, deber cambar e nmero de sere (serial) a fn de que tomen efecto os cambos de nmedato cuando se rence e servco named, ya que de otro modo tendra que rencar e equpo, ago poco convenente. 42%3%2%5% $onfi*uracin de par;metros en el fic'ero /etc/named%conf options R director2 G/var/named/GN dump-file G/var/named/data/cache5dump!dbGN statistics-file G/var/named/data/named5stats!txtGN allo1-recursion R 1(/!0!0!1N 1-(!16,!1!0/(+N SN 2orw)r*ers T 200.33.1&6.209U 200.33.1&6.21GU VU 2orw)r* 2irs!U SN 4one G!G R t2pe hintN file Gnamed!caGN SN 4one G0!0!1(/!in-addr!arpaG R t2pe masterN file G0!0!1(/!in-addr!arpa!4oneGN allo1-update R noneN SN 312 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux SN 4one GlocalhostG R t2pe masterN file Glocalhost!4oneGN allo1-update R noneN SN SN 6one D*ominio.+omD T !ype m)s!erU 2ile D*ominio.+om.6oneDU )llow'up*)!e T noneU VU SN 6one D1.2&3.1&H.in')**r.)rp)D T !ype m)s!erU 2ile D1.2&3.1&H.in')**r.)rp).6oneDU )llow'up*)!e T noneU VU SN 6one Dre*'lo+)lD T !ype m)s!erU 2ile Dre*'lo+)l.6oneDU )llow'up*)!e T noneU VU SN 6one D1.16H.192.in')**r.)rp)D T !ype m)s!erU 2ile D1.16H.192.in')**r.)rp).6oneDU )llow'up*)!e T noneU VU SN 42%3%3% Se*uridad adicional en "NS para uso p1blico Un ""oS ("strbuted "ena of Servce) es una ampacn de ataque "oS, se efecta con a nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma masva, ampfcar e voumen de saturacn de nformacn (food), pudendo darse casos de un ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar daos seros a personas con escaso conocmento tcnco. Un DNS confgurado para permtr consutas recursvas ndscrmnadamente puede permtr a servdor sufrr o ben partcpar de un ""oS. Soucn a probema consste aadr en e fchero /etc/named%conf, en a seccn de opcones (optons), e parmetro alloM)recursion defnendo a red, as redes o ben os ACL que tendrn permtdo reazar todo tpo de consutas en e DNS, sean ocaes o de otros domnos. 42%3%3%+% 7ic'ero /etc/named%conf options R director2 G/var/named/GN dump-file G/var/named/data/cache5dump!dbGN statistics-file G/var/named/data/named5stats!txtGN )llow're+ursion T 12G.0.0.1U 192.16H.1.0/2&U VU for1arders R 313 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux (00!..!1+6!(0-N (00!..!1+6!(1/N SN for1ard firstN SN 4one G!G R t2pe hintN file Gnamed!caGN SN 4one Gdominio!comG R t2pe masterN file Gdominio!com!4oneGN allo1-update R noneN SN SN 4one G1!(+.!1+,!in-addr!arpaG R t2pe masterN file G1!(+.!1+,!in-addr!arpa!4oneGN allo1-update R noneN SN SN Lo anteror hace que soo 192.168.1.0/24 pueda reazar todo tpo de consutas en e DNS, ya sea para un nombre de domno hospedado de forma oca y otros domnos resuetos en otros servdores (ejemplos2 444.ya!oo.com, 444.%oo%le.com, 444.linu(paratodos.net, etc.). E resto de mundo soo podr reazar consutas sobre as zonas dominio%com y +%243%+49%in)addr%arpa, que estn hospedados de forma oca. 42%3%4% Se*uridad adicional en "NS para uso exclusivo en red local S se va a tratar de un servdor de nombres de domno para uso excusvo en red oca, y se queren evtar probemas de segurdad de dferente ndoe, puede utzarse e parmetro alloM)Guer2, e cua servr para especfcar que soo certas dreccones podrn reazar consutas a servdor de nombres de domno. Se pueden especfcar drectamente dreccones IP, redes competas o stas de contro de acceso que debern defnrse antes de cuaquer otra cosa en e fchero /etc/named%conf. 42%3%4%+% 7ic'ero /etc/named%conf )+l Dre*lo+)lD T 12G.0.0.1U 192.16H.1.0/2&U 192.16H.2.0/2&U 192.16H.3.0/2&U VU options R director2 G/var/named/GN dump-file G/var/named/data/cache5dump!dbGN statistics-file G/var/named/data/named5stats!txtGN allo1-recursion R redlocalN SN for1arders R (00!..!1+6!(0-N (00!..!1+6!(1/N SN for1ard firstN )llow'9uery T 314 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux re*lo+)lU 192.16H.1.15U 192.16H.1.16U VU SN 4one Gred-localG R t2pe masterN file Gred-local!4oneGN allo1-update R noneN SN SN 4one G1!16,!1-(!in-addr!arpaG R t2pe masterN file G1!16,!1-(!in-addr!arpa!4oneGN allo1-update R noneN SN SN 42%3%5% Las 8onas esclavas Las zonas escavas se referen a aqueas hospedadas en servdores de nombres de domno secundaros y que hacen as funcones de redundar as zonas maestras en os servdores de nombres de domno prmaros. E contendo de fchero de zona es e msmo que en servdor prmaro. La dferenca est en a seccn de texto utzada en /etc/named%conf, donde as zonas se defnen como escavas y defnen os servdores donde est hospedada a zona maestra. 42%3%5%+% 7ic'ero /etc/named%conf Servidor "NS secundario 4one Gdominio!comG R !ype sl)veU file Gdominio!com!4oneGN m)s!ers T 192.16H.1.25&U VU SN 4one G1!(+.!1+,!in-addr!arpaG R !ype sl)veU file G1!(+.!1+,!in-addr!arpa!4oneGN m)s!ers T 192.16H.1.25&U VU SN 4one Gred-localG R !ype sl)veU file Gred-local!4oneGN m)s!ers T 192.16H.1.25&U VU SN 4one G1!16,!1-(!in-addr!arpaG R !ype sl)veU file G1!16,!1-(!in-addr!arpa!4oneGN m)s!ers T 192.16H.1.25&U VU SN Adconamente, s desea ncrementar segurdad y desea especfcar en el Servidor "NS primario que servdores tendrn permtdo ser servdores de nombres de domno secundaro, es decr, hacer transferencas, puede utzar e parmetro alloM)transfer de sguente modo: 42%3%5%2% 7ic'ero /etc/named%conf Servidor "NS primario 4one Gdominio!comG R 315 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux t2pe masterN file Gdominio!com!4oneGN allo1-update R noneN SN )llow'!r)ns2er T 200.33.1&6.21GU 200.33.1&6.209U VU SN 4one G1!(+.!1+,!in-addr!arpaG R t2pe masterN file G1!(+.!1+,!in-addr!arpa!4oneGN allo1-update R noneN SN )llow'!r)ns2er T 200.33.1&6.21GU 200.33.1&6.209U VU SN 4one Gred-localG R t2pe masterN file Gred-local!4oneGN allo1-update R noneN SN )llow'!r)ns2er T 192.16H.1.15U 192.16H.1.16U VU SN 4one G1!16,!1-(!in-addr!arpaG R t2pe masterN file G1!16,!1-(!in-addr!arpa!4oneGN allo1-update R noneN SN )llow'!r)ns2er T 192.16H.1.15U 192.16H.1.16U VU SN 42%3%6% (einiciar servicio 2 depuracin de confi*uracin A termnar de edtar todos os fcheros nvoucrados, soo bastar rencar e servdor de nombres de domno. service named restart S queremos que e servdor de nombres de domno quede aaddo entre os servcos en e arranque de sstema, deberemos e|ecutar o sguente a fn de habtar named |unto con e arranque de sstema: chkconfig named on Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere: tail -,0 /var/log/messages Wgrep named Lo anteror, s est funconando correctamente, debera devover ago parecdo a o mostrado a 316 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux contnuacn: Qu" (0 (0:(,:(, linux named*M-(H!: startin" ACNE W.2.2 'u named Qu" (0 (0:(,:(, linux named*M-(H!: usin" ( G=B Qu" (0 (0:(,:(, linux named: CniciaciPn de named succeeded Qu" (0 (0:(,:(, linux named*M-22!: loadin" confi"uration from V/etc/named.confV Qu" (0 (0:(,:(, linux named*M-22!: no C=v- interfaces found Qu" (0 (0:(,:(, linux named*M-22!: listenin" on C=v+ interface lo) (20.M.M.(Y,* Qu" (0 (0:(,:(, linux named*M-22!: listenin" on C=v+ interface ethM) (W2.(-H.(.(Y,* Qu" (0 (0:(,:(, linux named*M-22!: command channel listenin" on (20.M.M.(YW,* Qu" (0 (0:(,:(- linux named*M-22!: %one M.M.(20.in'addr.arpa/CN: loaded serial G Qu" (0 (0:(,:(- linux named*M-22!: %one (.(-H.(W2.in'addr.arpa/CN: loaded serial 200J0G1J02 Qu" (0 (0:(,:(- linux named*M-22!: %one localhost/CN: loaded serial 1 Qu" (0 (0:(,:(- linux named*M-22!: %one mi'dominio.com.mx/CN: loaded serial 200J0G1J02 Qu" (0 (0:(,:(- linux named*M-22!: runnin" Qu" (0 (0:(,:(- linux named*M-22!: %one (.(-H.(W2.in'addr.arpa/CN: sendin" notifies $serial 2MM-M*(-M2& Qu" (0 (0:(,:(- linux named*M-22!: %one mi'dominio.com.mx/CN: sendin" notifies $serial 2MM-M*(-M2& 317 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 43% $mo confi*urar SGuid, <ar;metros b;sicos para Servidor Intermediario N<rox2C Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 43%+% Introduccin 43%+%+% @AuF es Servidor Intermediario N<rox2CB E trmno en nges I<rox2J tene un sgnfcado muy genera y a msmo tempo ambguo, aunque nvarabemente se consdera un snnmo de concepto de IIntermediarioJ. Se suee traducr, en e sentdo estrcto, como dele*ado o apoderado (e que tene e que poder sobre otro). Un Servidor Intermediario (Proxy) se defne como una computadora o dspostvo que ofrece un servco de red que consste en permtr a os centes reazar conexones de red ndrectas haca otros servcos de red. Durante e proceso ocurre o sguente: Cente se conecta haca un Servidor Intermediario (Proxy). Cente socta una conexn, fchero u otro recurso dsponbe en un servdor dstnto. Servidor Intermediario (Proxy) proporcona e recurso ya sea conectndose haca e servdor especfcado o srvendo ste desde un cach. En agunos casos e Servidor Intermediario (Proxy) puede aterar a soctud de cente o ben a respuesta de servdor para dversos propstos. Los Servidores Intermediarios (Proxes) generamente se hacen traba|ar smutneamente como muro cortafuegos operando en e Nivel de (ed, actuando como ftro de paquetes, como en e caso de iptables, o ben operando en e Nivel de =plicacin, controando dversos servcos, como es e caso de >$< Yrapper. Dependendo de contexto, e muro cortafuegos tambn se conoce como !<" o !order <rotecton "evce o smpemente filtro de paGuetes. Una apcacn comn de os Servidores Intermediarios (Proxes) es funconar como cach de contendo de Red (prncpamente HTTP), proporconando en a proxmdad de os centes un cach de pgnas y fcheros dsponbes a travs de a Red en servdores HTTP remotos, permtendo a os centes de a red oca acceder haca stos de forma ms rpda y confabe. Cuando se recbe una petcn para un recurso de Red especfcado en un U(L (Unform (esource Locator) e Servidor Intermediario busca e resutado de U(L dentro de cach. S ste es encontrado, e Servidor Intermediario responde a cente proporconado nmedatamente e contendo soctado. S e contendo soctado no estuvera dsponbe en e cach, e Servidor Intermediario o traer desde servdor remoto, entregndoo a cente que o soct y guardando una copa en e cach. E contendo en e cach es emnado uego a travs de un agortmo de expracn de acuerdo a a antgedad, tamao e hstora de respuestas a solicitudes (hts) 318 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux (e|empos: L(U, L7U"= y G"S7). Los Servidores Intermediarios para contendo de Red (Web Proxes) tambn pueden actuar como ftros de contendo servdo, apcando potcas de censura de acuerdo a crteros arbtraros. 43%+%2% =cerca de SGuid SGuid es un Servidor Intermediario (Proxy) de ato desempeo que se ha vendo desarroando desde hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os sstemas operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y se dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (GNU/G<L). Sendo sustento gco libre, est dsponbe e cdgo fuente para quen as o requera. Entre otras cosas, SGuid puede funconar como Servidor Intermediario (Proxy) y cac'F de contenido de (ed para os protocoos H>><, 7><, G0<HE( y Y=IS, Proxy de SSL, cach transparente, YY$<, aceeracn H>><, cach de consutas DNS y otras muchas ms como ftracn de contendo y contro de acceso por IP y por usuaro. SGuid consste de un programa prncpa como servdor, un programa para bsqueda en servdores "NS, programas opconaes para reescrbr soctudes y reazar autentcacn y agunas herramentas para admnstracn y y herramentas para centes. A ncar SGuid da orgen a un nmero confgurabe (5, de modo predefndo a travs de parmetro dnsQc'ildren) de procesos de bsqueda en servdores "NS, cada uno de os cuaes reaza una bsqueda nca en servdores "NS, reducendo a cantdad de tempo de espera para as bsquedas en servdores "NS. N0>= ES<E$I=L, SGuid no debe ser utili8ado como Servidor Intermediario N<rox2C para protocoos como S:><, <0<3, >ELNE>, SSH, I($, etc. S se requere ntermedar para cualGuier protocolo distinto a H>><, H>><S, 7><, G0<HE( y Y=IS se requerr mpementar obgatoramente un enmascaramento de IP o N=> (Network =ddress >ransaton) o ben hacer uso de un servdor S0$KS como "ante (http://www.net.no/dante/). URL: http://www.squd-cache.org/ 43%+%2%+% =l*oritmos de cac'F utili8ados por SGuid% A travs de un parmetro (cac'eQreplacementQpolic2) SGuid ncuye soporte para os sguentes agortmos para e cach: L(U Acrnmo de Least (ecenty Used, que traduce como :enos (ecientemente Utili8ado. En este agortmo os ob|etos que no han sdo acceddos en mucho tempo son emnados prmero, mantenendo sempre en e cach a os ob|etos ms recentemente soctados. fsta pol.tica es la utili8ada por SGuid de modo predefinido.
L7U"= Acrnmo de Least 7requenty Used wth "ynamc =gng, que se traduce como :enos 7recuentemente Utili8ado con Enve-ecimiento "in;mico. En este agortmo os ob|etos ms soctados permanecen en e cach sn mportar su tamao optmzando a eficiencia (ht rate) por octetos (Bytes) a expensas de a efcenca msma, de modo que un ob|eto grande que se socte con mayor frecuenca mpedr que se 319 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux pueda hacer cach de ob|etos pequeos que se socten con menor frecuenca.
G"S7 Acrnmo de Greedy"ua Sze 7requency, que se traduce como 7recuencia de tama#o )reed*ual (codicioso dual), que es e agortmo sobre e cua se basa G"S7. Optmza a eficiencia (ht rate) por ob|eto mantenendo en e cach os ob|etos pequeos ms frecuentemente soctados de modo que hay me|ores posbdades de ograr respuesta a una solicitud (ht). Tene una efcenca por octetos (Bytes) menor que e agortmo L7U"= debdo a que descarta de cach ob|etos grandes que sean soctado con frecuenca. 43%2% Sustento l*ico necesario Para poder evar a cabo os procedmentos descrtos en este manua y documentos reaconados, usted necestar tener nstaado a menos o sguente: A menos squd-2.5.STABLE6 httpd-2.0.x (Apache), como auxar de cach con aceeracn. >odos os parches de segurdad dsponbes para a versn de sstema operatvo que est utzando. Tmese en consderacn que, de ser posbe, se debe utzar siempre as versones estabes ms recentes de todo e sustento gco que se vaya a nstaar a reazar os procedmentos descrtos en este manua, a fn de contar con os parches de segurdad necesaros. Nin*una versin de SGuid anterior a la 2%5%S>=!LE6 se considera como apropiada debdo a faas de segurdad de gran mportanca. SGuid no se nstaa de manera predetermnada a menos que especfque o contraro durante a nstaacn de sstema operatvo, sn embargo vene ncudo en cas todas as dstrbucones actuaes. E procedmento de nstaacn es exactamente e msmo que con cuaquer o. 43%2%+% Instalacin a travFs de 2um S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores, utce o sguente y se nstaar todo o necesaro |unto con sus dependencas: 2um -2 install sOuid httpd 43%2%2% Instalacin a travFs de up2date S cuenta con un sstema con Red Hat Enterprse Lnux 3 o versones posterores, utce o sguente y se nstaar todo o necesaro |unto con sus dependencas: up(date -i sOuid httpd 43%2%3% 0tros componentes necesarios E mandato iptables se utzar para generar as regas necesaras para e gun de Enmascaramento de IP. Se nstaa de modo predefndo en todas as dstrbucones actuaes que utcen n1cleo (kerne) versones 2.4 y 2.6. 320 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Es mportante tener actuazado e nceo de sstema operatvo por dversas cuestones de segurdad. No es recomendabe utzar versones de kerne anterores a a 2%4%2+. Actuace e nceo a a versn ms recente dsponbe para su dstrbucn. S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores, utce o sguente para actuazar e nceo de sstema operatvo e iptables, s acaso fuera necesaro: 2um -2 update kernel iptables S cuenta con un sstema con Red Hat Enterprse Lnux 3 o versones posterores, utce o sguente para actuazar e nceo de sstema operatvo, e iptables s acaso fuera necesaro: up(date -u kernel iptables 43%3% =ntes de continuar Tenga en cuenta que este manua ha sdo comprobado varas veces y ha funconado en todos os casos y s ago no funcona soo sgnfca que usted no o ey a detae y no sgu correctamente as ndcacones. Evte de|ar espacios vac.os en ugares ndebdos. E sguente es un e|empo de como no se debe habtar un parmetro. Ma L 8pci@n in+orre+!)men!e habilitada http5port .1(, E sguente es un e|empo de como si se debe habtar un parmetro. Ben L 8pci@n +orre+!)men!e habilitada http5port .1(, 43%4% $onfi*uracin b;sica SGuid utza e fchero de confguracn ocazado en /etc/sGuid/sGuid%conf, y podr traba|ar sobre este utzando su edtor de texto smpe preferdo. Exsten un gran nmero de parmetros, de os cuaes recomendamos confgurar os sguentes: http_port cache_dr A menos una Lista de $ontrol de =cceso A menos una (e*la de $ontrol de =cceso httpd_acce_host httpd_acce_port httpd_acce_wth_proxy 43%4%+% <ar;metro 'ttpQport, @AuF puerto utili8ar para SGuidB De acuerdo a as asgnacones hechas por I=N= y contnuadas por a I$=NN desde e 21 de marzo de 2001, os <uertos (egstrados (rango desde 1024 hasta 49151) recomendados para Servidores Intermediarios (Proxes) pueden ser e 3128 y 8080 a travs de >$<. 321 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux De modo predefndo SGuid utzar e puerto 3128 para atender petcones, sn embargo se puede especfcar que o haga en cuaquer otro puerto dsponbe o ben que o haga en varos puertos dsponbes a a vez. En e caso de un Servidor Intermediario (Proxy) Transparente, reguarmente se utzar e puerto 80 o e 8000 y se vadr de re-drecconamento de petcones de modo ta que no habr necesdad aguna de modfcar a confguracn de os clientes H>>< para utzar e Servidor Intermediario (Proxy). Bastar con utzar como puerta de enace a servdor. Es mportante recordar que os Servidores H>><, como Apache, tambn utzan dcho puerto, por o que ser necesaro vover a confgurar e servdor H>>< para utzar otro puerto dsponbe, o ben desnstaar o desactvar e servdor HTTP. Hoy en da puede no ser de todo prctco e utzar un Servidor Intermediario N<rox2C >ransparente, a menos que se trate de un servco de $afF Internet u ofcna pequea, sendo que uno de os prncpaes probemas con os que dan os admnstradores es e ma uso y/o abuso de acceso a Internet por parte de persona. Es por esto que puede resutar ms convenente confgurar un Servidor Intermediario (Proxy) con restrccones por cave de acceso, o cua no puede hacerse con un Servidor Intermediario N<rox2C >ransparente, debdo a que se requere un dogo de nombre de usuaro y cave de acceso. Reguarmente agunos programas utzados comnmente por os usuaros sueen traer de modo predefndo e puerto 8080 Nservicio de cac'eo YYYC para utzarse a confgurar que Servidor Intermediario (Proxy) utzar. S queremos aprovechar esto en nuestro favor y ahorrarnos e tener que dar expcacones nnecesaras a usuaro, podemos especfcar que SGuid escuche petcones en dcho puerto tambn. Sendo as ocace a seccn de defncn de 'ttpQport, y especfque: L L \ou ma2 specif2 multiple socket addresses on multiple lines! L L %efault: http5port .1(, http5port .1(, http5port ,0,0 S desea ncrementar a segurdad, puede vncuarse e servco a una IP que soo se pueda acceder desde a red oca. Consderando que e servdor utzado posee una IP 192.168.1.254, puede hacerse o sguente: L L \ou ma2 specif2 multiple socket addresses on multiple lines! L L %efault: http5port .1(, http5port 1-(!16,!1!()+:.1(, http5port 1-(!16,!1!()+:,0,0 43%4%2% <ar;metro cac'eQmem E parmetro cac'eQmem estabece a cantdad dea de memora para o sguente: Ob|etos en trnsto. Ob|etos frecuentemente utzados (7ot). Ob|etos negatvamente amacenados en e cach. Los datos de estos ob|etos se amacenan en boques de 4 Kb. E parmetro cac'eQmem especfca un mte mxmo en e tamao tota de boques acomodados, donde os ob|etos en trnsto tenen 322 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux mayor prordad. Sn embargo os ob|etos Hot y aqueos negatvamente amacenados en e cach podrn utzar a memora no utzada hasta que esta sea requerda. De ser necesaro, s un ob|eto en trnsto es mayor a a cantdad de memora especfcada, SGuid exceder o que sea necesaro para satsfacer a petcn. De modo predefndo se estabecen 8 MB. Puede especfcarse una cantdad mayor s as se consdera necesaro, dependendo esto de os hbtos de os usuaros o necesdades estabecdas por e admnstrador. S se posee un servdor con a menos 128 MB de RAM, estabezca 16 MB como vaor para este parmetro: cache5mem 16 '9 43%4%3% <ar;metro cac'eQdir, @$u;nto desea almacenar de Internet en el disco duroB Este parmetro se utza para estabecer que tamao se desea que tenga e cach en e dsco duro para SGuid. Para entender esto un poco me|or, responda a esta pregunta: @$uanto desea almacenar de Internet en el disco duroB De modo predefndo SGuid utzar un cach de 100 MB, de modo ta que encontrar a sguente nea: cache5dir ufs /var/spool/sOuid 100 16 ()6 Se puede ncrementar e tamao de cach hasta donde o desee e admnstrador. Mentras ms grande sea e cach, ms ob|etos se amacenarn en ste y por o tanto se utzar menos e ancho de banda. La sguente nea estabece un cach de 700 MB: cache5dir ufs /var/spool/sOuid G00 16 ()6 Los nmeros +6 y 256 sgnfcan que e drectoro de cach contendr 16 drectoros subordnados con 256 nvees cada uno. No modifiGue esto n1merosX no 'a2 necesidad de 'acerlo. Es muy mportante consderar que s se especfca un determnado tamao de cach y ste excede a espaco rea dsponbe en e dsco duro, SGuid se boquear nevtabemente. Sea cauteoso con e tamao de cach especfcado. 43%4%4% <ar;metro ftpQuser A acceder a un servdor FTP de manera annma, de modo predefndo SGuid envar como cave de acceso SGuidO. S se desea que e acceso annmo a os servdores FTP sea ms nformatvo, o ben s se desea acceder a servdores FTP que vadan a autentcdad de a dreccn de correo especfcada como cave de acceso, puede especfcarse a dreccn de correo eectrnco que uno consdere pertnente. ftp5user prox2Tsu-dominio!net 43%4%5% $ontroles de acceso Es necesaro estabecer Listas de $ontrol de =cceso que defnan una red o ben certas mqunas en partcuar. A cada sta se e asgnar una (e*la de $ontrol de =cceso que permtr o denegar e acceso a SGuid. Procedamos a entender como defnr unas y otras. 323 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 43%4%5%+% Listas de control de acceso% Reguarmente una sta de contro de acceso se estabece con a sguente sntaxs: acl >nombre de la lista? src >lo Oue compone a la lista? S se desea estabecer una sta de contro de acceso que abarque a toda a red oca, basta defnr a IP correspondente a a red y a mscara de a sub-red. Por e|empo, s se tene una red donde as mqunas tenen dreccones IP 192.168.1.n con mscara de sub-red 255.255.255.0, podemos utzar o sguente: acl miredlocal src 1-(!16,!1!0/())!())!())!0 Tambn puede defnrse una Lista de $ontrol de =cceso especfcando un fchero ocazado en cuaquer parte de dsco duro, y a cua contene una sta de dreccones IP. E|empo: acl permitidos src G/etc/sOuid/permitidosG E fchero /etc/sGuid/permitidos contendra ago como sguente: 1-(!16,!1!1 1-(!16,!1!( 1-(!16,!1!. 1-(!16,!1!1) 1-(!16,!1!16 1-(!16,!1!(0 1-(!16,!1!+0 Lo anteror estara defnendo que a Lista de $ontrol de =cceso denomnada permitidos estara compuesta por as dreccones IP ncudas en e fchero /etc/sGuid/permitidos. 43%4%5%2% (e*las de $ontrol de =cceso Estas defnen s se permte o no e acceso haca SGuid. Se apcan a as Listas de $ontrol de =cceso. Deben coocarse en a seccn de regas de contro de acceso defndas por e admnstrador, es decr, a partr de donde se ocaza a sguente eyenda: L L <7:R" \8$R 8K7 R$;:() B:R: "8 6;;8K 6AA: XR8' \8$R A;<:7" L La sntaxs bsca es a sguente: http5access >den2 o allo1? >lista de control de acceso? En e sguente e|empo consderamos una rega que estabece acceso permtdo a SGuid a a Lista de $ontrol de =cceso denomnada permitidos: http5access allo1 permitidos Tambn pueden defnrse regas vandose de a expresn _, a cua sgnfca no. Pueden defnrse, 324 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux por e|empo, dos stas de contro de acceso, una denomnada lista+ y otra denomnada lista2, en a msma rega de contro de acceso, en donde se asgna una expresn a una de estas. La sguente estabece que se permte e acceso a SGuid a o que comprenda lista+ excepto aqueo que comprenda lista2: http5access allo1 lista1 clista( Este tpo de regas son tes cuando se tene un gran grupo de IP dentro de un rango de red a que se debe permitir acceso, y otro grupo dentro de a msma red a que se debe dene*ar e acceso. 43%4%6% =plicando Listas 2 (e*las de control de acceso Una vez comprenddo e funconamento de a Lstas y as Rega de Contro de Acceso, procederemos a determnar cuaes utzar para nuestra confguracn. 43%4%6%+% $aso +% Consderando como e|empo que se dspone de una red 192.168.1.0/255.255.255.0, s se desea defnr toda a red oca, utzaremos a sguente nea en a seccn de Listas de $ontrol de =cceso: acl todalared src 1-(!16,!1!0/())!())!())!0 Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos de sguente modo: Listas de $ontrol de =cceso, definicin de una red local completa L L Recommended minimum configuration: acl all src 0!0!0!0/0!0!0!0 acl manager proto cache5obEect acl localhost src 1(/!0!0!1/())!())!())!()) )+l !o*)l)re* sr+ 192.16H.1.0/255.255.255.0 A contnuacn procedemos a apcar a rega de contro de acceso: http5access allo1 todalared Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar ms o menos de este modo: (e*las de control de acceso, =cceso a una Lista de $ontrol de =cceso% L L <7:R" \8$R 8K7 R$;:() B:R: "8 6;;8K 6AA: XR8' \8$R A;<:7" L http5access allo1 localhost !!p_)++ess )llow !o*)l)re* http5access den2 all La rega 'ttpQaccess alloM todalared permte e acceso a SGuid a a Lista de $ontrol de 325 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux =cceso denomnada todalared, a cua est conformada por 192.168.1.0/255.255.255.0. Esto sgnfca que cuaquer mquna desde 192.168.1.1 hasta 192.168.1.254 podr acceder a SGuid. 43%4%6%2% $aso 2 S soo se desea permtr e acceso a SGuid a certas dreccones IP de a red oca, deberemos crear un fchero que contenga dcha sta. Genere e fchero /etc/sGuid/listas/redlocal, dentro de cua se ncurn soo aqueas dreccones IP que desea confrmen a Lsta de Contro de acceso. E|empo: 1-(!16,!1!1 1-(!16,!1!( 1-(!16,!1!. 1-(!16,!1!1) 1-(!16,!1!16 1-(!16,!1!(0 1-(!16,!1!+0 Denomnaremos a esta sta de contro de acceso como redlocal: acl redlocal src G/etc/sOuid/listas/redlocalG Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos de sguente modo: Listas de $ontrol de =cceso, definicin de una red local completa L L Recommended minimum configuration: acl all src 0!0!0!0/0!0!0!0 acl manager proto cache5obEect acl localhost src 1(/!0!0!1/())!())!())!()) )+l re*lo+)l sr+ D/e!+/s9ui*/lis!)s/re*lo+)lD A contnuacn procedemos a apcar a rega de contro de acceso: http5access allo1 redlocal Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar ms o menos de este modo: (e*las de control de acceso, =cceso a una Lista de $ontrol de =cceso% L L <7:R" \8$R 8K7 R$;:() B:R: "8 6;;8K 6AA: XR8' \8$R A;<:7" L http5access allo1 localhost !!p_)++ess )llow re*lo+)l http5access den2 all La rega 'ttpQaccess alloM redlocal permte e acceso a SGuid a a Lista de $ontrol de =cceso denomnada redlocal, a cua est conformada por as dreccones IP especfcadas en e fchero /etc/sGuid/listas/redlocal. Esto sgnfca que cuaquer mquna no ncuda en 326 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux /etc/sGuid/listas/redlocal no tendr acceso a SGuid. 43%4%7% <ar;metro c'ac'eQm*r De modo predefndo, s ago ocurre con e cach, como por e|empo que muera e procesos, se envar un mensa|e de avso a a cuenta Mebmaster de servdor. Puede especfcarse una dstnta s acaso se consdera convenente. cache5mgr Eosepere4Tmidominio!net 43%4%9% <ar;metro cac'eQpeer, cac'es padres 2 'ermanos E parmetro cache_peer se utza para especfcar otros Servidores Intermediarios (Proxes) con cach en una |erarqua como padres o como 'ermanos. Es decr, defnr s hay un Servidor Intermediario (Proxy) adeante o en paraeo. La sntaxs bsca es a sguente: cache5peer servidor tipo http5port icp5port opciones E-emplo, S su cach va a estar traba|ando detrs de otro servdor cache, es decr un cach padre, y consderando que e cach padre tene una IP 192.168.1.1, escuchando petcones H>>< en e puerto 8080 y petcones ICP en puerto 3130 Npuerto utili8ado de modo predefinido por SGuidC ,especfcando que no se amacenen en cach os ob|etos que ya estn presentes en e cach de Servidor Intermediario (Proxy) padre, utce a sguente nea: cache5peer 1-(!16,!1!1 parent ,0,0 .1.0 prox2-onl2 Cuando se traba|a en redes muy grandes donde exsten varos Servdores Intermedaros (Proxy) hacendo cach de contendo de Internet, es una buena dea hacer traba|ar todos os cach entre s. Confgurar caches vecnos como siblin* (hermanos) tene como benefco e que se consutarn estos caches ocazados en a red oca antes de acceder haca Internet y consumr ancho de banda para acceder haca un ob|eto que ya podra estar presente en otro cach vecno. E-emplo, S su cach va a estar traba|ando en paraeo |unto con otros caches, es decr caches hermanos, y consderando os caches tenen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1, todos escuchando petcones H>>< en e puerto 8080 y petcones ICP en puerto 3130, especfcando que no se amacenen en cach os ob|etos que ya estn presentes en os caches hermanos, utce as sguentes neas: cache5peer 10!1!0!1 sibling ,0,0 .1.0 prox2-onl2 cache5peer 10!(!0!1 sibling ,0,0 .1.0 prox2-onl2 cache5peer 10!.!0!1 sibling ,0,0 .1.0 prox2-onl2 Pueden hacerse combnacones que de manera ta que se podran tener caches padres y hermanos traba|ando en con|unto en una red oca. E|empo: cache5peer 10!0!0!1 parent ,0,0 .1.0 prox2-onl2 cache5peer 10!1!0!1 sibling ,0,0 .1.0 prox2-onl2 cache5peer 10!(!0!1 sibling ,0,0 .1.0 prox2-onl2 cache5peer 10!.!0!1 sibling ,0,0 .1.0 prox2-onl2 327 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 43%5% $ac'F con aceleracin Cuando un usuaro hace petcn haca un ob|eto en Internet, este es amacenado en e cach de SGuid. S otro usuaro hace petcn haca e msmo ob|eto, y este no ha sufrdo modfcacn aguna desde que o acced e usuaro anteror, SGuid mostrar e que ya se encuentra en e cach en ugar de vover a descargaro desde Internet. Esta funcn permte navegar rpdamente cuando os ob|etos ya estn en e cach de SGuid y adems optmza enormemente a utzacn de ancho de banda. La confguracn de SGuid como Servdor Intermedaro (Proxy) Transparente soo requere compementarse utzando una rega de iptables que se encargar de re-drecconar petcones hacndoas pasar por e puerto 8080. La rega de iptables necesara se descrbe ms adeante en este documento. 43%5%+% <rox2 =celerado, 0pciones para Servidor Intermediario N<rox2C en modo convencional En a seccn H>><")=$$ELE(=>0( 0<>I0NS deben habtarse os sguentes parmetros: httpd5accel5host virtual httpd5accel5port 0 httpd5accel51ith5prox2 on 43%5%2% <rox2 =celerado, 0pciones para Servidor Intermediario N<rox2C >ransparente S se trata de un Servidor Intermediario (Proxy) transparente, deben utzarse as sguentes opcones, consderando que se har uso de cach de un servdor H>>< (Apache) como auxar: L %ebe especificarse la <C de cualOuier servi*or <>>- en la L red local o bien el valor vir!u)l httpd5accel5host 1-(!16,!1!()+ httpd5accel5port ,0 httpd5accel51ith5prox2 on httpd5accel5uses5host5header on 43%5%3% <rox2 =celerado, 0pciones para Servidor Intermediario N<rox2C >ransparente para redes con Internet Explorer 5%5 2 versiones anteriores S va a utzar Internet Exporer 5.5 y versones anterores con un Servidor Intermediario (Proxy) transparente, es mportante recuerde que dchas versones tene un psmo soporte con os Servidores Intermediarios (Proxes) transparentes mposbtando por competo a capacdad de refrescar contendo. S se utza e parmetro ieQrefres' con vaor on puede hacer que se verfque en os servdores de orgen para nuevo contendo para todas as petcones I:S)(E7(ESH provenentes de Internet Exporer 5.5 y versones anterores. L %ebe especificarse la <C de cualOuier servidor <>>- en la L red local httpd5accel5host 1-(!16,!1!()+ httpd5accel5port ,0 httpd5accel51ith5prox2 on httpd5accel5uses5host5header on 328 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux ie_re2res on Lo ms convenente es actuazar haca Internet Exporer 6.x o defntvamente optar por otras aternatvas. :o8illa es en un con|unto de apcacones para Internet, o ben 7irefox, que es probabemente e me|or navegador que exste en e mercado. 7irefox es un navegador muy gero y que cumple con los est;ndares, y est dsponbe para Wndows, Lnux, Mac OS X y otros sstemas operatvos. 43%6% Estableciendo el idioma de los mensa-es mostrados por de SGuid 'acia el usuario SGuid ncuye traduccn a dstntos domas de as dstntas pgnas de error e nformatvas que son despegadas en un momento dado durante su operacn. Dchas traduccones se pueden encontrar en /usr/s'are/sGuid/errors/. Para poder hacer uso de as pgnas de error traducdas a espao, es necesaro cambar un enace smbco ocazado en /etc/sGuid/errors para que apunte haca /usr/s'are/sGuid/errors/Spanis' en ugar de hacero haca /usr/s'are/sGuid/errors/En*lis'. Emne prmero e enace smbco actua: rm -f /etc/sOuid/errors Cooque un nuevo enace smbco apuntando haca e drectoro con os fcheros correspondentes a os errores traducdos a espao. ln -s /usr/s)re/sOuid/errors/panish /etc/sOuid/errors Nota, Este enlace simblico debe verificarseX 2 re*enerarse de ser necesarioX cada ve8 Gue se actuali8ado SGuid 2a sea a travFs de 2umX up2date o manualmente con el mandato rpm% 43%7% IniciarX reiniciar 2 a#adir el servicio al arranGue del sistema Una vez termnada a confguracn, e|ecute e sguente mandato para ncar por prmera vez SGuid: service sOuid start S necesta rencar para probar cambos hechos en a confguracn, utce o sguente: service sOuid restart S desea que SGuid nce de manera automtca a prxma vez que nce e sstema, utce o sguente: chkconfig sOuid on Lo anteror habtar a SGuid en todos os nvees de corrda. 329 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 43%9% "epuracin de errores Cuaquer error a nco de SGuid soo sgnfca que hubo errores de sntaxs, errores de dedo o ben se estn ctando ncorrectamente as rutas haca os fcheros de as Listas de $ontrol de =cceso. Puede reazar dagnstco de probemas ndcndoe a SGuid que vueva a eer confguracn, o cua devover os errores que exstan en e fchero /etc/sGuid/sGuid%conf. service sOuid relo)* Cuando se trata de errores graves que no permten ncar e servco, puede examnarse e contendo de fchero /var/lo*/sGuid/sGuid%out con e mandato less, more o cuaquer otro vsor de texto: less /var/log/sOuid/sOuid!out 43%S% =-ustes para el muro corta)fue*os S se tene poca experenca con guones de cortafuegos a travs de ptabes, sugermos utzar 7irestarter. ste permte confgurar fcmente tanto e enmascaramento de IP como e muro corta-fuegos. S se tene un poco ms de experenca, recomendamos utzar S'oreMall para e msmo fn puesto que se trata de una herramenta ms robusta y competa. 7irestarter: http://www.fs-securty.com/ S'oreMall: http://www.shorewa.net/ 43%S%+% (e)direccionamiento de peticiones a travFs de iptables 2 7irestarter En un momento dado se requerr tener sada transparente haca Internet para certos servcos, pero a msmo tempo se necestar re-drecconar petcones haca servco H>>< para pasar a travs de e puerto donde escucha petcones SGuid (8080), de modo que no haya sada aguna haca aguna haca servdores H>>< en e exteror sn que sta pase antes por SGuid. No se puede hacer Servidor Intermediario (Proxy) Transparente para os protocoos HTTPS, FTP, GOPHER n WAIS, por o que dchos protocoos tendrn que ser ftrados a travs de N=>. E re-drecconamento o hacemos a travs de iptables. Consderando para este e|empo que a red oca se accede a travs de una nterfaz eth0, e sguente esquema e|empfca un re- drecconamento: /sbin/iptables 't nat 'Q =F;F9B<CNK 'i ethM 'p tcp ''dport HM 'j F;ECF;G< ''to'port HMHM Lo anteror, Gue reGuiere un *uin de cortafue*os funcional en un sistema con dos interfaces de red, hace que cuaquer petcn haca e puerto 80 (servco HTTP) hecha desde a red oca haca e exteror, se re-drecconar haca e puerto 8080 de servdor. Utzando 7irestarter, a rega anterormente descrta se aade en e fchero /etc/firestarter/user)post. 330 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 43%S%2% (e)direccionamiento de peticiones a travFs de la opcin (E"I(E$> en S'oreMall La accn REDIRECT en S'oreMall permte redrgr petcones haca protocoo H>>< para haceras pasar a travs de SGuid. En e sguente e|empo as petcones hechas desde a zona que corresponde a a red oca sern redrgdas haca e puerto 8080 de cortafuegos, en donde est confgurado SGuid confgurado como Servidores Intermediario (Proxy) transparente. L6A"<87 8$RA: %:" CR8"8 %:" R:%<R:A" loc ,0,0 tcp ,0 331 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 44% $mo confi*urar SGuid, =cceso por autenticacin Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 44%+% Introduccin Es muy t e poder estabecer un sstema de autentcacn para poder acceder haca Internet, pues esto permte controar quenes s y quenes no accedern a Internet sn mportar desde que mquna de a red oca o hagan. Sera de modo ta que tendremos un dobe contro, prmero por dreccn IP y segundo por nombre de usuaro y cave de acceso. Este manua consdera que usted ya ha edo prevamente, a detae y en su totadad e manua "Como confgurar Squd: Servdor Proxy" y que ha confgurado extosamente Squd como servdor proxy. 44%2% Sustento l*ico necesario Para poder evar a cabo os procedmentos descrtos en este manua y documentos reaconados, usted necestar tener nstaado a menos o sguente: squd-2.5.STABLE3 httpd-2.0.x (Apache) (opcona) opendap-servers-2.2.x (opcona) 44%3% Eli*iendo el mdulo de autenticacin Este manua consdera poder autentcar a travs de un fchero de texto smpe con caves de acceso creadas con htpasswd o ben a travs de un servdor LDAP, o cua consttuye una soucn ms robusta. 44%3%+% =utenticacin a travFs del mdulo L"=< Consderando que se ha confgurado extosamente OpenLDAP como servdor de autentcacn, soo basta defnr e drectoro (o drectoro subordnado) y e servdor LDAP a utzar. La sntaxs utzada para squd_dap_auth es a sguente: sOuid5ldap5auth -b %irectorio o %7 a utili4ar servidor-ldap-a-utili4ar 332 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 44%3%+%+% <ar;metros en /etc/sGuid/sGuid%conf Se debe modfcar e fchero /etc/squd.conf y se especfcar e programa de autentcacn se utzar. Locace a seccn que corresponde a a etqueta aut!Fparam basic pro%ram. Por defecto no est especfcado programa aguno. Consderando que squidFldapFaut! se ocaza en 3usr3lib3squid3ncsaFaut!, procederemos a aadr e sguente parmetro: auth_param basic pro"ram /usr/lib/sLuid/sLuid_ldap_auth 'b dcIsu'red'local)dcIcom (20.M.M.( Lo anteror conecta a drectoro dc=su-red-oca,dc=com en e servdor LDAP en 127.0.0.1. 44%3%2% =utenticacin a travFs del mdulo N$S= Squd puede utzar e mduo ncsaFaut!, de a NCSA (Natona $enter for Supercomputng =ppcatons), y que ya vene ncudo como parte de paquete prncpa de Squd en a mayora de as dstrbucones actuaes. Este mduo provee una autentcacn muy senca a travs de un fchero de texto smpe cuyas caves de acceso fueron creadas con htpasswd. 44%3%2%+% $reacin del fic'ero de claves de acceso Se requerr a creacn preva de un fchero que contendr os nombres de usuaros y sus correspondentes caves de acceso (cfradas). E fchero puede ocazarse en cuaquer ugar de sstema, con a nca condcn que sea aseqube para e usuaro squid. Debe procederse a crear un fchero 3etc3squid3claves: touch /etc/sOuid/claves Savo que vaya a utzarse un gun a travs de servdor web para admnstrar as caves de acceso, como medda de segurdad, este fchero debe hacerse ebe y escrbbe soo para e usuaro squid: chmod 600 /etc/sOuid/claves cho1n sOuid:sOuid /etc/sOuid/claves A contnuacn deberemos dar de ata as cuentas que sean necesaras, utzando e mandato !tpass4d 8mismo que viene incluido en el paquete !ttpd8B.:.(8. E|empo: htpass1d /etc/sOuid/claves Eosepere4 Lo anteror soctar tecear una nueva cave de acceso para e usuaro josepere+ y confrmar teceando sta de nuevo. Repta con e resto de as cuentas que requera dar de ata. Todas as cuentas que se den de ata de este modo son ndependentes a as ya exstentes en e sstema. A dar de ata una cuenta o cambar una cave de acceso o estar hacendo EE$LUSIP=:EN>E para e acceso a servdor Proxy. Las cuentas son ndependentes a as que se tengan exstentes en e sstema como seran interprete de mandatos, correo y Samba. 44%3%2%2% <ar;metros en /etc/sGuid/sGuid%conf Lo sguente ser especfcar que programa de autentcacn se utzar. Locace a seccn que 333 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux corresponde a a etqueta aut!Fparam basic pro%ram. Por defecto no est especfcado programa aguno. Consderando que ncsaFaut! se ocaza en 3usr3lib3squid3ncsaFaut!, procederemos a aadr e sguente parmetro: auth5param basic program /usr/lib/sOuid/ncsa5auth /etc/sOuid/claves 3usr3lib3squid3ncsaFaut! corresponde a a ocazacn de programa para autentcar y 3etc3squid3claves a fchero que contene as cuentas y sus caves de acceso. 44%4% Listas 2 re*las de control de acceso E sguente paso corresponde a a defncn de una .ista de "ontrol de Acceso. Especfcaremos una denomnada pass4d a cua se confgurar para utzar obgatoramente a autentcacn para poder acceder a Squd. Debe ocazarse a seccn de .istas de "ontrol de Acceso y aadrse a sguente nea: acl pass1ord prox25auth R:b$<R:% Habendo hecho o anteror, deberemos tener en a seccn de .istas de "ontrol de Acceso ago como o sguente: Lstas de Contro de Accesos: autentcacn. L L Recommended minimum configuration: acl all src 0!0!0!0/0!0!0!0 acl manager proto cache5obEect acl localhost src 1(/!0!0!1/())!())!())!()) acl redlocal src 1-(!16,!1!0/())!())!())!0 )+l p)sswor* pro#y_)u! A$M(EA$N Procedemos entonces a modfcar a rega de contro de accesos que ya tenamos para permtr e acceso a Internet. Donde antes tenamos o sguente: http5access allo1 redlocal Le aadmos pass4d, a defncn de a .ista de "ontrol de Acceso que requere utzar cave de acceso, a nuestra rega actua, de modo que quede como mostramos a contnuacn: http5access allo1 redlocal pass1ord Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar ms o menos de este modo: Regas de contro de acceso: Acceso por cave de acceso. L L <7:R" \8$R 8K7 R$;:() B:R: "8 allo1 6AA: XR8' \8$R A;<:7" L http5access allo1 localhost !!p_)++ess )llow re*lo+)l p)sswor* 334 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux http5access den2 all 44%4%+% 7inali8ando procedimiento Fnamente, soo bastar rencar Squd para que tomen efecto os cambos y podamos hacer pruebas. service sOuid restart 335 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 45% $mo confi*urar SGuid, (estriccin de acceso a Sitios de (ed Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 45%+% Introduccin Denegar e acceso a certos Stos de Red permte hacer un uso ms racona de ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en denegar e acceso a nombres de domno o dreccones de Red que contengan patrones en comn. Este manua consdera que usted ya ha edo prevamente, a detae y en su totadad e manua "Como confgurar Squd: Servdor Proxy" y que ha confgurado extosamente Squd como servdor proxy. 45%2% Sustento l*ico necesario Para poder evar a cabo os procedmentos descrtos en este manua y documentos reaconados, usted necestar tener nstaado a menos squd-2.5STABLE1. 45%3% "efiniendo patrones comunes Lo prmero ser generar una sta a cua contendr dreccones de Red y paabras usuamente utzadas en nombres de certos domnos. E|empos: 111!sitioporno!com 111!otrositioporno!com sitioindeseable!com otrositioindeseable!com napster sex porn mp. xxx adult 1are4 celebri Esta sta, a cua deber ser competada con todas as paabras (muchas de est son paabras obscenas en dstntos domas) y dreccones de Red que e admnstrador consdere pertnentes, a guardaremos como 3etc3squid3sitiosdene%ados. 336 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 45%4% <ar;metros en /etc/sGuid/sGuid%conf Debemos defnr una .ista de "ontrol de Acceso que a su vez defna a fchero 3etc3squid3sitiosdene%ados. Esta sta a denomnaremos como Esitiosdene%adosE. De modo ta, a nea correspondente quedara de sguente modo: acl sitiosdenegados url5regex G/etc/sOuid/sitiosdenegadosG Habendo hecho o anteror, deberemos tener en a seccn de .istas de "ontrol de Acceso ago como o sguente: L L Recommended minimum configuration: acl all src 0!0!0!0/0!0!0!0 acl manager proto cache5obEect acl localhost src 1(/!0!0!1/())!())!())!()) acl redlocal src 1-(!16,!1!0/())!())!())!0 acl pass1ord prox25auth R:b$<R:% )+l si!ios*ene,)*os url_re,e# D/e!+/s9ui*/si!ios*ene,)*osD A contnuacn especfcaremos modfcaremos una Le%la de "ontrol de Acceso exstente agregando con un smboo de R que se denegar e acceso a a .ista de "ontrol de Acceso denomnada sitiosdene%ados: http5access allo1 redlocal csitiosdenegados La rega anteror permte e acceso a a .ista de "ontrol de Acceso denomnada redlocal, pero e nega e acceso a todo o que concda con o especfcado en a .ista de "ontrol de Acceso denomnada sitiosdene%ados. E|empo apcado a una Le%la de "ontrol de Acceso combnando e mtodo de autentcacn expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn: Regas de contro de acceso: denegacn de stos. L L <7:R" \8$R 8K7 R$;:() B:R: "8 allo1 6AA: XR8' \8$R A;<:7" L http5access allo1 localhost !!p_)++ess )llow re*lo+)l p)sswor* Wsi!ios*ene,)*os http5access den2 all 45%4%+% <ermitiendo acceso a sitios inocentes incidentalmente bloGueados S por e|empo e ncur una paabra en partcuar afecta e acceso a un sto de Red, tambn puede generarse una sta de domnos o paabras que contengan un patrn pero que consderaremos como apropados. Como e|empo: vamos a suponer que dentro de a .ista de "ontrol de Acceso de stos denegados est a paabra se(. esta denegara e acceso a cuaquer nombre de domno que ncuya dcha cadena de caracteres, como extremesex.com. Sn embargo tambn estara boqueando a stos como sexuadad|ove.c, e cua no tene que ver en o absouto con pornografa, sno orentacn sexua para a |uventud. Podemos aadr este nombre de domno en un fcheros que 337 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux denomnaremos 3etc3squid3sitios8inocentes. Este fchero ser defndo en una .ista de "ontrol de Acceso de msmo modo en que se hzo anterormente con e fchero que contene domnos y paabras denegadas. acl inocentes url5regex G/etc/sOuid/sitios-inocentesG Para hacer uso de fchero, soo bastar utzar a expresn _ en a msma nea utzada para a Le%la de "ontrol de Acceso estabecda para denegar e msmo. http5access allo1 all inocentes La rega anteror especfca que se denegar e acceso a todo o que comprenda a .ista de "ontrol de Acceso denomnada dene%ados excepto o que comprenda a .ista de "ontrol de Acceso denomnada inocentes. es decr, se podr acceder sn dfcutad a www.sexuadad|oven.c mantenendo a restrccn para a cadena de caracteres se(. 45%4%2% 7inali8ando procedimiento Fnamente, soo bastar rencar Squd para que tomen efecto os cambos y podamos hacer pruebas. service sOuid restart 338 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 46% $mo confi*urar SGuid, (estriccin de acceso a contenido por extensin Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 46%+% Introduccin Denegar e acceso a certos tpos de extensones de fchero permte hacer un uso ms racona de ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en denegar e acceso a certos tpos de extensones que concdan con o estabecdo en una .ista de "ontrol de Acceso. Este manua consdera que usted ya ha edo prevamente, a detae y en su totadad e manua "Como confgurar Squd: Servdor Proxy" y que ha confgurado extosamente Squd como servdor proxy. 46%2% Sustento l*ico necesario Para poder evar a cabo os procedmentos descrtos en este manua y documentos reaconados, usted necestar tener nstaado a menos squd-2.5STABLE1. Cuaquer versn anteror a sta ser absoutamente naceptabe en o referente a segurdad e ncompatbe para os procedmentos descrto en este manua. 46%3% "efiniendo elementos de la Lista de $ontrol de =cceso Lo prmero ser generar una sta a cua contendr dreccones de Red y paabras usuamente utzadas en nombres de certos domnos. E|empos: D!aviF D!mp+F D!mp.F D!mp+F D!mpgF D!mpegF D!movF D!raF D!ramF D!rmF D!rpmF D!vobF D!1maF D!1mvF D!1avF 339 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux D!docF D!xlsF D!mbdF D!pptF D!ppsF D!aceF D!batF D!exeF D!lnkF D!pifF D!scrF D!s2sF D!4ipF D!rarF Esta sta, a cua deber ser competada con todas as extensones de fchero que e admnstrador consdere pertnentes, a guardaremos como 3etc3squid3listae(tensiones. 46%4% <ar;metros en /etc/sGuid/sGuid%conf Debemos defnr una .ista de "ontrol de Acceso que a su vez defna a fchero 3etc3squid3listae(tensiones. Esta sta a denomnaremos como Elistae(tensionesE. De modo ta, a nea correspondente quedara de sguente modo: acl listaextensiones urlpath5regex G/etc/sOuid/listaextensionesG Habendo hecho o anteror, deberemos tener en a seccn de .istas de "ontrol de Acceso ago como o sguente: L L Recommended minimum configuration: acl all src 0!0!0!0/0!0!0!0 acl manager proto cache5obEect acl localhost src 1(/!0!0!1/())!())!())!()) acl redlocal src 1-(!16,!1!0/())!())!())!0 acl pass1ord prox25auth R:b$<R:% acl sitiosdenegados url5regex G/etc/sOuid/sitiosdenegadosG )+l lis!)e#!ensiones urlp)!_re,e# D/e!+/s9ui*/lis!)e#!ensionesD A contnuacn especfcaremos modfcaremos una Le%la de "ontrol de Acceso exstente agregando con un smboo de R que se denegar e acceso a a .ista de "ontrol de Acceso denomnada listae(tensiones: http5access allo1 redlocal clistaextensiones La rega anteror permte e acceso a a .ista de "ontrol de Acceso denomnada redlocal, pero e nega e acceso a todo o que concda con o especfcado en a .ista de "ontrol de Acceso denomnada listae(tensiones. E|empo apcado a una Le%la de "ontrol de Acceso combnando e mtodo de autentcacn expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn y e de denegacn haca Stos de Red expcado en e documento Cmo confgurar Squd: Restrccn de acceso a Stos de Red: 340 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Regas de contro de acceso: denegacn de extensones. L L <7:R" \8$R 8K7 R$;:() B:R: "8 allo1 6AA: XR8' \8$R A;<:7" L http5access allo1 localhost !!p_)++ess )llow re*lo+)l p)sswor* Wsi!ios*ene,)*os Wlis!)e#!ensiones http5access den2 all 46%4%+% 7inali8ando procedimiento% Fnamente, soo bastar rencar Squd para que tomen efecto os cambos y podamos hacer pruebas. service sOuid restart 341 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 47% $mo confi*urar SGuid, (estriccin de acceso por 'orarios Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 47%+% Introduccin Denegar e acceso a certos usuaros en certos horaros permte hacer un uso ms racona de ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en denegar e acceso en horaros y das de a semana. Este manua consdera que usted ya ha edo prevamente, a detae y en su totadad e manua Como confgurar Squd: Servdor Proxy y que ha confgurado extosamente Squd como servdor proxy. 47%2% Sustento l*ico necesario Para poder evar a cabo os procedmentos descrtos en este manua y documentos reaconados, usted necestar tener nstaado a menos squd-2.5STABLE1. 47%3% <rocedimientos La sntaxs para crear .istas de control de acceso que defnan horaros es a sguente: acl nombre del horario! time d]as de la semana! hh:mm'hh:mm Los das de a semana se defnen con etras, as cuaes corresponden a a prmera etra de nombre en ngs, de modo que se utzarn de sguente modo: S - Domngo : - Lunes > - Mastes Y - Mercoes H - |ueves 7 - Vernes = - Sbado E|empo: acl semana time :<S8> MW:MM'2(:MM 342 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Esta rega defne a a sta semana, a cua comprende un horaro de 09:00 a 21:00 horas desde e Lunes hasta e Vernes. Este tpo de stas se apcan en as Le%las de "ontrol de Acceso con una mecnca smar a a sguente: se permte o denega e acceso en e horaro defndo en a .ista de "ontrol de Acceso denomnada C para as entdades defndas en a .ista de "ontrol de Acceso denomnada S. Lo anteror expresado en una Le%la de "ontrol de Acceso, quedara de sguente modo: http_access allow f den#! nombre del horario! lista de entidades! E|empo: Se quere estabecer que os membros de a .ista de "ontrol de Acceso denomnada clasematutina tengan permtdo acceder haca Internet en un horaro que denomnaremos como matutino, y que comprende de unes a vernes de 09:00 a 15:00 horas. La defncn para e horaro correspondera a: acl clasematutina src (W2.(-H.(.M/2,,.2,,.2,,.M acl matutino time :<S8> MW:MM'(,:MM La defncn de a Le%la de "ontrol de Acceso sera: http_access allow matutino clasematutina Lo anteror, en resumen, sgnfca que quenes conformen clasematutina podrn acceder a Internet de Lunes a Vernes de 09:00-15:00 horas. 47%3%+% :;s e-emplos 47%3%+%+% (estrin*iendo el tipo de contenido Como se expca en e documento E"'mo confi%urar -quid2 Lestricci'n de acceso a contenido por e(tensi'nE, es posbe denegar acceso a certo tpo de contendo de acuerdo a su extensn. Igua que con otras funcones, se requere una .ista de "ontrol de Acceso y una Le%la de "ontrol de Acceso S se necesta una sta denomnada musica que defna a todos os fcheros con extensn .mp3, utzaramos o sguente: acl clasematutina src (W2.(-H.(.M/2,,.2,,.2,,.M acl musica urlpath_re"ex [.mp*2 S queremos denegar e acceso a todo contendo con extensn .mp3, a rega quedara de sguente modo: http_access allow clasematutina Zmusica 47%3%+%2% $ombinando re*las de tiempo 2 contenido S por e|empo queremos restrngr parcamente e acceso a certo tpo de contendo a certos horaros, pueden combnarse dstntos tpos de regas. 343 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux acl clasematutina src (W2.(-H.(.M/2,,.2,,.2,,.M acl matutino time :<S8> MW:MM'(,:MM acl musica urlpath_re"ex [.mp*2 http_access allow matutino clasematutina Zmusica La Le%la de "ontrol de Acceso anteror especfca acceso permitido a en e horaro defndo como matutino a quenes ntegran a .ista de "ontrol de Acceso denomnada clasematutina a todo contendo |por omsn| excepto a os contendos que concdan con os defndos en a .ista de "ontrol de Acceso denomnada musica. 47%3%2% 7inali8ando procedimiento Fnamente, soo bastar rencar Squd para que tomen efecto os cambos y podamos hacer pruebas. service sOuid restart 344 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 49% =pFndice, Listas 2 re*las de control de acceso para SGuid Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 49%0%+% (e*las aplicadas L ;ista Oue define m^todo de autenticaci@n: acl pass1ord prox25auth R:b$<R:% L ;istas de control de acceso por defecto: acl all src 0!0!0!0/0!0!0!0 acl localhost src 1(/!0!0!1/())!())!())!()) L ;istas Oue definen conEuntos de maOuinas acl redlocal src G/etc/sOuid/redlocalG acl privilegiados src G/etc/sOuid/privilegiadosG acl restringidos src G/etc/sOuid/restringidosG acl administrador src 1-(!16,!1!()+ L ;istas Oue definen palabras contenidas en un $R; acl porno url5regex G/etc/sOuid/pornoG L Aontenido: L L sex L porn L girl L celebrit L extasis L drug L pla2bo2 L hustler L ;ista de sitios inocentes Oue accidentealmente sean bloOueados acl noporno url5regex G/etc/sOuid/nopornoG L Aontenido: L L missingheart L 1irelessexcite L msexchange L msexcel L freeto1n L geek-girls L adulteducation 345 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L ;istas Oue definen tipos de extensiones L %efine una lista estricta de extensiones prohibidas acl multimedia urlpath5regex G/etc/sOuid/multimediaG L Aontenido: L L D!mp.F L D!aviF L D!movF L D!mpgF L D!batF L D!pifF L D!s2sF L D!lnkF L D!scrF L D!exeF L %efine una lista moderada de extensiones prohibidas acl peligrosos urlpath5regex G/etc/sOuid/peligrososG L Aontenido: L L D!batF L D!pifF L D!s2sF L D!lnkF L D!scrF L D!exeF L %efine una sola extensi@n acl realmedia urlpath5regex D!rmF L Reglas de control de acceso L Regla por defecto: http5access allo1 localhost L :Eemplos de reglas de control de acceso http5access allo1 restringidos pass1ord cporno cmultimedia http5access allo1 redlocal pass1ord cporno cpeligrosos http5access allo1 privilegiados pass1ord cpeligrosos http5access allo1 administrador http5access allo1 noporno all L Regla por defecto: http5access den2 all 346 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 4S% $mo confi*urar un muro cortafue*os con S'oreMall 2 tres interfaces de red Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 4S%+% Introduccin% 4S%+%+% =cerca de S'oreMall% S'oreMall (Shorene Frewa) es una robusta y extensbe 'erramienta de alto nivel para la confi*uracin de muros cortafue*o. S'oreMall soo necesta se e proporconen agunos datos en agunos fcheros de texto smpe y ste crear as regas de cortafuegos correspondentes a travs de iptables. S'oreMall puede permtr utzar un sstema como muro cortafuegos dedcado, sstema de mtpes funcones como puerta de enlaceX dispositivo de encaminamiento 2 servidor. URL: http://www.shorewa.net/ 4S%+%2% =cerca de Iptables 2 Netfilter% Netfilter es un con|unto de %anc!os (HooLs, es decr, tcncas de programacn que se empean para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que son utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e cortafuegos, e cua reaza procesos de ftracn de paquetes. Los %anc!os son tambn utzados por un componente que se encarga de N=> (acrnmo de Network =ddress >ransaton o Traduccn de dreccn de red). Estos componentes son cargados como mduos de nceo. Iptables es e nombre de a herramenta de espaco de usuaro (User Space, es decr, rea de memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para cada ftrado de paquetes y mduos de N=>. Iptables es a herramenta estndar de todas as dstrbucones modernas de GNU/Lnux. URL: http://www.netfter.org/ 4S%+%3% =cerca de Iproute% Iproute es una coeccn de herramentas (fcfg, p, rtmon y tc) para GNU/Lnux que se utzan para controar e estabecmento de a red >$</I<, as como tambn e contro de trfco. Aunque ifconfi* sgue sendo a herramenta de confguracn de red estndar en as dstrbucones de GNU/Lnux, iproute tende a sustturo a proveer soporte para a mayora de as tecnoogas modernas de red (ncuyendo IP versones 4 y 6), permtendo a os admnstradores confgurar os parmetros de red y e contro de trfco. 347 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux URL: http://nux-net.osd.org/ndex.php/Iproute2 4S%+%4% (eGuisitos% Un sstema GNU/Lnux con todos os parches de segurdad correspondentes nstaados. S'oreMall 3%0%9 o versiones posteriores% Tres nterfaces de red: Interfaz para acceso haca Internet. Interfaz para acceso haca una ":], tras a cua se podrn coocar servdores. Interfaz para acceso haca a L=N (acrnmo de Loca =rea Network o Area de Red Loca). 4S%2% $onceptos reGueridos% 4S%2%+% @AuF es una 8ona desmilitari8adaB Una zona desmtarzada (":]), es parte de una red que no est dentro de a red nterna (L=N) pero tampoco est drectamente conectada haca Internet. Podra resumrse como una red que se ocaza entre dos redes. En trmnos ms tcncos se refere a un rea dentro de cortafuegos donde os sstemas que a componen tenen acceso haca as redes nterna y externa, sn embargo no tenen acceso competo haca a red nterna y tampoco acceso competamente aberto haca a red externa. Los cortafuegos y dspostvos de encamnamento (routers) protegen esta zona con funconadades de ftrado de trfco de red. Dagrama de una Zona Desmtarzada. Imagen de domno pbco tomada de Wkpeda y modfcada con e Gmp. 4S%2%2% @Aue es una (ed <rivadaB Una (ed <rivada es aquea que utza dreccones IP estabecdas en e RFC 1918. Es decr, 348 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux dreccones IP reservadas para (edes <rivadas dentro de os rangos 10.0.0.0/8 (desde 10.0.0.0 hasta 10.255.255.255), 172.16.0.0/12 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16 (desde 192.168.0.0 hasta 192.168.255.255). 4S%2%3% @AuF es un N=>B N=> (acrnmo de Network =ddress >ransaton o Traduccn de dreccn de red), tambn conocdo como enmascaramento de IP, es una tcnca medante a cua as dreccones de orgen y/o destno de paquetes IP son reescrtas mentras pasan a travs de un dspostvo de encamnamento (router) o muro cortafuegos. Se utza para permtr a mtpes anftrones en una (ed <rivada con dreccones IP para (ed <rivada para acceder haca una Internet utzando una soa dreccn IP pbca. 4S%2%4% @AuF es un "N=>B "N=>, (acrnmo de "estnaton Network =ddress >ransaton o traduccn de dreccn de red de destno) es una tcnca medante a cua se hace pbco un servco desde una (ed <rivada. Es decr permte redrgr puertos haca dreccones IP de (ed <rivada. E uso de esta tcnca puede permtr a un usuaro en Internet acanzar un puerto en una (ed <rivada (dentro de una L=N) desde e exteror a travs de un encamnados (router) o muro cortafuegos donde ha sdo habtado un N=>. 4S%3% <rocedimientos% 4S%3%+% Sustento l*ico necesario% ptabes: Controa e cdgo de nceo de GNU/Lnux para ftracn de paquetes de red. proute: Con|unto de utdades dseadas para utzar as capacdades avanzadas de gestn de redes de nceo de GNU/Lnux. shorewa: Shorene Frewa. Shorewa puede descargarse en formato RPM desde http://www.shorewa.net/. S dspone de un sstema con Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4, puede utzar e sguente depsto yum (utzado por Linux <ara >odosg para dstrbur MaScanner y que adems ncuye Shorewa): >mailscanner-lpt? name3'ailcanner ;inux Cara "odos para $n!erprise %inu# &.0 baseurl3http://111!linuxparatodos!net/lpt/1hitebox/+!0/mailscanner/ gpgke23http://111!linuxparatodos!net/lpt/;C"-RC'-Q:\ Una vez confgurado o anteror, soo bastar utzar: 2um -2 install shore1all 4S%3%2% 7ic'ero de confi*uracin /etc/s'oreMall/s'oreMall%conf En ste se defnen, prncpamente, dos parmetros. S>=(>U<QEN=!LE" y $L=:<:SS. 349 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S>=(>U<QEN=!LE" se utza para actvar Shorewa. De modo predefndo est desactvado, soo basta cambar No por Zes. "6R"$C5:769;:%3\es $L=:<:SS se utza en conexones tpo PPP (PPTP o PPPoE) y srve para mtar e :SS (acrnmo de :axmum Segment Sze que sgnfca Mxmo Tamao de Segmento). Cambando e vaor No por Zes, Shorewa cacuar e :SS ms apropado para a conexn. S se es osado, puede tambn especfcarse un nmero en paquetes SYN. La recomendacn es estabecer Zes s se cuenta con un enace tpo PPP. A;6'C'3\es 4S%3%3% 7ic'ero de confi*uracin /etc/s'oreMall/8ones Este fchero se utza para defnr as zonas que se admnstrarn con Shorewa y e tpo de zona (frewa, pv4 o psec). La zona fM est presente en e fchero /etc/s'oreMall%conf como confguracn predefnda. En e sguente e|empo se regstrarn as zonas de Internet (net), Red Loca (oc) y Zona Desmtarzada (dmz): Ld87: %<C;6\ 8C"<87 f1 fire1all net ipv+ loc ipv+ dm4 ipv+ L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 4S%3%4% 7ic'ero de confi*uracin /etc/s'oreMall/interfaces En ste se estabecen cuaes sern as nterfaces para as tres dferentes zonas. Se estabecen as nterfaces que corresponden a a Internet, Zona Desmtarzada ":] y Red Loca. En e sguente e|empo, se cuenta con una nterfaz ppp0 para acceder haca Internet, una nterfaz eth0 para acceder haca a L=N y una nterfaz eth1 para acceder haca a ":], y en todas se socta se cacue automtcamente a dreccn de transmsn (Broadcast): Ld87: <7":RX6A: 9R86%A6" 8C"<87 *6":K6\ net ppp0 detect loc eth0 detect dm4 eth1 detect L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: En e sguente e|empo, se cuenta con una nterfaz et'0 para acceder haca Internet, una nterfaz eth1 para acceder haca a L=N y una nterfaz et'2 para acceder haca a ":], y en todas se socta se cacue automtcamente a dreccn de transmsn (Broadcast): Ld87: <7":RX6A: 9R86%A6" 8C"<87 *6":K6\ net eth0 detect loc eth1 detect dm4 eth( detect L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: Hay una cuarta zona mpcta que corresponde a cortafuegos msmo y que se denomna fM. 350 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux S acaso hubera un servco de "H$<, sea como cente, como servdor o como ntermedaro, en aguna de as nterfaces, se debe aadr a opcn d'cp para permtr a comuncacn requerda para este servco. En e sguente e|empo e anftrn donde opera e muro cortafuegos obtene su dreccn IP, para a nterfaz ppp0, a travs de servco "H$< de IS<; en este msmo anftrn opera smutneamente un servdor "H$<, e cua es utzado en a red de rea oca para asgnar dreccones IP; por todo o anteror se debe actvar a opcn "H$< para as nterfaces ppp0 2 et'+, que correspondentemente son utzadas por a zona de Internet y a red de rea oca, pero no es necesaro hacero para a nterfaz et'2 que es utzada para a zona de a ":]: Ld87: <7":RX6A: 9R86%A6" 8C"<87 *6":K6\ net ppp0 detect *+p loc eth1 detect *+p dm4 eth( detect L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 4S%3%5% 7ic'ero de confi*uracin /etc/s'oreMall/polic2 En este fchero se estabece como se acceder desde una zona haca otra y haca a zona de Internet. L8$RA: %:" C8;<A\ ;8* ;<'<":9$R" loc net 6AA:C" dm4 net 6AA:C" f1 net 6AA:C" net all %R8C info all all R:U:A" info L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: Lo anteror hace o sguente: +% La zona de a red oca puede acceder haca a zona de Internet. 2% La zona de a DMZ puede acceder haca a zona de Internet. 3% E cortafuegos msmo puede acceder haca a zona de Internet. 4% Se mpden conexones desde Internet haca e resto de as zonas. 5% Se estabece una potca de rechazar conexones para todo o que se haya omtdo. Todo o anteror permte e paso entre as dversas zonas haca Internet, lo cual no es deseable s se quere mantener una potca estrcta de segurdad. La recomendacn es cerrar todo haca todo e r abrendo e trfco de acuerdo a como se vaya requrendo. Es decr, utzar ago como o sguente: L8$RA: %:" C8;<A\ ;8* ;<'<":9$R" net all %R8C info all all R:U:A" info L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: Lo anteror boquea todo e trfco desde donde sea a donde sea. S es necesaro reazar pruebas de dagnstco desde e cortafuegos haca Internet para probar conectvdad y acceso haca dversos protocoos, se puede utzar o sguente: 351 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L8$RA: %:" C8;<A\ ;8* ;<'<":9$R" f1 net 6AA:C" net all %R8C info all all R:U:A" info L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: Lo anteror permte a propo cortafuegos acceder haca a zona de Internet. Esta sera a potca ms rea|ada que se pudera recomendar para mantener un nve de segurdad aceptabe. 4S%3%6% 7ic'ero de confi*uracin /etc/s'oreMall/masG Se utza para defnr que a travs de que nterfaz o nterfaces se habtar enmascaramento, o N=>, y para que nterfaz o nterfaces o redes se apcar dcho enmascaramento. En e sguente e|empo, se reazar enmascaramento a travs de a nterfaz ppp0 para as redes que acceden desde as nterfaces eth0 y eth1: L<7":RX6A: $97:" 6%%R: CR8"8 C8R"() <C:A ppp0 eth0 ppp0 eth1 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: En e sguente e|empo, se reazar enmascaramento a travs de a nterfaz eth0 para as redes 192.168.0.0/24 y 192.168.1.0/24: L<7":RX6A: $97:" 6%%R: CR8"8 C8R"() <C:A eth0 1-(!16,!0!0/(+ eth0 1-(!16,!1!0/(+ L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: Tambn es posbe hacer N=> soamente haca una IP en partcuar y para un soo protocoo en partcuar. En e sguente e|empo se hace N=> a travs de a nterfaz ppp0 para a dreccn 192.168.3.25 que accede desde a nterfaz eth1 y soo se e permtr hacer N=> de os protocoos smtp y pop3. Los nombres de os servcos se asgnan de acuerdo a como estn stados en e fchero /etc/services. L<7":RX6A: $97:" 6%%R: CR8"8 C8R"() <C:A ppp0 eth1 1-(!16,!.!() tcp ()=110 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 4S%3%7% 7ic'ero de confi*uracin /etc/s'oreMall/rules Todos os puertos estn cerrados de modo predefndo, y es en este fchero donde se habtan os puertos necesaros. Hay dversas funcones que pueden reazarse. 4S%3%7%+% =$$E<> La accn ACCEPT se hace para especfcar s se permten conexones desde o haca una(s) zona (s) un protocoo(s) y puerto(s) en partcuar. En e sguente e|empo se permten conexones desde Internet haca e puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de os servcos se asgnan de acuerdo a como estn stados en e fchero /etc/services. L6A"<87 8$RA: %:" CR8"8 %:" 352 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L C8R" 6AA:C" net f1 tcp ,0=()=110 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 4S%3%7%2% (E"I(E$> La accn REDIRECT permte redrgr petcones haca un puerto en partcuar. Muy t cuando se queren redrgr petcones para H>>< (puerto 80) y se quere que estas pasen a travs de un Servidor Intermediario (Proxy) como Squd. En e sguente e|empo as petcones hechas desde a red oca y desde a ":] sern redrgdas haca e puerto 8080 de cortafuegos, en donde hay un Servidor Intermediario (Proxy) confgurado de modo transparente. L6A"<87 8$RA: %:" CR8"8 %:" L C8R" R:%<R:A" loc ,0,0 tcp ,0 R:%<R:A" dm4 ,0,0 tcp ,0 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 4S%3%7%3% "N=> La accn "N=> se utza para reenvar petcones desde un puerto de cortafuegos haca una IP y puerto en partcuar tanto en a red oca como en a ":]. Cabe destacar que para que e "N=> funcon se necesta que: Est habtado e reenvo de paquetes en /etc/s2sconfi*/s2sctl%cf* y /etc/s'oreMall/s'oreMall%conf Los equpos haca os que se est hacendo "N=> utcen como puerta de enace a cortafuegos desde sus correspondentes zonas. En e sguente e|empo, se hace "N=> desde a zona de Internet para H>>< (puerto 80), S:>< (puerto 25) y <0<3 (puerto 110) por TCP y "NS (puerto 53) por >$< y U"< haca a IP 10.10.10.28 ocazada en a zona de a Red Loca. L6A"<87 8$RA: %:" CR8"8 %:" L C8R" %76" net dm4:10!10!10!(, tcp ,0=()=110=). %76" net dm4:10!10!10!(, udp ). L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 4S%3%7%4% E-emplos diversos de re*las% En e sguente e|empo se permte a a zona de Red Loca e acceso haca e puerto 22 (SSH) de cuaquer equpo dentro de a ":]: L6A"<87 8$RA: %:" CR8"8 %:" L C8R" 6AA:C" loc dm4 tcp (( L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e acceso haca e puerto 22 (SSH) de cuaquer equpo dentro de a ":]: 353 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L6A"<87 8$RA: %:" CR8"8 %:" L C8R" 6AA:C" loc:1-(!16,!(!.+ dm4 tcp (( L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e acceso haca e puerto 22 (ssh) de a dreccn 10.10.10.5 que est dentro de a ":]: L6A"<87 8$RA: %:" CR8"8 %:" L C8R" 6AA:C" loc:1-(!16,!(!.+ dm4:10!10!10!) tcp (( L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: En e sguente e|empo se hace "N=> desde a zona de Internet para os servcos de H>>< (puerto 80), S:>< (puerto 25) y <0<3 (puerto 110) por >$< y "NS (puerto 53) por >$< y U"< haca dversos servdores ocazados ":]: L6A"<87 8$RA: %:" CR8"8 %:" L C8R" %76" net dm4:10!10!10!1 tcp ,0 %76" net dm4:10!10!10!( tcp ()=110 %76" net dm4:10!10!10!. tcp ). %76" net dm4:10!10!10!. udp ). L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: En e sguente e|empo se hace "N=> desde a zona de a Red Loca para os servcos de H>>< (puerto 80), S:>< (puerto 25), <0<3 (puerto 110) y "NS (puerto 53) haca dversos servdores ocazados ":]: L6A"<87 8$RA: %:" CR8"8 %:" L C8R" %76" loc dm4:10!10!10!1 tcp ,0 %76" loc dm4:10!10!10!( tcp ()=110 %76" loc dm4:10!10!10!. tcp ). %76" loc dm4:10!10!10!. udp ). L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: En e sguente e|empo se hace "N=> desde a zona de Internet para os servcos de H>>< (puerto 80), S:>< (puerto 25), <0<3 (puerto 110) y "NS (puerto 53) haca dversos servdores ocazados ":] y mtar a taza de conexones a dez por segundo con rfagas de hasta cnco conexones para cada servco: L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: 8R<*<76; R6": L C8R" C8R"() %:" ;<'<" %76" net dm4:10!10!10!1 tcp ,0 - - 10/sec:) %76" net dm4:10!10!10!( tcp ()=110 - - 10/sec:) %76" net dm4:10!10!10!. tcp ). - - 10/sec:) %76" net dm4:10!10!10!. udp ). - - 10/sec:) L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: En e sguente e|empo as petcones hechas desde a red oca (L=N) sern redrgdas haca e puerto 8080 de cortafuegos, en donde hay un Servidor Intermediario (Proxy) confgurado de modo transparente, mtando a taza de conexones a dez por segundo con rfagas de hasta cnco 354 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux conexones. Esto es muy t para evtar ataques de "oS (acrnmo de "ena of Servce que se traduce como Denegacn de Servco) desde a red oca (L=N). L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: 8R<*<76; R6": L C8R" C8R"() %:" ;<'<" R:%<R:" loc ,0,0 tcp ,0 - - (0/sec:) L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: 4S%4% Iniciar el cortafue*os 2 a#adirlo a los servicios de arranGue del sistema Para e|ecutar por prmera vez e servco, utce: service shore1all start Para hacer que os cambos hechos a a confguracn surtan efecto, utce: service shore1all restart Para detener e cortafuegos, utce: service shore1all stop Cabe seaar que detener e cortafuegos tambn detene todo trfco de red, ncuyendo e trfco provenente desde a L=N. S se desea restaurar e trfco de red, sn a proteccn de un cortafuegos, ser necesaro tambn utzar e gun de iptables. service iptables stop Lo ms convenente, en caso de ser necesaro detener e cortafuegos, es defnr que dreccones IP o redes podrn contnuar accedendo cuando e cortafuegos es detendo, o cuando ste se encuentra en proceso de renco. Esto se defne en e fchero /etc/s'oreMall/routestopped, defnendo a nterfaz, a travs de a cua se permtr a comuncacn, y a dreccn IP o red, en un formato de sta separada por comas, de os anftrones que podrn acceder a cortafuegos. E|empo: L<7":RX6A: B8"() 8C"<87 eth0 1-(!16,!1!0/(+ eth0 1-(!16,!(!.0=1-(!16,!(!.1 L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P: Para aadr Shorewa a arranque de sstema, utce: chkconfig shore1all on 355 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 50% $mo confi*urar SN:< Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 50%+% Introduccin SNMP (Smpe Network Management Protoco) es un protocoo ampamente utzado en a admnstracn de redes para supervsar a saud y e benestar de equpo de a red, equpo de computo y otros dspostvos. Net-SNMP, e sustento ogco utzado en este documento, es un con|unto de apcacones utzados para mpementar SNMP v1, SNMP v2c y SNMP v3 utzando IPv4 y/o IPv6. 50%2% Sustento l*ico necesario net-snmp-5.0.9 net-snmp-uts-5.0.9 Snmpd es un servco que reguarmente se nstaa de modo predefndo en a mayora de as dstrbucones, aunque no est habtado en os servcos de arranque de sstema. E paquete net- snmp-uts no suee nstaarse de modo predefndo, por tanto se puede e|ecutar o sguente para reazar a Instaacn de sustento gco necesaro: Sstemas que utcen yum: 2um -2 install net-snmp net-snmp-utils Sstemas que utcen up2date: up(date -i net-snmp net-snmp-utils 50%3% <rocedimientos 50%3%+% 7ic'ero de confi*uracin% E fchero 'etc'snmp'snmpd#conf que se nstaa por defecto es una verdadera maraa de comentaros y opcones de todo tpo. Lo ms recomendabe ser cerrar un fchero nuevo y mpo de contendo. cd /etc/snmp mv snmpd!conf snmpd!conf-8;% touch snmpd!conf 356 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 50%3%2% Listas de control de acceso Se deben crear as stas de contro de acceso (ACL) correspondentes en e fchero 'etc'snmp'snmpd#conf y que servrn para defnr qun tendr acceso haca e servco snmpd. A una de estas stas se e otorgar permso de acceso de ectura y escrtura para o que sea necesaro y a a otra de so ectura. Por razones de segurdad soamente a nterfaz 127.0.0.1 ser a de ectura escrtura. Se otorgar permso de acceso de so ectura a una red o ben a una IP en a otra sta de contro de acceso (ACL). De ta modo se podran agregar un par de neas como as sguentes: com(sec local 1(/!0!0!1/.( Al+v.-d.-6cc.s0 com(sec miredlocal 1-(!16,!1!0/(+ Al+v.-d.-6cc.s0 En o anteror, a prmera nea sgnfca que habr una sta de contro de acceso denomnada Jlocal= y que corresponder so a 127.0.0.1/32, asgnando "lTvP8dP8AccPs: como cave de acceso. La segunda nea hace o msmo pero defnendo a a red 192.168.1.0/24. Se puede defnr o que uno desee mentras no sea a cave de root; o anteror debdo a que dcha cave se transmte a travs de a red en forma de texto smpe (es decr, sn cfrar). 50%3%3% "efinicin de *rupos Se van a crear dos grupos: :2(YGroup y :2(0Group. E prmero ser un grupo a que se asgnarn ms adeante permsos de lectura escrituraX y e segundo ser un grupo a que posterormente se asgnarn permsos de slo lectura. Por cada grupo se asgnan tres neas que especfcan e tpo de acceso que se permtr en un momento dado a un grupo en partcuar. Es decr, :2(YGroup se asoca a local y :2(0Group a miredlocal. Le asigna local al grupo de le+!ur) es+ri!ur) group '2RK*roup v1 local group '2RK*roup v(c local group '2RK*roup usm local Le asigna miredlocal al grupo de solo le+!ur) group '2R8*roup v1 miredlocal group '2R8*roup v(c miredlocal group '2R8*roup usm miredlocal 50%3%4% (amas permitidas Se especfcan as ramas que se van a permtr ver a travs de servco. Lo ms comn para, por e|empo, utzarse con MRTG, es o sguente: LL name incl/excl subtree mask(optional) vie1 all included !1 ,0 50%3%5% =si*nacin de permisos a los *rupos Se debe especfcar qu permsos tendrn os dos grupos, MyROGroup y MyRWGroup. Son de especa nters as tmas coumnas. 357 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux LL group context sec!model sec!level prefix read 1rite notif access '2R8*roup GG an2 noauth exact all none none access '2RK*roup GG an2 noauth exact all all all 50%3%6% <ar;metros de car;cter informativo Se defnen dos parmetros de carcter nformatvo para que cuando utcen apcacones cente como MRTG, se ncuya aguna nformacn acerca de a qu sstema se est accedendo. s2slocation ervidor ;inux en $-:RP<%8R!algun-dominio!net s2scontact 6dministrador (fulanoTalgun-dominio!net) 50%3%7% Un e-emplo real E e|empo que mostramos a contnuacn se utza en todas as PC que posee e autor en casa y a ofcna. Bastar reempazar redlocalX por o que uno consdere apropado, y reempazar +S2%+69%+%0/24 por la red o a IP desde donde se requera acceder con un cente snmp, como MRTG. L ;istas de control de acceso (6A;) LL sec!name source communit2 (alias clave de acceso) com(sec local 1(/!0!0!1/.( Al+v.-d.-6cc.s0 com(sec miredlocal 1-(!16,!1!0/(+ Al+v.-d.-6cc.s0 Le asigna 6A; al grupo de lectura escritura group '2RK*roup v1 local group '2RK*roup v(c local group '2RK*roup usm local Le asigna 6A; al grupo de solo lectura group '2R8*roup v1 miredlocal group '2R8*roup v(c miredlocal group '2R8*roup usm miredlocal L Ramas '<9 Oue se permiten ver LL name incl/excl subtree mask(optional) vie1 all included !1 ,0 L :stablece permisos de lectura 2 escritura LL group context sec!model sec!level prefix read 1rite notif access '2R8*roup GG an2 noauth exact all none none access '2RK*roup GG an2 noauth exact all all all L <nformaci@n de Aontacto del istema s2slocation ervidor ;inux en amdk6!nombre-de-dominio-resuelto s2scontact 6dministrador (fulanoTalgun-dominio!net) S es necesaro aadr ms equpos para que accedan a servco snmp, so hay que hacer o sguente: 1. Agregar una ACL con un nombre nco. E|empo: 358 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux com(sec mi+uev) 1-(!16,!1!()1 Al+v.-d.-6cc.s0 2. Agregar un |uego regas que asgnen a grupo, en este caso micueva, con o sguente: group o!ro,rupo v1 local group o!ro,rupo v(c local group o!ro,rupo usm local 1. Agregar una nea donde se estabece qu permsos tendr e grupo otro*rupo. Este e|empo ser so ectura: access '2R8*roup GG an2 noauth exact all none none 50%3%9% Iniciar el servicio 2 a#adirlo a los servicios de arranGue del sistema Ince e servco de SNMP y aada ste a resto de os servcos que arrancan |unto con e sstema: service snmpd start chkconfig snmpd on 50%4% $omprobaciones Suponendo que se asgn como cave de acceso $l4v3)d3)=cc3s0 en un sstema cuya dreccn IP es +S2%+69%+%254, para probar s a confguracn funcona, so hay que e|ecutar os dos sguentes mandatos a fn verfcar que devuevan nformacn acerca de sstema consutado. snmp1alk -v 1 192.16H.1.25& -c ?l&v3'*3'8++3s0 s2stem snmp1alk -v 1 192.16H.1.25& -c ?l&v3'*3'8++3s0 interfaces 359 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 5+% $mo confi*urar :(>G Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 5+%+% Introduccin MRTG (Mut Router Traffc Grapher) es una herramenta, escrta en C y Per por Tobas Oetker y Dave Rand, que se utza para supervsar a carga de trfco de nterfaces de red. MRTG genera pgnas HTML con grfcos que proveen una representacn vsua de este trfco. MRTG utza SNMP (Smpe Networque Management Protoco) para recoectar os datos de trfco de un determnado dspostvo (ruteadores o servdores), por tanto es requsto contar con a menos un sstema con SNMP funconando y correctamente confgurado. 5+%2% Sustento l*ico necesario mrtg 2.10.15 MRTG reguarmente no se nstaa de modo predefndo en a mayora de as dstrbucones. Puede e|ecutar o sguente para reazar a Instaacn de sustento gco necesaro: Sstemas que utcen yum: 2um -2 install mrtg Sstemas que utcen up2date: up(date -i mrtg 5+%3% <rocedimientos Genere e drectoro de traba|o de MRTG de sguente modo: mkdir -p /var/111/mrtg/miredlocal Respade e fchero de confguracn predetermnado: cp /etc/mrtg/mrtg!cfg /etc/mrtg/mrtg!cfg-8;% Para generar e fchero de confguracn para supervsar una soa dreccn IP, e|ecute o sguente, donde $l4v3)d3)=cc3s0 es a cave de acceso defnda en a confguracn de SNMP de sstema nvoucrado: 360 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux cfgmaker D --global G1orkdir: /var/111/mrtg/miredlocalG D --global G8ptions>5?: bits=gro1rightG D --output /etc/mrtg/mrtg!cfg D ?l&v3'*3'8++3s0T1-(!16,!1!1 Para generar e fchero de confguracn para supervsar varas dreccones IP, e|ecute o sguente, donde $l4v3)d3)=cc3s0 es a cave de acceso s sta fue defnda as en a confguracn de SNMP de todos os sstemas nvoucrados: cfgmaker D --global G1orkdir: /var/111/mrtg/miredlocalG D --global G8ptions>5?: bits=gro1rightG D --output /etc/mrtg/mrtg!cfg D --communit23?l&v3'*3'8++3s0 D 1-(!16,!1!1 D 1-(!16,!1!( D 1-(!16,!1!. D 1-(!16,!1!+ 5+%4% $omprobaciones E paquete de MRTG ncuye un gun para crontab en /etc/cron.d/mrt" de modo que ste e|ecute MRTG autom;ticamente cada 5 mnutos, por o que s se quere comprobar a confguracn so es necesaro esperar agunos mnutos. S desea generar un reporte a momento, e|ecute mrtg utzando o sguente: env ;67*3A mrtg /etc/mrtg/mrtg!cfg Rence Apache a fn de cargar a confguracn que permtr acceder haca os reportes de MRTG a travs de ste. service httpd restart Puede mrar con agn navegador os resutados en e drectoro /var/www/mrt"/miredlocal de dsco duro, o ben accedendo a travs de Apache haca !ttp233<BQ.:.:.<3mrt%3miredlocal3#+,.#-..#.#FB.!tml, suponiendo que se desea ver el reporte del sistema con AD <UB.<HO.<.<. 361 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 52% $mo instalar correctamente avag a partir de paGuete (<: Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 52%+% <rocedimiento 1. Dr|a e navegador haca e sto de red de |ava y proceda a descargar e paquete auto- extrabe que contene e RPM de $avaV B Luntime Environment 1.4.2 desde http://www.|ava.com/en/downoad/nux_manua.|sp. 2. Haga e|ecutabe |re-1_5_0_04-nux-586-rpm.bn a fn de poder extraero: chmod [x Ere-15)5050+-linux-i),6-rpm!bin 3. E|ecute |re-1_5_0_04-nux-586-rpm.bn: !/Ere-15)5050+-linux-i),6-rpm!bin 4. Lea en su totalidad a cenca y confrme que acepta os trmnos de a msma, s se es e caso. Una vez hecho o anteror, se extraer automtcamente e paquete RPM |2re-1_5_0_04- nux-586.rpm. 5. Como root nstae |re-1_5_0_04-nux-586.rpm: su rpm -$vh Ere-15)5050+-linux-i),6!rpm 6. Proceda a crear e fchero /etc/profile%d/-ava%s' a fn de ncur en ste una nea que aadr a ruta de bnaros de |ava 2 (/usr/|ava/|re1.5.0_04/bn, o o que corresponda segn a versn de paquete RPM) a as rutas predetermnadas de e|ecutabes de sstema. export C6"B3/usr/Eava/Ere1!)!050+/bin:FC6"B U6P65B8':3G/usr/Eava/Ere1!)!050+/G export U6P65B8': 7. Haga e|ecutabe /etc/profile%d/-ava%s', chmod /)) /etc/profile!d/Eava!sh 8. Instae a extensn (Pug-n) |ava para Moza de sguente modo: S utza una versn de Moza, Frefox o Netscape compada con GCC 3.x (Red Hat 362 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Enterprse Lnux 3, CentOS 3.0 2 versiones posteriores), deber e|ecutar: cd /usr/lib/mo4illa/plugins/ ln -s /usr/Eava/Ere1!)!050+/plugin/i.,6/ns//libEavaplugin5oEi!so !/ S utza una versn de Moza o Netscape compada con GCC 2.96 (Red Hat Enterprse Lnux 2.1 y CentOS 2.1), deber e|ecutar: cd /usr/lib/mo4illa/plugins/ ln -s /usr/Eava/Ere1!)!050+/plugin/i.,6/ns/-gcc(-/libEavaplugin5oEi!so !/ 9. En al*unas versiones de paquete RPM se inclu2e un fic'ero Gue muestra una entrada para el escritorio, pero hay un error de omsn en dcho fchero. ste es responsabe de que as preferencas de |ava aparezcan en e men de preferencas de escrtoro. De exstr, modfque e fchero /usr/s'are/applications/sunQ-ava%desLtop y aada un ";" (punto y coma) a fna de a nea $ate*oriesT=pplicationaSettin*s, de modo ta que e contendo quede de a sguente manera: >%esktop :ntr2? 7ame3Uava Aomment3Uava Aontrol Canel :xec3/usr/Eava/Ere1!)!050+/bin/AontrolCanel <con3/usr/Eava/Ere1!)!050+/plugin/desktop/sun5Eava!png "erminal3false "2pe36pplication ?)!e,ories78ppli+)!ionU/e!!in,sU S e fchero no exste, puede generaro con e contendo anterormente mostrado. 10.$ierre todas las sesiones *r;ficas 2 de consola Gue estFn abiertas NN0 SIGNI7I$= AUE "E!E (EINI$I=( EL SIS>E:=C 2 vuelva a in*resar como usuario. 52%2% $omprobaciones Para comprobar s |ava qued nstaado correctamente, e|ecute o sguente desde una termna 1hich Eava
Lo anteror debe devover que e mandato java est en /usr/-ava/-re+%5%0Q04/bin/-ava. Abra Moza, Epphany o Gaeon y en a barra de dreccones escrba about,plu*ins. Puse a teca ENTER. Deber aparecer a nformacn acerca de as extensones nstaadas para Moza, y entre stas deber aparecer a nformacn correspondente a a extensn (pug-n) |ava 363 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Informacn sobre e Pug-n de |ava en Moza Por tmo, verfque en e men de GNOME que aparezca a entrada de men de Pane de Contro de |ava en /en0 principal 1 2re(erencias 1 /3s pre(erencias. Haga cc en Ja4a y verfque que funcone. Pane de Contro de |ava 2 Pruebe acceder haca agn sto que tenga un apque |ava para corroborar que a extensn para Moza ha quedado nstaada correctamente. Encontrar varos enaces haca |uegos y otras apcacones en http://www.|ava.com/es/. 364 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 53% $mo instalar la extensin Nplu*)inC 7las' para :o8illa Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 53%+% Introduccin Los procedmentos descrtos permtrn vsuazar desde Moza, Moza Frebrd, Epphany o Gaeon contendo Web en Macromeda Fash 5 (y versones anterores) y Macromeda Fash MX con extensones *.swf y *.sp. Los procedmentos de Instaacn de sustento gco necesaro suponen que ya ey en su totalidad y sgu os procedmentos de documento de Yum correspondente. 53%2% <rocedimientos 53%2%+% Instalacin del sustento l*ico necesario en $ent0SX Y'ite !ox 2 (ed Hatg Enterprise Linux 3 Modfque /etc/2um%conf y aada e sguente contendo: >flash-plugin? name3'acromedia Xlash Cla2er baseurl3http://sluglug!ucsc!edu/macromedia/apt/redhat/./ 2um -2 install flash-plugin S est nstaando por prmera vez aparecer una ventana grfca que soctar eer a cenca y aceptar os trmnos de a msma. 53%2%2% Instalacin del sustento l*ico necesario en $ent0SX Y'ite !ox 2 (ed Hatg Enterprise Linux 4 Genere e fchero /etc/2um%repos%d/flas'%repo y aada e sguente contendo: >flash-plugin? name3'acromedia Xlash Cla2er baseurl3http://sluglug!ucsc!edu/macromedia/apt/redhat/./ 2um -2 install flash-plugin S est nstaando por prmera vez aparecer una ventana grfca que soctar eer a cenca y aceptar os trmnos de a msma. 365 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 53%2%3% $omprobaciones Abra Moza, Moza Frebrd, Epphany o Gaeon y en a barra de dreccones y tece about,plu*ins. Puse enter. Deber aparecer a nformacn acerca de as extensones nstaadas para Moza; entre stas deber aparecer a nformacn correspondente a a extensn (pug-n) Macromeda Fash Informacn sobre e Pug-n de Macromeda Fash en Moza. 366 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 54% $mo confi*urar esc;ner en red Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. Este manua se basa sobre e documento redactado por marianodjes y pubcado orgnamente en e artcuo 3379 en Lnux Para Todos. 54%+% El servidor 54%+%+% Sustento l*ico necesario sane-backends sane-frontends xnetd S se utza Fedora Core o Whte Box Enterprse Lnux, so basta e|ecutar: 2um -2 install sane-backends sane-frontends xinetd 54%+%2% <rocedimientos Debemos verfcar que en e fchero /etc/sane%d/dll%conf est habtada a nea net. L enable the next line if 2ou 1ant to allo1 access through the net1ork: net Se aade en e fchero /etc/sane%d/saned%conf a a sta de dreccones IP a a que tendrn permtdo conectarse a servco de escner en red. E|empo: 367 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L L saned!conf L L "he contents of the saned!conf file is a list of host L names or <C addresses that are permitted b2 saned to L use local 67: devices in a net1orked configuration! L "he hostname matching is not case-sensitive! L Lscan-client!somedomain!firm L1-(!16,!0!1 1(/!0!0!1 1-(!16,!1!()+ 1-(!16,!1!(). 1-(!16,!1!()( 1-(!16,!1!()1 1-(!16,!1!()0 Para fnes nformatvos en e sstema, se edta e fchero /etc/services y se aade a sguente nea: saned 6)66/tcp saned L 67: net1ork scanner daemon! 6566 es e puerto por donde accedern a escner en red. Debe crearse e fchero /etc/xinetd%d/saned con e sguente contendo: service saned R socket5t2pe 3 stream server 3 /usr/sbin/saned protocol 3 tcp user 3 root group 3 root 1ait 3 no disable 3 no S
Una vez hecho todo esto actvamos xnetd, especfcando que e servco se actve: chkconfig saned on S todo ha do ben, podemos comprobar e funconamento de servco con un smpe telnet haca e puerto 6566. telnet localhost 6)66 Lo anteror debe devover ago como o sguente: "r2ing 1(/!0!0!1!!! Aonnected to localhost! :scape character is I`?I! 368 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Para sar soamente tecee Guit y uego presone a teca ENTER. 54%2% Los clientes 54%2%+% Sustento l*ico necesario sane-backends sane-frontends xsane-gmp xsane sane-frontends S se utza Fedora Core o Whte Box Enterprse Lnux, so basta e|ecutar: 2um -2 install sane-backends sane-frontends xsane-gimp xsane sane- frontends 54%2%2% <rocedimientos Deben edtarse en os equpos centes e fchero /etc/sane.d/net.conf y especfcarse a dreccn IP de servdor recn confgurado: L "his is the net config file! :ach line names a host to attach to! L <f 2ou list GlocalhostG then 2our backends can be accessed either L directl2 or through the net backend! *oing through the net backend L ma2 be necessar2 to access devices that need special privileges! 1-(!16,!1!1 E e|empo anteror consdera que e servdor donde se confgur e escner tene a dreccn IP 192.168.1.1 Soamente bastar e|ecutar xsane en os centes y stos debern detectar automtcamente e escner en e servdor 192.168.1.1. Recuerde que so se puede utzar e escner por un cente a a vez. 369 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 55% Usando Smartd para anticipar los desastres de disco duro Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 55%+% Introduccin La mayora de as dstrbucones recentes ncuyen smartctl y smartd (parte de smartmontools ncudo en e paquete Lernel)utils), que son herramentas utzadas para supervsar a saud de os dscos duros reazando pruebas para comprobar su buen funconamento. Mentras e dsco y a tar|eta madre (soporte que se actva en e BIOS) tenga capacdad para utzar S.M.A.R.T. (Sef- :ontorng, =nayss and (eportng >echnoogy), es posbe antcpar as faas de un dsco duro. So basta confgurar un fchero (/etc/smartd%conf) e ncar un servco (smartd). 55%2% <rocedimientos E fchero /etc/smartd%conf so requere una nea de confguracn por cada dsco duro en e sstema. E|empos: /dev/hda -a -m alguienTcuenta-de-correo!algo /dev/sda -d scsi -a -m alguienTcuenta-de-correo!algo /dev/sdb -d scsi -a -m alguienTcuenta-de-correo!algo Lo anteror hace que se env un reporte competo y detaado de toda a nformacn S.M.A.R.T. y as aertas pendentes. La opcn -a en dscos IDE equvae a '-H - -c -A - error )l selftest )l selective', y en dscos SCSI equvae a c)H )i )= )l error )l selftest', donde: -B Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar reportes a un tefono mv, sta sera a opcn nca a utzar. -i Incuye en e reporte e numero de modeo, nmero de sere, versn de Frmware e nformacn adcona reaconada. -c Incuye en e reporte as capacdades S.M.A.R.T. -6 Incuye en e reporte atrbutos S.M.A.R.T. especfcos de fabrcante de dsco. -l error Incuye en e reporte a btcora de errores de S.M.A.R.T. -l selftes t Incuye en e reporte a btcora de pruebas de S.M.A.R.T. -l selecti Agunos dscos tpo ATA-7 (e|empo: Maxtor) ncuyen una btcora de pruebas seectvas. 370 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux -B Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar reportes a un tefono mv, sta sera a opcn nca a utzar. ve -m Cuenta de correo eectrnco a a cua se envarn reportes. S por e|empo, so nos nteresa recbr reportes de saud en un tefono mv, se utzara soamente o sguente: /dev/hda -B -m alguienTcuenta-de-correo!algo /dev/sda -d scsi -B -m alguienTcuenta-de-correo!algo /dev/sdb -d scsi -B -m alguienTcuenta-de-correo!algo Hecho o anteror, so basta agregar e servco a os servcos de arranque de sstema e ncar (o rencar, segn e caso) smartd: chkconfig smartd service smartd start E servco se encarga de e|ecutar automtcamente en e trasfondo de sstema todas as pruebas necesaras y soportadas por as undades de dsco duro presentes. E reporte se enva automtcamente |unto con e mensa|e con e reporte de a btcora de sstema unos mnutos despus de as 4:00 AM. S se quere ver un reporte a momento, competo y detaado, suponendo que se trata de un dsco duro en e IDE 1, basta e|ecutar: smartctl -a /dev/hda S se quere ver un reporte a momento y que so muestre e estado de saud de a undad, suponendo que se trata de un dsco duro en e IDE 1, basta e|ecutar: smartctl -B /dev/hda 371 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 56% Glosario de mandatos b;sicos Actuazado e Sbado 19/04/2003, 07:36:14 GMT -0600. Dablo Marcelo Moia %amme(ane1linu(paratodos.net !ttp233444.linu(paratodos.net3 $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 56%+% :andatos *enerales !1sGuedas man mandato Muestra un manua sobre e mandato. Su modo de uso y sus varantes. shutdo1n -h ) Apaga e sstema en 5 mnutos despus de e|ecutarse y no renca. shutdo1n -h no1 Apaga e sstema en ese momento y NO o vueve a renca halt Apaga e sstema de a msma manera que e mandato anteror. shutdo1n -r ) Apaga e sstema 5 mnutos despus de habero e|ecutado y renca. shutdo1n -r no1 Apaga e sstema en ese momento y renca. reboot Renca e sstema. startx Inca e entorno grfco. adduser miusuario Agrega un usuaro amado musuaro. pass1d miusuario Le asgna a cave de acceso a usuaro musuaro. userdel miusuario Borra a cuenta musuaro. su Da momentneamente prvegos de ROOT (S sabemos a cave :) ) su - miusuario Se toma momentneamente os prvegos de usuaro musuaro. exit Sae de perf de usuaro que o e|ecuta. mount -t iso-660 /dev/cdrom /mnt/cdrom Monta a undad de CD-ROM en e drectoro especfcado (/mnt/cdrom) mount -t msdos /dev/hda1 /mnt/1in5c Monta e dsco "C" en e drectoro especfcado con partcn msdos. mount -t vfat /dev/hda1 /mnt/1in5c Monta e dsco "C" con partcn FAT en e drectoro especfcado. umount /mnt/cdrom Desmonta e CD-ROM. umount /mnt/1in5c Desmonta e dsco rgdo "C" usermount Una forma fc y rpda de montar y desmontar undades. 372 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Xconfigurator Srve para cambar a resoucn, profunddad y paca de vdeo. xf,6config Archvo de confguracn de X. s1itchdesk Camba e entorno grfco por defecto (GNOME, KDE, etc.). 56%2% >ratamiento de arc'ivos cd /home/miusuario Ingresa a drectoro /home/musuaro. cd !! Vueve a drectoro raz. ls -l Lsta os archvos de drectoro actua con todos sus atrbutos. ls -X Lsta os archvos de drectoro actua ndcando su tpo (archvo, drectoro, etc.). ls -lA Lsta os archvos de drectoro actua en coumnas. ls -a Lsta os archvos nvsbes de drectoro actua.(os que empezan con "../../../../home/|barros/."). rm lpt!txt Borra e archvo con nombre pt.txt. rm -R /miusuario Borra e drectoro musuaro con todos os archvos que tene dentro (Recursvo). rm -Rf /miusuario Borra e drectoro musuaro en forma recursva y SIN PREGUNTAR. -Atencn con este mandato sendo Root-. cp lpt!txt /home/miusuario Copa e Archvo pt.txt dentro de drectoro /home/musuaro. mv lpt!txt /home/miusuario Mueve e Archvo pt.txt dentro de drectoro /home/musuaro. mv lpt!txt linux5para5todos!txt Le camba e nombre a archvo pt.txt por nux_para_todos.txt. J Representa todo. E|empo: s *.rpm (sta todos os archvos con extensn rpm). _ Representa un so carcter. E|empo: s ?.txt (sta todos os archvos de un so carcter con extensn txt). 56%3% :ane-o de paGueter.a rpm -ivh lpt-ne1s- 0!1-)!i.,6!rpm Instaa e paquete pt-news-0.1-5.386.rpm (Use preferentemente -Uvh) rpm -$vh lpt-ne1s- 0!1-)!i.,6!rpm Instaa o actuaza e paquete pt-news-0.1-5.386.rpmA (usar ste, preferentemente, para nstaar) rpm -e lpt-ne1s Desnstaa e paquete pt-news (no se necesta n a versn n a extncn) rpm -Of /bin/ls Muestra en qu paquete est ncudo e mandato s. 8ver 4!ereis, en secci'n b&squeda8 rpm -O lpt-ne1s Muestra a versn de paquete ya nstaado pt-news. rpm -Ol lpt-ne1s Lsta os componentes de paquete pt-news, prevamente nstaado, con sus respectvas rutas. 373 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux rpm -Oa Lsta todos os paquetes nstaados en e sstema (no se necestan prvegos de ROOT) rpm -Oa Wgrep lpt Lsta todos os paquetes que contengan pt en su nombre. tar -4xvf lpt!tar!g4 Descomprme y Desempaqueta e archvo pt.tar.gz tar -4cvf lpt!tar!g4 /home/miusuario Empaqueta y Comprme e drectoro /home/musuaro dentro de pt.tar.gz tar -Exvf lpt!tar!b4( Descomprme y Desempaqueta e archvo pt.tar.bz2 tar -Ecvf lpt!tar!b4( /home/miusuario Empaqueta y Comprme e drectoro /home/musuaro dentro de pt.tar.bz2 tar -c'f /dev/fd0 Empaqueta e drectoro actua en mtpes Dskettes. 56%4% Sistema ps -axu Wless Lsta os procesos que se estn correndo. kill -- 1(. Mata e proceso con nmero de PID 123, sn dare tempo a termnar kill -1) 1(. Fuerza a termnar e proceso (e -15 no es necesaro ya que es e nmero por defecto) kill -l Lsta os posbes argumentos de e mandato, -15 (termnar), -9(matar) etc. top Cumpe a funcn de ps y k smutneamente en consoa. >Atrl?[>6lt?[>%el? Shutdown. Apaga e sstema de forma organzada desde una termna de texto. >Atrl?[>6lt?[>X1? Camba a a prmera termna de texto. >Atrl?[>6lt?[>Xn? Camba a a termna de texto nmero n (n=1,...,8) >Atrl?[>6lt?[>X/? Camba a a prmera termna X (s se est usando aguna) >Atrl?[>6lt?[>Xn? Camba a a termna X nmero n (n=7,...,12) >"ab? Auto-competa e nombre de un mandato, fchero, drectoro, programa, cuando traba|amos en una termna texto. >6rro1$p? (Fecha arrba) Va modfcando a hstora de mandatos que hemos escrto anterormente en termna texto. >hift?>Cg$p? Scro a sada de a termna haca arrba, en termna texto. >hift?>Cg%o1n?: Scro a sada de a termna haca aba|o, en termna texto. >Atrl?[c Termna e proceso actua. S no est correndo de fondo >Atrl?[d Termna a termna actua. >Atrl?[s Para a transferenca a a termna. >Atrl?[4 Manda e proceso actua a correr de fondo. hostname Devueve e nombre de a mquna. uptime Devueve a cantdad de tempo transcurrdo desde a 374 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux tma vez que se arranc e sstema. uname -a Informacn sobre e sstema operatvo de a mquna. dmesgWmore Imprme e "rng buffer" de kerne. free -tm Informacn sobre a cantdad de memora dsponbe y utzada. df -h Informacn sobre todo os dspostvos montados en a mquna. du -bh /Wmore Informacn sobre e espaco ocupado por cada drectoro subordnado, comenzando en e drectoro raz (/) cat /proc/cpuinfo Informacn sobre e mcroprocesador cat /proc/interrupts Informacn sobre as nterrupcones en uso (IROs) cat /proc/files2stems Informacn sobre os sstemas de archvos que se pueden utzar (compados en e kerne). 1ho Informacn sobre os usuaros usando e sstema. id miusuario Informacn sobre UID, GID y GROUPS de usuaro musuaro last Informacn sobre os tmos usuaros que han usado e sstema. /sbin/ifconfig Informacn sobre os dstntos dspostvos de red netstat Informacn vaosa sobre a conexn de red find / -name lpt!txt -print Busca e archvo pt.txt empezando por e drectoro / y o muestra en pantaa . find / -name lpt!txt H b]sOueda!txt Busca e archvo pt.txt empezando por e drectoro / y guarda a sada en e archvo bsqueda.txt 1hereis fichero Busca os fcheros bnaros, fuentes y pgnas de manua correspondentes a un paquete 375 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 57% L<> "esLtop Autor: $oel Barrios /ue,as Correo electrnico: darkshram@gmail.com sitio de Red: http://joel-barrios.blogspot.com/ Jabber I: dar0s!ram1jabber.or% $reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+ 1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos. 57%+% @AuF es L<> "esLtopB LPT Desktop es una coeccn de sustento gco cuyo ob|etvo es enrquecer os sstemas operatvos con apcacones y herramentas de vanguarda. LPT Desktop 3.0, a ms recente versn, est consttudo por ms m;s de +200 paGuetes que ncuyen, entre otras cosas, os ms recentes anzamentos de GN0:E 2%+2, Frefox 1.5, Evouton 2.8, Gmp 2.2, Gthumb 2.6, Xne-b 1.0, Mpayer, Totem 1.0, Nvu +%0, Transcode, K3b 0.12.10, muc'os -ue*os libres para Lnux y muchos otros paquetes ms; reguarmente so estn dsponbes para Fedora Core y otras dstrbucones. 57%2% Sistemas operativos soportados por L<> "esLtop Lnux Para Todos ofrece soporte para as sguentes versones de LPT Desktop: Versn Sstemas operatvos soportados Arqutectura 2.4 Red Hat Enterprse Lnux 3 CentOS 3 Whte Box Enterprse Lnux 3 x86 3.6 Red Hat Enterprse Lnux 4 CentOS 4 Whte Box Enterprse Lnux 4 x86 57%3% @$mo puedo instalarloB Se requere nstaar en e sstema una ave pbca dsponbe en http://pt- desktop.nuxparatodos.net/pt/LPT-RPM-KEY. 1get http://lpt-desktop!linuxparatodos!net/lpt/;C"-RC'-Q:\ rpm --import ;C"-RC'-Q:\ S no se han aaddo as aves pbcas de a dstrbucn utzada, proceda a hacero ahora: rpm --import /usr/share/rhn/JQ:\J Es ndspensabe que estn confgurados correctamente os depstos yum predetermnados de sstema especfcos para a dstrbucn utzada. Para ms detaes a respecto, consute a documentacn correspondente para cada dstrbucn en partcuar. 376 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Se requere adems aadr a sguente confguracn a os depstos yum de sstema. 57%3%+% L<> "esLtop 3%6 lpt'desktop! nameI;nterprise Dinux 2releasever ' 2basearch ' D=< Eesktop *.2 para ;nterprise Dinux + mirrorlistIhttp://www.linuxparatodos.net/lpt/el+/lpt'desktop "p"ke#Ihttp://www.linuxparatodos.net/lpt/D=<'F=:'T;R "p"checkI( 57%3%2% L<> "esLtop 2%4 "nome'2.H! nameI;nterprise Dinux 2releasever ' 2basearch ' D=< Eesktop 2.+ ' KN9:; 2.H baseurlIftp://ftp.lpt'desktop.d2".com/pub/lpt'desktop/whitebox/*.M/i*H-/"nome/ ftp://lptdesktop.is"leas.net/pub/lpt/whitebox/*.M/i*H-/"nome/ ftp://2MM.,2.W2.--/pub/lpt'desktop/whitebox/*.M/i*H-/"nome/ ftp://koalasoft.homelinux.net/pub/lpt'desktop/whitebox/*.M/i*H-/"nome ftp://manowar.sfera.cl/pub/lpt'desktop/whitebox/*.M/i*H-/"nome/ ftp://ftp.infinitum.d2".com/pub/lpt'desktop/whitebox/*.M/i*H-/"nome/ ftp://lpt'desktop.linuxparatodos.net/pub/whitebox/*.M/i*H-/"nome/ "p"checkI( lpt'extras! nameI;nterprise Dinux 2releasever ' 2basearch ' D=< Eesktop 2.+ ' ;xtras baseurlIftp://ftp.lpt'desktop.d2".com/pub/lpt'desktop/whitebox/*.M/i*H-/lpt/ ftp://lptdesktop.is"leas.net/pub/lpt/whitebox/*.M/i*H-/lpt/ ftp://2MM.,2.W2.--/pub/lpt'desktop/whitebox/*.M/i*H-/lpt/ ftp://koalasoft.homelinux.net/pub/lpt'desktop/whitebox/*.M/i*H-/lpt ftp://manowar.sfera.cl/pub/lpt'desktop/whitebox/*.M/i*H-/lpt/ ftp://ftp.infinitum.d2".com/pub/lpt'desktop/whitebox/*.M/i*H-/lpt/ ftp://lpt'desktop.linuxparatodos.net/pub/whitebox/*.M/i*H-/lpt/ "p"checkI( 57%3%3% <rocedimientos% 57%3%3%+% L<> "esLtop 2%4 1. Respadar os drectoros -/.gconf de as cuentas de usuaro. 2. $errar cuaquer sesn de GNOME aberta. A fn de evtarnos sustos y moestas, GNOME no debe estar e|ecutndose a momento de nstaar e sustento gco. 3. Cambar a nve de corrda 3 (GDM no debe estar e|ecutndose) init * 4. Como root e|ecutar: #um install "nome'all #um update 5. Ser mu2 pacentes e rse a cenar o por un caf. Agunos de os espe|os estn a su mxma capacdad. 6. Regresar a nve de corrda 5 y acceder como usuaro. L<> "esLtop 3%6 1. Respadar os drectoros -/.gconf de as cuentas de usuaro. 2. $errar cuaquer sesn de GNOME aberta. A fn de evtarnos sustos y moestas, GNOME no debe estar e|ecutndose a momento de nstaar. 3. Cambar a nve de corrda 3 (GDM no debe estar e|ecutndose) init * 4. Como root e|ecutar: yum nsta gnome-a yum update 377 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 5. Ser mu2 pacentes e rse a cenar o por un caf. Agunos de os espe|os estn a su mxma capacdad. 6. Regresar a nve de corrda 5 y acceder como usuaro. 57%4% Errores conocidos 57%4%+% L<> "esLtop 3%6 Cuando se utza Frefox por prmera vez en una nueva cuenta de usuaro en un sstema recn nstaado, se genera un drectoro -/.moza propedad de Root, o cua no de|a ncar Frefox. Este probema no es excusvo de LPT Desktop sno de versones recentes de Frefox. La soucn es emnar e drectoro -/.moza y de|ar que se genere un nuevo drectoro automtcamente. Para poder acceder con Nautus (admnstrador de archvos) haca dreccones como sftp:// o smb://, es necesaro desactvar SELnux. GNOME Pot, a herramenta para sncronzar con os dspostvos de mano Pam Pot, est competamente roto, partcuarmente os conductos para Nove Evouton. Por favor utzar |pot para sncronzar y respadar nformacn desde dspostvos de mano Pam Pot. E apque de montor de sstema suee estrearse a termnar a sesn de GNOME. 57%4%2% L<> "esLtop 2%4 La compacn evouton-connector para Evouton 2.0.x, es decr, a extensn para acceder a servdores MS Exchange desde Evouton requere una versn de OpenLDAP que por e momento no puede ser ncuda en LPT Desktop (demasadas dependencas en e sstema). Por tanto no se ncuye dcho paquete. S se es usuaro de Evouton y se requere evouton- connector para traba|ar, LPT Desktop no es una buena aternatva. Monodeveop, no ncudo en a nstaacn predefnda, e fatan agunas pantas. Por o dems parece traba|ar perfectamente. Asstente de K3b, paquete no ncudo en a nstaacn predefnda; est ncudo |unto con e paquete prncpa, vaya, k3b, pero ste est roto. Confguracn manua requerda. Por o dems K3b debe traba|ar perfectamente. Ecpse, paquete ncudo en Red Hat Enterprse 3.0, no puede funconar con Moza 1.7.11 que es a versn utzada por LPT Desktop. S se es usuaro de Ecpse, LPT Desktop, esto no es una buena aternatva. 57%5% @$mo puedo cooperar con el pro2ectoB Donando espaco y ancho de banda para poner ms servdores espe|o. Los actuaes se encuentran a toda su capacdad, y savo por uno, e resto son enaces ADSL con IP dnmca. Envando reportes de errores. Ayudando a depurar errores. 378 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 57%6% @:;s pre*untasB @AuF tan estable esB Lo sufcente para e uso daro. @<or GuF no 'an incluido K"E 3%4B Respuesta en: http://www.nuxparatodos.net/geekog/artce.php?story=kde-pt-desktop. @$u;l es la motivacin de este pro2ectoB Hacer de pataformas como Red Hat Enterprse Lnux, CentOS y Whte Box Enterprse Lnux sstemas operatvos ms amstosos y dvertdos para e usuaro que quere un sstema operatvo estabe, y a msmo tempo un escrtoro bonto y con sufcentes herramentas como para no extraar n envdar muchos otros sstemas operatvos como Fedora Core. @AuF paGueter.a no puede ser incluida en L<> "esLtopB Aquea que no sea bre o cuando menos que permta su bre dstrbucn en forma bnara. 379 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 59% E-ercicios 59%+% E-ercicio N7S 59%+%+% Introduccin Haga equpo con agn compaero de curso a fn de poder reazar e procedmento, pruebas y depuracn entre s. 59%+%2% <rocedimientos 59%+%2%+% Servidor 1. Como root genere e drectoro /var/nfs/publico/ y asgne a ste un permso 1777. mkdir -p /var/nfs/publico chmod 1/// /var/nfs/publico 2. Como root modifiGue /etc/exports y defna que se compartr /var/nfs/publico a sstema de compaero con e cua est hacendo equpo en modo de ectura y escrtura con el si*uiente contenido: /var/nfs/publico 1-(!16,!0!n(r1=s2nc) 3. Como root inicie o reinicie e servco de nfs. service nfs restart 59%+%2%2% $liente 1. Como root genere e drectoro /mnt/publico a fn de que posterormente sea utzado para montar e voumen NFS de esta prctca. 2. Como root modfque /etc/fstab y especfque que se montar e voumen /var/nfs/publico/ de sstema de compaero con e que est hacendo equpo en e drectoro /mnt/publico/, utzando as opcones de montado no automtco (noauto), ectura y escrtura (rw), montado con expracn (soft), contnuar en trasfondo de ser necesaro (bg), se pueda montar por e usuaro (user) y permtr nterrumpr procesos (ntr). 1-(!16,!0!n:/var/nfs/publico /mnt/publico nfs noauto=r1=soft=bg=user=intr 0 0 3. Como usuaro (fuano) ntente montar e voumen NFS: mount /mnt/publico 4. Como fuano cambe a drectoro /mnt/publico/ e ntente crear un fchero con cuaquer 380 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux contendo dentro de drectoro /mnt/publico/. cd /mnt/publico/ echo eBola mundoG H holamundo!txt ls 381 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 59%2% E-ercicio Samba Usted deber confgurar a travs de Samba un drectoro sobre e cua se quere permtr e ngreso so a dos usuaros, |efe y contador, quenes pertenecen a grupo de contabdad. Dcho drectoro deber contar con permsos de escrtura, de modo que tanto |efe como contador puedan traba|ar en dcho drectoro con una apcacn admnstratva. 59%2%+% <rocedimientos 1) Genere e drectoro /var/samba/contabilidad: mkdir -p /var/samba/contabilidad 2) Genere e grupo de traba|o: groupadd contabilidad 3) Genere os usuaros |efe y contador de modo que no tengan acceso a ntrprete de mandatos y tengan como grupo prmaro a contabdad. Asgne a stos contrasea useradd -s /sbin/nologin -g contabilidad Eefe useradd -s /sbin/nologin -g contabilidad contador smbpass1d -a Eefe smbpass1d -a contador 4) Asgne os permsos necesaros a /var/samba/contabilidad, de modo ta, que se permta so a escrtura, ectura y e|ecucn a dcho drectoro a usuaro y a grupo contabdad, y de modo que se preserven os permsos de contendo de dcho drectoro: chmod 1//0 /var/samba/contabilidad chgrp contabilidad /var/samba/contabilidad 5) Modfque /etc/samba/smb%conf y confgure o necesaro para compartr /var/samba/contabilidad en modo ectura-escrtura con acceso soo para |efe y contador, redundando os permsos que se asgnaron ocamente a dcho drectoro, y defnendo e permso que deber tener por defecto todo fchero o documento nuevo en e nteror, a fn de que soamente puedan ser edos y modfcados por |efe y contador: >contabilidad? comment 3 Aontabilidad path 3 /var/samba/contabilidad 1ritable 3 2es bro1seable 3 2es public 3 no printable 3 no valid users 3 Eefe contador director2 mode 3 1//0 create mode 3 0660 382 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 6) Rence e servco de Samba: service smb restart 7) Haga as pruebas pertnentes accedendo desde e admnstrador de archvos copando, movendo o emnado ob|etos en e recurso que acaba de confgurar. smbclient -7 -; su5mZOuina smbclient //su5mZOuina/contabilidad -$ Eefe 383 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 59%3% E-ercicio =pac'eD 2 PS7><" Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs de apache y vsftpd: Una sto de red vrtua denomnado su)m;Guina.dominio)a)definir asocado a a dreccn IP 192.168.+0.n. E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro accedendo por medo de una conexn FTP. E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras generadas por e sto de red vrtua, pero sn permtr a usuaro que pueda borrar accdentamente e drectoro que contene a dchas btcoras. 59%3%+% <rocedimientos 1) Modfque /etc/'osts y proceda a resover ocamente a dreccn IP y e nombre que tendr e servdor en a red 192.168.10.0: 1(/!0!0!1 localhost!localdomain localhost 1-(!16,!0!n su-mZOuina!nombre-de-dominio-resuelto su-mZOuina 1-(!16,!10!n su'mS9uin)!*ominio')'*e2inir 2) Proceda a crear e fchero de confguracn de dspostvo vrtua en /etc/s2sconfi*/netMorL) scripts/ifcf*)et'0,+ con e sguente contendo: %:P<A:3e!031 <C6%%R31-(!16,!10!n 7:"'6Q3())!())!())!0 3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua et'0,+ que acaba de confgurar: service net1ork restart ifconfig e!031 4) Genere e rbo de drectoros necesaro: mkdir /var/111/net mkdir /var/111/net/html mkdir /var/111/net/log mkdir /var/111/net/etc 5) Genera a cuenta de usuaro que ser utzada para admnstrar e sto de red vrtua: useradd -s /sbin/nologin -d /v)r/www/ne! adminnet pass1d adminnet saslpass1d adminnet saslpass1d( adminnet 6) Confgure os permsos apropados a /var/MMM/net y su contendo: 384 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux chmod 1/)) /var/111/net chmod 1/)) /var/111/net/html cho1n root:apache /var/111/net cho1n )*minne!:apache /var/111/net/html cho1n )*minne!:apache /var/111/net/etc cho1n root:root /var/111/net/log 7) Confgure apache para poder acceder haca este sto de red vrtua hacendo uso de fchero ocazado en a ruta /etc/'ttpd/conf%d/virtuales%conf con e sguente contendo: 7amePirtualBost 1-(!16,!10!n VPirtualBost 1-(!16,!10!nH %ocumentRoot /var/111/ne!/html erver7ame su'm)9uin)!*ominio')'*e2inir erver6dmin 1ebmasterTsu'm)9uin)!*ominio')'*e2inir :rror;og /var/111/net/log/error5log Austom;og /var/111/net/log/access5log combined V/PirtualBostH 8) Este sto vrtua generar su propa btcora. Por ta motvo, es mportante confgurar e sstema para que reace a rotacn de btcoras correspondente. Genere o ben verfque que exsta e fchero de confguracn correspondente, en a ruta /etc/lo*rotate%d/virtuales con e sguente contendo, donde as comas se estabecern utzando acentos *raves: /var/111/J/log/Jlog R missingok notifempt2 sharedscripts postrotate /bin/kill -B$C acat /var/run/httpd!pid (H/dev/nulla (H /dev/null WW true endscript S 9) Rence apache y haga comprobacones y dagnstco s fuese necesaro. service httpd restart 59%3%2% $omprobaciones Rencace Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para pubcacn de red, como puede ser Moza Composer, Frontpage o cuaquer edtor HTML y pubcando a travs de FTP, hacendo uso de a cuenta FTP de adminnet. Vsuace desde e navegador que prefera e sto de red vrtua que se confgur. S desea hacer todo desde modo termna, utce e sguente procedmento. 1. Acceda a sstema como usuaro oca (fulano). 2. Genere un documento HTML denomnado index%'tml utzando e edtor de texto que prefera con e sguente contendo: 385 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux VhtmlH VheadH VtitleH9ienvenido a su'mS9uin).*ominio')'*e2inirV/titleH V/headH Vbod2H Vh1H9ienvenido a su'mS9uin).*ominio')'*e2inirV/h1H VpHfiexclNBola mundocV/pH V/bod2H V/htmlH 3. Pubque como e usuaro admnnet e documento anteror utzando ftp: ftp su'mS9uin).*ominio')'*e2inir Aonnected to amdk6 (1-(!16,!1!1)! ((0 9ienvenido al servidor X"C de ;inux para "odos! 7ame (su'mS9uin).*ominio')'*e2inir:fulano):)*minne! ..1 Clease specif2 the pass1ord! Cass1ord: (.0 ;ogin successful! Bave fun! Remote s2stem t2pe is $7<X! $sing binar2 mode to transfer files! ftpH+* !ml ftpHpu! in*e#.!ml ftpHbye 4. Fnamente vsuace a pgna su)m;Guina%dominio)a)definir prncpa utzando enks. elinks http://su'mS9uin).*ominio')'*e2inir/ 386 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 59%4% E-ercicio, $uotas de discoX =pac'eX PS7><" 2 "NS Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs de apache, bnd y vsftpd: Deber confgurar a zona de reenvo para e DNS que se har cargo de resover os sub- domnos www, ns1, ma, ftp y su)m;Guina de domno que se e especfque. Un sto de red vrtua denomnado su)m;Guina.dominio)a)definir con aas dominio)a)definir asocado a a dreccn IP 192.168.20.n. E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro accedendo por medo de una conexn FTP. E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras generadas por e sto de red vrtua, pero sn permtr que e usuaro pueda borrar accdentamente e drectoro que contene a dchas btcoras. E usuaro deber tener asgnada una cuota de dsco de 300 MB. 59%4%+% <rocedimientos 1) Aada en /etc/'osts a resoucn oca de nombre de domno de sto de red vrtua asocado a a dreccn IP defnda para e msmo: 1(/!0!0!1 localhost!localdomain localhost 1-(!16,!0!n su-mZOuina!nombre-de-dominio-resuelto su-mZOuina 1-(!16,!10!n su-mZOuina!dominio-eEercicio-anterior 1-(!16,!(0!n su'mS9uin).*ominio')'*e2inir www.*ominio')'*e2inir *ominio')'*e2inir 2) Proceda a crear e fchero de confguracn ocazado en a ruta /etc/s2sconfi*/netMorL) scripts/ifcf*)et'0,2 para e dspostvo et'0,2 utzando e sguente contendo: %:P<A:3e!032 <C6%%R31-(!16,!(0!n 7:"'6Q3())!())!())!0 3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua et'0,2 que acaba de confgurar: service net1ork restart ifconfig e!032 4) Dentro de drectoro /var/named/c'root/var/named, genere e fchero dominio)a) definir.zone, que servr para resover a zona de reenvo para e domno dominio)a)definir con os sub-domnos www, ns1, ma, ftp y su)m;Guina: 387 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux F""; ,6+00 T <7 86 su'mS9uin)!nombre'*e'*ominio'resuel!o! fulano!su'mS9uin)!nombre'*e'*ominio'resuel!o! ( (00+0+0,01 N n]mero de serie (,,00 N tiempo refresco /(00 N tiempo reintentos 60+,00 N expiraci@n ,6+00 N tiempo total de vida ) T <7 7 su'mS9uin)!nombre-de-dominio-resuelto! T <7 7 ns1 T <7 'X 10 mail T <7 6 1-(!16,!(0!n su'mS9uin) <7 6 1-(!16,!(0!n 111 <7 6 1-(!16,!(0!n mail <7 6 1-(!16,!(0!n ns1 <7 6 1-(!16,!(0!n ftp <7 6 1-(!16,!(0!n 5) Modfque /var/named/c'root/etc/named%conf y aada a zona correspondente: 4one e*ominio')'*e2inirG R t2pe masterN file e*ominio')'*e2inir.6oneGN allo1-update R noneN SN SN 6) Cambe a pertenenca de fchero de zona a usuaro named e|ecutando o sguente: cho1n named!named /var/named/chroot/var/named/*ominio')'*e2inir!4one 7) Rence e servco de servdor de nombres: service named restart 8) Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere: tail -,0 /var/log/messages Wgrep named 9) Compruebe que e domno resueve correctamente: host *ominio')'*e2inir 1-(!16,!(0!n dig T1-(!16,!(0!n *ominio')'*e2inir dig T1-(!16,!(0!n *ominio')'*e2inir mx 10) S e domno resueve correctamente, proceda a colocar como "NS primario a su propo servdor en e fchero /etc/resolv%conf, smpemente defnendo ste como e prmer regstro nameserver de este fchero, |usto deba|o de os regstros searc': 388 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux N Carte superior del fichero /etc/resolv!conf search nombre'*e'*ominio'resuel!o search *ominio')'*e2inir n)meserver 192.16H.0.n nameserver 1-(!16,!1!1 11) Genere e rbo de drectoros necesaro para e sto de red vrtua a travs de Apache utzando os sguentes mandatos: mkdir -m 1/)) /var/111/*ominio')'*e2inir mkdir -m ./)) /var/111/*ominio')'*e2inir/html mkdir /var/111/*ominio')'*e2inir/Rlog=etc=mailS 12) Genere a cuenta de usuaro que ser utzada para admnstrar e sto de red vrtua: useradd -s /sbin/nologin -d /var/111/*ominio')'*e2inir )*min*ominio pass1d )*min*ominio saslpass1d )*min*ominio saslpass1d( )*min*ominio 13) Confgure os permsos apropados a /var/MMM/dominio)a)definir y os drectoros en su nteror utzando lo si*uientes mandatos: cho1n root:apache /var/111/*ominio')'*e2inir cho1n )*min*ominio:apache /var/111/*ominio')'*e2inir/html cho1n )*min*ominio:apache /var/111/*ominio')'*e2inir/etc cho1n )*min*ominio:)*min*ominio /var/111/*ominio')'*e2inir/etc cho1n root:root /var/111/*ominio')'*e2inir/log 14) Confgure Apache para poder acceder haca este sto de red vrtua hacendo uso de fchero ocazado en a ruta /etc/'ttpd/conf%d/virtuales%conf con e sguente contendo: 7amePirtualBost 1-(!16,!(0!n VPirtualBost 1-(!16,!(0!nH %ocumentRoot /var/111/*ominio')'*e2inir/html erver7ame su'mS9uin)!*ominio')'*e2inir erver6lias *ominio')'*e2inir www.*ominio')'*e2inir erver6dmin 1ebmasterT*ominio')'*e2inir :rror;og /var/111/*ominio')'*e2inir/log/error5log Austom;og /var/111/*ominio')'*e2inir/log/access5log combined V/PirtualBostH 15) Este sto vrtua generar su propa btcora. Por ta motvo es mportante confgurar e sstema para que reace a rotacn de btcoras correspondente. Genere o ben verfque que exsta e fchero de confguracn correspondente en a ruta /etc/lo*rotate%d/virtuales con e sguente contendo, donde as comas se estabecern utzando acentos *raves: 389 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux /var/111/J/log/Jlog R missingok notifempt2 sharedscripts postrotate /bin/kill -B$C acat /var/run/httpd!pid (H/dev/nulla (H /dev/null WW true endscript S 16) Rence e servco de httpd (apache) y haga as comprobacones, a depuracn y e dagnstco s fuese as necesaro. service httpd restart 17) Confgure os domnos vrtuaes para que Sendma pueda recbr correo para os msmos aadendo dominio)a)definir y ma.dominio)a)definir en e nteror de fchero /etc/mail/local)'ost)names con e sguente contendo: *omino')'*e2inir mail.*omino')'*e2inir 18) Confgure e domno vrtua dominio)a)definir a fn de que Sendma permta envar correo para e msmo en e fchero /etc/mail/rela2)domains con e sguente contendo: *ominio')'*e2inir 19) Genere os nuevos fcheros necesaros para os domnos vrtuaes en Sendma, s es que an exsten: touch /etc/mail/Rvirtusertable=genericstable=generics-domainS 20)S no ha hecho an, habtar a re-escrtura de as cuentas de correo, aada en e fchero /etc/mail/sendmail%mcX deba|o de 7E=>U(ENbvirtusertablecXb'as' )o /etc/mail/virtusertable%dbcCdnl as sguentes dos neas de confguracn: X:6"$R:(avirtusertableI=ahash -o /etc/mail/virtusertable!dbI)dnl =$8>(A$(P,eneri+s!)ble05P)s 'o /e!+/m)il/,eneri+s!)ble.*b0)*nl G$@$AE?/_N.;8E@_=E%$(P/e!+/m)il/,eneri+s'*om)ins0)*nl 21)Aada en e fchero /etc/mail/sendmail%mc os domnos vrtuaes: A1*ominio')'*e2inir A1mail!*ominio')'*e2inir 22) Genere a cuenta de correo vrtua denomnada webmaster@dominio)a)definir como aas de a cuenta oca admndomno, modfcando e fchero /etc/mail/virtusertable de sguente modo: 1ebmasterT*ominio')'*e2inir admindominio 390 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 23) A termnar, y a fn de que e usuaro vrtua sea reconocdo por e servco de Sendma, se deber convertr e fchero /etc/mail/virtusertable en /etc/mail/virtusertable%db e-ecutando o sguente: makemap hash /etc/mail/virtusertable!db V /etc/mail/virtusertable 24)A fn de reescrbr como webmaster@dominio)a)definir a correo emtdo desde a cuenta oca admindominio, modfcando e fchero /etc/mail/*enericstable de sguente modo: admindominio 1ebmasterT*ominio')'*e2inir 25) A termnar, y a fn de que e correo de usuaro rea se reescrba como a cuenta de correo de usuaro vrtua, se deber convertr e fchero /etc/mail/*enericstable en /etc/mail/*enericstable%db e-ecutando o sguente: makemap hash /etc/mail/genericstable!db V /etc/mail/genericstable 26) Aada en e fchero /etc/mail/*enerics)domains e nuevo domno vrtua: *ominio')'*e2inir 27)Rence e servdor de Sendma: service sendmail restart 28) E|ecutando edGuota admindominio, asgne una cuota de 300 MB (307200 kb) a usuaro admindominio: %isk Ouotas for user admindominio (uid )0,): Xiles2stem blocks soft hard inodes soft hard /dev/hda6 0 0 0 0 0 0 /dev/hda. (+ 0 30G200 10 0 0 59%4%2% $omprobaciones Rencace Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para pubcacn de red, como puede ser Moza Composer, Frontpage o cuaquer edtor HTML y pubcando a travs de FTP, hacendo uso de a cuenta FTP de admindominio en e URL ftp,//dominio)a)definir/'tml/ Vsuace desde e navegador e sto de red vrtua que se confgur. Pruebe envar correo a a cuenta vrtua MebmasterOdominio)a)definir y eer dcho correo a travs de POP3 o IMAP desde a cuenta de admindominio. S desea hacer todo desde modo termna, utce e sguente procedmento. 1. Acceda a sstema como usuaro oca (fulano). 2. Genere un documento HTML denomnado index%'tml utzando e edtor de texto que prefera 391 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux con e sguente contendo: VhtmlH VheadH VtitleH9ienvenido a www.*ominio')'*e2inirV/titleH V/headH Vbod2H Vh1H9ienvenido a www.*ominio')'*e2inirV/h1H VpHfiexclNBola mundocV/pH V/bod2H V/htmlH 3. Pubque como e usuaro admindominio e documento anteror utzando ftp: ftp 2!p.*ominio')'*e2inir Aonnected to amdk6 (1-(!16,!1!1)! ((0 9ienvenido al servidor X"C de ;inux para "odos! 7ame (2!p.*ominio')'*e2inir:fulano):)*min*ominio ..1 Clease specif2 the pass1ord! Cass1ord: (.0 ;ogin successful! Bave fun! Remote s2stem t2pe is $7<X! $sing binar2 mode to transfer files! ftpH+* !ml ftpHpu! in*e#.!ml ftpHbye 4. Fnamente, vsuace a pgna su)m;Guina%dominio)a)definir prncpa de utzando e navegador enks. elin1s !!p3//su'mS9uin).*ominio')'*e2inir/ 5. Utce mutt y enve un mensa|e a usuaro MebmasterOdominio)a)definir. echo e'ensaEe de pruebaG W mutt -s e'ensaEe de pruebaG webm)s!erL*ominio')'*e2inir 6. Verfque a cuenta de correo de admindominio a travs de cualGuier cente de correo eectrnco o ben e correo con nterfaz HTTP. elinks http://su-mZOuina!dominio-a-definir/webm)il/ 392 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 59%5% E-ercicio Servidor Intermediario N<rox2C% 1! Croceda a instalar sOuid: sudo 2um -2 install sOuid l2nx (! Aambie al directorio /etc/sOuid cd /etc/sOuid .! *enere el subdirectorio listas: sudo mkdir listas/ 4. Genere os fcheros que se utzarn para as stas de contro de acceso y caves de acceso: sudo touch D listas/Rlibres=redlocal=porno=extensiones=claves=inocentesS 5. Lstar as propedades de fchero que ser utzado para amacenar as caves de acceso: ls -l listas/claves 6. Cambar atrbutos de ectura y escrtura soo para e usuaro propetaro: sudo chmod 600 listas/claves 7. Cambar e propetaro de fchero de caves de acceso haca e usuaro sGuid: sudo cho1n sOuid!sOuid listas/claves 8. Lstar de nuevo as propedades de fchero que ser utzado para amacenar as caves de acceso, y observar cambos: ls -l listas/claves 9. E|ecutar o sguente y asgnar caves de acceso a os usuaros vrtuaes (para este e|ercco, asgnar a todos GMert2 como cave de acceso) for usuario in Euanito pepito pedrito paOuito do sudo htpass1d listas/claves Fusuario done 10.Edtar e fchero stas/bres: sudo vim listas/libres Poner como contendo a IP de m mquna. Opconamente, tambn se puede hacer esto: 393 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux /sbin/ifconfig eth0 D W grep inet W cut -d : -f ( W cut -d D -f 1 H /tmp/libres mv /tmp/libres /etc/sOuid/listas/libres 11.Edtar e fchero stas/redoca: sudo vim listas/redlocal Poner como contendo as IP de resto de a LAN. Un rengn por IP. 12.Edtar e fchero stas/porno: sudo vim listas/porno Poner como contendo o sguente: 111!sitioporno!com 111!otrositioporno!com sitioindeseable!com otrositioindeseable!com napster sex porn mp. xxx adult 1are4 celebri 2outube 13.Edtar e fchero stas/extensones: sudo vim listas/extensiones 14.Poner como contendo: D!aviF D!mp+F D!mp.F D!mp+F D!mpgF D!mpegF D!movF D!raF D!ramF D!rmF D!rpmF D!vobF D!1maF D!1mvF D!1avF D!docF D!xlsF 394 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux D!mbdF D!pptF D!ppsF D!aceF D!batF D!exeF D!lnkF D!pifF D!scrF D!s2sF D!4ipF D!rarF 15.Edtar e fchero stas/nocentes: sudo vim listas/inocentes Poner como contendo: !linuxparatodos!net !google!com!mx !eluniversal!com!mx !milenio!com!mx !diariolara4on!com!mx !reforma!com!mx !cnn!com 16.Edtar e fchero squd.conf: sudo vim sOuid!conf 17.Desde vm, e|ecutar a sguente bsqueda: /L http5port .1(, Reempazar por: http5port 1-(!16,!0!JJJ:,0,0 donde WWW es el 1ltimo octeto de la direccin I< de su m;Guina% 18.Desde vm, reazar a sguente bsqueda: /100 16 ()6 Reempazar: L cache5dir ufs /var/spool/sOuid 100 16 ()6 Por: 395 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux cache5dir ufs /var/spool/sOuid )1( 16 ()6 19.Desde vm, reazar a sguente bsqueda: /Lauth5param basic program Vuncomment and complete this lineH Reempazar: Lauth5param basic program Vuncomment and complete this lineH Por: auth5param basic program /usr/lib/sOuid/ncsa5auth /etc/sOuid/listas/claves 20.Desde vm, reazar a sguente bsqueda: /Lacl pass1ord prox25auth R:b$<R:% Descomentar a nea, qutando e smboo # 21.Desde v, reazar a sguente bsqueda: /acl to5localhost dst 1(/!0!0!0 Deba|o de sta nea, agregar: acl redlocal src G/etc/sOuid/listas/redlocalG acl libres src G/etc/sOuid/listas/libresG acl porno url5regex G/etc/sOuid/listas/pornoG acl extensiones urlpath5regex G/etc/sOuid/listas/extensionesG acl inocentes dstdomain G/etc/sOuid/listas/inocentesG acl matutino time '"KBX 0,:00-1-:00 22.Desde vm, reazar a sguente bsqueda: /http5access den2 all Arrba de dcha nea, agregar: http5access allo1 matutino redlocal pass1ord cporno cextensiones http5access allo1 inocentes redlocal pass1ord http5access allo1 libres 23.Desde vm, reazar a sguente bsqueda: /L httpd5accel5port ,0 Deba|o de dcha nea, agregue: 396 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux httpd5accel5host virtual httpd5accel5port 0 httpd5accel51ith5prox2 on 24.Desde vm, reazar a sguente bsqueda: /L error5director2 Reempazar: L error5director2 /usr/share/sOuid/errors/:nglish Por: error5director2 /usr/share/sOuid/errors/panish 25.Rence o, en su defecto, nce a confguracn de Squd a fn de verfcar s hubo errores fataes: sudo service sOuid restart S hay errores, corregros. Sno devueve depuracn, examnar /var/lo*/sGuid/sGuid%out y reazar correccones: sudo tail -f /var/log/sOuid/sOuid!out 26.Recarge a confguracn de Squd a fn de verfcar s hubo errores no fataes: sudo service sOuid reload S hay errores, reazar correccones. 27.Reazar comprobacones utzando navegador en modo texto: Defna e propo servdor como e vaor para a varabe de ambente http_proxy: export http5prox23Ghttp://1-(!16,!0!JJJ:,0,0/G Reace una prueba de bsqueda a travs de Googe Mxco para a paabra sex: l2nx Ghttp://111!google!com!mx/search_O3sexoG Deber permtr reazar a bsqueda e ngresar haca stos cuyo URL contenga a cadena de caracteres sex. Defna otro servdor donde a IP de sstema donde est traba|ando est en a sta de redlocal como e vaor para a varabe de ambente http_proxy: export http5prox23Ghttp:// <C de la CA de al lado:,0,0/G 397 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Reace una prueba de bsqueda a travs de Googe Mxco para a paabra sex: l2nx ')++ep!_)ll_+oo1ies Ghttp://111!google!com!mx/search_O3sexoG Deber permtr reazar a bsqueda pero denegar e ngreso haca stos cuyo URL contenga a cadena de caracteres sex. 398 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 59%6% E-ercicio de confi*uracin del sistema para LinuxX =pac'eX <H< 2 :2SAL Este e|ercco e mostrar como confgurar e sstema para hacer uso de Lnux, =pache, <HP y :ySOL, o que se conoce como L.A.M.P., y mostrar tambn agunas funcones bscas de PHP. Este e|ercco se reaza como cortes.a a fn de preparar os sstemas para poder ser utzados por quenes tomarn e curso de PHP y MySOL. 1. S acaso exstera, por favor emne a confguracn en Apache hecha durante as prctcas anterores: rm -f /etc/httpd/conf!d/virtuales!conf rm -f /etc/httpd/conf!d/misvariables!conf 2. A fn de mpar e sstema de as confguracones dervadas de este curso, emne os servcos que no sern necesaros e|ecutando o sguente: 2um -2 remove bind caching-nameserver nfs-utils samba 2um -2 remove vsftpd sOuirrelmail sOuid 2ires!)r!er ip!)bles 3. Instae o verfque que est nstaado todo o necesaro e|ecutando o sguente: 2um -2 install httpd php php-m2sOl bluefish m2sOl m2sOl-server 4. Aada os servcos de Apache y MySOL a nco de sstema: chkconfig httpd on chkconfig m2sOld on 5. Proceda a crear e drectoro de traba|o /var/MMM/cursolamp y e rbo de traba|o correspondente, sobre e cua podr reazar pruebas de confguracn de servcos sn necesdad de tocar fcheros de confguracn centra e|ecutando o sguente: mkdir -p /var/111/cursolamp/ mkdir -p /var/111/cursolamp/html/ mkdir -p /var/111/cursolamp/cgi-bin/ mkdir -p /var/111/cursolamp/etc/ mkdir -p /var/111/lo,'+ursol)mp/ ln -s /var/111/lo,'+ursol)mp /var/111/cursolamp/log 6. Proceda a crear un usuaro especfco para traba|ar con e drectoro de traba|o /var/www/cursoamp/. Dcho usuaro deber daro de ata con acceso a ntrprete de mandatos (She) a fn de poder permtr acceso por SSH, asgnando como clave de acceso a paabra GMert2. E|ecute o sguente: useradd -s /bin/bash -m -d /v)r/www/+ursol)mp cursolamp pass1d +ursol)mp 7. Asgne os permsos necesaros a drectoro de traba|o y drectoros subordnados en e nteror, e|ecutando o sguente: 399 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux cho1n +ursol)mp.)p)+e /var/111/cursolamp chmod 1/)) /var/111/cursolamp cho1n cursolamp!apache /var/111/cursolamp/html/ cho1n cursolamp!apache /var/111/cursolamp/cgi-bin/ cho1n cursolamp!apache /var/111/cursolamp/etc/ cho1n root!root /var/111/lo,'+ursol)mp/ ln -s /var/111/cursolamp/html /var/111/cursolamp/%esktop/html 8. Confgure apache para que utce e domno su)m;Guina.dominio)red)local asocado a de a dreccn IP 192.168.0.n en e fchero de confguracn /etc/'ttpd/conf%d/cursolamp%conf utzando e sguente contendo: 7amePirtualBost J:,0 VPirtualBost J:,0H erver7ame su'mS9uin)!*ominio're*'lo+)l erver6lias su'mS9uin) %ocumentRoot /var/111/cursolamp/html/ erver6dmin cursolampTsu'mS9uin).*ominio're*'lo+)l :rror;og /var/111/lo,'+ursol)mp/error5log Austom;og /var/111/lo,'+ursol)mp/access5log combined L Cermitir ver contenido de directorio 2 activar uso de ficheros !htaccess V%irector2 /var/111/cursolamp/html/H 8ptions <ndexes <ncludes Xollo12m;inks 6llo18verride 6ll 8rder allo1=den2 6llo1 from all V/%irector2H L Aonfigurar directorio cgi-bin independiente al del sistema! cript6lias /cgi-bin/ G/var/111/cursolamp/cgi-bin/G V%irector2 G/var/111/cursolamp/cgi-binGH 8ptions <ncludes 6llo18verride 7one 8rder allo1=den2 6llo1 from all V/%irector2H V/PirtualBostH 9. Rence o nce e servco de Apache e|ecutando o sguente: service httpd restart 10.Cerre a sesn de root e in*rese como e usuaro cursolamp. 11.Como e usuaro cursolamp, cambe a drectoro -/htm/ cd M/html/ 12.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero -/htm/cabecera.php utzando e sguente contendo: 400 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Vhtml lang3GesGH VheadH 13.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero -/htm/cuerpo.php utzando e sguente contendo: V/headH Vbod2 st2le3Gbackground-color: redN color: LXXXX00N font-1eight: bolderN GH 14.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero -/htm/pe.php utzando e sguente contendo: V/bod2H V/htmlH 15.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero -/htm/e|empo- ncudes.php utzando e sguente contendo: V_php function titulo() R echo GCfaacuteNgina de prueba CBCGN S _H V_php include Gcabecera!phpGN _H VtitleHV_php titulo() _HV/titleH V_php include Gcuerpo!phpGN _H Vh1HV_php titulo() _HV/h1H VpH%ocumento de eEemplo de funciones bfaacuteNsicas de CBC!V/pH VpHBo2 es V_php echo date(Gl d of X \ h:i:s 6G)N_HV/pH V_php include Gpie!phpGN _H 16.Utce cuaquer navegador, ya sea en modo texto o ben en modo grfco y vsuace e documento ocazado en e ur http://su)m;Guina%dominio)redlocal/e|empo-ncudes.php. elinks http://su'mS9uin).*ominio're*lo+)l/eEemplo-includes!php 401 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux 59%7% $onfi*uracin del sistema como estacin de traba-o 1. Edte e fchero /etc/nttab y ocace a sguente nea: id:3:initdefault: 2. Lo anteror estabece que e sstema nca en nve de corrda 3; es decr, en modo mutusuaro competo, sn modo grfco actvo. A fn de que e sstema nce en modo grfco, cambe a nea anteror por esta otra: id:5:initdefault: 3. Locace ms adeante en este msmo fchero o sguente: L Run gett2s in standard runlevels 1:(.+5:respa1n:/sbin/mingett2 tt21 (:(.+5:respa1n:/sbin/mingett2 tt2( .:(.+5:respa1n:/sbin/mingett2 tt2. +:(.+5:respa1n:/sbin/mingett2 tt2+ ):(.+5:respa1n:/sbin/mingett2 tt2) 6:(.+5:respa1n:/sbin/mingett2 tt26 4. Lo anteror especfca que as ses termnaes de texto estarn habtadas en os nvees de corrda 2, 3, 4 y 5. Se deshabtarn as ses termnaes soamente en e nve de corrda 5. Edte o anteror de modo que quede de sguente modo: L Run gett2s in standard runlevels 1:(.+:respa1n:/sbin/mingett2 tt21 (:(.+:respa1n:/sbin/mingett2 tt2( .:(.+:respa1n:/sbin/mingett2 tt2. +:(.+:respa1n:/sbin/mingett2 tt2+ ):(.+:respa1n:/sbin/mingett2 tt2) 6:(.+:respa1n:/sbin/mingett2 tt26 5. Edte e fchero /etc/rc.oca y aada a nstruccn /usr/bn/cear, de modo que a pantaa sea mpada una vez que haya concudo e arranque. Lc/bin/sh L L "his script 1ill be executed JafterJ all the other init scripts! L \ou can put 2our o1n initiali4ation stuff in here if 2ou donIt L 1ant to do the full 2s P st2le init stuff! touch /var/lock/subs2s/local /usr/bin/clear 6. Modfque /etc/grub.conf y ocace a nea de nceo: title Khite 9ox :nterprise ;inux ((!+!(1-(0!:;) root (hd0=0) kernel /vmlinu4-(!+!(1-(0!:; ro root3;69:;3/ initrd /initrd-(!+!(1-(0!:;!img 7. Aada os parmetros r'*b y Guiet a a nea que especfca e nceo a e|ecutar, teniendo 402 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux cuidado de de-ar un espacio despuFs de rootTL=!ELT/ 2a Gue de otro modo no podr; iniciar el sistema: title Khite 9ox :nterprise ;inux ((!+!(1-(0!:;) root (hd0=0) kernel /vmlinu4-(!+!(1-(0!:; ro root3;69:;3/ r,b 9uie! initrd /initrd-(!+!(1-(0!:;!img 8. Instae e paquete denomnado r'*b, e cua es un programa que har que e sstema tenga un arranque grfco ms amstoso para e usuaro no-tcnco: 2um -2 install rhgb 9. Ince una sesn grfca con e mandato xnt. Esto ncar una sesn grfca smpe con una nca termna xrvt. No olvide posicionar el puntero del ratn sobre la terminal a fin de darle foco. 10.E|ecute e mandato *dmsetup y estabezca que e sstema nce automtcamente con e usuaro cursoamp. 11.Elimine todas las interfaces virtuales; es decr, todos os fcheros ifcf*)et'0,W ocazados dentro de drectoro /etc/s2sconfi*/netMorL)scripts/ rm -f /etc/sysconfg/network-scrpts/fcfg-eth0:* 12.Edte e fchero /etc/'osts y emne todas a resoucones ocaes asocadas a as dferentes dreccones IP que fueron confguradas a o argo de curso. E fchero /etc/'osts debe quedar ncamente con e sguente contendo: 403 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux L %o not remove the follo1ing line= or various programs L that reOuire net1ork functionalit2 1ill fail! 1(/!0!0!1 localhost!localdomain localhost 13.Edte tambn e fchero /etc/s2sconfi*/netMorL y estabezca de nuevo local'ost%localdomain como H0S>N=:E de sstema. Emne tambn a nea que deshabta a confguracn de Zeroconf. De modo ta, e fchero /etc/s2sconfi*/netMorL debe quedar ncamente con e sguente contendo: 7:"K8RQ<7*32es B8"76':3localhost!localdomain 14.Confgure de nuevo a nterfaz eth0; esta vez como "H$< y utzando e mandato netconfi*. Desde cuaquer termna, como e usuaro root, e|ecute e mandato netconfi*. 15.(einicie el sistema y compruebe que ste o hace con rhgb y que adems nca automtcamente con a sesn de usuaro cursoamp. 404 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Notas 405 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Notas 406 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Notas 407 |oe Barros Dueas Impementacn de Servdores con GNU/Lnux Notas 408