Implementacion Servidores Linux LR

|oe Barros Dueas Impementacn de Servdores con GNU/Lnux
Linux Para Todos

Implementacin de Servidores con GNU/Linux
Edicin febrero 2007
oel !arrios "ue#as
1
2
A mi difunto padre, a quien debo reconocer jams supe comprender y a quien jams le d la
oportunidad de entenderme.
A mi madre, quien siempre tuvo una increble paciencia con mi desorden.
A Blanca, Ana Elena, Gabriela M. (q.e.p.d., Alejandra, Ana!, Gabriela "., #ely y $ulieta, las mujeres
que de al%una forma y en al%&n momento !an tenido si%nificado en mi vida y fueron fuente de
inspiraci'n durante diversas etapas de mi e(istencia.
Blanca, %racias a ti inici) mi %usto por escribir. *e a%rade+co el !aberme permitido escribirte todas
esas cosas !ace tantos a,os. -iempre tendrs un lu%ar muy especial en mi cora+'n y mis
pensamientos.
A
3
$onformacin%
Me encuentro de regreso en ms races,
revso ms traba|os pasados,
entre rsas y otros curss versos
(sueos entonces de adoescente),
desde exstencaes a o absurdo,
gerezas tan sentmentaes
construyendo un carcter (m mundo).
4
&ndice de contenido
1.Oue es GNU/Lnux?........................................................................................... .......23
1.1.Requermentos de sstema............................................................................... ......................24
2.Estndar de |erarqua de Sstema de Fcheros......................................................... 25
2.1.Introduccn.......................................................................................................................... ....25
2.2.Estructura de drectoros................................................................................. .........................25
2.3.Partcones recomendadas para nstaar GNU/Lnux..................................................... ............27
3.Instaacn en modo texto de CentOS 4.............................................................. .....28
3.1.Procedmentos......................................................................................................... ................28
4.Instaacn en modo grfco de CentOS 4.................................................... ............47
4.1.Procedmentos......................................................................................................... ................47
5.Cmo ncar e modo de rescate en CentOS 4........................................................66
5.1.Procedmentos......................................................................................................... ................66
6.Incando e sstema en nve de corrda 1 (nve mono-usuaro)............................71
6.1.Introduccn......................................................................................................................... .....71
6.2.Procedmentos......................................................................................................... ................71
7.Procedmentos de emergenca.................................................... ............................75
7.1.Introduccn.......................................................................................................................... ....75
7.2.Dsco de rescate................................................................................................... ....................75
7.3.Verfcacn de a ntegrdad de dsco............................................................................ ..........76
7.4.Asgnacn de formato de as partcones............................................................................. ....76
8.Cmo confgurar y utzar Sudo.......................................................... .....................77
8.1.Introduccn......................................................................................................................... .....77
8.1.1.Hstora........................................................................................................................................ ...........77
8.2.Fchero /etc/sudoers................................................................................. ................................77
8.2.1.Cmnd_Aas......................................................................................................................................... ....78
8.2.2.User_Aas..................................................................................................................................... ..........78
8.2.3.Host_Aas....................................................................................................................................... ........78
8.2.4.Runas_Aas...................................................................................................................... ......................79
8.3.Candados de segurdad.................................................................................................. ..........79
8.4.Lo que no se recomenda......................................................................... ................................80
8.5.Factando a vda a travs de -/.bash_profe...................................................... ...................80
9.Cmo crear cuentas de usuaro.......................................................................... ......82
9.1.Introduccn.......................................................................................................................... ....82
9.2.Procedmentos......................................................................................................... ................82
9.2.1.Creando una cuenta en e modo de texto: useradd y passwd..............................................................82
9.2.1.1.Lo prmero: e mandato useradd.................................................................................................. .......................82
9.2.1.2.Lo segundo: e mandato passwd.......................................................................................................... ...............83
9.2.1.3.Opcones avanzadas................................................................................................................... ........................83
9.2.2.Emnar una cuenta de usuaro.............................................................................................. ...............84
9.3.Mane|o de grupos....................................................................................................... ..............85
9.3.1.Ata de grupos................................................................................................................................ ........85
9.3.2.Ata de grupos de sstema................................................................................................ .....................85
9.3.3.Ba|a de grupos......................................................................................................................... ..............85
5
9.3.4.Asgnacn de usuaros exstentes a grupos exstentes........................................................................85
9.4.Comentaros fnaes acerca de a segurdad........................................................................ .....85
9.5.Apndce: Confgurando vaores predefndos para e ata de cuentas de usuaro...................87
9.5.1.Fchero /etc/defaut/useradd para defnr varabes utzadas por e mandato useradd.......................87
9.5.1.1.Varabe HOME............................................................................................................................................ .........87
9.5.1.2.Varabe SHELL............................................................................................................................ ........................87
9.5.2.Drectoro /etc/ske como mode para crear os drectoros de nco de os usuaros............................88
9.6.Apndce: E|ercco: Creando cuentas de usuaro.............................................................. .......89
9.6.1.Introduccn..................................................................................................................... ......................89
9.6.2.Procedmentos................................................................................................................................ .......89
10.Breve eccn de mandatos bscos.............................................. .........................91
10.1.Introduccn........................................................................................................................ ....91
10.2.Procedmentos........................................................................................................ ...............91
10.2.1.Buces.............................................................................................................................................. .....94
10.2.2.Aases.................................................................................................................................. ................95
10.2.3.Apagado y renco de sstema................................................................................................ .............96
10.3.Resumen de mandatos bscos.............................................................................. ................96
11.Funcones bscas de v............................................................ ..............................98
11.1.Introduccn........................................................................................................................ ....98
11.2.Procedmentos........................................................................................................ ...............98
11.2.1.Instaacn y paquetes adconaes.......................................................................................... ............98
11.3.Conocendo v.............................................................................................................. ...........98
11.4.Otras combnacones de tecas........................................................................................... ..111
11.5.Ms a de as funcones bscas.................................................................................... .....112
12.Permsos de Sstema de Fcheros......................................... ...............................113
12.1.Introduccn....................................................................................................................... ...113
12.2.Notacn smbca.......................................................................................... .....................113
12.3.Notacn octa....................................................................................................................... 114
12.3.1.Permsos adconaes............................................................................................................. .............114
12.4.E|empos....................................................................................................................... ........115
12.4.1.E|empos de permsos reguares...................................................................................... ..................115
12.4.2.E|empos de permsos especaes............................................................................ ..........................116
12.5.Uso de chmod.................................................................................................................... ...116
12.5.1.Opcones de chmod.................................................................................................... .......................117
12.5.2.E mandato chmod y os enaces smbcos..................................................................................... .117
13.Cmo utzar e mandato chattr............................................................... ............118
13.1.Introduccn....................................................................................................................... ...118
13.1.1.Acerca de mandato chattr............................................................................................................ .....118
13.2.Opcones............................................................................................................................. ..118
13.3.Operadores................................................................................................................. ..........119
13.4.Atrbutos................................................................................................................. ..............119
13.5.Utzacn.................................................................................................................. ...........120
13.5.1.E|empos............................................................................................................................................ .120
14.Creando depstos yum......................................................................... ...............121
14.1.Introduccn....................................................................................................................... ...121
14.2.Procedmentos....................................................................................................... ..............121
15.Uso de yum para nstaar y desnstaar paquetera y actuazar sstema...........123
15.1.Introduccn....................................................................................................................... ...123
15.2.Procedmentos....................................................................................................... ..............123
15.2.1.Actuazar sstema..................................................................................................................... .........123
15.2.2.Bsquedas................................................................................................................ .........................123
6
15.2.3.Consuta de nformacn..................................................................................................... ...............123
15.2.4.Instaacn de paquetes................................................................................................................. ....124
15.2.5.Desnstaacn de paquetes........................................................................................................... ....124
15.2.5.1.Agunos paquetes que se pueden desnstaar de sstema..............................................................................124
15.2.6.Lstado de paquetes................................................................................................. .........................124
15.2.7.Lmpeza de sstema................................................................................................. ........................125
16.Cmo crear paquetera con rpmbud..................................................................126
16.1.Introduccn....................................................................................................................... ...126
16.2.Instaacn de sustento gco necesaro................................................................... ..........126
16.3.Procedmentos....................................................................................................... ..............127
16.3.1.Creacn de a cave GnuPG........................................................................................................ .......127
16.3.2.Confguracn y creacn de una |aua para rpmbud............................................................ ...........127
16.3.2.1.Componentes de fchero -/.rpmmacros.......................................................................................... ...............128
16.3.2.2.Creacn de a estructura de a |aua para rpmbud................................................................................ ........128
16.3.3.Creacn de os fcheros*.spec.............................................................................................. .............129
16.3.3.1.E|empo de fchero *.spec...................................................................................................................... ..........131
16.3.4.Uso de mandato rpmbud..................................................................................... ...........................132
16.3.4.1.E|empos de uso de mandato rpmbud.......................................................................................... ................133
16.4.E|erccos.................................................................................................... ..........................134
16.4.1.Paquete RPM bnaro y e paquete *.src.rpm correspondente creando e fchero *.spec necesaro. 134
16.4.2.Paquete RPM bnaro y e paquete *.src.rpm correspondente reazando mpeza de drectoro, frma
dgta.................................................................................................................................. ..........................135
17.Cmo asgnar cuotas de dsco........................................................................... ...136
17.1.Introduccn....................................................................................................................... ...136
17.2.Procedmentos....................................................................................................... ..............136
17.2.1.Edquota........................................................................................................................................... ...137
17.2.1.1.Cuota absouta...................................................................................................................................... ..........138
17.2.1.2.Cuota de graca....................................................................................................................................... ........138
17.2.1.3.Apcando cuotas masvamente.............................................................................................. ........................138
17.3.Comprobacones............................................................................................................. ......138
18.Introduccn a TCP/IP................................................................. ...........................140
18.1.Introduccn....................................................................................................................... ...140
18.2.Nvees de pa....................................................................................................... ...............140
18.2.1.Modeo TCP/IP.................................................................................................................................. ...141
18.2.1.1.Nve de apcacn........................................................................................................................ ..................143
18.2.1.2.Nve de Transporte................................................................................................................. ........................143
18.2.1.3.Nve de Red..................................................................................................................................... ...............145
18.2.1.4.Nve de Enace........................................................................................................................................... .....146
18.2.1.5.Nve Fsco...................................................................................................................................... ................146
18.2.2.Modeo OSI............................................................................................................................ .............146
19.Introduccn a IP versn 4........................................................ ...........................148
19.1.Introduccn....................................................................................................................... ...148
19.2.Dreccones................................................................................................................ ...........148
19.2.1.Representacn de as dreccones............................................................................................... ......148
19.3.Asgnacn............................................................................................................... .............149
19.3.1.Boques reservados....................................................................................................................... .....149
19.3.1.1.Redes prvadas......................................................................................................................................... .......150
19.3.1.2.Anftrn oca (Locahost).......................................................................................................................... ......150
19.4.Referenca de subredes de IP versn 4......................................................................... .......151
19.5.Referencas.................................................................................................................. .........152
20.Cmo confgurar correctamente os parmetros de red.....................................153
20.1.Introduccn....................................................................................................................... ...153
20.2.Procedmentos....................................................................................................... ..............153
20.2.1.Deteccn y confguracn de sustento fsco (hardware)......................................................... ........153
20.2.2.Asgnacn de parmetros de red........................................................................................... ...........154
20.2.2.1.Nombre de anftrn (HOSTNAME).............................................................................................. ....................154
7
20.2.2.2.Dreccn IP, mscara de subred y puerta de enace............................................................................ ...........154
20.2.2.3.Servdores de nombres.................................................................................................................................. ..154
20.2.3.Agregar encamnamentos (rutas) adconaes................................................................... ...............155
20.2.4.Funcn de reenvo de paquetes para IP versn 4....................................................................... .....155
20.2.5.Comprobacones......................................................................................................... .......................155
20.2.6.Ata de dreccones IP vrtuaes........................................................................................... ...............156
20.2.7.La funcn Zeroconf........................................................................................................ ...................156
20.2.8.Deshabtar IPv6................................................................................................................... .............158
20.3.E|erccos.................................................................................................... ..........................158
20.3.1.Encamnamentos esttcos............................................................................................... ................158
20.3.2.Dreccones IP vrtuaes.......................................................................................................... ............161
21.Cmo confgurar un servdor DHCP en una LAN........................................... .......166
21.1.Introduccn....................................................................................................................... ...166
21.2.Sustento gco necesaro.................................................................................................... .166
21.3.Fchero de confguracn.......................................................................... ............................167
22.Cmo confgurar vsftpd (Very Secure FTP Daemon)...........................................169
22.1.Introduccn....................................................................................................................... ...169
22.3.Fcheros de confguracn............................................................................................. ........169
22.4.Procedmentos...................................................................................................... ...............169
22.4.1.Parmetro anonymous_enabe................................................................................... .......................169
22.4.2.Parmetro oca_enabe.................................................................................................................. ....170
22.4.3.Parmetro wrte_enabe...................................................................................................... ...............170
22.4.4.Parmetro ftpd_banner............................................................................................... .......................170
22.4.5.Estabecendo |auas para os usuaros: parmetros chroot_oca_user y chroot_st_fe..................170
22.4.6.Contro de ancho de banda.............................................................................................................. .170
22.4.6.1.Parmetro anon_max_rate...................................................................................................... ........................170
22.4.6.2.Parmetro oca_max_rate.................................................................................................................. .............171
22.4.6.3.Parmetro max_cents......................................................................................................................... ...........171
22.4.6.4.Parmetro max_per_p................................................................................................................................... ..171
22.5.Apcando os cambos............................................................................................... ...........171
22.6.Modfcacones necesaras en e muro cortafuegos............................................... ...............172
23.Cmo confgurar OpenSSH............................................................... ....................173
23.1.Introduccn....................................................................................................................... ...173
23.1.1.Acerca de SSH......................................................................................................................... ...........173
23.1.2.Acerca de SFTP................................................................................................................ ...................173
23.1.3.Acerca de SCP................................................................................................................................. ....173
23.1.4.Acerca de OpenSSH.................................................................................................... .......................173
23.3.Fcheros de confguracn............................................................................................. ........174
23.4.Procedmentos...................................................................................................... ...............174
23.4.1.Parmetro Port................................................................................................................ ...................174
23.4.2.Parmetro LstenAddress............................................................................................ .......................174
23.4.3.Parmetro PermtRootLogn...................................................................................... .........................174
23.4.4.Parmetro X11Forwardng...................................................................................... ...........................175
23.4.5.Parmetro AowUsers................................................................................................. .......................175
23.5.Apcando os cambos............................................................................................... ...........175
23.6.Probando OpenSSH............................................................................................................... 176
23.6.1.Acceso a travs de ntrprete de mandatos............................................................................... .......176
23.6.2.Transferenca de fcheros a travs de SFTP............................................................................. ...........176
23.6.3.Transferenca de fcheros a travs de SCP................................................................. ........................177
24.Cmo utzar OpenSSH con autentcacn a travs de cave pbca.................179
24.1.Introduccn....................................................................................................................... ...179
24.2.Procedmentos....................................................................................................... ..............179
24.2.1.Modfcacones en e Servdor................................................................................. ...........................179
8
24.2.2.Modfcacones en e Cente...................................................................................... ........................179
24.2.2.1.Generar cave pbca............................................................................................................. ........................179
24.2.3.Comprobacones.......................................................................................................... ......................180
25.Cmo confgurar OpenSSH con Chroot........................................ ........................181
25.1.Introduccn....................................................................................................................... ...181
25.2.Procedmentos....................................................................................................... ..............181
25.2.0.1.E|empo de contendo de /etc/passwd dentro de a |aua.......................................................................... ......182
25.2.0.2.E|empo de contendo de /etc/group dentro de a |aua..................................................................................182
25.3.E|empo prctco:.............................................................................................................. ....183
25.3.1.Crear as cuentas de os usuaros................................................................................... ...................183
25.3.2.Confguracn de Apache......................................................................................................... ..........184
25.4.Comprobacones............................................................................................................. ......184
26.Cmo confgurar NTP........................................................ ....................................186
26.1.Introduccn....................................................................................................................... ...186
26.1.1.Acerca de NTP................................................................................................................................... ..186
26.1.1.1.Estratos............................................................................................................................................... ............186
26.1.2.Acerca de UTC....................................................................................................................... .............187
26.2.Procedmentos...................................................................................................... ...............187
26.2.1.Herramenta ntpdate................................................................................................... ......................187
26.2.2.Fchero de confguracn /etc/ntp.conf.......................................................................................... .....187
26.2.3.Agregar e servco a arranque de sstema........................................................... ...........................188
26.2.4.Incar, detener y rencar servco........................................................................................... ..........188
27.Cmo confgurar e sstema para sesones grfcas remotas.............................190
27.1.Introduccn....................................................................................................................... ...190
27.2.Sesn grfca remota con GDM.................................................................. .........................190
27.2.1.Procedmento............................................................................................................... .....................190
28.Cmo confgurar un servdor NFS........................................................................193
28.1.Introduccn....................................................................................................................... ...193
28.2.Procedmentos....................................................................................................... ..............193
28.2.1.Instaacn de sustento gco necesaro............................................................................ ..............193
28.3.Confgurando a segurdad.............................................................................. .....................193
28.3.1.Compartr un voumen NFS......................................................................................................... .......194
28.3.2.Confgurando as mqunas centes.......................................................................................... ........195
28.4.Instaacn de GNU/Lnux a travs de un servdor NFS.................................................. .......196
29.Cmo confgurar SAMBA............................................................................ ...........198
29.1.Introduccn....................................................................................................................... ...198
29.1.1.Acerca de protocoo SMB........................................................................................ ..........................198
29.1.2.Acerca de Samba............................................................................................................ ...................198
29.2.Sustento gco necesaro...................................................................... ..............................198
29.3.Confguracn bsca de Samba......................................................................... ..................199
29.3.1.Ata de cuentas de usuaro............................................................................................... .................199
29.3.2.E fchero mhosts.......................................................................................................................... .....199
29.3.3.Parmetros prncpaes de fchero smb.conf.................................................................... .................200
29.3.4.Parmetros tes para a segurdad................................................................................ ..................200
29.3.5.Impresoras en Samba........................................................................................................ ................201
29.3.6.Compartendo drectoros a travs de Samba................................................................. ..................202
29.4.Confguracn avanzada de Samba.......................................................................... ............203
29.4.1.Reasgnacn de grupos de Wndows en Samba............................................................ ...................203
29.4.2.Ata de cuentas de usuaro en Controador Prmaro de Domno......................................................205
29.4.3.Parmetros de confguracn avanzada en e fchero smb.conf........................................................206
29.4.3.1.Anuncando e servdor Samba en os grupos de traba|o............................................................................ .....206
29.4.3.2.Ocutando y denegando acceso a fcheros...................................................................................... ................206
29.4.3.3.Opcones para cente o servdor Wns......................................................................................................... ....207
29.4.3.4.Opcones especfcas para Controador Prmaro de Domno (PDC).................................................................207
9
Drectoro para Netogon y perfes en Controador Prmaro de Domno (PDC)..............208
29.5.Incar e servco y aadro a arranque de sstema................................ ...........................209
29.6.Accedendo haca Samba.......................................................................... ...........................209
29.6.1.Modo texto............................................................................................................................ .............209
29.6.1.1.Smbcent............................................................................................................................................. ...........209
29.6.1.2.Por monta|e de undades de red.................................................................................................................... ..210
29.6.2.Modo grfco............................................................................................................... .......................212
29.6.2.1.Desde e entorno de GNOME...................................................................................................... .....................212
29.6.2.2.Desde Wndows.................................................................................................................................... ...........212
29.7.Unendo mqunas a domno de Controador Prmaro de Domno...................................212
29.7.1.Creando manuamente cuentas de mqunas............................................................................. ......213
29.7.2.Wndows 95/98/ME y Wndows XP Home.................................................................................... .......213
29.7.3.Wndows NT............................................................................................................. ..........................213
29.7.4.Wndows 2000/2003 y Wndows XP Profesona................................................................................213
30.La ngenera soca y os |ncorrectos| hbtos de usuaro................................215
30.1.Recomendacones para evtar ser vctmas de a ngenera soca a travs de correo
eectrnco........................................................................................................................... .........216
31.Confguracn bsca de Sendma................................................. ......................217
31.1.Introduccn....................................................................................................................... ...217
31.1.1.Acerca de Sendma................................................................................................. ..........................217
31.1.2.Acerca de Dovecot.............................................................................................................. ...............217
31.1.3.Acerca de SASL y Cyrus SASL.............................................................................................. ..............217
31.1.4.Protocoos utzados................................................................................................. .........................218
31.1.4.1.SMTP (Smpe Ma Transfer Protoco)........................................................................................................... ....218
31.1.4.2.POP3 (Post Offce Protoco, verson 3).............................................................................................................. 218
31.1.4.3.IMAP (Internet Message Access Protoco)...................................................................................... ..................219
31.2.1.Instaacn a travs de yum............................................................................................................. ..221
31.2.2.Instaacn a travs de Up2date............................................................................................. ...........221
31.3.Procedmentos....................................................................................................... ..............222
31.3.1.Ata de cuentas de usuaro y asgnacn de caves de acceso..........................................................222
31.3.2.Domnos a admnstrar............................................................................................................... .......222
31.3.3.Contro de acceso.................................................................................................... ..........................223
31.3.4.Aas de a cuenta de root.................................................................................................. ................224
31.3.5.Confguracn de funcones de Sendma................................................................... .......................224
31.3.5.1.confSMTP_LOGIN_MSG.................................................................................................................................... .224
31.3.5.2.confAUTH_OPTIONS................................................................................................................................ .........225
31.3.5.3.TRUST_AUTH_MECH y confAUTH_MECHANISMS......................................................................................... ......225
31.3.5.4.DAEMON_OPTIONS........................................................................................................................................... 225
31.3.5.5.FEATURE(`accept_unresovabe_domans').............................................................................................. ........225
31.3.5.6.Enmascaramento........................................................................................................................ ...................226
31.3.5.7.Parmetro Cw.......................................................................................................................................... ........226
31.3.6.Usuaros Vrtuaes....................................................................................................... .......................226
31.3.7.Contro de correo chatarra (Spam) a travs de DNSBLs................................................................... 227
31.3.8.Protocoos para acceder haca e correo.......................................................................... ..................228
31.3.9.Rencando servco................................................................................................. ..........................228
31.4.Encamnamento de domnos............................................................................ ..................228
31.4.1.Redundanca de servdor de correo............................................................................ ......................228
31.4.2.Servdor de correo ntermedaro...................................................................................... .................229
31.5.Verfcando e servco............................................................................ ..............................230
31.6.Pruebas para e envo de correo............................................................................ ...............231
31.6.1.Utzando tenet............................................................................................................................. ....231
31.6.2.Utzando mutt.......................................................................................................... ........................233
31.7.Referencas.................................................................................................................. .........234
32.Opcones avanzadas de segurdad para Sendma..............................................235
32.1.Introduccn....................................................................................................................... ...235
32.2.Funcones.................................................................................................. ...........................235
32.2.1.confMAX_RCPTS_PER_MESSAGE.................................................................................... ....................235
32.2.2.confBAD_RCPT_THROTTLE............................................................................................... ..................235
10
32.2.3.confPRIVACY_FLAGS........................................................................................................... ................235
32.2.4.confMAX_HEADERS_LENGTH..................................................................................... ........................236
32.2.5.confMAX_MESSAGE_SIZE....................................................................................................... ............236
32.2.6.confMAX_DAEMON_CHILDREN............................................................................................ ...............236
32.2.7.confCONNECTION_RATE_THROTTLE................................................................................................. ..236
33.Cmo confgurar Sendma y Dovecot con soporte SSL/TLS...............................237
33.1.Introduccn....................................................................................................................... ...237
33.1.1.Acerca de DSA................................................................................................................................. ...237
33.1.2.Acerca de RSA......................................................................................................................... ...........237
33.1.3.Acerca de X.509...................................................................................................................... ...........237
33.1.4.Acerca de OpenSSL................................................................................................................... .........238
33.2.Procedmentos...................................................................................................... ...............238
33.2.1.Sendma. .......................................................................................................................... ................238
33.2.1.1.Generando cave y certfcado............................................................................................................. ............238
33.2.1.2.Parmetros de /etc/ma/sendma.mc............................................................................................ .................239
33.2.1.3.Comprobacn..................................................................................................................................... ............240
33.2.2.Dovecot. ...................................................................................................................................... ......240
33.2.2.1.Generando cave y certfcado............................................................................................................. ............240
33.2.2.2.Parmetros de /etc/dovecot.conf.......................................................................................................... ...........241
33.2.2.3.Comprobacn..................................................................................................................................... ............242
33.2.3.Confguracn de GNOME Evouton.................................................................................................. .242
33.2.3.1.Confguracn GNOME Evouton................................................................................................................. .....242
33.2.3.2.Confguracn Moza Thunderbrd.................................................................................................... ..............244
33.2.4.Modfcacones necesaras en e muro cortafuegos......................................................... ..................245
34.Instaacn y confguracn de SqurremMa (correo a travs de nterfaz HTTP )...
246
34.1.Introduccn....................................................................................................................... ...246
34.2.Procedmentos....................................................................................................... ..............246
34.2.1.Instaacn de sustento gco necesaro............................................................................ ..............246
34.2.2.Confguracn de SqurreMa............................................................................................. ...............246
34.3.Fnazando confguracn........................................................................................... ..........249
34.4.A|ustes en php.n para optmzar e uso de Squrrema.....................................................250
35.Apndce: Envar correo a todos os usuaros de sstema..................................252
35.1.Procedmentos....................................................................................................... ..............252
35.2.Acerca de a segurdad......................................................................................... ................252
36.Confguracn de MaScanner y CamAV con Sendma......................................253
36.1.Introduccn....................................................................................................................... ...253
36.1.1.Acerca de MaScanner........................................................................................................ ...............253
36.1.2.Acerca de CamAV................................................................................................... ...........................254
36.1.3.Acerca de SpamAssassn................................................................................................................. ...254
36.2.Procedmentos...................................................................................................... ...............254
36.2.1.Sustento gco necesaro....................................................................................................... ...........254
36.2.2.Confguracn de MaScanner................................................................................ ...........................255
36.2.2.1.Lengua|e de os mensa|es de sstema............................................................................................... ..............255
36.2.2.2.Identfcacn de a organzacn....................................................................................................... ..............255
36.2.2.3.Ad|untos en formato de texto enrquecdo...................................................................................................... .256
36.2.2.4.Defnr ant-vrus a utzar................................................................................................................................ 256
36.2.2.5.Poner en cuarentena os mensa|es nfectados o no?.....................................................................................257
36.2.2.6.Permtr mensa|es con etqueta Iframe, Form y Scrpt.....................................................................................257
36.2.3.Contro de Spam............................................................................................................. ...................258
36.2.3.1.A travs de DNSBL o stas negras............................................................................................................. ......258
36.2.3.2.A travs de SpamAssassn.............................................................................................................................. .258
36.2.3.3.Lstas Bancas................................................................................................................................................. .260
36.2.4.Confguracn de servcos..................................................................................................... ............260
36.3.Comprobacones............................................................................................................ .......261
11
37.Cmo confgurar OpenLDAP como servdor de autentcacn............................263
37.1.Introduccn....................................................................................................................... ...263
37.2.Sustento gco requerdo.................................................................................................. ...263
37.2.1.Instaacn a travs de yum.............................................................................................................. .263
37.2.2.Instaacn a travs de up2date....................................................................................... .................263
37.3.Procedmentos...................................................................................................... ...............263
37.4.Comprobacones............................................................................................................ .......265
37.5.Confguracn de centes...................................................................................... ...............267
37.5.1.authconfg (modo texto)......................................................................................................... ...........267
37.5.2.authconfg-gtk (modo grfco)................................................................................................ ...........268
37.6.Admnstracn.................................................................................................................... ..269
37.7.Respado de datos............................................................................................. ...................270
37.8.Restauracn de datos............................................................................................ ..............270
38.Cmo confgurar OpenLDAP como breta de dreccones...................................272
38.1.Introduccn....................................................................................................................... ...272
38.2.Sustento gco requerdo.................................................................................................. ...272
38.2.2.Instaacn a travs de up2date....................................................................................... .................272
38.3.Procedmentos...................................................................................................... ...............272
38.4.Confguracn de centes...................................................................................... ...............275
38.4.1.Nove Evouton.................................................................................................................. ...............275
38.4.2.Moza Thunderbrd.................................................................................................. .........................277
38.4.3.Squrrema.......................................................................................................................... ..............278
38.5.Admnstracn.................................................................................................................... ..278
38.6.Respado de datos............................................................................................. ...................279
38.7.Restauracn de datos............................................................................................ ..............279
39.Cmo confgurar OpenLDAP con soporte SSL/TLS...............................................281
39.1.Introduccn....................................................................................................................... ...281
39.1.1.Acerca de LDAP en modo SSL/TLS...................................................................................... ...............281
39.1.2.Acerca de RSA......................................................................................................................... ...........281
39.1.3.Acerca de X.509...................................................................................................................... ...........281
39.2.Procedmentos...................................................................................................... ...............282
39.2.1.Generando cave y certfcado.......................................................................................... .................282
39.2.2.Parmetros de /etc/opendap/sapd.conf.................................................................... .......................283
39.2.3.Comprobacn......................................................................................................................... ...........283
39.2.4.Confguracn de GNOME Evouton.................................................................................................. .283
39.2.5.Confguracn de Moza Thunderbrd.............................................................................. .................284
39.2.6.Confguracn LDAP Browser.................................................................................................. ............285
39.2.7.Confguracn LDAP Admnstraton Too................................................................................ ............285
40.Confguracn bsca de Apache................................................ ..........................287
40.1.Introduccn....................................................................................................................... ...287
40.1.1.Acerca de protocoo HTTP.......................................................................................................... ........287
40.1.2.Acerca de Apache..................................................................................................... .........................287
40.3.Incar servco y aadr e servco a arranque de sstema................................. ................288
40.4.Procedmentos...................................................................................................... ...............288
40.4.1.SELnux y Apache..................................................................................................... .........................288
40.4.2.UTF-8 y codfcacn de documentos................................................................................. ................289
40.4.3.Fcheros de confguracn........................................................................................... .......................290
40.4.4.Drectoros vrtuaes.............................................................................................................. .............290
12
40.4.5.Redreccn de drectoros............................................................................................................ ......291
40.4.6.Tpos de MIME..................................................................................................................... ...............291
40.4.7.Soporte para CGI con extensn *.cg......................................................................................... .......291
40.4.7.1.Probando a confguracn.................................................................................................................... ...........291
40.4.7.2.Probemas posterores.......................................................................................................................... ...........292
40.4.7.3.Error ms comn nmero 1................................................................................................................ .............292
40.4.7.4.Error ms comn nmero 2................................................................................................................ .............292
40.4.8.Robo de mgenes....................................................................................................... ......................292
40.6.Apndce: Confguracn de Stos de Red vrtuaes en Apache...........................................294
40.7.Apndce: Cmo habtar os .htaccess y SSI en Apache 2.0.x.........................................296
40.7.1.Introduccn.................................................................................................................... ...................296
40.7.2.E|empo........................................................................................................................... ...................296
41.Cmo confgurar Apache con soporte SSL/TLS. ......................................... .........298
41.1.Introduccn....................................................................................................................... ...298
41.1.1.Acerca de HTTPS............................................................................................................... .................298
41.1.2.Acerca de RSA......................................................................................................................... ...........298
41.1.3.Acerca de Trpe DES....................................................................................................... ...................298
41.1.4.Acerca de X.509...................................................................................................................... ...........299
41.1.6.Acerca de mod_ss.................................................................................................. ...........................299
41.2.Requstos.............................................................................................................. ...............299
41.4.Procedmentos...................................................................................................... ...............300
41.4.1.Generando cave y certfcado.......................................................................................... .................300
41.4.2.Confguracn de Apache.......................................................................................................... .........302
41.4.3.Comprobacn......................................................................................................................... ...........302
41.4.4.Modfcacones necesaras en e muro cortafuegos......................................................... ..................303
42.Cmo confgurar un servdor de nombres de domno (DNS).............................304
42.1.Introduccn....................................................................................................................... ...304
42.1.1.Bnd (Berkeey Internet Name Doman)........................................................................................... ..304
42.1.2.DNS (Doman Name System)........................................................................................................ .....304
42.1.3.NIC (Network Informaton Center)................................................................................... ..................304
42.1.4.FODN (Fuy Ouafed Doman Name)....................................................................................... .........305
42.1.5.Componentes de un DNS................................................................................................................ ...305
42.1.5.1.Centes DNS.............................................................................................................................. .....................305
42.1.5.2.Servdores DNS...................................................................................................................... .........................305
42.1.5.3.Zonas de Autordad................................................................................................................................ .........306
42.1.6.Herramentas de bsqueda y consuta.................................................................................. ............308
42.1.6.1.Mandato host................................................................................................................................. .................308
42.1.6.2.Mandato dg..................................................................................................................................... ...............308
42.1.6.3.Mandato |whos (whos).......................................................................................................................... .........309
42.3.Procedmentos....................................................................................................... ..............310
42.3.1.Preparatvos.................................................................................................................... ...................310
42.3.2.Creacn de os fcheros de zona.................................................................................... ...................310
42.3.2.1.Zona de reenvo red oca /var/named/chroot/var/named/red-oca.zone.........................................................310
42.3.2.2.Zona de resoucn nversa red oca /var/named/chroot/var/named/1.168.192.n-addr.arpa.zone..................311
42.3.2.3.Zona de reenvo de domno /var/named/chroot/var/named/domno.com.zone.............................................311
42.3.2.4.Zona de resoucn nversa de domno /var/named/chroot/var/named/1.243.148.n-addr.arpa.zone............312
42.3.2.5.Confguracn de parmetros en e fchero /etc/named.conf...........................................................................312
42.3.3.Segurdad adcona en DNS para uso pbco............................................................................. ......313
42.3.3.1.Fchero /etc/named.conf......................................................................................................................... .........313
42.3.4.Segurdad adcona en DNS para uso excusvo en red oca............................................................314
42.3.4.1.Fchero /etc/named.conf......................................................................................................................... .........314
42.3.5.Las zonas escavas.......................................................................................................................... ...315
42.3.5.1.Fchero /etc/named.conf Servdor DNS secundaro............................................................................... ...........315
42.3.5.2.Fchero /etc/named.conf Servdor DNS prmaro................................................................................ ..............315
13
42.3.6.Rencar servco y depuracn de confguracn............................................................................... 316
43.Cmo confgurar Squd: Parmetros bscos para Servdor Intermedaro (Proxy). .
318
43.1.Introduccn....................................................................................................................... ...318
43.1.1.Ou es Servdor Intermedaro (Proxy)?..................................................................... ......................318
43.1.2.Acerca de Squd............................................................................................................ .....................319
43.1.2.1.Agortmos de cach utzados por Squd................................................................................................... .....319
43.2.2.Instaacn a travs de up2date...................................................................................... ..................320
43.2.3.Otros componentes necesaros....................................................................................................... ...320
43.3.Antes de contnuar........................................................................................ .......................321
43.4.Confguracn bsca............................................................................................ ................321
43.4.1.Parmetro http_port: Ou puerto utzar para Squd?................................................................... ..321
43.4.2.Parmetro cache_mem.............................................................................................. ........................322
43.4.3.Parmetro cache_dr: Cunto desea amacenar de Internet en e dsco duro?...............................323
43.4.4.Parmetro ftp_user.......................................................................................................................... ...323
43.4.5.Controes de acceso.................................................................................................................. .........323
43.4.5.1.Lstas de contro de acceso....................................................................................................... ......................324
43.4.5.2.Regas de Contro de Acceso...................................................................................................... .....................324
43.4.6.Apcando Lstas y Regas de contro de acceso................................................................................325
43.4.6.1.Caso 1............................................................................................................................................... ..............325
43.4.6.2.Caso 2................................................................................................................................................ .............326
43.4.7.Parmetro chache_mgr....................................................................................................... ...............327
43.4.8.Parmetro cache_peer: caches padres y hermanos..........................................................................327
43.5.Cach con aceeracn.......................................................................... ...............................328
43.5.1.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) en modo convencona..................328
43.5.2.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) Transparente.................................328
43.5.3.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) Transparente para redes con Internet
Exporer 5.5 y versones anterores................................................................................... ...........................328
43.6.Estabecendo e doma de os mensa|es mostrados por de Squd haca e usuaro............329
43.7.Incar, rencar y aadr e servco a arranque de sstema...............................................329
43.8.Depuracn de errores........................................................................................... ...............330
43.9.A|ustes para e muro corta-fuegos....................................................................................... .330
43.9.1.Re-drecconamento de petcones a travs de ptabes y Frestarter...............................................330
43.9.2.Re-drecconamento de petcones a travs de a opcn REDIRECT en Shorewa..........................331
44.Cmo confgurar Squd: Acceso por autentcacn..............................................332
44.1.Introduccn....................................................................................................................... ...332
44.3.Egendo e mduo de autentcacn....................................................... ...........................332
44.3.1.Autentcacn a travs de mduo LDAP................................................................................. ..........332
44.3.1.1.Parmetros en /etc/squd/squd.conf............................................................................................... ................333
44.3.2.Autentcacn a travs de mduo NCSA....................................................................... ...................333
44.3.2.1.Creacn de fchero de caves de acceso........................................................................................ ................333
44.3.2.2.Parmetros en /etc/squd/squd.conf............................................................................................... ................333
44.4.Lstas y regas de contro de acceso........................................................................ .............334
44.4.1.Fnazando procedmento.................................................................................................. ...............335
45.Cmo confgurar Squd: Restrccn de acceso a Stos de Red..........................336
45.1.Introduccn....................................................................................................................... ...336
45.3.Defnendo patrones comunes........................................................................................ ......336
45.4.Parmetros en /etc/squd/squd.conf.......................................................... ..........................337
45.4.1.Permtendo acceso a stos nocentes ncdentamente boqueados................................................337
46.Cmo confgurar Squd: Restrccn de acceso a contendo por extensn........339
46.1.Introduccn....................................................................................................................... ...339
14
46.3.Defnendo eementos de a Lsta de Contro de Acceso............................................ ...........339
46.4.Parmetros en /etc/squd/squd.conf.......................................................... ..........................340
46.4.1.Fnazando procedmento................................................................................................ .................341
47.Cmo confgurar Squd: Restrccn de acceso por horaros...............................342
47.1.Introduccn....................................................................................................................... ...342
47.3.Procedmentos....................................................................................................... ..............342
47.3.1.Ms e|empos............................................................................................................... ......................343
47.3.1.1.Restrngendo e tpo de contendo............................................................................................................ ......343
47.3.1.2.Combnando regas de tempo y contendo......................................................................................... ............343
48.Apndce: Lstas y regas de contro de acceso para Squd................................345
48.0.1.Regas apcadas....................................................................................................... .........................345
49.Cmo confgurar un muro cortafuegos con Shorewa y tres nterfaces de red. 347
49.1.Introduccn....................................................................................................................... ...347
49.1.1.Acerca de Shorewa................................................................................................................... ........347
49.1.2.Acerca de Iptabes y Netfter.................................................................................................... .........347
49.1.3.Acerca de Iproute...................................................................................................................... .........347
49.1.4.Requstos....................................................................................................................................... ....348
49.2.Conceptos requerdos..................................................................................................... ......348
49.2.1.Ou es una zona desmtarzada?................................................................................ ...................348
49.2.2.Oue es una Red Prvada?........................................................................................ .........................348
49.2.3.Ou es un NAT?................................................................................................................. ...............349
49.2.4.Ou es un DNAT?............................................................................................................................ ..349
49.3.Procedmentos...................................................................................................... ...............349
49.3.1.Sustento gco necesaro....................................................................................................... ...........349
49.3.2.Fchero de confguracn /etc/shorewa/shorewa.conf................................................................... ..349
49.3.3.Fchero de confguracn /etc/shorewa/zones............................................................... ...................350
49.3.4.Fchero de confguracn /etc/shorewa/nterfaces....................................................................... .....350
49.3.5.Fchero de confguracn /etc/shorewa/pocy............................................................... ...................351
49.3.6.Fchero de confguracn /etc/shorewa/masq........................................................................... ........352
49.3.7.Fchero de confguracn /etc/shorewa/rues............................................................................. .......352
49.3.7.1.ACCEPT.................................................................................................................................. .........................352
49.3.7.2.REDIRECT........................................................................................................................................ ................353
49.3.7.3.DNAT............................................................................................................................................ ...................353
49.3.7.4.E|empos dversos de regas............................................................................................................ ................353
49.4.Incar e cortafuegos y aadro a os servcos de arranque de sstema............................355
50.Cmo confgurar SNMP.................................................................. .......................356
50.1.Introduccn....................................................................................................................... ...356
50.3.Procedmentos....................................................................................................... ..............356
50.3.1.Fchero de confguracn........................................................................................................ ............356
50.3.2.Lstas de contro de acceso........................................................................................................... .....357
50.3.3.Defncn de grupos............................................................................................................. .............357
50.3.4.Ramas permtdas......................................................................................................... .....................357
50.3.5.Asgnacn de permsos a os grupos............................................................................................ .....357
50.3.6.Parmetros de carcter nformatvo......................................................................... .........................358
50.3.7.Un e|empo rea........................................................................................................................ ..........358
50.3.8.Incar e servco y aadro a os servcos de arranque de sstema................................................359
50.4.Comprobacones............................................................................................................. ......359
51.Cmo confgurar MRTG....................................................................... ..................360
51.1.Introduccn....................................................................................................................... ...360
15
51.3.Procedmentos....................................................................................................... ..............360
51.4.Comprobacones............................................................................................................. ......361
52.Cmo nstaar correctamente |ava a partr de paquete RPM...........................362
52.1.Procedmento.................................................................................................................... ...362
52.2.Comprobacones............................................................................................................. ......363
53.Cmo nstaar a extensn (pug-n) Fash para Moza......................................365
53.1.Introduccn....................................................................................................................... ...365
53.2.Procedmentos....................................................................................................... ..............365
53.2.1.Instaacn de sustento gco necesaro en CentOS, Whte Box y Red Hat Enterprse Lnux 3.. .365
53.2.2.Instaacn de sustento gco necesaro en CentOS, Whte Box y Red Hat Enterprse Lnux 4.. .365
53.2.3.Comprobacones......................................................................................................... .......................366
54.Cmo confgurar escner en red............................................................ ..............367
54.1.E servdor.............................................................................................. ..............................367
54.1.1.Sustento gco necesaro......................................................................................................... .........367
54.1.2.Procedmentos................................................................................................................................ ...367
54.2.Los centes.................................................................................................................... .......369
54.2.1.Sustento gco necesaro......................................................................................................... .........369
54.2.2.Procedmentos................................................................................................................................ ...369
55.Usando Smartd para antcpar os desastres de dsco duro................................370
55.1.Introduccn....................................................................................................................... ...370
55.2.Procedmentos....................................................................................................... ..............370
56.Gosaro de mandatos bscos........................................................................... ...372
56.1.Mandatos generaes......................................................................................... ....................372
56.2.Tratamento de archvos..................................................................................... ..................373
56.3.Mane|o de paquetera........................................................................................................ ...373
56.4.Sstema................................................................................................. ...............................374
57.LPT Desktop......................................................................... .................................376
57.1.Ou es LPT Desktop?............................................................................ ..............................376
57.2.Sstemas operatvos soportados por LPT Desktop..................................................... ...........376
57.3.Cmo puedo nstaaro?................................................................................. .....................376
57.3.1.LPT Desktop 3.6...................................................................................................................... ...........377
57.3.2.LPT Desktop 2.4...................................................................................................................... ...........377
57.3.3.Procedmentos................................................................................................................................ ...377
57.3.3.1.LPT Desktop 2.4........................................................................................................................... ...................377
LPT Desktop 3.6........................................................................................................................................... .................377
57.4.Errores conocdos........................................................................................... ......................378
57.4.1.LPT Desktop 3.6...................................................................................................................... ...........378
57.4.2.LPT Desktop 2.4...................................................................................................................... ...........378
57.5.Cmo puedo cooperar con e proyecto?................................................ .............................378
57.6.Ms preguntas?................................................................................................................ ...379
58.E|erccos............................................................................... ................................380
58.1.E|ercco NFS............................................................................................................ .............380
58.1.1.Introduccn.................................................................................................................... ...................380
58.1.2.Procedmentos................................................................................................................................ ...380
58.1.2.1.Servdor........................................................................................................................................................ ...380
58.1.2.2.Cente......................................................................................................................................................... ....380
58.2.E|ercco Samba..................................................................................................... ...............382
58.2.1.Procedmentos................................................................................................................................ ...382
58.3.E|ercco Apache y VSFTPD................................................................................ ................384
58.3.1.Procedmentos................................................................................................................................ ...384
16
58.3.2.Comprobacones......................................................................................................... .......................385
58.4.E|ercco: Cuotas de dsco, Apache, VSFTPD y DNS................................... ...........................387
58.4.1.Procedmentos................................................................................................................................ ...387
58.4.2.Comprobacones......................................................................................................... .......................391
58.5.E|ercco Servdor Intermedaro (Proxy)................................................ ...............................393
58.6.E|ercco de confguracn de sstema para Lnux, Apache, PHP y MySOL...........................399
58.7.Confguracn de sstema como estacn de traba|o................................................. ..........402
17
Informacin de "erec'os reservados
de esta publicacin%
(econocimiento)No$omercial)$ompartirI*ual 2%+
Usted es libre de,
copar, dstrbur y comuncar pbcamente a obra
hacer obras dervadas
!a-o las condiciones si*uientes,
(econocimiento. Debe reconocer y ctar a autor orgna.
No comercial. No puede utzar esta obra para fnes
comercaes.
$ompartir ba-o la misma licencia. S atera o transforma
esta obra, o genera una obra dervada, so puede dstrbur
a obra generada ba|o una cenca dntca a sta.
A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta
obra.
Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os
derechos de autor
Los derec'os derivados de usos le*.timos u otras limitaciones no se ven afectados por lo
anterior%
(econocimiento)No$omercial)$ompartirI*ual 2%+
CREATIVE COMMONS CORPORATION NO ES UN DESPACHO DE ABOGADOS Y NO PROPORCIONA SERVICIOS |URDICOS. LA DISTRIBUCION DE ESTA
LICENCIA NO CREA UNA RELACION ABOGADO-CLIENTE. CREATIVE COMMONS PROPORCIONA ESTA INFORMACION TAL CUAL (ON AN "AS-IS" BASIS).
CREATIVE COMMONS NO OFRECE GARANTA ALGUNA RESPECTO DE LA INFORMACION PROPORCIONADA, NI ASUME RESPONSABILIDAD ALGUNA POR
DANOS PRODUCIDOS A CONSECUENCIA DE SU USO.
.icencia
LA OBRA (SEGN SE DEFINE MAS ADELANTE) SE PROPORCIONA BA|O TRMINOS DE ESTA LICENCIA PBLICA DE CREATIVE COMMONS ("CCPL" O
"LICENCIA"). LA OBRA SE ENCUENTRA PROTEGIDA POR LA LEY ESPANOLA DE PROPIEDAD INTELECTUAL Y/O CUALESOUIERA OTRAS NORMAS
RESULTEN DE APLICACION. OUEDA PROHIBIDO CUALOUIER USO DE LA OBRA DIFERENTE A LO AUTORIZADO BA|O ESTA LICENCIA O LO DISPUESTO EN
LAS LEYES DE PROPIEDAD INTELECTUAL.
MEDIANTE EL E|ERCICIO DE CUALOUIER DERECHO SOBRE LA OBRA, USTED ACEPTA Y CONSIENTE LAS LIMITACIONES Y OBLIGACIONES DE ESTA
LICENCIA. EL LICENCIADOR LE CEDE LOS DERECHOS CONTENIDOS EN ESTA LICENCIA, SIEMPRE OUE USTED ACEPTE LOS PRESENTES TRMINOS Y
CONDICIONES.
18
+% "efiniciones
a. La /obra/ es a creacn terara, artstca o centfca ofrecda ba|o os trmnos de esta cenca.
b. E /autor/ es a persona o a entdad que cre a obra.
c. Se consderar /obra con-unta/ aquea susceptbe de ser ncuda en aguna de as sguentes categoras:
. /0bra en colaboracin/, entendendo por ta aquea que sea resutado untaro de a coaboracn de varos autores.
d. /0bra colectiva/, entendendo por ta a creada por a ncatva y ba|o a coordnacn de una persona natura o |urdca que a modfque
y dvugue ba|o su nombre y que est consttuda por a reunn de aportacones de dferentes autores cuya contrbucn persona se funde
en una creacn nca y autnoma, para a cua haya sdo concebda sn que sea posbe atrbur separadamente a cuaquera de eos un
derecho sobre e con|unto de a obra reazada.
e. /0bra compuesta e independiente/, entendendo por ta a obra nueva que ncorpore una obra preexstente sn a coaboracn de
autor de esta tma.
f. Se consderarn /obras derivadas/ aqueas que se encuentren basadas en una obra o en una obra y otras preexstentes, taes como: as
traduccones y adaptacones; as revsones, actuazacones y anotacones; os compendos, resmenes y extractos; os arregos muscaes
y, en genera, cuaesquera transformacones de una obra terara, artstca o centfca, savo que a obra resutante tenga e carcter de
obra con|unta en cuyo caso no ser consderada como una obra dervada a os efectos de esta cenca. Para evtar a duda, s a obra
consste en una composcn musca o grabacn de sondos, a sncronzacn tempora de a obra con una magen en movmento
("synchng") ser consderada como una obra dervada a os efectos de esta cenca.
g. Tendrn a consderacn de /obras audiovisuales/ as creacones expresadas medante una sere de mgenes asocadas, con o sn
sonorzacn ncorporada, as como as composcones muscaes, que estn destnadas esencamente a ser mostradas a travs de
aparatos de proyeccn o por cuaquer otro medo de comuncacn pbca de a magen y de sondo, con ndependenca de a naturaeza
de os soportes materaes de dchas obras.
h. E /licenciador/ es a persona o a entdad que ofrece a obra ba|o os trmnos de esta cenca y e cede os derechos de expotacn de a
msma conforme a o dspuesto en ea.
. /Usted/ es a persona o a entdad que e|ercta os derechos ceddos medante esta cenca y que no ha voado prevamente os trmnos
de a msma con respecto a a obra, o que ha recbdo e permso expreso de cencador de e|erctar os derechos ceddos medante esta
cenca a pesar de una voacn anteror.
|. La /transformacin/ de una obra comprende su traduccn, adaptacn y cuaquer otra modfcacn en su forma de a que se derve una
obra dferente. Cuando se trate de una base de datos segn se defne ms adeante, se consderar tambn transformacn a
reordenacn de a msma. La creacn resutante de a transformacn de una obra tendr a consderacn de obra dervada.
k. Se entende por /reproduccin/ a f|acn de a obra en un medo que permta su comuncacn y a obtencn de copas de toda o parte
de ea.
. Se entende por /distribucin/ a puesta a dsposcn de pbco de orgna o copas de a obra medante su venta, aquer, prstamo o
de cuaquer otra forma.
m. Se entender por /comunicacin p1blica/ todo acto por e cua una puradad de personas pueda tener acceso a a obra sn preva
dstrbucn de e|empares a cada una de eas. No se consderar pbca a comuncacn cuando se ceebre dentro de un mbto
estrctamente domstco que no est ntegrado o conectado a una red de dfusn de cuaquer tpo. A efectos de esta cenca se
consderar comuncacn pbca a puesta a dsposcn de pbco de a obra por procedmentos ambrcos o nambrcos, ncuda a
puesta a dsposcn de pbco de a obra de ta forma que cuaquer persona pueda acceder a ea desde e ugar y en e momento que
e|a.
n. La /explotacin/ de a obra comprende su reproduccn, dstrbucn, comuncacn pbca y transformacn.
o. Tendrn a consderacn de /bases de datos/ as coeccones de obras a|enas, de datos o de otros eementos ndependentes como as
antoogas y as bases de datos propamente dchas que por a seeccn o dsposcn de sus contendos consttuyan creacones
nteectuaes, sn per|uco, en su caso, de os derechos que puderan subsstr sobre dchos contendos.
p. Los /elementos de la licencia/ son as caracterstcas prncpaes de a cenca segn a seeccn efectuada por e cencador e
ndcadas en e ttuo de esta cenca: Reconocmento de autora (Reconocmento), Sn uso comerca (NoComerca), Compartr de manera
gua (CompartrIgua).
19
2% L.mites 2 uso le*.timo de los derec'os% Nada en esta cenca pretende reducr o restrngr cuaesquera mtes egaes de os derechos
excusvos de ttuar de os derechos de propedad nteectua de acuerdo con a Ley de Propedad Inteectua o cuaesquera otras eyes apcabes, ya
sean dervados de usos egtmos, taes como e derecho de copa prvada o e derecho a cta, u otras mtacones como a dervada de a prmera
venta de e|empares.
3% $oncesin de licencia% Conforme a os trmnos y a as condcones de esta cenca, e cencador concede (durante toda a vgenca de os
derechos de propedad nteectua) una cenca de mbto munda, sn derecho de remuneracn, no excusva e ndefnda que ncuye a cesn de
os sguentes derechos:
a. Derecho de reproduccn, dstrbucn y comuncacn pbca sobre a obra;
b. Derecho a ncorporara en una o ms obras con|untas o bases de datos y para su reproduccn en tanto que ncorporada a dchas obras
con|untas o bases de datos;
c. Derecho para efectuar cuaquer transformacn sobre a obra y crear y reproducr obras dervadas;
d. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, como ncorporada a obras con|untas o bases de datos;
e. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, por medo de una obra dervada.
Los anterores derechos se pueden e|erctar en todos os medos y formatos, tangbes o ntangbes, conocdos o por conocer. Los derechos
menconados ncuyen e derecho a efectuar as modfcacones que sean precsas tcncamente para e e|ercco de os derechos en otros medos y
formatos. Todos os derechos no ceddos expresamente por e cencador quedan reservados, ncuyendo, a ttuo enuncatvo pero no mtatvo, os
estabecdos en a seccn 4(e).
4% (estricciones% La cesn de derechos que supone esta cenca se encuentra su|eta y mtada a as restrccones sguentes:
a. Usted puede reproducr, dstrbur o comuncar pbcamente a obra soamente ba|o trmnos de esta cenca y debe ncur una copa de
a msma, o su Identfcador Unforme de Recurso (URI), con cada copa o grabacn de a obra que usted reproduzca, dstrbuya o
comunque pbcamente. Usted no puede ofrecer o mponer nngn trmno sobre a obra que atere o restrn|a os trmnos de esta
cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma. Usted no puede subcencar a obra. Usted debe mantener
ntactos todos os avsos que se referan a esta cenca y a a ausenca de garantas. Usted no puede reproducr, dstrbur o comuncar
pbcamente a obra con meddas tecnogcas que controen e acceso o uso de a obra de una manera contrara a os trmnos de esta
cenca. Lo anteror se apca a una obra en tanto que ncorporada a una obra con|unta o base de datos, pero no mpca que stas, a
margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de a msma. S usted crea una obra con|unta o base de
datos, preva comuncacn de cencador, usted deber qutar de a obra con|unta o base de datos cuaquer referenca a dcho cencador
o a autor orgna, segn o que se e requera y en a medda de o posbe. S usted crea una obra dervada, preva comuncacn de
cencador, usted deber qutar de a obra dervada cuaquer referenca a dcho cencador o a autor orgna, o que se e requera y en a
medda de o posbe.
b. Usted puede reproducr, dstrbur o comuncar pbcamente una obra dervada soamente ba|o os trmnos de esta cenca, o de una
versn posteror de esta cenca con sus msmos eementos prncpaes, o de una cenca Commons de Creatve Commons que contenga
os msmos eementos prncpaes que esta cenca (e|empo: Reconocmento-NoComerca-Compartr 2.0 |apn). Usted debe ncur una
copa de a esta cenca o de a menconada anterormente, o ben su Identfcador Unforme de Recurso (URI), con cada copa o grabacn
de a obra que usted reproduzca, dstrbuya o comunque pbcamente. Usted no puede ofrecer o mponer nngn trmno respecto de as
obras dervadas o sus transformacones que ateren o restrn|an os trmnos de esta cenca o e e|ercco de sus derechos por parte de os
cesonaros de a msma, Usted debe mantener ntactos todos os avsos que se referan a esta cenca y a a ausenca de garantas. Usted
no puede reproducr, dstrbur o comuncar pbcamente a obra dervada con meddas tecnogcas que controen e acceso o uso de a
obra de una manera contrara a os trmnos de esta cenca. Lo anteror se apca a una obra dervada en tanto que ncorporada a una
obra con|unta o base de datos, pero no mpca que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os
trmnos de esta cenca.
c. Usted no puede e|erctar nnguno de os derechos ceddos en a seccn 3 anteror de manera que pretenda prncpamente o se encuentre
drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada. E ntercambo de a obra por otras obras
protegdas por a propedad nteectua medante sstemas de compartr archvos no se consderar como una manera que pretenda
prncpamente o se encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada, sempre que no
haya nngn pago de cuaquer remuneracn monetara en reacn con e ntercambo de as obras protegdas.
d. S usted reproduce, dstrbuye o comunca pbcamente a obra o cuaquer obra dervada, con|unta o base datos que a ncorpore, usted
debe mantener ntactos todos os avsos sobre a propedad nteectua de a obra y reconocer a autor orgna, de manera razonabe
conforme a medo o a os medos que usted est utzando, ndcando e nombre (o e seudnmo, en su caso) de autor orgna s es
factado; e ttuo de a obra s es factado; de manera razonabe, e Identfcador Unforme de Recurso (URI), s exste, que e cencador
especfca para ser vncuado a a obra, a menos que ta URI no se refera a avso sobre propedad nteectua o a a nformacn sobre a
cenca de a obra; y en e caso de una obra dervada, un avso que dentfque e uso de a obra en a obra dervada (e.g., "traduccn
francesa de a obra de Autor Orgna," o "gun basado en obra orgna de Autor Orgna"). Ta avso se puede desarroar de cuaquer
manera razonabe; con ta de que, sn embargo, en e caso de una obra dervada, con|unta o base datos, aparezca como mnmo este avso
a donde aparezcan os avsos correspondentes a otros autores y de forma comparabe a os msmos.
e. Para evtar a duda, sn per|uco de a preceptva autorzacn de cencador, y especamente cuando a obra se trate de una obra
audovsua, e cencador se reserva e derecho excusvo a percbr, tanto ndvduamente como medante una entdad de gestn de
derechos, o varas, (por e|empo: SGAE, Dama, VEGAP), os derechos de expotacn de a obra, as como os dervados de obras dervadas,
con|untas o bases de datos, s dcha expotacn pretende prncpamente o se encuentra drgda haca a obtencn de un benefco
mercant o a remuneracn monetara prvada.
20
f. En e caso de a ncusn de a obra en aguna base de datos o recopacn, e propetaro o e gestor de a base de datos deber renuncar
a cuaquer derecho reaconado con esta ncusn y concernente a os usos de a obra una vez extrada de as bases de datos, ya sea de
manera ndvdua o con|untamente con otros materaes.
5% Exoneracin de responsabilidad
A MENOS OUE SE ACUERDE MUTUAMENTE ENTRE LAS PARTES, EL LICENCIADOR OFRECE LA OBRA TAL CUAL (ON AN "AS-IS" BASIS) Y NO CONFIERE
NINGUNA GARANTA DE CUALOUIER TIPO RESPECTO DE LA OBRA O DE LA PRESENCIA O AUSENCIA DE ERRORES OUE PUEDAN O NO SER
DESCUBIERTOS. ALGUNAS |URISDICCIONES NO PERMITEN LA EXCLUSION DE TALES GARANTAS, POR LO OUE TAL EXCLUSION PUEDE NO SER DE
APLICACION A USTED.
6% Limitacin de responsabilidad%
SALVO OUE LO DISPONGA EXPRESA E IMPERATIVAMENTE LA LEY APLICABLE, EN NINGN CASO EL LICENCIADOR SERA RESPONSABLE ANTE USTED
POR CUALOUIER TEORA LEGAL DE CUALESOUIERA DANOS RESULTANTES, GENERALES O ESPECIALES (INCLUIDO EL DANO EMERGENTE Y EL LUCRO
CESANTE), FORTUITOS O CAUSALES, DIRECTOS O INDIRECTOS, PRODUCIDOS EN CONEXION CON ESTA LICENCIA O EL USO DE LA OBRA, INCLUSO SI
EL LICENCIADOR HUBIERA SIDO INFORMADO DE LA POSIBILIDAD DE TALES DANOS.
7% 7inali8acin de la licencia
a. Esta cenca y a cesn de os derechos que contene termnarn automtcamente en caso de cuaquer ncumpmento de os trmnos
de a msma. Las personas o entdades que hayan recbdo obras dervadas, con|untas o bases de datos de usted ba|o esta cenca, sn
embargo, no vern sus cencas fnazadas, sempre que taes personas o entdades se mantengan en e cumpmento ntegro de esta
cenca. Las seccones 1, 2, 5, 6, 7 y 8 permanecern vgentes pese a cuaquer fnazacn de esta cenca.
b. Conforme a as condcones y trmnos anterores, a cesn de derechos de esta cenca es perpetua (durante toda a vgenca de os
derechos de propedad nteectua apcabes a a obra). A pesar de o anteror, e cencador se reserva e derecho a dvugar o pubcar a
obra en condcones dstntas a as presentes, o de retrar a obra en cuaquer momento. No obstante, eo no supondr dar por concuda
esta cenca (o cuaquer otra cenca que haya sdo concedda, o sea necesaro ser concedda, ba|o os trmnos de esta cenca), que
contnuar vgente y con efectos competos a no ser que haya fnazado conforme a o estabecdo anterormente.
9% :iscel;nea
a. Cada vez que usted expote de aguna forma a obra, o una obra con|unta o una base datos que a ncorpore, e cencador orgna ofrece a
os terceros y sucesvos cencataros a cesn de derechos sobre a obra en as msmas condcones y trmnos que a cenca concedda a
usted.
b. Cada vez que usted expote de aguna forma una obra dervada, e cencador orgna ofrece a os terceros y sucesvos cencataros a
cesn de derechos sobre a obra orgna en as msmas condcones y trmnos que a cenca concedda a usted.
c. S aguna dsposcn de esta cenca resuta nvda o napcabe segn a Ley vgente, eo no afectar a vadez o apcabdad de resto
de os trmnos de esta cenca y, sn nnguna accn adcona por cuaquera as partes de este acuerdo, ta dsposcn se entender
reformada en o estrctamente necesaro para hacer que ta dsposcn sea vda y e|ecutva.
d. No se entender que exste renunca respecto de agn trmno o dsposcn de esta cenca, n que se consente voacn aguna de a
msma, a menos que ta renunca o consentmento fgure por escrto y eve a frma de a parte que renunce o consenta.
e. Esta cenca consttuye e acuerdo peno entre as partes con respecto a a obra ob|eto de a cenca. No caben nterpretacones, acuerdos
o trmnos con respecto a a obra que no se encuentren expresamente especfcados en a presente cenca. E cencador no estar
obgado por nnguna dsposcn compementara que pueda aparecer en cuaquer comuncacn de usted. Esta cenca no se puede
modfcar sn e mutuo acuerdo por escrto entre e cencador y usted.
Creatve Commons no es parte de esta cenca, y no ofrece nnguna garanta en reacn con a obra. Creatve Commons no ser responsabe frente a
usted o a cuaquer parte, por cuaquer teora ega de cuaesquera daos resutantes, ncuyendo, pero no mtado, daos generaes o especaes
(ncudo e dao emergente y e ucro cesante), fortutos o causaes, en conexn con esta cenca. A pesar de as dos (2) oracones anterores, s
Creatve Commons se ha dentfcado expresamente como e cencador, tendr todos os derechos y obgacones de cencador.
Savo para e propsto mtado de ndcar a pbco que a obra est cencada ba|o a CCPL, nnguna parte utzar a marca regstrada "Creatve
Commons" o cuaquer marca regstrada o nsgna reaconada con "Creatve Commons" sn su consentmento por escrto. Cuaquer uso permtdo se
har de conformdad con as pautas vgentes en cada momento sobre e uso de a marca regstrada por "Creatve Commons", en tanto que sean
pubcadas su pgna web (webste) o sean proporconadas a petcn preva.
<uede contactar con $reative $ommons en, 'ttp,//creativecommons%or*/%
21
0tras notas acerca de esta publicacin%
La nformacn contenda en este manua se dstrbuye con a esperanza de que sea de utdad, y se proporcona ta cua es pero SIN G=(=N>?=
=LGUN=, an sn a garanta mpcta de comercazacn o adecuamento para un propsto en partcuar, y e autor o autores no asumrn
responsabdad aguna s e usuaro o ector hace ma uso de esta.
Lnux es una marca regstrada de Lnus Torvads, Red Hat Lnux, RPM y GLINT son marcas regstradas de Red Hat Software, Unx es marca
regstrada de X/Open. MS-DOS, MS-Offce y Wndows son marcas regstradas de Mcrosoft Corporaton. X Wndow System es marca regstrada
de X Consortum, Inc., TrueType es una marca regstrada de Appe Computer, WordPerfect es una marca regstrada de Core Corporaton,
StarOffce es una marca regstrada de Sun Mycrosystems. Apache es una marca regstrada de The Apache Group. Fetchma es una marca
regstrada de Erc S. Raymond. Sendma es una marca regstrada de Sendma, Inc. Darkshram es 1987 y marca regstrada de |oe Barros
Dueas. Lnux Para Todos es 1999 y marca regstrada de |oe Barros Dueas.
22
+% @Aue es GNU/LinuxB
$oel Barrios /ue,as
dar0s!ram1%mail.com
!ttp233444.linu(paratodos.net3
$reative $ommons (econocimiento)No$omercial)$ompartirI*ual 2%+
1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones
sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra,
o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar
ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos
de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. La nformacn contenda en este
documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de
stos.
GNU/LinuxD es un poderoso y sumamente verst sstema operatvo con cenca bre y que
mpementa e estndar <0SIE (acrnmo de <ortabe 0peratng System Interface, que se traduce
como Interfaz de Sstema Operatvo Portabe). Fue creado en 1991 por Lnus Torvads, sendo
entonces un estudante de a Unversdad de Hesnsk, Fnanda.
GNU/Lnux es <ro*ram;tica Libre. Esto sgnfca que e usuaro es bre de redstrbur y modfcar
de acuerdo a necesdades especfcas, sempre que se ncuya e cdgo fuente, como o ndca a
Lcenca Pbca Genera GNU (acrnmo de GNU s Not Unx), que es e modo que ha dspuesto a
Free Software Foundaton (Fundacn de Programtca Lbre). Esto tambn ncuye e derecho a
poder nstaar e nceo de GNU/LinuxD en cuaquer nmero de ordenadores o equpos de
cmputo que e usuaro desee.
GNU/Lnux no es un sustento l*ico *ratuito (comnmente denomnada como Freeware); se
trata de <ro*ram;tica Libre. Cuando nos referrnos a <ro*ram;tica Libre, o hacemos en
reacn a a bertad y no a preco. La G<L (acrnmo de Genera <ubc Lcence, que se traduce
como Lcenca Pbca Genera), a a cua Lnus Torvads ncorpor a Lnux, est dseada para
asegurar que e usuaro tenga sempre a bertad de dstrbur copas de sustento gco bre (y
cobrar por e servco s as o desea). La G<L tene como ob|etvo garantzar a usuaro a bertad de
compartr y cambar <ro*ram;tica Libre; es decr, asegurarse de que e sustento gco sempre
permanezca sendo bre para todos os usuaros. La G<L es apcabe a a mayora de sustento
gco de a Free Software Foundaton as como a cuaquer otro programa cuyos autores se
comprometan a usaro.
GNU/Lnux es tambn a me|or aternatva de sgo XXI para os usuaros que no soo desean
bertad, sno que tambn requeren un sstema operatvo estabe, robusto y confabe. Es un
sstema operatvo dneo para utzar en Redes, como es e caso de servdores, estacones de
traba|o y tambiFn para computadoras personaes.
Las caracterstcas de GNU/Lnux e permten desempear mtpes tareas en forma smutnea
de forma segura y confabe. Los dstntos servcos se pueden detener, ncar o rencar
ndependentemente sn afectar a resto de sstema, permtendo operar as 24 horas de da os 365
das de ao.
Ta ha sdo e mpacto acanzado por GNU/Lnux en os tmos aos, que muchas de as empresas
de Software ms mportantes de mundo, entre as cuaes estn IBM, Orace y Sun Mcrosystems,
han encontrado en GNU/Lnux una pataforma con un muy ampo mercado, y se han vocado a
desarroo de versones para Lnux de sus ms mportantes apcacones. Grandes corporacones,
como Compaq, De, Hewett Packard, IBM y muchos ms, evan varos aos dstrbuyendo equpos
con GNU/Lnux como sstema operatvo.
Gracas a sus caracterstcas, a constante evoucn de os ambentes grfcos para X Wndow,
que cada vez son de ms fc uso, como es e caso de GNOME y KDE, a traba|o de centos de
programadores y usuaros fees arededor de mundo, Lnux ha de|ado de ser un sstema operatvo
23
poco atractvo y compcado de utzar, para convertrse en una aternatva rea para quenes
buscan un sstema operatvo confabe y poderoso; ya sea para una servdor, estacn de traba|o o
a computadora persona de un usuaro ntrpdo.
+%+% (eGuerimientos del sistema
Se debe contar con a sufcente cantdad de memora y un mcroprocesador en buen estado. Con
cas cuaquer dstrbucn comerca de Lnux, e ambente grfco necestar a menos 192 MB RAM,
y 650-800 MB de espaco en dsco duro para a nstaacn mnma. Para contar con a menor
cantdad de apcacones prctcas, se requeren a menos 800 MB adconaes de espaco en dsco
duro, repartdo en a menos 2 partcones. Se recomenda un mcroprocesador 80586 (pentum o
equvaente) a 200 MHz. Sn ambente grfco, como es e caso de un servdor, o ben soamente
apcacones para modo de texto, 64MB RAM y un mcroprocesador 80586 a 100 MHz sern
sufcentes.
E servdor de vdeo puede funconar con so 64 MB RAM; pero su desempeo ser muc'o mu2
lento. Agunas apcacones para modo grfco pueden necestar escaar 64 MB, 128 MB o 256 MB
de RAM adcona. E mnmo recomendado para utzar GNOME 2.x es de 192 MB RAM; se
recomendan 256 MB. E ptmo es de 512 MB RAM.
S desea nstaar Lnux en una computadora persona con as sufcentes apcacones para ser
totamente funcona y productvo y contar con e espaco necesaro para nstaar herramentas de
ofcna (OpenOffce.org), se recomienda contar con a menos 2 GB de espaco, a menos 256 MB
RAM y un mcroprocesador AMD K6, K6-II, K6-III, Athon, Duron, Pentum, Pentum MMX, Pentum II,
Pentum III, Pentum 4, o Cyrx MII a cuando menos 300 Mhz o ms.
24
2% Est;ndar de erarGu.a de Sistema de 7ic'eros
$oel Barrios /ue,as
dar0s!ram1%mail.com
Artculo basado sobre el publicado en in%l)s por 5i0ipedia, Enciclopedia .ibre, en !ttp233en.4i0ipedia.or%34i0i367-.
stos.
2%+% Introduccin
E estndar de |erarqua de fcheros (FSH o 7esystem Herarchy Standard) defne os prncpaes
drectoros y sus contendos en GNU/Lnux y otros sstemas operatvos smares a Unx.
E proceso de desarroar un estndar de sstema de fcheros |errquco nc en agosto de 1993,
como un esfuerzo para reformar as estructuras de fcheros y drectoros de GNU/Lnux. E 14 de
febrero de 1994 se pubc e FSSTND (7esystem Standard); un estndar de |erarqua de fcheros
especfco para GNU/Lnux. Revsones de ste se pubcaron e 9 de octubre de 1994 y e 28 de
marzo de 1995.
A prncpos de 1996, con a ayuda de membros de a comundad de desarroadores de BSD, se f|
como ob|etvo desarroar una versn de 7SS>N" ms detaada, drgda no so haca Lnux sno
tambn haca otros sstemas operatvos smares a Unx. Como uno de os resutados, e estndar
camb de nombre a FSH o Fesystem Herarchy Standard.
E FSH es mantendo por Free Standards Group; organzacn sn fnes de ucro consttuda por
compaas que manufacturan sustento fsco (Hardware) y sustento fsco (Software) como Hewett
Packard, De, IBM y Red Hat. La mayora de as dstrbucones de Lnux, ncusve as que forman
parte de Free Software Standards, no apcan de forma estrcta e estndar. La versn actua de FSH
es a 2.3, anuncada en 29 de enero de 2004.
2%2% Estructura de directorios
Todos os fcheros y drectoros aparecen deba|o de drectoro raz /, an s estn amacenados en
dspostvos fscamente dferentes.
"irectorio "escripcin
/bin/ Mandatos bnaros esencaes (cp, mv, s, rm, etc.).
/boot/ Fcheros utzados durante e arranque de sstema (nceo y dscos
RAM).
/dev/ Dspostvos esencaes.
/etc/ Fcheros de confguracn utzados en todo e sstema y que son
especfcos de anftrn.
/etc/opt/ Fcheros de confguracn utzados por programas ao|ados dentro
de /opt/
25
/etc/X11/ (opcional) Fcheros de confguracn para e sstema X Wndow.
/etc/sgml/ (opcional) Fcheros de confguracn para SGML.
/etc/xml/ (opcional) Fcheros de confguracn para XML.
/home/ (opcional) Drectoros de nco de os usuaros.
/lib/ Bbotecas compartdas esencaes para os bnaros de /bn/, /sbn/ y
e nceo de sstema.
/mnt/ Sstemas de fcheros montados temporamente.
/media/ Puntos de monta|e para dspostvos de medos como undades
ectoras de dscos compactos.
/opt/ Paquetes de apcacones esttcas.
/proc/ Sstema de fcheros vrtua que documenta sucesos y estados de
nceo. Contene prncpamente fcheros de texto.
/root/ (opcional) Drectoro de nco de usuaro root (sper-usuaro).
/sbin/ Bnaros de admnstracn de sstema.
/tmp/ Fcheros temporaes
/srv/ Datos especfcos de sto servdos por e sstema.
/usr/ |erarqua secundara para datos compartdos de so ectura (Unx
system resources). Este drectoro debe poder ser compartdo para
mtpes anftrones y no debe contener datos especfcos de
anftrn que os comparte.
/usr/bin/ Mandatos bnaros.
/usr/include/ Fcheros de ncusn estndar (cabeceras de cabecera utzados
para desarroo).
/usr/lib/ Bbotecas compartdas.
/usr/share/ Datos compartdos ndependentes de a arqutectura de sstema.
Imgenes, fcheros de texto, etc.
/usr/src/ (opcional) Cdgos fuente.
/usr/X11R6/ (opcional) Sstema X Wndow, versn 11, anzamento 6.
/usr/local/ |erarqua tercara para datos compartdos de so ectura
especfcos de anftrn.
/var/ Fcheros varabes como son: btcoras, bases de datos, drectoro
raz de servdores HTTP y FTP, coas de correo, fcheros temporaes,
etc.
/var/account/ (opcional) Procesa btcoras de cuentas de usuaros.
/var/cache/ Cache da datos de apcacones.
/var/crash/ (opcional) Depsto de nformacn referente a estreamentos de sstema.
/var/games/ (opional) Datos varabes de apcacones para |uegos.
/var/lib/ Informacn de estado varabe. Agunos servdores como MySOL y
PostgreSOL amacenan sus bases de datos en drectoros
26
subordnados de ste.
/var/lock/ Fcheros de boqueo.
/var/log/ Fcheros y drectoros de btcoras.
/var/mail/ (opcional) Buzones de correo de usuaros.
/var/opt/ Datos varabes de /opt/.
/var/spool/ Coas y carretes de datos de apcacones.
/var/tmp/ Fcheros temporaes preservados entre rencos.
Ms detaes acerca de FSH en http://www.pathname.com/fhs/.
2%3% <articiones recomendadas para instalar GNU/Linux
Como mnmo se requeren tres partcones:
/boot
Por o menos 75 MB. Asgnar ms espaco puede consderarse
desperdco.
/
350 a 512 MB.
Swap
Debe asgnarse e doble del tama#o del (=: f.sico; esta ser
sempre a tma partcn de dsco duro y no se e asgna punto de
monta|e.
Otras partcones que se recomenda asgnar son:
/usr
Por o menos 1.5 GB en nstaacones bscas. Debe consderarse
todo e sustento gco a utzar a futuro. Para uso genera, se
recomendan no menos de 5 GB. De ser posbe, consdere un
tamao ptmo de hasta 8 GB en nstaacones promedo.
/tmp
350 MB y se puede asgnar hasta 2 GB o ms dependendo de a
carga de traba|o y tpo de apcacones. S por e|empo e sstema
cuenta con un grabador de DVD, ser necesaro asgnar a /tmp e
espaco sufcente para amacenar una magen de dsco DVD, es
decr, a menos 4.2 GB.
/var
Un m.nimo de 512 MB en estacones de traba|o sin servicios. En
servdores, reguarmente se e asgna cuando menos la mitad del
disco duro.
/home
En estacones de traba|o se asgna cuando menos a mtad de dsco
duro a esta partcn.
27
3% Instalacin en modo texto de $ent0S 4
Autor: $oel Barrios /ue,as
Correo electrnico: darkshram@gmail.com
sitio de Red: http://joel-barrios.blogspot.com/
Jabber I: dar0s!ram1jabber.or%
stos.
3%+% <rocedimientos%
Inserte e dsco de nstaacn de CentOS y en cuanto aparezca e dogo de nco (boot:), puse a
teca EN>E( o ben ngrese as opcones de nstaacn deseadas. Para fnes prctcos, ngrese
Ilinux textJ para ncar a nstaacn en modo texto.
28
S desea verfcar a ntegrdad de dsco a partr de cua se reazar a nstaacn, seeccone I0KJ
y puse a teca EN>E(, consdere que esto puede demorar varos mnutos. S est seguro de que e
dsco o dscos a partr de os cuaes se reazar a nstaacn estn en buen estado, seeccone
ISLipJ y puse a teca EN>E(.
Puse a teca EN>E( en a pantaa de benvenda a programa de nstaacn de CentOS.
29
Seeccone ISpanis'J como doma para ser utzado durante a nstaacn.
Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa IesJ corresponde a
a dsposcn de tecado Espao Espaa. E mapa Ilatin)+J corresponde a a dsposcn de
tecado Espao Latno Amercano.
30
Seeccone I$ustomJ y uego puse a teca EN>E( para reazar una nstaacn personazada.
No utce I<articin autom;ticaJ, a menos de que dsponga de muy poco espaco en dsco duro.
Seeccone I"isL "ruidJ y puse a teca EN>E( para ngresar a a herramenta para partcones de
dsco duro.
31
Proceda a crea una nueva partcn seecconado INuevoJ y pusando a teca EN>E(.
Asgne 100 MB a a partcn /boot y defna sta como partcn prmara, sempre que a taba de
partcones o permta.
32
S est conforme, seeccone otra vez INuevoJ y proceda a crear a sguente partcn.
Asgne a a partcn / e resto de espaco dsponbe menos o que tenga cacuado asgnar para a
partcn de ntercambo (200% de a memora fsca, o cuanto baste para 2 GB). Se recomenda
asgnar / como partcn prmara, sempre que a taba de partcones o permta.
33
S est conforme, seeccone otra vez INuevoJ y proceda a crear a sguente partcn.
La partcn para a memora de ntercambo no requere punto de monta|e. Seeccone en e campo
de I>ipo de sistema de arc'ivosJ a opcn IsMapJ, asgne e 200% de a memora fsca (o
cuanto basta para 2 GB). Por tratarse de a tma partcn de a taba, es buena dea asgnare e
espaco por rango.
34
S est conforme con a taba de partcones creada, seeccone I=$E<>=(J y puse a teca EN>E(
para satar a a sguente pantaa.
Seeccone que se utzar e gestor de arranque GRUB y puse a teca EN>E( para satar a a
sguente pantaa.
35
S necesta pasar agn parmetro en partcuar a nceo (kerne), como por e|empo, a resoucn
de pantaa para e modo texto, ngrese en e campo correspondente aqueo que sea necesaro. En
a mayora de os casos no necestar ngresar parmetro aguno.
Por motvos de segurdad, y prncpamente con a fnadad de mpedr que aguen sn autorzacn
y con acceso fsco a sstema pueda ncar e sstema en nve de corrda 1, o cuaquera otro,
asgne, con confrmacn, una cave de acceso excusva para e gestor de arranque. A termnar,
puse a teca EN>E( para satar a a sguente pantaa.
36
De haber otro sstema operatvo nstaado en e sstema, seeccone e que utzar para ncar de
forma predetermnada. S soo est nstaando Lnux, soo puse a teca EN>E( para satar a a
sguente pantaa.
Seeccone que e gestor de arranque se nstae en e sector maestro de dsco duro (:!( o :aster
!oot (ecord). A termnar, puse a teca EN>E( para satar a a sguente pantaa.
37
Defna a dreccn IP y mscara de subred que utzar en adeante e sstema. Confrme con e
admnstrador de a red donde se ocace que estos datos sean correctos antes de contnuar. A
termnar, puse a teca EN>E( para satar a a sguente pantaa.
Defna a dreccn IP de a puerta de enace y as dreccones IP de os servdores DNS de os que
dsponga. A termnar, puse a teca EN>E( para satar a a sguente pantaa.
38
Asgne un nombre de anftrn (HOSTNAME) para e sstema. Se recomenda que dcho nombre sea
un 7A"N (7uy Auafed "oman Name) resueto a menos en un DNS oca. A termnar, puse a
teca EN>E( para satar a a sguente pantaa.
No confgure cortafuegos en este momento. La herramenta utzada para ta fn, s2stem)confi*)
securit2level, crea un cortafuegos smpe y con muchas mtacones. Se recomenda consderar
otras aternatvas como Frestarter o Shorewa.
39
Seeccone proceder y puse a teca EN>E( a fn de satar a confguracn de cortafuegos.
De|e actvo SELnux, ya que ste proveer a sstema de segurdad adcona.
40
Agregue e soporte para domas adconaes de acuerdo a pas donde se hospedar e sstema. S
emna ISpanis' NSpainCJ, se emnar a documentacn y soporte para espao genrco, por o
que o es convenente de|ar dcha casa habtada.
Seeccone e doma predetermnado a utzar en e sstema
41
Seeccone a casa IS2stem clocL uses U>$J, que sgnfca que e reo| de sstema utzar U>$
(>empo Unversa $oordnado), que es e sucesor de G:> (b>Greenwch :ean >me, que sgnfca
Tempo Promedo de Greenwch), y es a zona horara de referenca respecto a a cua se cacuan
todas as otras zonas de mundo. Puse a teca de tabuacn una vez y seeccone a zona horara
que corresponda a a regn donde se hospedar fscamente e sstema.
42
Asgne una cave de acceso a usuaro root. Debe escrbra dos veces a fn de verfcar que est
concde con o que reamente se espera. Por razones de segurdad, se recomenda asgnar una
cave de acceso que evte utzar paabras provenentes de cuaquer dcconaro, en cuaquer
doma, as como cuaquer combnacn que tenga reacn con datos personaes.
43
Reace una nstaacn con e mnmo de paquetes, desactvando todas as casas de cada grupo
de paquetes. E ob|eto de esto es soo nstaar o mnmo necesaro para e funconamento de
sstema operatvo, y permtr nstaar, posterormente, soo aqueo que reamente se requera de
acuerdo a a fnadad productva que tendr e sstema.
Antes de ncar a nstaacn sobre e dsco duro, e sstema e nformar respecto a que se
guardar un regstro de proceso en s en e fchero /root/install%lo*. Soo puse a teca EN>E(
mentras est seecconado I=$E<>=(J.
44
S ncar de forma automtca e proceso de formato de as partcones que haya creado para
nstaar e sstema operatvo.
Se reazar de forma automtca a transferenca de de una magen de programa de nstaacn
haca e dsco duro, con a fnadad de agzar e procedmento.
45
Incar a nstaacn de os paquetes necesaros para e funconamento de sstema operatvo.
Espere agunos mnutos hasta que concuya e proceso.
Una vez concuda a nstaacn de os paquetes, proceda a pusar a teca EN>E( para rencar e
sstema.
46
4% Instalacin en modo *r;fico de $ent0S 4
1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as condcones sguentes: a) Debe
reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales% c) S atera o transforma esta obra, o genera una obra dervada, so puede
dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas
condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados
por o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e
usuaro o ector hace ma uso de stos.
Inserte e dsco de nstaacn de CentOS y en cuanto aparezca e dogo de nco (boot:), puse a
teca EN>E( o ben ngrese as opcones de nstaacn deseadas.
47
S desea verfcar a ntegrdad de dsco a partr de cua se reazar a nstaacn, seeccone I0KJ
y puse a teca EN>E(, consdere que esto puede demorar varos mnutos. S est seguro de que e
dsco o dscos a partr de os cuaes se reazar a nstaacn estn en buen estado, seeccone
ISLipJ y puse a teca EN>E(.
Haga cc sobre e botn INextJ en cuanto aparezca a pantaa de benvenda de CentOS.
48
Seeccone ISpanis'J como doma para ser utzado durante a nstaacn.
Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa ISpanis'J
corresponde a a dsposcn de tecado Espao Espaa. A termnar, haga cc sobre e botn
ISi*uienteJ.
49
S es necesaro, e mapa ILatin =mericanJ corresponde a a dsposcn de tecado Espao Latno
Amercano. A termnar, haga cc sobre e botn ISi*uienteJ.
Haga cc sobre e botn ISi*uienteJ y espere a que e sstema ntente detectar nstaacones
prevas de CentOS.
50
Seeccone e tpo de nstaacn I<ersonali8adaJ para reazar esta con un mayor contro de as
opcones dsponbes. A termnar, haga cc sobre e botn ISi*uienteJ.
No utce I<articionamiento =utom;ticoJ, a menos de que dsponga de muy poco espaco en
dsco duro. Seeccone I"isL "ruidJ. A termnar, haga cc sobre e botn ISi*uienteJ para
ngresar a a herramenta para partcones de dsco duro.
51
La herramenta de partcones mostrar e espaco dsponbe. Haga cc en e botn INuevoJ.
Asgne 100 MB a a partcn /boot y defna sta como partcn prmara, sempre que a taba de
partcones o permta.
52
S est conforme, haga cc otra vez en e botn INuevoJ y proceda a crear a sguente partcn.
Asgne a a partcn / e resto de espaco dsponbe menos o que tenga cacuado asgnar para a
partcn de ntercambo (200% de a memora fsca, o cuanto baste para 2 GB). Se recomenda
asgnar / como partcn prmara, sempre que a taba de partcones o permta.
53
S est conforme, haga cc otra vez en e botn INuevoJ y proceda a crear a sguente partcn.
La partcn para a memora de ntercambo no requere punto de monta|e. Seeccone en e campo
de I>ipo de sistema de arc'ivosJ a opcn IsMapJ, asgne e 200% de a memora fsca (o
cuanto basta para 2 GB). Por tratarse de a tma partcn de a taba, es buena dea asgnare e
espaco por rango, especfcando vaores geramente por deba|o y geramente por arrba de o
paneado.
54
S est conforme con a taba de partcones creada, seeccone I=$E<>=(J y haga cc sobre e
botn Isi*uienteJ para pasar a a sguente pantaa.
Por motvos de segurdad, y prncpamente con a fnadad de mpedr que aguen sn autorzacn
y con acceso fsco a sstema pueda ncar e sstema en nve de corrda 1, o cuaquera otro, haga
cc en a casa IUsar la contrase#a del *estor de arranGueJ.
55
Se abrr una ventana emergente donde deber ngresar, con confrmacn, a cave de acceso
excusva para e gestor de arranque. A termnar, haga cc sobre e botn I=ceptarJ.
A termnar, haga cc sobre e botn ISi*uienteJ.
56
Para confgurar os parmetros de red de sstema, haga cc sobre e botn I:odificarJ para a
nterfaz eth0.
En a ventana emergente para modfcar a nterfaz eth0, desactve a casa I$onfi*urar usando
"H$<J y especfque a dreccn IP y mscara de subred que utzar en adeante e sstema.
Confrme con e admnstrador de a red donde se ocace que estos datos sean correctos antes de
contnuar. A termnar, haga cc sobre e botn I=ceptarJ.
57
Asgne un nombre de anftrn (HOSTNAME) para e sstema. Se recomenda que dcho nombre sea
un 7A"N (7uy Auafed "oman Name) resueto a menos en un DNS oca. Defna, adems, en
esta msma pantaa, a dreccn IP de a puerta de enace y as dreccones IP de os servdores DNS
de os que dsponga. A termnar, haga cc sobre e botn ISi*uienteJ.
No confgure cortafuegos en este momento. La herramenta utzada para ta fn, s2stem)confi*)
securit2level, crea un cortafuegos smpe y con muchas mtacones. Se recomenda consderar
otras aternatvas como Frestarter o Shorewa. De|e actvo SELnux, ya que ste proveer a sstema
de segurdad adcona. A termnar, haga cc sobre e botn ISi*uienteJ.
58
Haga cc sobre e botn I<rocederJ a fn de satar a confguracn de cortafuegos.
Agregue e soporte para domas adconaes de acuerdo a pas donde se hospedar e sstema. S
emna ISpanis' NSpainCJ, se emnar a documentacn y soporte para espao genrco, por o
que o es convenente de|ar dcha casa habtada. Fnamente, seeccone e doma
predetermnado a utzar en e sstema. A termnar, haga cc sobre e botn ISi*uienteJ.
59
Seeccone a casa IEl sistema 'orario usar; U>$J, que sgnfca que e reo| de sstema
utzar U>$ (>empo Unversa $oordnado), que es e sucesor de G:> (b>Greenwch :ean >me,
que sgnfca Tempo Promedo de Greenwch), y es a zona horara de referenca respecto a a cua
se cacuan todas as otras zonas de mundo. Haga cc con e ratn sobre a regn que corresponda
en e mapa munda o seeccone en e sguente campo a zona horara que corresponda a a regn
donde se hospedar fscamente e sstema.
60
Asgne una cave de acceso a usuaro root. Debe escrbra dos veces a fn de verfcar que est
concde con o que reamente se espera. Por razones de segurdad, se recomenda asgnar una
cave de acceso que evte utzar paabras provenentes de cuaquer dcconaro, en cuaquer
doma, as como cuaquer combnacn que tenga reacn con datos personaes.
A termnar, haga cc sobre e botn ISi*uienteJ, y espere a que e sstema haga a ectura de
nformacn de os grupos de paquetes.
61
En a sguente pantaa podr seecconar os grupos de paquetes que quera nstaar en e sstema.
Aada o emne a su convenenca.
Lo recomendado, sobre todo s se trata de un servdor, es reazar una nstaacn con e mnmo de
paquetes, actvando a casa I:.nimoJ que est a fna de a sta de grupos de paquetes. E
ob|eto de esto es soo nstaar o mnmo necesaro para e funconamento de sstema operatvo, y
permtr nstaar, posterormente, soo aqueo que reamente se requera de acuerdo a a fnadad
productva que tendr e sstema. A termnar, haga cc sobre e botn ISi*uienteJ.
62
Una vez hecho o anteror, haga cc sobre e botn ISi*uienteJ a fin de iniciar el proceso%
S ncar de forma automtca e proceso de formato de as partcones que haya creado para
nstaar e sstema operatvo.
63
Se reazar de forma automtca a transferenca de de una magen de programa de nstaacn
haca e dsco duro, con a fnadad de agzar e procedmento.
Espere a que se termnen os preparatvos de proceso de nstaacn.
64
Incar a nstaacn de os paquetes necesaros para e funconamento de sstema operatvo.
Espere agunos mnutos hasta que concuya e proceso.
Una vez concuda a nstaacn de os paquetes, haga cc sobre e botn I(einiciarJ.
65
5% $mo iniciar el modo de rescate en $ent0S 4%
utor, |oe Barros Dueas
$orreo electrnico, darLs'ramO*mail%com
stos.
Inserte e dsco de nstaacn de CentOS y en cuanto aparezca e dogo de nco (boot:), ngrese
linux rescue para dar comenzo a modo de rescate.
En cuanto nce e programa, e|a ISpanis'J (espao) como e doma a utzar.
66
Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa IesJ corresponde a
a dsposcn de tecado Espao Espaa. E mapa Ilatin)+J corresponde a a dsposcn de
tecado Espao Latno Amercano.
E programa preguntar s desea actvar as tar|etas de red presentes en e sstema. Responda que
si. Resuta muy convenente, para agunas tareas de mantenmento y reparacones, contar con
conectvdad.
67
Defna a dreccn I< y mscara de subred que utzar en adeante e sstema. Confrme con e
admnstrador de a red donde se ocace que estos datos sean correctos antes de contnuar. A
termnar, puse a teca EN>E( para satar a a sguente pantaa.
Defna a dreccn I< de a puerta de enace y as dreccones IP de os servdores "NS de os que
dsponga. A termnar, puse a teca EN>E( para satar a a sguente pantaa.
68
Puede eegr $ontinuar para montar e sstema en modo de ectura y escrtura, para reazar tareas
admnstratvas y modfcacones en confguracones, o ben en modo de Solo Lectura, para reazar
verfcacn y reparacn de sstema de fcheros.
Una vez hecha a eeccn, e sstema e ndcar que e sstema se ha montado ba|o
/mnt/s2sima*e y que s desea que ste sstema de fcheros sea e entorno de root, soo deber
utzar c'root /mnt/s2sima*e. Soo puse a teca EN>E( para sar a ntrprete de mandatos.
69
Desde e ntrprete de mandatos se pueden reazar tareas admnstratvas y correctvas,
dependendo de a stuacn y as condcones. Utce c'root /mnt/s2sima*e para cambar e
entorno de root haca e sstema de fcheros en dsco duro, o ben utce herramentas, como fscL,
para reazar otras operacones.
70
6% Iniciando el sistema en nivel de corrida +
Nnivel mono)usuarioC%
stos.
6%+% Introduccin%
Exsten stuacones en as cuaes se puede requerr e nco de sstema en nve de corrda 1 o nve
mono-usuaro a fn de reazar tareas de mantenmento o, en su defecto, reparacones.
6%2% <rocedimientos%
A ncar e sstema, ste o har presentando a pantaa de gestor de arranque conocdo como
Grub presentando una pantaa smar a a sguente:
Grub version 0.93 (639K lower / 261056K upper memory)
_________________________________________________________________
|Wi!e "o# $n!erprise %inu# (2.&.21'15.0.&.$%) |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
(se !e )n* !e !o sele+! wi+ en!ry is i,li,!e*.
-ress en!er !o boo! !e sele+!e* ./ or 0p0 !o en!er )
p)sswor* !o unlo+1 !e ne#! se! o2 2e)!ures.
71
Puse a teca 'p' e ngrese a cave de acceso defnda desde e programa de nstaacn de sstema
operatvo:
_________________________________________________________________
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
-ress en!er !o boo! !e sele+!e* ./ or 0p0 !o en!er )
p)sswor* !o unlo+1 !e ne#! se! o2 2e)!ures.
-)sswor*3444444
E texto de opcones cambar despus de ngresar a cave de acceso correcta:
_________________________________________________________________
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
-ress en!er !o boo! !e sele+!e* ./5 0e0 !o e*i! !e
+omm)n*s be2ore boo!in,5 0)0 !o mo*i2y !e 1ernel )r,umen!s
be2ore boo!in,5 or 0+0 2or ) +omm)n* line.
72
Puse a teca 'e' para modfcar as opcones de arranque de nceo seecconado:
_________________________________________________________________
|roo! (*050) |
|1ernel /vmlinu6'2.&.21'15.0.&.$% ro roo!7%8"$%7/ |
|ini!r* /ini!r*'2.&.21'15.0.&.$%.im, |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
-ress 0b0 !o boo!5 0e0 !oe*i! !e sele+!e* +omm)n* in !e
boo! se9uen+e5 0+0 2or ) +omm)n* line5 0o0 !o open ) new line
)2!er (000 2or be2ore) !e sele+!e* line5 0*0 !o remove !e
sele+!e* line5 or es+)pe !o ,o b)+1 !o !e m)in menu.
Seeccone a nea referente a nceo y vueva a pusar a teca 'e' a fn de modfcar dcha nea:
_________________________________________________________________
|roo! (*050) |
|1ernel /vmlinu6'2.&.21'15.0.&.$% ro roo!7%8"$%7/ |
|ini!r* /ini!r*'2.&.21'15.0.&.$%.im, |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
73
Agregue un espaco y un nmero 1 a fna de a nea y puse a teca ENTER
: ;inim)l "8/<'li1e line e*i!in, is suppor!e*. =or !e
2irs! wor*5 >8"
lis! possible +omm)n* +omple!i!ions. 8nywere else >8"
lis!s !e
possible +omple!i!ions o2 ) *evi+e/2ilen)me. $/? )!
)ny +)n+els.
$@>$A )! )ny !ime )++ep!s your +)n,es B
,rub e*i!C 1ernel /vmlinu6'2.&.21'15.0.&.$% ro roo!7%8"$%7/ 1
Regresar a a pantaa anteror. Smpemente puse a teca 'b' para ncar e sstema en nve de
corrda 1:
_________________________________________________________________
|roo! (*050) |
|1ernel /vmlinu6'2.&.21'15.0.&.$% ro roo!7%8"$%7/ 1 |
|ini!r* /ini!r*'2.&.21'15.0.&.$%.im, |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
74
7% <rocedimientos de emer*encia
stos.
7%+% Introduccin
En ocasones suee ser necesaro reazar tareas de mantenmento y de reparacn en e sstema de
archvos. Estas stuacones requeren que e admnstrador conozca a menos as herramentas
correspondentes.
7%2% "isco de rescate
E prmer dsco de nstaacn de Red Hat Enterprse Lnux 3 y Whte Box Enterprse Lnux 3 ncuye
a opcn de ncar e sstema en modo de rescate desde ste. Soo bastar dgtar nux rescue en
e avso de nco (prompt) que aparece a arrancar e sstema con e dsco 1:
boot: linux rescue
Despus de ncar, confgurar e tecado y, de forma opcona, a conectvdad a travs de
dspostvos de red, se ngresar a un nterprete de mandatos (BASH) con un con|unto bsco de
herramentas que permtrn reazar tareas de mantenmento y reparacn.
Dgte o sguente a fn de mostrar en pantaa as partcones de sstema:
df -h
Lo anteror deber mostrar ago parecdo a o sguente:
!ficheros "ama#o $sado %isp $so& 'ontado en
/dev/sda( 1)* +!,* -!(* .+& /
/dev/sda1 /6' ,!1' 6+' 1(& /boot
none )0/' 0 )0/' 0& /dev/shm
/dev/hda) +0* .)* (!6* -+& /home
/dev/sdb. (!0* .6' 1!-* (& /tmp
/dev/sdb1 6!+* +!0* (!(* 66& /usr/local
/dev/sdb) 6!+* +!.* 1!,* /1& /usr/src
/dev/sdb( (!0* )/0' 1!+* .0& /var
/dev/hda6 1-* 1/* --,' -)& /var/ftp
/dev/hda( 6!0* ()/' )!+* )& /var/lib
/dev/hda1 6!-* /-(' )!,* 1(& /var/111
75
7%3% Perificacin de la inte*ridad del disco
La verfcacn de cuaquer partcn de dsco duro requere, necesaramente, desmontar antes
sta. Una vez hecho esto es posbe reazar una verfcacn utzando o sguente, consderando en
e e|empo que se ntenta verfcar a partcn /dev/'da+:
fsck -f2 /dev/hda1
De ser necesara una verfcacn de superfce en busca de sectores daados, considerando Gue
dic'o proceso puede demorar incluso varias 'oras, se puede utzar o sguente:
fsck -f2c /dev/hda1
7%4% =si*nacin de formato de las particiones
Cuando a stuacn o amerte, ser posbe dar formato a una partcn en partcuar utzando o
sguente, consderando en e e|empo que se ntenta proporconar formato EXT3 a a partcn
/dev/'da+:
mkfs!ext. /dev/hda1
Se encuentran tambn dsponbes as sguentes herramentas para asgnacn de formato:
mkfs.ext2
mkfs.vfat (fat32)
mkfs.msdos (fat16)
mkswap
S se necesta dar un formato de ba|o nve a fn de emnar toda a nformacn de dsco duro,
puede utzarse o sguente, consderando en e e|empo que se ntenta dar formato de ba|o nve a
dsco duro /dev/'da, para escrbr 0 (ceros) en cada sector de dsco duro.
dd if3/dev/4ero of3/dev/hda
S se requere, tambn es posbe dar formato de ba|o nve escrbendo nmeros aeatoros en
todos os sectores de dsco duro:
dd if3/dev/urandom of3/dev/hda
76
9% $mo confi*urar 2 utili8ar Sudo
$oel Barrios /ue,as
dar0s!ram1%mail.com
stos.
9%+% Introduccin%
Sudo es una herramenta de sstema que permte a os usuaros reazar a e|ecucn de mandatos
como superusuaro u otro usuaro de acuerdo a como se especfque en e fchero /etc/sudoers,
donde se determna quen est autorzado. Los nmeros de dentdad de usuaro y de grupo (UID y
GID) reaes y efectvas se estabecen para guaar a aqueas de usuaro ob|etvo como est
especfcado en e fchero /etc/passMd.
De modo predetermnado sudo requere que os usuaros se autentquen as msmos con su propa
cave de acceso (nunca la clave de acceso de root). Una vez que e usuaro se ha autentcado, e
usuaro podr utzar nuevamente sudo sn necesdad de vover a autentcarse durante 5 mnutos,
savo que se especfque o contraro en e fchero /etc/sudoers. S e usuaro e|ecuta e mandato
sudo )v podr refrescar ste perodo de tempo sn necesdad de tener que e|ecutar un mandato, en
cuyo caso contraro exprar esta autentcacn y ser necesaro vover a reazara.
S un usuaro no stado en e fchero /etc/sudoers. trata de e|ecutar un mandato a travs de sudo,
se regstra a actvdad en a btcora de sstema (a travs de s2slo*d) y se enva un mensa|e de
correo eectrnco a admnstrador de sstema (root).
9%+%+% Historia%
Sudo fue ncamente concebdo en 1980 por Bob Coggesha y Cff Spencer de departamento de
cenca computacona en SUNY (State Unversty of New York o Unversdad Estata de Nueva York),
en Buffao.
En 1985 se pubc e grupo de notcas net.sources una versn me|orada acredtada a Ph Betche,
Cff Spencer, Gretchen Phps, |ohn LoVerso y Don Gworek. Garth Snyder pubc otra versn
me|orada en e verano de 1986 y durante os sguentes cnco aos fue mantendo con a
coaboracn de muchas personas, ncuyendo Bob Coggesha, Bob Manchek, y Trent Hen.
En 1991 Dave Heb y |eff Neusma escrberon una nueva versn con un formato me|orado para e
fchero /etc/sudoers ba|o contrato con a frma consutora The Root Group, versn que
posterormente fue pubcada ba|o os trmnos de a Lcenca Pbca Genera de GNU (GNU/GPL).
Desde 1996 e proyecto es mantendo por Todd Mer con a coaboracn de Chrs |epeway y Aaron
Spanger.
9%2% 7ic'ero /etc/sudoers
E fchero /etc/sudoers se edta con e mandato visudo, herramenta que a travs de v permte
reazar cambos y verfcar sntaxs y errores. S se trata de modfcar drectamente /etc/sudoers,
77
ste tene permsos de soo ectura.
La sntaxs bsca de una sta sera:
XXXX56lias 78'9R:;<"6 3 elemento1= elemento(= elemento.
La sntaxs bsca de una rega sera:
>usuario= &grupo= 78'9R:;<"6? >anfitri@n? 3 (id de usuario a usar) mandatos
Se pueden defnr Aases y regas. Los aases permten defnr una sta de mandatos , una sta de
usuaros, un asta de anftrones o ben e|ecutar como otros usuaros.
9%2%+% $mndQ=lias%
Amnd56lias '67%6"8B""C% 3 /sbin/service httpd restart= D
/usr/bin/vim /etc/httpd/conf!d/variables!conf= D
/usr/bin/vim /etc/php!ini
Lo anteror defne una sta de mandatos que podran utzarse para rencar e servco de httpd,
modfcar un fchero de confguracn en a ruta /etc/'ttpd/conf%d/varables%conf y modfcar e
fchero
fulano 6;; 3 '67%6"8B""C%
Lo anteror defne que e usuaro fuano puede utzar os mandatos de a sta MANDATOSHTTPD
desde cuaquer anftrn.
9%2%2% UserQ=lias%
$ser56lias $$6R<8B""C 3 fulano= mengano= 4utano
Lo anteror defne una sta denomnada H>><USE(S, ntegrada por os usuaros fuano, mengano y
zutano.
$$6R<8B""C 6;; 3 /usr/bin/vim
La rega anteror defne que os usuaros que conforman a sta USU=(I0SH>>< pueden utzar e
mandato vm desde cuaquer anftrn.
9%2%3% HostQ=lias%
Bost56lias B8"B""C% 3 1-(!16,!0!()= 1-(!16,!0!(6= 1-(!16,!0!(.
Lo anteror defne que a sta H0S>SH>><" est ntegrada por as 3 dreccones IP stadas
anterormente. S adems se aade a sguente rega:
$$6R<8B""C% B8"B""C% 3 6%'<7B""C%
78
Lo anteror defne que os usuaros de a sta H>><"USE(S pueden utzar os mandatos stados
en =":INH>><" soamente s estn conectados desde as dreccones IP stadas en
H0S>SH>><".
9%2%4% (unasQ=lias%
S por e|empo se qusera que os usuaros de a sta USU=(I0SH>>< puderan adems utzar os
mandatos s, rm, chmod, cp, mv, mkdr, touch y vm como e usuaros |uan, pedro y hugo, se
requere defnr una sta para estos mandatos y otra para os aases de usuaros aternos, y a rega
correspondente.
Runas56lias A;<:7":1 3 Euan= pedro= hugo
Amnd56lias '67%6"8A;<:7": 3 /bin/ls= D
/bin/rm= D
/bin/chmod= D
/bin/cp= /bin/mv= D
/bin/mkdir= D
/bin/touch= D
/usr/bin/vim
$$6R<8B""C% B8"B""C% 3 (A;<:7":1) '67%6"8A;<:7":
Lo anteror permte a os usuaros defndos en USU=(I0SH>><" (fuano, mengano y zutano),
utzar os mandatos defndos en :=N"=>0S$LIEN>ES (s, rm, chmod, cp, mv, mkdr, touch y
vm) dentfcndose como os usuaros defndos en $LIEN>ES+ (|uan, pedro y hugo) soamente s
se reaza desde as dreccones IP stadas en H0S>SH>><" (192.168.0.25, 192.168.0.26,
192.168.0.23).
9%3% $andados de se*uridad%
Sudo ncuye varos candados de segurdad que mpden se puedan reazar tareas pegrosas.
S se defne e mandato /usr/bin/vim en /etc/sudoers, se podr hacer uso de ste de os sguentes
modos:
F sudo /usr/bin/vim
F sudo vim
Sn embargo, no podr ser utzado as:
F cd /usr/bin
F sudo !/vim
S se defne e mandato /bin/ec'o, e usuaro podr utzaro de os sguentes modos:
F sudo /bin/echo GBolaG
F sudo echo GBolaG
Pero no podr utzaro de a sguente forma:
F sudo echo GBolaG H algo!txt
79
Para poder reazar a operacn anteror, tendra que utzar:
F sudo bash -c Gecho IBolaI H algo!txtG
Sudo e permtr reazar una tarea sobre cuaquer fchero dentro de cuaquer drectoro an s no
tene permsos de acceso para ngresar a dcho drectoro sempre y cuando especfque la ruta
exacta de dcho fchero.
F sudo cho1n named /var/named/dominio!4one
Pero no podr utzaro as:
F sudo cho1n named /var/named/J!4one
9%4% Lo Gue no se recomienda%
S se quere permtr a un usuaro utzar lo Gue sea, desde cuaquer anftrn, cmo cuaquer
usuaro de sstema y sin necesidad de autenticar, se puede smpemente defnr:
fulano 6;; 3 (6;;) 78C6K%: 6;;
9%5% 7acilitando la vida a travFs de R/%bas'Qprofile%
BASH (!ourne-=gan S'e) permte utzar varabes de entorno y aases defndas en
R/%bas'Qprofile a ncar a sesn, sendo que e admnstrador utzar actvamente muchos
mandatos dversos, estos se pueden smpfcar a travs de aases que resuman stos. Por e|empo,
s se quere defnr que se utce sudo cada vez que se nvoque a mandato c'Lconfi*, se puede
aadr o sguente a fchero R/%bas'Qprofile:
alias chkconfig3Gsudo /sbin/chkconfigG
Lo anteror permtr e|ecutar drectamente e mandato c'Lconfi* sn necesdad de preceder ste
con e mandato sudo. A contnuacn s dversos aases que pueden ser de utdad en e fchero
R/%bas'Qprofile y que permtrn utzar mandatos dversos con sudo.
80
L !bash5profile
L *et the aliases and functions
if > -f M/!bashrc ?N then
! M/!bashrc
fi
L $ser specific environment and startup programs
C6"B3FC6"B:FB8':/bin3/sbin3/usr/sbin
export C6"B
unset $:R76':
)li)s +1+on2i,7Dsu*o /sbin/+1+on2i,D
)li)s servi+e7Dsu*o /sbin/servi+eD
)li)s rou!e7Dsu*o /sbin/rou!eD
)li)s *epmo*7Dsu*o /sbin/*epmo*D
)li)s i2+on2i,7Dsu*o /sbin/i2+on2i,D
)li)s +mo*7Dsu*o /bin/+mo*D
)li)s +own7Dsu*o /bin/+ownD
)li)s +,rp7Dsu*o /bin/+,rpD
)li)s user)**7Dsu*o /usr/sbin/user)**D
)li)s user*el7Dsu*o /usr/sbin/user*elD
)li)s ,roup)**7Dsu*o /usr/sbin/,roup)**D
)li)s ,roup*el7Dsu*o /usr/sbin/,roup*elD
)li)s e*9uo!)7Dsu*o /usr/sbin/e*9uo!)D
)li)s vi7Dsu*o /usr/bin/vimD
)li)s less7Dsu*o /usr/bin/lessD
)li)s !)il7Dsu*o /usr/bin/!)ilD
)li)s yum7Dsu*o /usr/bin/yumD
)li)s s)slp)ssw*27Dsu*o /usr/sbin/s)slp)ssw*2D
)li)s !p)ssw*7Dsu*o /usr/bin/!p)ssw*D
)li)s openssl7Dsu*o /usr/bin/opensslD
)li)s smbp)ssw*7Dsu*o /usr/bin/smbp)ssw*D
)li)s sys!em'+on2i,'prin!er7Dsu*o /usr/sbin/sys!em'+on2i,'prin!erD
)li)s sys!em'+on2i,'ne!wor17Dsu*o /usr/sbin/sys!em'+on2i,'ne!wor1D
)li)s sys!em'+on2i,'*ispl)y7Dsu*o /usr/bin/sys!em'+on2i,'*ispl)yD
Para que surtan efectos os cambos, hay que sar de a sesn y vover a ngresar a sstema con a
msma cuenta de usuaro, en cuyo fchero R/%bas'Qprofile se aaderon estos aases.
81
S% $mo crear cuentas de usuario
$oel Barrios /ue,as
dar0s!ram1%mail.com
stos.
S%+% Introduccin
GNU/Lnux es un sstema operatvo con muchas caracterstcas y una de eas es que se dse
para ser utzado por mtpes usuaros. An cuando se tenga una PC con un nco usuaro, es
mportante recordar que no es convenente reazar e traba|o daro desde a cuenta de root, msma
que so debe utzarse para a admnstracn de sstema .
Una cuenta de usuario contene as restrccones necesaras para mpedr que se e|ecuten
mandatos que puedan daar e sstema 8pro%ramas troyanos como el Bliss8, se atere
accdentamente a confguracn de sstema, os servcos que traba|an en e trasfondo, os
permsos y ubcacn de os archvos y drectoros de sstema, etc.
S%2% <rocedimientos
Generamente e paso que procede a una nstaacn de GNU/Lnux es a creacn de cuentas de
usuaro. Para eo exsten dstntos mtodos, todos sencos que permten crear una cuenta con su
propo drectoro de traba|o y os archvos necesaros.
Actuamente exsten recursos como e programa nstaador de Red Hat Lnux y programas que
funconan desde un entorno grfco, como es Lnuxconf y Webmn, as como recursos que funconan
en modo de texto o desde una ventana termna, como son os mandatos tradconaes, useradd y
pass4d, y agunos otros programas, como YaST y a versn correspondente de Lnuxconf o
Webmn.
S%2%+% $reando una cuenta en el modo de texto, useradd 2 pass!d
Este procedmento puede reazarse de forma segura tanto fuera de X Wndow como desde una
ventana termna en e entorno grfco de que se dsponga. Fue e mtodo comnmente utzado
antes de a aparcn de programas como YaST y Lnuxconf. Sn embargo an resuta t para a
admnstracn de servdores, cuando no se tene nstaado X Wndow, no se tenen nstaados
YaST o Lnuxconf 8o las versiones de estos que se !an instalado no trabajan correctamente8, o ben
se tenen mtacones o probemas para utzar un entorno grfco.
S%2%+%+% Lo primero, el mandato useradd
E prmer paso para crear una nueva cuenta consste en utzar e mandato useradd de sguente
modo:
useradd nombre5del5usuario
82
E|empo:
useradd fulano
S%2%+%2% Lo se*undo, el mandato pass!d
E paso sguente despus de crear a nueva cuenta con useradd es especfcar una contrasea
para e usuaro. Determne una que e resute fc de recordar, que mezce nmeros, mayscuas y
mnscuas y que, preferentemente, no contenga paabras que se encontraran fcmente en e
dcconaro. Exsten otras recomendacones, por o que es convenente eer, antes de contnuar, os
comentaros fnaes acerca de a segurdad ncudos en este msmo artcuo.
Aunque e sstema sempre tratar de prevenro cuando se esco|a una mala contrasea, ste no e
mpedr que o haga. Especfcar una nueva contrasea para un usuaro, o ben cambar a
exstente, se puede reazar utzando e mandato pass!d de sguente modo:
pass1d nombre5del5usuario
E|empo:
pass1d fulano
E sstema soctar entonces que proceda a escrbr a nueva contrasea para e usuaro y que
repta sta para confrmar. Por segurdad, e sstema no mostrar os caracteres teceados, por o
que debe hacero con cudado. S se consdera que ta vez se cometeron errores de teceado, puede
presonarse as veces que sean necesaras a teca <Backspace> o <Retroceso>. De cuaquer
forma e sstema e nformar s concde o no o teceado. S todo sa ben recbr como respuesta
de sstema code ". S en cambo recbe code #, sgnfcar que deber repetr e procedmento, en
vrtud de haberse producdo un error.
Este procedmento tambn puede utzarse para cambar una contrasea exstente.
S%2%+%3% 0pciones avan8adas
En muchos casos as opcones pueden no ser necesaras, pero s se est admnstrando un servdor
o estacn de traba|o, o ben se es un usuaro un poco ms expermentado, y se quere crear una
cuenta con mayores o menores restrccones, atrbutos y/o permsos, pueden utzarse as
sguentes opcones de useradd:
-c comment
Se utza para especfcar e archvo de comentaro de campo para a nueva cuenta.
-d home dr
Se utza para estabecer e drectoro de traba|o de usuaro. Es convenente, a fn de tener un sstema
ben organzado, que este se ocace dentro de drectoro 3!ome.
-e expre date
Se utza para estabecer a fecha de expracn de una cuenta de usuaro. sta debe ngresarse en e
sguente formato: AAAA-MM-DD.
-g nta group
Se utza para estabecer e grupo nca a que pertenecer e usuaro. De forma predetermnada se
estabece como nco grupo #. Nota: e grupo asgnado debe exstr.
83
-G group,|...|
Se utza para estabecer grupos adconaes a os que pertenecer e usuaro. stos deben separarse
utzando una coma y sn espacos. Lo anteror es muy convenente cuando se desea que e usuaro
tenga acceso a determnados recursos de sstema, como acceso a a undad de dsquetes, admnstracn
de cuentas PPP y POP. Nota: os grupos asgnado deben de exstr.
-m
Se utza para especfcar que e drectoro de traba|o de usuaro debe ser creado s acaso este no
exstese, y se coparn dentro de ste os archvos especfcados en 3etc3s0el.
-s she
Se utza para estabecer e ntrprete de mandatos que podr utzar e usuaro. De forma
predetermnada, en Red Hat Lnux y Fedora Core, se estabece bas! como ntrpete de mandatos
predefndo.
-u ud
Se utza para estabecer e UID, es decr, a ID de usuaro. Este debe ser nco. De forma predetermnada
se estabece como UID e nmero mnmo mayor a 99 y mayor que e de otro usuaro exstente. Cuando se
crea una cuenta de usuaro por prmera vez, como ocurre en Red Hat Lnux y Fedora Core
generamente se asgnar 9:: como UID de usuaro. Los UID entre 0 y 99 son reservados para as cuentas
de os servcos de sstema.
E|empo:
useradd -u )00 -d /home/fulano -* flopp2=pppusers=popusers fulano
Lo anteror crear una cuenta de usuaro amada fuano, que se encuentra ncuda en os grupos
foppy, pppusers y popusers, que tendr un UID=500; utzar Bash como ntrprete de mandatos y
tendr un drectoro de traba|o en /home/fuano.
Exsten ms opcones y comentaros adconaes para e mandato useradd, as que se encuentran
especfcadas en os manuaes. Para acceder a esta nformacn, utce e mandato man useradd
desde una ventana termna.
S%2%2% Eliminar una cuenta de usuario
En ocasones un admnstrador necestar emnar una o ms cuentas de usuaro. Este es un
procedmento prncpamente utzado en servdores y estacones de traba|o a os cuaes acceden
mtpes usuaros. Para ta fn nos vadremos de mandato userdel. La sntaxs bsca de este
mandato es a sguente:
userdel nombre_del_usuario
E|empo:
userdel fulano
S se desea emnar tambn todos os archvos y drectoros subordnados contendos dentro de
drectoro de traba|o de usuaro a emnar, se deber agregar a opcn -r:
userdel -r nombre5del5usuario
E|empo:
84
userdel -r fulano
S%3% :ane-o de *rupos
S%3%+% =lta de *rupos
groupadd grupo-Oue-sea
S%3%2% =lta de *rupos de sistema
Un grupo de sstema es aque que tene un nmero de dentdad de grupo (GID) por deba|o de 500.
Reguarmente se asgna automtcamente e nmero de dentdad de grupo ms ba|o dsponbe.
groupadd -r grupo-Oue-sea
S%3%3% !a-a de *rupos
groupdel grupo-Oue-sea
S%3%4% =si*nacin de usuarios existentes a *rupos existentes
gpass1d -a usuario-Oue-sea grupo-Oue-sea
S%4% $omentarios finales acerca de la se*uridad
Cuando, en a mayora de os casos, un dencuente nformtco consgue nftrarse en un sstema
GNU/Lnux o Unx no es porque ste cuente con un hueco de segurdad, sno porque e ntruso
pudo vunerar aguna de as contraseas de as cuentas exstentes. S usted especfc durante e
proceso de nstaacn de Lnux una mala contrasea de root, ago muy comn entre usuaros
novcos, es atamente recomendado cambara.
Evte especfcar contraseas fces de advnar . Con esto nos refermos partcuarmente a
utzar contraseas que utcen paabras ncudas en cuaquer dcconaro de cuaquer
doma, datos reaconados con e usuaro o empresa, como son e regstro federa de
causantes (R.F.C.), fechas de nacmento, nmeros teefncos, seguro soca, nmeros de
cuentas de acadmcos o aumnos y nombres de mascotas, a paabra .inu(;, nombres de
persona|es de cenca fccn, etc.
Evte escrbr as contraseas sobre medos fscos, prefera sempre mtarse a memorzaras.
S necesta amacenar contraseas en un archvo, hgao utzando cfrado.
S se e dfcuta memorzar contraseas compe|as, utce entonces contraseas fces de
recordar, pero c;mbielas peridicamente.
|ams proporcone una contrasea a personas o nsttucones que se a socten. Evte
proporconara en especa a personas que se dentfquen como membros de agn servco
de soporte o ventas. Este tmo caso o mencona con nfass a pgna de manua de
mandato pass!d.
Consderaremos como una buena contrasea aquea se compone de una combnacn de nmeros
85
y etras mayscuas y mnscuas y que contene a menos 8 caracteres. Tambn es posbe utzar
pares de paabras con puntuacn nsertada y frases o secuencas de paabras, o ben acrnmos de
stas.
Observar estas recomendacones, prncpamente en sstemas con acceso a redes ocaes y/o
pbcas como Internet, har que e sstema sea ms seguro.
86
S%5% =pFndice, $onfi*urando valores predefinidos para el alta de
cuentas de usuario
S%5%+% 7ic'ero /etc/default/useradd para definir variables utili8adas por el
mandato useradd
Como root, utce un edtor de texto sobre /etc/default/useradd. Encontrar, nvarabemente, e
sguente contendo:
L useradd defaults file
*R8$C3100
B8':3/home
<76A"<P:3-1
:XC<R:3
B:;;3/bin/bash
Q:;3/etc/skel
Puede cambar o vaores que consdere convenentes.
S%5%+%+% Pariable H0:E
E drectoro de nco de usuaro ser creado dentro de /home, de acuerdo a como se estpua en
Est;ndar de erarGu.a de Sistema de 7ic'eros o FHS (7esystem Herarchy Standard). E vaor
de esta varabe puede ser cambado de acuerdo a as necesdades o preferencas de admnstrador.
Por e|empo, en e caso de un sstema dedcado a servco de hospeda|e de stos de red vrtuaes a
travs de HTTPD, pudera preferrse utzar /var/111 para este fn a modo de smpfcar tareas para
e admnstrador de sstema.
En otros casos, especfcamente en servdores de correo, donde se quere apcar una soa cuota de
disco genera para buzn de correo y carpetas de correo en e drectoro de nco, pudera crearse
un drectoro dentro de /var, como por e|empo /var/home o /var/users, de modo que a apcar
cuota de dsco sobre a partcn /var, sta nvoucrara tanto e buzn de entrada de usuaro,
ocazado en /var/spool/mail/usuario, como as carpetas de correo en e drectoro de nco de
usuaro, ocazados dentro de drectoro /var/home/usuario/mail/.
S%5%+%2% Pariable SHELL
E ntrprete de mandatos a utzar para as nuevas cuentas que sean creadas en adeante se defne
a travs de a varabe SHELL. De modo predefndo e sstema asgna /bin/bash (BASH o !ourne
=gan S'e) como ntrprete de mandatos; sn embargo o certo es que s e sstema se utzar
como servdor, o ms convenente sera asgnare de modo predefndo otro vaor.
E ms utzado es /sbin/nolo,in, e cua es un programa que de forma corts rechaza e ngreso
en e sstema (ogn). Muestra un mensa|e respecto a que a cuenta no est dsponbe (o ben o que
se defna en /etc/nologin!txt) y da sada. Se utza como reempazo de un ntrprete de
mandatos en cuentas que han sdo desactvadas o ben que no se quere accedan haca un
ntrprete de mandatos. Este programa regstra en a btcora de sstema todo ntento de acceso.
Para utzaro como vaor para a varabe SHELL, so hay que cambar SHELLT/bin/bas' por
SHELLT/sbin/nolo*in.
L useradd defaults file
GROUP=100
87
B8':3/home
<76A"<P:3-1
:XC<R:3
/<$%%7/sbin/nolo,in
Q:;3/etc/skel
En adeante todo nuevo usuaro que sea dado de ata en e sstema con e mandato useradd sn
parmetro aguno, de modo predefndo no podr acceder a sstema a travs de ntrprete de
mandatos (she), es decr, acceso en termna oca o remotamente. Los usuaros con estas
caracterstcas podrn, sn embargo, utzar cuaquer otro servcos como FTP, correo o Samba sn
probema aguno.
Otros vaores para a varabe SHELL pueden ser:
/sbin/nolo*in, programa que de forma corts rechaza e ngreso en e sstema (ogn).
/bin/false, programa que reaza sada nmedata ndcando faa. Es decr, que no
permte a reazacn de cosa aguna y adems con faa. Idea s se quere tener
cuentas de usuaro con acceso haca FTP, correo, Samba, etc., aunque sn permtr e
acceso haca un ntrprete de mandatos.
/dev/null, e dspostvo nuo que descarta todos os datos escrtos sobre ste y no
provee datos para cuaquer proceso que o ea. Idea para defnrse cuando se quere
utzar una cuenta que so tenga acceso a correo (SMTP, POP3, IMAP y/o cente de
correo con nterfaz HTTP).
/bin/bas', ntrprete de mandatos desarroado por e proyecto GNU. Es e ntrprete
de mandatos predefndo en Lnux y Mac OS X (a partr de Tger).
/bin/s', un enace smbco que apunta haca /bn/bash y ofrece una versn
smpfcada de Bash muy smar a Bourne She (sh).
/bin/tcs', una versn me|orada de de mandatos de C (csh).
/bin/as', un con de Bourne she (sh) que utza menos memora.
/bin/8s', una versn me|orada de sh con funcones tes encontradas en Bash y tcsh.
S%5%2% "irectorio /etc/sLel como molde para crear los directorios de inicio
de los usuarios
De modo predefndo as cuentas de usuaro de sstema utzarn como mode a drectoro
/etc/skel para crear e drectoro de nco de todos os usuaros de sstema. En sstemas basados
sobre Red Hat, reguarmente y como mnmo, e drectoro /etc/skel ncuye os sguentes
guones de nco:
!bash5logout !bash5profile !bashrc !gtkrc
S, por e|empo, se desea que cada cuenta de usuaro ncuya un drectoro subordnado para
carpetas de correo y suscrpcn a stas a travs de servco de IMAP, se debe reazar e sguente
procedmento:
mkdir /etc/skel/mail/
touch /etc/skel/mail/9orradores
touch /etc/skel/mail/:nviados
touch /etc/skel/mail/Capelera
Y ,fnamente, crear con el editor de texto e fchero /etc/skel/!mailboxlist que srve para
regstrar as suscrpcones haca carpetas de correo que sern utzadas por e servco IMAP con un
servdor UW-IMAP, utzando e sguente contendo:
88
mail/9orradores
mail/:nviados
mail/Capelera
S se pretende utzar modo grfco en e sstema, de forma adcona se puede corregr un probema
con agunas versones de Frefox que generan un drectoro -/.moza con permsos de acceso so
para root, de modo ta que a aadro en /etc/ske se ncuya un drectoro -/.moza con permsos
de acceso para e usuaro a crear cada cuenta de usuaro.
mkdir /etc/skel/!mo4illa
S%6% =pFndice, E-ercicio, $reando cuentas de usuario
S%6%+% Introduccin
A fn de poder traba|ar con comoddad, se crearn agunos grupos y cuentas de usuaro con dversas
caracterstcas.
S%6%2% <rocedimientos
1. Genere contendo predefndo para os drectoros de nco a fn de que e de cada usuaro
contenga os drectoro subordnados -/Desktop, -/Documents, -/ma y -/.moza:
ls -a /etc/skel
mkdir /etc/skel/R%esktop=%ocuments=mail=!mo4illaS
ls -a /etc/skel
2. Genere, s no o ha hecho an como parte de os procedmentos de curso, a usuaro
denomnado fuano con derecho a ntrprete de mandatos, drectoro de nco /'ome/fulano y
grupo prncpa fuano (vaores por defecto):
useradd -s /bin/b)s fulano
pass1d fulano
3. Genere a usuaro denomnado mengano sn derecho a ntrprete de mandatos, asgnando e
drectoro de nco /'ome/men*ano y grupo prncpa mengano (vaores por defecto):
useradd -s /sbin/nolo,in mengano
pass1d mengano
4. Genere e grupo denomnado desarroo:
groupadd desarrollo
5. Genere e grupo denomnado sstemas como grupo de sstema:
groupadd 'r sistemas
6. Genere os drectoros subordnados /'ome/desarrollo y /'ome/sistemas/ de sguente modo:
89
mkdir -p /home/desarrollo
mkdir -p /home/sistemas
7. Genere a usuaro denomnado perengano con derecho a ntrprete de mandatos, asgnando e
drectoro de nco /home/desarrollo/perengano, grupo prncpa de desarroo y grupo adcona
sstemas:
useradd -s /bin/bash -m -d /ome/*es)rrollo/peren,)no ', *es)rrollo -*
sistemas perengano
pass1d perengano
8. Genere a usuaro denomnado zutano con derecho a ntrprete de mandatos, asgnando e
drectoro de nco /home/sistemas/zutano, grupo prncpa sstemas y grupo adcona de
desarroo:
useradd -s /bin/bash -m -d /ome/sis!em)s/6u!)no ', sis!em)s -*
desarrollo 4utano
pass1d 4utano
9. Vsuace e contendo de os fcheros /etc/*roup y /etc/passMd y compare y determne as
dferencas entre os grupos desarroo y sstemas y os usuaros fuano, mengano,
perengano y zutano.
cat /etc/group
cat /etc/pass1d
90
+0% !reve leccin de mandatos b;sicos
stos.
+0%+% Introduccin
Por favor si*a los procedimientos al pie de la letra.
+0%2% <rocedimientos
Ingrese a sstema como usuaro (fuano).
Una vez que ha ngresado a sstema, reace o sguente:
p1d
Lo anteror e mostrar a ruta actua donde se ocaza (/'ome/fulano).
Reace o sguente:
cd /usr/local
p1d
Lo anteror o cambar a drectoro /usr/local y e mostrar a ruta actua.
Reace o sguente:
cd
p1d
Lo anteror o regresar a /'ome/fulano/ y mostrar que ahora se ocaza en e drectoro
/'ome/fulano/%
Reace o sguente:
ls /usr/local
Lo anteror mostrar e contendo de drectoro /usr/local as como mostrar que no es necesaro
cambarse a un drectoro en partcuar para ver su contendo.
Reace o sguente:
91
ls
ls -a
Lo anteror prmeramente mostrar que aparentemente no hay contendo en e drectoro
/home/fuano; despus se mostrar o sguente y que en readad s hay contendo. Los fcheros y
drectoros de converten a ocutos a renombrares y poneres un punto a nco.
!bash5logout !bash5profile !bashrc
Reace o sguente:
ls -la
Lo anteror deber mostrar todo e contendo de /'ome/fulano as como os atrbutos y permsos:
dr1xr-xr-x ( fulano fulano +0-6 ago 1. 00:16 !
dr1xr-xr-x (6 root root ,1-( ago (- 11:0- !!
-r1-r--r-- 1 fulano fulano (+ dic 11 (00. !bash5logout
-r1-r--r-- 1 fulano fulano 1-1 dic 11 (00. !bash5profile
-r1-r--r-- 1 fulano fulano 1(+ dic 11 (00. !bashrc
Reace o sguente:
ls --help
Lo anteror e mostrar a ayuda rpda de s. Puse smutneamente en su tecado os botones
<SHIFT> y <Re Pg> y uego puse smutneamente en su tecado os botones <SHIFT> y <Av
Pg>; sto har que se despace a pantaa permtendo eer toda a nformacn.
Puse e botn <ENTER> y reace o sguente:
man ls
Lo anteror e mostrar e manua en espao. Puse as tecas de <Av Pg> y <Reg Pg> para
avanzar en e manua. Puse a teca / y a contnuacn ngrese nmedatamente a paabra
drectoro y uego puse a teca <ENTER>:
:/directorio
Lo anteror e mostrar que se ha reazado una bsqueda y resatado de a paabra drectoro en
e manua de s. Para sar de manua de s, puse a teca G.
Reace o sguente para crear un nuevo drectoro:
mkdir eEemplos1
Reace o sguente para ntentar generar un subdrectoro denomnado uno dentro de drectoro
e|empos2 (e cua no exste an).
92
mkdir eEemplos(/uno/
Lo anteror deber devover un mensa|e de error como e sguente:
mkdir: no se puede crear el directorio ejemplos2/uno: No existe el fichero o el directorio
A fn de poder crear e subdrectoro uno dentro de drectoro e|empos2, es necesaro crear
prmero e|empos2. Sn embargo puede ndcare a mkdr que genere toda a ruta aadendo a
opcn -p (path):
mkdir -p eEemplos(/uno
ls
ls eEemplos(
Lo anteror cre e drectoro e|empos2 |unto con e subdrectoro uno en su nteror y mostr
que fue creado e|empos2 y posterormente e contendo de e|empos2 para verfcar que
tambn fue creado uno.
Ahora coparemos agunos fcheros para expermentar un poco dentro de esta carpeta utzando e
mandato cp:
cp /etc/fstab /home/fulano/eEemplos1/
Vueva a utzar e mandato cp de este modo:
cp /etc/pass1d /home/fulano/eEemplos1/
Con os dos procedmentos anterores habr copado dos dstntos fcheros (/etc/fstab y
/etc/passMd) dentro de drectoro ejemplos<. Proceda entonces a |ugar con stos. Utce de nuevo
e mandato mLdir y genere una carpeta denomnada adicional dentro de drectoro de e-emplos+.
mkdir /home/fulano/eEemplos1/adicional
Ahora acceda haca e drectoro de ejemplos< para contnuar. Reace o sguente:
cd /home/fulano/eEemplos1/
Proceda a ver e contendo de esta carpeta. Utce e sguente mandato:
ls
Observar en a pantaa ago como esto:
>fulanoTlocalhost eEemplos1?F
adicional fstab pass1d
Ahora est vsuazando os fcheros fstab y passMd y e drectoro adicional
93
Mueva uno de estos fcheros dentro de drectoro adicional utzando e mandato mv:
mv fstab adicional
Para ver e resutado, prmero vea que ocurr en e drectoro e-emplos+ utzando de nuevo e
mandato ls:
ls
Observar una sada en pantaa smar a a sguente:
adicional pass1d
Acceda haca e drectoro adicional con e mandato cd
cd adicional
Se observar una sada smar a a sguente:
>fulanoTlocalhost adicional?F
fstab
>fulanoTlocalhost adicional?F

Regrese haca e drectoro e-emplos+ que se encuentra en e nve superor utzando e mandato
cd:
cd !!/
Ahora proceda a emnar e fchero passMd que se encuentra en e drectoro e-emplos+
rm pass1d
Haga o msmo con fstab, e cua se ocaza dentro de drectoro adicional:
rm adicional/fstab
Emne e drectoro adicional:
rmdir adicional
+0%2%+% !ucles
A contnuacn aprender a utzar funcones ms avanzadas. En e sguente caso usted crear
respados de un con|unto de fcheros de mgenes, asgnando a cada uno un nombre dstnto a que
tenan en su drectoro de orgen. Prmero crear un nuevo drectoro:
94
mkdir M/respaldos
Reace os sguentes mandatos:
+* /usr/s)re/pi#m)ps/
for f in J!png
do
cp Ff M/respaldos/copia-Ff
done
cd
Lo anteror reazar a copa en sere de os fcheros dentro de /usr/s'are/pixmaps/ y dentro de
R/respaldos/ anteponendo en e nombre de as copas a paabra copa. Mre e contendo de
R/respaldos/ de sguente modo:
ls M/respaldos/
En e sguente caso usted defnr dos varabes ($hombre y $mu|er) cuyos datos sern obtendos a
partr de un fchero de texto smpe (pare|as.txt) y obtendr una sada por cada |uego de varabes.
cd
echo GUuan UosefinaG HH pareEas!txt
echo GCedro UulietaG HH pareEas!txt
echo GCablo 'iriamG HH pareEas!txt
echo GUorge 6ntoniaG HH pareEas!txt
echo G:rnesto AarmenG HH pareEas!txt
1hile read hombre muEer
do
echo GFhombre es pareEa de FmuEerG
echo G----------------------------------------G
done V pareEas!txt
+0%2%2% =liases
Reace o sguente:
touch algo-nuevo!txt
touch otro-nuevo!txt
cp algo-nuevo!txt otro-nuevo!txt
Para o anteror se crearon con e mandato touc' os fcheros al*o)nuevo%txt y otro)nuevo%txt y
se reaz una copa de al*o)nuevo%txt sobreescrbendo otro)nuevo%txt. Note que se
sobreescrb a otro)nuevo%txt sn preguntar.
E|ecute ahora o sguente:
alias cp3Gcp -iG
cp algo-nuevo!txt otro-nuevo!txt
En o anteror se cre un aas denomnado cp que corresponde en readad a mandato cp con a
opcn )i, a cua corresponde a preguntar s se sobreescrben fcheros reguares destno exstentes.
Cuando se e|ecuta de nuevo e mandato cp, ste o hace drectamente con a opcn )i.
95
Para deshacer e aas sobre e mandato cp, so basta e|ecutar:
unalias cp
Reace o sguente para crear un nuevo mandato como alias:
alias mi-mandato3Gls -l WlessG
Lo anteror crea un alias denomnado mi)mandato, e cua corresponder a e|ecutar e mandato s
con a opcn - as como e|ecutar como subrutna a mandato ess. E|ecute mi)mandato de
sguente modo y estude a sada.
mi-mandato /etc
Lo anteror debe haber mostrado e contendo de drectoro /etc utzando less para poder
despazar cmodamente a pantaa. Para sar de less soo puse a teca G.
Los aases creados perduran hasta que es cerrada a sesn de usuaro. Para que cuaquer aas
sea permanente para un usuaro en partcuar, hay que especfcar estos a fna de fchero
R/%bas'Qprofile, o ben como root en agn fchero *.sh dentro de drectoro /etc/profile%d/ para
que sea utzado por todos os usuaros de sstema. E|ecute e mandato alias para ver a sta de
aases predefndos en e sstema.
alias
+0%2%3% =pa*ado 2 reinicio de sistema
Fnamente, y para concur a breve eccn de mandatos, es mportante saber que aunque no se
vea nada en pantaa, en Lnux empean varos procesos en e trasfondo. Estos servcos deben ser
fnazados apropadamente. No es como en MS-DOS, en donde se poda apagar e sstema en
cuaquer momento. Hay que cerrar e sstema apropadamente. Para ta fn se utzan poMeroff y
reboot.
Para cerrar y apagar e sstema, debe utzar e sguente mandato:
po1eroff
Para cerrar y rencar e sstema, debe utzarse e sguente mandato:
reboot
+0%3% (esumen de mandatos b;sicos
Puede y debe obtener ms detaes acerca de estos y otros muchos ms mandatos utzando a
opcn ))'elp con cas cuaquer mandato. Puede consutar e manua detaado de cas cuaquer
mandato conocdo dgtando man precedendo de mandato a consutar:
man >nombre del mandato?
Para sar de as pgnas de manua de mandatos soo tecee q.
96
>abla +% (esumen de mandatos b;sicos%
S se necesta acceder haca una
carpeta en especa, utce:
cd ruta exacta o relativa!
S se necesta crear una nueva
carpeta, utce:
mkdir nombre del directorio!
S se desea copar un fchero,
utce:
cp ori"en! destino!
S se desea mover un fchero,
utce:
mv ruta del fichero a mover! directorio en donde se
desea mover!
S se desea emnar un fchero,
utce:
rm nombre del fichero o ruta exacta hacia el fichero!
S se desea emnar una
carpeta, utce:
rmdir nombre del fichero o ruta exacta hacia el
directorio!
S se desea apagar o rencar e
sstema, utce:
poweroff # reboot $pueden ser utili%ados como usuario&
shutdown 'h 'r! now ()2)*)+),)-...! $solo como root
97
++% 7unciones b;sicas de vi
stos.
++%+% Introduccin
v es uno de os edtores de texto ms poderosos y ae|os que hay en e mundo de a nformtca.
Resuta sumamente t conocer a funconadad bsca de v a fn de factar a edcn de fcheros
de texto smpe, prncpamente fcheros de confguracn.
++%2% <rocedimientos
++%2%+% Instalacin 2 paGuetes adicionales
Por o genera, v se nstaa de modo predefndo en a mayora de as dstrbucones de GNU/Lnux a
travs de paquete vim)minimal. Puede aadrse funconadad adcona a travs de os sguentes
paquetes:
vim)
en'anced,
Una versn me|orada de v que aade coor a a sntaxs y otras
me|oras en a nterfaz.
vim)E++: Versn de v para modo grfco que resuta ms fc de utzar
gracas a os mens y barra de herramentas.
S o desea, puede proceder a nstaar v y e resto de os paquetes reaconados reazando o
sguente:
2um -2 install vim vim-enhanced vim-common vim-minimal
++%3% $onociendo vi
Acceda a sstema autentcando como usuaro (fuano) y reace o sguente:
vi holamundo!txt
Lo anteror mostrar una nterfaz como a sguente:
98
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
Gholamundo!txtG >Xichero nuevo? 0=0-1 "odo
Puse una vez e botn <INSERT> de su tecado y observe os cambos en a pantaa
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
'' E@/$A>8A '' 0-1 "odo
Note que en a parte nferor de a pantaa aparece a paabra INSE(>=(. Esto sgnfca que, a
gua que cuaquer otro edtor de texto conocdo, puede comenzar a nsertar texto en e fchero.
Escrba a frase Lnux Para Todos, puse a teca <ENTER> y escriba de forma propostva a frase
un vuen cto donde empesa:
99
;inux Cara "odos
un vuen citio donde empesar
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
'' E@/$A>8A '' 0-1 "odo
Poscone e cursor de tecado |usto por deba|o de a v de a paabra vuen y puse de nuevo a
teca <INSERT> de tecado. Notar que ahora aparece a paabra REEMPLAZAR:
;inux Cara "odos
un vuen citio donde empesar
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
'' A$$;-%8F8A '' 0-1 "odo
Puse a teca b y observe como se reempaza a etra v dando como resutado que a paabra
quede ortogrfcamente correcta como buen:
100
;inux Cara "odos
un buen citio donde empesar
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
'' A$$;-%8F8A '' 0-1 "odo
Mueva e cursor con as fechas de tecado y repta e procedmento reempazando a etra c por
una s en a paabra cto de modo que quede como sto y de gua modo reempace a etra
s por una z en a paabra reempasar de modo que quede como empezar:
;inux Cara "odos
un buen sitio donde empe4ar
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
'' A$$;-%8F8A '' 0-1 "odo
Puse a teca <ESC> para sar de modo de reempazo e nmedatamente puse a teca : (dos
puntos) segudo de a etra w a fn de proceder a guardar e fchero en e dsco duro:
101
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
:1
Puse a teca <ENTER> y notar que aparece un mensa|e en a parte nferor de a pantaa que
ndcar que e fchero ha sdo guardado:
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
Gholamundo!txtG >7uevo? (;= ++A escritos (=. "odo
Vueva a pusar a teca , (dos puntos) e nmedatamente escrba saveas adosmundo.txt:
102
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
:saveas adiosmunto!txt
Puse nuevamente a teca <ENTER> y observe e mensa|e en a parte nferor de a pantaa que
ndca que e fchero acaba de ser guardado como adosmundo.txt:
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
Gadiosmundo!txtG >7uevo? (;= ++A escritos (=. "odo
Vueva a pusar a teca INSERT para regresar a modo de nsercn y escrba o sguente:
103
;inux Cara "odos
Areo Oue el mundo es un lugar mu2 malo
;a gente Oue cono4co es mala
'i vida ha sido mu2 mala
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
-- <7:R"6R -- )=(+ "odo
A contnuacn puse a teca <ESC> e nmedatamente puse a teca , (dos puntos) segudo de a
combnacn de tecas Us/mal/buen/* de sguente modo:
;inux Cara "odos
Areo Oue el mundo es un lugar mu2 malo
;a gente Oue cono4co es mala
'i vida ha sido mu2 mala
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
:&s/mal/buen/g
Puse de nuevo a teca <ENTER> y observe como ha sdo reempazada a cadena de caracteres
ma por a cadena de caracteres buen en todo e fchero, quedando de sguente modo:
104
;inux Cara "odos
Areo Oue el mundo es un lugar mu2 bueno
;a gente Oue cono4co es buena
'i vida ha sido mu2 buena
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
. sustituciones en . lYneas )=1 "odo
En e procedmento anteror, e smboo % ndcaba que se apcara un procedmento a todo e
fchero, no soo en a msma nea; a etra s ndcaba que se reazara a bsqueda de a cadena
de caracteres ma defnda despus de a dagona (/) por a cadena de caracteres buen en toda
a nea, ndcado por a etra g.
A contnuacn, poscone e cursor de tecado utzando as fechas de tecado hasta e prmer
carcter de a prmera nea:
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
. sustituciones en . lYneas )=1 "odo
105
Ahora puse dos veces consecutvas a teca d, es decr, pusar dd. Observe como desaparece
a prmera nea:
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M

Puse ahora a teca p para vover a pegar a nea:
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M

Observe que a nea Lnux Para Todos reaparec deba|o de a nea un buen sto donde
empezar. Utzando as fechas de tecado, cooque e cursor de tecado nuevamente sobre e
prmer carcter de a prmera nea de fchero, es decr, sobre a etra u de a nea un buen sto
106
donde empezar:
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
1=1 "odo
Vueva a pusar dd para cortar a nea un buen sto donde empezar e nmedatamente puse a
teca p para pegar a nea en e ugar correcto:
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
(=1 "odo
Cooque ahora e cursor sobre a etra C de a nea Creo que e mundo es un ugar muy bueno y
puse a teca 3 segudo de dd y observe como son cortadas as tres sguentes neas:
107
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
. lYneas menos (=1 "odo
Puse a teca p una vez, observe e resutado. Vueva a pusar a teca p y observe e resutado.
Las dos accones anterores aaderon ahora 6 neas restaurando as emnadas anterormente y
agregando tres neas ms con e msmo contendo:
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
. lYneas mZs (=1 "odo
Puse ahora a teca , (dos puntos) segudo de a teca x y a teca <ENTER> a fn de sar
guardando e fchero.
Abra nuevamente e fchero adiosmundo%txt con v y puse a combnacn de tecas ,/buen, de
modo que se reace una bsqueda de a cadena de caracteres buen y adems se resaten as
concdencas:
108
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
/buen (=1 "odo
Para cancear o que se encuentra resatado de os resutados, puse a combnacn de tecas ,no'l:
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
(=1 "odo
Puse = (combnacn de as tecas SHIFT+a) mentras e cursor permanece en a segunda nea y
observe que ncar e modo INSE(>=( coocando e cursor a fna de a nea donde se
encontraba:
109
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
'' E@/$A>8A '' (=1 "odo
Puse a teca <ESC> y enseguda o. Notar que ncar e modo INSE(>=( abrendo una nueva
nea:
;inux Cara "odos

M
M
M
M
M
M
M
M
M
M
M
'' E@/$A>8A '' .=1 "odo
Puse nuevamente a teca <ESC> y en seguda a combnacn dG (d, uego SHIFT+G). Notar que
se emna todo e contendo de texto desde a poscn de cursor hasta e fna de fchero:
110
;inux Cara "odos
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
M
/ lYneas menos (=1 "odo
Puse a combnacn ,u y notar que e cambo se ha descartado, regresando as 7 neas que
haban sdo emnadas:
;inux Cara "odos

M
M
M
M
M
M
M
M
M
M
M
/ lYneas mZs .=0-1 "odo
++%4% 0tras combinaciones de teclas
$ombinacin (esultado
|o ben a teca
nsert|
Inca nsertar texto antes de cursor
a Inca nsertar texto despuFs de cursor
111
$ombinacin (esultado
I ( + SHIFT) Inca nsertar texto a inicio de a nea donde se encuentra e
cursor
A (a + SHIFT) Inca nsertar texto a final de a nea donde se encuentra e
cursor.
o Abre una nueva nea e nca nsertar texto en a nueva nea.
x Emna e carcter que est sobre e cursor.
dd Emna a nea actua donde se encuentre e cursor.
D Emna desde a poscn actua de cursor hasta e fna de a
msma nea donde se encuentra e cursor.
dG Emna todo hasta e fna de fchero.
:q Aparece s no hubo cambos en e fcheros.
:q! Aparece descartando os cambos en e fchero.
:w Guarda e fchero sn sar.
:wq Guarda e fchero y sae de v.
:x Lo msmo que :wq
:saveas
/o/que/sea
Guarda e fchero como otro fchero donde sea necesaro.
:wq! ++enc=utf8 Codfca e fchero en UTF-8.
:u Deshacer cambos
:red Rehacer cambos.
:/cadena de
caracteres
Bsqueda de cadenas de caracteres.
:noh Cancear e resatado de resutados de Bsqueda.
++%5% :;s all; de las funciones b;sicas
Instae e paquete vm-enhanced:
2um -2 install vim-enhanced
Utce vimtutor y compete e tutor interactivo oficial de v a fn de que conozca e resto de as
funconadades ms mportantes.
112
+2% <ermisos del Sistema de 7ic'eros
stos.
+2%+% Introduccin
La asgnacn de permsos de acceso (de ectura, escrtura y e|ecucn) pueden asgnarse a travs
de modos, que son combnacones de nmeros de tres dgtos (usuaro, grupo y resto de mundo) y
e mandato c'mod.
+2%2% Notacin simblica
E esquema de notacn smbca se compone de 10 caracteres, donde e prmer carcter ndca e
tpo de fchero:
Palor "escripcin
- %enota un fichero regular!
d %enota un directorio!
b %enota un fichero especial de dispositivos de bloOue!
c %enota un fichero de carZcter especial
l %enota un enlace simb@lico!
p %enota una tuberYa nombrada (X<X8)
s %enota un 4@calo de dominio (socket)
Cada case de permsos es representada por un con|unto de tres caracteres. E prmer con|unto de
caracteres representa a case de usuaro, e segundo con|unto de tres caracteres representa a
case de grupo y e tercer con|unto representa a case de otros (resto de mundo). Cada uno de
os tres caracteres representa permsos de ectura, escrtura y e|ecucn, respectvamente y en ese
orden.
E|empos:
<ermisos "escripcin
*r1xr'#r-x Drectoro con permso 755.
+r1-rw'r-- Fchero de carcter especa con permso 664.
sr1xrw#r-x Zcao con permso 775.
pr1-rw'r-- Tubera (FIFO) con permso 664.
113
<ermisos "escripcin
'r1-r''r-- Fchero reguar con permso 644.
+2%3% Notacin octal
La notacn octa consste de vaores de tres a cuatro dgtos en base-8. Con a notacn octa de tres
dgtos cada nmero representa un componente dferente de permsos a estabecer: case de
usuaro, case de grupo y case de otros (resto de mundo), respectvamente. Cada uno de estos
dgtos es a suma de sus bts que o componen (en e sstema numera bnaro). Como resutado,
bts especfcos se aaden a a suma conforme son representados por un numera:
E Bt de e|ecucn aade + a a suma.
E bt de escrtura aade 2 a a suma.
E bt de ectura aade 4 a a suma.
Estos vaores nunca producen combnacones ambguas y cada una representa un con|unto de
permsos especfcos. De modo ta puede consderarse a sguente taba:
Palor <ermiso "ecripcin
0 - 7ada
1 x :Eecuci@n
( 1 :scritura
. 1x :scritura 2 eEecuci@n
+ r ;ectura
) rx ;ectura 2 :Eecuci@n
6 r1 ;ectura 2 :scritura
/ r1x ;ectura= :scritura 2 :Eecuci@n
Nota, 3 (wx) es e resutado de 1+2 (w+x). 5 (rx) es e resutado de 4+1 (r+x). 6 (rw) es e resutado
de 4+2 (r+w). 7 (rwx) es e resutado de 4+3 (r+xw).
+2%3%+% <ermisos adicionales
Hay una forma de cuatro dgtos. Ba|o este esquema e estndar de tres dgtos descrto arrba se
converte en os tmos tres dgtos de con|unto. E prmer dgto representa permsos adconaes.
En sstemas y sustento gco donde no puede ser omtdo este prmer dgto de con|unto de cuatro,
se estabece cero como vaor de ste.
E prmer dgto de con|unto de cuatro es tambn a suma de sus bts que e componen:
1. E bt pega|oso (stcky bt) aade + a tota de a suma.
2. E bt setgd aade 2 a tota de a suma.
3. E bt setud aade 4 a tota de a suma.
114
Lo que hace e permso SUID o bt setud es que cuando se ha estabecdo a e|ecucn, e proceso
resutante asumr a dentdad de usuaro dado en a case de usuaro (propetaro de eemento).
De a msma manera que e anteror, o que hace e permso SGID o bt setgd es que cuando se ha
estabecdo a e|ecucn, e proceso resutante asumr a dentdad de grupo dado en a case de
grupo (propetaro de eemento). Cuando setgd ha sdo apcado a un drectoro, todos os nuevos
fcheros creados deba|o de este drectoro heredarn e grupo propetaro de este msmo drectoro.
Cuando no se ha estabecdo setgd, e comportamento predefndo es asgnar e grupo de usuaro
a crear nuevos eementos.
E bt pega|oso (stcky bt) sgnfca que un usuaro so podr modfcar y emnar fcheros y
drectoros subordnados dentro de un drectoro que e pertenezca. En ausenca de bt pega|oso
(stcky bt) se apcan as regas generaes y e derecho de acceso de escrtura por s soo permte a
usuaro crear, modfcar y emnar fcheros y drectoros subordnados dentro de un drectoro. Los
drectoros a os cuaes se es ha estabecdo bt pega|oso restrngen as modfcacones de os
usuaros a so ad|untar contendo, mantenendo contro tota sobre sus propos fcheros y pueden
crear nuevos fcheros; sn embargo, so pueden ad|untar o aadr contendo a os fcheros de otros
usuaros. E bt pega|oso (stcky bt) es utzado en drectoros como /tmp y /var/spool/mail.
De modo ta puede consderarse a sguente taba:
Palor <ermiso "escripcin
1 --- --- --! bit pegaEoso
( --- --s --- bit setgid
. --- --s --! bit pegaEoso [ bit setgid
+ --s --- --- bit setuid
) --s --- --! bit setuid [ bit pegaEoso
6 --s --s --- bit setuid [ bit setgid
/ --s --s --! bit setuid [ bit setgid [ bit pegaEoso
Cuando un fchero no tene permsos de e|ecucn en aguna de as cases y e es asgnado un
permso especa, ste se representa con una etra mayscua.
<ermiso $lase E-ecuta No e-ecuta
setuid $suario s
setgid *rupo s
pegaEoso (stick2) 8tros t "
+2%4% E-emplos
+2%4%+% E-emplos de permisos re*ulares
<ermiso $lase de Usuario $lase de Grupo $lase de 0tros
0+00 r-- --- ---
0++0 r-- r-- ---
115
0+++ r-- r-- r--
0)00 r-x --- ---
0))0 r-x r-x ---
0))) r-x r-x r-x
06++ r1- r-- r--
066+ r1- r1- r--
0666 r1- r1- r1-
0/00 r1x --- ---
0/11 r1x --x --x
0/0/ r1x --- r1x
0/)0 r1x r-x ---
0/)) r1x r-x r-x
0/// r1x r1x r1x
+2%4%2% E-emplos de permisos especiales
16++ r1- r-- r->
26++ r1- r-/ r--
36++ r1- r-/ r->
&6++ r1/ r-- r--
56++ r1/ r-- r->
66++ r1/ r-/ r--
G6++ r1/ r-/ r->
1/// r1x r1x r1!
2/)) r1x r-s r-x
3/)) r1x r-s r-!
&/)) r1s r-x r-x
5/)) r1s r-x r-!
6/)) r1s r-s r-x
G/)) r1s r-s r-!
+2%5% Uso de c'mod
chmod >opciones? modo fichero
E|empo:
116
mkdir 'p //tmp/
touch //tmp/al"o.txt
ls 'l //tmp/al"o.txt
chmod 0,, //tmp/al"o.txt
ls 'l //tmp/al"o.txt
Lo anteror debe arro|ar una sada smar a a sguente:
fulano1localhost /!2 mkdir 'p //tmp/
fulano1localhost /!2 touch //tmp/al"o.txt
fulano1localhost /!2 ls 'l //tmp/al"o.txt
-rw-rw-r-- 1 fulano fulano 0 mar 2 15:09 /home/fulano/tmp/al"o.txt
fulano1localhost /!2 chmod 0,, //tmp/al"o.txt
fulano1localhost /!2 ls 'l //tmp/al"o.txt
-rwxr-xr-x 1 fulano fulano 0 mar 2 15:09 /home/fulano/tmp/al"o.txt
fulano1localhost /!2
+2%5%+% 0pciones de c'mod
Opcn "escripcin
-R Camba permsos de forma descendente en un drectoro dado. Es a nca
opcn de os estndares POSIX
-c Muestra que fcheros han cambado recentemente en una ubcacn dada
-f No muestra errores de fcheros o drectoros que no se hayan poddo
cambar
-v Descrpcn detaada de os mensa|es generados por e proceso
+2%5%2% El mandato c'mod 2 los enlaces simblicos
E mandato c'mod |ams camba os permsos de enaces smbcos; sn embargo no representa
un probema en vrtud de que |ams se utzan os permsos de os enaces smbcos. S se apca
e mandato c'mod sobre un enace smbco, se cambar e permso de fchero o drectoro haca
e cua apunta. Cuando se apca c'mod de forma descendente en un drectoro, ste gnora os
enaces smbcos que pudera encontrar en e recorrdo.
117
+3% $mo utili8ar el mandato c'attr%
stos.
+3%+% Introduccin%
+3%+%+% =cerca del mandato c'attr%
E mandato c'attr se utza para cambar os atrbutos de os sstemas de fcheros ext2 y ext3.
Desde certo punto de vsta, es anogo a mandato c'mod, pero con dferente sntaxs y opcones.
Utzado adecuadamente, dfcuta as accones en e sstema de fcheros por parte de un ntruso
que haya ogrado sufcentes prvegos en un sstema.
En a mayora de os casos, cuando un ntruso consgue sufcentes prvegos en un sstema, o
prmero que har ser emnar os regstros de sus actvdades modfcando estructuras de os
fcheros de btcoras de sstema y otros componentes. Utzar e mandato c'attr certamente no es
obstcuo para un usuaro experto, pero, afortunadamente, a gran mayora de os ntrusos
potencaes no sueen ser expertos en GNU/Lnux o Unx, dependendo enormemente de dversos
programas o guones (os denomnados root0its y +appers) para emnar aqueo que permta
descubrr sus actvdades.
Utzar e mandato c'attr, ncudo en e paquete e2fspro*s, que se nstaa de forma
predetermnada en todas as dstrbucones de GNU/Lnux por, tratarse de un componente esenca,
hace ms dfc borrar o aterar btcoras, fcheros de confguracn y componentes de sstema.
Theodore Ts'o es e desarroador y quen se encarga de mantener e2fspro*s, msmo que se
dstrbuye ba|o os trmnos de a cenca GNU/G<L, e ncuye otras herramentas como e2fsck,
e2abe, fsck.ext2, fsck.ext3, mkfs.ext2, mkfs.ext3, tune2fs y dumpe2fs, entre otras.
URL: http://e2fsprogs.sourceforge.net/
+3%2% 0pciones%
)( Camba recursvamente os atrbutos de drectoros y sus
contendos. Los enaces smbcos que se encuentren, son
gnorado
)P Sada de c'arttr ms descrptva, mostrando adems a
versn de programa.
)v Ver e nmero de versn de programa.
118
+3%3% 0peradores%
V Hace que se aadan os atrbutos especfcados a os
atrbutos exstentes de un fchero.
) Hace que se emnen os atrbutos especfcados de os
atrbutos exstentes de un fchero
T Hace que soamente haya os atrbutos especfcados.
+3%4% =tributos%
= Estabece que a fecha de tmo acceso (atme) no se
modfca.
a Estabece que e fchero soo se puede abrr en modo de
ad|untar para escrtura.
c Estabece que e fchero es comprmdo automtcamente en
e dsco por e nceo de sstema operatvo. A reazar ectura
de este fchero, se descomprmen os datos. La escrtura de
dcho fchero comprme os datos antes de amacenaros en e
dsco.
" Cuando se trata de un drectoro, estabece que os datos se
escrben de forma sncrnca en e dsco. Es decr, os datos
se escrben nmedatamente en ugar de esperar a operacn
correspondente de sstema operatvo. Es equvaente a a
opcn dirs2nc de mandato mount, pero apcada a un
subcon|unto de fcheros.
d Estabece que e fchero no sea canddato para respado a
utzar a herramenta dump.
i Estabece que e fchero ser nmutabe. Es decr, no puede
ser emnado, n renombrado, no se pueden apuntar enaces
smbcos, n escrbr datos en e fchero.
- En os sstemas de fcheros ext3, cuando se montan con as
opcones dataTordered o dataTMritebacL, se estabece
que e fchero ser escrto en e regstro por daro (ournal).
S e sstema de fcheros se monta con a opcn
dataT-ournal (opcn predetermnada), todo e sstema de
fcheros se escrbe en e regstro por daro y por o tanto e
atrbuto no tene efecto.
s Cuando un fchero tene este atrbuto, os boques utzados
en e dsco duro son escrtos con ceros, de modo que os
datos no se puedan recuperar por medo aguno. Es a forma
ms segura de emnar datos.
S Cuando e fchero tene este atrbuto, sus cambos son
escrtos de forma sncrnca en e dsco duro. Es decr, os
datos se escrben nmedatamente en ugar de esperar a
operacn correspondente de sstema operatvo. Es
equvaente a a opcn s2nc de mandato mount.
119
u Cuando un fchero con este atrbuto es emnado, sus
contendos son guardados permtendo recuperar e fchero
con herramentas para ta fn.
+3%5% Utili8acin%
chattr >-RP? [-3>6ac%diEsu? >-v versi@n? ficheros
+3%5%+% E-emplos%
e sguente mandato agrega e atrbuto nmutabe a fchero ago.txt..
chattr [i algo!txt
E sguente mandato emna e atrbuto nmutabe a fchero ago.txt.
chattr -i algo!txt
E sguente mandato agrega e modo de soo ad|untar para escrtura a fchero ago.txt.
chattr [a algo!txt
E sguente mandato emna e modo de soo ad|untar para escrtura a fchero ago.txt.
chattr -a algo!txt
E sguente mandato estabece que e fchero ago.txt soo tendr os atrbutos a, =, s y S.
chattr 3a6s algo!txt
E sguente mandato sta os atrbutos de fchero ago.txt.
lsattr algo!txt
120
+4% $reando depsitos 2um
stos.
+4%+% Introduccin%
Yum es una herramenta sumamente t para e mane|o de paquetera RPM. Aprender a crear en e
dsco duro as bases de datos para os depstos yum resuta prctco puesto que no habr
necesdad de recurrr haca os depstos ocazados en servdores en Internet y consumr
nnecesaramente ancho de banda en e proceso.
Prmero se deben generar os drectoros que ao|arn os depstos. Uno para a paquetera ncuda
en os dscos de nstaacn y otro para as actuazacones:
mkdir -p /var/ftp/pub/os
mkdir -p /var/ftp/pub/updates
Tome todos os dscos de nstaacn y cope ntegramente su contendo haca e nteror de
drectoro ocazado en a ruta /var/ftp/pub/os/ con e sguente procedmento:
mount /media/cdrom
cp -Rf /media/cdrom/J /var/ftp/pub/os/
eEect
De msmo modo, s dspone de CD correspondente, cope (o ben descargue) todas as
actuazacones dentro de drectoro ocazado en a ruta /var/ftp/pub/updates/ con e sguente
procedmento:
mount /media/cdrom
cp -Rf /media/cdrom/J /var/ftp/pub/updates/
eEect
Una vez copado todo a dsco duro, hay que nstaar e paquete createrepo, ncudo en os dscos de
nstaacn de CentOS y Whte Box Enterprse Lnux.
2um -2 install createrepo
Una vez nstaado, so basta e|ecutar createrepo sobre cada drectoro a fn de generar os
depstos yum:
121
createrepo /var/ftp/pub/os/
createrepo /var/ftp/pub/updates/
Se puede acceder ocamente a os depstos generados utili8ando las si*uientes l.neas como
contendo de fchero W%repo ocazado dentro de /etc/2um%repos%d/, en ugar de as neas que
apuntan haca servdores en Internet:
>base?
name3:nterprise ;inux Freleasever - Fbasearch - base
baseurl3file:///var/ftp/pub/os/
gpgcheck31
enabled31
>updates-released?
name3:nterprise ;inux Freleasever - Fbasearch - $pdates Released
baseurl3file:///var/ftp/pub/updates/
gpgcheck31
enabled31
S se desea acceder a estos msmo depstos utzando e servco FTP, y suponiendo que e
servdor utzara 192.168.1.1 como dreccn IP, as mqunas cente deben utzar o sguente:
>base?
name3:nterprise ;inux Freleasever - Fbasearch - base
baseurl3ftp://1-(!16,!1!1/pub/os/
gpgcheck31
enabled31
>updates-released?
name3:nterprise ;inux Freleasever - Fbasearch - $pdates Released
baseurl3ftp://1-(!16,!1!1/pub/updates/
gpgcheck31
enabled31
Antes de utzar a opcn *p*c'ecLT+, se debern mportar as aves pbcas GPG que estn en
e dsco 1 de nstaacn de sstema.
mount /media/cdrom
rpm --import /media/cdrom/JQ:\J
S cre un depsto con e dsco de extras de curso, a ave pbca de Lnux Para Todos se
encuentra en e drectoro raz de CD.
S utza Red Hat Enterprse Lnux 3, CentOS 3.0 o Whte Box Enterprse Lnux 3, se utza 2um)
arc' en ugar de createrepo, y /mnt/cdrom en ugar de /meda/cdrom.
Whte Box Enterprse Lnux 4 no ncuye yum por defecto, por o que hay que nstaaro
manuamente desde os dscos de nstaacn.
122
+5% Uso de 2um para instalar 2 desinstalar
paGueter.a 2 actuali8ar sistema
stos.
+5%+% Introduccin
Actuazar e sstema apcando os ms recentes parches de segurdad y correctvos a sstema
operatvo no es tan dfc como muchos suponen, n tampoco tene que ser un nferno de
dependencas entre paquetes RPM como agunos argumentan. La readad de as cosas es que es
mucho muy smpe y so requere de un buen ancho de banda, o ben, de muchsma pacenca. A
contnuacn presentamos os procedmentos para utzar yum y reali8ar f;cilmente o que
agunos denomnan como !orrible, difcil y complicado=.
Los procedmentos son tan smpes que reamente no hay muchas excusas para no apcar os
parches de segurdad y correctvos a sstema.
+5%2%+% =ctuali8ar sistema
Actuazacn de sstema con todas as dependencas que sean necesaras:
2um update
+5%2%2% !1sGuedas
Reazar una bsqueda de agn paquete o trmno en a base de datos en aguno de os depstos yum
confgurados en e sstema:
2um search cualOuier-paOuete
E|empo:
2um search httpd
+5%2%3% $onsulta de informacin
Consutar a nformacn contenda en un paquete en partcuar:
2um info cualOuier-paOuete
123
E|empo:
2um info httpd
+5%2%4% Instalacin de paGuetes
Instaacn de paquetera con resoucn automtca de dependencas:
2um install cualOuier-paOuete
E|empo:
2um install httpd
+5%2%5% "esinstalacin de paGuetes
Desnstaacn de paquetes |unto con todo aqueo que dependa de os msmos:
2um remove cualOuier-paOuete
E|empo:
2um remove httpd
+5%2%5%+% =l*unos paGuetes Gue se pueden desinstalar del sistema%
Los sguentes paquetes pueden ser desnstaados de sstema de manera segura |unto con todo
aqueo que dependa de stos:
1. pcmca-cs (kerne-pcmca-cs): requerdo so en computadoras porttes para e soporte de
PCMCIA.
2. mdadm: requerdo so para arregos RAID.
3. autofs: servco de auto-montado de undades de dsco.
4. ypserv: servdor NIS, utzado prncpamente como servdor de autentcacn.
5. ypbnd, yp-toos: herramentas necesaras para autentcar contra un servdor NIS (ypserv)
6. hwcrypto: bbotecas y herramentas para nteractuar con aceeradores crptogrfcos de
sustento fsco (hardware).
7. vnc-server: servdor VNC
8. rda-uts: herramentas y soporte para dspostvos nfrarro|os.
E|ecute o sguente para desnstaar os paquetes anterormente menconados:
2um -2 remove pcmcia-cs mdadm autofs 2pserv 2pbind 2p-tools h1cr2pto
vnc-server irda-utils
+5%2%6% Listado de paGuetes
Lo sguente star todos os paquetes dsponbes en a base de datos yum y que pueden nstaarse:
2um list available W less
124
Lo sguente star todos os paquetes nstaados en e sstema:
2um list installed Wless
Lo sguente star todos os paquetes nstaados en e sstema y que pueden (y deben)
actuazarse:
2um list updates W less
+5%2%7% Limpie8a del sistema
Yum proporcona como resutado de su uso cabeceras y paquetes RPM amacenados en e nteror
de drectoro ocazado en a ruta /var/cac'e/2um/. Partcuarmente os paquetes RPM que se han
nstaado pueden ocupar mucho espaco y, es por ta motvo, que convene emnaros una vez que
ya no tenen utdad. Iguamente convene hacer o msmo con as cabeceras ve|as de paquetes
que ya no se encuentran en a base de datos. A fn de reazar a mpeza correspondente, puede
e|ecutarse o sguente:
2um clean all
125
+6% $mo crear paGueter.a con rpmbuild
stos.
+6%+% Introduccin
Crear paquetera a travs de rpmbud no es tan compcado como agunos suponen. Aunque no se
nstaa de modo predetermnado, rpmbud es una herramenta que forma parte de paquete
rpm-bud y que se ncuye en a mayora de as dstrbucones actuaes que utzan paquetera en
formato RPM.
Este documento mostrar os procedmentos para:
Generar una cave GnuPG para frmar dgtamente os paquetes creados.
Confguracn y creacn de una |aua para rpmbud.
Creacn de fcheros *.spec.
Uso de mandato rpmbud.
+6%2% Instalacin del sustento l*ico necesario
Es ndspensabe contar con a paquetera de desarroo mnma necesara nstaada en e sstema.
Lamentabemente no hay recetas mgcas. S se pretende crear paquetera a partr de cdgos
fuente es necesaro estar famarzado con as bbotecas compartdas necesaras, cabeceras de
desarroo, compadores y otras herramentas de desarroo reaconadas o requerdas por un
sustento gco en partcuar. Un con|unto mnmo sera e sguente:
Gcc: compador.
gbc-deve: bbotecas de desarroo para C.
automake: generador de fcheros Makefe.
autoconf: herramenta para confguracn de cdgos fuente y fcheros Makefe.
rpm-bud y rpm-deve.
gnupg
Gpgme y seahorse: 'erramientas incluidas en L<> "esLtop que se utzarn en os
procedmentos de este documento para generar a cave utzada para frmar
dgtamente os paquetes rpm resutantes.
S va a crear paquetera para GNOME, necestar por o menos o sguente, con todo o
que dependa de ste: gb2-deve, atk-deve, pango-deve, gtk2-deve, bbonobou-
deve, bgnomeu-deve, gnome-vfs2-deve, bwnck-deve, gnome-pane-deve, gnome-
desktop-deve, nautus-deve, gstreamer-deve y gstreamer-pugns-deve.
S va a crear paquetera para KDE, necestar a menos o sguente, con todo o que
dependa de ste: qt-deve, arts-deve, kdebs-deve, kdebase-deve, kdenetwork-deve,
kdegraphcs-deve y kdemutmeda-deve.
S utza Cent OS, Whte Box Enterprse Lnux o ben Red Hat Enterprse Lnux, necestar correr o
sguente para nstaar e mnmo de paquetera:
126
#um '# install "cc3 automake3 autoconf3 rpm'build rpm'devel "nup"
S desea generar paquetera para GNOME, necestar tambiFn nstaar e mnmo de paquetera de
desarroo de GNOME:
#um '# install "lib2'devel atk'devel pan"o'devel "tk2'devel libbonoboui'devel lib"nomeui'devel
"nome'vfs2'devel libwnck'devel "nome'panel'devel "nome'desktop'devel nautilus'devel "streamer'
devel "streamer'plu"ins'devel
S va a generar paquetera para KDE, necestar tambiFn nstaar e mnmo de paquetera de
desarroo de KDE:
yum -y nsta qt-deve arts-deve kdebs-deve kdebase-deve kdenetwork-deve
kdegraphcs-deve kdemutmeda-deve
S adems tene nstaado LPT Desktop, puede nstaar tambiFn e sustento gco restante:
#um '# install seahorse "p"me
+6%3%+% $reacin de la clave Gnu<G
1. Desde una sesn grfca, nce seahorse y de cc en en botn de Nuevo en e pane de
Opcones de prmera vez.
2. Lo anteror ncar un asstente de creacn de caves.
3. E|a e nve de segurdad como Segurdad extra ata.
4. Especfque su nombre competo, un breve comentaro opcona y su cuenta de correo
eectrnco permanente que se reaconar excusvamente con a nueva cave.
5. Especfque una frase de paso que so usted pueda recordar. Se recomenda utzar espacos
y sgnos de puntuacn.
6. En a pantaa de Fecha de caducdad, savo que especfcamente requera o contraro,
especfque Sn caducdad.
7. Tome nota de como aparece exactamente e nombre de a ave, ncuyendo parntess,
espacos y otros smboos, ya que se utzarn en e sguente procedmento.
+6%3%2% $onfi*uracin 2 creacin de una -aula para rpmbuild
am;s utilice la cuenta de root sn mportar a crcunstanca, para crear o reconstrur paquetera
en formato RPM. Esto puede resutar pegroso debdo a que a confguracn de agunos programas
pueden tratar de nstaar componentes en e sstema en ugar de drectoro especfcado para
rpmbud, o cua dar como resutado dversas consecuencas de segurdad y de estabdad para e
sstema.
La |aua ser creada de modo seguro dentro de una cuenta de usuario normal sin privile*ios, a
127
fn de poder detectar e mpedr que agunos procedmentos durante a creacn de paquetes
ntenten nstaar componentes no deseados en e sstema.
+6%3%2%+% $omponentes del fic'ero R/%rpmmacros
Utzando cuaquer edtor de texto, genere e fchero -/.rpmmacros, en e cua se defnrn vaores
para agunas varabes utzadas por rpmbud:
%debug_package: srve para especfcar s se anua o no a generacn de paquetera
de depuracn. La paquetera de depuracn soo es t para os programadores a fn de
ocazar faas en os programas empaquetados. Para a mayora de os casos se
especfca e vaor %{n} a fn de mpedr que se genere paquetera de depuracn.
%_unpackaged_fes_termnate_bud: srve para especfcar s a construccn de un
paquete se deber nterrumpr s hay componentes gnorados por e fchero *.spec. 0
deshabta, 1 habta. Ou vaor se recomenda?; a respuesta es obva: no es
deseabe un paquete a cua e fatan componentes, as que se especfcar 1.
%_sgnature: se utzar gpg para frmar os paquetes resutantes.
%_gpg_path: ruta de drectoro .gpg a utzar. Estar ocazado dentro de a carpeta de
nco de usuaro utzado.
%_gpg_name: dentdad a utzar para frmar os paquetes resutantes. E formato
utzado es e msmo como aparece e nombre de su cave GnuPG en seahorse: Su
Nombre (Breve comentaro) <su cuenta de correo eectrnco>.
%_gpgbn: ruta de bnaro gpg, normamente en /usr/bn/gpg.
%_topdr: ruta donde se ocaza a |aua para rpmbud.
%_tmppath: drectoro de eementos temporaes que ser utzado para smuar
nstaacones.
%packager: su nombre competo y dreccn de correo eectrnco o ben e URL de su
sto de red.
%dstrbuton: nombre de producto o ben para especfcar para que dstrbucn de
GNU/Lnux se utzar a paquetera.
%vendor: nombre de su empresa u organzacn.
%desktop_vendor: varabe opcona (y no ofca) para defnr e nombre de a empresa
en e nombre agunos fcheros, prncpamente entradas de men. Especfque e
nombre corto de su empresa sin espacios.
A contnuacn un e|empo de contendo de fchero -/.rpmmacros, utzando vaores fctcos:
4debu"_packa"e 45nil6
4_unpacka"ed_files_terminate_build (
4_si"nature "p"
4_"p"_path 4$echo 7289:;7&/."nup"
4_"p"_name Fulano de Perengano (Una empresa ficticia) fulano!alg"n-dominio#com$
4_"p"bin /usr/bin/"p"
4_topdir 4$echo 7289:;7&/rpmbuild
4_tmppath 4$echo 7289:;7&/rpmbuild/<:=
4packa"er >ulano de =eren"ano ?su cuenta de correo o %ien &ttp:''su-sitio-de-red#com@
4distribution nom%re de su producto a(u)
4vendor su nom%re o nom%re de su empresa a(u)
4desktop_vendor nom%re-de-su-empresa-sin-espacios
+6%3%2%2% $reacin de la estructura de la -aula para rpmbuild
Desde una termna, genere a estructura de drectoros necesara utzando o sguente:
mkdir 'p //rpmbuild/5ABCDE)F=:S)S9BFG;S)SF=:S)S=;GS)<:=6
mkdir 'p //rpmbuild/F=:S/5athlon)i*H-)i,H-)i-H-)noarch6
128
+6%3%3% $reacin de los fic'erosW%spec
Los fcheros *.spec contenen a nformacn que utzar rpmbud para construr un paquete. De
contendo de stos depender que sea posbe descomprmr, confgurar, compar, nstaar
vrtuamente y empaquetar un sustento gco en partcuar a partr de un cdgo fuente.
Name:
Se refere nombre de paquete. No puede evar espacos. Reguarmente es e msmo nombre utzado para e paquete de
cdgo fuente.
Verson:
Se refere a nmero de versn de paquete
Reease:
Nmero de anzamento o entrega
URL:
URL orgna de sto de red de sustento gco que se va a empaquetar.
Summary:
Resumen o descrpcn corta de paquete.
Lcense:
Lcenca o cencas utzadas por e paquete.
Group:
Grupo o categora de sustento gco a cua pertenece e paquete. Lsta de grupos vdos:
Amusements/Games
Amusements/Graphcs
Appcatons/Archvng
Appcatons/Communcatons
Appcatons/Databases
Appcatons/Edtors
Appcatons/Emuators
Appcatons/Engneerng
Appcatons/Fe
Appcatons/Internet
Appcatons/Mutmeda
Appcatons/Productvty
Appcatons/Pubshng
Appcatons/System
Appcatons/Text
Deveopment/Debuggers
Deveopment/Languages
Deveopment/Lbrares
Deveopment/System
Deveopment/Toos
Documentaton
System Envronment/Base
System Envronment/Daemons
System Envronment/Kerne
System Envronment/Lbrares
System Envronment/Shes
User Interface/Desktops
User Interface/X
User Interface/X Hardware Support
Budroot:
Ruta donde se reazar a nstaacn vrtua, es decr: 45_tmppath6/45name6'45version6'root
129
Source:
Se puede especfcar soamente e nombre de paquete utzado para e cdgo fuente, aunque por norma se sugere
especfcar e URL exacto haca e cdgo fuente.
BudRequres:
Lsta separada por comas o espacos de componentes o paquetes requerdos para poder construr e sustento gco
nvoucrado.
BudPreReq:
Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a compacn de
sustento gco nvoucrado.
Requres:
Lsta de paquetes de os cuaes depende e sustento gco empaquetado para poder funconar.
PreReq:
Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a nstaacn de e
sustento gco nvoucrado.
%descrpton
Descrpcn detaada acerca de paquete
%prep
Procedmentos, s os hubere, requerdos antes de desempaquetar e cdgo fuente. Reguarmente no os hay.
%setup
Procedmentos, s os hubere, requerdos a desempaquetar o despus de desempaquetar e cdgo fuente.
Reguarmente aqu es donde se apcan parches y otros correctvos.
%bud
Procedmentos necesaros para poder compar desde e cdgo fuente de un sustento gco en partcuar.
Por o genera basta con un 4confi"ure y 4__make, pero se recomenda eer a detae e nstructvo de
nstaacn de cada programa en partcuar a fn de asegurar os procedmentos correctos para compar e
sustento gco.
%nsta
Procedmento de nstaacn requerdo para un paquete en partcuar. Se recomenda mpar cuaquer
nstaacn preva utzando 4__rm 'fr 45buildroot6. La nstaacn ser vrtua y se reazar dentro
de -/rpmbud/TMP/ que es estabecdo por a varabe %{budroot}. Por o genera es sufcente 4__make
E;S<ECFI45buildroot6 install, ; sn embargo agunos programas puderan requerr nstaacn
ndvdua de agunos o todos sus componentes.
%cean
Procedmentos para mpar aqueo que ya no se necesta despus de haber creado extosamente e
paquete RPM. Especfcamente se refere a a nstaacn vrtua que se reaz dentro de -/rpmbud/TMP/.
Para a mayora de os casos es sufcente utzar 4__rm 'fr 45buildroot6..
%preun
Procedmentos que se deben correr |usto antes de proceder a nstaar un paquete. Se utza prncpamente
con paquetes que necestan crear cuentas de sstema u otros preparatvos.
130
%post
Procedmentos que se deben correr |usto despus de proceder a nstaar un paquete. E|empos: Cuando os
paquetes ncuyen bbotecas compartdas, se e|ecuta dconfg. S un paquete ncuye un esquema para
GConf, se debe correr o necesaro para regstrar e esquema.
%postun
Procedmentos que se deben correr |usto despus de proceder a desnstaar un paquete. Se utza
prncpamente con paquetes que necestan correr tareas admnstratvas, como detener y/o dar de ba|a un
servco.
%fes
Lsta de todos os componentes de e sustento gco empaquetado en sus rutas defntvas.
%changeog
Btcora de cambos de fchero *.spec. Requere un formato especa:
* |Da de a semana en abrevado y en ngs| |Mes abrevado en ngs| da ao Nombre empaquetador
<correo eectrnco o URL de sto de red>
- Agunos cambos
- Ms cambos
- Otros cambos
E|empo:
* Sun Sep 25 2005 Fuano de Perengano <http://m-sto-geb.ago/>
- Fchero *.spec nca.
- Se aaderon cosas
- Se puso un gun para ago
+6%3%3%+% E-emplo de fic'ero W%spec%
Name: algo
Jersion: 0#1
Felease: 1
BFD: &ttp:''sitio-de-red-del-sustento-l*gico-a-utili+ar'
Summar#: Pa(uete imaginario (ue &ace algo#
Dicense: ,P-
Kroup: .pplications'File
Auildroot: 45_tmppath6/45name6'45version6'root
Source: &ttp:''un-sitio-g/e%#algo'algo-0#1#tar#%+2
AuildFeLuires: gt02-de1el
Auild=reFeL: 'usr'%in'des0top-file-install
FeLuires: gt02
=reFeL: 'usr'%in'update-des0top-data%ase
4description
Programa imaginario escrito en un lengua2e a%stracto e inexistente (ue &ace
cosas imaginarias e imposi%les s*lo para fines demostrati1os#
4prep
4setup 'L
4build
4confi"ure
4__make
4install
4__make E;S<ECFI45buildroot6 install
4clean
4__rm 'fr 45buildroot6
4preun
4post
/sbin/ldconfi"
131
4postun
4files
defattr$')root)root&
/usr/bin/al"o
/usr/lib/libal"o.so.M
/usr/share/applications/al"o.desktop
4chan"elo"
3 Sun Sep 2, 2MM, >ulano de =eren"ano ?http://mi'sitio'"Neb.al"o/@
' Se aOadieron cosas
' Se puso un "uiPn para al"o
3 Sat Sep 2+ 2MM, >ulano de =eren"ano ?http://mi'sitio'"Neb.al"o/@
' >ichero 3.spec inicial.
+6%3%4% Uso del mandato rpmbuild
Lsta y descrpcn de opcones prncpaes:
''si"n
Especfca que se debe frmar un paquete con cave dgta predetermnada.
''clean
Socta a rpmbud corra os procesos especfcados en a seccn %cean para de|ar mpo e
drectoro de temporaes utzado para reazar nstaacones vrtuaes.
''tar"etIarLuitectura!
Se utza para ndcar a rpmbud para que arqutectura ser construdo e paquete. De modo
predefndo rpmbud crea os paquetes para a arqutectura predetermnada de sstema.
Puede especfcarse 386, 585, 686, noarch, athon, etc., de acuerdo a o que sea requerdo.
'ba
Socta a rpmbud corra todos os procedmentos necesaros para generar un paquete RPM
bnaro y e paquete RPM fuente (*.src.rpm) a partr de un fchero *.spec.
'bb
Socta a rpmbud corra todos os procedmentos necesaros para generar soamente un
paquete RPM bnaro a partr de un fchero *.spec.
'bp
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep y apcacn
de parches en %setup. Se utza prncpamente para verfcar y depurar estos procedmentos
antes de comenzar a compacn e nstaacn.
'bc
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep, apcacn
de parches en %setup y compacn en %bud. No reaza nstaacn vrtua n crea paquetes
RPM. Se utza prncpamente para verfcar y depurar estos procedmentos.
'bi
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep, apcacn
de parches en %setup, compacn en %bud e nstaacn vrtua en %nsta. No crea
paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos.
''short'circuit
Se utza en combnacn con -bc y b. Socta a rpmbud satar todos os pasos prevos y
132
correr ncamente a compacn, en e caso de ser combnado con -bc, o ben satar todos os
pasos prevos y correr ncamente os procedmentos para reazar a nstaacn vrtua, en e
caso de ser combnado con -b. Se utza prncpamente para verfcar y depurar estos
procedmentos.
''rmspec
Socta a rpmbud emne e fchero *.spec despus de crear extosamente os paquetes RPM
correspondentes. Se utza para mantener mpa a |aua de rpmbud.
''rmsource
Socta a rpmbud emne todo o que corresponda a as fuentes, es decr, cdgos fuentes,
parches y otros eementos, despus de crear extosamente os paquetes RPM
correspondentes. Se utza para mantener mpa a |aua de rpmbud.
''rebuild
Socta a rpmbud reconstruya un paquete a partr de un *.src.rpm.
+6%3%4%+% E-emplos de uso del mandato rpmbuild
Construr so un paquete RPM, sin *enerar W%src%rpm, a partr de un fchero *.spec:
rpmbuild 'bb al"o.spec
Construr so un paquete RPM |unto con e correspondente *.src.rpm a partr de un fchero *.spec:
rpmbuild 'ba ''clean ''si"n ''rmspec ''rmsource al"o.spec
Construr soo un paquete RPM sn *.src.rpm a partr de un fchero *.spec, con frma dgta, mpeza
de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar
extosamente:
rpmbuild 'bb 3.spec
Construr so un paquete RPM y e correspondente *.src.rpm a partr de un fchero *.spec, con frma
dgta, mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras
termnar extosamente:
rpmbuild 'ba ''clean ''si"n ''rmspec ''rmsource 3.spec

Reconstrur so un paquete RPM a partr de un *.src.rpm:
rpmbuild ''rebuild cualLuier'paLuete.src.rpm
Reconstrur so un paquete RPM a partr de un *.src.rpm, con frma dgta, mpeza de drectoro de
nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar extosamente:
rpmbuild ''rebuild ''clean ''si"n ''rmspec ''rmsource cualLuier'paLuete.src.rpm
133
+6%4% E-ercicios
+6%4%+% <aGuete (<: binario 2 el paGuete W%src%rpm correspondiente
creando el fic'ero W%spec necesario
1. Acceda haca http://www.nano-edtor.org y descargue e cdgo fuente de la m;s reciente
versin estable de edtor de texto Nano.
2. Cooque e *.tar.gz de cdgo fuente dentro de drectoro -/rpmbud/SOURCES/
mv nano'(.2.,.tar."% //rpmbuild/S9BFG;S/
3. Cambe haca e drectoro -/rpmbud/SPECS/
cd //rpmbuild/S=;GS/
4. Con cuaquer edtor de texto smpe, genere e fchero -/rpmbud/SPECS/nano.spec con e
sguente contendo Nal terminarX por favor verifiGue la sintaxisX l.nea por l.neaC:
Name: nano
Jersion: 1#2#5
Felease: 1
BFD: &ttp:''www#nano-editor#org'
Summar#: Un pe(ue3o editor de texto#
Dicense: ,P-
Kroup: .pplications'4ditors
Auildroot: 45_tmppath6/45name6'45version6'root
Source: &ttp:''www#nano-editor#org'dist'11#2'nano-1#2#5#tar#g+
AuildFeLuires: ncurses-de1el5 gli%c-de1el5 gcc
FeLuires: ncurses
4description
,6U nano es un pe(ue3o 7 f8cil de utili+ar editor de texto#
4prep
4setup 'L
4build
4confi"ure
4__make
4install
4__make E;S<ECFI45buildroot6 install
4clean
4__rm 'fr 45buildroot6
4files
4defattr$')root)root&
4doc QB<89FS ABKS G9=RCNK Ghan"eDo" CNS<QDD N;SS F;QE:; <8QNTS <9E9
4doc nanorc.sample
/usr/bin/nano
/usr/share/info/nano.info."%
/usr/share/man/man(/nano.(."%
/usr/share/man/man,/nanorc.,."%
/usr/share/locale/3/DG_:;SSQK;S/nano.mo
4chan"elo"
3 Sun Sep 2, 2MM, >ulano de =eren"ano ?http://mi'sitio'"Neb.al"o/@
' >ichero 3.spec inicial.
134
5. Para poder construr nano, necestar tener nstaados os paquetes ncurses-deve (cabeceras
de desarroo para ncurses), gbc-deve (cabeceras de desarroo para C) y gcc (compador
de GNU.org). De ser necesaro, proceda a nstaar stos:
#um '# install ncurses'devel "libc'devel "cc
6. Utce o sguente para generar os paquetes bnaro y fuente correspondentes:
rpmbuild 'ba nano.cpec
7. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a
concur e proceso, encontrar e paquete bnaro RPM dentro de drectoro
//rpmbuild/F=:S/i*H-/ y e paquete *.src.rpm dentro de drectoro //rpmbuild/SF=:S/.
+6%4%2% <aGuete (<: binario 2 el paGuete W%src%rpm correspondiente
reali8ando limpie8a de directorioX firma di*ital
1. Utzar e msmo fchero *.spec de e|ercco pasado.
2. Utce o sguente para generar os paquetes correspondentes, ngresando a cave de
acceso para GnuPG cuando e sea requerda:
rpmbuild 'ba ''clean ''si"n nano.cpec
3. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a
termnar e proceso, encontrar e paquete bnaro RPM dentro de drectoro
//rpmbuild/F=:S/i*H-/ y e paquete *.src.rpm dentro de drectoro //rpmbuild/SF=:S/.
135
+7% $mo asi*nar cuotas de disco
stos.
+7%+% Introduccin
La utzacn de cuotas de dsco permte a os admnstradores de sstemas reazar a gestn
efcente de espaco compartdo en dsco por mtpes usuaros. Las cuotas restrngen a capacdad
de os usuaros para acceder haca os recursos de sstema, taes como boques (asgnacn de
undades) e nodos (entradas de sstema de fcheros). Cuando una cuota es excedda se apca una
potca determnada por e admnstrador. Las cuotas se admnstran por sstema de archvos
ndvduaes y son ncas para usuaros o grupos.
I. Debe ncarse e sstema en nve de corrda 1 (mono usuaro), ya que se reGuiere no 'a2a
procesos activos utzando contendo de a partcn a a cua se e apcar a cuota de
dsco.
II. Obvamente, durante a nstaacn, deb asgnarse una partcn dedcada para, por
menconar un e|empo, os drectoros /var y /home.
III. Con a fnadad de aadr e soporte para cuotas en as partcones anterormente
menconadas, se debe aadr en e fchero /etc/fstab os parmetros usrGuota y *rpGuota
a as neas que defnen a confguracn de as partcones /var y /home:
;69:;3/var /var ext. defaults=usr9uo!)5,rp9uo!) 1 (
;69:;3/home /home ext. defaults=usr9uo!)5,rp9uo!) 1 (
IV. Debe remontar as partcones para que surtan efecto os cambos:
mount -o remount /var
mount -o remount /home
V. Se deben crear os fcheros aquota.user, aquota.group, quota.user y quota.group, os cuaes
se utzarn en adeante para amacenar a nformacn y estado de as cuotas en cada
partcn.
cd /var
touch aOuota!user aOuota!group Ouota!user Ouota!group
cd /home
touch aOuota!user aOuota!group Ouota!user Ouota!group
136
VI. E|ecutar:
Ouotacheck -avug
La prmera vez que se e|ecuta e mandato anteror es norma que marque advertencas
refrndose a posbes fcheros truncados, que en readad no eran otra cosa sno fcheros de
texto smpe vacos a os cuaes se es acaba de convertr a formato bnaro. S se e|ecuta de
nuevo Guotac'ecL ) avu*, no deber mostrar advertenca aguna.
VII.Para actvar as cuotas de dsco recn confguradas, soo bastar e|ecutar:
Ouotaon /var
Ouotaon /home
VIII.Vaya a nve de corrda 3 a fn de apcar cuota de dsco a agunos usuaros.
init .
+7%2%+% EdGuota
Es mportante conocer que sgnfca cada coumna mostrada por edquota.
!locLs, Boques. Corresponde a a cantdad de boques de 1 Kb que est utzando
e usuaro.
Inodes, Inodos. Corresponde a nmero de fcheros que est utzando e usuaro.
Un inodo (tambn conocdo como Index Node) es un apuntador haca sectores
especfcos de dsco duro en os cuaes se encuentra a nformacn de un fchero.
Contene adems a nformacn acerca de permsos de acceso as como os
usuaros y grupos a os cuaes pertenece e fchero.
Soft, Lmte de graca. Lmte de boques de 1 KB que e usuaro puede utzar y
que puede rebasar hasta que sea exceddo e perodo de graca (de modo
predetermnado son 7 das).
Hard, Lmte absouto. Lmte que no puede ser rebasado por e usuaro ba|o
crcunstanca aguna.
Asgnar cuotas de dsco a cuaquer usuaro o grupo. Soamente har fata utzar edGuota ctando
e nombre de usuaro a cua se e quere apcar:
edOuota fulano
Lo anteror deber mostrar ago como o sguente a travs de vi u otro edtor de texto smpe:
%isk Ouotas for user fulano (uid )01):
Xiles2stem blocks soft hard inodes soft hard
/dev/hda/ 0 0 0 0 0 0
/dev/hda) (+ 0 0 10 0 0
137
+7%2%+%+% $uota absoluta
Suponendo que se quere asgnar una cuota de dsco de 6 MB para e usuaro fuano en en
/dev/hda0 y /dev/hda,, se utzara o sguente:
/dev/hda/ 0 0 61++ 0 0 0
/dev/hda) (+ 0 61++ 10 0 0
E usuaro sempre podr rebasar una cuota de *racia pero nunca una cuota absoluta.
+7%2%+%2% $uota de *racia
E sstema tene de modo predetermnado un periodo de *racia de 7 das que se puede modfcar
con e mandato edGuota )t, donde se puede estabecer un nuevo perodo de graca por das, horas,
mnutos o segundos.
*race period before enforcing soft limits for users:
"ime units ma2 be: da2s= hours= minutes= or seconds
Xiles2stem 9lock grace period <node grace period
/dev/hdb/ /da2s /da2s
/dev/hdb) /da2s /da2s
La cuota de *racia estabece os mtes de boques o inodos que un usuaro tene en una
partcn. Cuando e usuaro excede e mte estabecdo por a cuota de graca, e sstema adverte
a msmo que se ha exceddo a cuota de dsco; sn embargo permte a usuaro contnuar
escrbendo hasta que trascurre e tempo estabecdo por e perodo de graca, tras e cua a usuaro
se e mpde contnuar escrbendo sobre a partcn. Suponendo que quere asgnar una cuota de
graca de 6 MB en /dev/hda/ y /dev/hda), a cua podr ser excedda hasta por 7 das, entonces se
utzara o sguente:
/dev/hda/ 0 61++ 0 0 0 0
/dev/hda) (+ 61++ 0 10 0 0
+7%2%+%3% =plicando cuotas masivamente
S se quere que todo apque para os usuaros exstentes a partr de UID 510, por e|empo, s se
que tene a usuaro pepto como mode Nnote por favor el acento *rave en el mandato -usto
antes de aMLX no es una comilla ni apostrofeC:
edLuota 'p pepito Uawk '>: V2* @ ,(M 5print 2(6V /etc/passwdU
+7%3% $omprobaciones
Utce e mandato edquota con e usuaro fuano.
edLuota fulano
138
Asgne a usuaro fuano una cuota de dsco de 50 MB en todas as partcones con cuota de dsco
habtada:
/dev/hda/ 0 0 )1(00 0 0 0
/dev/hda) (+ 0 )1(00 10 0 0
"esde otra terminal acceda haca e sstema como e usuaro fuano y e|ecute e mandato Guota
y observe con detenmento a sada:
Xiles2stem blocks Ouota limit grace files Ouota limit
grace
/dev/hda/ 0 0 )1(00 1 0 0
/dev/hda) (+ 0 )1(00 10 0 0
Reace una copia de drectoro /usr/lib como e drectoro subordnado R/prueba)cuotas dentro
de su drectoro de nco:
cp 'r /usr/lib //prueba'cuotas
Notar que egar un momento en e que e sstema ndcar que ya no es posbe contnuar
copando contendo dentro de R/prueba)cuotas debdo a que se ha agotado e espaco en a
partcn.
Utilice de nuevo e mandato Guota y observe con detenmento a sada, en donde aparecer un
astersco |usto |unto a a cantdad en a coumna de boques, a cua ndca que se ha exceddo a
cuota de dsco:
Xiles2stem blocks Ouota limit grace files Ouota limit
grace
/dev/hda/ 0 0 )1(00 1 0 0
/dev/hda) )1(00J 0 )1(00 /+.- 0 0
Para poder vover a escrbr sobre a partcn, es necesaro berar espaco. Emne por competo e
drectoro R/prueba)cuotas y vueva a utzar e mandato quota:
rm 'fr //prueba'cuotas
Luota
139
+9% Introduccin a >$</I<
stos.
+9%+% Introduccin
TCP/IP fue desarroado y presentado por e Departamento de Defensa de EE.UU. en 1972 y fue
apcado en =(<=NE> (=dvanced (esearch <ro|ects =gency Network), que era a red de rea
extensa de Departamento de Defensa como medo de comuncacn para os dferentes organsmos
de EE.UU. La transcn haca TCP/IP en =(<=NE> se concret en 1983.
Se conoce como familia de protocolos de Internet a con|unto de protocoos de red que son
mpementados por a pa de protocoos sobre os cuaes se fundamenta Internet y que permten a
transmsn de datos entre as redes de computadoras.
Los dos protocoos ms mportantes, y que fueron tambn os prmeros en defnrse y tambn os
ms utzados, son >$< (Protocoo de Contro de Transmsn o >ransmsson $ontro <rotoco) e I<
(Protocoo de Internet o Internet <rotoco), de ah que se denomne tambn como $on-unto de
<rotocolos >$</I<. Los tpos de protocoos exstentes superan os cen, ente os cuaes podemos
menconar como os ms conocdos a HTTP, FTP, SMTP, POP, ARP, etc.
TCP/IP es a pataforma que sostene Internet y que permte a comuncacn entre dferentes
sstemas operatvos en dferentes computadoras, ya sea sobre redes de rea oca (LAN) o redes de
rea extensa (WAN).
+9%2% Niveles de pila
En a actuadad contna a dscusn respecto a s e modeo TCP/IP de cnco nvees enca|a dentro
de modeo OSI (Interconexn de Sstemas Abertos u 0penSystems Interconnecton) de sete
nvees.
:odelo Niveles
TCP/IP 5 Apcacn
4 Transporte
3 Red
2 Enace
1 Fsco.
OSI 7 Apcacn
6 Presentacn
5 Sesn
4 Transporte
3 Red
2 Enace de datos
140
:odelo Niveles
1 Fsco
+9%2%+% :odelo >$</I<
Utza encapsuamento para proveer a abstraccn de protocoos y servcos haca dferentes capas
en a pa. La pa consste de cnco nvees:
Nivel Nombre "escripcin
5 =plicacin Se compone de dversos protocoos de servcos como:
"NS (Doman Name System)
>LS/SSL (>ransport Layer Securty)
>7>< (>rva 7e >ransfer <rotoco)
7>< (7e >ransfer <rotoco)
H>>< (Hyper >ext >ransfer <rotoco)
I:=< (Internet :esssage =ccess <rotoco)
I($ (Internet (eay $hat)
NN>< (Network News >ransfer <rotoco)
<0<3 (<ost 0ffce <rotoco)
SI< (Sesson Incaton <rotoco)
S:>< (Smpe :a >ransfer <rotoco)
SN:< (Smpe Network :anagement <rotco)
SSH (Secure S'e)
>ELNE>
!it>orrent
(>< ((ea-tme >ransport <rotoco)
rlo*in
EN(< (Endpont Handespace (edundancy <rotoco)
Los protocoos de encamnamento como !G< (!order Gateway <rotoco) y
(I< ((outng Informaton <rotoco) que utzan transporte por TCP y UDP
respectvamente pueden ser consderados como parte de este nve.
141
4 >ransporte Se compone de dversos protocoos de servcos como:
>$< (>ransmson $ontro <rotoco)
U"< (User "atagram <rotoco),
"$$< ("atagram $ongeston $ontro <rotoco)
S$>< (Stream $ontro >ransmson <rotococo)
IL (Internet Lnk Protoco, smar a TCP pero ms smpe)
(U"< ((eabe User "atagram <rotoco), etc.
Los protocoos como 0S<7 (0pen Shortest <ath 7rst), que corren sobre IP,
pueden ser tambn consderados como parte de esta capa. I$:< (Internet
$ontro :essage <rotoco) e IG:< (Internet Group :anagement <rotoco)
que tambn utzan IP, pueden ser consderados parte de Nve de Red.
3 (ed Se compone de dversos protocoos de servcos como I< (ncuyendo I<v4 e
I<v6). Protocoos como =(< (=ddress (esouton <rotoco) y (=(< ((everse
=ddress (esouton <rotoco) que operan por deba|o de IP, pero arrba de
Nve de enace, de modo que pertenecen a un punto ntermedo entre e
Nve de Red y e Nve de Enace.
2 Enlace Compuesto de protocoos como:
Et'ernet
Yi)7i
>oLen rin*
<<< (Pont-to-Pont <rotoco)
SLI< (Sera Lne Internet <rotoco)
7""I (Fber Dstrbuted "ata Interface)
=>: (=synchronous >ransfer <rotoco)
7rame (ela2
S:"S (Swtched :ut-megabt "ata Servces)
1 7.sico Medo fsco.
Los nvees ms cercanos atos son os ms cercanos a usuaro, mentras que os que estn ms
haca aba|o se encuentran ms cercanos a a transmsn fsca de os datos. Savo por evdentes
razones en e prmer y tmo nvees, cada nve tene un nve superor y un nve nferor que,
respectvamente, o ben utzan un servco de nve o proveen un servco. Un mtodo de
abstraccn para entender esto es mrar os nvees como proveedores o consumdores de servcos.
E|empo: TCP en e nve de transporte requere un protocoo de nve de Red, como sera IPv4, e
142
cua a su vez requere de un protocoo de nve de enace, sendo TCP un proveedor de servco para
os protocoos de nve de apcacn.
+9%2%+%+% Nivel de aplicacin
Es e nve que utzan os programas de red ms comunes a fn de comuncarse a travs de una
red. La comuncacn que se presenta en este nve es especfca de as apcacones y os datos
transportados desde e programa que estn en e formato utzado por a apcacn y van
encapsuados en un protocoo de Nivel de >ransporte. Sendo que e modeo TCP/IP no tene
nvees ntermedos, e nve de Apcacn debe ncur cuaquer protocoo que acte de msmo
modo que os protocoos de Nivel de <resentacin y Nivel de Sesin de :odelo 0SI. Los
protocoos de Nve de Transporte ms comnmente utzados son TCP y UDP, msmos que
requeren un puerto dsponbe y especfco para e servco para os servdores y puertos efmeros.
Aunque os encamnadores (routers) e nterruptores (swtches) no utzan este nve, as apcacones
que controan e ancho de banda s o utzan.
+9%2%+%2% Nivel de >ransporte
Este nve prncpamente provee o necesaro para conectar apcacones entre s a travs de
puertos. Mentras que IP (Internet Protoco),de Nve de Red, provee soamente a me|or forma de
entrega, e nve de transporte es e prmer nve que se encarga de a fabdad. De entre todos os
protocoos de este nve, tanto TCP como UDP son utzados para transportar un gran nmero de
apcacones de ato nve. Las apcacones en cuaquer nve se dstnguen a travs de os puertos
TCP o UDP que utcen.
>$<%
E me|or e|empo de este nve es TCP, que es un protocoo orentado haca conexn que
resueve numerosos probemas de fabdad para proveer una transmsn de bytes fabe, ya
que se encarga de que os datos eguen en orden, tenga un mnmo de correccones de
errores, se descarten datos dupcados, se vuevan a envar os paquetes perddos o
descartados e ncuya contro de congestn de trfco.
La conexones a travs de TCP tenen tres fases:
I% Establecimiento de la conexin
Antes de que e cente ntente conectarse con e servdor, ste tmo debe prmero
garse haca e puerto para abrro para as conexones, es decr, una apertura pasiva.
Una vez estabecda, e cente puede ncar a apertura activa. Se requere de un
saudo de tres etapas:
1. La apertura actva se reaza envando un paquete SYN (sncronza) haca e
servdor.
2. En respuesta, e servdor responde con un paquete SYN-ACK (conformacn de
sncronzacn).
3. Fnamente e cente enva un paquete ACK (confrmacn) de regreso haca e
servdor.
En este punto tanto cente como servdor han recbdo una conformacn de a
conexn.
II% >ransferencia de datos
143
Hay tres funcones cave que dferencan a TCP de UDP:
1. Transferenca de datos bre de errores.
2. Transferenca de datos ordenada.
3. Retransmsn de paquetes perddos.
4. Descartado de paquetes dupcados.
5. A|uste en a congestn de a transmsn de datos.
III. >erminacin de la conexin.
Esta etapa utza un saudo de tres vas, con cada extremo de a conexn termnando
ndependentemente. Cuando uno de os extremos desea detener su parte de a
conexn, enva un paquete FIN, que a otra parte confrma con un paquete ACK. Por
tanto, una nterrupcn de a conexn requere un par de paquetes FIN y ACK desde
cada ado de a conexn TCP.
Una conexn puede quedar aberta a medas cuando uno de os extremos ha
termnado a conexn desde su ado pero e otro extremo no. E extremo que termn a
conexn ya no puede envar datos en a conexn, pero e e otro extremo s.
E mtodo ms comn es un saudo de tres etapas donde un anftrn A enva un
paquete FIN y e anftrn B responde con un paquete FIN y un ACK (en e msmo paso) y
e anftrn A responde con un paquete ACK.
TCP reaza as sguentes etapas en su zcao:
1. LISTEN
2. SYN-SENT
3. SYN-RECEIVED
4. ESTABLISHED
5. FIN-WAIT-1
6. FIN-WAIT-2
7. CLOSE-WAIT
8. CLOSING
9. LAST-ACK
10.TIME-WAIT
11.CLOSED
LIS>EN representa a conexn en espera de petcones desde cuaquer puerto TCP remoto.
SZN)SEN> representa a espera de TCP remoto para envar de regreso e paquete TCP
estabecendo banderas SZN y =$K. SZN)(E$IPE" representa a espera para e TCP remoto
para envar de regreso a confrmacn despus de haber envado de regreso otra confrmacn
de conexn a TCP remoto (estabecdo por e servdor TCP). ES>=!LISHE" representa que e
puerto est sto para recbr/envar datos desde/haca e TCP remoto (o hacen tanto centes
como servdores TCP). >I:E)Y=I> representa e tempo de espera necesaro para asegurar
que e TCP remoto ha recbdo a confrmacn de su soctud de termnacn de a conexn.
U"<%
UDP, a veces referdo sarcstcamente como >nreliable Datagram Protoco (Protcoo no fabe
de datagrama), es un protocoo de datagrama sn correccn; no provee as garanta de
fabdad y ordenamento de TCP a os protocoos de Nivel de =plicacin y os datagramas
pueden egar en desorden o perderse sn notfcacn. Como consecuenca de o anteror es
que UDP es un protocoo ms rpdo y efcente para tareas geras o sensbes a tempo una
nterfaz muy smpe entre e Nivel de (ed y Nivel de =plicacin. S se requere agn tpo de
fabdad para os datos transmtdos, sta debe ser mpementada en os nvees superores
144
de a pa.
A gua que IP, y a dferenca de TCP, es un protocoo de me|or esfuerzo o no-fabe. E nco
probema de fabdad que resueve es a correccn de errores en a cabecera y datos
transmtdos a travs de un campo de 16 bts para suma de verificacin (checksum), una
forma de contro de redundanca con a fnadad de proteger a ntegrdad de datos verfcando
que no hayan sdo corrompdos.
La estructura de paquetes UDP consste de 4 campos.
<uerto de ori*en. Encargado de dentfcar e puerto que enva y que se asume ser e
puerto haca donde se enva a respuesta s se necesta. Este campo es opcona: s no
se utza, e vaor de campo debe ser 0.
<uerto de destino. Identfca e puerto de destno. Es obgatoro.
Lon*itud. Un campo de 16 bts que especfca a ongtud de datagrama competo:
cabecera y datos. La ongtud mnma es de 8 bytes ya que es a ongtud msma de a
cabecera.
Suma de verificacin. Un campo de 16 bts que se utza para verfcar errores en
cabecera y datos.
Las apcacones ms comunes que hacen uso de este tpo de protocoo son DNS, apcacones
de transmsn de medos, voz sobre IP (VoIP), TFTP y |uegos en nea.
S$><%
SCTP es un mecanismo de transporte fiable orentado haca conexn. Est orentado
tambn haca transmsn de datos pero no est orentado haca bytes como TCP. Provee
mtpes transmsones dstrbudos sobre una msma conexn. Puede adems representar
una conexn con mtpes dreccones IP de modo que s una IP faa, a conexn no se
nterrumpe. Se desarro ncamente para apcacones de teefona pero se puede utzar en
otras apcacones.
"$$<%
DCCP se encuentra en fase de desarroo y ba|o a tutea de a IETF (Internet Engneerng Task
Force) que pretende proveer a semntca de contro de fu|o de TCP y e modeo de servco de
datagrama de UDP a a vsta de usuaro.
(><%
RTP es un protocoo de datagrama que fue dseado para datos en tempo rea como a
transmsn de audo y vdeo. Es un nve de sesn que utza e formato de paquetes de UDP
como base. Sn embargo se consdera que este protocoo pudera acomodar deba|o de nve
de transporte de modeo TCP/IP.
+9%2%+%3% Nivel de (ed
Este nve resueve e probema de capturar os datos a travs de una red nca. I< (Internet
<rotoco) reaza a tarea bsca de capturar os paquetes de datos desde una fuente haca un
destno. IP puede transportar datos para una gran cantdad de protocoos de nve superor (Nve de
Transporte). Otro e|empo de protocoo de este nve es X.25, que es un con|unto de protocoos para
redes WAN utzando neas teefncas o sstema ISDN.
145
+9%2%+%4% Nivel de Enlace
Este nve no es reamente parte de $on-unto de <rotocolos >$</I<, sno que es e mtodo
utzado para pasar paquetes desde e Nve de Red sobre dos dferentes anftrones. Este proceso
puede ser controado a travs de sustento gco utzado como controador de dspostvo para
una tar|eta de red as como tambn sobre a <ro*ramacin en firme (Frmware) o crcutos
ntegrados auxares (chpsets). Estos procesos reazarn funcones de enace de datos taes como
aadr una cabecera de paquete para preparar a transmsn, y entonces transmtr e todo a travs
de un medo fsco.
Este nve es donde os paquetes son nterceptados y envados haca una Red Prvada Vrtua (VPN).
Cuando esto se eva a acabo, os datos de Nve de Enace se consderan como os datos de a
apcacn y procede descendendo por a pa de modeo TCP/IP para reazar a verdadera
transmsn. En e extremo receptor, os datos suben por a pa de modeo TCP/IP dos veces; una
para a VPN y otra para e encamnamento (routng).
+9%2%+%5% Nivel 7.sico
A gua que e Nve de Enace, no es reamente parte de $on-unto de <rotocolos >$</I<.
Contempa todas as caracterstcas fscas de a comuncacn como a naturaeza de medo,
detaes de conectores, cdgo de canaes y moduacn, potencas de sea, ongtudes de onda,
sncronzacn y tempo de vda as como dstancas mxmas.
+9%2%2% :odelo 0SI
E $on-unto de <rotocolos >$</I< (y su correspondente pa) han sdo utzados antes de que se
estabecera e modeo OSI (Interconexn de Sstemas Abertos u 0pen Systems Interconnecton) y
desde entonces e modeo TCP/IP ha sdo comparado con e modeo OSI tanto en bros como en
nsttucones educatvas. Ambas se reaconan pero no son equparabes. E modeo OSI utza sete
nvees, mentras que e modeo TCP/IP utza cnco. Los dos nvees que hacen a dferenca en e
Modeo OSI son e Nivel de <resentacin y e Nivel de Sesin, msmos que podran ser
equvaentes a Nivel de =plicacin de modeo TCP/IP.
De msmo modo que a pa de modeo TCP/IP, e modeo OSI no es o sufcentemente dverso en
os nvees nferores para abarcar as verdaderas capacdades de $on-unto de <rotocolos
>$</I<. Un caro e|empo es que fata un nve ntermedo para acomodar entre e Nivel de (ed y e
Nivel de >ransporte para poder determnar donde corresponden os protocoos ICMP e IGMP, y otro
nve ntermedo entre e Nivel de (ed y e Nivel de >ransporte para determnar donde
corresponden os protocoos ARP y RARP.
7 =plicacin HTTP, SMTP, SNMP, FTP, Tenet, SIP, SSH, NFS, RTSP, E:<< (Extensbe
:essagng and <resence <rotoco), Whos, ENRP Tenet.
6 <resentacin E"( (Externa "ata (epresentaton), =SN%+ (=bstract Syntax Notaton
1), S:! (Server :essage !ock),=7< (=ppe 7ng <rotoco), N$<
(NetWare $ore <rotoco)
5 Sesin =S=< (=ggregate Server =ccess <rotoco), TLS, SSH, ISO 8327 / CCITT
X.225, (<$ ((emote <rocedure $a), Net!I0S, =S< (=ppetak Sesson
<rotoco), Wnsock, BSD sockets
4 >ransporte TCP, UDP, RTP, SCTP, SPX, ATP, IL
2 Enlace de
datos
Ethernet, Token rng, HDLC, Frame reay, ISDN, ATM, 802.11 WF, FDDI,
PPP
146
1 7.sico Defne todas as especfcacones fscas y ectrcas de os dspostvos,
como son dsposcn de pnes, vota|es, especfcacones de cabeado,
concentradores, repetdores, adaptadores de red, etc.
$able, (adio, fibra ptica, (ed por palomas.
Los nvees 7 a 4 se casfcan como nvees de anftrn, mentras que os niveles inferiores de 1
a 3 se casfcan como niveles de medios.
147
+S% Introduccin a I< versin 4
stos.
+S%+% Introduccin
IPv4 es a versn 4 de Protocoo de Internet (I< o Inernet <rotoco) y consttuye a prmera versn
de IP que es mpementada de forma extensva. I<v4 es e prncpa protocoo utzado en e Nve
de Red de Modeo TCP/IP para Internet. Fue descrto ncamente en e RFC 791 eaborado por e
Grupo de Traba|o en Ingenera de Internet (IE>7 o Internet Engneerng >ask 7orce) en septembre
de 1981, documento que de| obsoeto a RFC 760 de enero de 1980.
IPv4 es un protocoo orentado haca datos que se utzan para comuncacn entre redes a travs
de nterrupcones (swtches) de paquetes (por e|empo a travs de Ethernet). Tene as sguentes
caracterstcas:
Es un protocoo de un servco de datagramas no fabe (tambn referdo como
de mejor esfuer+o).
No proporcona garanta en a entrega de datos.
No proporcona garantas sobre a correccn de os datos.
Puede resutar en paquetes dupcado o en desorden.
Todos os probemas menconados se resueven en e nve superor en e modeo TCP/IP, por
e|empo, a travs de >$< o U"<.
E propsto prncpa de I< es proveer una dreccn nca a cada sstema para asegurar que una
computadora en Internet pueda dentfcar a otra.
+S%2% "irecciones
IPv4 utza dreccones de 32 bts (4 bytes) que mta e nmero de dreccones posbes a utzar a
4,294,967,295 dreccones ncas. Sn embargo, muchas de stas estn reservadas para propstos
especaes como redes prvadas, :ultidifusin (Mutcast), etc. Debdo a esto se reduce e nmero
de dreccones IP que reamente se pueden utzar, es esto msmo o que ha mpusado a creacn
de I<v6 (actuamente en desarroo) como reempazo eventua dentro de agunos aos para IPv4.
+S%2%+% (epresentacin de las direcciones
Cuando se escrbe una dreccn I<v4 en cadenas, a notacn ms comn es a decimal con
puntos. Hay otras notacones basadas sobre os vaores de os octetos de a dreccn IP.
Utzando como e|empo: www.nuxparatodos.net que tene como dreccn IP 200.76.185.250 en a
notacn decma con puntos:
148
Notacin Palor $onversin desde decimal con
puntos
Decma con
puntos
200.76.185.250 -
Hexadecma
con puntos
0xC8.0x4C.0xB9.0xFA Cada octeto de a dreccn es
convertdo ndvduamente a
hexadecma.
Octa con puntos 0310.0114.0271.0372 Cada octeto es convertdo
ndvduamente a octa.
Bnaro con
puntos
11001000.01001100.10111001.1111101
0
Cada octeto es convertdo
ndvduamente a bnaro
Hexadecma 0xC84CB9FA Concatenacn de os octetos de
hexadecma con puntos.
Decma 3360471546 La forma hexadecma convertda a
decma.
Octa 031023134772 La forma hexadecma convertda a
octa.
Bnaro 11001000010011001011100111111010 La forma hexadecma convertda a
bnaro.
*e'ricamente todos estos formatos deberan estar reconocdos en os navegadores (sn combnar).
Adems, en as formas con puntos, cada octeto puede ser representado en dferentes bases.
E|empo: 200.0114 .0xB9.250.
+S%3% =si*nacin
Desde 1993 rge e esquema $I"( ($assess Inter-"oman (outng) cuya prncpa venta|a es
permtr a subdvsn de redes y permte a as entdades sub-asgnar dreccones IP, como hara un
ISP con un cente.
E prncpo fundamenta de encamnamento (routng) es que a dreccn codfca nformacn
acerca de ocazacn de un dspostvo dentro de una red. Esto mpca que una dreccn asgnada
a una parte de una red no funconar en otra parte de a red. Exste una estructura |errquca que se
encarga de a asgnacn de dreccones de Internet arededor de mundo. Esta estructura fue creada
por e $I"( y hasta 1998 fue supervsada por a I=N= (Internet =ssgned Numbers =uthorty o
Agenca de Asgnacn de Nmeros Internet) y sus (I( ((egona Internet (egstres o Regstros
Regonaes de Internet). Desde e 18 de septembre de 1998 a supervsn est a cargo de a I$=NN
(Internet $orporaton for =ssgned Names and Numbers o Corporacn de Internet para os Nombres
y Nmeros Asgnados). Cada (I( mantene una base de datos YH0IS dsponbe a pbco que
permte hacer bsquedas que proveen nformacn acerca de as asgnacones de dreccones IP. La
nformacn obtenda a partr de estas bsquedas |uega un pape centra en numerosas
herramentas, as cuaes se utzan para ocazar dreccones IP geogrfcamente.
+S%3%+% !loGues reservados
!loGues de direcciones reservadas
!loGue de direcciones
$I"(
"escripcin (eferencia
0.0.0.0/8 Red actua (soo vdo como dreccn de RFC 1700
149
!loGue de direcciones
$I"(
"escripcin (eferencia
orgen)
10.0.0.0/8 (ed <rivada RFC 1918
14.0.0.0/8 Red de datos pbcos RFC 1700
39.0.0.0/8 Reservado RFC 1797
127.0.0.0/8 Anftrn oca (ocahost) RFC 1700
128.0.0.0/16 Reservado
169.254.0.0/16 (ed <rivada (Zeroconf) RFC 3927
172.16.0.0/12 (ed <rivada RFC 1918
191.255.0.0/16
192.0.0.0/24
192.0.2.0/24 Red de pruebas RFC 3330
192.88.99.0/24 Retransmsn desde I<v6 haca I<v4 RFC 3068
192.168.0.0/16 (ed <rivada RFC 1918
198.18.0.0/15 Pruebas de desempeo de red RFC 2544
223.255.255.0/24 Reservado RFC 3330
224.0.0.0/4
Mutdfusn (Mutcast, antes red Case
D)
RFC 3171
240.0.0.0/4 Reservado (Antes red Case E) RFC 1700
255.255.255.255 Dfusones (Broadcast)
+S%3%+%+% (edes privadas
De os ms de cuatro m mones de dreccones permtdas por I<v4, tres rangos estn
especamente reservados para utzarse soamente en redes prvadas. Estos rangos no tenen
encamnamento fuera de una red prvada y as mqunas dentro de estas redes prvadas no pueden
comuncarse drectamente con as redes pbcas. Pueden, sn embargo, comuncarse haca redes
pbcas a travs de a Traduccn de Dreccones de Red o N=> (Network =ddress >ransaton).
!loGues reservados para redes privadas
Nombre
(an*o de
direcciones I<
Numero de
direcciones I<
>ipo de
clase
!loGue $I"(
ma2or
Boque de
24bts
10.0.0.0 -
10.255.255.255
16,777,215
nca case
A
10.0.0.0/8
Boque de
20bts
172.16.0.0 -
172.31.255.255
1,048,576
16 cases B
contguas
172.16.0.0/12
Boque de
16bts
192.168.0.0 -
192.168.255.255
65,535
256 cases C
contguas
192.168.0.0/1
6
+S%3%+%2% =nfitrin local NLocal'ostC
Adems de as redes prvadas, e rango 127.0.0.0 - 127.255.255.255 (o 127.0.0.0/8 en a notacn
150
$I"() est reservado para a comuncacn de anftrn oca (Locahost). Nnguna dreccn de este
rango deber aparecer en una red, sea pbca o prvada, y cuaquer paquete envado haca
cuaquer dreccn de este rango deber regresar como un paquete entrante haca a msma
mquna.
+S%4% (eferencia de subredes de I< versin 4
Agunos segmentos de espaco de dreccones de IP versn 4 son especamente asgnadas por
documentos RFC (Con|unto de notas tcncas y de organzacn que se eaboran desde 1969 donde
se descrben os estndares o recomendacones de Internet, antes ARPANET). E|empos de esto son
os usos de Retorno de sstema (oopback, RFC 1643), as redes prvadas (RFC 1918) y Zeroconf
(RFC 3927) que no estn ba|o e contro de os (I( ((egona Internet (egstres o Regstros
Regonaes de Internet).
La mscara de subred es utzada para separar os bts de un dentfcador de una red a partr de os
bts de dentfcador de anftrn. Se escrbe utzando e msmo tpo de notacn para escrbr
dreccones IP.
$I"(
:;scara de
subred
=nfitriones
Nombre de
la clase
Uso t.pico
/8 255.0.0.0 16777216 Case A
Boque ms grande defndo
por a IANA
/9 255.128.0.0 8388608
/10 255.192.0.0 4194304
/11 255.224.0.0 2097152
/12 255.240.0.0 1048576
/13 255.248.0.0 524288
/14 255.252.0.0 262144
/15 255.254.0.0 131072
/16 255.255.0.0 65536 Case B
/17 255.255.128.0 32768 ISP / negocos grandes
/20 255.255.240.0 4096
ISP pequeos / negocos
grandes
/21 255.255.248.0 2048
ISP pequeos / negocos
grandes
/22 255.255.252.0 1024
/23 255.255.254.0 512
/24 255.255.255.0 256 Case C LAN grande
/25 255.255.255.128 128 LAN grande
/26 255.255.255.192 64 LAN pequea
151
$I"(
:;scara de
subred
=nfitriones
Nombre de
la clase
Uso t.pico
/27 255.255.255.224 32 LAN pequea
/28 255.255.255.240 16 LAN pequea
/29 255.255.255.248 8
/30 255.255.255.252 4
Redes de unn (enaces
punto a punto)
/31 255.255.255.254 2
Red no utzabe, sugerda
para enaces punto a punto
(RFC 3021)
/32 255.255.255.255 1 Ruta de anftrn
+S%5% (eferencias
http://www.etf.org/rfc/rfc760.txt
152
20% $mo confi*urar correctamente los
par;metros de red
stos.
20%+% Introduccin
Confgurar os parmetros de red en una estacn de traba|o GNU/Lnux o un servdor no es
reamente compcado. Soamente requerr de agunos conocmentos bscos sobre redes y
cuaquer edtor de texto smpe.
20%2% <rocedimientos
20%2%+% "eteccin 2 confi*uracin del sustento f.sico N'ardMareC
La deteccn de sustento fsco (hardware) es reazada o ben por e programa de nstaacn, o ben
a travs de 0ud+u, un servco que nca con e sstema y que se encarga de detectar y confgurar
os dspostvos de sustento fsco (hardware) nstaados. En trmnos generaes, no hace fata
confgurar parmetro aguno, mentras os dspostvos de red sean compatbes y exsta un
controador para a versn de nceo (kerne) e|ecutado.
S acaso no fuese detectado e dspostvo de red debdo a a ausenca de 0ud+u, es posbe
confgurar todo manuamente. La marca de a tar|eta de red es o que menos nteresa; o que es
mportante es que se determne con exacttud qu crcuto ntegrado auxar (chpset) utza a
tar|eta de red. Esto puede determnarse examnando fscamente a tar|eta de red o ben
examnando a detae a sada en pantaa que se obtene a e|ecutar e sguente mandato:
lspci W grep :thernet
Lo anteror devueve una sada smar a as sguente (en e caso de una tar|eta 3Com 905 C):
:thernet controller: .Aom Aorporation .c-0)A-"X >Xast :therlink? (rev
1(0)!
Debe modfcarse con un edtor de textos e fchero /etc/modules%conf (nceos de a sere 2.4) o
/etc/modprobe%conf (nceos de a sere 2.6) y debe verfcarse que e mduo de su tar|eta de red
reamente est especfcado correctamente. E|empo:
alias eth0 .c)-x
S se reaz aguna edcn de este fchero, deber e|ecutarse e sguente mandato, a fn de
actuazar dependencas:
153
depmod -a
S utza un nceo de a sere 2.4.x o 2.6, a sta de mduos exstentes en e sstema que se
pueden utzar para dstntos crcutos ntegrados auxares (chpset) de dstntos modeos de
tar|etas de red, se puede obtener stando e contendo de drectoro /lib/modules/[versin del
n1cleo\/Lernel/drivers/net/. E|empo:
ls /lib/modules/(!6!--((/kernel/drivers/net/
20%2%2% =si*nacin de par;metros de red
20%2%2%+% Nombre del anfitrin NH0S>N=:EC
Debe modfcarse con un edtor de textos e fchero /etc/'osts, y debe verfcarse que est
dferencado e eco o retorno de sstema de nombre de sstema, e cua deber estar asocado a
una de as dreccones IP, especfcamente a que est asocada a dcho nombre en e servdor de
nombres de domno o DNS s se cuenta con uno en a red oca. E|empo:
(20.M.M.( localhost.localdomain localhost
(W2.(-H.(.,M nombre.dominio nombre
Se debe estabecer un nombre para e sstema. ste deber ser un nombre de domno
competamente resueto por un servdor de nombre de domno (DNS) o ben, en e caso de sstemas
sn conexn a red o sstemas caseros, sea resueto ocamente en /etc/'osts. De ta modo, e
nombre del anfitrin (!ostname) de sstema se defnr dentro de fchero
/etc/s2sconfi*/netMorL de sguente modo:
7:"K8RQ<7*32es
B8"76':3nombre!dominio
20%2%2%2% "ireccin I<X m;scara de subred 2 puerta de enlace
Debe modfcarse con cuaquer edtor de textos y verfcar que sus parmetros de red sean os
correctos, e fchero ocazado en a ruta /etc/s2sconfi*/netMorL)scripts/ifcf*)et'0. E|empo:
%:P<A:3eth0
87988"32es
988"CR8"83static
<C6%%R31-(!16,!1!)0
7:"'6Q3())!())!())!0
*6":K6\31-(!16,!1!()+
Los parmetros anterores son proporconados por e admnstrador de a red oca en donde se
ocace a mquna que est sendo confgurada, o ben defndos de acuerdo a una panfcacn
predefnda. E admnstrador de a red deber proporconar una dreccn IP dsponbe (IPADDR) y
una mscara de a sub-red (NETMASK).
20%2%2%3% Servidores de nombres
Debe modfcarse con un edtor de textos /etc/resolv%conf y deben estabecerse en ste os
servdores de resoucn de nombres de domno (DNS). E|empo:
154
nameserver 1-(!16,!1!()+
nameserver 1-(!16,!1!1
20%2%3% =*re*ar encaminamientos NrutasC adicionales
S se requere estabecer encamnamentos adconaes para obtener conectvdad con otras redes,
se pueden generar fcheros para cada nterfaz que sea necesaro, en donde se estabecen os
vaores para puerta de enace, red a a que se quere acceder y a mscara de subred
correspondente. Los fcheros se deben generar dentro de drectoro /etc/s2sconfi*/netMorL)
scripts/ como route8?interfa+@ y deben evar e sguente formato:
*6":K6\03xxx!xxx!xxx!xxx
6%%R:03xxx!xxx!xxx!xxx
7:"'6Q03xxx!xxx!xxx!xxx
Por ctar un e|empo, magnemos que nos encontramos dentro de a red 192.168.1.0 y se requere
estabecer conectvdad con as redes 192.168.2.0 y 192.168.3.0, con mscaras 255.255.255.0, a
travs de as puertas de enace o enrutadores o encamnadores con dreccn IP 192.168.2.1 y
192.168.3.1, correspondentemente para cada red ctada, a travs de a prmera nterfaz Ethernet
de sstema (eth0). La confguracn de /etc/s2sconfi*/netMorL)scripts/route)et'0 sera a
sguente:
*6":K6\031-(!16,!(!1
6%%R:031-(!16,!(!0
7:"'6Q03())!())!())!0
*6":K6\131-(!16,!.!1
6%%R:131-(!16,!.!0
7:"'6Q13())!())!())!0
20%2%4% 7uncin de reenv.o de paGuetes para I< versin 4
S se tene paneado mpementar un NAT o DNAT, se debe habtar e reenvo de paquetes para IP
versn 4. Esto se reaza en e fchero /etc/s2sctl%conf cambando net%ipv4%ipQforMard T 0 por
net%ipv4%ipQforMard T +:
net!ipv+!ip5for1ard 3 1
20%2%5% $omprobaciones
Despus de haber confgurado todos os parmetros de red deseados, so deber ser rencado e
servco de red, e|ecutando o sguente:
service net1ork restart
Basta soamente comprobar s hay reamente conectvdad. Puede e|ecutarse e mandato pin* haca
cuaquer dreccn de a red oca para ta fn.
ping 1-(!16,!1!()+
Las nterfaces y a nformacn de as msmas se puede examnar utzando:
155
/sbin/ifconfig
Las encamnamentos se pueden comprobar e|ecutado:
/sbin/route -n
Para comprobar s hay resoucn de nombres, se puede reazar una consuta haca os DNS
defndos para e sstema utzando:
host alg]n!dominio
20%2%6% =lta de direcciones I< virtuales
E ata de dreccones IP es verdaderamente smpe. Basta defnr soamente a dreccn IP, a
mscara de subred y e nombre de dspostvo. E fchero se genera guamente con e nombre de
dspostvo con e pref|o ifcf*). E|empo de contendo de fchero /etc/s2sconfi*/netMorL)
scripts/ifcf*)et'0,0 que corresponde a prmer dspostvo vrtua de prmer dspostvo ethernet:
%:P<A:3e!030
<C6%%R31-(!16,!(!()+
7:"'6Q3())!())!())!0
La comprobacn, a e|ecutar e mandatoifconfi*, deber regresar ago como o sguente
eth0 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0)
inet addr:1-(!16,!1!()+ 9cast:1-(!16,!1!())
'ask:())!())!())!0
$C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1
RX packets:(6+,.0 errors:0 dropped:0 overruns:0 frame:0
"X packets:()).-6 errors:0 dropped:0 overruns:0 carrier:0
collisions:.+, txOueuelen:1000
RX b2tes:+(./)61, (+0!+ 'i9) "X b2tes:(0.060,0 (1-!. 'i9)
<nterrupt:11 9ase address:0xd000
eth0:0 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0)
inet addr:1-(!16,!(!()+ 9cast:1-(!16,!(!())
'ask:())!())!())!0
$C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1
lo ;ink encap:;ocal ;oopback
inet addr:1(/!0!0!1 'ask:())!0!0!0
$C ;88C96AQ R$77<7* '"$:16+.6 'etric:1
RX packets:()-0 errors:0 dropped:0 overruns:0 frame:0
"X packets:()-0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txOueuelen:0
RX b2tes:..(/,-- (.!1 'i9) "X b2tes:..(/,-- (.!1 'i9)
20%2%7% La funcin ]eroconf
De modo predetermnado, y a fn de permtr a comuncacn entre dos dferentes sstemas a travs
de un cabe R|45 cruzado (crossover), e sstema tene habtado ]eroconf, tambn conocdo como
156
]ero $onfi*uration NetMorLin* o =utomatic <rivate I< =ddressin* (APIPA). Es un con|unto de
tcncas que automtcamente crean una dreccn IP utzabe sn confguracn de servdores de
especaes. Permte a usuaros sn conocmentos de redes conectar computadoras, mpresoras en
red y otros artcuos entre s. Sn Zeroconf os usuaros sn conocmentos tendran que confgurar
servdores especaes como DHCP y DNS para poder estabecer conectvdad entre dos equpos.
Estando habtado Zeroconf se mostrar un regstro en a taba de encamnamentos para a red
169.254.0.0 a e|ecutar route )n, devovendo una sada smar a a sguente:
1-(!16,!1!0 0!0!0!0 ())!())!())!0 $ 0 0
0 eth0
169.25&.0.0 0.0.0.0 255.255.0.0 ( 0 0
0 e!0
1(/!0!0!0 0!0!0!0 ())!0!0!0 $ 0 0
0 lo
0!0!0!0 1-(!16,!1!1 0!0!0!0 $* 0 0
0 eth0
S se desea desactvar Zeroconf, so bastar aadr en e fchero /etc/s2sconfi*/netMorL e
parmetro N0]E(0$0N7 con e vaor 2es:
7:"K8RQ<7*32es
B8"76':3nombre!dominio
@.F$A.?.@=7yes
A termnar, soamente hay que rencar e servco de red para que surtan efecto os cambos y
comprobar de nuevo con route )n que a ruta para ]eroconf ha desaparecdo:
1-(!16,!1!0 0!0!0!0 ())!())!())!0 $ 0 0
0 eth0
1(/!0!0!0 0!0!0!0 ())!0!0!0 $ 0 0
0 lo
0!0!0!0 1-(!16,!1!1 0!0!0!0 $* 0 0
0 eth0
Una vez hecho o anteror, exsten dos servcos en e sstema en CentOS, Whte Box y Red Hat
Enterprse Lnux 4 que se pueden desactvar, puesto que srven para estabecer a comuncacn a
travs de Zeroconf, stos son mDNSResponder y nfd. Desactvar estos dos servcos ahorrar
tempo en e arranque y se consumrn menos recursos de sistema.
chkconfig nifd off
chkconfig m%7Responder off
service nifd stop
service m%7Responder stop
Para ms detaes acerca de ]eroconf, puede consutara nformacn dsponbe en:
http://www.zeroconf.org/
http://en.wkpeda.org/wk/Zeroconf
157
20%2%9% "es'abilitar I<v6
IPv6 o Protocoo de Internet versn 6 (Internet Protoco Verson 6) es un estndar, de nve de red
de modeo TCP, orentada haca datos, utzada por dspostvos eectrncos para transmtr datos a
travs de una Anter8red (Internetworkng), creado por Steve Deerng y Crag Mudge mentras
traba|aban para e Centro de Investgacones de Pao Ato de Xerox, o Eerox <alo =lto (esearc'
$enter (Xerox PARC).
Sucedendo a IPv4, es a segunda versn de Protocoo de Internet en ser formamente adoptada
para uso genera. IPv6 tene como ob|etvo souconar e probema concernente a mte de
dreccones IP que se pueden asgnar a travs de IPv4, as cuaes tendrn mucha demanda en un
futuro no muy e|ano cuando se ncremente e nmero de tefonos mves y otros dspostvos de
comuncacn que ofrezcan acceso haca Internet.
IPv4 so ncuye soporte para 4,294 m mones (4,294 x 10
9
) de dreccones IP, o cua es
adecuado para asgnar una dreccn IP a cada persona de paneta. IPv6 ncuye soporte para 340
undecones (340 x 10
38
) de dreccones IP. Se espera que IPv4 sga sendo t hasta arededor de
ao 2025, o cua dar tempo para corregr errores y probemas en IPv6.
Mentras no se mpemente de modo forma IPv6, ste cargar un controador en e sstema que har
que agunas apcacones manfesten un acceso ento haca Internet o probemas de conectvdad.
S no se va a utzar IPv6 o ms convenente es desactvaro de sstema. Edte e fchero
/etc/modprobe%conf y aada o sguente:
alias ipv6 off
alias net-pf-10 off
A termnar e|ecute:
/sbin/depmod -a
Rence e sstema a fn de que se efecten os cambos.
20%3% E-ercicios
20%3%+% Encaminamientos est;ticos
Este e|ercco consdera o sguente:
1. Se tene dos equpos de cmputo con GNU/Lnux nstaado en ambos.
2. pc+%dominio tene una dreccn IP 192.168.0.101 con mscara de subred 255.255.255.0 en
e dspostvo eth0. Una dreccn IP 10.0.0.101 con mscara de subred 255.0.0.0 en e
dspostvo eth1.
3. pc2%dominio tene una dreccn IP 192.168.0.102 (o cuaquera otra en e msmo segmento)
con mscara de subred 255.255.255.0 en e dspostvo eth0. No tene otros dspostvos de
red actvos.
Vsuace desde pc2%dominio os regstros de a taba de encamnamento.
158
route -n
Obtendr una sada smar a a sguente:
Qernel <C routing table
%estination *ate1a2 *enmask Xlags 'etric Ref $se
<face
1-(!16,!0!0 0!0!0!0 ())!())!())!0 $ 0 0 0
eth0
0!0!0!0 1-(!16,!0!1 0!0!0!0 $* 0 0 0
eth0
Intente e|ecutar pin* haca a dreccn recn aadda en pc+%dominio.
ping -c . 10!0!0!101
E resutado esperado es que pin* devueva que hay 100% de prdda de paquetes.
C<7* 10!0!0!101 (10!0!0!101) )6(,+) b2tes of data!
--- 10!0!0!101 ping statistics ---
. packets transmitted= 0 received= 100& packet loss= time 1---ms
Proceda a aadr e encamnamento que corresponde especfcando a red, mascar de subred y
puerta de enace necesaros para egar haca 10.0.0.101.
route add D
-net 10!0!0!0 D
netmask ())!0!0!0 D
g1 1-(!16,!0!101 D
eth0
Vsuace de nuevo os regstros de a taba de encamnamento.
route -n
Obtendr una sada smar a a sguente:
<face
1-(!16,!0!0 0!0!0!0 ())!())!())!0 $ 0 0 0
eth0
0!0!0!0 1-(!16,!0!1 0!0!0!0 $* 0 0 0
eth0
10.0.0.0 192.16H.0.1 255.0.0.0 (G 0 0 0
e!0
159
ping -c . 10!0!0!101
E resutado esperado es que pin* responda a png, obtenndose una sada smar a a sguente:
C<7* 10!0!0!101 (10!0!0!101) )6(,+) b2tes of data!
6+ b2tes from 10!0!0!101: icmp5seO30 ttl36+ time30!+). ms
6+ b2tes from 10!0!0!101: icmp5seO31 ttl36+ time30!.6, ms
6+ b2tes from 10!0!0!101: icmp5seO3( ttl36+ time30!.+/ ms
--- 10!0!0!101 ping statistics ---
. packets transmitted= . received= 0& packet loss= time 1---ms
rtt min/avg/max/mdev 3 0!.+//0!.,-/0!+)./0!0+, ms= pipe (
Rence e servco de red, vsuace de nuevo os regstros de a taba de encamnamento y
compruebe que ya no hay respuesta a hacer pin* haca 10.0.0.101 debdo a que e regstro en a
taba de encamnamento fue emnado a rencar e servco de red.
route -n
ping -c . 10!0!0!101
Para hacer permanente e regstro en a taba de encamnamento utce un edtor de texto de
fchero /etc/s2sconfi*/netMorL)scripts/route)et'0 y ponga e sguente contendo:
6%%R:0310!0!0!0
7:"'6Q03())!0!0!0
*6":K6\031-(!16,!0!101
A termnar rence e servco de red.
Vsuace nuevamente os regstros de a taba de encamnamento.
route -n
Lo anteror debe devover una sada smar a a sguente:
<face
1-(!16,!0!0 0!0!0!0 ())!())!())!0 $ 0 0 0
eth0
0!0!0!0 1-(!16,!0!1 0!0!0!0 $* 0 0 0
eth0
10.0.0.0 192.16H.0.1 255.0.0.0 (G 0 0 0
e!0
160
ping -c . 10!0!0!101
Rence e servco de red, vsuace de nuevo os regstros de a taba de encamnamento y
compruebe que hay respuesta a hacer png haca 10.0.0.101.
route -n
ping -c. 10!0!0!101
20%3%2% "irecciones I< virtuales
Este e|ercco consdera o sguente:
1. Se tene dos (o ms) equpos de computo con GNU/Lnux nstaado en stos.
2. pc+%dominio tene una dreccn IP 192.168%0%101 con mscara de subred 255.255.255.0 en
e dspostvo eth0. No tene otros dspostvos de red actvos.
3. pc2%dominio tene una dreccn IP 192.168%0%102 con mscara de subred 255.255.255.0 en
e dspostvo eth0. No tene otros dspostvos de red actvos.
Vsuace as nterfaces de red actvas en e sstema.
ifconfig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que so estn
actvas a nterfaz et'0 y a correspondente a retorno de sstema (oopback):
inet addr:1-(!16,!0!101 9cast:1-(!16,!0!())
'ask:())!())!())!0
$C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1
RX packets:(+/,+ errors:0 dropped:0 overruns:0 frame:0
"X packets:(..66 errors:0 dropped:0 overruns:0 carrier:0
collisions:11( txOueuelen:1000
RX b2tes:1).(..1/ (1+!6 'i9) "X b2tes:)/-+(,, ()!) 'i9)
inet addr:1(/!0!0!1 'ask:())!0!0!0
$C ;88C96AQ R$77<7* '"$:16+.6 'etric:1
RX packets:1../ errors:0 dropped:0 overruns:0 frame:0
"X packets:1../ errors:0 dropped:0 overruns:0 carrier:0
RX b2tes:1()10( (1((!1 Qi9) "X b2tes:1()10( (1((!1 Qi9)
Utce pin* para comprobar s acaso hay aguna respuesta desde a nterfaz vrtua et'0,0.
ping -c. 1-(!16,.1.101
161
C<7* 1-(!16,!1!101 (1-(!16,!1!101) )6(,+) b2tes of data!
--- 1-(!16,!1!101 ping statistics ---
Confgure, a travs de ifconfi*X os parmetros de a nterfaz vrtua et'0,0. S a sntaxs fue
correcta, e sstema no deber devover mensa|e aguno.
ifconfig eth0:0 1-(!16,!1!101 netmask ())!0!0!0
Utce pin* para comprobar que haya respuesta desde a nterfaz vrtua et'0,0.
ping -c. 1-(!16,.1.101
C<7* 1-(!16,!1!101 (1-(!16,!1!101) )6(,+) b2tes of data!
6+ b2tes from 1-(!16,!1!101: icmp5seO30 ttl36+ time30!+). ms
6+ b2tes from 1-(!16,!1!101: icmp5seO31 ttl36+ time30!.6, ms
6+ b2tes from 1-(!16,!1!101: icmp5seO3( ttl36+ time30!.+/ ms
--- 1-(!16,!1!101 ping statistics ---
ifconfig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que est actva a
nterfaz et'0,0 |unto con a nterfaz et'0 y a correspondente a retorno de sstema (oopback):
162
inet addr:1-(!16,!0!101 9cast:1-(!16,!0!())
'ask:())!())!())!0
$C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1
RX b2tes:1).(..1/ (1+!6 'i9) "X b2tes:)/-+(,, ()!) 'i9)
e!030 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0)
inet addr:1-(!16,.1.101 9cast:1-(!16,.1.())
'ask:())!())!())!0
$C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1
inet addr:1(/!0!0!1 'ask:())!0!0!0
$C ;88C96AQ R$77<7* '"$:16+.6 'etric:1
Rence e servco de red.
Utce pin* para comprobar s an hay respuesta desde a nterfaz vrtua et'0,0.
ping -c. 1-(!16,.1.101
C<7* 1-(!16,!1!101 (1-(!16,!1!101) )6(,+) b2tes of data!
--- 1-(!16,!1!101 ping statistics ---
ifconfig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que ya no est actva
a nterfaz et'0,0, y so se muestran actvas a nterfaz et'0 y a correspondente a retorno de
sstema (oopback):
163
inet addr:1-(!16,!0!101 9cast:1-(!16,!0!())
'ask:())!())!())!0
$C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1
RX b2tes:1).(..1/ (1+!6 'i9) "X b2tes:)/-+(,, ()!) 'i9)
inet addr:1(/!0!0!1 'ask:())!0!0!0
$C ;88C96AQ R$77<7* '"$:16+.6 'etric:1
Para hacer permanente a nterfaz de red vrtua en et'0,0 utce un edtor de texto e fchero
/etc/s2sconfi*/netMorL)scripts/ifcf*)et'0,0 y ponga e sguente contendo N^(espete
ma21sculas 2 min1sculas_C:
%:P<A:3eth0:0
<C6%%R31-(!16,!1!101
7:"'6Q3())!())!())!0
Rence e servco de red.
ifconfig
Lo anteror debe devover una sada smar a a sguente, donde nuevamente se mostrar que est
actva a nterfaz et'0,0 |unto con a nterfaz et'0 y a correspondente a retorno de sstema
(oopback):
164
inet addr:1-(!16,!0!101 9cast:1-(!16,!0!())
'ask:())!())!())!0
$C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1
RX b2tes:1).(..1/ (1+!6 'i9) "X b2tes:)/-+(,, ()!) 'i9)
e!030 ;ink encap::thernet BKaddr 00:01:0(:0.:0+:0)
inet addr:1-(!16,.1.101 9cast:1-(!16,.1.())
'ask:())!())!())!0
$C 9R86%A6" R$77<7* '$;"<A6" '"$:1)00 'etric:1
inet addr:1(/!0!0!1 'ask:())!0!0!0
$C ;88C96AQ R$77<7* '"$:16+.6 'etric:1
Utce pin* para comprobar que haya respuesta desde a nterfaz vrtua et'0,0.
ping -c. 1-(!16,.1.101
C<7* 1-(!16,!1!101 (1-(!16,!1!101) )6(,+) b2tes of data!
6+ b2tes from 1-(!16,!1!101: icmp5seO30 ttl36+ time30!+). ms
6+ b2tes from 1-(!16,!1!101: icmp5seO31 ttl36+ time30!.6, ms
6+ b2tes from 1-(!16,!1!101: icmp5seO3( ttl36+ time30!.+/ ms
--- 1-(!16,!1!101 ping statistics ---
La nterfaz et'0,0 estar actva a sguente vez que nce e sstema operatvo con a dreccn IP y
mscara de subred asgnados.
165
2+% $mo confi*urar un servidor "H$< en una
L=N
stos.
2+%+% Introduccin
"H$< (acrnmo de "ynamc Host $onfguraton <rotoco que se traduce como Protocoo de
confguracn dnmca de servdores) es un protocoo que permte a dspostvos ndvduaes en
una red de dreccones IP obtener su propa nformacn de confguracn de red (dreccn IP;
mscara de subred, puerta de enace, etc.) a partr de un servdor DHCP. Su propsto prncpa es
hacer ms fces de admnstrar as redes grandes. "H$< exste desde 1993 como protocoo
estndar y se descrbe a detae en e RFC 2131.
Sn a ayuda de un servdor "H$<, tendra que confgurarse de forma manua cada dreccn IP de
cada anftrn que pertenezca a una Red de Area Loca. S un anftrn se trasada haca otra
ubcacn donde exste otra Red de Area Loca, se tendr que confgurar otra dreccn IP dferente
para poder unrse a esta nueva Red de Area Loca. Un servdor "H$< entonces supervsa y
dstrbuye as dreccones IP de una Red de Area Loca asgnando una dreccn IP a cada anftrn
que se una a a Red de Area Loca. Cuando, por menconar un e|empo, una computadora portt se
confgura para utzar "H$<, a sta e ser asgnada una dreccn IP y otros parmetros de red
necesaros para unrse a cada Red de Area Loca donde se ocace.
Exsten tres mtodos de asgnacn en e protocoo "H$<:
=si*nacin manual: La asgnacn utza una taba con dreccones :=$
(acrnmo de :eda =ccess $ontro =ddress, que se traduce como dreccn de
Contro de Acceso a Medo). So os anftrones con una dreccn :=$ defnda
en dcha taba recbrn e IP asgnada en a msma taba. sto se hace a travs
de os parmetros 'ardMare et'ernet y fixed)address.
=si*nacin autom;tica: Una dreccn de IP dsponbe dentro de un rango
determnado se asgna permanentemente a anftrn que a requera.
=si*nacin din;mica: Se determna arbtraramente un rango de dreccones IP
y cada anftrn conectado a a red est confgurada para soctar su dreccn IP
a servdor cuando se nca e dspostvo de red, utili8ando un intervalo de
tiempo controlable (parmetros default)lease)time y max)lease)time) de
modo que as dreccones IP no son permanentes y se reutzan de forma
dnmca.
2+%2% Sustento l*ico necesario%
Se requere nstaar e paquete dhcp, e cua deber estar ncudo en os dscos de nstaacn de a
mayora de as dstrbucones.
166
2um -2 install dhcp
S se utza Red Hat Enterprse Lnux, so bastar reazar o sguente para nstaar o actuazar e
sustento gco necesaro:
up(date -i dhcp
2+%3% 7ic'ero de confi*uracin
Consderando como e|empo que se tene una red oca con as sguentes caracterstcas:
Nmero de red 192.168.0.0
Mscara de subred: 255.255.255.0
Puerta de enace: 192.168.0.1
Servdor de nombres: 192.168.0.1, 148.240.241.42 y 148.240.241.10
Servdor Wns: 192.168.0.1
Servdores de tempo: 66.187.224.4 y 66.187.233.4
Rango de dreccones IP a asgnar de modo dnmco: 192.168.0.11-
192.168.0.199
N0>=, Es ndspensabe conocer 2 entender perfectamente todo o anteror para poder
contnuar con este manua.
Puede utzar e sguente contendo para crear desde cero e fchero /etc/d'cpd%conf.
ddns-update-st2le interimN
ignore client-updatesN
shared-net1ork miredlocal R
subnet 1-(!16,!0!0 netmask ())!())!())!0 R
option routers 1-(!16,!0!1N
option subnet-mask ())!())!())!0N
option broadcast-address 1-(!16,!0!())N
option domain-name Gre*lo+)l.ne!GN
option domain-name-servers 1-(!16,!0!1= 1+,!(+0!(+1!+(= 1+,!(+0!(+1!10N
option netbios-name-servers 1-(!16,!0!1N
option ntp-servers 66!1,/!((+!+= 66!1,/!(..!+N
range 1-(!16,!0!11 1-(!16,!0!1--N
default-lease-time (1600N
max-lease-time +.(00N
S
host m(). R
option host-name Gm().!redlocal!netGN
hard1are ethernet 00:)0:9X:(/:1A:1AN
fixed-address 1-(!16,!0!().N
S
host m()+ R
option host-name Gm()+!redlocal!netGN
hard1are ethernet 00:01:0.:%A:6/:(.N
fixed-address 1-(!16,!0!()+N
S
S
167
Una buena medda de segurdad es hacer que e servco de d'cpd so funcone a travs de a
nterfaz de red utzada por a LAN; o anteror en e caso de contar con mtpes dspostvos de
red. Edte e fchero /etc/s2sconfi*/d'cpd y agregue como argumento de parmetro "H$<"=(GS
e vaor et'0, et'+, et'2, etc., o o que corresponda. E|empo, consderando que et'0 es a nterfaz
correspondente a a LAN:
L Aommand line options here
%BAC%6R*3eth0
Para e|ecutar por prmera vez e servco, e|ecute:
/sbin/service dhcpd start
Para hacer que os cambos hechos a a confguracn surtan efecto, e|ecute:
/sbin/service dhcpd restart
Para detener e daemon, e|ecute:
/sbin/service dhcpd stop
Para aadr d'cpd a arranque de sstema, e|ecute:
/sbin/chkconfig dhcpd on
Hecho o anteror so bastar con confgurar como nterfaces DHCP as estacones de traba|o que
sean necesaras sn mportar qu sstema operatvo utcen.
168
22% $mo confi*urar vsftpd NPer2 Secure 7><
"aemonC
stos.
22%+% Introduccin%
FTP (7e >ransfer <rotoco) o Protocoo de Transferenca de Archvos (o fcheros nformtcos) es uno
de os protocoos estndar ms utzados en Internet e e ms dneo para a transferenca de
grandes boques de datos a travs de redes que soporten TCP/IP. E servco utza os puertos 20 y
21, excusvamente sobre TCP. E puerto 20 es utzado para e fu|o de datos entre cente y servdor.
E puerto 21 es utzando para e envo de rdenes de cente haca e servdor. Prctcamente todos
os sstemas operatvos y pataformas ncuyen soporte para FTP, o que permte que cuaquer
computadora conectada a una red basada sobre TCP/IP pueda hacer uso de este servco a travs de
un cente FTP.
VSFTPD (Pery Secure 7>< "aemon) es un sustento gco utzado para mpementar servdores de
archvos a travs de protocoo FTP. Se dstngue prncpamente porque sus vaores por defecto son
muy seguros y por su sencez en a confguracn, comparado con otras aternatvas como Wu-ftpd.
Actuamente se presume que VSFTPD es quz e servdor FTP ms seguro de mundo.
22%2% Sustento l*ico necesario%
2um -2 install vsftpd
22%3% 7ic'eros de confi*uracin%
/etc/vsftpd!user5list Lsta que defnr usuaros a en|auar o no a en|auar, dependendo
de a confguracn.
/etc/vsftpd/vsftpd!conf Fchero de confguracn.
Utce un edtor de texto y modfque e fchero /etc/vsftpd/vsftpd%conf. A contnuacn
anazaremos os parmetros a modfcar o aadr, segn serequera para necesdades partcuares.
22%4%+% <ar;metro anon2mousQenable%
Se utza para defnr s se permtrn os accesos annmos a servdor. Estabezca como vaor ZES
o N0 de acuerdo a o que se requera.
169
anon2mous5enable3\:
22%4%2% <ar;metro localQenable%
Es partcuarmente nteresante s se combna con a funcn de |aua (c'root). Estabece s se van a
permtr os accesos autentcados de os usuaros ocaes de sstema. Estabezca como vaor ZES o
N0 de acuerdo a o que se requera.
local5enable3\:
22%4%3% <ar;metro MriteQenable%
Estabece s se permte e mandato Mrite (escrtura) en e servdor. Estabezca como vaor ZES o N0
de acuerdo a o que se requera.
1rite5enable3\:
22%4%4% <ar;metro ftpdQbanner%
Este parmetro srve para estabecer e bandern de benvenda que ser mostrado cada vez que un
usuaro acceda a servdor. Puede estabecerse cuaquer frase breve que consdere convenente.
ftpd5banner39ienvenido al servidor X"C de nuestra empresa!
22%4%5% Estableciendo -aulas para los usuarios, par;metros
c'rootQlocalQuser 2 c'rootQlistQfile%
De modo predetermnado os usuaros de sstema que se autentquen tendrn acceso a otros
drectoros de sstema fuera de su drectoro persona. S se desea recur a os usuaros a soo poder
utzar su propo drectoro persona, puede hacerse fcmente con e parmetro c'rootQlocalQuser
que habtar a funcn de c'rootNC y os parmetros chroot_st_enabe y chroot_st_fe para
estabecer e fchero con a sta de usuaros que quedarn excudos de a funcn c'rootNC.
chroot5local5user3\:
chroot5list5enable3\:
chroot5list5file3/etc/vsftpd/vsftpd!chroot5list
Con o anteror, cada vez que un usuaro oca se autentque en e servdor FTP, soo tendr acceso a
su propo drectoro persona y o que este contenga. No olvide crear el fic'ero
/etc/vsftpd/vsftpd%c'rootQlistX 2a Gue de otro modo no arrancar; el servicio vsftpd.
touch /etc/vsftpd/vsftpd!chroot5list
22%4%6% $ontrol del anc'o de banda%
22%4%6%+% <ar;metro anonQmaxQrate%
Se utza para mtar a tasa de transferenca en bytes por segundo para os usuaros annmos,
ago sumamente t en servdores FTP de acceso pbco. En e sguente e|empo se mta a tasa
de transferenca a 5 Kb por segundo para os usuaros annmos:
170
anon_max_rate=5120
22%4%6%2% <ar;metro localQmaxQrate%
Hace o msmo que anon_max_rate, pero apca para usuaros ocaes de servdor. En e sguente
e|empo se mta a tasa de transferenca a 5 Kb por segundo para os usuaros ocaes:
oca_max_rate=5120
22%4%6%3% <ar;metro maxQclients%
Estabece e nmero mxmo de centes que podrn acceder smutneamente haca e servdor FTP.
En e sguente e|empo se mtar e acceso a 5 centes smutneos.
max_cents=5
22%4%6%4% <ar;metro maxQperQip%
Estabece e nmero mxmo de conexones que se pueden reazar desde una msma dreccn IP.
Tome en cuenta que agunas redes acceden a travs de un servdor proxy o puerta de enace y
debdo a esto podran quedar boqueados nnecesaramente agunos accesos. en e sguente
e|empo se mta e nmero de conexones por IP smutneas a 5.
max_per_p=5
22%5% =plicando los cambios%
A dferenca de otros servcos FTP, VSFTPD no requere confgurarse como servco sobre demanda.
Por o tanto no depende de servco xinetd. La versn ncuda en dstrbucones como Red
Hat&trae; Enterprse Lnux 3.0 y Whte Box Enterprse Lnux 3.0 puede ncazarse, detenerse o
rencazarse a travs de un gun smar a os de resto de sstema. De modo ta, podr
ncazarse, detenerse o rencazarse a travs de mandato service y aadrse a arranque de
sstema en un nve o nvees de corrda en partcuar con e mandato c'Lconfi*.
Para e|ecutar por prmera vez e servco, utce:
service vfstpd start
Para hacer que os cambos hechos a a confguracn surtan efecto, utce:
service vsftpd restart
Para detener e servco, utce:
service vsftpd stop
Para aadr VSFTPD a arranque de sstema en todos os nvees de corrda, utce:
chkconfig vsftpd on
171
22%6% :odificaciones necesarias en el muro cortafue*os%
S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr
os puerto 20 y 21 por TCP (7><)"=>= y 7><, respectvamente).
Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a o
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp (0=(1
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
172
23% $mo confi*urar 0penSSH
stos.
23%+% Introduccin%
23%+%+% =cerca de SSH%
SSH (Secure S'e) es un con|unto de estndares y protocoo de red que permte estabecer una
comuncacn a travs de un cana seguro entre un cente oca y un servdor remoto. Utza una
cave pbca cfrada para autentcar e servdor remoto y, opconamente, permtr a servdor
remoto autentcar a usuaro. SSH provee confdencadad e ntegrdad en a transferenca de os
datos utzando crptografa y :=$ (:essage =uthentcaton $odes, o Cdgos de Autentcacn de
Mensa|e). De modo predetermnado, escucha petcones a travs de puerto 22 por TCP.
23%+%2% =cerca de S7><%
S7>< (SSH 7e >ransfer <rotoco) es un protocoo que provee funconadad de transferenca y
manpuacn de fcheros a travs de un fu|o confabe de datos. Comnmente se utza con SSH
para proveer a ste de transferenca segura de fcheros.
23%+%3% =cerca de S$<%
S$< (Secure $opy, o Copa Segura) es una protcoo seguro para transferr fcheros entre un anftrn
oca y otro remoto, a travs de SSH. Bscamente, es dntco a ($< ((emote $opy, o Copa
Remota), con a dferenca de que os datos son cfrados durante a transferenca para evtar a
extraccn potenca de nformacn a travs de programas de captura de as tramas de red (pacLet
sniffers). S$< soo mpementa a transferenca de fcheros, pues a autentcacn requerda es
reazada a travs de SSH.
23%+%4% =cerca de 0penSSH%
0penSSH (0pen Secure S'e) es una aternatva de cdgo aberto, con licencia !S", haca a
mpementacn propetara y de cdgo cerrado SSH creada por Tatu Ynen. 0penSSH es un
proyecto creado por e equpo de desarroo de OpenBSD y actuamente drgdo por Theo de Raadt.
Se consdera es ms segura que su contraparte propetara debdo a a constante audtora que se
reaza sobre e cdgo fuente por parte de una gran comundad de desarroadores, una venta|a que
brnda a tratarse de un proyecto de fuente aberta.
OpenSSH ncuye servco y centes para os protocoos SSH, S7>< y S$<.
URL: http://www.openssh.org/.
173
openssh-3.5p1-6
openssh-cents-3.5p1-6
openssh-server-3.5p1-6
Antes de contnuar verfque sempre a exstenca de posbes actuazacones de segurdad:
2um -2 install openssh openssh-server openssh-clients
23%3% 7ic'eros de confi*uracin%
/etc/ssh/sshd_confg Fchero centra de confguracn de servco SSH.
Edte /etc/ss'/ss'dQconfi*. A contnuacn se anazarn os parmetros a modfcar.
23%4%+% <ar;metro <ort%
Una forma de eevar consderabemente a segurdad a servco de SSH, es cambar e nmero de
puerto utzado por e servco, por otro que soo conozca e admnstrador de sstema. A este tpo
de tcncas se es conoce como Se*uridad por 0scuridad. La mayora de os dencuentes
nformtcos utza guones que buscan servdores que respondan a petcones a travs de puerto
22. Cambar de puerto e servco de SSH dsmnuye consderabemente a posbdad de una
ntrusn a travs de este servco.
Cort ((
SSH traba|a a travs de puerto 22 por TCP. Puede eegrse cuaquer otro puerto entre e 1025 y
65535. e|empo:
Cort )(.+1
23%4%2% <ar;metro Listen=ddress%
Por defecto, e servco de SSH responder petcones a travs de todas as nterfaces de sstema.
En agunos casos es posbe que no se desee esto y se prefera mtar e acceso so a travs de una
nterfaz a a que so se pueda acceder desde a red oca. Para ta fn puede estabecerse o
sguente, consderando que e servdor a confgurar posee a IP +S2%+69%+%254:
;isten6ddress 1-(!16,!1!()+
23%4%3% <ar;metro <ermit(ootLo*in%
Estabece s se va a permtr e acceso drecto de usuaro root a servdor SSH. S se va a permtr e
acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e
vaor no.
174
CermitRoot;ogin no
23%4%4% <ar;metro E++7orMardin*%
Estabece s se permte o no a e|ecucn remota de apcacones grfcas. S se va a acceder haca e
servdor desde red oca, este parmetro puede quedarse con e vaor 2es. S se va a permtr e
acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e
vaor no.
X11Xor1arding 2es
23%4%5% <ar;metro =lloMUsers%
Permte restrngr e acceso por usuaro y, opconamente, anftrn desde e cua pueden hacero. E
sguente e|empo restrnge e acceso haca e servdor SSH para que soo puedan hacero os
usuaros fuano y mengano, desde cuaquer anftrn.
6llo1$sers fulano mengano
Permte restrngr e acceso por usuaro y, opconamente, anftrn desde e cua pueden hacero. E
sguente e|empo restrnge e acceso haca e servdor SSH para que soo puedan hacero os
usuaros fuano y mengano, soamente desde os anftrones 10.1.1.1 y 10.2.2.1.
QllowBsers fulano1(M.(.(.( men"ano1(M.(.(.( fulano1(M.2.2.( men"ano1(M.2.2.(
23%5% =plicando los cambios%
E servco de SSH puede ncar, detenerse o rencar a travs de un gun smar a os de resto de
sstema. De ta modo, podr ncar, detenerse o rencar a travs de mandato service y aadrse a
arranque de sstema en un nve o nvees de corrda en partcuar con e mandato c'Lconfi*.
service sshd start
service sshd restart
service sshd stop
De forma predetermnada, e servco SSH est ncudo en todos os nvees de corrda con servco
de red. Para desactvar e servco Sshd de os nvees de corrda 2, 3, 4 y 5, e|ecute:
chkconfig --level (.+) sshd off
175
23%6% <robando 0penSSH%
23%6%+% =cceso a travFs de intFrprete de mandatos%
Para acceder a travs de ntrprete de mandatos haca e servdor, basta con e|ecutar desde e
sstema cente e mandato ss' defnendo e usuaro a utzar y e servdor a cua conectar:
ssh usuarioTservidor
Para acceder haca un puerto en partcuar, se utza e parmetro )p. En e sguente e|empo,
utzando a cuanta de usuaro -uan, se ntentar acceder haca e servdor con dreccn IP
+S2%+69%0%SS, e cua tene un servco de SSH que responde petcones a travs de puerto 52341.
ssh -p )(.+1 EuanT1-(!16,!0!--
23%6%2% >ransferencia de fic'eros a travFs de S7><%
Para acceder a travs de S7>< haca e servdor, basta con e|ecutar desde e sstema cente e
mandato sftp defnendo e usuaro a utzar y e servdor a cua conectar:
sftp usuarioTservidor
E ntrprete de mandatos de S7>< es muy smar a utzado para e protocoo FTP y tene as
msmas funconadades.
Para acceder haca un puerto en partcuar, en e cua est traba|ando e servco de SSH, se hace
travs de e parmetro )o, con a opcn <ortTn1mero de puerto. En e sguente e|empo,
utzando a cuenta de usuaro -uan, se acceder a travs de S7>< haca e servdor 192.168.0.99,
e cua tene traba|ando e servco de SSH en e puerto 52341.
sftp -o Cort3)(.+1 EuanT1-(!16,!0!--
S dspone de un escrtoro en GNU/Lnux, con GNOME 2.x, puede acceder haca servdores SSH a
travs de protocoo S7>< utzando e admnstrador de fcheros (Nautilus) para reazar
transferencas y manpuacn de fcheros, especfcando e U(I (Unform (esource Locator o
Locazador Unforme de Recursos) Isftp,J, segudo de servdor y a ruta haca a que se quere
acceder, segudo de puerto, en e caso que sea dstnto a 22.
176
Nautus, accedendo haca un drectoro remoto a travs de S7><.
23%6%3% >ransferencia de fic'eros a travFs de S$<%
Para reazar transferencas de fcheros a travs de S$<, es necesaro conocer as rutas de os
drectoros ob|etvo de anftrn remoto. A contnuacn se descrben agunas de as opcones ms
mportantes de mandato scp.
)p Preserva e tempo de modfcacn, tempos de acceso y os
modos de fchero orgna.
)< Especfca e puerto para reazar a conexn.
)r Copa recursvamente os drectoros especfcados.
En e sguente e|empo, se transferr e fchero al*o%txt, preservando tempos y modos, haca e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp -p algo!txt fulanoT1-(!16,!0!--:M/
En e sguente e|empo, se transferr a carpeta :ail, |unto con todo su contendo, preservando
tempos y modos, 'acia e drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp -rp 'ail fulanoT1-(!16,!0!--:M/
En e sguente e|empo, se transferr a carpeta :ail, |unto con todo su contendo, desde e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99, cuyo servco de SSH escucha
petcones a travs de puerto 52341, preservando tempos y modos, haca e drectoro de usuaro
con e que se est traba|ando en e anftrn oca.
177
scp -C )(.+1 -rp fulanoT1-(!16,!0!--:M/'ail !/
e puerto 22 por UDP (SSH).
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp ((
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necearo abrr e
puerto correspondente.
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp ((
8??$-> lo+ 2w !+p 22
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
178
24% $mo utili8ar 0penSSH con autenticacin a
travFs de clave p1blica%
stos.
24%+% Introduccin%
Utzar caves pbcas en ugar de caves de acceso a travs de servcos como SSH, S$< o S7><,
resuta una tcnca ms segura para autentcar dchos servcos, factando tambn a operacn de
guones y herramentas de respado que utzan dchos protocoos.
24%2%+% :odificaciones en el Servidor%
Conectarse con a cuenta que se utzar para acceder a servdor. Cmo ese usuaro, y reazar as
sguentes operacones para crear e fchero R/%ss'/aut'ori8edQLe2s y asgnar a ste permso de
acceso 600 (soo ectura y escrtura para e usuaro):
ssh usuarioTservidor
mkdir -m 0/00 M/!ssh/
touch M/!ssh/authori4ed5ke2s
chmod 600 M/!ssh/authori4ed5ke2s
24%2%2% :odificaciones en el $liente%
24%2%2%+% Generar clave p1blica%
Se debe generar una cave pbca creada con "S= ("gta Sgnature =gorthm o Agortmo de
Frma dgta). Si se desea no utili8ar clave de acceso para autenticarX solo se pulsa la tecla
EN>E(. S asgna cave de acceso, est ser utzada para autentcar e certfcado creado cada vez
que se quera utzar ste para autentcar remotamente.
ssh-ke2gen -t dsa
E procedmento devueve una sada smar a a sguente:
*enerating public/private dsa ke2 pair!
:nter file in 1hich to save the ke2 (/home/usuario/!ssh/id5dsa):
:nter passphrase (empt2 for no passphrase):
:nter same passphrase again:
\our identification has been saved in /home/usuario/!ssh/id5dsa!
179
\our public ke2 has been saved in /home/usuario/!ssh/id5dsa!pub!
"he ke2 fingerprint is:
(c:/.:.0:fe:)(:(1:a):,(:/,:+-:)/:cd:./:af:.6:df usuarioTcliente
Lo anteror genera os fcheros os fcheros R/%ss'/idQdsa y R/%ss'/idQdsa%pub, os cuaes deben
tener permso de acceso 600 (soo ectura y escrtura para e usuaro).
chmod 600 M/!ssh/
Se debe copar e contendo de a ave pbca "S= (idQdsa%pub) a fchero
R/%ss'/aut'ori8edQLe2s de usuaro a utzar en servdor en donde se va a autentcar.
cat M/!ssh/id5dsa!pub D
W ssh usuarioTservidor D
Gcat HH M/!ssh/authori4ed5ke2sG
Para poder acceder a servdor desde cuaquer cente, basta copar os fcheros idQdsa y
idQdsa%pub dentro de R/%ss'/, de a cuenta de usuaro de cada cente desde e que se requera
reazar conexn haca e servdor. Tendr mpcacones de segurdad muy seras s e fchero
idQdsa cae en manos equvocadas o se ve comprometdo, por tanto, dcho fchero deber ser
consderado como atamente confdenca.
24%2%3% $omprobaciones%
S no fue asgnada cave de acceso para a ave "S=, deber poderse acceder haca e servdor
remoto sn necesdad de autentcar con cave de acceso de usuaro remoto. S fue asgnada una
cave de acceso a a cave "S=, se podr acceder haca e servdor remoto autentcando con a
cave de acceso defnda a a cave "S=, y sn necesdad de autentcar con cave de acceso de
usuaro remoto.
180
25% $mo confi*urar 0penSSH con $'root
stos.
25%+% Introduccin%
SSH es un protocoo que permte reazar transferencas seguras a travs de un tne seguro donde
toda a nformacn trasmtda va cfrada. Sn embargo, SSH potencamente se puede vover un
arma de dos fos s una cuenta de usuaro se ve comprometda. Confgurar un sstema con
OpenSSH con soporte para Chroot brnda una mayor segurdad a asar a os usuaros dentro de un
entorno separado de sstema prncpa, con un mnmo de herramentas para traba|ar y que
dsmnuye os resgos potencaes en caso de verse comprometda aguna cuenta.
Este manua consdera e ector utza Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box
Enterprse Lnux 4.
Se requere nstaar os paquetes se OpenSSH modfcados con e parche dsponbe en
http://chrootssh.sourceforge.net/ y que estn dsponbes a travs de Lnux Para Todos.
Los sguentes son os componentes mnmos de a |aua:
/bin/sh
/bin/cp
/bin/false
/bin/ls
/bin/mv
/bin/p1d
/bin/rm
/bin/rmdir
/bin/sh
/bin/true
/etc/group
/etc/pass1d
/lib/ld-linux!so!(
/lib/libacl!so!1
/lib/libattr!so!1
/lib/libc!so!6
/lib/libcom5err!so!(
/lib/libcr2pt!so!1
/lib/libcr2pto!so!+
/lib/libdl!so!(
/lib/libnsl!so!1
/lib/libpthread!so!0
181
/lib/libresolv!so!(
/lib/librt!so!1
/lib/libselinux!so!1
/lib/libtermcap!so!(
/lib/libutil!so!1
/usr/lib/lib4!so!1
/usr/lib/libgssapi5krb)!so!(
/usr/lib/libk)cr2pto!so!.
/usr/lib/libkrb)!so!.
/usr/libexec/openssh/sftp-server
/sbin/nologin
Es decr, s se requere utzar /bin/sh, y suponendo se utza /chroot/ como drectoro raz para a
|aua, se debe copar dentro de ste como /chroot/bin/sh, s se requere /li%/libtermcap.so.2 se debe
copar como /chroot/li%/libtermcap.so.2, s se requere /usr/libexec/openssh/sftp'server se debe copar
como /chroot/usr/libexec/openssh/sftp'server, y as sucesvamente.
Cuaquer otra herramenta que se quera agregar so requere que estn presentes dentro de a
|aua as bbotecas correspondentes. stas se determnan a travs de mandato ldd apcado sobre
a herramenta que se quere utzar. Por e|empo, s se quere aadr e mandato more a a |aua,
prmero se determna qu bbotecas requere para funconar:
ldd /bin/more
Lo anteror devueve ago como o sguente:
libtermcap!so!( 3H /lib/libtermcap!so!( (0x00bea000)
libc!so!6 3H /lib/tls/i),6/libc!so!6 (0x00)1)000)
/lib/ld-linux!so!( (0x00+fe000)
Lo anteror sgnfca que para poder utzar more dentro de a |aua debern estar presentes dentro de
sta y en e drectoro subordnado lib/ as bbotecas btermcap.so.2, bc.so.6 y d-nux.so.2.
Los fcheros /etc/"roup y /etc/passwd so necestan contener a nformacn de os usuaros que
nterese en|auar as como a ruta relativa a drectoro donde se encuentra a |aua de sus
drectoros de nco (es decr, se defne /'ome/usuario, suponendo que reamente se ocaza en
/var/www/sitiocliente/home/usuario). Es indispensable Gue se encuentre presente esta
informacin dentro de la -aula o de otro modo no ser posbe reazar e ngreso a sstema.
25%2%0%+% E-emplo del contenido de /etc/passMd dentro de la -aula
usuario:x:)0.:)0.::/home/usuario:/bin/bash
25%2%0%2% E-emplo del contenido de /etc/*roup dentro de la -aula
usuario:x:)0.:
Aunque no de todo ndspensabe para utzar OpenSSH con Chroot, es buena dea crear os
sguente nodos dentro de a |aua:
mkdir dev
mknod -m 0666 dev/tt2 c ) 0
182
mknod -m 06++ dev/urandom c 1 -
mknod -m 0666 dev/null c 1 .
mknod -m 0666 dev/4ero c 1 1(
So root podr modfcar a estructura de a |aua y su contendo. E ob|eto es permtr e acceso por
SSH/SFTP a un entorno asado de sstema prncpa. Adconamente s se confgura e servco de
FTP con |auas, se podr acceder ndstntamente por FTP, SSH o SFTP.
25%3% E-emplo pr;ctico,
Vamos a suponer que se tene un cente, y ste ha soctado servco de hospeda|e para su sto de
red a travs de HTTP. E cente quere dos usuaros dferentes para subr dstnto contendo a sto
de red. Los usuaros sern fuano y mengano. E domno a admnstrar sera empresa-e|empo.com,
que ser admnstrado excusvamente por fuano, y se quere un sub-domno denomnado
ventas.empresa-e|empo.com que ser admnstrado por mengano.
25%3%+% $rear las cuentas de los usuarios
Se crea e drectoro /var/www/empresa-e|empo.com y se copa a estructura de a |aua antes
menconada dentro de drectoros subordnados reatvos a /var/www/empresa-e|empo.com,
tenendo cudado de de|ar a root como propetaro, a fn de mpedr que os usuaros puedan borrar
agn drectoro subordnado de nteror.
Se crean as cuentas de os dos usuaros, tomando en cuenta que s se asgna /sbn/noogn o
/bn/fase como ntrprete de mandatos, se podr acceder por FTP pero no se podr acceder por SSH
o SFTP, y s se asgna /usr/bexec/openssh/sftp-server, so se podr acceder por SFTP. S se asgna
/bn/sh como ntrprete de mandatos, se podr acceder por SSH, SFTP y FTP.
useradd -s /bin/sh -d /var/111/empresa-eEemplo!com/!/ fulano
mkdir /var/111/empresa-eEemplo!com
cho1n root!apache /var/111/empresa-eEemplo!com
pass1d fulano
useradd -s /bin/sh -m -d /var/111/empresa-eEemplo!com/!/ventas mengano
mkdir /var/111/empresa-eEemplo!com/ventas
cho1n root!apache /var/111/empresa-eEemplo!com/ventas
pass1d mengano
Note que os drectoros de nco pertenecen a root. De este modo se mpde que e usuaro pueda
borrar drectoros subordnados reatvos que se utzarn para guardar as btcoras de Apache.
Suponendo que fuano tene UID 513 y mengano tene UID 514, e fchero /var/www/empresa-
e|empo.com/etc/passwd debera tener o sguente:
fulano:x:)1.:)1.::/var/111/empresa-eEemplo!com/!/home/fulano:/bin/sh
mengano:x:)1+:)1+::/var/111/empresa-eEemplo!com/!/home/mengano:/bin/sh
E fchero /var/www/empresa-e|empo.com/etc/group debera tener o sguente:
apache:x:+,:
fulano:x:)1.:
mengano:x:)1+:
183
25%3%2% $onfi*uracin de =pac'e
E domno www.empresa-e|empo.com se confgurar de sguente modo:
VPirtualBost J:,0H
erver7ame 111!empresa-eEemplo!com
erver6lias empresa-eEemplo!com
%ocumentRoot /var/111/empresa-eEemplo!com/html
:rror;og /var/111/empresa-eEemplo!com/logs/error5log
Austom;og /var/111/empresa-eEemplo!com/logs/access5log
combined
V%irector2 G/var/111/empresa-eEemplo!com/html/GH
8ptions <ndexes <ndexes <ncludes
6llo18verrride all
V/%irector2H
V/PirtualBostH
Los drectoros necesaros se crearn de sguente modo con sguentes permsos:
mkdir /var/111/empresa-eEemplo!com
cho1n root!apache /var/111/empresa-eEemplo!com
mkdir -p /var/111/empresa-eEemplo!com/html
cho1n fulano!apache /var/111/empresa-eEemplo!com/html
mkdir -p /var/111/empresa-eEemplo!com/configs
cho1n fulano!apache /var/111/empresa-eEemplo!com/configs
E sub-domno ventas.empresa-e|empo.com se confgurar de sguente modo:
VPirtualBost J:,0H
erver7ame ventas!empresa-eEemplo!com
%ocumentRoot /var/111/empresa-eEemplo!com/ventas/html
:rror;og /var/111/empresa-
eEemplo!com/ventas/logs/error5log
Austom;og /var/111/empresa-
eEemplo!com/ventas/logs/access5log combined
V%irector2 G/var/111/empresa-eEemplo!com/ventas/html/GH
8ptions <ndexes <ndexes <ncludes
6llo18verrride all
V/%irector2H
V/PirtualBostH
Los drectoros necesaros se crearn de sguente modo con sguentes permsos:
mkdir /var/111/empresa-eEemplo!com/ventas
cho1n root!apache /var/111/empresa-eEemplo!com/ventas
mkdir -p /var/111/empresa-eEemplo!com/ventas/html
cho1n fulano!apache /var/111/empresa-eEemplo!com/ventas/html
mkdir -p /var/111/empresa-eEemplo!com/ventas/configs
cho1n fulano!apache /var/111/empresa-eEemplo!com/ventas/configs
25%4% $omprobaciones
A acceder con e usuaro fuano por SSH o FTP haca 444.empresa8ejemplo.com se deber acceder
184
haca /var/www/empresa'ejemplo.com, e cua ser presentado como 7/7. E usuaro pubcar e contendo
HTML dentro de /html, podr guardar contendo fuera de Apache en /confi"s y podr acceder haca
as btcoras generadas por apache en /lo"s. Es mportante recacar que mengano no podr borrar e
contendo de /ventas, como son e drectoro de btcoras /lo"s y e drectoro /html que se mostrar en
Apache como !ttp233ventas.empresa8ejemplo.com3. En a ausenca de estos, Apache no podra
ncar.
A acceder con e usuaro mengano por SSH o FTP haca www.empresa-e|empo.com se deber
acceder haca /var/www/empresa'ejemplo.com, e cua ser presentado como 7/7. E usuaro pubcar e
contendo HTML dentro de /ventas/html, podr guardar contendo fuera de Apache en /ventas/confgs
y podr acceder haca as btcoras generadas por apache en /ventas/lo"s. Es mportante recacar
que mengano no podr borrar contendo de /ventas, como son e drectoro de btcoras /ventas/lo"s y
e drectoro /ventas/html que se mostrar en Apache como !ttp233ventas.empresa8ejemplo.com3. En
ausenca de stos, Apache no podra ncar.
185
26% $mo confi*urar N><%
stos.
26%+% Introduccin%
26%+%+% =cerca de N><%
N>< (Network >me <rotoco) es un protocoo, de entre os ms antguos protocoos de Internet
(1985), utzado para a sncronzacn de reo|es de sstemas computaconaes a travs de redes,
hacendo uso de ntercambo de paquetes (undades de nformacn transportadas entre nodos a
travs de enaces de datos compartdos) y atenca varabe (tempo de demora entre e momento
en que ago nca y e momento en que su efecto nca). N>< fue orgnamente dseado, y sgue
sendo mantendo, por Dave Ms, de a unversdad de Deaware.
NTP Utza e agortmo de Marzuo (nventado por Keth Marzuo), e cua es un utzado para
seecconar fuentes para a estmacn exacta de tempo a partr de un nmero de fuentes,
utzando a escaa U>$.
La versn 4 de protocoo puede mantener e tempo con un margen de 10 msegundos a travs de
a red munda, acanzado exacttud de 200 mcrosegundos. En redes ocaes, ba|o condcones
dneas, este margen se reduce consderabemente.
E servco traba|a a travs de puerto 123, ncamente por U"<.
URL: http://www.etf.org/rfc/rfc1305.txt
26%+%+%+% Estratos%
N>< utza e sstema |errquco de estratos de reo|.
Estrato 0: son dspostvos, como reo|es G<S o rado reo|es, que no estn conectados haca redes
sno computadoras.
Estrato +: Los sstemas se sncronzan con dspostvos de estrato 0. Los sstemas de este estrato
son referdos como servdores de tempo.
Estrato 2: Los sstemas envan sus petcones NTP haca servdores de estrato 1, utzando e
agortmo de Marzuo para recabar a me|ores muestra de datos, descartando que parezcan proveer
datos errneos, y compartendo datos con sstemas de msmo estrato 2. Los sstemas de este
estrato actan como servdores para e estrato 3.
Estrato 3: Los sstemas utzan funcones smares a as de estrato 2, srvendo como servdores
para e estrato 4.
186
Estrato 4: Los sstemas utzan funcones smares a as de estrato 3.
Lsta de servdores pbcos, de estrato 1 y 2, en http://kopernx.com/?q=ntp y
http://www.eecs.ude.edu/-ms/ntp/servers.htm
26%+%2% =cerca de U>$%
U>$ ($oordnated Unversa >me, o Tempo Unversa Coordnado) es un estndar de ata precsn
de tempo atmco. Tene segundos unformes defndos por >=I (>empo =tmco Internacona, o
Internatona Atomc Tme), con segundos ntercaares o adconaes que se anuncan a ntervaos
rreguares para compensar a desaceeracn de a rotacn de a Terra, as como otras
dscrepancas. Estos segundos adconaes permten a U>$ estar cas a a par de Tempo Unversa
(U>, o Unversa >me), e cua es otro estndar pero basado sobre e nguo de rotacn de a Terra,
en ugar de e paso unforme de os segundos.
URL: http://es.wkpeda.org/wk/UTC
26%2%+% Herramienta ntpdate
Una forma muy senca de sncronzar e reo| de sstema con cuaquer servdor de tempo es a
travs de ntpdate. Es una herramenta smar a rdate, y se utza para estabecer a fecha y hora
de sstema utzando N><. E sguente e|empo reaza una consuta drecta N><, utzando un
puerto sn prvegos (opcn )u, muy t s hay un cortafuegos que mpda a sada) haca e
servdor B.pool.ntp.or%.
ntpdate -u (!pool!ntp!org
26%2%2% 7ic'ero de confi*uracin /etc/ntp%conf%
Los sstemas operatvos como Red Hat Enterprse Lnux 4 y CentOS 4, se ncuye un fchero de
confguracn /etc/ntp%conf, con fnes demostratvo. La recomendacn es respadaro para futura
consuta, y comenzar con un fchero con una confguracn nuevo, msmo que a contnuacn se
descrbe.
L e establece la polYtica predeterminada para cualOuier
L servidor de tiempo utili4ado: se permite la sincroni4aci@n
L de tiempo con las fuentes= pero sin permitir a la fuente
L consultar (noOuer2)= ni modificar el servicio en el
L sistema (nomodif2) 2 declinando proveer mensaEes de
L registro (notrap)!
restrict default nomodif2 notrap noOuer2
L Cermitir todo el acceso a la interfa4 de retorno del
L sistema!
restrict 1(/!0!0!1
L e le permite a la red local sincroni4ar con el servidor
L pero sin permitirles modificar la configuraci@n del
L sistema= 2 sin usar a ^stos como iguales para sincroni4ar!
restrict 1-(!16,!1!0 mask ())!())!())!0 nomodif2 notrap
187
L ReloE local indisciplinado!
L :ste es un controlador emulado Oue se utili4a solo como
L respaldo cuando ninguna de las fuentes reales estZn
L disponibles!
fudge 1(/!1(/!1!0 stratum 10
server 1(/!1(/!1!0
L Xichero de variaciones!
driftfile /var/lib/ntp/drift
broadcastdela2 0!00,
L Xichero de claves si acaso fuesen necesarias para reali4ar
L consultas
ke2s /etc/ntp/ke2s
L ;ista de servidores de tiempo de estrato 1 o (!
L e recomienda tener al menos . servidores listados!
L 'as servidores en:
L http://kopernix!com/_O3ntp
L http://111!eecis!udel!edu/Mmills/ntp/servers!html
server 0!pool!ntp!org
server 1!pool!ntp!org
server (!pool!ntp!org
L Cermisos Oue se asignarZn para cada servidor de tiempo!
L :n los eEemplos= no se permite a las fuente consultar= ni
L modificar el servicio en el sistema ni enviar mensaEe de
L registro!
restrict 0!pool!ntp!org mask ())!())!())!()) nomodif2 notrap noOuer2
restrict 1!pool!ntp!org mask ())!())!())!()) nomodif2 notrap noOuer2
restrict (!pool!ntp!org mask ())!())!())!()) nomodif2 notrap noOuer2
26%2%3% =*re*ar el servicio al arranGue del sistema%
Para hacer que e servco de ntp est actvo con e sguente nco de sstema, en todos os nvees
de corrda (2, 3, 4, y 5) se utza o sguente
chkconfig ntpd on
26%2%4% IniciarX detener 2 reiniciar servicio%
service ntpd start
Para hacer que os cambos hechos tras modfcar a confguracn surtan efecto, utce:
service ntpd restart
service ntpd stop
188
e puerto 123 por UDP (N><, tanto para trfco entrante como saente.
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 udp 1(.
6AA:C" f1 net udp 1(.
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necearo abrr e
puerto correspondente.
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 udp 1(.
6AA:C" f1 net udp 1(.
8??$-> lo+ 2w u*p 123
8??$-> 2w lo+ u*p 123
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
189
27% $mo confi*urar el sistema para sesiones
*r;ficas remotas
stos.
27%+% Introduccin
Cuando se tenen dstntas mqunas en una LAN y se desea aprovechar e poder y recursos de una
de stas y ahorrar traba|o, una sesn grfca remota ser de gran utdad. Lograr esto es muy fc.
Se puede hacer de dos formas, una accedendo va SSH, RHS o Tenet, y a otra utzando aguna de
as pantaas de acceso grfco, como GDM.
27%2% Sesin *r;fica remota con G":
GDM tene una caracterstca poco usada, pero muy t. E mtodo ser de mucha utdad
suponendo que se tene un servdor centra con buena cantdad de memora y un buen
mcroprocesador y o ms nuevo en sustento gco; y en a red de rea oca (LAN) se tenen una o
varas mqunas con muy poco espaco en dsco y/o poco poder en e mcroprocesador, o resuta
mucho traba|o nstaares todo un sstema optmzado y personazado.
E ob|etvo ser entonces que os usuaros puedan utzar e servdor con mayor poder y recursos
para que se e|ecuten ah as sesones grfcas y as tener un mayor contro en toda a red.
27%2%+% <rocedimiento
1. Actuace gdm a menos a a versn 2.2.x o, de ser posbe, ms recente:
2um -2 install gdm
2. En e servdor, abra una termna como sperusuaro y e|ecute e mandato %dmsetup; vaya a
a soapa de C/M"D y de a a a pestaa XDMCP. Deben habtarse as casas de "Activar
C/M"D" y "7onrar peticiones indirectas" como se muestra a contnuacn:
190
3. Como medda de segurdad, deshabte e acceso de root tanto oca como remotamente.
191
4. Debe determnarse a ocazacn de X con e mandato whch:
which X
5. En os centes, debe respadarse y edtarse e archvo /etc/X11/prefdm y debe hacerse que
contenga ncamente o sguente, consderando que se debe poner a ruta competa de X:
YZ/bin/sh
/usr/X((F-/bin/X 'Luer# direcciPn_C=_del_Servidor
E|empo:
YZ/bin/sh
/usr/X((F-/bin/X 'Luer# (W2.(-H.(.2,+
6. En todas as mqunas, ya sea s se utza webmn o nuxconf o aguna otra herramenta,
debe hacer que e modo de e|ecucn sea grfco y con red, es decr que arranque en modo
de e|ecucn 5 (o nve de corrda 5).
Puede modfcar /etc/nttab y cambar:
id:3:initdefault:
Por:
id:5:initdefault:
7. Deben rencarse os servdores X de as mqunas centes.
8. Las mqunas centes vern a GDM e|ecutndose como s se estuvese en e msmo servdor,
y permtr ncar GNOME o KDE o cuaquer otro entorno grfco utzado. S cuenta con
buenos adaptadores de red, n squera se notar s se est en un cente o en e servdor.
S o prefere tambn puede ncar e servdor de vdeo remoto smpemente e|ecutando o sguente
desde cuaquer termna:
X -Ouer2 direcci@n5<C5del5ervidor
192
29% $mo confi*urar un servidor N7S
stos.
29%+% Introduccin
NFS, acrnmo de $et4or0 %ile &ystem, es un popuar protocoo utzado para compartr
vomenes entre mqunas dentro de una red de manera transparente, ms comnmente
utzado entre sstemas basados sobre UNIX. Es t y fc de utzar, sn embargo no
en vano es apodado cari,osamente como E#o 6ile -ecurityE. NFS no utza un sstema de
contraseas como e que tene SAMBA, so una sta de contro de acceso determnada
por dreccones IP o nombres. Es por esto que es mportante que e admnstrador de a red oca o
usuaro entenda que un servdor NFS puede ser un verdadero e nmenso agu|ero de segurdad s
ste no es confgurado apropadamente e mpementado detrs de un corta-fuegos o frewa.
Personamente, recomendo utzar NFS dentro de una red oca detrs de un corta-fuegos o frewa
que permta e acceso so a as mqunas que ntegren a red oca, nunca para compartr sstemas
de archvos a travs de Internet. A no contar con un sstema de autentcacn por contraseas, es
un servco susceptbe de ataque de agn dencuente nfomtco. SAMBA es un protocoo mucho
me|or y ms seguro para compartr sstemas de archvos.
Tenendo en cuenta os aspectos de segurdad menconados, es mportante que sga os
procedmentos descrtos a contnuacn a pe de a etra, y que posterormente se comprometa
tambn consutar a detae a documentacn ncuda en e paquete nfs-uts, ya que sta e
proporconar nformacn adcona y competa sobre aspectos avanzados de confguracn y
utzacn.
29%2%+% Instalacin del sustento l*ico necesario
#um '# install nfs'utils portmap
29%3% $onfi*urando la se*uridad
Lo sguente ser confgurar un nve de segurdad para portmap. Esto se consgue modfcando os
fcheros 3etc3!osts.allo4 y 3etc3!osts.deny. Debemos especfcar qu dreccones IP o rango de
dreccones IP pueden acceder a os servcos de portmap y qunes no pueden hacero. Podemos
entonces determnar en /etc/hosts.aow como rango de dreccones IP permtdas os sguente:
portmap:1-(!16,!1!0/())!())!())!0
Esto corresponde a a dreccn IP de a red competa y a mscara de a subred. Adconamente
193
podemos especfcar dreccones IP ndvduaes sn necesdad de estabecer una mscara. Esto es
de utdad cuando se desea compartr vomenes con otras mqunas en otras redes a travs de
Internet. E|empo:
portmap:1-(!16,!1!0/())!())!())!0
portmap:1-(!16,!(0!()
portmap:1-(!16,!.0!(
portmap:(16!(00!1)(!-6
portmap:1+,!(+0!(,!1/1
Una vez que se han determnado as dreccones IP que pueden acceder a portmap, so resta
determnar qunes no pueden hacero. Evdentemente nos refermos a resto de mundo, y esto se
hace agregando a sguente nea:
portmap:6;;
Es mportante destacar que a nea anteror es IN"IS<ENS=!LE y NE$ES=(I= s quere tener un
nve de segurdad decente. De manera predetermnada as versones ms recentes de nfs-uts no
permtrn ncar e servco s esta nea no se encuentra presente en /etc/hosts.deny.
Una vez confgurado portmap, debe rencarse e servco de portmap:
service portmap restart
S tene un DNS, aada os regstros de as dreccones IP asocadas a un nombre o ben modfque
/etc/hosts y agregue as dreccones IP asocadas con un nombre. Esto nos servr como stas de
contro de accesos. E|empo de fchero /etc/'osts:
1(/!0!0!1 localhost!localdomain localhost
1-(!16,!1!()+ servidor!mi-red-local!org servidor
1-(!16,!1!( algun5nombre!mi-red-local!org algun5nombre
1-(!16,!1!. otro5nombre!mi-red-local!org otro5nombre
1-(!16,!1!+ otro5nombre5mas!mi-red-local!org otro5nombre5mas
1-(!16,!1!) como5se5llame!mi-red-local!org como5se5llame
1-(!16,!1!6 como5sea!mi-red-local!org como5sea
1-(!16,!1!/ lo5Oue5sea!mi-red-local!org lo5Oue5sea
29%3%+% $ompartir un volumen N7S
Procederemos a determnar qu drectoro se va a compartr. Puede crear tambn uno nuevo:
mkdir -p /var/nfs/publico
Una vez hecho esto, necestaremos estabecer qu drectoros en e sstema sern compartdos con
el resto de las m;Guinas de la redX o bien a GuF m;GuinasX de acuerdo al "NS o /etc/'osts
se permtr e acceso. stos deberemos agregaros en /etc/exports determnado con qu
mqunas y e modo en que se compartr e recurso. Se puede especfcar una dreccn IP o ben
nombrar aguna mquna, o ben un patrn comn con comodn para defnr qu mqunas pueden
acceder. Podemos utzar e sguente e|empo (a separacn de espacos se hace con un tabuador):
/var/nfs/publico J!mi-red-local!org(ro=s2nc)
194
En e e|empo anteror se est defnendo que se compartr /var/nfs/pubco/ a todas as mqunas
cuyo nombre, de acuerdo a DNS o /etc/hosts, tene como patrn comn mi)red)local%or*, en modo
de ectura escrtura. Se utz un astersco (*) como comodn, segudo de un punto y e nombre de
domno. Esto permtr que comoFseFllame.mi8red8local.or%, comoFsea.mi8red8local.or%,
loFqueFsea.mi8red8local.or%, etc., podrn acceder a voumen /var/nfs/pubco/ en modo de so
ectura. S queremos que e accesos a este drectoro sea en modo de ectura y escrtura, cambamos
(ro) por (rw):
/var/nfs/publico J!mi-red-local!org(r1=s2nc)
Ya que se defneron os vomenes a compartr, so resta ncar o rencar e servco nfs. Utce
cuaquera de as dos neas dependendo de caso:
service nfs start
service nfs restart
A fn de asegurar de que e servco de nfs est habtado, a prxma vez que se encenda e
equpo, de deber e|ecutar o sguente:
chkconfig --level .+) nfs on
E mandato anteror hace que se habte nfs en os nvees de corrda 3, 4 y 5.
Como medda de segurdad adcona, s tene un corta-fuegos o fire4all mpementado. Cerre, para
todo aqueo que no sea parte de su red oca, os puertos tcp y udp 2049, ya que stos son
utzados por NFS para escuchar petcones.
29%3%2% $onfi*urando las m;Guinas clientes
Para probar a confguracn, es necesaro que as mqunas centes se encuentren defndas en e
DNS o en e fchero 3etc3!osts de servdor. S no hay un DNS confgurado en a red, debern
defnrse os nombres y dreccones IP correspondentes en e fchero /etc/hosts de todas as
mqunas que ntegran a red oca.
Como root, en e equpo cente, e|ecute e sguente mandato para consutar os vomenes
exportados (-e) a travs de NFS por un servdor en partcuar:
sho1mount -e 1-(!16,!1!()+
Lo anteror mostrar una sta con os nombres y rutas exactas a utzar. E|empo:
:xport list for 1-(!16,!1!()+:
/var/nfs/publico 1-(!16,!1!0/(+
A contnuacn creamos, como root, desde cuaquer otra mquna de a red oca un punto de
monta|e:
mkdir /mnt/servidornfs
Por tmo, para proceder a montar e voumen remoto, utzaremos a sguente nea de mandato :
195
mount servidor!mi-red-local!org:/var/nfs/publico /mnt/servidornfs
S por aguna razn en e DNS de a red oca, o e fchero /etc/'osts de a mquna cente, decd
no asocar e nombre de a mquna que fungr como servdor NFS a su correspondente dreccn
IP, puede especfcar sta en ugar de nombre. E|empo:
mount -t nfs 1-(!16,!1!()+:/var/nfs/publico /mnt/servidornfs
Podremos acceder entonces a dcho voumen remoto cambando a drectoro oca defndo como
punto de monta|e, de msmo modo que se hara con un dsquete o una undad de CDROM:
cd /mnt/servidornfs
S queremos montar este voumen NFS con una smpe nea de mandato o ben hacendo dobe cc
en un cono sobre e escrtoro, ser necesaro agregar a correspondente nea en /etc/fstab.
E|empo:
servidor.mi'red'local.or":/var/nfs/publico /mnt/servidornfs nfs user)exec)dev)nosuid)rw)noauto
M M
La nea anteror especfca que e drectoro /var/nfs/pubco/ de a mquna servdor.m-red-oca.org
ser montado en e drectoro oca /mnt/servdor/nfs, permtndoe a os usuaros poder montaro,
en modo de ectura y escrtura y que este voumen no ser montado durante e arranque de
sstema. Esto tmo es de mportanca, sendo que s e servdor no est encenddo a momento de
arrancar a mquna cente, ste se cogar durante agunos mnutos.
Una vez agregada a nea en /etc/fstab de a mquna cente, s utza GNOME-1.4 o superor, ste
ncorpora Nautus como admnstrador de archvos, msmo que auto-detecta cuaquer cambo en
/etc/fstab. Debe hacerse cc derecho sobre e escrtoro y posterormente seecconar e dsco que se
desee montar.
29%4% Instalacin de GNU/Linux a travFs de un servidor N7S
Este es quzs e uso ms comn para un voumen NFS. Permte compartr un voumen que
contenga una copa de CD de nstaacn de aguna dstrbucn y reazar ncusve nstaacones
smutneas en varos equpos. Tene como venta|a que a nstaacn puede resutar ms rpda
que s se hcese con un CDROM, sendo que a tasa de trasferenca de archvos ser determnada
por e ancho de banda de a red oca, y nos permtr nstaar GNU/Lnux en mqunas que no
196
tengan undad de CDROM.
Una vez creado y confgurado un voumen a compartr coparemos todo e contendo de CD de
nstaacn en ste:
cp -r /mnt/cdrom/J /var/nfs/publico/
En e drectoro ima%es de CD encontraremos varas mgenes para crear dsquetes de arranque.
Utzaremos bootnet.mg para crear e nmero de dsquetes necesaros para cada mquna en a
que reazaremos una nstaacn y que nos permtrn acceder a a red. Inserte un dsquete y
e|ecute o sguente:
cd /var/nfs/publico/images/
dd if3bootnet!img of3/dev/fd0 bs31++0k
Aada en /etc/hosts, o ben de de ata en e DNS, as dreccones IP, que sern utzadas por as
nuevas mqunas, asocadas a un nombre con e domno que especfco como rega de contro de
acceso en /etc/exports 8es decir G.mi8red8local.or%8. Para /etc/hosts, puede quedar como sgue:
1-(!16,!1!()+ servidor!mi-red-local!org servidor
1-(!16,!1!( algun5nombre!mi-red-local!org algun5nombre
1-(!16,!1!. otro5nombre!mi-red-local!org otro5nombre
1-(!16,!1!+ otro5nombre5mas!mi-red-local!org otro5nombre5mas
1-(!16,!1!) como5se5llame!mi-red-local!org como5se5llame
1-(!16,!1!6 como5sea!mi-red-local!org como5sea
1-(!16,!1!/ lo5Oue5sea!mi-red-local!org lo5Oue5sea
1-(!16,!1!, nueva5maOuina!mi-red-local!org nueva5maOuina
1-(!16,!1!- otra5nueva5maOuina!mi-red-local!org
otra5nueva5maOuina
Utce estos dsquetes para arrancar en os equpos, ngrese una dreccn IP y dems parmetros
para esta mquna y cuando se e pregunte ngrese a dreccn IP de servdor NFS y e drectoro en
ste en e que se encuentra a copa de CD de nstaacn. E resto contnuar como cuaquer otra
nstaacn.
197
2S% $mo confi*urar S=:!=
stos.
2S%+% Introduccin
2S%+%+% =cerca del protocolo S:!
S:! (acrnmo de Server :essage !ock) es un protocoo, de Nivel de <resentacin de modeo
OSI de TCP/IP, creado en 1985 por IBM. Agunas veces es referdo tambn como $I7S (Acrnmo de
$ommon Internet 7e System, http://samba.org/cfs/) tras ser renombrado por Mcrosoft en 1998.
Entre otras cosas, Mcrosoft aad a protocoo soporte para enaces smbcos y duros as como
tambn soporte para fcheros de gran tamao. "oincidentalmente esto ocurr por a msma poca
en que Sun Mcrosystems reaz e anzamento de WebNFS (una versn extendda de N7S,
http://www.sun.com/software/webnfs/overvew.xm).
S:! fue orgnamente dseado para traba|ar a travs de protoco NetBIOS, e cua a su vez
traba|a sobre Net!EUI (acrnmo de NetBIOS Extended User Interface, que se traduce como
Interfaz de Usuaro Extendda de NetBIOS), I<E/S<E (acrnmo de Internet <acket
Exchange/Sequenced <acket Exchange, que se traduce como Intercambio de paGuetes
interred/Intercambio de paGuetes secuenciales) o N!>, aunque tambn puede traba|ar
drectamente sobre >$</I<
2S%+%2% =cerca de Samba
SAMBA es un con|unto de programas, orgnamente creados por Andrew Trdge y actuamente
mantendos por The SAMBA Team, ba|o a Lcenca Pubca Genera GNU, y que se mpementan en
sstemas basados sobre UNIX e protocoo S:!. Srve como reempazo tota para Wndows NT,
Warp, NFS o servdores Netware.
2S%2% Sustento l*ico necesario
Los procedmentos descrtos en este manua han sdo probados para poder apcarse en sstemas
con Red Hat Enterprse Lnux 4, o equvaentes, o en versones posterores, y a menos Samba
3.0.10 o versones posterores.
Necestar tener nstaados os sguentes paquetes, que se*uramente vienen incluidos en os
dscos de nstaacn de su dstrbucn predecta:
samba: Servdor SMB.
samba-cent: Dversos centes para e protoco SMB.
samba-
common:
Fcheros necesaros para cente y servdor.
198
Consute a a base de datos RPM de sstema s se encuentran nstaados estos paquetes, utzando
e sguente mandato:
rpm 'L samba samba'client samba'common
S se utza Red Hat Enterprse Lnux, bastar reazar o sguente para nstaar o actuazar e
sustento gco necesaro:
up2date 'i samba samba'client
S utza CentOS 4 o Whte Box Enterprse Lnux 4, bastar reazar o sguente para nstaar o
actuazar e sustento gco necesaro:
2um -2 install samba samba-client
2S%3% $onfi*uracin b;sica de Samba
Para a mayora de os casos a confguracn de Samba como servdor de archvos es sufcente.
2S%3%+% =lta de cuentas de usuario
Es mportante sncronzar as cuentas entre e servdor Samba y as estacones Wndows. Es decr,
s en una mquna con Wndows ngresamos como e usuaro EpacoE con cave de acceso
Eelpatito<HE, en e servdor Samba deber exstr tambn dcha cuenta con ese msmo nombre y a
msma cave de acceso. Como a mayora de as cuentas de usuaro que se utzarn para acceder
haca samba no requeren acceso a ntrprete de mandatos de sstema, no es necesaro asgnar
cave de acceso con e mandato passMd y se deber defnr /sbin/nolo*in o ben /bin/false como
ntrprete de mandatos para a cuenta de usuaro nvoucrada.
useradd -s /sbin/nologin usu)rio'win*ows
smbpass1d -a usu)rio'win*ows
No hace fata asgnar una cave de acceso en e sstema con e mandato passMd puesto que a
cuenta no tendr acceso a ntrprete de mandatos.
S se necesta que as cuentas se puedan utzar para acceder haca otros servcos como seran
Tenet, SSH, etc, es decr, que se permta acceso a ntrprete de mandatos, ser necesaro
especfcar /bin/bas' como ntrprete de mandatos y a msmo tempo se deber asgnar una cave
de acceso en e sstema con e mandato passMd:
useradd -s /bin/bash usu)rio'win*ows
pass1d usu)rio'win*ows
smbpass1d -a usu)rio'win*ows
2S%3%2% El fic'ero lm'osts
Es necesaro dar nco resovendo ocamente os nombres NetBIOS asocndoos con dreccones IP
correspondentes. Para fnes prctcos e nombre #etBAI- debe tener un mxmo de 11 caracteres.
Normamente tomaremos como referenca e nombre corto de servdor o e nombre corto que se
asgn como aas a a nterfaz de red. ste o estabeceremos en e fchero /etc/samba/lm'osts, en
donde encontraremos o sguente:
199
1(/!0!0!1 localhost
Debemos aadr entonces e nombre que hayamos eegdo asocado a a dreccn IP que se tenga
dentro de a red oca. 0pcionalmente se podr aadr tambn os nombres y dreccn IP de resto
de as mqunas que conformen a red oca. La separacn de espacos se hace con un tabuador.
E|empo:
1(/!0!0!1 localhost
1-(!16,!1!) maOuinalinux
1-(!16,!1!6 isaac
1-(!16,!1!/ finan4as
1-(!16,!1!, direccion
2S%3%3% <ar;metros principales del fic'ero smb%conf
Modfque e fchero /etc/samba/smb%conf con cuaquer edtor de texto. Dentro de ste notar que
a nformacn que e ser de utdad vene comentada con un smboo ` y os e|empos con a
(punto y coma), sendo estos tmos os que tomaremos como referenca.
Empezaremos por estabecer e grupo de traba|o edtando e vaor de parmetro MorL*roup
asgnando un grupo de traba|o deseado:
1orkgroup 3 '<*R$C8
0pcionalmente puede estabecer con e parmetro netbios name otro nombre dstnto para e
servdor s fuese necesaro, pero sempre tomando en cuenta que dcho nombre deber
corresponder con e estabecdo en e fchero /etc/samba/lm'osts:
netbios name 3 maOuinalinux
E parmetro server strin* es de carcter descrptvo. Puede utzarse un comentaro breve que d
una descrpcn de servdor.
server string 3 ervidor amba &v en &;
2S%3%4% <ar;metros 1tiles para la se*uridad
La segurdad es mportante y sta se puede estabecer prmeramente estabecendo a sta de
contro de acceso que defnr qu mqunas o redes podrn acceder haca e servdor. E parmetro
'osts alloM srve para determnar esto. S a red consste en a mqunas con dreccn IP desde
192.168.1.1 hasta 192.168.1.254, e rango de dreccones IP que se defnr en hosts aow ser
+S2%+69%+% de modo ta que so se permtr e acceso dchas mqunas. Note por favor e punto a
fna de cada rango. Modfque sta de manera que quede de sguente modo:
hosts allo1 3 1-(!16,!1! 1(/!
E parmetro interfaces permte estabecer desde qu nterfaces de red de sstema se escucharn
petcones. Samba no responder a petcones provenentes desde cuaquer nterfaz no
especfcada. Esto es t cuando Samba se e|ecuta en un servdor que srve tambn de puerta de
enace para a red oca, mpdendo que se estabezcan conexones desde fuera de a red oca.
200
interfaces 3 1-(!16,!1!()+/(+
2S%3%5% Impresoras en Samba
Las mpresoras se comparten de modo predetermnado, as que so hay que reazar agunos
a|ustes. S se desea que sea posbe acceder haca a mpresora como usuaro nvtado sn cave de
acceso, basta con aadr public T Zes en a seccn de mpresoras de sguente modo:
>printers?
comment 3 :l comentario Oue guste!
path 3 /var/spool/samba
printable 3 \es
bro1seable 3 7o
1ritable 3 no
printable 3 2es
publi+ 7 Ies
Wndows NT, 2000 y XP no tendrn probema aguno para acceder e mprmr haca as mpresoras;
sn embargo Wndows 95, 98 y ME sueen tener probemas para comuncarse con Samba para poder
mprmr. Por tanto, s se quere evtar probemas de conectvdad con dchos sstemas operatvos
hay que agregar agunos parmetros que resovern cuaquer eventuadad:
>printers?
comment 3 <mpresoras!
printable 3 \es
bro1seable 3 7o
1ritable 3 no
printable 3 2es
public 3 \es
prin! +omm)n* 7 lpr '- Jp 'o r)w Js 'r
lp9 +omm)n* 7 lps!)! 'o Jp
lprm +omm)n* 7 +)n+el Jp'JK
Se pude defnr tambn a un usuaro o ben un grupo (O*rupoQGueQsea) para a admnstracn de
as coas en as mpresoras:
>printers?
comment 3 <mpresoras!
printable 3 \es
bro1seable 3 7o
1ritable 3 no
printable 3 2es
public 3 \es
print command 3 lpr -C &p -o ra1 &s -r
lpO command 3 lpstat -o &p
lprm command 3 cancel &p-&E
prin!er )*min 7 2ul)no5 Lopers_impresion
Con o anteror se defne que e usuaro fulano y quen pertenezca a grupo opersQimpresion
podrn reazar tareas de admnstracn en as mpresoras.
201
2S%3%6% $ompartiendo directorios a travFs de Samba
Para os drectoros o vomenes que se rn a compartr, en e msmo fchero de confguracn
encontrar dstntos e|empos para dstntas stuacones partcuares. En genera, puede utzar e
sguente e|empo que funconar para a mayora:
>;o5Oue5sea?
comment 3 Aomentario Oue se le ocurra
path 3 /cualOuier/ruta/Oue/desee/compartir
E voumen puede utzar cuaquera de as sguentes opcones:
0pcin "escripcin
"uest ok
Defne s se permtr e acceso como usuaro nvtado. E
vaor puede ser Res o No.
public
Es un eGuivalente de parmetro *uest oL, es decr,
defne s se permtr e acceso como usuaro nvtado. E
vaor puede ser Res o No.
browseable
Defne s se permtr mostrar este recurso en as stas de
recursos compartdos. E vaor puede ser Res o No.
writable
Defne s ser permtr a escrtura. Es e parmetro
contraro de read onl#. E vaor puede ser Res o No.
E|empos: writable I Res es lo mismo Gue read onl# I
No. Obvamente writable I No es lo mismo Gue read
onl# I Res
valid users
Defne que usuaros o grupos pueden acceder a recurso
compartdo. Los vaores pueden ser nombres de usuaros
separados por comas o ben nombres de grupo
anteceddos por una @. E|empo: fulano) men"ano)
1administradores
write list
Defne qu usuaros o grupos pueden acceder con
permso de escrtura. Los vaores pueden ser nombres de
usuaros separados por comas o ben nombres de grupo
1administradores
admin users
Defne qu usuaros o grupos pueden acceder con
permsos admnstratvos para e recurso. Es decr, podrn
acceder haca e recurso reazando todas as operacones
como sperusuaros. Los vaores pueden ser nombres de
usuaros separados por comas o ben nombres de grupo
1administradores
director# mask
Es o msmo que director# mode. Defne qu permso en e
sstema tendrn os subdrectoros creados dentro de
recurso. E|empo: (000
create mask
Defne qu permso en e sstema tendrn os nuevos
fcheros creados dentro de recurso. E|empo: M-++
En e sguente e|empo se compartr a travs de Samba e recurso denomnado ftp, e cua est
ocazado en e drectoro /var/ftp/pub de dsco duro. Se permtr e acceso a cuaquera pero ser
202
un recurso de so ectura savo para os usuaros admnstrador y fuano. Todo drectoro nuevo que
sea creado, en su nteror tendr permso 755 y todo fchero que sea puesto en su nteror tendr
permso 644.
>ftp?
comment 3 %irectorio del servidor X"C
path 3 /var/ftp/pub
guest ok 3 \es
read onl2 3 \es
1rite list 3 fulano= administrador
director2 mask 3 0/))
create mask 3 06++
2S%4% $onfi*uracin avan8ada de Samba
Samba fue creado con un ob|etvo: ser en un reempazo defntvo para Wndows como servdor en
una red oca. Esto, por supuesto, requere agunos procedmentos adconaes dependendo de as
necesdades de a red oca.
2S%4%+% (easi*nacin de *rupos de YindoMs en Samba
Los grupos que exsten en Wndows tambn se utzan en Samba para certas operacones,
prncpamente reaconadas con o que nvoucra un Controador Prmaro de domno (o <"$ que
sgnfca <rmary "oman $ontroer). Estos grupos exsten de modo predefndo en Samba. Sn
embargo, s se e|ecuta o sguente:
net groupmap list
Devover a sguente nformacn:
S#stem 9perators $S'(','*2',+W& '@ '(
Eomain Qdmins $S'(','2('9999999999-9999999999-9999999999',(2& '@ '(
Feplicators $S'(','*2',,2& '@ '(
Kuests $S'(','*2',+-& '@ '(
Eomain Kuests $S'(','2('9999999999-9999999999-9999999999',(+& '@ '(
=ower Bsers $S'(','*2',+0& '@ '(
=rint 9perators $S'(','*2',,M& '@ '(
Qdministrators $S'(','*2',++& '@ '(
Qccount 9perators $S'(','*2',+H& '@ '(
Eomain Bsers $S'(','2('9999999999-9999999999-9999999999',(*& '@ '(
Aackup 9perators $S'(','*2',,(& '@ '(
Bsers $S'(','*2',+,& '@ '(
Lo anteror corresponde a mapa de os grupos que, de modo predetermnado, utzar Samba s
ste fuese confgurado como Controador Prmaro de Domno. EEEEEEEEEE)EEEEEEEEEE)
EEEEEEEEEE corresponde a un nmero generado aeatoramente a ncarse Samba por prmera
vez. >ome nota de dic'o n1meroX 2a Gue lo reGuerir; m;s adelante para reasgnar os
nombres a espao en e mapa de grupos.
Los grupos anterormente descrtos traba-ar;n perfecta 2 limpiamente asocndoos contra
grupos en e sstema, pero slamente si utili8a al*una versin de YindoMs en in*lFs. S utza
aguna versn de Wndows en espao, 'abr; Gue reasi*nar los nombres de los *rupos a los
correspondientes al espa#ol y asocares a grupos en e sstema, esto a fn de permtr asgnar
usuaros a dchos grupos y de este modo deegar tareas de admnstracn de msmo modo que en
Wndows.
203
Es por ta motvo que s se tene a ntencn de confgurar Samba como Controador Prmaro de
Domno y a msmo tempo poder hacer uso de os grupos de msmo modo que en Wndows, es
decr, por menconar un e|empo, permtr a certos usuaros pertenecer a grupo de admnstradores
de domno con prvegos de admnstrador, o prmero ser entonces generar os grupos en e
sstema e|ecutando como root os sguentes mandatos:
"roupadd 'r administradores
"roupadd 'r admins_dominio
"roupadd 'r duplicadores
"roupadd 'r invitados
"roupadd 'r invs_dominio
"roupadd 'r opers_copias
"roupadd 'r opers_cuentas
"roupadd 'r opers_impresion
"roupadd 'r opers_sistema
"roupadd 'r usrs_avan%ados
"roupadd 'r usuarios
"roupadd 'r usuarios_dominio
Una vez creados os grupos en e sstema, so resta reasgnar os nombres a espao en e mapa de
grupo de Samba y asocares a stos os grupos recn creados en e sstema. E procedmento se
resume a e|ecutar ago como o sguente:
net "roupmap modif# [
nt"roupI7Nombre "rupo Sindows en espaOol7 [
sidI7n\mero'de'identidad'en'sistema7 [
unix"roupI7"rupo_en_linux7 [
commentI7comentario descriptivo acerca del "rupo7
Lo anteror estabece que se modfque e regstro de grupo que corresponda a sid (dentdad de
sstema) defndo con e nombre estabecdo con nt*roup, asocndoo a grupo en e servdor con
unix*roup y aadendo un comentaro descrptvo acerca de dcho grupo con comment.
De modo ta, y a fn de factar as cosas a quen haga uso de este manua, puede utzar e
sguente gun para convertr os nombres a espao y asocaros a grupos en Lnux, donde
soamente deber defnr e nmero de dentdad de sstema que corresponda a servdor:
YZ/bin/sh
SCESQ:AQI9999999999-9999999999-9999999999
net "roupmap modif# nt"roupI7Qdministradores7 [
sidI7S'(','*2',++7 unix"roupIadministradores [
commentI7Dos administradores tienen acceso completo # sin restricciones al eLuipo o dominio7
net "roupmap modif# nt"roupI7Qdmins. del dominio7 [
sidI7S'(','2('2SCESQ:AQ',(27 unix"roupIadmins_dominio [
commentI7Qdministradores desi"nados del dominio7
net "roupmap modif# nt"roupI7Euplicadores7 [
sidI7S'(','*2',,27 unix"roupIduplicadores [
commentI7=ueden duplicar archivos en un dominio7
net "roupmap modif# nt"roupI7Cnvitados del dominio7 [
sidI7S'(','2('2SCESQ:AQ',(+7 unix"roupIinvitados [
commentI7<odos los invitados del dominio7
net "roupmap modif# nt"roupI7Cnvitados7 [
sidI7S'(','*2',+-7 unix"roupIinvitados [
commentI7Dos invitados tienen de modopredeterminado el mismo acceso Lue los miembros del "rupo
Bsuarios) excepto la cuenta Cnvitado Lue tiene mas restricciones7
net "roupmap modif# nt"roupI79peradores de copias7 [
sidI7S'(','*2',,(7 unix"roupIopers_copias [
204
commentI7Dos operadores de copia pueden sobrescribir restricciones de se"uridad con el unico
proposito de hacer copias de se"uridad o restaurar archivos7
net "roupmap modif# nt"roupI79pers. de cuentas7 [
sidI7S'(','*2',+H7 unix"roupIopers_cuentas [
commentI7=ueden administrar cuentas de usuarios # "rupos del dominio7
net "roupmap modif# nt"roupI79pers. de impresiPn7 [
sidI7S'(','*2',,M7 unix"roupIopers_impresion [
commentI7=ueden operar impresoras del dominio7
net "roupmap modif# nt"roupI79pers. de servidores7 [
sidI7S'(','*2',+W7 unix"roupIopers_sistema [
commentI7=ueden administrar sistemas del dominio7
net "roupmap modif# nt"roupI7Bsuarios avan%ados7 [
sidI7S'(','*2',+07 unix"roupIusrs_avan%ados [
commentI7Dos usuarios avan%ados tienen mas derechos administrativos con al"unas restricciones.
Ee este modo) pueden ejecutar aplicaciones heredadas junto con aplicaciones certificadas7
net "roupmap modif# nt"roupI7Bsuarios del dominio7 [
sidI7S'(','2('2SCESQ:AQ',(*7 unix"roupIusuarios_dominio [
commentI7<odos los usuarios del dominio7
net "roupmap modif# nt"roupI7Bsuarios7 [
sidI7S'(','*2',+,7 unix"roupIusuarios [
commentI7Dos usuarios no pueden hacer cambios accidentales o intencionados en el sistema.
=ueden ejecutar aplic. certificadas) pero no la ma#or]a de las heredadas7
exit M
Nota, Este gun se encuentra ncudo en e dsco de "Extras de curso" de Lnux Para Todos. Soo
basta edtaro y defnr a varabe SIDSAMBA y e|ecutaro como root.
Una vez hecho o anteror, a vover a reazar o sguente:
net "roupmap list
Se deber de mostrar ahora esto otro:
9pers. de servidores $S'(','*2',+W& '@ opers_sistema
Qdmins. del dominio $S'(','2('9999999999-9999999999-9999999999',(2& '@ admins_dominio
Euplicadores $S'(','*2',,2& '@ duplicadores
Cnvitados $S'(','*2',+-& '@ invitados
Cnvitados del dominio $S'(','2('9999999999-9999999999-9999999999',(+& '@ invitados
Bsuarios avan%ados $S'(','*2',+0& '@ usrs_avan%ados
9pers. de impresiPn $S'(','*2',,M& '@ opers_impresion
Qdministradores $S'(','*2',++& '@ administradores
9pers. de cuentas $S'(','*2',+H& '@ opers_cuentas
Bsuarios del dominio $S'(','2('9999999999-9999999999-9999999999',(*& '@ usuarios_dominio
9peradores de copias $S'(','*2',,(& '@ opers_copias
Bsuarios $S'(','*2',+,& '@ usuarios
De este modo, s por e|empo, se agrega a usuaro fuano a grupo adminsQdominio, se tendr e
msmo efecto que s se hcera o msmo en Wndows agregando a usuaro a grupo =dmins% del
dominio. Esto por supuesto soamente tendr utdad s Samba se confgura y utza como
Controador Prmaro de Domno.
2S%4%2% =lta de cuentas de usuario en $ontrolador <rimario de "ominio
S se confgur Samba para funconar como Controador Prmaro de Domno, ser necesaro asgnar
a root una cave de acceso en Samba, a cua por supuesto puede ser dferente a a de sstema,
205
debdo a que as estacones de traba|o necestan autentcar prmero con e usuaro root de Samba
para poder unrse domno y poder crear de este modo una cuenta de mquna en e sstema a
travs de parmetro add mac'ine script ya descrto anterormente.
Es necesaro dar de ata a os usuaros de modo que queden agregados a os que correspondan en
e sstema a grupos Usuarios y Usuarios del dominio de Wndows, es decr a os grupos usuarios
y usuariosQdominio.
useradd 's /sbin/nolo"in 'K usuarios)usuarios_dominio usuario-windows
smbpasswd 'a usuario-windows
S e usuaro ya exstese, ser necesaro agregaro a os grupos usuarios y usuariosQdominio con
*passsMd de sguente modo:
"passwd 'a usuario-windows usuarios
"passwd 'a usuario-windows usuarios_dominio
En teora en e drectoro defndo para e recurso <rofiles se deben crear automtcamente os
drectoros de os usuaros donde se amacenarn os perfes. De ser necesaro es posbe generar
stos drectoros utzando e sguente gun:
cd /home
for user in 3
do
mkdir 'p /var/lib/samba/profiles/2user
chown 2user.2user /var/lib/samba/profiles/2user
done
2S%4%3% <ar;metros de confi*uracin avan8ada en el fic'ero smb%conf
2S%4%3%+% =nunciando el servidor Samba en los *rupos de traba-o
La opcn remote announce se encarga de que e servco nmbd se anunce a s msmo de forma
perdca haca una red en partcuar y un grupo de traba|o especfco. Esto es partcuarmente t s
se necesta que e servdor Samba aparezca no soamente en e grupo de traba|o a que pertenece
sno tambn en otros grupos de traba|o. E grupo de traba|o de destno puede estar en cuaquer
ugar en tanto exsta una ruta y sea posbe a transmsn extosa de paquetes.
remote announce I (W2.(-H.(.2,,/:C'E9:CNC9 (W2.(-H.2.2,,/9<F9'E9:CNC9
E e|empo anteror defn que e servdor Samba se anunce a s msmo a os grupos de traba|o MI-
DOMINIO y OTRO-DOMINIO en as redes cuyas IP de transmsn son 192.168.1.255 y 192.168.2.255
correspondentemente.
2S%4%3%2% 0cultando 2 dene*ando acceso a fic'eros
No es convenente que os usuaros accedan o ben puedan ver a presenca de fcheros ocutos en e
sstema, es decr fcheros cuyo nombre comenza con un punto, partcuarmente s acceden a su
drectoro persona en e servdor Samba (.bashrc, .bash_profe, .bash_hstory, etc.). Puede utzarse
e parmetro 'ide dot files para manteneros ocutos.
hide dot files I Res
206
En agunos casos puede ser necesaro denegar e acceso a certo tpo de fcheros de sstema. E
parmetro veto files se utza para especfcar a sta, separada por dagonaes, de aqueas
cadenas de texto que denegarn e acceso a os fcheros cuyos nombres contengan estas cadenas.
En e sguente e|empo, se denegar e acceso haca os fcheros cuyos nombres ncuyan a paabra
J-ecurity= y os que tengan extensn o termnen en J.tmp=:
veto files I /3Securit#3/3.tmp/
2S%4%3%3% 0pciones para cliente o servidor Yins
Puede habtar convertrse en servdor WINS o ben utzar un servdor WINS ya exstente. Se puede
ser un servdor WINS o un cente WINS, pero no ambas cosas a a vez.
S se va ser e servdor WINS, debe habtarse o sguente:
wins support I Res
S se va a utzar un servdor WINS ya exstente, debe descomentar a sguente
nea y especfcar qu dreccn IP utza dcho servdor WINS:
wins server I (W2.(-H.(.(
2S%4%3%4% 0pciones espec.ficas para $ontrolador <rimario de "ominio N<"$C
S se va a confgurar Samba como Controador Prmaro de Domno, se debe especfcar todos os
parmetros descrtos a contnuacn.
S se quere que as caves de acceso de sstema y Wndows se mantengan sncronzadas, es
necesaro descomentar as sguente enas:
unix password s#nc I Res
passwd pro"ram I /usr/bin/passwd 4u
passwd chat I 3New3BNCX3password3 4n[n 3Fe<#pe3new3BNCX3password3 4n[n
3passwd:3all3authentication3tokens3updated3successfull#3
E parmetro local master defne a servdor como examnador de domno (o master browser); E
parmetro domain master defne a servdor maestro de domno; E parmetro preferred
master defne a servdor como maestro de domno preferdo, en caso de haber ms servdores
presentes en e msmo domno como controadores de domno. E parmetro time server se utza
para defnr que as estacones debern sncronzar a hora con e servdor a unrse a domno; E
parmetro domain lo*ons defne que e servdor permtr a as estacones autentcar contra
Samba.
local master I Res
domain master I Res
preferred master I Res
time server I Res
domain lo"ons I Res
La confguracn de Controador Prmaro de Domno requere adems defnr dnde se amacenarn
os perfes de os usuaros. Wndows 95, 98 y ME que soctan se defna con e parmetro lo*on
'ome, en tanto que Wndows NT, 2000 y XP requeren se haga con e parmetro lo*on pat'% Para
efectos prctcos y de prevsn, utce ambos parmetros y defna a undad H para dcho voumen:
207
lo"on path I [[4D[=rofiles[4B
lo"on home I [[4D[4B[.profile
lo"on drive I 8:
S se va a utzar Samba como Controador Prmaro de Domno, es necesaro estabecer e gun
que e|ecutarn as estacones Wndows a conectarse haca e servdor. Esto se hace a travs de
parmetro lo*on script e cua puede defnr o ben un gun a utzar por cada usuaro (%u.bat) o
ben por cada mquna (%m.bat) o ben de modo genera para todos (ogon.cmd). Para no compcar
as cosas, defna ncamente un gun genera para todos de sguente modo:
lo"on script I lo"on.cmd
E fchero /var/lib/samba/netlo*on/lo*on%cmd deber contener ago como o sguente:
F;: windows client lo"on script
F;:
net time [[mi'servidor /S;< /R;S
net use 8: [[mi'servidor[homes /=;FSCS<;N<:N9
E Controador Prmaro de Domno va a necestar tambn se defnan os guones a e|ecutar para
dstntas tareas como ata de mqunas, usuaros y grupos as como a ba|a de stos.
add user script I /usr/sbin/useradd 4u
add machine script I /usr/sbin/useradd 'd /dev/null '" (MM 's /bin/false 'c 7Guenta de
m^Luina7 ': 4u
delete user script I /usr/sbin/userdel 4u
delete "roup script I /usr/sbin/"roupdel 4"
add user to "roup script I /usr/bin/"passwd 'a 4u 4"
set primar# "roup script I /usr/sbin/usermod '" 4" 4u
E parmetro add user script srve para defnr o que se deber e|ecutar en e trasfondo de
sstema para crear una nueva cuenta de usuaro. E parmetro add mac'ine script es
partcuarmente mportante porque es e mandato utzado para dar de alta cuentas de
m;Guinas (trust accounts o cuentas de confanza) de modo autom;tico. E parmetro delete
user script es para defnr o propo para emnar usuaros, delete *roup script para emnar
grupos, add user to *roup para aadr usuaros a grupos y set primar2 *roup script para
estabecer un grupo como e prncpa para un usuaro.
"irectorio para Netlo*on 2 perfiles en $ontrolador <rimario de "ominio N<"$C
S se va a utzar Samba como Controador Prmaro de Domno, es necesaro defnr os recursos
donde resdr netogon y tambn dnde se amacenarn os perfes de os usuaros:
netlo"on!
comment I Network Do"on Service
path I /var/lib/samba/netlo"on
write list I 1administradores) 1admins_dominio
"uest ok I Res
browseable I Res
=rofiles!
path I /var/lib/samba/profiles
read onl# I No
"uest ok I Res
create mask I M-MM
director# mask I M0MM
208
Genere con e mandato mkdr os drectoros /var/lib/samba/profiles y /var/lib/samba/netlo*on.
E drectoro /var/lib/samba/profiles deber pertenecer a root y a grupo users y tener permso
1777 a fn de permtr crear e drectoro de perf correspondente para cada usuaro.
mkdir 'p 'm (000 /var/lib/samba/profiles
mkdir 'p /var/lib/samba/netlo"on
ch"rp users /var/lib/samba/profiles
2S%5% Iniciar el servicio 2 a#adirlo al arranGue del sistema
S ncara Samba por prmera vez reace o sguente:
/sbin/service smb start
S va a rencar e servco, reace o sguente:
/sbin/service smb restart
Para que Samba nce automtcamente cada vez que nce e servdor so e|ecute e sguente
mandato:
/sbin/chkconfi" smb on
2S%6% =ccediendo 'acia Samba
2S%6%+% :odo texto
2S%6%+%+% Smbclient
Indudabemente e mtodo ms prctco y seguro es e mandato smbclient. ste permte acceder
haca cuaquer servdor Samba o Wndows como s fuese e mandato ftp en modo texto.
Para acceder a cuaquer recurso de aguna mquna Wndows o servdor SAMBA determne
prmero qu vomenes o recursos compartdos posee sta. Utce e mandato smbclient de
sguente modo:
smbclient 'B usuario 'D al"una_maLuina
Lo cua e devovera ms menos o sguente:
%omain3>'<-%8'<7<8? 83>$nix? erver3>amba .!0!/-1!.:?
harename "2pe Aomment
--------- ---- -------
homes %isk Bome %irectories
netlogon %isk 7et1ork ;ogon ervice
ftp %isk ftp
<CAF <CA <CA ervice (ervidor amba .!0!/-1!.: en mi-servidor)
6%'<7F <CA <CA ervice (ervidor amba .!0!/-1!.: en mi-servidor)
epl)-00 Crinter Areated b2 redhat-config-printer 0!6!x
hp())0b1 Crinter Areated b2 redhat-config-printer 0!6!x
209
6non2mous login successful
erver Aomment
--------- -------
mi-servidor ervidor amba .!0!/-1!.: en mi-servidor
Korkgroup 'aster
--------- -------
'<-%8'<7<8 '<-:RP<%8R
Lo sguente corresponde a a sntaxs bsca para poder navegar os recursos compartdos por a
mquna Wndows o e servdor SAMBA:
smbclient //al"una_maLuina/recurso 'B usuario
E|empo:
smbclient //DCNBX/><= 'B jbarrios
Despus de e|ecutar o anteror, e sstema soctar se proporcone a cave de acceso de usuaro
jbarrios en e equpo denomnado .A#>C.
smbclient //DCNBX/><= 'B jbarrios
added interface ipI(W2.(-H.(.2,+ bcastI(W2.(-H.(.2,, nmaskI2,,.2,,.2,,.M
=assword:
EomainImiusuario! 9SIBnix! ServerISamba 2.2.(a!
smb: [@
Pueden utzarse vrtuamente os msmos mandatos que en e ntrprete de ftp, como seran get,
mget, put, de, etc.
2S%6%+%2% <or monta-e de unidades de red
S necesta poder vsuazar desde GNU/Lnux a as mqunas con Wndows e nteractuar con os
drectoros compartdos por stas, necestar reazar agunos pasos adconaes. De manera
predetermnada, y por motvos de segurdad, soo root puede utzar os mandatos smbmnt y
smbumount. Deber entonces estabecer permsos de SUID a dchos mandatos. Puede hacero
e|ecutando, como root o sguente:
chmod +0,, /usr/bin/smbmnt
chmod +0,, /usr/bin/smbumount
Para acceder haca una mquna Wndows determne prmero qu vomenes o recursos
compartdos posee sta. Utce e mandato smbclient de sguente modo:
smbclient 'N 'D al"una_maLuina
Lo cua e devovera ms menos o sguente:
210
harename "2pe Aomment
--------- ---- -------
homes %isk Bome %irectories
netlogon %isk 7et1ork ;ogon ervice
ftp %isk ftp
<CAF <CA <CA ervice (ervidor amba .!0!/-1!.: en mi-servidor)
6%'<7F <CA <CA ervice (ervidor amba .!0!/-1!.: en mi-servidor)
epl)-00 Crinter Areated b2 redhat-config-printer 0!6!x
hp())0b1 Crinter Areated b2 redhat-config-printer 0!6!x
erver Aomment
--------- -------
mi-servidor ervidor amba .!0!/-1!.: en mi-servidor
Korkgroup 'aster
--------- -------
'<-%8'<7<8 '<-:RP<%8R
En e e|empo anteror hay un voumen compartdo amado al%&nFvolumen. S queremos montaro,
debemos crear un punto de monta|e. ste puede crearse en cuaquer drectoro sobre e que
tengamos permsos de escrtura. Para montaro, utzamos entonces a sguente nea de mandato:
smbmount //al"una_maLuina/al"\n_volumen /punto/de/montaje/
S a mquna Wndows requere un usuaro y una cave de acceso, puede aadr a o anteror as
opcones 8usernameKelFnecesario 8pass4ordKelFrequerido 84or0%roupKMAGL>DI
S a dstrbucn de GNU/Lnux utzada es recente, tambn puede utzar e ya conocdo mandato
mount de sguente modo:
mount 't smbfs 'o usernameIel_necesario)passwordIel_reLuerido //al"una_maLuina/al"\n_volumen
/punto/de/montaje/
S se genera una cuenta pc%uest, smar a a cuenta nobody, podemos montar vomenes SMB sn
ngresar una cave de acceso pero con prvegos restrngdos, o aqueos que defnamos a un
voumen acceddo por un usuaro nvtado. Esto sera e mtodo por eeccn para compartr
vomenes en una red de rea oca. Puede generarse una cuenta pc%uest o ben de|ar que e
sstema tome a usuaro nobody. S opta por o prmero, so d de ata a cuenta, N0 asgne cave
de acceso aguna. Montar vomenes remotos como usuaro nvtado es muy senco. Un e|empo
rea sera:
mount -t smbfs -o ,ues! //;<7$X/X"C //var/ftp
Lo anteror monta un voumen SAMBA de una mquna con GNU/Lnux en otra mquna con
GNU/Lnux.
Puede aadrse tambn una entrada en 3etc3fstab de modo que so tenga que ser teceado mount
3punto3de3montaje. Esta nea sera de modo smar a sguente:
//DCNBX/><= /var/ftp smbfs user)auto)"uest)ro)"idI(MM M M
211
Recurdese que e voumen compartdo debe estar confgurado para permtr usuaros nvtados:
>X"C?
comment 3 CrogramZtica libre (RC')
path 3 /var/ftp/pub
public 3 \es
guest ok 3 \es
2S%6%2% :odo *r;fico
2S%6%2%+% "esde el entorno de GN0:E
S utza GNOME 2.x o superor, ste ncuye un mduo para Nautus que permte acceder haca os
recursos compartdos a travs de Samba sn necesdad de modfcar cosa aguna en e sstema.
Soamente hay que hacer cc en Servidores de red en e men de GNOME.
2S%6%2%2% "esde YindoMs
Por su parte, desde Wndows deber ser posbe acceder sn probemas haca Samba como s fuese
haca cuaquer otra mquna con Wndows. N Wndows n e usuaro notarn squera a dferenca.
2S%7% Uniendo m;Guinas al dominio del $ontrolador <rimario de
"ominio
E controador de domno permte utzar Samba como servdor de autentcacn y servdor de
archvos que adems permte amacenar e perf, preferencas y documentos de usuaro en e
servdor automtcamente sn a ntervencn de usuaro.
212
2S%7%+% $reando manualmente cuentas de m;Guinas
Ba|o agunas crcunstancas ser necesaro crear cuentas de mqunas (trust accounts o cuentas de
confanza) a fn de permtr unrse a domno. E procedmento es smpe:
/usr/sbin/useradd 'd /dev/null '" (MM 's /bin/false 'c 7Guenta de m^Luina7 ': maLuina'windows:
smbpasswd 'a maLuina'windows:
Cabe resatar que as cuentas de mqunas deben ncur obli*atoriamente un smboo $ a fna
de nombre.
2S%7%2% YindoMs S5/S9/:E 2 YindoMs E< Home
Ya que os sstemas con Wndows 95/98/ME y Wndows XP Home no ncuyen una mpementacn
competa como membros de domno, no se requeren cuentas de confanza. E procedmento para
unrse a domno es e sguente:
Acceder haca Men de nco Confguracones Pane de contro Red.
Seeccone a pestaa de Confguracn.
Seeccone Cente de redes Mcrosoft.
Haga cc en e botn de propedades.
Seeccone Acceder a domno de Wndows NT y especfque e domno
correspondente.
Haga cc en todos os botones de Aceptar y rence e sstema.
Acceda con cuaquer usuaro que haya sdo dado de ata en e servdor Samba y
que adems cuente con una cave de acceso asgnada con smbpasswd.
2S%7%3% YindoMs N>
Crear manuamente a cuenta de mquna como se descrb anterormente.
Acceder haca Men de nco Confguracones Pane de contro Red.
Seecconar a pestaa de Identfcacn.
Cc en e botn de Cambar.
Ingrese e nombre de domno y e nombre de sstema. No selecione Crear
una cuenta de mquna en e Domno.
Cc en Aceptar.
Espere agunos segundos.
Deber mostrarse un mensa|e emergente de confrmacn que dce Benvendo
a MI-DOMINIO.
Rence e sstema.
2S%7%4% YindoMs 2000/2003 2 YindoMs E< <rofesional
Cc derecho en e cono de M PC.
Seecconar Propedades.
213
Haga cc en a pestaa de Identfcacn de red o Nombre de sstema.
Cc en e botn de Propedades.
Cc en e botn Membro de domno.
Ingrese e nombre de domno y e nombre de a mquna y haga cc en e botn
de Aceptar.
Aparecer un dogo que preguntar por una cuenta y cave de acceso con
prvegos de admnstracn en e servdor. Especfque a root y a cave de
acceso que asgn a a cuenta de root con e mandato smbpasswd (N0 L=
$L=PE "E =$$ES0 "E (00> EN EL SIS>E:=).
Espere agunos segundos.
Deber mostrarse un mensa|e emergente de confrmacn que dce Benvendo
a MI-DOMINIO.
Rence e sstema.
214
30% La in*enier.a social 2 los [incorrectos\
';bitos del usuario
stos.
E Tan de Aques de cuaquer red o componen os usuaros que a ntegran. La me|or tecnooga
y segurdad de mundo es nservbe cuando un usuaro es ncapaz de mantener en secreto una
cave de acceso o nformacn confdenca. Es por ta motvo que tene partcuar reevanca e
mpusar una cutura de concencar a os usuaros acerca de os pegros de a Ingenera Soca en a
segurdad nformtca. E ms cebre persona|e que utz sta tan extosamente, que durante
agn tempo se convrt en e hombre ms buscado por e FBI fue Kevn Mtnck.
An%eniera -ocial es la prctica de obtener informaci'n confidencial a trav)s de la
manipulaci'n de usuarios le%timos. >n in%eniero social usar com&nmente el tel)fono o
Anternet para en%a,ar a la %ente y llevarla a revelar informaci'n sensible, o bien a violar las
polticas de se%uridad tpicas. "on este m)todo, los in%enieros sociales aprovec!an la
tendencia natural de la %ente a confiar en su palabra, antes que aprovec!ar a%ujeros de
se%uridad en los sistemas informticos. Generalmente se est de acuerdo en que Mlos
usuarios son el eslab'n d)bilE en se%uridadN )ste es el principio por el que se ri%e la
in%eniera social.
5i0ipedia, la enciclopedia libre.
Cscos e|empos de ataques extosos aprovechando a ngenera soca es e envo de os ad|untos
en e correo eectrnco (vrus, troyanos y gusanos) que pueden e|ecutar cdgo macoso en una
estacn de traba|o o computadora persona.
Lo anteror fue o que obg a os proveedores de sustento gco a desactvar e e|ecucn
automtca de os ad|untos a abrr e mensa|e de correo eectrnco, por o que es necesaro que e
usuaro actve esta funconadad de modo expcto a fn de vover a ser vunerabe. Sn embargo, a
mayora de os usuaros smpemente hacen cc con e ratn a cuaquer cosa que egue en e
correo eectrnco, hacendo que ste mtodo de ngenera soca sea extoso.
Otro tpo de ataque de ngenera soca e ncrebemente e ms fc de reazar, consste en
engaar a un usuaro hacndoe pensar que se trata de un admnstrador de a red donde se abora
soctando caves de acceso u otro tpo de nformacn confdenca. Buena parte de correo
eectrnco que ega a buzn de usuaro consste de engaos soctando caves de acceso, nmero
de tar|eta de crdto y otra nformacn, hacendo pensar que es con una fnadad egtma, como
sera e caso de reactvar o crear una cuenta o confguracn. Este tpo de ataque se conoce
actuamente como p!isin% (pesca).
Lamentabemente muchos estudos muestran que os usuaros tenen una pobre concenca acerca
de a mportanca de a segurdad. Una encuesta de InfoSecurty arro| como resutados que 90% de
os ofcnstas reveara una cave de acceso a cambo de un bografo.
215
Un tpo de ngenera soca muy efectvo es ncur grandes cantdades de texto a un acuerdo de
cencamento. La gran mayora de os usuaros, ncuyendo admnstradores, rara vez een squera
una paabra contenda en dcho texto y sencamente dan cc en a aceptacn de cencamentos y
acuerdos. Esto reguarmente es aprovechado por Adware (sustento gco que despega anuncos
comercaes) y Spyware (sustento gco que espa a actvdad de usuaro). En Latnoamrca este
probema es an mayor debdo a vergonzoso y pobre ndce de ectura (menos de un bro por ao).
La prncpa defensa contra a ngenera soca es a educacn de usuaro, empezando por os
propos admnstradores de redes. La me|or forma de combatr a ngenera soca es a prevencn.
30%+% (ecomendaciones para evitar ser v.ctimas de la in*enier.a
social a travFs del correo electrnico
No utzar cuentas de correo eectrnco para uso persona para asuntos aboraes.
No utzar cuentas de correo eectrnco destnadas para uso abora para asuntos
personaes.
Adestrar a os usuaros para |ams pubcar cuentas de correo en reas pbcas que
permtan sean cosechadas a travs de sustento gco hecho para este fn.
Adestrar a usuaro para no pubcar cuentas de correo eectrnco en ugares pbcos.
Adestrar a usuaro para evtar proporconar cuentas de correo eectrnco y otros datos
personaes a personas o entdades que puedan utzar stos con otros fnes.
Evtar pubcar dreccones de correo eectrnco en formuaros destnados a recabar
datos de os centes utzando formuaros que ocuten a dreccn de correo
eectrnco.
S es nevtabe, utzar una cuenta destnada y dedcada para ser mostrada a travs de
HTTP.
Adestrar a usuaro a utzar caves de acceso ms compe|as.
Adestrar a usuaro a no abrr y dar cc a todo o que egue por correo.
Adestrar a usuaro para |ams responder a un mensa|e de spam.
Adestrar a usuaro a no hacer cc en os enaces en os mensa|es de spam y que
pueden ser utzados para confrmar a spammer que se trata de una cuenta de correo
actva.
216
3+% $onfi*uracin b;sica de Sendmail
stos.
3+%+% Introduccin
3+%+%+% =cerca de Sendmail
Es e ms popuar agente de transporte de correo (MTA o :a >ransport =gent), responsabe quz
de poco ms de 70% de correo eectrnco de mundo. Aunque por argo tempo se e ha crtcado
por muchos ncdentes de de segurdad, o certo es que stos sempre han sdo resuetos en pocas
horas.
URL: http://www.sendma.org/.
3+%+%2% =cerca de "ovecot
"ovecot es un servdor de POP3 e IMAP de fuente aberta que funcona en Lnux y sstemas
basados sobre Unx y est dseado con a segurdad como prncpa ob|etvo. "ovecot puede
utzar tanto e formato mbox como maildir y es compatbe con as mpementacones de os
servdores UW-IMAP y Courer IMAP.
URL: http://dovecot.procontro.f/.
3+%+%3% =cerca de S=SL 2 $2rus S=SL
S=SL (Smpe =uthentcaton and Securty Layer) es un estructura para a segurdad de datos en
protocoos de Internet. Desempare|a mecansmos de a autentcacn desde protocoos de
apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn soportado por SASL
para ser utzado en cuaquer protocoo de apcacn que capaz de utzar SASL. Actuamente SASL
es un protocoo de a IETF (Internet Engneerng >ask 7orce) que ha sdo propuesto como estndar.
Est especfcado en e (7$ 2222 creado por |ohn Meyers en a Unversdad Carnege Meon.
$2rus S=SL es una mpementacn de S=SL que puede ser utzada de ado de servdor o de
ado de cente y que ncuye como prncpaes mecansmos de autentcacn soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y PLAIN. E cdgo fuente ncuye tambn soporte
para os mecansmos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sas/sas-brary.htm.
217
3+%+%4% <rotocolos utili8ados
3+%+%4%+% S:>< NSimple :ail >ransfer <rotocolC
Es un protocolo est;ndar de Internet de Nivel de =plicacin utzado para a transmsn de
correo eectrnco a travs de una conexn TCP/IP. Este es de hecho e nco protocoo utzado
para a transmsn de correo eectrnco a travs de Internet. Es un protocoo basado sobre texto y
reatvamente smpe donde se especfcan uno ms destnataros en un mensa|e que es transferdo.
A o argo de os aos han sdo muchas as personas que han edtado o contrbudo a as
especfcacones de S:><, entre as cuaes estn |on Poste, Erc Aman, Dave Crocker, Ned Freed,
Randa Geens, |ohn Kensn y Keth Moore.
Para determnar e servdor S:>< para un domno dado, se utzan os regstros :E (:a
Exchanger) en a Zona de Autordad correspondente a ese msmo domno contestado por un
Servidor "NS. Despus de estabecerse una conexn entre e remtente (e cente) y e
destnataro (e servdor), se nca una sesn S:><, e|empfcada a contnuacn.
Gliente:
2 telnet 12;#0#0#1 25
Servidor: <r#in" (20.M.M.(...
Gonnected to localhost.localdomain $(20.M.M.(&.
;scape character is V_!V.
22M nombre.dominio ;S:<= Sendmail H.(*.(/H.(*.(` Sat) (H :ar 2MM- (-:M2:20
'M-MM
Gliente: <4-= local&ost#localdomain
Servidor: 2,M nombre.dominio 8ello localhost.localdomain (20.M.M.(!) pleased to meet
#ou
Gliente: >.?- F@=>:fulano!local&ost#localdomain$
Servidor: 2,M 2.(.M ?fulano1localhost.localdomain@... Sender ok
Gliente: @APB B=:root!local&ost#localdomain$
Servidor: 2,M 2.(., ?root1localhost.localdomain@... Fecipient ok
Gliente: C.B.
Servidor: *,+ ;nter mail) end with 7.7 on a line b# itself
Gliente: Du%2ect: >ensa2e de prue%a
From: fulano!local&ost#localdomain
Bo: root!local&ost#localdomain
<ola# 4ste es un mensa2e de prue%a#
.dios#
#
Servidor: 2,M 2.M.M k2C:2FjQMM*WH0 :essa"e accepted for deliver#
Gliente: EU?B
Servidor: 22( 2.M.M nombre.dominio closin" connection
Servidor: Gonnection closed b# forei"n host.
La descrpcn competa de protocoo orgna S>:< est defndo en e (7$ 92+, aunque e
protocoo utzado hoy en da, tambn conocdo como ES:>< (Extended Smpe :a >ransfer
<rotoco), est defndo en e (7$ 292+. S:>< traba|a sobre >$< en e puerto 25.
3+%+%4%2% <0<3 N<ost 0ffice <rotocolX version 3C
Es un protocolo est;ndar de Internet de Nivel de =plicacin que recupera e correo eectrnco
desde un servdor remoto a travs de una conexn TCP/IP desde un cente oca. E dseo de <0<3
y sus predecesores es permtr a os usuaros recuperar e correo eectrnco a estar conectados
haca una red y manpuar os mensa|es recuperados sn necesdad de permanecer conectados. A
pesar de que muchos centes de correo eectrnco ncuyen soporte para de|ar e correo en e
servdor, todos os centes de POP3 recuperan todos os mensa|es y os amacenan como mensa-es
nuevos en a computadora o anftrn utzado por e usuaro, emnan os mensa|es en e servdor
y termnan a conexn.
Despus de estabecerse una conexn entre e cente y e servdor, se nca una sesn <0<3,
218
e|empfcada a contnuacn.
Gliente:
2 telnet 12;#0#0#1 110
a9T dovecot read#.
Gliente: UD4@ fulano
Servidor: a9T
Gliente: P.DD clave de accceso
Servidor: a9T Do""ed in.
Gliente: DB.B
Servidor: a9T ( 02H
Gliente: -?DB
Servidor: a9T ( messa"es:
( 02H
.
Gliente: @4B@ 1
Servidor: a9T 02H octets
Feturn'=ath: ?fulano1localhost.localdomain@
Feceived: from localhost.localdomain $localhost.localdomain
(W2.(-H.(.2,+!&
b# localhost.localdomain $H.(*.(/H.(*.(& with S:<= id
k2C:2FjQMM*WH0
for ?root1localhost.localdomain@` Sat) (H :ar 2MM- (-:M*:2( 'M-MM
Eate: Sat) (H :ar 2MM- (-:M2:20 'M-MM
:essa"e'Cd: ?2MM-M*(H22M*.k2C:2FjQMM*WH01localhost.localdomain@
Subject: :ensaje de prueba
>rom: fulano1localhost.localdomain
<o: root1localhost.localdomain
Status: 9
Gontent'Den"th: +*
Dines: 2
X'BCE: 2M2
X'Te#words:
8ola. ;ste es un mensaje de prueba.
Qdios.
.
Gliente: EU?B
Servidor: a9T Do""in" out.
Gonnection closed b# forei"n host.
<0<3 est defndo en e (7$ +S3S. <0<3 traba|a sobre >$< en e puerto 110.
3+%+%4%3% I:=< NInternet :essa*e =ccess <rotocolC
Es un protocolo est;ndar de Internet de Nivel de =plicacin utzado para acceder haca e
correo eectrnco en un servdor remoto a travs de una conexn TCP/IP desde un cente oca.
La versn ms recente de I:=< es a 4, revsn 1, y est defnda en e (7$ 350+. I:=< traba|a
sobre >$< en e puerto 143.
Fue dseado por Mark Crspn en 1986 como una aternatva ms moderna que cubrera as
defcencas de <0<3. Las caracterstcas ms mportantes de I:=< ncuyen:
Soporte para os modos de operacn conectado (connected) y desconectado
(dsconnected), permtendo a os centes de correo eectrnco permanezcan
conectados e tempo que su nterfaz permanezca actva, descargando os
mensa|es conforme se neceste.
A dferenca de <0<3, permte accesos smutneos desde mtpes centes y
proporcona os mecansmos necesaros para stos para que se detecten os
219
cambos hechos por otro cente de correo eectrnco concurrentemente
conectado en e msmo buzn de correo.
Permte a os centes obtener ndvduamente cuaquer parte :I:E (acrnmo
de :ut-Purpose Internet :a Extensons o Extensones de correo de Internet de
propstos mtpes), as como tambn obtener porcones de as partes
ndvduaes o ben os mensa|es competos.
A travs de banderas defndas en e protocoo, vgar a nformacn de estado
de os mensa|es de correo eectrnco que se mantengan en e servdor. Por
e|empo s e estado de mensa|e es le.do, no le.do, respondido o eliminado.
Incuye soporte para mtpes buzones de correo eectrnco que permte crear,
renombrar o emnar mensa|es de correo eectrnco presentados en e servdor
dentro de carpetas, y mover stos mensa|es entre dstntas cuentas de correo
eectrnco. Esta caracterstca tambn permte a servdor proporconar acceso
haca os carpetas pbcas y compartdas.
Incuye soporte para reazar bsquedas de ado de servdor a travs de
mecansmos que permten obtener resutados de acuerdo a varos crteros,
permtendo evtar que os centes de correo eectrnco tengan que descargar
todos os mensa|es desde e servdor.
Las especfcacones de protocoo I:=< defnen un mecansmo expcto
medante e cua puede ser me|orada su funconadad a travs de extensones.
Un e|empo es a extensn I:=< I"LE, a cua permte sncronzar ente e
servdor y e cente a travs de avsos.
Despus de estabecerse una conexn entre e cente y e servdor, se nca una sesn I:=<,
e|empfcada a contnuacn.
Gliente:
2 telnet 12;#0#0#1 1FG
3 9T dovecot read#.
a9T dovecot read#.
Gliente: x -=,?6 fulano clave de acceso
Servidor: x 9T Do""ed in.
Gliente: x D4-4AB in%ox
Servidor: 3 >DQKS $[Qnswered [>la""ed [Eeleted [Seen [Eraft&
3 9T =;F:QN;N<>DQKS $[Qnswered [>la""ed [Eeleted [Seen [Eraft [3&! >la"s
permitted.
3 ( ;XCS<S
3 M F;G;N<
3 9T BNS;;N (! >irst unseen.
3 9T BCEJQDCEC<R ((MM,-W*H2! BCEs valid
3 9T BCEN;X< 2M*! =redicted next BCE
x 9T F;QE'SFC<;! Select completed.
Gliente: x F4BA< 1 (flags %od7H&eader#fields (su%2ect)I)
Servidor: 3 ( >;<G8 $>DQKS $[Seen& A9ER8;QE;F.>C;DES $SBAb;G<&! 5*M6
Subject: :ensaje de prueba
&
x 9T >etch completed.
.
Gliente: x F4BA< 1 (%od7HtextI)
Servidor: 3 ( >;<G8 $A9ER<;X<! 5+,6
8ola. ;ste es un mensaje de prueba.
Qdios.
&
x 9T >etch completed.
Gliente: x -=,=UB
Servidor: 3 AR; Do""in" out
x 9T Do"out completed.
220
3+%2% Sustento l*ico necesario
sendma make
sendma-cf cyrus-sas
dovecot (o ben map) cyrus-sas-md5
m4 cyrus-sas-pan
3+%2%+% Instalacin a travFs de 2um
S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, e paquete map es reempazado por e
paquete dovecot. De ta modo que se e|ecuta o sguente:
#um '# install sendmail sendmail'cf do1ecot m+ make c#rus'sasl c#rus'sasl'md, c#rus'sasl'plain
S se utza de CentOS 3 o Whte Box Enterprse Lnux 3, e paquete map es reempazado por e
paquete dovecot. De ta modo que se e|ecuta o sguente:
#um '# install sendmail sendmail'cf imap m+ make c#rus'sasl c#rus'sasl'md, c#rus'sasl'plain
S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que ste utza e mtodo de
autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos:
#um '# remove c#rus'sasl'"ssapi
3+%2%2% Instalacin a travFs de Up2date
S se utza de Red Hat Enterprse Lnux 4, e paquete map es reempazado por e paquete
dovecot. De ta modo que se e|ecuta o sguente:
up2date 'i sendmail sendmail'cf do1ecot m+ make c#rus'sasl c#rus'sasl'md, c#rus'sasl'plain
S se utza de Red Hat Enterprse Lnux 3, e paquete map es reempazado por e paquete
dovecot. De ta modo que se e|ecuta o sguente:
up2date 'i sendmail sendmail'cf imap m+ make c#rus'sasl c#rus'sasl'md, c#rus'sasl'plain
S acaso estuvese nstaado, emne e paquete c2rus)sasl)*ssapi, ya que ste utza e mtodo
de autentcacn GSS=<I, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos:
rpm 'e c#rus'sasl'"ssapi
221
3+%3% <rocedimientos
3+%3%+% =lta de cuentas de usuario 2 asi*nacin de claves de acceso
E ata de usuaros a travs de este mtodo ser dferente de a manera tradcona, debdo a que
para utzar e mtodo de autentcacn para S:><, Sendma utzar S=SL. Por ta motvo, e ata
de cuentas de usuaro de correo deber de segur e sguente procedmento:
+% Ata de a cuenta de usuaro en e sstema, a cua se sugere no deber tener
acceso a ntrprete de mandato aguno:
useradd -s /sbin/nologin fulano
2% Asgnacn de caves de acceso en e sstema para permtr autentcar a travs
de os mtodos <L=IN y L0GIN para autentcar S:>< y a travs de os
protocoos <0<3 e I:=<:
pass1d usuario
3% Asgnacn de caves de acceso para autentcar S:>< a travs de mtodos
cfrados ($(=:):"5 y "IGES>):"5) en sstemas con versn de Sendma
compada contra S=SL)2 (Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box
Enterprse Lnux 4), requeren utzar e mandato saslpassMd2 de sguente
modo:
s)slp)ssw*2 usuario
4% Asgnacn de caves de acceso para autentcar S:>< a travs de mtodos
cfrados ($(=:):"5 y "IGES>):"5) en sstemas con versn de Sendma
compada contra S=SL)+ (Red Hat Enterprse Lnux 3, CentOS 3 o Whte Box
Enterprse Lnux 3), requeren utzar e mandato saslpassMd de sguente
modo:
saslpass1d usuario
5% La autentcacn para S:>< a travs de cuaquer mecansmo requere se actve
e nce e servco de saslaut'd de sguente modo:
chkconfig saslauthd on
service saslauthd start
Puede mostrarse a sta de os usuaros con cave de acceso a travs de SASL-2 utzando e
mandato sasldblistusers2. Puede mostrarse a sta de os usuaros con cave de acceso a travs
de SASL-1 utzando e mandato sasldblistusers. S ya se cuenta con un grupo de caves de acceso
de usuaros dados de ata en SASL-1, se pueden convertr haca SASL-2 con e mandato
dbconverter)2.
3+%3%2% "ominios a administrar
Estabecer domnos a admnstrar en e fchero /etc/mail/local)'ost)names de sguente modo:
dominio!com
mail!dominio!com
mi-otro-dominio!com
mail!mi-otro-dominio!com
Estabecer domnos permtdos para poder envar correo en:
222
vi /etc/mail/rela#'domains
Por defecto, no exste dcho fchero, hay que generaro. Para fnes generaes tene e msmo
contendo de /etc/mail/local)'ost)names a menos que se desee excur agn domno en
partcuar.
dominio!com
mail!dominio!com
dominio(!com
mail!dominio(!com
3+%3%3% $ontrol de acceso
Defnr sta de contro de acceso en:
vi /etc/mail/access
Incur soo as IPs ocaes de servdor y a sta negra de dreccones de correo, domnos e IPs
denegadas. Consdere que cuaquer IP que vaya acompaada de F;DQR se e permtr envar correo
sn necesdad de autentcar, o cua puede ser t s se utza un cente de correo con nterfaz HTTP
(Webma) en otro servdor. E|empo:
L Aheck the /usr/share/doc/sendmail/R:6%':!cf file for a description
L of the format of this file! (search for access5db in that file)
L "he /usr/share/doc/sendmail/R:6%':!cf is part of the sendmail-doc
L package!
L
L b2 default 1e allo1 rela2ing from localhost!!!
localhost!localdomain R:;6\
localhost R:;6\
1(/!0!0!1 R:;6\
L
L %irecci@n <C del propio servidor!
1-(!16,!1!()+ R:;6\
L
L 8tros servidores de correo en la ;67 a los Oue se les permitirZ enviar
L correo libremente a trav^s del propio servidor de correo!
1-(!16,!1!(). R:;6\
1-(!16,!1!()( R:;6\
L
L %irecciones <C Oue solo podrZn entregar correo de forma local= es decir=
L no pueden enviar correo fuera del propio servidor!
1-(!16,!(!(+ 8Q
1-(!16,!(!(. 8Q
1-(!16,!(!() 8Q
L
L ;ista negra
usuarioTmolesto!com R:U:A"
productoinutil!com!mx R:U:A"
10!+!)!6 R:U:A"
L
L 9loOues de 6sia Cacific 7et1orks= <C desde el cual se emite la ma2or
L parte del pam del mundo!
L ;as redes involucradas abarcan 6ustralia= Uap@n= Ahina= Qorea= "ai1an=
223
L Bong Qong e <ndia por lo Oue bloOuear el correo de dichas redes significa
L cortar comunicaci@n con estos paYses= pero acaba con entre el 60& 2 ,0&
L del pam!
((( R:U:A"
((1 R:U:A"
((0 R:U:A"
(1- R:U:A"
(1, R:U:A"
(1( R:U:A"
(11 R:U:A"
(10 R:U:A"
(0. R:U:A"
(0( R:U:A"
1+0!10- R:U:A"
1.. R:U:A"
61 R:U:A"
60 R:U:A"
)- R:U:A"
), R:U:A"
3+%3%4% =lias de la cuenta de root
No es convenente estar autentcando a cuenta de root a travs de a red para revsar os mensa|es
orgnados por e sstema. Se debe defnr aas para a cuenta de root a donde redrecconar e
correo en e fchero /etc/aliases de sguente modo:
root: fulano
3+%3%5% $onfi*uracin de funciones de Sendmail
Modfcar e fchero /etc/mail/sendmail%mc y desactvar o habtar funcones:
vi /etc/mail/sendmail!mc
3+%3%5%+% confS:><QL0GINQ:SG
Este parmetro permte estabecer e mensa|e de benvenda a estabecer a conexn a servdor.
Es posbe ocutar e nombre y a versn de Sendma, esto con e ob|eto de agregar segurdad por
secreto. Funcona smpemente hacendo que quen se conecte haca e servdor no pueda saber qu
sustento gco y versn de msmo se est utzando y con eos dfcutar a un dencuente o
abusador de servco e determnar qu vunerabdad especfca expotar. Recomendamos utzar o
sguente:
define$UconfS:<=_D9KCN_:SKV)U2j ` 2bV&dnl
Lo anteror regresar ago como o sguente a reazar una conexn haca e puerto 25 de servdor:
F telnet 1(/!0!0!1 ()
"r2ing 1(/!0!0!1!!!
Aonnected to nombre!dominio!
:scape character is I`?I!
((0 nombre!dominio :'"C N 'on= 1/ 'a2 (00+ 0(:((:(- -0)00
Ouit
224
((1 (!0!0 nombre!dominio closing connection
Aonnection closed b2 foreign host!
F
Est confguracn se puede poner |usto antes de a ena correspondente a parmetro
conf=U>HQ0<>I0NS.
3+%3%5%2% conf=U>HQ0<>I0NS
S se utza a sguente nea, habtada por defecto, se permtr reazar autentcacn a travs de
puerto 25 por cuaquer mtodo, ncuyendo PLAIN, e cua se reaza en texto smpe. Esto mpca
certo resgo de segurdad.
define(aconf6$"B58C"<87I=a6I)dnl
S comenta a anteror nea con dnl, y se utza en cambo a sguente nea, se desactva a
autentcacn por una de texto smpe en conexones no seguras (TLS), de modo ta que so se
podr autentcar a travs de mtodos que utcen cfrado, como sera CRAM-MD5 y DIGEST-MD5.
Esto obli*a a utili8ar clientes de correo electrnico con soporte para autenticacin a
travFs de $(=:):"5 2 "IGES>):"5.
define(aconf6$"B58C"<87I=a8 pI)dnl
3+%3%5%3% >(US>Q=U>HQ:E$H 2 conf=U>HQ:E$H=NIS:S
S se desea utzar SMTP autentcado para equpos no ncudos dentro de fchero /etc/mail/access,
se requeren descomentar as sguentes dos neas, emnando e dnl que es precede:
<FBS<_QB<8_:;G8$U;X<;FNQD ECK;S<':E, GFQ:':E, D9KCN =DQCNV&dnl
define$UconfQB<8_:;G8QNCS:SV) U;X<;FNQD KSSQ=C ECK;S<':E, GFQ:':E,D9KCN =DQCNV&dnl
3+%3%5%4% "=E:0NQ0<>I0NS
De modo predefndo Sendmail escucha petcones a travs de a nterfaz de retorno de sstema
por medo de I<v4 (127.0.0.1) y no a travs de otros dspostvos de red. So se necesta emnar
as restrccn de a nterfaz de retorno para poder recbr correo desde Internet o a LAN. Locace a
sguente nea:
%6:'8758C"<87(aCort3smtp=8**r712G.0.0.15 7ame3'"6I)dnl
Emne de dcho parmetro e vaor =ddrT+27%0%0%+ y a coma (,) que e antecede, de sguente
modo:
%6:'8758C"<87(aCort3smtp= 7ame3'"6I)dnl
3+%3%5%5% 7E=>U(ENbacceptQunresolvableQdomainscC
De modo predefndo, como una forma de permtr e correo de propo sstema en una computadora
de escrtoro o una computadora portt, est se utza e parmetro
7E=>U(ENbacceptQunresolvableQdomainscC. Sn embargo se recomenda desactvar esta funcn
a fn de mpedr aceptar correo de domnos nexstentes (generamente utzado para e envo de
correo masvo no soctado o Spam), basta con comentar esta confguracn precedendo un dnl,
225
de sguente modo:
*nl X:6"$R:(aaccept5unresolvable5domainsI)dnl
3+%3%5%6% Enmascaramiento
Habtar as sguentes neas y adaptar vaores para defnr a mscara que utzar e servdor:
'6b$:R6%:56(a*ominio.+omI)dnl
X:6"$R:(masOuerade5envelope)dnl
X:6"$R:(masOuerade5entire5domain)dnl
S va a admnstrar mtpes domnos, decare os domnos que no se quera enmascarar con e
parmetro :=SAUE(="EQEE$E<>I0N de sguente modo:
'6b$:R6%:56(adominio!comI)dnl
;8/M($A8N$_$O?$->E.@(P*ominio2.ne!0)*nl
;8/M($A8N$_$O?$->E.@(P*ominio3.or,0)*nl
;8/M($A8N$_$O?$->E.@(P*ominio&.+om.m#0)*nl
X:6"$R:(masOuerade5envelope)dnl
X:6"$R:(masOuerade5entire5domain)dnl
3+%3%5%7% <ar;metro $M
Aadr a fna de fchero /etc/mail/sendmail%mc un parmetro que defna qu dominio.com se
trata de un domno oca. Note que no debe haber espacos entre $M y dominio%com, y que $M se
escrbe con una $ mayscua y una M mnscua.
Gwdominio#com
3+%3%6% Usuarios Pirtuales
S se desea brndar un servco de hospeda|e de domnos vrtuaes permtendo que os usuaros
enven y recban correo utzando sus propos domnos, se deben aadr os sguentes parmetros
deba|o de a funcn de virtusertable de fchero /etc/mail/sendmail%mc:
X:6"$R:(avirtusertableI=ahash -o /etc/mail/virtusertable!dbI)dnl
=$8>(A$(P,eneri+s!)ble05P)s 'o /e!+/m)il/,eneri+s!)ble.*b0)*nl
G$@$AE?/_N.;8E@_=E%$(P/e!+/m)il/,eneri+s'*om)ins0)*nl
Se generan tres fcheros nuevos dentro de drectoro /etc/mail:
touch /etc/mail/Rvir!user!)ble=,eneri+s!)ble=,eneri+s'*om)insS
E fchero /etc/mail/virtusertable srve para defnr qu cuentas de correo vrtuaes se entregan en
os buzones correspondentes. La separacin de columnas se 'ace con tabuladores. En e
e|empo se entrega e correo de webmaster@domno1.net en a cuenta mengano y e correo de
webmaster@domno2.com en e buzn de usuaro perengano:
1ebmasterTdominio1!net mengano
1ebmasterTdominio(!com perengano
226
Para hacer que e correo de usuaro mengano saga de servdor como webmaster@domno1.net y
e de perengano saga como webmaster@domno2.com, es necesaro hacer e contendo contraro
de /etc/mail/virtusertable de sguente modo:
mengano 1ebmasterTdominio1!net
perengano 1ebmasterTdominio(!com
Para efector prctcos, se pueden mantener sncronzados ambos fcheros traba|ando drectamente
con /etc/mail/virtusertable y e|ecutando e sguente gun que se encargar de pasar e texto
desde /etc/mail/virtusertable con orden nvertdo de coumnas haca /etc/mail/*enericstable.
1hile read cuenta usuario garbage
do
echo -e GFRusuarioSDtFRcuentaSG HH /tmp/genericstable
done V /etc/mail/virtusertable
mv /tmp/genericstable /etc/mail/genericstable
E fchero /etc/mail/*enerics)domains debe contener prctcamente o msmo que
/etc/mail/local)'ost)names ms os domnos que vayan a estar sendo utzados por domnos
vrtuaes.
dominio!com
dominio1!net
dominio(!com
Invarabemente os fcheros /etc/mail/virtusertable%db y /etc/mail/*enericstable%db deben
actuazarse con e contendo de /etc/mail/virtusertable y /etc/mail/*enericstable,
respectvamente, cada vez que se se reace cuaquer tpo de cambo, como actuazar, aadr o
emnar cuentas de correo vrtuaes.
for f in virtusertable genericstable
do
makemap hash /etc/mail/FRfS!db V FRfS
done
3+%3%7% $ontrol del correo c'atarra NSpamC a travFs de "NS!Ls
S se desea cargar listas ne%ras para mtgar e Spam, pueden aadrse as sguentes neas |usto
arrba de MAA.EL(smtpdnl:
>;Q<BF;$dnsbl) Ublackholes.mail'abuse.or"V) UFecha%ado ' vea http://www.mail'abuse.or"/rbl/V&dnl
>;Q<BF;$dnsbl) Udialups.mail'abuse.or"V) UFecha%ado ' vea http://www.mail'abuse.or"/dul/V&dnl
>;Q<BF;$dnsbl) Urela#s.mail'abuse.or"V) UFecha%ado ' vea http://work'rss.mail'abuse.or"/rss/V&dnl
>;Q<BF;$dnsbl) Usbl'xbl.spamhaus.or"V) U7,,M Su C= esta en lista ne"ra en Spamhaus ' =or favor vea
http://www.spamhaus.or"/Luer#/blcipIa72d5client_addr6V&dnl
>;Q<BF;$dnsbl) Ubl.spamcop.netV) U7,,M Su C= esta en lista ne"ra en SpamG9= ' =or favor vea
http://spamcop.net/bl.shtmlc72d5client_addr6V&dnl
>;Q<BF;$dnsbl) Ulist.dsbl.or"V) U7,,M Su C= esta en lista ne"ra en ESAD ' =or favor vea
http://dsbl.or"/listin"c72d5client_addr6V&dnl
>;Q<BF;$dnsbl) Umultihop.dsbl.or"V) U7,,M Su C= esta en lista ne"ra en ESAD ' =or favor vea
http://dsbl.or"/listin"c72d5client_addr6V&dnl
>;Q<BF;$dnsbl) Udnsbl.ahbl.or"V)U7,,M Su C= esta en lista ne"ra en Q8AD ' =or favor vea
http://www.ahbl.or"/tools/lookup.phpcipI72d5client_addr6V&dnl
>;Q<BF;$dnsbl) Urhsbl.ahbl.or"V)U7,,M Su C= esta en lista ne"ra en Q8AD ' =or favor vea
http://www.ahbl.or"/tools/lookup.phpcipI72d5client_addr6V&dnl
>;Q<BF;$dnsbl) Ubl.csma.bi%V) U7,,M Su C= esta en lista ne"ra en GS:Q ' =or favor vea
http://bl.csma.bi%/c"i'bin/listin".c"icipI72d5client_addr6V&dnl
>;Q<BF;$dnsbl) Udnsbl.antispam.or.idV) U7,,M Su C= esta en lista ne"ra en QENSAD ' =or favor vea
http://antispam.or.id/cipI72d5client_addr6V&dnl
227
>;Q<BF;$dnsbl) Ublacklist.spamba".or"V) U7,,M Su C= esta en lista ne"ra en S=Q:AQK ' =or favor vea
http://www.spamba".or"/c"i'bin/spamba"cLuer#I72d5client_addr6V&dnl
3+%3%9% <rotocolos para acceder 'acia el correo
S utza Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4, e paquete map es
reempazado por dovecot, e cua funcona como otros servcos. Se debe modfcar e fchero
/etc/dovecot%conf y habtar os servcos de map y/o pop3 de sguente modo (de modo
predefndo estn habtados map e maps):
L Crotocols 1e 1ant to be serving:
L imap imaps pop. pop.s
pro!o+ols 7 im)p pop3
E servco se agrega a arranque de sstema y se nca de sguente modo:
chkconfig dovecot on
service dovecot start
S utza Red Hat Enterprse Lnux 3, CentOS 3 o Whte Box Enterprse Lnux 3, e procedmento
utzar e paquete map, e cua requere un smpe mandato para actvar e servco.
chkconfig imap on
chkconfig ipop. on
3+%3%S% (einiciando servicio
Para rencar servco de Sendma bastar con e|ecutar:
service sendmail restart
Probar servdor envando/recbendo mensa|es con CUALOUIER cente estndar de correo
eectrnco con soporte para POP3/IMAP/SMTP con soporte para autentcar a travs de SMTP
utzando os mtodos DIGEST-MD5 o CRAM-MD5.
Para depurar posbes errores, se puede examnar e contendo de a btcora de correo de sstema
en /var/lo*/maillo* de sguente modo:
tail -f /var/log/maillog
3+%4% Encaminamiento de dominios
Sendma ncuye soporte para reazar en re-encamnamento de domnos de correo a travs de
parmetro 7E=>U(ENbmailertablecXb'as' )o /etc/mail/mailertable%dbcC que debe estar
'abilitado de modo predefinido en e fchero /etc/mail/sendmail%mc. Esta funcn permte a
Sendma reazar traduccn de domnos, especfcar un agente de entrega y cambar e
encamnamento estabecdo en un DNS.
3+%4%+% (edundancia del servidor de correo%
Cuando se tene un domno de correo eectrnco que recbe mucho trfco, es convenente
228
estabecer redundanca en e servco para garantzar que e correo sempre ser recbdo y egar a
os buzones de correo haca os que est destnado.
Se requeren dos servdores de correo. Uno deber estar regstrado en a zona de domno en e DNS
como servidor de correo primario (mail.dominio.com) y otro deber estar regstrado en a zona
de domno en e DNS como servidor de correo secundario (mailB.dominio.com) a fn de contar
con redundanca.
+% Defna en a zona de DNS de domno.com un servdor de correo prmaro
(mail.dominio.com) y un servdor de correo secundaro (mailB.dominio.com)
2% Confgure normamente e servdor de correo prmaro (mail.dominio.com) para
admnstrar e correo de domno.com.
3% Confgure e servdor de correo secundaro (mailB.dominio.com) de msmo modo,
pero no aada domno.com en e fchero /etc/mail/local)'ost)names ya que de
otro modo e correo ser tratado como oca y |ams podr ser entregado en e
servdor de correo prmaro.
4% Debe estar stado domno.com en e fchero /etc/mail/rela2)domains en e
servdor de correo secundaro (mailB.dominio.com) a fn de permtr a
retransmsn de ste haca e servdor de correo prmaro (mail.dominio.com).
5% En e servdor de correo secundaro (mailB.dominio.com) modfque e fchero
/etc/mail/mailertable y defna qu domno.com ser entregado en e servdor
de correo prmaro utzando e nombre penamente resueto en a zona de DNS.
dominio!com smtp:mail!dominio!com
S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio!com smtp:>1-(!16,!1!()+?
6% Rence Sendma
7% En adeante e correo de domno.com ser entregado normamente y de prmera
nstanca en e servdor de correo prmaro (mail.dominio.com), pero cuando ste,
por aguna razn, se vea mposbtado para recbr conexones, e servdor de
correo secundaro (mailB.dominio.com) defndo en a zona de DNS recbr todo
e correo de domno.com y o entregar en e servdor de correo prmaro
(mail.dominio.com) cuando ste reestabezca operacones normamente.
3+%4%2% Servidor de correo intermediario
Sendma puede servr de ntermedaro de correo eectrnco ya sea para ftrado de correo con un
antvrus, sustento gco para ftrado de correo chatarra o ben como ntermedaro entre una red
pbca y un servdor en red oca. Se requeren dos servdores de correo. Uno que ser e servdor
de correo ntermedaro (pro(y.dominio.com), que de forma obgatora deber estar defndo en a
zona de DNS de domno como servdor de correo prmaro (un regstro MX), y otro que servr como
servdor de correo de destno (mail.dominio.com).
+% E servdor de correo que funconar como ntermedaro (pro(y.dominio.com) se
confgura normamente, pero no aada domno.com en e fchero
/etc/mail/local)'ost)names ya que de otro modo e correo ser tratado como
oca y |ams podr ser entregado en e servdor de correo de destno
(mail.dominio.com).
2% Debe estar stado domno.com en e fchero /etc/mail/rela2)domains en e
servdor de correo ntermedaro (pro(y.dominio.com) a fn de permtr a
229
retransmsn de ste haca e servdor de correo prmaro (mail.dominio.com).
3% La dreccn P de servdor de destno (mail.dominio.com) debe estar stada en e
fchero /etc/mail/access con (EL=Z (retransmsn autorzada) de servdor de
correo ntermedaro (pro(y.dominio.com).
4% La dreccn P de servdor de ntermedaro (pro(y.dominio.com) debe estar
stada en e fchero /etc/mail/access con (EL=Z (retransmsn autorzada) de
servdor de correo de destno (mail.dominio.com).
5% En e servdor de correo ntermedaro (pro(y.dominio.com) modfque e fchero
/etc/mail/mailertable y defna qu domno.com ser entregado en e servdor
de correo de destno (mail.dominio.com) utzando e nombre 7A"N (7uy
Auafed "oman Name) y penamente resueto.
dominio!com smtp:mail!dominio!com
6% S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio!com smtp:>1-(!16,!1!()+?
7% En e servdor de correo de destno (mail.dominio.com), descomente y defna
prox2%dominio%com como vaor para e parmetro
defineNbS:=(>QH0S>cXbsmtp%2our%providercC, de modo que
prox2%dominio%com sea e servdor de retransmsn (smart host:
define(a'6R"5B8"I=aprox2!dominio!comI)
9% Rence Sendma en ambos servdores de correo.
3+%5% Perificando el servicio
Desde una termna, e|ecute e programa telnet drgdo haca e puerto 25 de a dreccn IP
prncpa de sstema:
F telnet 1-(!16,!0!()+ ()
S Sendma est funconando correctamente, se estabecer una conexn extosa y deber
devover una sada smar a a sguente:
<r#in" (W2.(-H.(.2,+...
Gonnected to nombre.dominio $(W2.(-H.(.2,+&.
22M nombre.dominio ;S:<= Sendmail H.(*.(/H.(*.(` Sun) , :ar 2MM- 2(:+,:,( 'M-MM
E|ecute e mandato HEL0 segudo de nombre de anftrn:
B:;8 nombre!dominio
Obtendr una sada smar a esta:
2,M nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou
E|ecute e mandato EHL0 segudo de nombre de anftrn:
230
:B;8 nombre!dominio
Obtendr una sada smar a sta y que mostrar as funcones de servdor:
2,M'nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou
2,M';N8QNG;ES<Q<BSG9E;S
2,M'=C=;DCNCNK
2,M'HAC<:C:;
2,M'SCe;
2,M'ESN
2,M';<FN
2,M'QB<8 ECK;S<':E, GFQ:':E,
2,M'E;DCJ;FAR
2,M 8;D=
E|ecute e mandato AUI> para cerrar a conexn.
b$<"
E servdor deber contestar o sguente a termnar a conexn:
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos utzados
resatados en ne*rita):
fulano1nombre /!2 telnet 192#1JK#1#25F 25
<r#in" (W2.(-H.(.2,+...
22M nombre.dominio ;S:<= Sendmail H.(*.(/H.(*.(` Sun) , :ar 2MM- 2(:+,:,( 'M-MM
<4-= nom%re#dominio
4<-= nom%re#dominio
2,M'nombre.dominio 8ello nombre.dominio (W2.(-H.(.2,+!) pleased to meet #ou
2,M'=C=;DCNCNK
2,M'HAC<:C:;
2,M'SCe;
2,M'ESN
2,M';<FN
2,M'QB<8 ECK;S<':E, GFQ:':E,
2,M'E;DCJ;FAR
2,M 8;D=
EU?B
22( 2.M.M nombre.dominio closin" connection
3+%6% <ruebas para el env.o de correo
3+%6%+% Utili8ando telnet
Utzar e mandato telnet permte conocer y examnar cmo funcona reamente a nteraccn
entre un servdor de correo y un cente de correo.
Abra una sesn con telnet drgdo haca e puerto 25 de a dreccn IP prncpa de sstema.
231
telnet 1-(!16,!1!()+ ()
Saude a sstema con e mandato HEL0 segudo de nombre de anftrn.
B:;8 nombre!dominio
E servdor de correo deber contestare:
E|ecute e mandato :=IL 7(0: especfcando a cuenta de correo de un usuaro oca de sus
sstema de sguente modo:
'6<; XR8': VfulanoTnombre!dominioH
E servdor de correo deber contestare o sguente, a menos que especfque una cuenta de correo
con un domno dstnto a os especfcados en e fchero /etc/mail/rela2)domains:
2,M 2.(.M ?fulano1nombre.dominio@... Sender ok
E|ecute e mandato ($<> >0 especfcando una cuenta de correo exstente en e servdor de
sguente modo:
RAC" "8: VrootTnombre!dominioH
E servdor de correo deber contestare o sguente:
()0 (!1!) VrootTnombre!dominioH!!! Recipient ok
E|ecute e mandato "=>=:
%6"6
E servdor de correo deber contestare o sguente:
.)+ :nter mail= end 1ith G!G on a line b2 itself
Enseguda ngrese e texto que desee ncur en e mensa|e de correo eectrnco. A termnar fnace
con un punto en una nueva nea.
Bola= este es un mensaEe de prueba!
!
E sstema deber contestare ago smar a o sguente:
()0 (!0!0 k(6.1:QQ006(0- 'essage accepted for deliver2
E|ecute e mandato AUI>:
232
b$<"
E servdor deber contestar o sguente a termnar a conexn:
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos utzados
resatados en ne*rita):
fulano1nombre /!2 telnet 192#1JK#1#25F 25
<r#in" (W2.(-H.(.2,+...
22M nombre.dominio ;S:<= Sendmail H.(*.(/H.(*.(` Sun) , :ar 2MM- 2(:,H:(+ 'M-MM
<4-= nom%re#dominio
>.?- F@=>: fulano!nom%re#dominio$
2,M 2.(.M ?fulano1nombre.dominio@... Sender ok
@APB B=: root!nom%re#dominio$
2,M 2.(., ?root1nombre.dominio@... Fecipient ok
C.B.
*,+ ;nter mail) end with 7.7 on a line b# itself
<ola5 este es un mensa2e de prue%a#
#
2,M 2.M.M k2-*w;TTMM-2MW :essa"e accepted for deliver#
EU?B
22( 2.M.M nombre.dominio closin" connection
3+%6%2% Utili8ando mutt
Mutt, trmno utzado en engua ngesa para referrse a perros mestzos, es un cente de correo
eectrnco (MUA o :a User =gent) para modo texto. Incuye soporte para coor, hos, MIME,
PGP/GPG, protocoos POP3, IMAP y NNTP, y para os formatos de correo :aildir y mbox.
Basta e|ecutar mutt y pusar as tecas ndcadas a nterfaz de texto para reazar dversas tareas.
Para envar un mensa|e de correo eectrnco sga este procedmento:
+% Como usuaro sn prvegos, e|ecute mutt.
2% Responda con a teca IsJ para confrmar que se crear R/:ail.
3% Una vez ncada a nterfaz de texto de mutt, puse a teca ImJ para crear un
nuevo mensa|e.
4% En a parte nferor de a pantaa aparece un dogo para e destnataro (>o, ).
Ingrese una cuenta de correo eectrnco vda o aguna que exsta a menos en
e domno de a Red Loca (L=N).
5% En a parte nferor de a pantaa aparece un dogo para ngresar e asunto de
mensa|e (Sub-ect, ). Ingrese un ttuo para e mensa|e.
6% Enseguda mutt ncar vi para crear e texto que se envar en e mensa|e.
Ince e modo de insertar texto (i) de vi e ngrese agunas paabras. A termnar,
guarde y saga de vi (,MG).
7% Tras termnar con e edtor de texto smpe vi, mutt presentar una vsta preva
de mensa|e. Confrme que os datos son os correctos y puse a teca I2J para
envar e mensa|e. S necesta cambar aguno de stos, puse ItJ para cambar
e destnataro o IsJ para cambar e campo de asunto de mensa|e.
233
9% Mutt e devover a a pantaa prncpa. S recbe un mensa|e de respuesta,
seeccone ste y puse a teca EN>E( para vsuazar e contendo.
S% S desea responder e mensa|e, puse a teca IrJ y repta os procedmentos de
paso 4 a 7.
S o desea, tambn puede utzar mutt desde a nea de mandatos.
echo -e D
GBola= so2 FR$:RS en FRB8"76':S!DnD
Cor favor responde este mensaEe!DnDnaludos!G D
W mutt D
-s G'ensaEe enviado desde FRB8"76':SG D
fulanoTmaOuina!dominio
Lo anteror enva un mensa|e de correo eectrnco haca a cuenta fuano@maquna.domno, con e
asunto :ensa-e enviado desde nombre%dominio con e sguente contendo como texto de
mensa|e:
Bola= so2 usu)rio en nombre.*ominio
Cor favor responde este mensaEe!
aludos!
3+%7% (eferencias
'ttp,//MMM%ietf%or*/rfc/rfc2222%txt
'ttp,//MMM%ietf%or*/rfc/rfc92+%txt
'ttp,//MMM%ietf%or*/rfc/rfc+S3S%txt
234
32% 0pciones avan8adas de se*uridad para
Sendmail
stos.
32%+% Introduccin
Debdo a a naturaeza de correo eectrnco es posbe para un atacante nundar fcmente e
servdor y desencadenar en una denegacn de servco. Fenmenos como e denomnado correo
masvo no soctado o Spam no hacen as cosas ms fces y as admnstracn de un servdor de
correo puede tornarse una pesada. Es por todo esto que aadr opcones avanzadas de segurdad
se converte en ago ndspensabe.
32%2% 7unciones
Todas as funcones expcadas a contnuacn pueden ncurse en e fchero /etc/mail/sendmail.mc
|usto deba|o de a tma nea que ncuya define y arrba de a prmera nea que ncuya >;Q<BF;.
32%2%+% conf:=EQ($<>SQ<E(Q:ESS=GE
Este parmetro srve para estabecer un nmero mxmo de destnataros para un mensa|e de
correo eectrnco. De modo predefndo, sendma estabece un mxmo de 256 destnataros. En e
sguente e|empo se mtar e nmero de destnataros a 20:
define$Uconf:QX_FG=<S_=;F_:;SSQK;V) U2MV&dnl
32%2%2% conf!="Q($<>Q>H(0>>LE
Este parmetro srve para estabecer e tempo de etargo que se utzar por cada destnataro que
sobrepase e mte estabecdo por conf:QX_FG=<S_=;F_:;SSQK;. De modo predefndo Sendma no
estabece tempo de etargo. En e sguente e|empo se estabecern 2 segundos de etargo por
cada destnataro rechazado por sobrepasar e mte de destnataros permtdos:
define$UconfAQE_FG=<_<8F9<<D;V) U2V&dnl
32%2%3% conf<(IP=$ZQ7L=GS
Cuando se estabece como vaor `goaway', se deshabtan varos mandatos SMTP como EXPN y
VRFY, os cuaes puderan ser utzados para revear os nombres de usuaros ocaes a aguen con
pretensones de envar spam. Tambn deshabta as notfcacones de entrega, e cua es un
mecansmo comnmente utzado por quenes envan spam para verfcar a exstenca de una
cuenta, y hace que e sstema socte obgatoramente HELO o EHLO antes de utzar e mandato
235
MAIL. Muchos programas son utzados para envar correo masvo no soctado n squera se
moestan en utzar HELO o EHLO. Por defecto os vaores de confPRIVACY_FLAGS son
`authwarnngs,novrfy,noexpn,restrctqrun', cambe por o sguente:
define$Uconf=FCJQGR_>DQKSV)U"oawa#V&dnl
32%2%4% conf:=EQHE="E(SQLENG>H
Est parmetro se utza para defnr e tamao mxmo permtdo para a cabecera de un mensa|e
en bytes. Agunos programas utzados para envar spam tratan de mpedr que os MTA puedan
regstrar transaccones generando cabeceras muy grandes.
Lmtar e tamao de as cabeceras hace ms dfc a e|ecucn de gun que expote
vunerabdades recentes (desbordamentos de bfer) en UW IMAP, Outook y Outook Express.
La mayor parte de os mensa|es de correo eectrnco tendrn cabeceras de menos de 2 Kb (2048
bytes). Un mensa|e de correo eectrnco ordnaro, por muy exagerado que resute e tamao de a
cabecera, rara vez utzar una cabecera que sobrepase os 5 Kb o 6 Kb, es decr, de 5120 o 6144
bytes. En e sguente e|empo se mtar e tamao mxmo de a cabecera de un mensa|e a 16 Kb:
define$Uconf:QX_8;QE;FS_D;NK<8V) U(-*H+V&dnl
E vaor sugerdo es 16 Kb (16384 bytes). Aumente o dsmnuya e vaor a su dscresn.
32%2%5% conf:=EQ:ESS=GEQSI]E
Este parmetro srve para especfcar e tamao mxmo permtdo para un mensa|e de correo
eectrnco en bytes. Puede especfcarse o que e admnstrador consdera apropado. En e
sguente e|empo se mtar e tamao mxmo de un mensa|e a 3 MB:
define$Uconf:QX_:;SSQK;_SCe;V) U*(+,02HV&dnl
32%2%6% conf:=EQ"=E:0NQ$HIL"(EN
Este parmetro srve para especfcar cuntos procesos h|os se permtrn smutneamente en e
servdor de correo. De modo predefndo sendma no estabece mtes para este parmetro. S se
sobrepasa e mte de conexones smutneas, e resto sern demoradas hasta que se termnen as
conexones exstentes y de|en ugar para nuevas conexones. En e sguente e|empo se mtar e
nmero de conexones smutneas haca e servdor a 5:
define$Uconf:QX_EQ;:9N_G8CDEF;NV) U,V&dnl
32%2%7% conf$0NNE$>I0NQ(=>EQ>H(0>>LE
Este parmetro srve para estabecer e nmero de conexones mxmas por segundo. De modo
predefndo sendma no estabece mtes para este parmetro. En e sguente e|empo se mtar a
4 conexones por segundo:
define$UconfG9NN;G<C9N_FQ<;_<8F9<<D;V) U+V&dnl
236
33% $mo confi*urar Sendmail 2 "ovecot con
soporte SSL/>LS%
stos.
33%+% Introduccin%
Este documento requere a ectura y comprensn preva de os sguentes temas:
Confguracn bsca de Sendma.
33%+%+% =cerca de "S=%
"S= ("gta Sgnature =gorthm o Agortmo de Frma dgta) es un agortmo creado por e NIST
(Natona Insttute of Standards and >echnoogy o Insttuto Nacona de Normas y Tecnooga de
EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes. Se
utza para frmar nformacn, ms no para cfrar sta.
URL: http://es.wkpeda.org/wk/DSA
33%+%2% =cerca de (S=%
(S=, acrnmo de os apedos de sus autores, Ron (vest, Ad Shamr y Len =deman, es un
agortmo para e cfrado de caves pbcas que fue pubcado en 1977, patentado en EE.UU. en
1983 por e e Insttuto Tecnogco de Mchgan (:I>). (S= es utzado ampamente en todo e
mundo para os protocoos destnados para e comerco eectrnco.
URL: http://es.wkpeda.org/wk/RSA
33%+%3% =cerca de E%50S%
E%50S es un estndar I>U)> (estandarzacn de >eecomuncacones de a Internatona
>eecommuncaton Unon ) para nfraestructura de caves pbcas (<KI, o <ubc Key
Infrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y un
agortmo para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a ruta de
un certfcado sea vda ba|o una nfraestructura de cave pbca determnada. Es decr, desde e
certfcado nca, pasando por certfcados ntermedos, hasta e certfcado de confanza emtdo
por una Autordad Certfcadora ($=, o $ertfcaton =uthorty).
URL: http://es.wkpeda.org/wk/X.509
237
33%+%4% =cerca de 0penSSL%
0penSSL es una mpementacn bre, de cdgo aberto, de os protocoos SSL (Secure Sockets
Layer o Nve de Zcao Seguro) y >LS (>ransport Layer Securty, o Segurdad para Nve de
Transporte). Est basado sobre e extnto proyecto SSLea2, ncado por Erc Young y Tm Hudson,
hasta que stos comenzaron a traba|ar para a dvsn de segurdad de EMC Corporaton.
URL: http://www.openss.org/
Acceda a sstema como e usuaro root.
Se debe crear e drectoro donde se amacenarn os certfcados para todos os stos SSL. E
drectoro, por motivos de se*uridad, debe ser soamente accesbe para e usuaro root.
mkdir -m 0/00 /etc/ssl
A fn de mantener certa organzacn, es convenente crear un drectoro especfco para amacenar
e certfcado de servdor. Iguamente, por motivos de se*uridad, debe ser soamente accesbe
para e usuaro root.
mkdir -m 0/00 /etc/ssl/mi*ominio.or,
Acceder a drectoro que se acaba de crear.
cd /etc/ssl/mi*ominio.or,
33%2%+% Sendmail%
33%2%+%+% Generando clave 2 certificado%
Sendmail requere una ave creada con agortmo "S= de 1024 octetos. Para ta fn, se crea
prmero un fchero de parmetros "S=:
openssl dsaparam 10(+ -out dsa10(+!pem
A contnuacn, se utza este fchero de parmetros "S= para crear una ave con agortmo "S= y
estructura x50S, as como tambn e correspondente certfcado. En e e|empo a contnuacn, se
estabece una vadez por 730 das (dos aos) para e certfcado creado.
openssl reO -x)0- -nodes -ne1ke2 dsa:dsa10(+!pem D
-da2s /.0 -out sen*m)il.+r! -ke2out sen*m)il.1ey
Lo anteror soctar se ngresen varos datos:
Cdgo de dos etras para e pas.
Estado o provnca.
Cudad.
238
Nombre de a empresa o razn soca.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
La sada devueta sera smar a a sguente:
*enerating a 10(+ bit %6 private ke2
1riting ne1 private ke2 to Isendmail!ke2I
-----
\ou are about to be asked to enter information that 1ill be
incorporated into 2our certificate reOuest!
Khat 2ou are about to enter is 1hat is called a %istinguished 7ame
or a %7!
"here are Ouite a fe1 fields but 2ou can leave some blank
Xor some fields there 1ill be a default value=
<f 2ou enter I!I= the field 1ill be left blank!
-----
Aountr2 7ame (( letter code) >*9?:;O
tate or Crovince 7ame (full name) >9erkshire?:Nis!ri!o =e*er)l
;ocalit2 7ame (eg= cit2) >7e1bur2?:;e#i+o
8rgani4ation 7ame (eg= compan2) >'2 Aompan2 ;td?:
;i empres)5 /.8. *e ?.Q.
8rgani4ational $nit 7ame (eg= section) >?:Nire++ion ?omer+i)l
Aommon 7ame (eg= 2our name or 2our serverIs hostname) >?:
mi*ominio.or,
:mail 6ddress >?:webm)s!erLmi*ominio.or,
E certfcado soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre
defndo en e campo $ommon Name. Es decr, soo podr utzaro cuando se defna
midominio%or* como servdor S:>< con soporte >LS. No funconar s se nvoca a servdor como,
por menconar un e|empo, mail%midominio%or*.
A termnar, ya no ser necesaro conservar e fchero dsa+024%pem, msmo que puede emnarse
con pena segurdad.
rm -f dsa10(+!pem
Es ndspensabe que todos os fcheros de caves y certfcados tengan permsos de acceso de soo
ectura para e usuaro root:
chmod +00 /etc/ssl/mi*ominio.or,/sendmail!J
33%2%+%2% <ar;metros de /etc/mail/sendmail%mc%
Es necesaro confgurar os sguente parmetros en e fchero
/etc/ma/sendma.mc a fn de que Sendma utce a cave y certfcado recn creados:
define(aconfA6A:R"5C6"BI=a/etc/ssl/midominio!orgI)
define(aconfA6A:R"I=a/etc/ssl/midominio!org/sendmail!crtI)
define(aconf:RP:R5A:R"I=a/etc/ssl/midominio!org/sendmail!crtI)
239
define(aconf:RP:R5Q:\I=a/etc/ssl/midominio!org/sendmail!ke2I)
Soo resta actvar e puerto que ser utzado para SMTPS (465 por TCP).
%6:'8758C"<87(aCort3smtps= 7ame3";'"6= '3sI)dnl
E acceso cfrado con TLS es opcona s se reazan conexones a travs de puerto 25, y obgatoro
s se hacen a travs de puerto 465. E puerto 587 (submsson), puede ser tambn utzado para
envo de correo eectrnco. Por estndar se utza como puerto aternatvo en os casos donde un
cortafuegos mpde a os usuaros acceder haca servdores de correo traba|ando por puerto 25. MS
Outook Express no tene soporte para usar TLS a travs de puerto 587, pero e resto de os centes
de correo eectrnco con soporte TLS s.
%6:'8758C"<87(aCort3submission= 7ame3'6= '3:aI)dnl
A fn de que surtan efecto os cambos, es necesaro rencar e servco sendma.
33%2%+%3% $omprobacin%
Reace una conexn con telnet a puerto 25 de sstema. Ingrese e mandato EHL0. La sada
deber devover, entre todas as funcones de servdor, una nea que ndca S>=(>>LS. La sada
puede ser smar a a sguente:
telnet (20.M.M.( 2,
;8D9 midominio.or"
<r#in" (20.M.M.(...
Gonnected to (20.M.M.(.
22M midominio.or" ;S:<= Sendmail H.(*.(/H.(*.(` :on) 2 9ct 2MM- (*:(H:M2 'M,MM
ehlo midominio.or"
2,M'midominio.or" 8ello localhost.localdomain (20.M.M.(!) pleased to meet #ou
2,M'=C=;DCNCNK
2,M'HAC<:C:;
2,M'SCe;
2,M'ESN
2,M';<FN
2,M'QB<8 D9KCN =DQCN
250-DB.@BB-D
2,M'E;DCJ;FAR
2,M 8;D=
A reazar a confguracn de cente de correo eectrnco, deber especfcarse conexn por TLS.
Tras aceptar e certfcado, deber ser posbe autentcar, con nombre de usuaro y cave de acceso,
y envar correo eectrnco.
33%2%2% "ovecot%
33%2%2%+% Generando clave 2 certificado%
La creacn de a ave y certfcado para "ovecot es ms smpe, pero requere utzar una cave
con agortmo (S= de 1024 octetos, con estructura E%50S. En e e|empo a contnuacn, se
estabece una vadez por 730 das (dos aos) para e certfcado creado.
240
openssl reO -x)0- -nodes -ne1ke2 rsa:10(+ D
-da2s /.0 -out dovecot!crt -ke2out dovecot!ke2
De forma smar a como ocurr con Sendmail, o anteror soctar se ngresen varos datos:
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
*enerating a 10(+ bit R6 private ke2
!!!!!!!!!!!!!!!![[[[[[
![[[[[[
1riting ne1 private ke2 to Idovecot!ke2I
-----
or a %7!
-----
;i empres)5 /.8. *e ?.Q.
mi*ominio.or,
E certfcado soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre
defndo en e campo $ommon Name. Es decr, soo podr utzaro cuando se defna
midominio%or* como servdor <0<3 o I:=< con soporte >LS. No funconar s se nvoca a
servdor como, por menconar un e|empo, mail%midominio%or*.
ectura para e usuaro root:
chmod +00 /etc/ssl/mi*ominio.or,/dovecot!J
33%2%2%2% <ar;metros de /etc/dovecot%conf%
En e parmetro protocols, se actvan todos os servcos (map, maps, pop3 y pop3s).
241
protocols 3 imap imaps pop. pop.s
De modo predetermnado, e soporte SSL de "ovecot est actvo. Verfque que e parmetro
sslQdisable tenga e vaor no, o ben soo est comentado.
Lssl5disable 3 no
Y se especfcan as rutas de certfcado y cave a travs de os parmetros sslQcertQfile y
sslQLe2Qfile, de sguente modo:
ssl5cert5file 3 /etc/ssl/midominio!org/dovecot!crt
ssl5ke25file 3 /etc/ssl/midominio!org/dovecot!ke2
A fn de que surtan efecto os cambos, es necesaro rencar e servco dovecot.
service dovecot restart
33%2%2%3% $omprobacin%
Utce cuaquer cente de correo eectrnco con soporte para TLS y confgure ste para conectarse
haca e sstema a travs de I:=<S (puerto 993) o ben <0<3S (puerto 995). Tras aceptar e
certfcado de servdor, e sstema deber permtr autentcar, con nombre de usuaro y cave de
acceso, y reazar a ectura de correo eectrnco.
33%2%3% $onfi*uracin de GN0:E Evolution%
33%2%3%+% $onfi*uracin GN0:E Evolution%
Para GNOME Evouton, a confguracn de IMAP o POP3 se reaza seeconando e tpo de servdor,
defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro, y usar
encrptacn segura TLS.
242
Confguracn IMAP, en GNOME Evouton.
Se hace o msmo para SMTP.
243
Confguracn SMTP, GNOME Evouton.
33%2%3%2% $onfi*uracin :o8illa >'underbird%
Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado, usuaro
y usar conexn segura TLS.
244
Confguracn IMAP, Moza Thunderbrd.
Se hace o msmo para SMTP.
Confguracn SMTP, Moza Thunderbrd.
33%2%4% :odificaciones necesarias en el muro cortafue*os%
S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr,
adems de os puertos 25, 110, 143 y 587 por TCP (S:><, <0<3, I:=< y Submission,
respectvamente), os puertos 465, 993 y 995 por TCP (S:><S, I:=< y <0<3S, respectvamente).
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp ()=110=1+.=+6)=),/=--.=--)
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
245
34% Instalacin 2 confi*uracin de SGuirrelm:ail
Ncorreo a travFs de interfa8 H>>< C
stos.
34%+% Introduccin
SqurreMa es un nteresante, extensbe, funcona y robusto sustento gco para correo y que
permte acceder a usuaro a su correo eectrnco desde e navegador de su predeccn.
SqurreMa est escrto en PHP4 y cumpe con os estndares como correo a travs de nterfaz
HTTP. Incuye su propo soporte para os protocoos IMAP y SMTP. Adems todas as pgnas se
muestran con HTML 4.0 sn a necesdad de |avaScrpt para una mxma compatbdad con
cuaquer navegador.
SqurreMa ncuye toda a funconadad deseada para un cente de correo como un robusto
soporte MIME, breta de dreccones y admnstracn de carpetas.
34%2%+% Instalacin del sustento l*ico necesario
2um -2 install sOuirrelmail httpd
34%2%2% $onfi*uracin de SGuirrel:ail%
Cambe a drectoro /usr/s'are/sGuirrelmail/confi*/ y e|ecute e gun de confguracn que se
encuentra en e nteror:
cd /usr/share/sOuirrelmail/config/
!/conf!pl
Lo anteror e devover una nterfaz de texto muy smpe de utzar, como a mostrada a
contnuacn:
246
Ouirrel'ail Aonfiguration : Read: config!php (1!+!.)
---------------------------------------------------------
'ain 'enu --
1! 8rgani4ation Creferences
(! erver ettings
.! Xolder %efaults
+! *eneral 8ptions
)! "hemes
6! 6ddress 9ooks (;%6C)
/! 'essage of the %a2 ('8"%)
,! Clugins
-! %atabase
%! et pre-defined settings for specific <'6C servers
A! "urn color on
ave data
b buit
Aommand HH
Ingrese haca as preferencas de a organzacn y defna e nombre de a empresa, e ogotpo y sus
dmensones, E mensa|e en a barra de ttuo de a ventana de navegador, e doma a utzar, URL
y e ttuo de a pgna prncpa de servdor de red.
---------------------------------------------------------
8rgani4ation Creferences
1! 8rgani4ation 7ame : A)6Rn_/o+i)l_*e_su_empres)
(! 8rgani4ation ;ogo : !!/images/sm5logo!png
.! 8rg! ;ogo Kidth/Beight : (.0,/111)
+! 8rgani4ation "itle : "ienveni*o )l Webm)il *e
/u_empres).
)! ignout Cage :
6! %efault ;anguage : es_$/
/! "op Xrame : 5top
,! Crovider link : !!p3//url_*e_su_empres)/
-! Crovider name : @ombre_*e_su_emrpes)
R Return to 'ain 'enu
A! "urn color on
ave data
b buit
Aommand HH
En as opcones de servdores defna soamente e domno a utzar. S e servdor de correo va a
coexstr en e msmo sstema con e servdor HTTP, no har fata modfcar ms en esta seccn. S
o desea, puede especfcar otro servdor SMTP e IMAP ocazados en otro equpo.
247
---------------------------------------------------------
erver ettings
*eneral
-------
1. Nom)in 3 su'mS9uin).su'*ominio
(! <nvert "ime : false
.! endmail or '"C : endmail

6! $pdate <'6C ettings : localhost:1+. (u1)
9! Ahange endmail Aonfig : /usr/sbin/sendmail

A! "urn color on
ave data
b buit
Aommand HH
En as opcones de as carpetas cambe Trash por Papeera, Sent por Envados y Drafts por
Borradores.
---------------------------------------------------------
Xolder %efaults
1! %efault Xolder Crefix : mail/
(! ho1 Xolder Crefix 8ption : true
3. >r)s =ol*er 3 -)peler)
&. /en! =ol*er 3 $nvi)*os
5. Nr)2!s =ol*er 3 "orr)*ores
6! 92 default= move to trash : true
/! 92 default= move to sent : true
,! 92 default= save as draft : true
-! ;ist pecial Xolders Xirst : true
10! ho1 pecial Xolders Aolor : true
11! 6uto :xpunge : true
1(! %efault ub! of <798X : true
1.! ho1 IAontain ub!I 8ption : false
1+! %efault $nseen 7otif2 : (
1)! %efault $nseen "2pe : 1
16! 6uto Areate pecial Xolders : true
1/! Xolder %elete 92passes "rash : false
1,! :nable /7oelect folder fix : false

A! "urn color on
ave data
b buit
Aommand HH
Fnamente esco|a y habte as extensones (pug-ns) que consdere apropados para sus
necesdades:
248
---------------------------------------------------------
Clugins
<nstalled Clugins
1. *ele!e_move_ne#!
2. s9uirrelspell
3. newm)il
&. +)len*)r
5. 2il!ers
6. m)il_2e!+
G. !r)nsl)!e
H. )boo1_!)1e
9. mess),e_*e!)ils
10. sen!_sub2ol*ers
6vailable Clugins:
11! administrator
1(! bug5report
1.! info
1+! listcommands
1)! spamcop
16! fortune

A! "urn color on
ave data
b buit
Aommand HH
Guarde os cambos pusando a teca S y uego a teca Enter.
34%3% 7inali8ando confi*uracin
Actve, s no o ha hecho an, e servco de IMAP. S utza Red Hat Enterprse Lnux 4, CentOS 4.0
o Whte Box Enterprse Lnux 4. E paquete map es reempazado por dovecot, e cua funcona como
otros servcos. Se debe modfcar e fchero /etc/dovecot%conf y asegurarse que estn habtados
os servcos de map (de modo predefndo so debe estar habtado map):
protocols I imap pop*
E servco se agrega a arranque de sstema y se ncaza de sguente modo:
chkconfi" dovecot on
service dovecot start
S utza Red Hat Enterprse Lnux 3, CentOS 3.0 o Whte Box Enterprse Lnux 3, e procedmento
utzar e paquete map, e cua so requere un smpe mandato para actvar e servco.
chkconfi" imap on
Rence o nce e servco de apache:
249
service httpd start
Acceda con e navegador de su predeccn haca 'ttp,//+27%0%0%+/Mebmail/.
elinks !!p3//12G.0.0.1/webm)il/
34%4% =-ustes en p'p%ini para optimi8ar el uso de SGuirrelmail
A contnuacn agunos a|ustes tes para e fchero /etc/p'p%ini que pueden resover agunos
probemas comunes a utzar Squrrema.
Un servdor de red combnado con servco de correo y otras apcacones utza muchos recursos de
sstema, y s se estn e|ecutando adems varas apcacones PHP smutneamente, es norma que
se tengan probemas a exceder e mte de memora para a e|ecucn de un gun.
Habr que aumentar e RAM en agunos servdores en partcuar s modfca os mtes actuaes. Por
defecto PHP so utce 8 MB para a e|ecucn de guones PHP:
memor25limit 3 ,'
post5max5si4e 3 ,'
Se pueden cambar esos vaores en e fchero /etc/p'p%ini por unos geramente mayores N^<or
favorX N0 =!US=(_C% Utce 9 o 10 MB.
memor25limit 3 10'
post5max5si4e 3 10'
Consutar http://www.squrrema.org/wk/en_US/LowMemoryProbem para mayores detaes a
respecto. Hay otro parmetro que seguramente agunos van a cuestonar a cuestonar: por defecto
PHP que so permte subr un mxmo de 2 MB. Por ende, Squrrema so permtr subr no ms
de 2 MB en os ad|untos. Basta con modfcar e fchero /etc/p'p%ini y cambar:
upload5max5filesi4e 3 ('
Por ago como:
upload5max5filesi4e 3 +'
Adconamente postQmaxQsi8e defne e tamao mxmo para una pubcacn. S se quere subr
ob|etos grandes, debe defnrse con un vaor geramente mayor que uploadQmaxQfile. E vaor por
defecto es 8M y puede ser ms que sufcente, aunque 10 MB puede ser ago apropado.
post5max5si4e 3 10'
Ms detaes en http://www.squrrema.org/wk/en_US/AttachmentSze.
Respecto a as mgenes ncudas en os mensa|es, desde as preferencas para cada cuenta en
Squrrema se confguran as opcones para actvaras y poderas ver. S as mgenes no est;n
incluidas en e msmo mensa|e y se vncuan desde stos externos, por defecto no se cargan <0(
:0>IP0S SEGU(I"=". Cargar una magen externa puede servr a un spammer para confrmar que
250
aguen a ha edo su mensa|e desde una cuenta actva o ben puede hacer que e usuaro acceda
haca y e|ecute cdgo macoso. Consutar http://www.squrrema.org/wk/en_US/UnsafeImages
antes de ngresar e compemento que permte ver mgenes nseguras:
http://www.squrrema.org/pugn_vew.php?d=98.
251
35% =pFndice, Enviar correo a todos los usuarios
del sistema
stos.
35%+% <rocedimientos
1. Lo prmero ser generar un fchero en e sstema, e cua tendr como contendo una sta de
os usuaros de sstema a os que se quere envar un mensa|e. ste puede ocazarse en
cuaquer ugar de sstema, como por e|empo /etc/mail/allusers. Puede edtarse e fchero
/etc/mail/allusers y aadr ndvduamente cada usuaro que se desee conforme esa sta o
ben, s se quere aadr a todos os usuaros de sstema, e|ecutar o sguente:
awk '>: V2* @ ,MM 5 print 2( 6V /etc/passwd @ /etc/mail/allusers
2. A contnuacn, debe modfcarse e fchero /etc/aliases y aadr a fna de msmo:
allusers: :include:/etc/mail/allusers
1. A termnar so debe e|ecutarse e mandato newaliases o ben rencar e servco de Sendma
(e gun de nco se encarga de hacer todo o necesaro).
3. Para probar, bastar con envar un mensa|e de correo eectrnco a a cuenta allusers de
servdor.
35%2% =cerca de la se*uridad
Evte a toda costa utzar allusers o paabras muy obvas como aas de correo para envar a todas
as cuentas. Seguramente quenes se dedcan a envar correo masvo no soctado o correo chatarra
(-pam), tratarn de envar correo a este aas en e servdor. No es facte e traba|o a esas
personas y trate de utzar un aas ofuscado o en cave. E|empo: OjjPQsjeiOQH.
252
36% $onfi*uracin de :ailScanner 2 $lam=P con
Sendmail
stos.
36%+% Introduccin%
36%+%+% =cerca de :ailScanner%
:ailScanner, un robusto servco que se encarga de examnar e correo eectrnco e dentfcar y
etquetar correo masvo no soctado (Spam), as como tambn os fraudes eectrncos
(<'is'in*). Combnado con CamAV, un poderoso y verst ant-vrus bre para GNU/Lnux y otros
sabores de Unx, resutan una de as soucones ms robustas para a proteccn contra correo
masvo no soctado, fraudes eectrncos, vrus, gusanos y troyanos desde e servdor de correo
eectrnco.
:ailScanner tene as sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.
Revsa e correo eectrnco en busca de vrus utzando cuaquer combnacn
de entre ms de una docena de dstntos programas ant-vrus.
Automtcamente actuaza todo os ant-vrus nstaados cada hora.
Identfca arededor de 95% de correo masvo no soctado (Spam) utzando
dferentes tcncas, ncuyendo atamente avanzadas tcncas de heurstca
(capacdad de un sstema para reazar de forma nmedata nnovacones
postvas para sus fnes).
E correo dentfcado como pegroso puede ser etquetado, rechazado,
descartado, archvado o reenvado haca otras dreccones para su nspeccn
por os admnstradores.
Puede emnar e contendo grfco de correo masvo no soctado (Spam) de
tpo pornogrfco protegendo a os usuaros de contendo obsceno.
Verfca e coreo eectrnco en busca de conocdas vunerabdades para as
ms popuares apcacones de correo eectrnco y corrge automtcamente os
mensa|es durante e proceso cuando sea posbe ponendo en cuarentena as
seccones pegrosas de contendas en os mensa|es.
Es atamente escaabe. Un servdor puede procesar ms de mn y medo de
mensa|es de correo por da.
Es robusto. Se protege a s msmo contra ataques de Denegacn de Servco
("oS) y fuga de recursos de sstema operatvo.
Es atamente confgurabe, proporcona a os Proveedores de Servcos de
Internet (IS< o Internet Servce <rovder y Proveedores de Servcos de
253
Apcacones (=S< o =ppcaton Servce <rovder) a posbdad de utzar mes
de dferentes regas y confguracones para cuaquer combnacn de usuaros y
domnos.
Es fc de nstaar y confgurar puesto que sus opcones predefndas permten
traba|ar a servco de correo sn compcacones.
URL: http://www.mascanner.nfo/.
36%+%2% =cerca de $lam=P%
$lam=P tene as sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.
Cumpe con as especfcacones de fama de estndares <0SIE (<ortabe
0peratng System Interface for UNIE o nterfaz portabe de sstema operatvo
para Unx).
Exporacn rpda.
Detecta ms de 44 m vrus, gusanos y troyanos, ncuyendo vrus para MS
Offce.
Capacdad para examnar contendo de fcheros ZIP, RAR, Tar, Gzp, Bzp2, MS
OLE2, MS Cabnet, MS CHM y MS SZDD.
Soporte para exporar fcheros comprmdos con UPX, FSG y Pette.
Avanzada herramenta de actuazacn con soporte para frmas dgtaes y
consutas basadas sobre DNS.
URL: http://www.camav.net/
36%+%3% =cerca de Spam=ssassin%
Spam=ssassin es un sustento gco que utza un sstema de puntuacn, basado sobre
agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser correo
masvo no soctado, aadendo cabeceras a os mensa|es de modo que pueda ser ftrados por e
cente de correo eectrnco o MUA (:a User =gent).
URL: http://spamassassn.apache.org/
36%2%+% Sustento l*ico necesario%
mascanner >= 4.50 camav >= 0.88 spamAssassn >= 3.0.4
per-Convert-BnHex per-MaToos per-MIME-toos
per-IO-strngy per-TmeDate per-Net-CIDR
per-Compress-Zb per-Convert-ASN1 per-Archve-Zp
tnef
S dspone de un sstema con Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux
4, puede utzar e sguente depsto yum:
>mailscanner-lpt?
254
name3'ailcanner ;inux Cara "odos para $n!erprise %inu# &
baseurl3http://111!linuxparatodos!net/lpt/1hitebox/+!0/mailscanner/
gpgke23http://111!linuxparatodos!net/lpt/;C"-RC'-Q:\
Una vez confgurado o anteror, soo bastar utzar:
2um -2 install mailscanner clamav
Lo anteror nstaar mascanner y camav |unto con todas as dependencas que seas necesaras.
Tambn podr nstaar MaScanner descargando a ms recente versn desde
http://www.mascanner.nfo/ en donde encontrar un paquete *.tar.gz en cuyo nteror hay paquetes
SRPM que podr compar e nstaar en e orden ndcado sguendo as nstruccones de fchero
README. De gua modo podr proceder con camav desde http://camav.net/
36%2%2% $onfi*uracin de :ailScanner%
Utce e edtor de texto de su predeccn y dsponga a modfcar
/etc/:ailScanner/:ailScanner%conf con a fnadad de confgurar os sguente parmetros:
36%2%2%+% Len*ua-e de los mensa-es de sistema%
Puede confgurar MaScanner para que devueva os mensa|es de sstema en espao. Locace o
sguente:
&report-dir& 3 /etc/'ailcanner/reports/en
Cambe por:
&report-dir& 3 /etc/'ailcanner/reports/es
36%2%2%2% Identificacin de la or*ani8acin%
Soo es de carcter nformatvo y srve para dentfcar s un mensa|e nfectado pertenece a un
servdor u otro. Locace o sguente:
&org-name& 3 2oursite
Cambe por:
&org-name& 3 empres)
E parmetro Uor*)lon*)nameU es utzado para defnr que mostrar en a frma ocazada a fna
de os reportes envados por MaScanner. Puede ncur cuanto texto sea necesaro, e ncuso defnr
varas neas utzando secuencas \n.
&org-long-name& 3 $mpres) Em),in)ri) /.8. *e ?.Q.
E parmetro UMeb)siteU se utza para defnr e URL de a empresa, msmo que tambn se
ncuye en a frma a fna de os reportes que enva MaScannmer. Se recomenda se utce una
255
URL haca un documento que expque e porque se han rechazado/ftrado mensa|es o ben
nformacn de contacto.
&1eb-site& 3 !!p3//www.empres)'im),in)ri).+om.m#/in2o'+orreo.!ml
36%2%2%3% =d-untos en formato de texto enriGuecido%
Agunas versones de Mcrosoft Outook generan ad|untos en formato de Texto Enrquecdo ((ch
>ext 7ormat) que no pueden ser examnados. E vaor predefndo es no ya que de otro modo habra
un ato resgo de permtr a entrada de vrus a travs de este tpo de mensa|es. Sn embargo
muchos usuaros de Outook pueden protestar a respecto por carecer una enfoque apropado
acerca de a segurdad. Reamente vae a pena e resgo? S os usuaros estn de acuerdo en que
recbr un mensa|e con coores y etras bontos es ms mportante que a segurdad, puede
cambarse e vaor a 2es.
%eliver $nparsable "7:X 3 no
Adconamente puede, aunque no se recomenda, cambar e vaor de den2 por alloMen a nea de
confguracn correspondente para ad|untos con extensn W%dat en e fchero
/etc/:ailScanner/filename%rules%conf. En este fchero se defne o que se quera denegar s os
mensa|es ncuyen certos tpos de fcheros ad|untos Gue se consideran de alto ries*o. E formato
de este fchero consste en defnr una rega (que puede ser alloM, den2 o den2Vdelete), una
expresn reguar a ftrar, texto a ncur en a btcora de sstema y e texto a utzar en e reporte
para e usuaro, todo separado por tabuadores y en una soa nea por cada rega.
den# winmail[.dat2 Sindows securit# vulnerabilit# No 9utlook @ich Bext Format
messa"es due to securit# hole) use 8<:D instead
Lo anteror rechaza os mensa|es que ncuyan ad|untos *.dat, es decr mensa|es de Outook en
Formato de Texto Enrquecdo (Outook (ch >ext 7ormat), devovendo un mensa|e de error en
ngs que dra: J#o Iutloo0 Ric! 'e(t %ormat messa%es due to security !ole, use 7*M. instead=.
Se puede poner e mensa|e a espao:
den# winmail[.dat2 Sindows securit# vulnerabilit# No aceptamos mensajes en >ormato
de <exto ;nriLuecido de 9utlook) por favor utilice 8<:D.
Lo anteror rechaza os mensa|es que ncuyan ad|untos *.dat, es decr mensa|es de Outook en
Formato de Texto Enrquecdo (Outook (ch >ext 7ormat), devovendo un mensa|e de error en
ngs que dra: J#o aceptamos mensajes en 6ormato de *e(to Enriquecido de Iutloo0, por favor
utilice 7*M..=.
36%2%2%4% "efinir anti)virus a utili8ar%
MaScanner puede detectar automtcamente os ant-vrus a utzar de|ando e vaor auto en e
parmetro Pirus Scanners, de modo que detectar cuaquera de os sguentes:
Sophos. Mcafee. Command.
Btdefender. DRweb. Kaspersky.
eTrust. Inocuate. Inocuan.
Nod32. F-Secure. F-Prot.
Panda. Rav. Antvr.
CamAV. Trend. Norman.
Css. AVG. Vexra.
256
Para agzar e nco de MaScanner se pueden defnr os ant-vrus necesaros. $lam=P es e ant-
vrus recomendado por tratarse de un sustento gco bre.
Locace o sguente en e fchero /etc/:ailScanner/:ailScanner%conf:
Pirus canners 3 none
Cambe por:
Pirus canners 3 +l)m)v
Puede utzar ms de un ant-vrus s as o consdera convenente. Soo necestar nstaar as
versones apropadas para e sstema operatvo que utce y aadros en MaScanner como sta
horzonta separada por espacos. E|empo:
Pirus canners 3 +l)m)v m+)2ee sopos !ren*
36%2%2%5% @<oner en cuarentena los mensa-es infectados o noB
S decde no poner en cuarentena os eementos ad|untos nfectados en os mensa|es de correo
eectrnco y prefere eliminar estos ad-untos inmediatamente despus de ser procesados,
ocace o sguente:
buarantine <nfections 3 2es
Cambe por:
buarantine <nfections 3 no
36%2%2%6% <ermitir mensa-es con etiGueta I(rameX %orm 2 &cript%
Las etquetas iframe se utzan para cargar una pgna empotrada dentro de un marco.
Lamentabemente esto representa un resgo muy ato e nnecesaro debdo a que un mensa|e de
correo eectrnco podra no contener matera dano, pero ta vez e a pgna que cargue e marco
que s o contenga. Actuamente se consdera e envar correo eectrnco utzando etquetas
iframe como poco tco por todos os resgos que coneva.
Las opcones permtdas son:
2es: Permte a etqueta en e mensa|e.
no: emna os mensa|es que contengan a etqueta.
disarm: Permte as etquetas pero mpde que stas funconen.
E vaor predetermnado es disarm.
6llo1 <Xrame "ags 3 disarm
Lo msmo apca para as etquetas form, que pueden permtr a recoeccn de datos desde e
mensa|e de correo eectrnco con ayuda de a ngenudad de usuaro, o ben a e|ecucn de cdgo
pegroso a travs de guones escrtos en avaScript a travs de a etqueta script.
257
6llo1 Xorm "ags 3 disarm
6llo1 cript "ags 3 disarm
36%2%3% $ontrol de Spam%
De modo predefndo est actvo e soporte de exporacn de correo en bsqueda de correo masvo
no soctado (Spam).
pam Ahecks 3 2es
Ouenes se dedcan a envo de correo masvo no soctado han aprenddo que pueden hacer que su
mensa|e pase os ftros envando un mensa|e con muchos destnataros, uno de os cuaes podra
tener confgurado tener todo en sta banca en as opcones de SpamAssassn en e drectoro de
nco de usuaro. De este modo, s un mensa|e ega con ms de un nmero determnado de
destnataros (20 de modo predefndo), ste se ser tratado como cuaquer otro mensa|e sn an s
e destnataro ha decddo poner todo en sta banca o s e remtente est en a sta banca en e
fchero /etc/:ailScanner/rules/spam%M'itelist%rules.
<gnore pam Khitelist <f Recipients :xceed 3 (0
36%2%3%+% = travFs de "NS!L o listas ne*ras%
MaScanner permte tambn reazar ftrado de correo contra stas negras como Spam$op y
Spam'aus. Si 2a utili8a los "NS!L o listas ne*ras desde SendmailX no active esta
funcionalidad en :ailScanner para no duplicar las consultas 'acia los "NS!L.
Modfque e fchero /etc/:ailScanner/spam%lists%conf y defna o confrme as stas negras a
utzar
8R%9-R9; rela2s!ordb!org!
L
L spamhaus!org sbl!spamhaus!org!
L spamhaus-X9; xbl!spamhaus!org!
L combinaci@n de las dos anteriores:
9;[X9; sbl-xbl!spamhaus!org!
L
spamcop!net bl!spamcop!net!
7U69; dnsbl!nEabl!org!
8R9 dnsbl!sorbs!net!
Locace en e fchero /etc/:ailScanner/:ailScanner%conf o sguente:
pam ;ist 3 8R%9-R9; 9;[X9; L '6C-R9;[ costs mone2 (except !ac!uk)
Cambe por:
pam ;ist 3 8R%9-R9; 9;[X9; spamcop!net 7U69; 8R9
36%2%3%2% = travFs de Spam=ssassin%
MaScanner puede echar mano de SpamAssassn para una ms efcente deteccn de correo
masvo no soctado. Puede actvarse o desactvarse esta funconadad a travs de parmetro Use
258
Spam=ssassin asgnando 2es o no.
$se pam6ssassin 3 2es
SpamAssassn utza un sstema de cafcacn para etquetar o no como correo masvo no
soctado. Se asgna un vaor numrco a partr de 1 (vaor recomendado es 6), con o sn decmaes,
para e parmetro (eGuired Spam=ssassin Score. Cada vez que se dentfca en un mensa|e
contene aguna caracterstca que pudera casfcaro como correo masvo no soctado, se asgnan
fraccones de punto que se van sumando. Cuando un mensa|e rebasa e vaor asgnado para
(eGuired Spam=ssassin Score ste es etquetado de nmedato como correo masvo no
soctado.
ReOuired pam6ssassin core 3 6
Puede especfcarse tambn a travs de parmetro Hi*' Spam=ssassin Score que os mensa|es
que rebasen a puntuacn estabecdo como vaor de este se emnen drectamente en ugar de
soo etquetaros como correo masvo no soctado. E vaor prefndo (y recomendado) es 10.
Bigh pam6ssassin core 3 10
E parmetro Spam =ctions defne que potca a apcar para e correo eectrnco que se casfca
como Spam, cafcado a partr de vaor defndo en (eGuired Spam=ssassin Score, pero nferor
a vaor defndo a Hi*' Spam=ssassin Score. E parmetro Hi*' Scorin* Spam =ctions se
utza para defnr a potca a apcar para e correo eectrnco que se casfca como Spam,
cafcado a partr de vaor defndo en Hi*' Spam=ssassin Score. Pueden utzarse
combnacones de os sguentes vaores:
deliver Entrega de mensa|e de modo norma.
delete Emnar e Mensa|e.
bounce Enva un masa|e de rechazo a remtente. Este
vaor soo puede utzarse con e parmetro
Spam =ctions, no puede utzarse con e
parmetro Hi*' Scorin* Spam =ctions.
store Amacenar e mensa|e en e drectoro de
cuarentena.
forMard
usuarioOdominio%com
Reenvar copa de mensa|e a
usuaro@domno.com
strip'tml Converte e contendo HTML a texto smpe. Se
requere especfcar e vaor deliver para que
tenga efecto.
attac'ment Converte e mensa|e a ad|unto, de modo que e
usuaro tendr que reazar un paso adcona
para mrar e contendo.
notif2 Se enva una breve notfcacn a usuaro que e
ndca que no e fue entregado un mensa|e por
haber sdo casfcado como correo masvo no
soctado, permtendo soctar recuperar e
mensa|e s acaso ste fuese un mensa|e
esperado.
'eader /nombre, valor/ Aade a cabecera con cuaquer nombre (sn
259
espacos) con e vaor especfcado.
Suponendo se apcarn as sguentes potcas:
S e mensa|e es cafcado a menos e vaor defndo en (eGuired Spam=ssassin
Score, pero nferor a vaor defndo en Hi*' Spam=ssassin Score, se entre*ar;
a usuaro como mensa-e ad-unto y aadr a cabecera /E)Spam)Status, Zes/.
S e mensa|e es cafcado a menos con e vaor defndo en Hi*' Spam=ssassin
Score, se eliminar; automtcamente.
Los vaores para (eGuired Spam=ssassin Score y Hi*' Spam=ssassin Score coresponderan
de sguente modo:
pam 6ctions 3 deliver attachment header GX-pam-tatus: \esG
Bigh coring pam 6ctions 3 delete
36%2%3%3% Listas !lancas%
Pueden especfcarse stas bancas de dreccones o nombres de domno que no se desee etqueten
como correo masvo no soctado (Spam) en e fchero
/etc/:ailScanner/rules/spam%M'itelist%rules de sguente modo, donde 2es sgnfcar que e
correo provenente de dchas dreccones nunca se etquetar como correo masvo no soctado
(Spam):
L "his is 1here 2ou can build a pam Khite;ist
L 6ddresses matching in here= 1ith the value
L G2esG 1ill never be marked as spam!
LXrom: 1)(!/,! 2es
LXrom: 1.0!(+6! 2es
Xrom8r"o: default no
=rom3 200.G6.1H5.250 yes
=rom3 192.16H.0. yes
En e e|empo anteror, todo e correo provenente de 200.76.185.250 y cuaquer dreccn IP de a
red 192.168.0.0/24 quedar exento de etquetarse como correo masvo no soctado (Spam).
36%2%4% $onfi*uracin de servicios%
Necestar ncazar os servcos clamd y fres'clam. E segundo, partcuarmente, se encarga de
contactar os servdores que hospedan as bases de datos actuazadas con as ms recentes frmas
de os ms recentes vrus, gusanos, troyanos y otros tpos de sustento gco magno.
chkconfig clamd on
chkconfig freshclam on
service clamd start
service freshclam start
De ser necesaro puede actuazar manuamente y de manera nmedata a base de datos de frmas
e|ecutando smpemente freshcam desde cuaquer termna como root.
Se debe desactvar y detener e servco de sendma, e cua ser controado en adeante por e
servco MaScanner:
260
chkconfig sendmail off
chkconfig 'ailcanner on
service sendmail stop
service 'ailcanner start
36%3% $omprobaciones%
Utce cuaquer cente de correo eectrnco y enve ste como ad|unto haca una cuenta de correo
oca e fchero test2%8ip, ncudo en e drectoro de MaScanner de disco de extras de curso de
Lnux Para Todos. E procedmento deber entregar e mensa|e a destnataro con e ttuo aterado
ndcando que e mensa|e contena un vrus y en e nteror un texto que ndca que e ad|unto fue
removdo y emnado.
S quere hacer una prueba rpda, utce mutt para envar un mensa|e de prueba e|ecutando o
sguente, suponendo que hay un usuaro denomnado como fuano en e sstema:
echo 7=rueba Qnti'virus7 f mutt 'a test2.%ip 's 7=rueba Qnti'virus7 fulano
Lo anteror deber devover a destnataro e sguente mensa|e de correo eectrnco:
6sunto: Crueba 6nti-virus
%e: GXulanoG VfulanoTlocalhost!localdomain H
Xecha: 'ie= 1, de 6gosto de (00+= 10:.1 pm
Cara: GXulanoG VfulanoTlocalhost!localdomain H
6tenci@n: :ste mensaEe contenYa uno o mZs anexos
Oue han sido eliminados
6tenci@n: (test(!4ip= clamtest)!
6tenci@n: Cor favor= lea el(los) anexo(s) Gempresa-6ttachment-Karning!txtG
para mZs informaci@n!
Crueba 6nti-virus
E admnstrador de servdor de correo recbr en cambo o sguente:
6sunto: Pirus %etected
%e: G'ailcannerG VpostmasterTlocalhost!localdomainH
Xecha: 'ie= 1, de 6gosto de (00+= 10:.1 pm
Cara: postmasterTlocalhost!localdomain
"he follo1ing e-mails 1ere found to have:Pirus %etected
ender: rootTlocalhost!localdomain
<C 6ddress: 1(/!0!0!1
Recipient: fulanoTlocalhost!localdomain
ubEect: Crueba 6nti-virus
'essage<%: i/U.P"XX00++,/
<nforme: Alam6P: clamtest contains Alam6P-"est-ignature
<nforme: Alam6P: test(!4ip contains Alam6P-"est-ignature
Alam6P: clamtest contains Alam6P-"est-ignature --
'ailcanner
:mail Pirus canner
111!mailscanner!info
S todos os procedmentos de comprobacn por agn motvo no funconan, por favor verfque a
sntaxs en todas as neas modfcadas en e fchero /etc/:ailScanner/:ailScanner%conf, como
seguramente podr eer se ndca en a btcora ocazada en e fchero /var/lo*/maillo*.y que
261
tambn puede mostrar nformacn de utdad.
tail -f /var/log/maillog
S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es mportante que
MaScanner pueda reazar conexones haca e exteror haca os sguentes servcos:
S:><, puerto 25 a travs de TCP (entrada y sada).
"NS, puerto 53 a travs de TCP y UDP (sada).
(a8or23, puerto 2703 a travs de TCP y puerto 7 a travs de UDP (sada).
"$$, puerto 6277 a travs de UDP (sada).
<28or, puerto 24441 a travs de UDP (sada).
CamAV necesta adems poder reazar conexones haca H>>< (puerto 80) en e exteror para
sncronzar a base de datos de frmas.
Las regas para e fchero /etc/s'oreMall/rules de S'oreMall correspondera a ago smar a esto:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()
6AA:C" f1 net tcp ()=).=,0=(/0.
6AA:C" f1 net udp /=).=6(//=(+++1
6AA:C" net f1 tcp ()
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
262
37% $mo confi*urar 0penL"=< como servidor de
autenticacin
stos.
37%+% Introduccin%
L"=< (Lghtweght "rectory =ccess <rotoco) es un protocoo para consuta y modfcacn de
servcos de drectoro que se desempean sobre TCP/IP. L"=< utza e modeo X.500 para su
estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un con|unto
de atrbutos con nombre y que a su vez amacenan vaores.
URL: http://en.wkpeda.org/wk/LDAP
37%2% Sustento l*ico reGuerido%
opendap-2.2.13
opendap-cents-2.2.13
opendap-servers-2.2.
authconfg-4.6.10
authconfg-gtk-4.6.10 (opcona)
37%2%+% Instalacin a travFs de 2um%
#um '# install openldap openldap'clients openldap'servers authconfi" authconfi"'"tk
37%2%2% Instalacin a travFs de up2date%
up2date 'i openldap openldap'clients openldap'servers authconfi" authconfi"'"tk
Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar con
permsos de acceso excusvamente a usuaro y grupo dap.
mkdir /var/lib/ldap/autenticar
chmod /00 /var/lib/ldap/autenticar
cho1n ldap!ldap /var/lib/ldap/autenticar
263
Crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro. Basta
e|ecutar desde una termna:
slappass1d
Lo anteror debe dar como sada un crptograma como o mostrado a contnuacn:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
E texto de a sada ser utzado ms adeante en e fchero /etc/openldap/slapd%conf y se
defnr a usuaro Administrador para como e utzado para acceder con todos os prvegos a
drectoro.
Se edta e fchero /etc/openldap/slapd%conf y se verfca que os fcheros de esquema mnmos
requerdos estn presentes. De ta modo, debe quedar ago as:
L
L ee slapd!conf()) for details on configuration options!
L "his file should 78" be 1orld readable!
L
include /etc/openldap/schema/core!schema
include /etc/openldap/schema/cosine!schema
include /etc/openldap/schema/inetorgperson!schema
include /etc/openldap/schema/nis!schema
Independentemente de o que ya se tenga confgurado, y que no ser tocado, se aade a fna de
fchero /etc/openldap/slapd.conf o sguente con e fn de defnr e nuevo drectoro que en adeante se
utzar para autentcar a toda a red oca:
database bdb
suffix D*+7su're*'lo+)l5*+7+omD
rootdn D+n78*minis!r)*or5*+7su're*'lo+)l5*+7+omD
rootp1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
director2 /var/lib/ldap/autenticar
L <ndices to maintain for this database
index obEectAlass eO=pres
index ou=cn=mail=surname=givenname eO=pres=sub
index uid7umber=gid7umber=loginhell eO=pres
index uid=member$id eO=pres=sub
index nis'ap7ame=nis'ap:ntr2 eO=pres=sub
Ince e servco de L"=< y aada ste a resto de os servcos que arrancan |unto con e sstema:
service ldap start
chkconfig ldap on
Edte e fchero /usr/s'are/openldap/mi*ration/mi*rateQcommon%p' y modfque os os vaores
de as varabes d"E7=UL>Q:=ILQ"0:=IN y 2E;>QBD<_AQS; a fin de Lue Lueden del si"uiente modo:
L %efault %7 domain
F%:X6$;"5'6<;5%8'6<7 3 Gsu're*'lo+)l.+omGN
264
L %efault base
F%:X6$;"596: 3 G*+7su're*'lo+)l5*+7+omGN
A contnuacn hay que crear e ob|eto que a su vez contendr e resto de os datos en e drectoro.
Genere un fchero base.df de sguente modo:
/usr/share/openldap/mi"ration/mi"rate_base.pl @ base.ldif
Se utzar ldapadd para nsertar os datos necesaros. Las opcones utzadas con este mandato
son as sguentes:
-x autenticaci@n simple
-K solicitar clave de acceso
-% binddn 7ombre %istinguido (dn) a utili4ar
-h anfitri@n ervidor ;%6C a acceder
-f fichero fichero a utili4ar
Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro
utzando o sguente:
ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'red'local) dcIcomV 'h (20.M.M.( 'f base.ldif
Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Lo prmero ser
mportar os grupos y usuaros exstentes en e sstema. Reace a mportacn de usuaros
utzando os guones correspondentes de sguente modo:
/usr/share/openldap/mi"ration/mi"rate_"roup.pl /etc/"roup "roup.ldif
/usr/share/openldap/mi"ration/mi"rate_passwd.pl /etc/passwd passwd.ldif
Lo anteror crear os fcheros *roup%ldif y passMd%ldif, os cuaes ncurn a nformacn de os
grupos y cuentas en e sstema, ncuyendo as caves de acceso. Los datos se podrn nsertar en e
drectoro LDAP utzando o sguente:
ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'red'local) dcIcomV 'h (20.M.M.( 'f "roup.ldif
ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'red'local) dcIcomV 'h (20.M.M.( 'f passwd.ldif
37%4% $omprobaciones%
Antes de confgurar e sstema para utzar LDAP para autentcar, es convenente verfcar que todo
funcona correctamente.
E sguente mandato verfca que drectoros dsponbes exsten en e servdor 127.0.0.1.
ldapsearch 'h (20.M.M.( 'x 'b VV 's base V$objectclassI3&V namin"Gontexts
Lo anteror debe devover una sada smar a o sguente:
L extended ;%<X
L
265
L ;%6Cv.
L base VH 1ith scope base
L filter: (obEectclass3J)
L reOuesting: namingAontexts
L
L
dn:
namingAontexts: dc3su-red-local=dc3com
L search result
search: (
result: 0 uccess
L numResponses: (
L num:ntries: 1
E sguente mandato debe devover toda a nformacn de todo e drectoro soctado (dc=su-red-
oca,dc=com).
ldapsearch 'x 'b VdcIsu'red'local)dcIcomV V$objectclassI3&V
Otro e|empo es reazar una bsqueda especfca para un usuaro en partcuar. Suponendo que en
e sstema se tene un usuaro denomnado fulano, puede e|ecutarse o sguente:
ldapsearch 'x 'b VuidIfulano)ouI=eople)dcIsu'red'local)dcIcomV
Lo anteror debe regresar ago como o sguente:
L extended ;%<X
L
L ;%6Cv.
L base 1ith scope sub
L filter: (obEectclass3J)
L reOuesting: 6;;
L
L fulano= Ceople= linuxparatodos!net
dn: uid3fulano=ou3Ceople=dc3su-red-local=dc3com
uid: fulano
cn: fulano
obEectAlass: account
obEectAlass: posix6ccount
obEectAlass: top
obEectAlass: shado16ccount
userCass1ord:: xxxxxxxxxxxx
shado1;astAhange: 1()-+
shado1'ax: -----
shado1Karning: /
loginhell: /bin/bash
uid7umber: )0)
gid7umber: )0)
home%irector2: /home/fulano
266
L search result
search: (
result: 0 uccess
L numResponses: (
L num:ntries: 1
37%5% $onfi*uracin de clientes%
Defna os vaores para os parmetros 'ost y base a fn de estabecer haca que servdor y a que
drectoro conectarse. Para fnes prctcos, e vaor de parmetros base debe ser e msmo que se
especfc en e fchero /etc/openldap/slapd%conf para e parmetro suffix.
L \our ;%6C server! 'ust be resolvable 1ithout using ;%6C!
L 'ultiple hosts ma2 be specified= each separated b2 a
L space! Bo1 long nss5ldap takes to failover depends on
L 1hether 2our ;%6C client librar2 supports configurable
L net1ork or connect timeouts (see bind5timelimit)!
host 192.16H.0.1
L "he distinguished name of the search base!
base *+7su're*'lo+)l5*+7+om
Lo que sgue es utzar ya sea aut'confi* o aut'confi*)*tL para confgurar e sstema a fn de
que se utce e servdor LDAP para autentcar.
37%5%+% aut'confi* Nmodo textoC
Habte as casas Utili8ar L"=< y Utili8ar =utenticacin L"=< y puse a teca >ab hasta
Si*uiente y puse a teca Enter y verfque que os datos de servdor y e drectoro a utzar sean
os correctos.
uthconfg, pantaa prncpa.
267
authconfg, pantaa confguracn dap.
37%5%2% aut'confi*)*tL Nmodo *r;ficoC
S se utza authconfg-gtk se deben habtar as casas de Soporte LDAP. Antes de cerrar a
ventana en a pestaas de Informacn de usuaro y Autentcacn. Antes de dar cc en =ceptar,
haga cc en $onfi*urar L"=< y verfque que os datos de servdor y e drectoro a utzar sean
os correctos.
authconfg-gtk, pestaa de Informacn de usuaro.
268
authconfg-gtk, pestaa de Autentcacn.
authconfg-gtk, ventana Confgurar LDAP.
37%6% =dministracin%
Hay una gran cantdad de programas para acceder y admnstrar servdores LDAP, pero a mayora
soo srven para admnstrar usuaros y grupos de sstema como dradmn y e mduo de LDAP de
Webmn. La me|or herramenta de admnstracn de drectoros LDAP que podemos recomendar es
LDAP Browser/Edtor (requere |ava).
269
LDAP Browser/Edtor 2.8.1.
37%7% (espaldo de datos%
Debe detenerse e servco de LDAP antes de proceder con e respado de datos.
service ldap stop
A contnuacn, se utza a herramenta slapcat, utzando e fchero de confguracn
/etc/openldap/slapd%conf.
slapcat -v -f /etc/openldap/slapd!conf -l respaldo-F(date [&\&m&d)!ldif
Concudo e proceso de respado de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
37%9% (estauracin de datos%
E procedmento requere detener e servco.
service ldap stop
Debe emnarse os datos de drectoro a restaurar.
rm -f /var/lib/ldap/autenticar/J
A contnuacn, se utza a herramenta slapadd para cargar os datos desde un fchero *.df de
respado.
270
slapadd -v -c -l respaldo-(006100.!ldif -f /etc/openldap/slapd!conf
Se debe e|ecutar a herramenta slapindex, que se utza para regenerar os ndces LDAP.
slapindex
Concudo e proceso de restauracn de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
37%S% :odificaciones necesarias en el muro cortafue*os%
e puerto 389 por TCP (L"=<).
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp .,-
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
271
39% $mo confi*urar 0penL"=< como libreta de
direcciones%
stos.
39%+% Introduccin%
L"=< (Lghtweght "rectory =ccess <rotoco) es un protocoo para consuta y modfcacn de
servcos de drectoro que se desempean sobre TCP/IP. L"=< utza e modeo X.500 para su
estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un con|unto
de atrbutos con nombre y que a su vez amacenan vaores.
39%2% Sustento l*ico reGuerido%
opendap-2.2.13
opendap-cents-2.2.13
opendap-servers-2.2.13
evouton-data-server-1.x (o ben smpemente de fchero
evoutonperson.schema que ncuye dcho paquete)
#um '# install openldap openldap'clients openldap'servers evolution'data'server
39%2%2% Instalacin a travFs de up2date%
up2date 'i openldap openldap'clients openldap'servers evolution'data'server
Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar con
permsos de acceso excusvamente a usuaro y grupo ldap.
mkdir /var/lib/ldap/addressbook
chmod /00 /var/lib/ldap/addressbook
cho1n ldap!ldap /var/lib/ldap/addressbook
Crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro. Basta
272
e|ecutar desde una termna:
slappass1d
Lo anteror debe dar como sada un crptograma como o mostrado a contnuacn:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
E texto de a sada ser utzado ms adeante en e fchero /etc/openldap/slapd%conf y se
defnr a usuaro =dministrador para como e utzado para acceder con todos os prvegos a
drectoro.
Se copa e fchero de esquema de evouton-data-server dentro de drectoro
/etc/openldap/sc'ema/:
cp /usr/share/evolution-data-server-J/evolutionperson!schema D
/etc/openldap/schema/
Se edta e fchero /etc/openldap/slapd%conf y se agrega e esquema de datos ncudo con
evouton-data-server:
L
L ee slapd!conf()) for details on configuration options!
L "his file should 78" be 1orld readable!
L
include /etc/openldap/schema/core!schema
include /etc/openldap/schema/cosine!schema
include /etc/openldap/schema/inetorgperson!schema
include /etc/openldap/schema/nis!schema
in+lu*e /e!+/openl*)p/s+em)/evolu!ionperson.s+em)
Independentemente de o que ya se tenga confgurado, y que no ser tocado, se aade a fna de
fchero /etc/openldap/slapd%conf o sguente con e fn de defnr e nuevo drectoro que en
adeante se utzar como breta de dreccones:
database bdb
suffix Gdc3su-dominio=dc3comG
rootdn Gcn36dministrador=dc3su-dominio=dc3comG
rootp1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
director2 /var/lib/ldap/addressbook
L <ndices to maintain for this database
index obEectAlass eO=pres
index ou=cn=mail=surname=givenname eO=pres=sub
index uid7umber=gid7umber=loginhell eO=pres
index uid=member$id eO=pres=sub
index nis'ap7ame=nis'ap:ntr2 eO=pres=sub
Ince e servco de LDAP y aada ste a resto de os servcos que arrancan |unto con e sstema:
service ldap start
chkconfig ldap on
273
A contnuacn hay que crear e ob|eto que a su vez contendr e resto de os datos en e drectoro.
Genere un fchero addressbooL%ldif a cua agregar e sguente contendo:
dn: dc3su-dominio= dc3com
obEectclass: top
obEectclass: dc8bEect
obEectclass: organi4ation
o: 7ombre completo de su empresa
dc: su-dominio
dn: ou36ddressbook= dc3su-dominio= dc3com
ou: 6ddressbook
obEectAlass: top
obEectAlass: organi4ational$nit
Se utzar ldapadd para nsertar os datos necesaros. Las opcones utzadas con este mandato
son as sguentes:
-x autenticaci@n simple
-K solicitar clave de acceso
-% binddn 7ombre %istinguido (dn) a utili4ar
-h anfitri@n ervidor ;%6C a acceder
-f fichero fichero a utili4ar
Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro
utzando o sguente:
ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'dominio) dcIcomV 'h (20.M.M.( 'f addressbook.ldif
Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Genere e fchero su-
usuaro.df con os sguentes datos, donde reempazar os vaores por reaes. Elimine los campos
Gue Gueden vac.os o no le sean de utilidadX porGue de otra forma L"=< no le de-ar;
insertar Fstos. Es mportante destacar que deben estar ncudas as cases top, person,
or*ani8ational<erson, inet0r*<erson y evolution<erson, ya que de otro modo no ser posbe
utzar os campos de nformacn necesaros para que e drectoro funcone como breta de
dreccones.
dn: cn37ombre Aompleto= ou36ddressbook= dc3su-dominio= dc3com
obKe+!?l)ss3 !op
obKe+!?l)ss3 person
obKe+!?l)ss3 or,)ni6)!ion)l-erson
obKe+!?l)ss3 ine!.r,-erson
obKe+!?l)ss3 evolu!ion-erson
cn: 7ombre Aompleto
given7ame: 7ombre
sn: 6pellidos
displa27ame: 6podo
title: r!
mail: su-cuenta-de-correoTsu-dominio!com
initials: <!7!<!A!<!6!;!:!!
o: 7ombre Aompleto de su empresa!
ou: %epartamento o ecci@n a la Oue pertenece
businessRole: Cuesto Oue desempe#a en su empresa
homeCostal6ddress: %omicilio de su hogar!
274
postal6ddress: %omicilio de su empresa!
l: Aiudad
st: :stado
L A@digo postal
postalAode: 1(.+)
L "elefono empresa
telephone7umber: ))-))))-))))
L "el^fono principal
primar2Chone: ))-))))-))))
L "el^fono m@vil
mobile: ))-))))-))))
L "elefono hogar
homeChone: ))-))))-))))
L 8tro tel^fono
otherChone: ))-))))-))))
labeled$R<: http://111!linuxparatodos!net/
L u fecha de nacimiento
birth%ate: 1-/0-0(-(0
file6s: 6pellidos= 7ombre
categor2: AualOuier-categorYa-Oue-Oueira-crear
manager7ame: 7ombre de su Eefe= si lo tiene
assistant7ame: 7ombre de su asistente= si lo tiene!
L "elefono de su asistente= si lo tiene
assistantChone: ))-))))-))))
spouse7ame: 7ombre de su esposa(o)= si lo tiene!
L fecha en Oue celebra su aniversario de bodas= si aplica
anniversar2: (000-01-01
Los datos se podrn nsertar utzando o sguente:
ldapadd 'x 'S 'E VcnIQdministrador) dcIsu'dominio) dcIcomV 'h (20.M.M.( 'f su'usuario.ldif
39%4% $onfi*uracin de clientes%
Acceda haca e drectoro con cuaquer cente que tenga soporte para acceder haca drectoros
LDAP.
39%4%+% Novell Evolution%
Hacer cc en Archvo Nuevo Lbreta de dreccones.
275
Propedades de a breta de dreccones, pestaa Genera.
276
Propedades de a breta de dreccones, pestaa Detaes.
39%4%2% :o8illa >'underbird%
Hacer cc en Archvo Nuevo Drectoro LDAP
Propedades de servdor de drectoro, pestaa Genera.
277
Propedades de servdor de drectoro, pestaa Avanzado.
39%4%3% SGuirrelmail%
Hay que edtar e fchero /etc/sGuirrelmail/confi*%p'p y aadr/edtar:
Fldap5server>0? 3 arra2(
IhostI 3H I1(/!0!0!1I=
IbaseI 3H Iou36ddressbook=dc3su-dominio=dc3comI=
InameI H3 I6ddressbookI
)N
39%5% =dministracin%
Hay una gran cantdad de programas para acceder y admnstrar servdores LDAP, pero a mayora
soo srven para admnstrar usuaros y grupos de sstema. La me|or herramenta de admnstracn
de drectoros LDAP que podemos recomendar es LDAP Browser/Edtor (requere |ava).
278
LDAP Browser/Edtor 2.8.1.
39%6% (espaldo de datos%
Debe detenerse e servco de LDAP antes de proceder con e respado de datos.
service ldap stop
A contnuacn, se utza a herramenta slapcat, utzando e fchero de confguracn
/etc/openldap/slapd%conf.
slapcat -v -f /etc/openldap/slapd!conf -l respaldo-F(date [&\&m&d)!ldif
Concudo e proceso de respado de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
39%7% (estauracin de datos%
E procedmento requere detener e servco.
service ldap stop
Debe emnarse os datos de drectoro a restaurar.
rm -f /var/lib/ldap/addressbook/J
A contnuacn, se utza a herramenta slapadd para cargar os datos desde un fchero *.df de
respado.
279
slapadd -v -c -l respaldo-(006100.!ldif -f /etc/openldap/slapd!conf
Se debe e|ecutar a herramenta slapindex, que se utza para regenerar os ndces LDAP.
slapindex
Concudo e proceso de restauracn de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
e puerto 389 por TCP (L"=<).
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp .,-
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
280
3S% $mo confi*urar 0penL"=< con soporte
SSL/>LS%
stos.
3S%+% Introduccin%
Este documento requere a ectura y comprensn preva de cuaquera de os sguentes temas:
Cmo confgurar OpenLDAP como breta de dreccones.
Cmo confgurar OpenLDAP como servdor de autentcacn.
3S%+%+% =cerca de L"=< en modo SSL/>LS%
E nco de a operacn StartTLS en un servdor LDAP, estabece a comuncacn >LS (>ransport
Layer Securty, o Segurdad para Nve de Transporte) a travs de msmo puerto 389 por TCP.
Provee confdencadad en e transporte de datos e proteccn de a ntegrdad de datos. Durante a
negocacn, e servdor enva su certfcado con estructura X.509 para verfcar su dentdad.
Opconamente puede estabecerse a comuncacn. La conexn a travs de puerto 389 y 636
dfere en o sguente:
1. A reazar a conexn por puerto 636, tanto e cente como e servdor estabecen TLS antes
de que se transfera cuaquer otro dato, sn utzar a operacn Stat>LS.
2. La conexn a travs de puerto 636 debe cerrarse a termnar TLS.
3S%+%2% =cerca de (S=%
3S%+%3% =cerca de E%50S%
281
3S%+%4% =cerca de 0penSSL%
3S%2% <rocedimientos%
3S%2%+% Generando clave 2 certificado%
cd /etc/openldap/cacerts
La creacn de a ave y certfcado para 0penL"=< requere utzar una cave con agortmo (S=
de 1024 octetos y estructura x50S. En e e|empo a contnuacn, se estabece una vadez por 730
das (dos aos) para e certfcado creado.
openssl reO -x)0- -nodes -ne1ke2 rsa:10(+ D
-da2s /.0 -out sl)p*.+r! -ke2out sl)p*.1ey
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
*enerating a 10(+ bit R6 private ke2
!!!!!!!!!!!!!!!![[[[[[
![[[[[[
1riting ne1 private ke2 to Idovecot!ke2I
-----
or a %7!
282
-----
;i empres)5 /.8. *e ?.Q.
mi*ominio.or,
E certfcado soo ser vdo cuando e servdor L"=< sea nvocado con e nombre defndo en e
campo $ommon Name. Es decr, soo podr utzaro cuando se defna midominio%or* como
servdor L"=< con soporte SSL/>LS. No funconar s se nvoca a servdor como, por menconar un
e|empo, directorio%midominio%or*.
ectura para e usuaro ldap:
cho1n ldap!ldap /etc/openldap/cacerts/slapd!J
chmod +00 /etc/openldap/cacerts/slapd!J
3S%2%2% <ar;metros de /etc/openldap/slapd%conf%
Se deben descomentar os parmetros >LS$=$ertificate7ile, >LS$ertificate7ile y
>LS$ertificateKe27ile estabecendo as rutas haca e certfcado y cave. Opconamente se puede
descomentar a drectva referral para ndcar e U(I (Unform (esource Identfer o Identfcador
Unforme de Recursos) de servco de drectoro superor como ldaps en ugar de ldap.
";A6AertificateXile /etc/openldap/cacerts/sl)p*.+r!
";AertificateXile /etc/openldap/cacerts/sl)p*.+r!
";AertificateQe2Xile /etc/openldap/cacerts/sl)p*.1ey
referral l*)ps3//midominio!org
A fn de que surtan efecto os cambos, es necesaro rencar e servco ldap.
service ldap restart
3S%2%3% $omprobacin%
Confgure cuaquer cente LDAP para utzar SSL en e puerto 636. Tras aceptar e certfcado, en e
caso de que ste no haya sdo frmado por un (= ((egstraton =uthorty o Autordad de Regstro),
servdor LDAP deber permtr competar a conexn y reazar cuaquer tpo de consuta y/o
manpuacn de regstros.
3S%2%4% $onfi*uracin de GN0:E Evolution%
Se debe estabecer e msmo nombre de servdor utzado para crear e certfcado, y conexn por
SSL.
283
Confguracn LDAP, GNOME Evouton.
3S%2%5% $onfi*uracin de :o8illa >'underbird%
SSL.
Confguracn LDAP, Moza Thunderbrd.
284
3S%2%6% $onfi*uracin L"=< !roMser%
SSL.
Confguracn LDAP Browser.
3S%2%7% $onfi*uracin L"=< =dministration >ool%
SSL.
285
Confguracn LDAP Admnstraton Too.
3S%3% :odificaciones necesarias en el muro cortafue*os%
S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, adems de puerto
389 por TCP, es necesaro abrr e puerto 636 por TCP (L"=<S).
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp .,-=6.6
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
286
40% $onfi*uracin b;sica de =pac'e
stos.
40%+% Introduccin%
40%+%+% =cerca del protocolo H>><%
HTTP (Hypertext >ransfer <rotoco, o Protocoo de Trasferenca de Hpertext), es e mtodo utzado
para transferr o transportar nformacn en a Red Munda (WWW, Yord Yde Yeb). Su propsto
orgna fue e proveer una forma depubcar y recupertar documentos HTML.
E desarroo de protocoo fue coordnado por Word Wde Web Consortum y a IE>7 (Internet
Engneerng >ask 7orce, o Fuerza de Traba|o en Ingenera de Internet), cumnando con a
pubcacn de varso RFC ((equest 7or $omments), de entre os que destaca e RFC 2616, msmo
que defne a versn 1.1 de protocoo, que es e utzado hoy en da.
H>>< es un protocoo de soctud y respuesta a travs de >$<, entre agentes de usuaro
(Navegadores, motores de ndce y otras herramentas) y servdores, reguarmente utzando e
puerto 80. Entre a comuncacn entre stos puede ntervenr como servdores Intermedaros
(Proxes), puertas de enace y tnees.
URL: http://toos.etf.org/htm/rfc2616
40%+%2% =cerca de =pac'e%
Apache es un servdor HTTP, de cdgo aberto y cencamento bre, que funcona en Lnux,
sstemas operatvos dervados de Unx, Wndows, Nove Netware y otras pataformas. Ha
desempeado un pape muy mportante en e crecmento de a red munda, y contnua sendo e
servdor HTTP ms utzado, sendo adems e servdor de facto contra e cua se reazan as
pruebas comparatvas y de desempeo para otros productos competdores. Apache es desarroado
y mantendo por una comundad de desarroadores auspcada por Apache Software Foundaton.
URL: http://www.apache.org/
S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, soo basta utzar o sguente:
#um '# install httpd
287
S se desea que Apache ncuya soporte para <H</:2SAL, <erl, <2t'on y SSL/>LS, soo bastar
e|ecutar:
#um '# install php php'm#sLl mod_perl mod_p#thon mod_ssl
40%2%2% Instalacin a travFs de Up2date
S se utza de Red Hat Enterprse Lnux 4, soo basta utzar o sguente:
up2date 'i httpd
S se desea que Apache ncuya soporte para PHP/MySOL, Per, Python y SSL, soo bastar utzar:
up2date 'i php php'm#sLl mod_perl mod_p#thon mod_ssl
40%3% Iniciar servicio 2 a#adir el servicio al arranGue del sistema%
Apache es un servco que por fortuna soo es necesaro nstaar e ncar. No requere modfcacones
adconaes para su funconamento bsco. Para aadr e servco a os servcos que ncan |unto
con e sstema, soo basta e|ecuta:
chkconfig httpd on
Para ncar e servco por prmera vez, soo basta utzar:
service httpd start
Para rencar e servco, consderando que se nterrumprn todas as conexones estabecdas en
ese momento, soo basta utzar:
service httpd restart
S e servco ya est traba|ando, tambn puede utzar reload a fn de que Apache vueva a eer y
cargar a confguracn sn nterrumpr e servco, y, por ende, as conexones estabecdas.
service httpd reload
Para detener e servco, soo basta utzar:
service httpd stop
40%4%+% SELinux 2 =pac'e%
S utza aguna dstrbucn con nceo 2.6 basada sobre Red Hat Enterprse Lnux 4.0, como
seran CentOS 4.0 o Whte Box Enterprse Lnux 4.0 en adeante, stas ncuyen SELnux que aade
segurdad adcona a Apache, sn embargo agunas opcones mpedrn utzar certas funcones en
Apache, como drectoros vrtuaes. E|ecute s2stem)confi*)securit2level desde e modo grfco y
288
actve a casa que dce J/isable -E.inu( Drotection for !ttpd daemon= y haga cc en e botn de
JAceptar=. S no tene paneado utzar drectoros vrtuaes, puede de|ar desactvada a casa y
aprovechar toda a segurdad adcona que brnda SELnux.
system-confg-securtyeve.
40%4%2% U>7)9 2 codificacin de documentos%
UTF-8
UTF-8 es un mtodo de codfcacn de ASCII para Uncode (ISO-10646), e
Con|unto de Caracteres Unversa o UCS. ste codfca a mayora de os
sstemas de escrtura de mundo en un soo con|unto de caracteres,
permtendo a mezca de engua|es y guones en un msmo documento sn a
necesdad de a|ustes para reazar os cambos de con|untos de caracteres.
Cuaquer sto de red que haga uso de bases de datos y documentos HTML suee toparse con
probemas cuando se trata de dar con e tpo de codfcacn (UTF-8, ISO-8859-1, etc.), puesto que
en agunos casos, por ctar un e|empo, os caracteres atnos se muestran ncorrectamente por e
cambo de codfcacn.
Debdo a su convenenca actuamente se est adoptando UTF-8 como codfcacn para todo, sn
embargo an hay mucho matera codfcado en, por e|empo, ISO-8859-1.
Lo correcto es codfcar os documentos codfcados en ISO8859-1 y otras tabas de caracteres haca
en UTF-8, utzando mtodos como e sguente:
cd /var/111/html/
289
for f in J!html
do
vi -c G:1Oc [[enc3utf,G Ff
done
S desea contnuar viviendo en el pasado y no aceptar e nuevo estndar, tambn puede
desactvar a funcn en Apache que estabece UTF-8 como codfcacn predefnda. Edte e fchero
/etc/'ttpd/conf/'ttpd%conf y ocace o sguente:
QddEefaultGharset B<>'H
Cambe o anteror por esto otro:
QddEefaultGharset 9ff
40%4%3% 7ic'eros de confi*uracin%
Cuaquer a|uste que se requera reazar, ya sea para confgurar Stos de Red vrtuaes u otra
funconadad adcona, se puede reazar sn tocar e fchero prncpa de confguracn, utzando
cuaquer fchero con extensn W%conf dentro de drectoro /etc/'ttpd/conf%d/%
40%4%4% "irectorios virtuales%
S, por e|empo, se qusera aadr e aas para un drectoro ocazado en /var/ftp/pub/ y e cua
queremos vsuazar como e drectoro /pub/ en Apache, soo bastara crear un fchero que
denomnaremos arbtraramente como e fchero denomnado /etc/'ttpd/conf%d/aliases%conf con
e sguente contendo:
6lias /pub /var/ftp/pub
S trata de acceder haca este nuevo drectoro vrtua con e navegador, notar que no est
permtdo e acceso. Para poder acceder deber haber un documento ndce en e nteror
(ndex.htm, ndex.php, etc) o ben que dcho drectoro sea confgurado para mostrar e contendo
de sguente modo:
6lias /pub /var/ftp/pub
V%irector2 G/var/ftp/pubGH
8ptions <ndexes <ncludes Xollo12m;inks
6llo18verride all
V/%irector2H
E parmetro Indexes ndca que se deber mostrar e contendo de drectoro. E parmetro
7olloMS2mLinLs posbta poder coocar enaces smbcos dentro de drectoro os cuaes se
segurn. E parmetro Includes especfca que se permte a utzacn de os SSI (Server Sde
Incudes) que posbtan utzar funcones como autentcacn. E parmetro =lloM0verrride all
posbta utzar fcheros %'taccess.
Rence o recargue Apache y acceda haca !ttp233<BQ.:.:.<3pub3 con cuaquer navegador de red y
vsuace e resutado.
290
40%4%5% (edireccin de directorios%
Cuando sea necesaro, es posbe confgurar un drectoro en partcuar para Apache redr|a de
modo transparente ste y su contendo haca cuaquer otra dreccn.
Fedirect *M( /webmail http://mail.su'dominio.net/
En e e|empo anteror, se ndca que s se trata de acceder haca e subdrectoro /Mebmail en e
servdor, Apache deber redrgr haca !ttp233mail.su8dominio.net3. E nmero 301 corresponde a
mensa|e de protocoo HTTP para ndcar que a redreccn es permanente. S por e|empo hubese
un ob|eto en /webma, como por e|empo /Mebmail/estadisticas/estadisticas%p'p, Apache
reazar e re-drecconamento transparente haca !ttp233mail.su8
dominio.net3estadisticas3estadisticas.p!p.
40%4%6% >ipos de :I:E%
S por e|empo se qusera aadr agn tpo de extensn y tpo MIME, como por e|empo Ogg, se
podra generar un fchero que denomnaremos arbtraramente como e fchero
/etc/'ttpd/conf%d/extensiones%conf con e sguente contendo:
Qdd<#pe application/o"" .o""
QddEescription 79"" Jorbis Qudio7 .o""
QddCcon /icons/sound2.pn" .o""
40%4%7% Soporte para $GI con extensin W%c*i
S se qusera aadr que se reconocera a extensn W%c*i como un gun $GI ($ommon Gateway
Interface), soo bastar aadr un fchero que denomnaremos, arbtraramente,
/etc/'ttpd/conf%d/c*i%conf con e sguente contendo:
6ddBandler cgi-script !cgi
40%4%7%+% <robando la confi*uracin%
Utce e edtor de texto de su preferenca para crear e fchero /var/MMM/c*i)bin/tiempo%c*i. Este
deber evar o sguente como contendo:
YZ/usr/bin/perl
print 7content't#pe: text/html[n[n7`
print scalar localtime`
print 7[n7`
Deberemos de cambar e permso de archvo anteror con a sguente nea de mandato:
chmod /)) /var/111/cgi-bin/tiempo!cgi
Utce e navegador de red que prefera y apunte ste haca !ttp233<BQ.:.:.<3c%i8bin3tiempo.c%i. S e
navegador nos da una sada smar a a sguente, se habr confgurado extosamente Apache
para e|ecutar guones CGI:
"ue Uul 0) ((:10:+1 (00)
291
40%4%7%2% <roblemas posteriores
Antes escrbre a autor de este documento, de recurrr a as stas de soporte o grupos y foros de
dscusn soctando ayuda para hacer traba|ar un gun CGI en partcuar, ea cudadosamente a
documentacn que acompaa a este y verfque que se han estabecdo apropadamente os
permsos de ectura, escrtura y e|ecucn, que se han reazado as modfcacones necesaras en os
parmetros para e uso de gun en su servdor y que e gun CGI no contenga errores. Recurra a
autor de gun CGI o bnaro s necesta ayuda.
40%4%7%3% Error m;s com1n n1mero +%
>orbidden
Rou donVt have permission to access /al"un/directorio/"uion.c"i on this server
Sgnfca que e archvo no cuenta con os permsos apropados de ectura, escrtura y e|ecucn. La
mayora guones CGI que encontrar en Internet necestarn a menos permso 755 para poder ser
utzados.
40%4%7%4% Error m;s com1n n1mero 2%
Cnternal Server ;rror
<he server encountered an internal error or misconfi"uration and was unable to complete #our
reLuest.
Sgnfca que hay probemas con e gun CGI en s y no con Apache. En a mayora de os casos se
trata de fcheros que fueron eaborados desde un edtor de texto en Wndows, cuyo retorno de
carro es dstnto a de os sstemas operatvos basados sobre UNIX, por o cua se deber utzar e
mandato dos2unix sobre dchos fcheros. En otros casos, ago menos frecuente, se requerr que e
admnstrador revse nea por nea para ocazar un posbe error o parmetro ncorrecto. Cuando
apque, verfque que a prmera nea de gun que apunta haca donde se encuentra e mandato
perl sea correcta. Verfque tambn s e drectoro que abergue e gun CGI requere agn
permso en partcuar, como sera 777 en e caso de agunos guones CGI.
40%4%9% (obo de im;*enes%
Suee ocurrr que os admnstradores de agunos stos encuentran fc utzar mgenes, y otros
tpos de contendo, vncuando desde sus documentos haca os ob|etos en e servdor. Esto
consume ancho de banda adcona y es una prctca poco tca. En e sguente e|empo,
consderando que se tene un drectoro /var/MMM/'tml/ima*enes, y se desea proteger ste para
que soo se permta utzar su contendo s es referdo desde e msmo servdor, se utzara o
sguente:
L e permite al propio servidor
et:nv<f Referer G`http://111!midominio!org/G local5referal
L se permite aceder directamente a la imagen o bien si
L no se especifica en el navegador la informaci@n de referente!
et:nv<f Referer G`FG local5referal
V%irector2 G/var/111/html/imagenes/GH
8rder %en2=6llo1
%en2 from all
6llo1 from env3local5referal
V/%irector2H
La confguracn anteror puede aadrse en cuaquer fchero *.conf dentro de drectoro
292
/etc/'ttpd/conf%d/.
e puerto 80 por TCP (H>><).
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp ,0
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
293
40%6% =pFndice, $onfi*uracin de Sitios de (ed virtuales en
=pac'e
Puede generarse cuaquer fchero con extensn G.conf dentro de drectoro 3etc3!ttpd3conf.d3 de
Apache 2.0.x. Puede ncurse contendo como e sguente:
L %efinici@n del itio de Red principal
7amePirtualBost 1-(!16,!1!()+
VPirtualBost 1-(!16,!1!()+H
erver6dmin 1ebmasterTdominio!com
%ocumentRoot /var/111/html/
/erver@)me www.*ominio.+om
V/PirtualBostH
L Keb virtual con definici@n de directorio para A*<
%ocumentRoot /var/111/lpt/html
/erver@)me www.)l,un'*ominio.+om
/erver8li)s )l,un'*ominio.+om
/erver8*min webm)s!erL)l,un'*ominio.+om
:rror;og /var/111/algun-dominio/logs/error5log
Austom;og /var/111/algun-dominio/logs/access5log combined
cript6lias /cgi-bin/ G/var/111/algun-dominio/cgi-bin/G
V%irector2 G/var/111/algun-dominio/cgi-binGH
6llo18verride 7one
8ptions 7one
8rder allo1=den2
6llo1 from all
V/%irector2H
6ddBandler cgi-script !cgi
V/PirtualBostH
L 'Zs itios de Red virtuales
erver6dmin webm)s!erL*ominio.+om
%ocumentRoot /usr/share/sOuirrelmail/
erver7ame 1ebmail!dominio!com
:rror;og logs/1ebmail!dominio!com-error5log
Austom;og logs/1ebmail!dominio!com-access5log combined
V/PirtualBostH
erver6dmin webm)s!erLbe!).*ominio.+om
%ocumentRoot /var/111/beta/
/erver@)me be!).*ominio.+om
:rror;og /var/111/beta/logs/beta!dominio!com-error5log
Austom;og /var/111/beta/logs/beta!dominio!com-access5log combined
V/PirtualBostH
erver6dmin webm)s!erL*ominio.+om
%ocumentRoot /usr/share/sOuirrelmail/
/erver@)me m)il.*ominio.+om
:rror;og logs/mail!dominio!com-error5log
294
Austom;og logs/mail!dominio!com-access5log combined
V/PirtualBostH
erver6dmin webm)s!erL*ominio.ne!
%ocumentRoot /var/111/net/
/erver@)me www.*ominio.ne!
:rror;og /var/111/net/logs/111!dominio!net-error5log
Austom;og /var/111/net/logs/111!dominio!net-access5log combined
V/PirtualBostH
295
40%7% =pFndice, $mo 'abilitar los %'taccess 2 SSI en =pac'eD
2%0%x
stos.
40%7%+% Introduccin
Apache 2.0.x vene ms seguro, ya que su confguracn predetermnada vene de ta modo que
deshabta muchas cosas que podrn consderarse de certo resgo. Parte de esa segurdad ncuye
desactvar os SSI (-erver -ide Ancludes y e uso de os fcheros %'taccess para modfcar o
adconar funcones a drectoros.
Bscamente soo se necesta aadr as sguentes neas a cuaquer defncn de drectoro que se
desee utzar:
8ptions <ndexes Xollo12m;inks En+lu*es
6llo18verride 6ll
Lo anteror se compementa utzando un fchero .htaccess defnendo a autentcacn para dcho
drectoro contra un fchero que ncuye caves de acceso.
6uth7ame Golo usuarios autori4adosG
6uth"2pe 9asic
reOuire valid-user
6uth$serXile /cualOuier/ruta/hacia/fichero/de/claves
40%7%2% E-emplo
Se proceder a crear un drectoro que ser vsto con cuaquer navegador como
http://127.0.0.1/prvado/. Genere e fchero /etc/'ttpd/conf%d/e-emplo)autenticar%conf con e
sguente contendo:
6lias /privado /v)r/www/priv)*o
V%irector2 G/v)r/www/priv)*oGH
8ptions <ndexes Xollo12m;inks En+lu*es
6llo18verride 6ll
8rder allo1=den2
6llo1 from all
V/%irector2H
Genere el directorio /var/www/prvado/ e|ecutando o sguente:
mkdir -p /var/111/privado
296
Genere el fic'ero /var/www/prvado/.htaccess e|ecutando o sguente:
touch /var/111/privado/!hta++ess
Edite e fchero /var/www/prvado/.htaccess y aada e sguente contendo:
6uth7ame Golo usuarios autori4adosG
6uth"2pe 9asic
reOuire valid-user
6uth$serXile /var/111/claves
Genere el fic'ero de caves de acceso /var/www/caves utili8ando el si*uiente procedimiento:
touch /var/111/claves
Con e fn de estabecer a segurdad necesara, cambe os atrbutos de ectura y escrtura soo para
e usuaro apache:
chmod 600 /var/111/claves
cho1n apache:apache /var/111/claves
Aada uno o dos usuaros vrtuaes a fchero de caves utili8ando el si*uiente procedimiento:
htpass1d /var/111/claves fulano
htpass1d /var/111/claves mengano
Para comprobacones, consderando que confgur /var/MMM/privado/ como e drectoro
subordnado vrtua /privado/ descrto en e e|empo de este captuo, reinicialice apac'e:
Acceda con cuaquer navegador de red haca 'ttp,//+27%0%0%+/privado/ y compruebe que
funcona e acceso con autentcacn en dcho drectoro subordnado utzando cuaquera de os
dos usuaros vrtuaes que gener con htpasswd, es decr fuano o mengano.
elinks !!p3//12G.0.0.1/priv)*o/

297
4+% $mo confi*urar =pac'e con soporte
SSL/>LS%
Autor: $oel Barrios /ue,a
stos.
4+%+% Introduccin%
4+%+%+% =cerca de H>><S%
H>><S es a versn segura de protocoo H>><, nventada en 1996 por Netscape Communcatons
Corporaton. No es un protocoo separado de H>><. Se trata de una combnacn de este tmo con
un mecansmo de transporte SSL o >LS, garantzando una proteccn razonabe durante a
comuncacn cente-servdor. Es ampamente utzado en a red munda (YYY o Yord Yde
Yeb) para comuncacones como transaccones bancaras y pago de benes y servcos.
E servco utza e puerto 443 por TCP para reazar as comuncacones (a comuncacn norma
para HTTP utza e 80 por TCP). E esquema U(I (Unform (esource Identfer o Identfcador
Unforme de Recursos) es, comparando sntaxs, dntco a de H>>< (http:), utzndose como
I'ttps,J segudo de subcon|unto denomnado U(L (Unform (esource Locator o Locazador
Unforme de Recursos). E|empo: !ttps233444.dominio.or%3
URL: http://es.wkpeda.org/wk/HTTPS y http://wp.netscape.com/eng/ss3/draft302.txt
4+%+%2% =cerca de (S=%
4+%+%3% =cerca de >riple "ES%
>riple "ES, o >"ES, es un agortmo que reaza un trpe cfrado DES, desarroado por IBM en
1978. Su orgen tuvo como fnadad e agrandar a ongtud de una cave sn necesdad de cambar
e agortmo de cfrado, o cua o hace ms seguro que e agortmo "ES, obgando a un atacante e
tener que trpcar e nmero de operacones para poder hacer dao. A pesar de que actuamente
est sendo reempazado por e agortmo =ES (=dvanced Encrypton Standard, tambn conocdo
como (i-ndael), sgue sendo estndar para as tar|etas de crdto y operacones de comerco
eectrnco.
URL: http://es.wkpeda.org/wk/Trpe_DES
298
4+%+%4% =cerca de E%50S%
4+%+%5% =cerca de 0penSSL%
4+%+%6% =cerca de modQssl%
:odQssl es un mduo para e servdor HTTP Apache, e cua provee soporte para SSL versones 2 y
3 y TLS versn 1. Es una contrbucn de Raf S. Engescha, dervado de traba|o de Ben Laure.
URL: http://www.apache-ss.org/ y http://httpd.apache.org/docs/2.2/mod/mod_ss.htm
4+%2% (eGuisitos%
Es necesaro dsponer de una dreccn IP pbca para cada sto de red vrtua que se quera
confgurar con soporte SSL/>LS. Debdo a a naturaeza de os protocoos SSL y >LS, no es posbe
utzar mtpes stos de red vrtuaes con soporte SSL/>LS utzando una msma dreccn IP. Cada
certfcado utzado requerr una dreccn IP ndependente en e sto de red vrtua.
E paquete mod_ss nstaa e fchero /etc/'ttpd/conf%d/ssl%conf, msmo que no es necesaro
modfcar, puesto que se utzarn fcheros de ncusn, con extensn *.conf, dentro de drectoro
/etc/'ttpd/conf%d/, a fn de respetar a confguracn predetermnada y podre contar con a msma,
que es funcona, brndando un punto de retorno en e caso de que ago saera ma.
4+%3% Sustento l*ico necesario%
4+%3%+% Instalacin a travFs de 2um%
S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, se e|ecuta o sguente:
2um -2 install mod5ssl
4+%3%2% Instalacin a travFs de Up2date
S se utza de Red Hat Enterprse Lnux 4, se e|ecuta o sguente:
299
up(date -i mod5ssl
4+%4% <rocedimientos%
Acceda a sstema como e usuaro root.
Se debe crear e drectoro donde se amacenarn os certfcados para todos os stos SSL. E
drectoro, por motivos de se*uridad, debe ser soamente accesbe para e usuaro root.
mkdir -m 0/00 /etc/ssl
A fn de mantener certa organzacn, y un drectoro dedcado para cada sto vrtua SSL, es
convenente crear un drectoro especfco para amacenar os certfcados de cada sto vrtua SSL.
Iguamente, por motivos de se*uridad, debe ser soamente accesbe para e usuaro root.
mkdir -m 0/00 /etc/ssl/mi*ominio.or,
Acceder a drectoro que se acaba de crear.
cd /etc/ssl/mi*ominio.or,
4+%4%+% Generando clave 2 certificado%
Se debe crear una cave con agortmo (S= de 1024 octetos y estructura x50S, a cua se cfra
utzado >riple "ES ("ata Encrypton Standard), amacenado en formato <E: de modo que sea
nterpretabe como texto ASCII. En e proceso descrto a contnuacn, se utzan 5 fcheros
comprmdos con *8ip, que se utzan como semas aeatoras que me|oran a segurdad de a
cave creada (server.key).
openssl genrsa -des. -rand D
fichero1!g4:fichero(!g4:fichero.!g4:fichero+!g4:fichero)!g4 D
'ou! server.1ey 10(+
S se utza este fchero (server.key) para a confguracn de sto vrtua, se requerr de
nteraccn de admnstrador cada vez que se tenga que ncar, o rencar, e servco httpd,
ngresando a cave de acceso de a cave (S=. Este es e procedmento ms seguro, sn embargo,
debdo a que resutara poco prctco tener que ngresar una cave de acceso cada vez que se nce
e servco httpd, resuta convenente generar una cave sn >riple "ES, a cua permta ncar
normamente, sn nteraccn aguna, a servco httpd. A fn de que no se sacrfque demasada
segurdad, es un requsto ndspensabe que esta cave (fchero server.pem) soo sea accesbe para
root. sta es a razn por a cua se crea e drectoro /etc/ssl/midominio%or* con permso de
acceso soo para root.
openssl rsa -in server!ke2 'ou! server.pem
Opconamente se genera un fchero de petcn $S( ($ertfcate Sgnng (equest) que se hace
egar a una (= ((egstraton =uthorty o Autordad de Regstro), como Perisi*n, quenes, tras e
correspondente pago, envan de vueta un certfcado (server.crt) frmado por dcha autordad.
openssl reO -ne1 -ke2 server!ke2 'ou! server.+sr
300
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
Opconamente se puede aadr otra cave de acceso y nuevamente e nombre
de a empresa.
Khat 2ou are about to enter is 1hat is called a %istinguished 7ame or
a %7!
-----
;i empres)5 /.8. *e ?.Q.
8rgani4ational $nit 7ame (eg= section) >?:%ireccion Aomercial
www.mi*ominio.or,
Clease enter the follo1ing IextraI attributes
to be sent 1ith 2our certificate reOuest
6 challenge pass1ord >?:
6n optional compan2 name >?:
S no se desea un certfcado frmado por un (=, puede generarse uno certfcado propo utzando
e fchero de petcn $S( (server.csr). En e e|empo a contnuacn, se crea un certfcado con
estructura X.509 en e que se estabece una vadez por 730 das (dos aos).
openssl x)0- -reO -da2s /.0 -in server!csr D
-signke2 server!ke2 'ou! server.+r!
Con a fnadad de que soo e usuaro root pueda acceder a os fcheros creados, se deben cambar
os permsos de stos a soo ectura para root.
chmod +00 /etc/ssl/mi*ominio.or,/server!J
301
4+%4%2% $onfi*uracin de =pac'e%
Crear a estructura de drectoros para e sto de red vrtua.
mkdir -p /var/111/mi*ominio.or,/
De todos drectoros creados, soo /var/MMM/midominio%or*/'tml,
/var/MMM/midominio%or*/etc, /var/MMM/midominio%or*/c*i)bin y
/var/MMM/midominio%or*/var pueden pertenecer a usuaro, sn prvegos, que admnstrar ste
sto de red vrtua. Por motvos de segurdad, y a fn de evtar que e servco HTTPD no sea
trastornado en caso de un borrado accdenta de agn drectoro, tanto /var/MMM/midominio%or*/
como /var/MMM/midominio%or*/lo*s, deben pertenecer a usuaro root.
Crear e fchero /etc/'ttpd/conf%d/midominio%conf con e sguente contendo, donde a%b%c%d
corresponde a una dreccn IP, y midominio%or* corresponde a nombre de domno a confgurar
para e sto de red vrtua:
LLL mi*ominio.or, LLL
7amePirtualBost ).b.+.*:,0
VPirtualBost ).b.+.*:++.H
erver6dmin 1ebmasterTmi*ominio.or,
%ocumentRoot /var/111/mi*ominio.or,/html
erver7ame 111!mi*ominio.or,
erver6lias mi*ominio.or,
Redirect .01 / https://111!mi*ominio.or,/
Austom;og /var/111/mi*ominio.or,/logs/access5log combined
:rrorlog /var/111/mi*ominio.or,/logs/error5log
V/PirtualBostH
7amePirtualBost ).b.+.*:++.
VPirtualBost ).b.+.*:++.H
erver6dmin 1ebmasterTmi*ominio.or,
%ocumentRoot /var/111/mi*ominio.or,/html
erver7ame 111!mi*ominio.or,
cript6lias /cgi-bin/ /var/111/mi*ominio.or,/cgi-bin/
;:ngine on
;Aertificatefichero /etc/ssl/mi*ominio.or,/server.+r!
;AertificateQe2fichero /etc/ssl/mi*ominio.or,/server.pem
et:nv<f $ser-6gent G!J'<:!JG nokeepalive ssl-unclean-shutdo1n
Austom;og /var/111/mi*ominio.or,/logs/ssl5reOuest5log D
G&t &h &x &x DG&rDG &bG
Austom;og /var/111/mi*ominio.or,/logs/ssl5access5log combined
:rrorlog /var/111/mi*ominio.or,/logs/ssl5error5log
V/PirtualBostH
A fn de que surtan efecto os cambos, es necesaro rencar e servco 'ttpd.
4+%4%3% $omprobacin%
Soo basta drgr cuaquer navegador HTTP haca 'ttps,//MMM%midominio%or*/ a fn de verfcar
que todo est traba|ando correctamente. Tras aceptar e certfcado, en e caso de que ste no haya
sdo frmado por un (=, deber poderse observar un sgno en a barra de estado de navegador, e
302
cua ndca que se trata de una conexn segura.
4+%4%4% :odificaciones necesarias en el muro cortafue*os%
S se utza un cortafuegos con potcas estrctas, como por e|empo S'oreMall, es necesaro abrr,
adems de puerto 80 por TCP (H>><), e puerto 443 por TCP (H>><S).
sguente:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA:
L C8R" C8R"()1
6AA:C" net f1 tcp ,0=++.
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
303
42% $mo confi*urar un servidor de nombres de
dominio N"NSC
Autor: $oel Barrios /ue,a
stos.
42%+% Introduccin%
42%+%+% !ind N!erLele2 Internet Name "omainC
!IN" (acrnmo de !erkeey Internet Name "oman) es una mpementacn de protocoo DNS y
provee una mpementacn bre de os prncpaes componentes de Sstema de Nombres de
Domno, os cuaes ncuyen:
Un servdor de sstema de nombres de domno (named).
Una bboteca resoutora de sstema de nombres de domno.
Herramentas para verfcar a operacn adecuada de servdor DNS (bnd-uts).
E Servdor DNS BIND es ampamente utzado en a Internet (99% de os servdores DNS)
proporconando una robusta y estabe soucn.
42%+%2% "NS N"omain Name S2stemC
"NS (acrnmo de "oman Name System) es una base de datos dstrbuda y |errquca que
amacena a nformacn necesara para os nombre de domno. Sus usos prncpaes son a
asgnacn de nombres de domno a dreccones IP y a ocazacn de os servdores de correo
eectrnco correspondentes para cada domno. E "NS nac de a necesdad de factar a os
seres humanos e acceso haca os servdores dsponbes a travs de Internet permtendo hacero
por un nombre, ago ms fc de recordar que una dreccn I<.
Los Servidores "NS utzan >$< y U"< en e puerto 53 para responder as consutas. Cas todas
as consutas conssten de una soa soctud U"< desde un $liente "NS seguda por una soa
respuesta U"< de servdor. >$< ntervene cuando e tamao de os datos de a respuesta exceden
os 512 bytes, ta como ocurre con tareas como transferencia de 8onas.
42%+%3% NI$ NNetMorL Information $enterC
NI$ (acrnmo de Network Informaton $enter o Centro de Informacn sobre a Red) es una
nsttucn encargada de asgnar os nombres de domno en Internet, ya sean nombres de domno
genrcos o por pases, permtendo personas o empresas montar stos de Internet medante a
travs de un IS< medante un DNS. Tcncamente exste un NI$ por cada pas en e mundo y cada
uno de stos es responsabe por todos os domnos con a termnacn correspondente a su pas.
Por e|empo: NIC Mxco es a entdad encargada de gestonar todos os domnos con termnacn
304
%mx, a cua es a termnacn correspondente asgnada a os domnos de Mxco.
42%+%4% 7A"N N7ull2 Aualified "omain NameC
7A"N (acrnmo de 7uy Auafed "oman Name o Nombre de Domno Penamente Cafcado) es
un Nombre de Domno ambguo que especfca a poscn absouta de nodo en e rbo |errquco
de DNS. Se dstngue de un nombre reguar porque eva un punto a fna.
Como e|empo: suponendo que se tene un dspostvo cuyo nombre de anftrn es maquna1 y
un domno domno.com, e 7A"N sera maGuina+%dominio%com%, de modo defne de modo
nco a dspostvo mentras que puderan exstr muchos anftrones amados maquna1, soo
puede haber uno amado maGuina+%dominio%com%. La ausenca de punto a fna defnra que
se pudera tratar tan soo de un pref|o, es decr maGuina+%dominio%com pudera ser de un
domno ms argo como maGuina+%dominio%com%mx.
La ongtud mxma de un 7A"N es de 255 bytes, con una restrccn adcona de 63 bytes para
cada etqueta dentro de nombre de domno. Soo se permten os caracteres A-Z de ASCII, dgtos y
e carcter -. No se dstnguen mayscuas y mnscuas.
Desde 2004, a soctud de varos pases de Europa, exste e estndar I"N (acrnmo de
Internatonazed "oman Name) que permte caracteres no-ASCII, codfcando caracteres Unicode
dentro de cadenas de bytes dentro de con|unto norma de caracteres de 7A"N. Como resutado, os
mtes de ongtud de os nombres de domno I"N dependen drectamente de contendo msmo de
nombre.
42%+%5% $omponentes de un "NS
Los DNS operan a travs de tres componentes: Centes DNS, Servdores DNS y Zonas de Autordad.
42%+%5%+% $lientes "NS
Son programas que e|ecuta un usuaro y que generan petcones de consuta para resover nombres.
Bscamente preguntan por a dreccn IP que corresponde a un nombre determnado.
42%+%5%2% Servidores "NS
Son servcos que contestan as consutas reazadas por os $lientes "NS. Hay dos tpos de
servdores de nombres:
e Servidor :aestro
No primarioC
Obtene os datos de domno a partr de un fchero
hospedado en e msmo servdor.
e Servidor Esclavo
No secundarioC
A ncar obtene os datos de domno a travs de un
servdor un Servdor Maestro, reazando un proceso
denomnado transferencia de 8ona.
Un gran nmero de probemas de operacn de servdores DNS se atrbuyen a as pobres opcones
de servdores secundaros pata as zona de DNS. De acuerdo a (7$ 2+92, e DNS requere que al
menos tres servidores existan para todos os domnos deegados (o zonas).
Una de as prncpaes razones para tener al menos tres servidores para cada zona es permtr
que a nformacn de a zona msma est dsponbe sempre y forma confabe haca os $lientes
"NS a travs de Internet cuando un servdor DNS de dcha zona fae, no est dsponbe y/o est
nacanzabe.
305
Contar con mtpes servdores tambn factan a propa*acin de a zona y me|oran a efcenca
de sstema en genera a brndar opcones a os $lientes "NS s acaso encontraran dfcutades
para reazar una consuta en un Servidor "NS. En otras paabras: tener mtpes servdores para
una zona permte contar con redundancia 2 respaldo del servicio.
Con mtpes servdores, por o genera uno acta como Servidor :aestro o <rimario y os
dems como Servidores Esclavos o Secundarios. Correctamente confgurados y una vez creados
os datos para una zona, no ser necesaro coparos a cada Servidor Esclavo o Secundario, pues
ste se encargar de transferr os datos de manera automtca cuando sea necesaro.
Los Servidores "NS responden dos tpos de consutas:
e $onsultas Iterativas
Nno recursivasC
E cente hace una consuta a Servidor "NS y este e
responde con a me|or respuesta que pueda darse
basada sobre su cach o en as zonas ocaes. S no es
posbe dar una respuesta, a consuta se reenva haca
otro Servdor DNS reptndose este proceso hasta
encontrar a Servidor "NS que tene a ]ona de
=utoridad capaz de resover a consuta.
e $onsultas (ecursivas E Servidor "NS asume toda a carga de proporconar
a una respuesta competa para a consuta reazada
por e $liente "NS. E Servidor "NS desarroa
entonces $onsultas Iterativas separadas haca otros
Servidores "NS (en ugar de hacero e $liente "NS)
para ograr a respuesta.
42%+%5%3% ]onas de =utoridad
Permten a Servidor :aestro o <rimario cargar a nformacn de una zona. Cada ]ona de
=utoridad abarca a menos un domno y posbemente sus sub-domnos, s estos tmos no son
deegados a otras zonas de autordad.
La nformacn de cada ]ona de =utoridad es amacenada de forma oca en un fchero en e
Servidor "NS. Este fchero puede ncur varos tpos de regstros:
>ipo de (e*istro "escripcin
= (=ddress)
Regstro de dreccn que resueve un nombre de un anftrn
haca una dreccn I<v4 de 32 bts.
====
Regstro de dreccn que resueve un nombre de un anftrn
haca una dreccn I<v6 de 128 bts.
$N=:E ($anonca Name)
Regstro de nombre cannco que hace que un nombre sea aas
de otro. Los domnos con aas obtene os sub-domnos y
regstros DNS de domno orgna.
:E (:a Exchanger)
Regstro de servdor de correo que srve para defnr una sta de
servdores de correo para un domno, as como a prordad entre
stos.
<>( (<onter)
Regstro de apuntador que resueve dreccones I<v4 haca e
nombre anftrones. Es decr, hace o contraro a regstro =. Se
utza en zonas de (esolucin Inversa.
NS (Name Server)
Regstro de servdor de nombres que srve para defnr una sta
de servdores de nombres con autordad para un domno.
306
>ipo de (e*istro "escripcin
S0= (Start of =uthorty)
Regstro de nco de autordad que especfca e Servidor "NS
Maestro (o Prmaro) que proporconar a nformacn con
autordad acerca de un domno de Internet, dreccn de correo
eectrnco de admnstrador, nmero de sere de domno y
parmetros de tempo para a zona.
S(P (Servce)
Regstro de servcos que especfca nformacn acerca de
servcos dsponbes a travs de domno. Protocoos como SI<
(Sesson Intaton <rotoco) y E:<< (Extensbe :essagng and
<resence <rotoco) sueen requerr regstros S(P en a zona para
proporconar nformacn a os centes.
>E> (>ext)
Regstro de texto que permte a admnstrador nsertar texto
arbtraramente en un regstro DNS. Este tpo de regstro es muy
utzado por os servdores de stas negras "NS!L ("NS-based
!ackhoe Lst) para a ftracn de Spam. Otro e|empo de uso
son as VPN, donde suee requerrse un regstro >E> para defnr
una ave que ser utzada por os centes.
Las zonas que se pueden resover son:
]onas de (eenv.o
Devueven direcciones I< para as bsquedas hechas para nombres 7A"N (7uy Auafed
"oman Name).
En e caso de domnos pbcos, a responsabdad de que exsta una ]ona de =utoridad
para cada ]ona de (eenv.o corresponde a a autordad msma de domno, es decr, y por o
genera, quen est regstrado como autordad de domno tras consutar una base de datos
YH0IS. Ouenes compran domnos a travs de un NI$ (por e|empo e|empo: www.nc.mx)
son quenes se hacen cargo de as ]onas de (eenv.o, ya sea a travs de su propo Servidor
"NS o ben a travs de os Servidores "NS de su IS<.
Savo que se trate de un domno para uso en una red oca, todo domno debe ser prmero
tramtado con un NI$ como requsto para tener derecho ega a utzaro y poder propagaro a
travs de Internet.
]onas de (esolucin Inversa
Devueven nombres 7A"N (7uy Auafed "oman Name) para as bsquedas hechas para
direcciones I<.
En e caso de segmentos de red pbcos, a responsabdad de que exsta de que exsta una
]ona de =utoridad para cada ]ona de (esolucin Inversa corresponde a a autordad
msma de segmento, es decr, y por o genera, quen est regstrado como autordad de
segmento tras consutar una base de datos YH0IS.
Los grandes IS<, y en agunos casos agunas empresas, son quenes se hacen cargo de as
]onas de (esolucin Inversa.
307
42%+%6% Herramientas de b1sGueda 2 consulta
42%+%6%+% :andato 'ost
E mandato 'ost una herramenta smpe para hacer bsquedas en Servidores "NS. Es utzada
para convertr nombres en dreccones IP y vceversa.
De modo predefndo reaza as bsquedas en as Servidores "NS defndos en e fchero
/etc/resolv%conf, pudendo defnrse opconamente e Servidor "NS a consutar.
host 111!linuxparatodos!net
Lo anteror reaza una bsqueda en os Servidores "NS defndos en e fchero /etc/resolv%conf
de sstema, devovendo una dreccn IP como resutado.
host 111!linuxparatodos!net (00!..!1+6!(1/
Lo anteror reaza una bsqueda en os Servidor "NS en a dreccn IP 200.33.146.217,
devovendo una dreccn IP como resutado.
42%+%6%2% :andato di*
E mandato di* (doman informaton *roper) es una herramenta fexbe para reazar consutas en
Servidores "NS. Reaza bsquedas y muestra as respuestas que son regresadas por os
servdores que fueron consutados. Debdo a su fexbdad y cardad en a sada es que a mayora
de os admnstradores utzan di* para dagnostcar probemas de DNS.
De modo predefndo reaza as bsquedas en as Servidores "NS defndos en e fchero
/etc/resolv%conf, pudendo defnrse opconamente e Servidor "NS a consutar. La sntaxs bsca
sera:
dig Tservidor nombre "<C8
Donde servidor corresponde a nombre o dreccn IP de Servidor "NS a consutar, nombre
corresponde a nombre de regstro de recurso que se est buscando y >I<0 corresponde a tpo de
consuta requerdo (ANY, A, MX, SOA, NS, etc.)
E|empo:
dig T(00!..!1+6!(0- linuxparatodos!net ;O
Lo anteror reaza una bsqueda en e Servidor "NS en a dreccn IP 200.33.146.209 para os
regstros :E para e domno linu(paratodos.net.
dig linuxparatodos!net @/
Lo anteror reaza una bsqueda en os Servidores "NS defndos en e fchero /etc/resolv%conf
de sstema para os regstros NS para e domno linu(paratodos.net.
dig T(00!..!1+6!(1/ linuxparatodos!net 7
308
Lo anteror reaza una bsqueda en os Servidor "NS en a dreccn IP 200.33.146.217 para os
regstros NS para e domno linu(paratodos.net.
42%+%6%3% :andato -M'ois NM'oisC%
E mandato -M'ois es una herramenta de consuta a travs de servdores YH0IS. La sntaxs
bsca es:
E1hois dominio
E|empo:
E1hois linuxparatodos!net
Loa anteror regresa a nformacn correspondente a domno linu(paratodos.net.
42%2% Sustento l*ico necesario
<aGuete "escripcin
e bind Incuye e Servidor "NS (named) y herramentas para verfcar su
funconamento.
e bind)libs Bboteca compartda que consste en rutnas para apcacones para utzarse
cuando se nteracte con Servidores "NS.
e bind)c'root Contene un rbo de fcheros que puede ser utzado como una |aua c!root
para named aadendo segurdad adcona a servco.
e bind)utils Coeccn de herramentas para consutar Servidores "NS.
e cac'in*)
nameserver
Fcheros de confguracn que harn que e Servidor "NS acte como un
cach para e servdor de nombres.
42%2%+% Instalacin a travFs de 2um
S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, o versones posterores, se puede nstaar
utzando o sguente:
2um -2 install bind bind-chroot bind-utils caching-nameserver
42%2%2% Instalacin a travFs de Up2date
S se utza de Red Hat Enterprse Lnux 4, o versones posterores, se puede nstaar utzando o
sguente:
up(date -i bind bind-chroot bind-utils caching-nameserver
309
42%3%+% <reparativos
Ideamente se deben defnr prmero os sguente datos:
+% Domno a resover.
2% Servdor de nombres prncpa (SOA). fste debe ser un nombre Gue 2a estF
plenamente resueltoX y debe ser un 7A"N (7uy Auafed "oman Name).
3% Lsta de todos os servdores de nombres (NS) que se utzarn para efectos de
redundanca. fstos deben ser nombres Gue 2a estFn plenamente resueltos, y
deben ser adems 7A"N (7uy Auafed "oman Name).
4% Cuenta de correo de admnstrador responsabe de esta zona. "ic'a cuenta
debe existir 2 no debe pertenecer a la misma 8ona Gue se est; tratando de
resolver%
5% A menos un servdor de correo (MX), con un regstro =, nunca $N=:E.
6% IP predetermnada de domno.
7% Sub-domnos dentro de domno (www, ma, ftp, ns, etc.) y as dreccones IP
que estarn asocadas a estos.
Es mportante tener ben en caro que os puntos 2, 3 y 4 nvoucran datos que deben existir
previamente y estar penamente resuetos por otro servdor DNS; Lo anteror quere decr no
pueden utzar datos que sean parte o dependan de msmo domno que se pretende resover. De
gua modo, e servdor donde se mpementar e "NS deber contar con un nombre 7A"N y que
est preva y penamente resueto en otro DNS.
Como rega genera se generar una zona de reenvo por cada domno sobre e cua se tenga
autordad pena y absouta y se generar una zona de resoucn nversa por cada red sobre a cua
se tenga pena y absouta autordad. es decr, s se es propetaro de domno Jcualquiercosa.com=,
se deber generar e fchero de zona correspondente a fn de resover dcho domno. Por cada red
con dreccones IP prvadas sobre a cua se tenga contro y pena y absouta autordad, se deber
generar un fchero de zona de resoucn nversa a fn de resover nversamente as dreccones IP de
dcha zona. Reguarmente a resoucn nversa de as dreccones IP pbcas es responsabdad de
os proveedores de servco ya que son estos quenes tenen a autordad pena y absouta sobre
dchas dreccones IP.
Todos os fcheros de zona deben pertenecer a usuaro named a fn de que e servco named
pueda acceder a estos o ben modfcaros en e caso de tratarse de zonas escavas.
42%3%2% $reacin de los fic'eros de 8ona
Los sguentes corresponderan a os contendos para os fcheros de zona requerdos para a red
oca y por e NIC con e que se haya regstrado e domno. Note por favor que en as zonas de
reenvo sempre se especfca a menos un Ma Exchanger (:E) y que se utili8an tabuladores
Ntecla >=!C en lu*ar de espacio. Soo necestar susttur nombres y dreccones IP, y quz
aadr nuevos regstros para compementar su red oca.
42%3%2%+% ]ona de reenv.o red local /var/named/c'root/var/named/red)local%8one
F""; ,6+00
310
T <7 86 dns!red-local! Epere4!red-local! (
(0060.1601N n]mero de serie
(,,00 N tiempo de refresco
/(00 N tiempo entre reintentos de consulta
60+,00 N tiempo tras el cual expira la 4ona
,6+00 N tiempo total de vida
)
T <7 7 dns
T <7 'X 10 mail
T <7 6 1-(!16,!1!1
intranet <7 6 1-(!16,!1!1
maOuina( <7 6 1-(!16,!1!(
maOuina. <7 6 1-(!16,!1!.
maOuina+ <7 6 1-(!16,!1!+
111 <7 A76': intranet
mail <7 6 1-(!16,!1!1
ftp <7 A76': intranet
dns <7 A76': intranet
42%3%2%2% ]ona de resolucin inversa red local
/var/named/c'root/var/named/+%+69%+S2%in)addr%arpa%8one
F""; ,6+00
T <7 86 dns!red-local! Epere4!red-local! (
(0060.1601 N n]mero de serie
)
T <7 7 dns!red-local!
1 <7 C"R intranet!red-local!
( <7 C"R maOuina(!red-local!
. <7 C"R maOuina.!red-local!
+ <7 C"R maOuina+!red-local!
42%3%2%3% ]ona de reenv.o del dominio
/var/named/c'root/var/named/dominio%com%8one
Suponendo que hpottcamente se es a autordad para e domno Idominio%comJ, se puede
crear una ]ona de (eenvio con un contendo smar a sguente:
F""; ,6+00
T <7 86 29*n.*ominio'resuel!o.
cuenta!email!existente! (
(0060.1601N n]mero de serie
)
T <7 7 dns
T <7 'X 10 mail
T <7 6 1+,!(+.!)-!1
servidor <7 6 1+,!(+.!)-!1
311
111 <7 A76': servidor
mail <7 6 1+,!(+.!)-!1
ftp <7 A76': servidor
dns <7 A76': servidor
42%3%2%4% ]ona de resolucin inversa del dominio
/var/named/c'root/var/named/+%243%+49%in)addr%arpa%8one
Suponendo que hpottcamente se es a autordad para e segmento de red +49%234%+%0/24, se
puede crear una ]ona de (esolucin Inversa con un contendo smar a sguente:
F""; ,6+00
T <7 86 29*n.*ominio'resuel!o.
cuenta!email!existente! (
(0060.1601 N n]mero de serie
)
T <7 7 dns!dominio!com!
1 <7 C"R servidor!dominio!com!
( <7 C"R maOuina(!dominio!com!
. <7 C"R maOuina.!dominio!com!
+ <7 C"R maOuina+!dominio!com!
Cada vez que haga agn cambo en agn fchero de zona, deber cambar e nmero de sere
(serial) a fn de que tomen efecto os cambos de nmedato cuando se rence e servco named,
ya que de otro modo tendra que rencar e equpo, ago poco convenente.
42%3%2%5% $onfi*uracin de par;metros en el fic'ero /etc/named%conf
options R
director2 G/var/named/GN
dump-file G/var/named/data/cache5dump!dbGN
statistics-file G/var/named/data/named5stats!txtGN
allo1-recursion R
1(/!0!0!1N
1-(!16,!1!0/(+N
SN
2orw)r*ers T
200.33.1&6.209U
200.33.1&6.21GU
VU
2orw)r* 2irs!U
SN
4one G!G R
t2pe hintN
file Gnamed!caGN
SN
4one G0!0!1(/!in-addr!arpaG R
t2pe masterN
file G0!0!1(/!in-addr!arpa!4oneGN
allo1-update R noneN SN
312
SN
4one GlocalhostG R
t2pe masterN
file Glocalhost!4oneGN
SN
6one D*ominio.+omD T
!ype m)s!erU
2ile D*ominio.+om.6oneDU
)llow'up*)!e T noneU VU
SN
6one D1.2&3.1&H.in')**r.)rp)D T
!ype m)s!erU
2ile D1.2&3.1&H.in')**r.)rp).6oneDU
SN
6one Dre*'lo+)lD T
!ype m)s!erU
2ile Dre*'lo+)l.6oneDU
SN
6one D1.16H.192.in')**r.)rp)D T
!ype m)s!erU
2ile D1.16H.192.in')**r.)rp).6oneDU
SN
42%3%3% Se*uridad adicional en "NS para uso p1blico
Un ""oS ("strbuted "ena of Servce) es una ampacn de ataque "oS, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
masva, ampfcar e voumen de saturacn de nformacn (food), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca se
ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a tecnooga
dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar daos seros
a personas con escaso conocmento tcnco.
Un DNS confgurado para permtr consutas recursvas ndscrmnadamente puede permtr a
servdor sufrr o ben partcpar de un ""oS. Soucn a probema consste aadr en e fchero
/etc/named%conf, en a seccn de opcones (optons), e parmetro alloM)recursion defnendo a
red, as redes o ben os ACL que tendrn permtdo reazar todo tpo de consutas en e DNS, sean
ocaes o de otros domnos.
42%3%3%+% 7ic'ero /etc/named%conf
options R
)llow're+ursion T
12G.0.0.1U
192.16H.1.0/2&U
VU
for1arders R
313
(00!..!1+6!(0-N
(00!..!1+6!(1/N
SN
for1ard firstN
SN
4one G!G R
t2pe hintN
file Gnamed!caGN
SN
4one Gdominio!comG R
t2pe masterN
file Gdominio!com!4oneGN
SN
4one G1!(+.!1+,!in-addr!arpaG R
t2pe masterN
file G1!(+.!1+,!in-addr!arpa!4oneGN
SN
Lo anteror hace que soo 192.168.1.0/24 pueda reazar todo tpo de consutas en e DNS, ya sea
para un nombre de domno hospedado de forma oca y otros domnos resuetos en otros
servdores (ejemplos2 444.ya!oo.com, 444.%oo%le.com, 444.linu(paratodos.net, etc.). E resto de
mundo soo podr reazar consutas sobre as zonas dominio%com y +%243%+49%in)addr%arpa, que
estn hospedados de forma oca.
42%3%4% Se*uridad adicional en "NS para uso exclusivo en red local
S se va a tratar de un servdor de nombres de domno para uso excusvo en red oca, y se queren
evtar probemas de segurdad de dferente ndoe, puede utzarse e parmetro alloM)Guer2, e
cua servr para especfcar que soo certas dreccones podrn reazar consutas a servdor de
nombres de domno. Se pueden especfcar drectamente dreccones IP, redes competas o stas de
contro de acceso que debern defnrse antes de cuaquer otra cosa en e fchero
/etc/named%conf.
42%3%4%+% 7ic'ero /etc/named%conf
)+l Dre*lo+)lD T
12G.0.0.1U
192.16H.1.0/2&U
192.16H.2.0/2&U
192.16H.3.0/2&U
VU
options R
allo1-recursion R redlocalN SN
for1arders R
(00!..!1+6!(0-N
(00!..!1+6!(1/N
SN
for1ard firstN
)llow'9uery T
314
re*lo+)lU
192.16H.1.15U
192.16H.1.16U
VU
SN
4one Gred-localG R
t2pe masterN
file Gred-local!4oneGN
SN
4one G1!16,!1-(!in-addr!arpaG R
t2pe masterN
file G1!16,!1-(!in-addr!arpa!4oneGN
SN
42%3%5% Las 8onas esclavas
Las zonas escavas se referen a aqueas hospedadas en servdores de nombres de domno
secundaros y que hacen as funcones de redundar as zonas maestras en os servdores de
nombres de domno prmaros. E contendo de fchero de zona es e msmo que en servdor
prmaro. La dferenca est en a seccn de texto utzada en /etc/named%conf, donde as zonas se
defnen como escavas y defnen os servdores donde est hospedada a zona maestra.
42%3%5%+% 7ic'ero /etc/named%conf Servidor "NS secundario
!ype sl)veU
m)s!ers T 192.16H.1.25&U VU
SN
!ype sl)veU
m)s!ers T 192.16H.1.25&U VU
SN
4one Gred-localG R
!ype sl)veU
m)s!ers T 192.16H.1.25&U VU
SN
!ype sl)veU
m)s!ers T 192.16H.1.25&U VU
SN
Adconamente, s desea ncrementar segurdad y desea especfcar en el Servidor "NS primario
que servdores tendrn permtdo ser servdores de nombres de domno secundaro, es decr, hacer
transferencas, puede utzar e parmetro alloM)transfer de sguente modo:
42%3%5%2% 7ic'ero /etc/named%conf Servidor "NS primario
315
t2pe masterN
)llow'!r)ns2er T
200.33.1&6.21GU
200.33.1&6.209U
VU
SN
t2pe masterN
)llow'!r)ns2er T
200.33.1&6.21GU
200.33.1&6.209U
VU
SN
4one Gred-localG R
t2pe masterN
)llow'!r)ns2er T
192.16H.1.15U
192.16H.1.16U
VU
SN
t2pe masterN
)llow'!r)ns2er T
192.16H.1.15U
192.16H.1.16U
VU
SN
42%3%6% (einiciar servicio 2 depuracin de confi*uracin
A termnar de edtar todos os fcheros nvoucrados, soo bastar rencar e servdor de nombres
de domno.
service named restart
S queremos que e servdor de nombres de domno quede aaddo entre os servcos en e
arranque de sstema, deberemos e|ecutar o sguente a fn de habtar named |unto con e
arranque de sstema:
chkconfig named on
Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
tail -,0 /var/log/messages Wgrep named
Lo anteror, s est funconando correctamente, debera devover ago parecdo a o mostrado a
316
contnuacn:
Qu" (0 (0:(,:(, linux named*M-(H!: startin" ACNE W.2.2 'u named
Qu" (0 (0:(,:(, linux named*M-(H!: usin" ( G=B
Qu" (0 (0:(,:(, linux named: CniciaciPn de named succeeded
Qu" (0 (0:(,:(, linux named*M-22!: loadin" confi"uration from V/etc/named.confV
Qu" (0 (0:(,:(, linux named*M-22!: no C=v- interfaces found
Qu" (0 (0:(,:(, linux named*M-22!: listenin" on C=v+ interface lo) (20.M.M.(Y,*
Qu" (0 (0:(,:(, linux named*M-22!: listenin" on C=v+ interface ethM) (W2.(-H.(.(Y,*
Qu" (0 (0:(,:(, linux named*M-22!: command channel listenin" on (20.M.M.(YW,*
Qu" (0 (0:(,:(- linux named*M-22!: %one M.M.(20.in'addr.arpa/CN: loaded serial G
Qu" (0 (0:(,:(- linux named*M-22!: %one (.(-H.(W2.in'addr.arpa/CN: loaded serial 200J0G1J02
Qu" (0 (0:(,:(- linux named*M-22!: %one localhost/CN: loaded serial 1
Qu" (0 (0:(,:(- linux named*M-22!: %one mi'dominio.com.mx/CN: loaded serial 200J0G1J02
Qu" (0 (0:(,:(- linux named*M-22!: runnin"
Qu" (0 (0:(,:(- linux named*M-22!: %one (.(-H.(W2.in'addr.arpa/CN: sendin" notifies $serial
2MM-M*(-M2&
Qu" (0 (0:(,:(- linux named*M-22!: %one mi'dominio.com.mx/CN: sendin" notifies $serial
2MM-M*(-M2&
317
43% $mo confi*urar SGuid, <ar;metros b;sicos
para Servidor Intermediario N<rox2C
stos.
43%+% Introduccin
43%+%+% @AuF es Servidor Intermediario N<rox2CB
E trmno en nges I<rox2J tene un sgnfcado muy genera y a msmo tempo ambguo, aunque
nvarabemente se consdera un snnmo de concepto de IIntermediarioJ. Se suee traducr, en
e sentdo estrcto, como dele*ado o apoderado (e que tene e que poder sobre otro).
Un Servidor Intermediario (Proxy) se defne como una computadora o dspostvo que ofrece un
servco de red que consste en permtr a os centes reazar conexones de red ndrectas haca
otros servcos de red. Durante e proceso ocurre o sguente:
Cente se conecta haca un Servidor Intermediario (Proxy).
Cente socta una conexn, fchero u otro recurso dsponbe en un servdor
dstnto.
Servidor Intermediario (Proxy) proporcona e recurso ya sea conectndose
haca e servdor especfcado o srvendo ste desde un cach.
En agunos casos e Servidor Intermediario (Proxy) puede aterar a soctud
de cente o ben a respuesta de servdor para dversos propstos.
Los Servidores Intermediarios (Proxes) generamente se hacen traba|ar smutneamente como
muro cortafuegos operando en e Nivel de (ed, actuando como ftro de paquetes, como en e caso
de iptables, o ben operando en e Nivel de =plicacin, controando dversos servcos, como es e
caso de >$< Yrapper. Dependendo de contexto, e muro cortafuegos tambn se conoce como
!<" o !order <rotecton "evce o smpemente filtro de paGuetes.
Una apcacn comn de os Servidores Intermediarios (Proxes) es funconar como cach de
contendo de Red (prncpamente HTTP), proporconando en a proxmdad de os centes un cach
de pgnas y fcheros dsponbes a travs de a Red en servdores HTTP remotos, permtendo a os
centes de a red oca acceder haca stos de forma ms rpda y confabe.
Cuando se recbe una petcn para un recurso de Red especfcado en un U(L (Unform (esource
Locator) e Servidor Intermediario busca e resutado de U(L dentro de cach. S ste es
encontrado, e Servidor Intermediario responde a cente proporconado nmedatamente e
contendo soctado. S e contendo soctado no estuvera dsponbe en e cach, e Servidor
Intermediario o traer desde servdor remoto, entregndoo a cente que o soct y guardando
una copa en e cach. E contendo en e cach es emnado uego a travs de un agortmo de
expracn de acuerdo a a antgedad, tamao e hstora de respuestas a solicitudes (hts)
318
(e|empos: L(U, L7U"= y G"S7).
Los Servidores Intermediarios para contendo de Red (Web Proxes) tambn pueden actuar como
ftros de contendo servdo, apcando potcas de censura de acuerdo a crteros arbtraros.
43%+%2% =cerca de SGuid
SGuid es un Servidor Intermediario (Proxy) de ato desempeo que se ha vendo desarroando
desde hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os sstemas
operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y se
dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (GNU/G<L). Sendo sustento gco
libre, est dsponbe e cdgo fuente para quen as o requera.
Entre otras cosas, SGuid puede funconar como Servidor Intermediario (Proxy) y cac'F de
contenido de (ed para os protocoos H>><, 7><, G0<HE( y Y=IS, Proxy de SSL, cach
transparente, YY$<, aceeracn H>><, cach de consutas DNS y otras muchas ms como
ftracn de contendo y contro de acceso por IP y por usuaro.
SGuid consste de un programa prncpa como servdor, un programa para bsqueda en servdores
"NS, programas opconaes para reescrbr soctudes y reazar autentcacn y agunas
herramentas para admnstracn y y herramentas para centes. A ncar SGuid da orgen a un
nmero confgurabe (5, de modo predefndo a travs de parmetro dnsQc'ildren) de procesos de
bsqueda en servdores "NS, cada uno de os cuaes reaza una bsqueda nca en servdores
"NS, reducendo a cantdad de tempo de espera para as bsquedas en servdores "NS.
N0>= ES<E$I=L, SGuid no debe ser utili8ado como Servidor
Intermediario N<rox2C para protocoos como S:><, <0<3, >ELNE>,
SSH, I($, etc. S se requere ntermedar para cualGuier protocolo
distinto a H>><, H>><S, 7><, G0<HE( y Y=IS se requerr
mpementar obgatoramente un enmascaramento de IP o N=>
(Network =ddress >ransaton) o ben hacer uso de un servdor
S0$KS como "ante (http://www.net.no/dante/).
URL: http://www.squd-cache.org/
43%+%2%+% =l*oritmos de cac'F utili8ados por SGuid%
A travs de un parmetro (cac'eQreplacementQpolic2) SGuid ncuye soporte para os sguentes
agortmos para e cach:
L(U Acrnmo de Least (ecenty Used, que traduce como :enos
(ecientemente Utili8ado. En este agortmo os ob|etos que no han
sdo acceddos en mucho tempo son emnados prmero, mantenendo
sempre en e cach a os ob|etos ms recentemente soctados. fsta
pol.tica es la utili8ada por SGuid de modo predefinido.

L7U"= Acrnmo de Least 7requenty Used wth "ynamc =gng, que se traduce
como :enos 7recuentemente Utili8ado con Enve-ecimiento
"in;mico. En este agortmo os ob|etos ms soctados permanecen en
e cach sn mportar su tamao optmzando a eficiencia (ht rate) por
octetos (Bytes) a expensas de a efcenca msma, de modo que un
ob|eto grande que se socte con mayor frecuenca mpedr que se
319
pueda hacer cach de ob|etos pequeos que se socten con menor
frecuenca.

G"S7 Acrnmo de Greedy"ua Sze 7requency, que se traduce como
7recuencia de tama#o )reed*ual (codicioso dual), que es e
agortmo sobre e cua se basa G"S7. Optmza a eficiencia (ht rate)
por ob|eto mantenendo en e cach os ob|etos pequeos ms
frecuentemente soctados de modo que hay me|ores posbdades de
ograr respuesta a una solicitud (ht). Tene una efcenca por
octetos (Bytes) menor que e agortmo L7U"= debdo a que descarta
de cach ob|etos grandes que sean soctado con frecuenca.
Para poder evar a cabo os procedmentos descrtos en este manua y documentos reaconados,
usted necestar tener nstaado a menos o sguente:
A menos squd-2.5.STABLE6
httpd-2.0.x (Apache), como auxar de cach con aceeracn.
>odos os parches de segurdad dsponbes para a versn de sstema operatvo
que est utzando.
Tmese en consderacn que, de ser posbe, se debe utzar siempre as versones estabes ms
recentes de todo e sustento gco que se vaya a nstaar a reazar os procedmentos descrtos en
este manua, a fn de contar con os parches de segurdad necesaros. Nin*una versin de SGuid
anterior a la 2%5%S>=!LE6 se considera como apropiada debdo a faas de segurdad de gran
mportanca.
SGuid no se nstaa de manera predetermnada a menos que especfque o contraro durante a
nstaacn de sstema operatvo, sn embargo vene ncudo en cas todas as dstrbucones
actuaes. E procedmento de nstaacn es exactamente e msmo que con cuaquer o.
43%2%+% Instalacin a travFs de 2um
S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores, utce
o sguente y se nstaar todo o necesaro |unto con sus dependencas:
2um -2 install sOuid httpd
43%2%2% Instalacin a travFs de up2date
S cuenta con un sstema con Red Hat Enterprse Lnux 3 o versones posterores, utce o
sguente y se nstaar todo o necesaro |unto con sus dependencas:
up(date -i sOuid httpd
43%2%3% 0tros componentes necesarios
E mandato iptables se utzar para generar as regas necesaras para e gun de
Enmascaramento de IP. Se nstaa de modo predefndo en todas as dstrbucones actuaes que
utcen n1cleo (kerne) versones 2.4 y 2.6.
320
Es mportante tener actuazado e nceo de sstema operatvo por dversas cuestones de
segurdad. No es recomendabe utzar versones de kerne anterores a a 2%4%2+. Actuace e
nceo a a versn ms recente dsponbe para su dstrbucn.
S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores, utce
o sguente para actuazar e nceo de sstema operatvo e iptables, s acaso fuera necesaro:
2um -2 update kernel iptables
S cuenta con un sstema con Red Hat Enterprse Lnux 3 o versones posterores, utce o
sguente para actuazar e nceo de sstema operatvo, e iptables s acaso fuera necesaro:
up(date -u kernel iptables
43%3% =ntes de continuar
Tenga en cuenta que este manua ha sdo comprobado varas veces y ha funconado en todos os
casos y s ago no funcona soo sgnfca que usted no o ey a detae y no sgu correctamente as
ndcacones.
Evte de|ar espacios vac.os en ugares ndebdos. E sguente es un e|empo de como no se debe
habtar un parmetro.
Ma
L 8pci@n in+orre+!)men!e habilitada
http5port .1(,
E sguente es un e|empo de como si se debe habtar un parmetro.
Ben
L 8pci@n +orre+!)men!e habilitada
http5port .1(,
43%4% $onfi*uracin b;sica
SGuid utza e fchero de confguracn ocazado en /etc/sGuid/sGuid%conf, y podr traba|ar
sobre este utzando su edtor de texto smpe preferdo. Exsten un gran nmero de parmetros, de
os cuaes recomendamos confgurar os sguentes:
http_port
cache_dr
A menos una Lista de $ontrol de =cceso
A menos una (e*la de $ontrol de =cceso
httpd_acce_host
httpd_acce_port
httpd_acce_wth_proxy
43%4%+% <ar;metro 'ttpQport, @AuF puerto utili8ar para SGuidB
De acuerdo a as asgnacones hechas por I=N= y contnuadas por a I$=NN desde e 21 de marzo
de 2001, os <uertos (egstrados (rango desde 1024 hasta 49151) recomendados para Servidores
Intermediarios (Proxes) pueden ser e 3128 y 8080 a travs de >$<.
321
De modo predefndo SGuid utzar e puerto 3128 para atender petcones, sn embargo se puede
especfcar que o haga en cuaquer otro puerto dsponbe o ben que o haga en varos puertos
dsponbes a a vez.
En e caso de un Servidor Intermediario (Proxy) Transparente, reguarmente se utzar e puerto
80 o e 8000 y se vadr de re-drecconamento de petcones de modo ta que no habr necesdad
aguna de modfcar a confguracn de os clientes H>>< para utzar e Servidor Intermediario
(Proxy). Bastar con utzar como puerta de enace a servdor. Es mportante recordar que os
Servidores H>><, como Apache, tambn utzan dcho puerto, por o que ser necesaro vover a
confgurar e servdor H>>< para utzar otro puerto dsponbe, o ben desnstaar o desactvar e
servdor HTTP.
Hoy en da puede no ser de todo prctco e utzar un Servidor Intermediario N<rox2C
>ransparente, a menos que se trate de un servco de $afF Internet u ofcna pequea, sendo
que uno de os prncpaes probemas con os que dan os admnstradores es e ma uso y/o abuso
de acceso a Internet por parte de persona. Es por esto que puede resutar ms convenente
confgurar un Servidor Intermediario (Proxy) con restrccones por cave de acceso, o cua no
puede hacerse con un Servidor Intermediario N<rox2C >ransparente, debdo a que se requere
un dogo de nombre de usuaro y cave de acceso.
Reguarmente agunos programas utzados comnmente por os usuaros sueen traer de modo
predefndo e puerto 8080 Nservicio de cac'eo YYYC para utzarse a confgurar que Servidor
Intermediario (Proxy) utzar. S queremos aprovechar esto en nuestro favor y ahorrarnos e tener
que dar expcacones nnecesaras a usuaro, podemos especfcar que SGuid escuche petcones
en dcho puerto tambn. Sendo as ocace a seccn de defncn de 'ttpQport, y especfque:
L
L \ou ma2 specif2 multiple socket addresses on multiple lines!
L
L %efault: http5port .1(,
http5port .1(,
http5port ,0,0
S desea ncrementar a segurdad, puede vncuarse e servco a una IP que soo se pueda acceder
desde a red oca. Consderando que e servdor utzado posee una IP 192.168.1.254, puede
hacerse o sguente:
L
L \ou ma2 specif2 multiple socket addresses on multiple lines!
L
L %efault: http5port .1(,
http5port 1-(!16,!1!()+:.1(,
http5port 1-(!16,!1!()+:,0,0
43%4%2% <ar;metro cac'eQmem
E parmetro cac'eQmem estabece a cantdad dea de memora para o sguente:
Ob|etos en trnsto.
Ob|etos frecuentemente utzados (7ot).
Ob|etos negatvamente amacenados en e cach.
Los datos de estos ob|etos se amacenan en boques de 4 Kb. E parmetro cac'eQmem especfca
un mte mxmo en e tamao tota de boques acomodados, donde os ob|etos en trnsto tenen
322
mayor prordad. Sn embargo os ob|etos Hot y aqueos negatvamente amacenados en e cach
podrn utzar a memora no utzada hasta que esta sea requerda. De ser necesaro, s un ob|eto
en trnsto es mayor a a cantdad de memora especfcada, SGuid exceder o que sea necesaro
para satsfacer a petcn.
De modo predefndo se estabecen 8 MB. Puede especfcarse una cantdad mayor s as se
consdera necesaro, dependendo esto de os hbtos de os usuaros o necesdades estabecdas
por e admnstrador.
S se posee un servdor con a menos 128 MB de RAM, estabezca 16 MB como vaor para este
parmetro:
cache5mem 16 '9
43%4%3% <ar;metro cac'eQdir, @$u;nto desea almacenar de Internet en el
disco duroB
Este parmetro se utza para estabecer que tamao se desea que tenga e cach en e dsco duro
para SGuid. Para entender esto un poco me|or, responda a esta pregunta: @$uanto desea
almacenar de Internet en el disco duroB De modo predefndo SGuid utzar un cach de 100
MB, de modo ta que encontrar a sguente nea:
cache5dir ufs /var/spool/sOuid 100 16 ()6
Se puede ncrementar e tamao de cach hasta donde o desee e admnstrador. Mentras ms
grande sea e cach, ms ob|etos se amacenarn en ste y por o tanto se utzar menos e ancho
de banda. La sguente nea estabece un cach de 700 MB:
cache5dir ufs /var/spool/sOuid G00 16 ()6
Los nmeros +6 y 256 sgnfcan que e drectoro de cach contendr 16 drectoros subordnados
con 256 nvees cada uno. No modifiGue esto n1merosX no 'a2 necesidad de 'acerlo.
Es muy mportante consderar que s se especfca un determnado tamao de cach y ste excede
a espaco rea dsponbe en e dsco duro, SGuid se boquear nevtabemente. Sea cauteoso con
e tamao de cach especfcado.
43%4%4% <ar;metro ftpQuser
A acceder a un servdor FTP de manera annma, de modo predefndo SGuid envar como cave
de acceso SGuidO. S se desea que e acceso annmo a os servdores FTP sea ms nformatvo, o
ben s se desea acceder a servdores FTP que vadan a autentcdad de a dreccn de correo
especfcada como cave de acceso, puede especfcarse a dreccn de correo eectrnco que uno
consdere pertnente.
ftp5user prox2Tsu-dominio!net
43%4%5% $ontroles de acceso
Es necesaro estabecer Listas de $ontrol de =cceso que defnan una red o ben certas mqunas
en partcuar. A cada sta se e asgnar una (e*la de $ontrol de =cceso que permtr o
denegar e acceso a SGuid. Procedamos a entender como defnr unas y otras.
323
43%4%5%+% Listas de control de acceso%
Reguarmente una sta de contro de acceso se estabece con a sguente sntaxs:
acl >nombre de la lista? src >lo Oue compone a la lista?
S se desea estabecer una sta de contro de acceso que abarque a toda a red oca, basta defnr a
IP correspondente a a red y a mscara de a sub-red. Por e|empo, s se tene una red donde as
mqunas tenen dreccones IP 192.168.1.n con mscara de sub-red 255.255.255.0, podemos
utzar o sguente:
acl miredlocal src 1-(!16,!1!0/())!())!())!0
Tambn puede defnrse una Lista de $ontrol de =cceso especfcando un fchero ocazado en
cuaquer parte de dsco duro, y a cua contene una sta de dreccones IP. E|empo:
acl permitidos src G/etc/sOuid/permitidosG
E fchero /etc/sGuid/permitidos contendra ago como sguente:
1-(!16,!1!1
1-(!16,!1!(
1-(!16,!1!.
1-(!16,!1!1)
1-(!16,!1!16
1-(!16,!1!(0
1-(!16,!1!+0
Lo anteror estara defnendo que a Lista de $ontrol de =cceso denomnada permitidos estara
compuesta por as dreccones IP ncudas en e fchero /etc/sGuid/permitidos.
43%4%5%2% (e*las de $ontrol de =cceso
Estas defnen s se permte o no e acceso haca SGuid. Se apcan a as Listas de $ontrol de
=cceso. Deben coocarse en a seccn de regas de contro de acceso defndas por e
admnstrador, es decr, a partr de donde se ocaza a sguente eyenda:
L
L <7:R" \8$R 8K7 R$;:() B:R: "8 6;;8K 6AA: XR8' \8$R A;<:7"
L
La sntaxs bsca es a sguente:
http5access >den2 o allo1? >lista de control de acceso?
En e sguente e|empo consderamos una rega que estabece acceso permtdo a SGuid a a Lista
de $ontrol de =cceso denomnada permitidos:
http5access allo1 permitidos
Tambn pueden defnrse regas vandose de a expresn _, a cua sgnfca no. Pueden defnrse,
324
por e|empo, dos stas de contro de acceso, una denomnada lista+ y otra denomnada lista2, en
a msma rega de contro de acceso, en donde se asgna una expresn a una de estas. La sguente
estabece que se permte e acceso a SGuid a o que comprenda lista+ excepto aqueo que
comprenda lista2:
http5access allo1 lista1 clista(
Este tpo de regas son tes cuando se tene un gran grupo de IP dentro de un rango de red a que
se debe permitir acceso, y otro grupo dentro de a msma red a que se debe dene*ar e acceso.
43%4%6% =plicando Listas 2 (e*las de control de acceso
Una vez comprenddo e funconamento de a Lstas y as Rega de Contro de Acceso, procederemos
a determnar cuaes utzar para nuestra confguracn.
43%4%6%+% $aso +%
Consderando como e|empo que se dspone de una red 192.168.1.0/255.255.255.0, s se desea
defnr toda a red oca, utzaremos a sguente nea en a seccn de Listas de $ontrol de
=cceso:
acl todalared src 1-(!16,!1!0/())!())!())!0
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos de
sguente modo:
Listas de $ontrol de =cceso, definicin de una red local completa
L
L Recommended minimum configuration:
acl all src 0!0!0!0/0!0!0!0
acl manager proto cache5obEect
acl localhost src 1(/!0!0!1/())!())!())!())
)+l !o*)l)re* sr+ 192.16H.1.0/255.255.255.0
A contnuacn procedemos a apcar a rega de contro de acceso:
http5access allo1 todalared
Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar ms o menos de
este modo:
(e*las de control de acceso, =cceso a una Lista de $ontrol de =cceso%
L
L <7:R" \8$R 8K7 R$;:() B:R: "8 6;;8K 6AA: XR8' \8$R A;<:7"
L
http5access allo1 localhost
!!p_)++ess )llow !o*)l)re*
http5access den2 all
La rega 'ttpQaccess alloM todalared permte e acceso a SGuid a a Lista de $ontrol de
325
=cceso denomnada todalared, a cua est conformada por 192.168.1.0/255.255.255.0. Esto
sgnfca que cuaquer mquna desde 192.168.1.1 hasta 192.168.1.254 podr acceder a SGuid.
43%4%6%2% $aso 2
S soo se desea permtr e acceso a SGuid a certas dreccones IP de a red oca, deberemos crear
un fchero que contenga dcha sta. Genere e fchero /etc/sGuid/listas/redlocal, dentro de cua se
ncurn soo aqueas dreccones IP que desea confrmen a Lsta de Contro de acceso. E|empo:
1-(!16,!1!1
1-(!16,!1!(
1-(!16,!1!.
1-(!16,!1!1)
1-(!16,!1!16
1-(!16,!1!(0
1-(!16,!1!+0
Denomnaremos a esta sta de contro de acceso como redlocal:
acl redlocal src G/etc/sOuid/listas/redlocalG
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos de
sguente modo:
Listas de $ontrol de =cceso, definicin de una red local completa
L
acl all src 0!0!0!0/0!0!0!0
)+l re*lo+)l sr+ D/e!+/s9ui*/lis!)s/re*lo+)lD
A contnuacn procedemos a apcar a rega de contro de acceso:
http5access allo1 redlocal
este modo:
(e*las de control de acceso, =cceso a una Lista de $ontrol de =cceso%
L
L <7:R" \8$R 8K7 R$;:() B:R: "8 6;;8K 6AA: XR8' \8$R A;<:7"
L
!!p_)++ess )llow re*lo+)l
La rega 'ttpQaccess alloM redlocal permte e acceso a SGuid a a Lista de $ontrol de =cceso
denomnada redlocal, a cua est conformada por as dreccones IP especfcadas en e fchero
/etc/sGuid/listas/redlocal. Esto sgnfca que cuaquer mquna no ncuda en
326
/etc/sGuid/listas/redlocal no tendr acceso a SGuid.
43%4%7% <ar;metro c'ac'eQm*r
De modo predefndo, s ago ocurre con e cach, como por e|empo que muera e procesos, se
envar un mensa|e de avso a a cuenta Mebmaster de servdor. Puede especfcarse una dstnta
s acaso se consdera convenente.
cache5mgr Eosepere4Tmidominio!net
43%4%9% <ar;metro cac'eQpeer, cac'es padres 2 'ermanos
E parmetro cache_peer se utza para especfcar otros Servidores Intermediarios (Proxes) con
cach en una |erarqua como padres o como 'ermanos. Es decr, defnr s hay un Servidor
Intermediario (Proxy) adeante o en paraeo. La sntaxs bsca es a sguente:
cache5peer servidor tipo http5port icp5port opciones
E-emplo, S su cach va a estar traba|ando detrs de otro servdor cache, es decr un cach padre,
y consderando que e cach padre tene una IP 192.168.1.1, escuchando petcones H>>< en e
puerto 8080 y petcones ICP en puerto 3130 Npuerto utili8ado de modo predefinido por SGuidC
,especfcando que no se amacenen en cach os ob|etos que ya estn presentes en e cach de
Servidor Intermediario (Proxy) padre, utce a sguente nea:
cache5peer 1-(!16,!1!1 parent ,0,0 .1.0 prox2-onl2
Cuando se traba|a en redes muy grandes donde exsten varos Servdores Intermedaros (Proxy)
hacendo cach de contendo de Internet, es una buena dea hacer traba|ar todos os cach entre s.
Confgurar caches vecnos como siblin* (hermanos) tene como benefco e que se consutarn
estos caches ocazados en a red oca antes de acceder haca Internet y consumr ancho de banda
para acceder haca un ob|eto que ya podra estar presente en otro cach vecno.
E-emplo, S su cach va a estar traba|ando en paraeo |unto con otros caches, es decr caches
hermanos, y consderando os caches tenen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1, todos escuchando
petcones H>>< en e puerto 8080 y petcones ICP en puerto 3130, especfcando que no se
amacenen en cach os ob|etos que ya estn presentes en os caches hermanos, utce as
sguentes neas:
cache5peer 10!1!0!1 sibling ,0,0 .1.0 prox2-onl2
cache5peer 10!(!0!1 sibling ,0,0 .1.0 prox2-onl2
cache5peer 10!.!0!1 sibling ,0,0 .1.0 prox2-onl2
Pueden hacerse combnacones que de manera ta que se podran tener caches padres y hermanos
traba|ando en con|unto en una red oca. E|empo:
cache5peer 10!0!0!1 parent ,0,0 .1.0 prox2-onl2
cache5peer 10!1!0!1 sibling ,0,0 .1.0 prox2-onl2
cache5peer 10!(!0!1 sibling ,0,0 .1.0 prox2-onl2
cache5peer 10!.!0!1 sibling ,0,0 .1.0 prox2-onl2
327
43%5% $ac'F con aceleracin
Cuando un usuaro hace petcn haca un ob|eto en Internet, este es amacenado en e cach de
SGuid. S otro usuaro hace petcn haca e msmo ob|eto, y este no ha sufrdo modfcacn aguna
desde que o acced e usuaro anteror, SGuid mostrar e que ya se encuentra en e cach en
ugar de vover a descargaro desde Internet.
Esta funcn permte navegar rpdamente cuando os ob|etos ya estn en e cach de SGuid y
adems optmza enormemente a utzacn de ancho de banda.
La confguracn de SGuid como Servdor Intermedaro (Proxy) Transparente soo requere
compementarse utzando una rega de iptables que se encargar de re-drecconar petcones
hacndoas pasar por e puerto 8080. La rega de iptables necesara se descrbe ms adeante en
este documento.
43%5%+% <rox2 =celerado, 0pciones para Servidor Intermediario N<rox2C en
modo convencional
En a seccn H>><")=$$ELE(=>0( 0<>I0NS deben habtarse os sguentes parmetros:
httpd5accel5host virtual
httpd5accel5port 0
httpd5accel51ith5prox2 on
43%5%2% <rox2 =celerado, 0pciones para Servidor Intermediario N<rox2C
>ransparente
S se trata de un Servidor Intermediario (Proxy) transparente, deben utzarse as sguentes
opcones, consderando que se har uso de cach de un servdor H>>< (Apache) como auxar:
L %ebe especificarse la <C de cualOuier servi*or <>>- en la
L red local o bien el valor vir!u)l
httpd5accel5host 1-(!16,!1!()+
httpd5accel5port ,0
httpd5accel5uses5host5header on
43%5%3% <rox2 =celerado, 0pciones para Servidor Intermediario N<rox2C
>ransparente para redes con Internet Explorer 5%5 2 versiones anteriores
S va a utzar Internet Exporer 5.5 y versones anterores con un Servidor Intermediario (Proxy)
transparente, es mportante recuerde que dchas versones tene un psmo soporte con os
Servidores Intermediarios (Proxes) transparentes mposbtando por competo a capacdad de
refrescar contendo. S se utza e parmetro ieQrefres' con vaor on puede hacer que se verfque
en os servdores de orgen para nuevo contendo para todas as petcones I:S)(E7(ESH
provenentes de Internet Exporer 5.5 y versones anterores.
L %ebe especificarse la <C de cualOuier servidor <>>- en la
L red local
httpd5accel5host 1-(!16,!1!()+
httpd5accel5port ,0
httpd5accel5uses5host5header on
328
ie_re2res on
Lo ms convenente es actuazar haca Internet Exporer 6.x o defntvamente optar por otras
aternatvas. :o8illa es en un con|unto de apcacones para Internet, o ben 7irefox, que es
probabemente e me|or navegador que exste en e mercado. 7irefox es un navegador muy gero y
que cumple con los est;ndares, y est dsponbe para Wndows, Lnux, Mac OS X y otros
sstemas operatvos.
43%6% Estableciendo el idioma de los mensa-es mostrados por de
SGuid 'acia el usuario
SGuid ncuye traduccn a dstntos domas de as dstntas pgnas de error e nformatvas que son
despegadas en un momento dado durante su operacn. Dchas traduccones se pueden encontrar
en /usr/s'are/sGuid/errors/. Para poder hacer uso de as pgnas de error traducdas a espao, es
necesaro cambar un enace smbco ocazado en /etc/sGuid/errors para que apunte haca
/usr/s'are/sGuid/errors/Spanis' en ugar de hacero haca /usr/s'are/sGuid/errors/En*lis'.
Emne prmero e enace smbco actua:
rm -f /etc/sOuid/errors
Cooque un nuevo enace smbco apuntando haca e drectoro con os fcheros correspondentes
a os errores traducdos a espao.
ln -s /usr/s)re/sOuid/errors/panish /etc/sOuid/errors
Nota, Este enlace simblico debe verificarseX 2 re*enerarse de ser necesarioX cada ve8
Gue se actuali8ado SGuid 2a sea a travFs de 2umX up2date o manualmente con el
mandato rpm%
43%7% IniciarX reiniciar 2 a#adir el servicio al arranGue del sistema
Una vez termnada a confguracn, e|ecute e sguente mandato para ncar por prmera vez
SGuid:
service sOuid start
S necesta rencar para probar cambos hechos en a confguracn, utce o sguente:
service sOuid restart
S desea que SGuid nce de manera automtca a prxma vez que nce e sstema, utce o
sguente:
chkconfig sOuid on
Lo anteror habtar a SGuid en todos os nvees de corrda.
329
43%9% "epuracin de errores
Cuaquer error a nco de SGuid soo sgnfca que hubo errores de sntaxs, errores de dedo o ben
se estn ctando ncorrectamente as rutas haca os fcheros de as Listas de $ontrol de =cceso.
Puede reazar dagnstco de probemas ndcndoe a SGuid que vueva a eer confguracn, o
cua devover os errores que exstan en e fchero /etc/sGuid/sGuid%conf.
service sOuid relo)*
Cuando se trata de errores graves que no permten ncar e servco, puede examnarse e
contendo de fchero /var/lo*/sGuid/sGuid%out con e mandato less, more o cuaquer otro vsor
de texto:
less /var/log/sOuid/sOuid!out
43%S% =-ustes para el muro corta)fue*os
S se tene poca experenca con guones de cortafuegos a travs de ptabes, sugermos utzar
7irestarter. ste permte confgurar fcmente tanto e enmascaramento de IP como e muro
corta-fuegos. S se tene un poco ms de experenca, recomendamos utzar S'oreMall para e
msmo fn puesto que se trata de una herramenta ms robusta y competa.
7irestarter: http://www.fs-securty.com/
S'oreMall: http://www.shorewa.net/
43%S%+% (e)direccionamiento de peticiones a travFs de iptables 2
7irestarter
En un momento dado se requerr tener sada transparente haca Internet para certos servcos,
pero a msmo tempo se necestar re-drecconar petcones haca servco H>>< para pasar a
travs de e puerto donde escucha petcones SGuid (8080), de modo que no haya sada aguna
haca aguna haca servdores H>>< en e exteror sn que sta pase antes por SGuid. No se puede
hacer Servidor Intermediario (Proxy) Transparente para os protocoos HTTPS, FTP, GOPHER n
WAIS, por o que dchos protocoos tendrn que ser ftrados a travs de N=>.
E re-drecconamento o hacemos a travs de iptables. Consderando para este e|empo que a red
oca se accede a travs de una nterfaz eth0, e sguente esquema e|empfca un re-
drecconamento:
/sbin/iptables 't nat 'Q =F;F9B<CNK 'i ethM 'p tcp ''dport HM 'j F;ECF;G< ''to'port HMHM
Lo anteror, Gue reGuiere un *uin de cortafue*os funcional en un sistema con dos
interfaces de red, hace que cuaquer petcn haca e puerto 80 (servco HTTP) hecha desde a
red oca haca e exteror, se re-drecconar haca e puerto 8080 de servdor.
Utzando 7irestarter, a rega anterormente descrta se aade en e fchero
/etc/firestarter/user)post.
330
43%S%2% (e)direccionamiento de peticiones a travFs de la opcin (E"I(E$>
en S'oreMall
La accn REDIRECT en S'oreMall permte redrgr petcones haca protocoo H>>< para haceras
pasar a travs de SGuid. En e sguente e|empo as petcones hechas desde a zona que
corresponde a a red oca sern redrgdas haca e puerto 8080 de cortafuegos, en donde est
confgurado SGuid confgurado como Servidores Intermediario (Proxy) transparente.
L6A"<87 8$RA: %:" CR8"8 %:"
R:%<R:A" loc ,0,0 tcp ,0
331
44% $mo confi*urar SGuid, =cceso por
autenticacin
stos.
44%+% Introduccin
Es muy t e poder estabecer un sstema de autentcacn para poder acceder haca Internet, pues
esto permte controar quenes s y quenes no accedern a Internet sn mportar desde que mquna
de a red oca o hagan. Sera de modo ta que tendremos un dobe contro, prmero por dreccn IP
y segundo por nombre de usuaro y cave de acceso.
Este manua consdera que usted ya ha edo prevamente, a detae y en su totadad e manua
"Como confgurar Squd: Servdor Proxy" y que ha confgurado extosamente Squd como servdor
proxy.
usted necestar tener nstaado a menos o sguente:
squd-2.5.STABLE3
httpd-2.0.x (Apache) (opcona)
opendap-servers-2.2.x (opcona)
44%3% Eli*iendo el mdulo de autenticacin
Este manua consdera poder autentcar a travs de un fchero de texto smpe con caves de acceso
creadas con htpasswd o ben a travs de un servdor LDAP, o cua consttuye una soucn ms
robusta.
44%3%+% =utenticacin a travFs del mdulo L"=<
Consderando que se ha confgurado extosamente OpenLDAP como servdor de autentcacn, soo
basta defnr e drectoro (o drectoro subordnado) y e servdor LDAP a utzar.
La sntaxs utzada para squd_dap_auth es a sguente:
sOuid5ldap5auth -b %irectorio o %7 a utili4ar servidor-ldap-a-utili4ar
332
44%3%+%+% <ar;metros en /etc/sGuid/sGuid%conf
Se debe modfcar e fchero /etc/squd.conf y se especfcar e programa de autentcacn se
utzar. Locace a seccn que corresponde a a etqueta aut!Fparam basic pro%ram. Por defecto
no est especfcado programa aguno. Consderando que squidFldapFaut! se ocaza en
3usr3lib3squid3ncsaFaut!, procederemos a aadr e sguente parmetro:
auth_param basic pro"ram /usr/lib/sLuid/sLuid_ldap_auth 'b dcIsu'red'local)dcIcom (20.M.M.(
Lo anteror conecta a drectoro dc=su-red-oca,dc=com en e servdor LDAP en 127.0.0.1.
44%3%2% =utenticacin a travFs del mdulo N$S=
Squd puede utzar e mduo ncsaFaut!, de a NCSA (Natona $enter for Supercomputng
=ppcatons), y que ya vene ncudo como parte de paquete prncpa de Squd en a mayora de
as dstrbucones actuaes. Este mduo provee una autentcacn muy senca a travs de un
fchero de texto smpe cuyas caves de acceso fueron creadas con htpasswd.
44%3%2%+% $reacin del fic'ero de claves de acceso
Se requerr a creacn preva de un fchero que contendr os nombres de usuaros y sus
correspondentes caves de acceso (cfradas). E fchero puede ocazarse en cuaquer ugar de
sstema, con a nca condcn que sea aseqube para e usuaro squid.
Debe procederse a crear un fchero 3etc3squid3claves:
touch /etc/sOuid/claves
Savo que vaya a utzarse un gun a travs de servdor web para admnstrar as caves de
acceso, como medda de segurdad, este fchero debe hacerse ebe y escrbbe soo para e usuaro
squid:
chmod 600 /etc/sOuid/claves
cho1n sOuid:sOuid /etc/sOuid/claves
A contnuacn deberemos dar de ata as cuentas que sean necesaras, utzando e mandato
!tpass4d 8mismo que viene incluido en el paquete !ttpd8B.:.(8. E|empo:
htpass1d /etc/sOuid/claves Eosepere4
Lo anteror soctar tecear una nueva cave de acceso para e usuaro josepere+ y confrmar
teceando sta de nuevo. Repta con e resto de as cuentas que requera dar de ata.
Todas as cuentas que se den de ata de este modo son ndependentes a as ya exstentes en e
sstema. A dar de ata una cuenta o cambar una cave de acceso o estar hacendo
EE$LUSIP=:EN>E para e acceso a servdor Proxy. Las cuentas son ndependentes a as que se
tengan exstentes en e sstema como seran interprete de mandatos, correo y Samba.
44%3%2%2% <ar;metros en /etc/sGuid/sGuid%conf
Lo sguente ser especfcar que programa de autentcacn se utzar. Locace a seccn que
333
corresponde a a etqueta aut!Fparam basic pro%ram. Por defecto no est especfcado programa
aguno. Consderando que ncsaFaut! se ocaza en 3usr3lib3squid3ncsaFaut!, procederemos a aadr
e sguente parmetro:
auth5param basic program /usr/lib/sOuid/ncsa5auth /etc/sOuid/claves
3usr3lib3squid3ncsaFaut! corresponde a a ocazacn de programa para autentcar y
3etc3squid3claves a fchero que contene as cuentas y sus caves de acceso.
44%4% Listas 2 re*las de control de acceso
E sguente paso corresponde a a defncn de una .ista de "ontrol de Acceso. Especfcaremos
una denomnada pass4d a cua se confgurar para utzar obgatoramente a autentcacn para
poder acceder a Squd. Debe ocazarse a seccn de .istas de "ontrol de Acceso y aadrse a
sguente nea:
acl pass1ord prox25auth R:b$<R:%
Habendo hecho o anteror, deberemos tener en a seccn de .istas de "ontrol de Acceso ago
como o sguente:
Lstas de Contro de Accesos: autentcacn.
L
acl all src 0!0!0!0/0!0!0!0
acl redlocal src 1-(!16,!1!0/())!())!())!0
)+l p)sswor* pro#y_)u! A$M(EA$N
Procedemos entonces a modfcar a rega de contro de accesos que ya tenamos para permtr e
acceso a Internet. Donde antes tenamos o sguente:
http5access allo1 redlocal
Le aadmos pass4d, a defncn de a .ista de "ontrol de Acceso que requere utzar cave de
acceso, a nuestra rega actua, de modo que quede como mostramos a contnuacn:
http5access allo1 redlocal pass1ord
este modo:
Regas de contro de acceso: Acceso por cave de acceso.
L
L <7:R" \8$R 8K7 R$;:() B:R: "8 allo1 6AA: XR8' \8$R A;<:7"
L
!!p_)++ess )llow re*lo+)l p)sswor*
334
44%4%+% 7inali8ando procedimiento
Fnamente, soo bastar rencar Squd para que tomen efecto os cambos y podamos hacer
pruebas.
335
45% $mo confi*urar SGuid, (estriccin de acceso
a Sitios de (ed
1999-2007 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o
as condcones sguentes: a) Debe reconocer y ctar a autor orgna. bC No puede utili8ar esta obra para fines comerciales%
c) S atera o transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a
sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones
puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras
mtacones no se ven afectados por o anteror. La nformacn contenda en este documento y os dervados de ste se
proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector hace ma uso de stos.
45%+% Introduccin
Denegar e acceso a certos Stos de Red permte hacer un uso ms racona de ancho de banda
con e que se dspone. E funconamento es verdaderamente smpe, y consste en denegar e
acceso a nombres de domno o dreccones de Red que contengan patrones en comn.
proxy.
usted necestar tener nstaado a menos squd-2.5STABLE1.
45%3% "efiniendo patrones comunes
Lo prmero ser generar una sta a cua contendr dreccones de Red y paabras usuamente
utzadas en nombres de certos domnos. E|empos:
111!sitioporno!com
111!otrositioporno!com
sitioindeseable!com
otrositioindeseable!com
napster
sex
porn
mp.
xxx
adult
1are4
celebri
Esta sta, a cua deber ser competada con todas as paabras (muchas de est son paabras
obscenas en dstntos domas) y dreccones de Red que e admnstrador consdere pertnentes, a
guardaremos como 3etc3squid3sitiosdene%ados.
336
45%4% <ar;metros en /etc/sGuid/sGuid%conf
Debemos defnr una .ista de "ontrol de Acceso que a su vez defna a fchero
3etc3squid3sitiosdene%ados. Esta sta a denomnaremos como Esitiosdene%adosE. De modo ta, a
nea correspondente quedara de sguente modo:
acl sitiosdenegados url5regex G/etc/sOuid/sitiosdenegadosG
como o sguente:
L
acl all src 0!0!0!0/0!0!0!0
acl redlocal src 1-(!16,!1!0/())!())!())!0
)+l si!ios*ene,)*os url_re,e# D/e!+/s9ui*/si!ios*ene,)*osD
A contnuacn especfcaremos modfcaremos una Le%la de "ontrol de Acceso exstente agregando
con un smboo de R que se denegar e acceso a a .ista de "ontrol de Acceso denomnada
sitiosdene%ados:
http5access allo1 redlocal csitiosdenegados
La rega anteror permte e acceso a a .ista de "ontrol de Acceso denomnada redlocal, pero e
nega e acceso a todo o que concda con o especfcado en a .ista de "ontrol de Acceso
denomnada sitiosdene%ados.
E|empo apcado a una Le%la de "ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn:
Regas de contro de acceso: denegacn de stos.
L
L
!!p_)++ess )llow re*lo+)l p)sswor* Wsi!ios*ene,)*os
45%4%+% <ermitiendo acceso a sitios inocentes incidentalmente bloGueados
S por e|empo e ncur una paabra en partcuar afecta e acceso a un sto de Red, tambn puede
generarse una sta de domnos o paabras que contengan un patrn pero que consderaremos
como apropados.
Como e|empo: vamos a suponer que dentro de a .ista de "ontrol de Acceso de stos denegados
est a paabra se(. esta denegara e acceso a cuaquer nombre de domno que ncuya dcha
cadena de caracteres, como extremesex.com. Sn embargo tambn estara boqueando a stos
como sexuadad|ove.c, e cua no tene que ver en o absouto con pornografa, sno orentacn
sexua para a |uventud. Podemos aadr este nombre de domno en un fcheros que
337
denomnaremos 3etc3squid3sitios8inocentes.
Este fchero ser defndo en una .ista de "ontrol de Acceso de msmo modo en que se hzo
anterormente con e fchero que contene domnos y paabras denegadas.
acl inocentes url5regex G/etc/sOuid/sitios-inocentesG
Para hacer uso de fchero, soo bastar utzar a expresn _ en a msma nea utzada para a
Le%la de "ontrol de Acceso estabecda para denegar e msmo.
http5access allo1 all inocentes
La rega anteror especfca que se denegar e acceso a todo o que comprenda a .ista de "ontrol
de Acceso denomnada dene%ados excepto o que comprenda a .ista de "ontrol de Acceso
denomnada inocentes. es decr, se podr acceder sn dfcutad a www.sexuadad|oven.c
mantenendo a restrccn para a cadena de caracteres se(.
45%4%2% 7inali8ando procedimiento
pruebas.
338
a contenido por extensin
46%+% Introduccin
Denegar e acceso a certos tpos de extensones de fchero permte hacer un uso ms racona de
ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en
denegar e acceso a certos tpos de extensones que concdan con o estabecdo en una .ista de
"ontrol de Acceso.
proxy.
usted necestar tener nstaado a menos squd-2.5STABLE1. Cuaquer versn anteror a sta ser
absoutamente naceptabe en o referente a segurdad e ncompatbe para os procedmentos
descrto en este manua.
46%3% "efiniendo elementos de la Lista de $ontrol de =cceso
Lo prmero ser generar una sta a cua contendr dreccones de Red y paabras usuamente
utzadas en nombres de certos domnos. E|empos:
D!aviF
D!mp+F
D!mp.F
D!mp+F
D!mpgF
D!mpegF
D!movF
D!raF
D!ramF
D!rmF
D!rpmF
D!vobF
D!1maF
D!1mvF
D!1avF
339
D!docF
D!xlsF
D!mbdF
D!pptF
D!ppsF
D!aceF
D!batF
D!exeF
D!lnkF
D!pifF
D!scrF
D!s2sF
D!4ipF
D!rarF
Esta sta, a cua deber ser competada con todas as extensones de fchero que e admnstrador
consdere pertnentes, a guardaremos como 3etc3squid3listae(tensiones.
46%4% <ar;metros en /etc/sGuid/sGuid%conf
Debemos defnr una .ista de "ontrol de Acceso que a su vez defna a fchero
3etc3squid3listae(tensiones. Esta sta a denomnaremos como Elistae(tensionesE. De modo ta, a
nea correspondente quedara de sguente modo:
acl listaextensiones urlpath5regex G/etc/sOuid/listaextensionesG
como o sguente:
L
acl all src 0!0!0!0/0!0!0!0
acl redlocal src 1-(!16,!1!0/())!())!())!0
acl sitiosdenegados url5regex G/etc/sOuid/sitiosdenegadosG
)+l lis!)e#!ensiones urlp)!_re,e# D/e!+/s9ui*/lis!)e#!ensionesD
A contnuacn especfcaremos modfcaremos una Le%la de "ontrol de Acceso exstente agregando
con un smboo de R que se denegar e acceso a a .ista de "ontrol de Acceso denomnada
listae(tensiones:
http5access allo1 redlocal clistaextensiones
La rega anteror permte e acceso a a .ista de "ontrol de Acceso denomnada redlocal, pero e
nega e acceso a todo o que concda con o especfcado en a .ista de "ontrol de Acceso
denomnada listae(tensiones.
E|empo apcado a una Le%la de "ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn y e de denegacn
haca Stos de Red expcado en e documento Cmo confgurar Squd: Restrccn de acceso a Stos
de Red:
340
Regas de contro de acceso: denegacn de extensones.
L
L
!!p_)++ess )llow re*lo+)l p)sswor* Wsi!ios*ene,)*os Wlis!)e#!ensiones
46%4%+% 7inali8ando procedimiento%
pruebas.
341
por 'orarios
47%+% Introduccin
Denegar e acceso a certos usuaros en certos horaros permte hacer un uso ms racona de
ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en
denegar e acceso en horaros y das de a semana.
Como confgurar Squd: Servdor Proxy y que ha confgurado extosamente Squd como servdor
proxy.
usted necestar tener nstaado a menos squd-2.5STABLE1.
La sntaxs para crear .istas de control de acceso que defnan horaros es a sguente:
acl nombre del horario! time d]as de la semana! hh:mm'hh:mm
Los das de a semana se defnen con etras, as cuaes corresponden a a prmera etra de nombre
en ngs, de modo que se utzarn de sguente modo:
S - Domngo
: - Lunes
> - Mastes
Y - Mercoes
H - |ueves
7 - Vernes
= - Sbado
E|empo:
acl semana time :<S8> MW:MM'2(:MM
342
Esta rega defne a a sta semana, a cua comprende un horaro de 09:00 a 21:00 horas desde e
Lunes hasta e Vernes.
Este tpo de stas se apcan en as Le%las de "ontrol de Acceso con una mecnca smar a a
sguente: se permte o denega e acceso en e horaro defndo en a .ista de "ontrol de Acceso
denomnada C para as entdades defndas en a .ista de "ontrol de Acceso denomnada S. Lo
anteror expresado en una Le%la de "ontrol de Acceso, quedara de sguente modo:
http_access allow f den#! nombre del horario! lista de entidades!
E|empo: Se quere estabecer que os membros de a .ista de "ontrol de Acceso denomnada
clasematutina tengan permtdo acceder haca Internet en un horaro que denomnaremos como
matutino, y que comprende de unes a vernes de 09:00 a 15:00 horas.
La defncn para e horaro correspondera a:
acl clasematutina src (W2.(-H.(.M/2,,.2,,.2,,.M
acl matutino time :<S8> MW:MM'(,:MM
La defncn de a Le%la de "ontrol de Acceso sera:
http_access allow matutino clasematutina
Lo anteror, en resumen, sgnfca que quenes conformen clasematutina podrn acceder a Internet
de Lunes a Vernes de 09:00-15:00 horas.
47%3%+% :;s e-emplos
47%3%+%+% (estrin*iendo el tipo de contenido
Como se expca en e documento E"'mo confi%urar -quid2 Lestricci'n de acceso a contenido por
e(tensi'nE, es posbe denegar acceso a certo tpo de contendo de acuerdo a su extensn. Igua
que con otras funcones, se requere una .ista de "ontrol de Acceso y una Le%la de "ontrol de
Acceso
S se necesta una sta denomnada musica que defna a todos os fcheros con extensn .mp3,
utzaramos o sguente:
acl musica urlpath_re"ex [.mp*2
S queremos denegar e acceso a todo contendo con extensn .mp3, a rega quedara de
sguente modo:
http_access allow clasematutina Zmusica
47%3%+%2% $ombinando re*las de tiempo 2 contenido
S por e|empo queremos restrngr parcamente e acceso a certo tpo de contendo a certos
horaros, pueden combnarse dstntos tpos de regas.
343
acl matutino time :<S8> MW:MM'(,:MM
acl musica urlpath_re"ex [.mp*2
http_access allow matutino clasematutina Zmusica
La Le%la de "ontrol de Acceso anteror especfca acceso permitido a en e horaro defndo como
matutino a quenes ntegran a .ista de "ontrol de Acceso denomnada clasematutina a todo
contendo |por omsn| excepto a os contendos que concdan con os defndos en a .ista de
"ontrol de Acceso denomnada musica.
47%3%2% 7inali8ando procedimiento
pruebas.
344
49% =pFndice, Listas 2 re*las de control de
acceso para SGuid
stos.
49%0%+% (e*las aplicadas
L ;ista Oue define m^todo de autenticaci@n:
L ;istas de control de acceso por defecto:
acl all src 0!0!0!0/0!0!0!0
L ;istas Oue definen conEuntos de maOuinas
acl redlocal src G/etc/sOuid/redlocalG
acl privilegiados src G/etc/sOuid/privilegiadosG
acl restringidos src G/etc/sOuid/restringidosG
acl administrador src 1-(!16,!1!()+
L ;istas Oue definen palabras contenidas en un $R;
acl porno url5regex G/etc/sOuid/pornoG
L Aontenido:
L
L sex
L porn
L girl
L celebrit
L extasis
L drug
L pla2bo2
L hustler
L ;ista de sitios inocentes Oue accidentealmente sean bloOueados
acl noporno url5regex G/etc/sOuid/nopornoG
L Aontenido:
L
L missingheart
L 1irelessexcite
L msexchange
L msexcel
L freeto1n
L geek-girls
L adulteducation
345
L ;istas Oue definen tipos de extensiones
L %efine una lista estricta de extensiones prohibidas
acl multimedia urlpath5regex G/etc/sOuid/multimediaG
L Aontenido:
L
L D!mp.F
L D!aviF
L D!movF
L D!mpgF
L D!batF
L D!pifF
L D!s2sF
L D!lnkF
L D!scrF
L D!exeF
L %efine una lista moderada de extensiones prohibidas
acl peligrosos urlpath5regex G/etc/sOuid/peligrososG
L Aontenido:
L
L D!batF
L D!pifF
L D!s2sF
L D!lnkF
L D!scrF
L D!exeF
L %efine una sola extensi@n
acl realmedia urlpath5regex D!rmF
L Reglas de control de acceso
L Regla por defecto:
L :Eemplos de reglas de control de acceso
http5access allo1 restringidos pass1ord cporno cmultimedia
http5access allo1 redlocal pass1ord cporno cpeligrosos
http5access allo1 privilegiados pass1ord cpeligrosos
http5access allo1 administrador
http5access allo1 noporno all
L Regla por defecto:
346
4S% $mo confi*urar un muro cortafue*os con
S'oreMall 2 tres interfaces de red
4S%+% Introduccin%
4S%+%+% =cerca de S'oreMall%
S'oreMall (Shorene Frewa) es una robusta y extensbe 'erramienta de alto nivel para la
confi*uracin de muros cortafue*o. S'oreMall soo necesta se e proporconen agunos datos
en agunos fcheros de texto smpe y ste crear as regas de cortafuegos correspondentes a
travs de iptables. S'oreMall puede permtr utzar un sstema como muro cortafuegos dedcado,
sstema de mtpes funcones como puerta de enlaceX dispositivo de encaminamiento 2
servidor.
URL: http://www.shorewa.net/
4S%+%2% =cerca de Iptables 2 Netfilter%
Netfilter es un con|unto de %anc!os (HooLs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que son
utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los %anc!os son tambn utzados
por un componente que se encarga de N=> (acrnmo de Network =ddress >ransaton o
Traduccn de dreccn de red). Estos componentes son cargados como mduos de nceo.
Iptables es e nombre de a herramenta de espaco de usuaro (User Space, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de N=>. Iptables es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
4S%+%3% =cerca de Iproute%
Iproute es una coeccn de herramentas (fcfg, p, rtmon y tc) para GNU/Lnux que se utzan para
controar e estabecmento de a red >$</I<, as como tambn e contro de trfco. Aunque
ifconfi* sgue sendo a herramenta de confguracn de red estndar en as dstrbucones de
GNU/Lnux, iproute tende a sustturo a proveer soporte para a mayora de as tecnoogas
modernas de red (ncuyendo IP versones 4 y 6), permtendo a os admnstradores confgurar os
parmetros de red y e contro de trfco.
347
URL: http://nux-net.osd.org/ndex.php/Iproute2
4S%+%4% (eGuisitos%
Un sstema GNU/Lnux con todos os parches de segurdad correspondentes
nstaados.
S'oreMall 3%0%9 o versiones posteriores%
Tres nterfaces de red:
Interfaz para acceso haca Internet.
Interfaz para acceso haca una ":], tras a cua se podrn
coocar servdores.
Interfaz para acceso haca a L=N (acrnmo de Loca =rea
Network o Area de Red Loca).
4S%2% $onceptos reGueridos%
4S%2%+% @AuF es una 8ona desmilitari8adaB
Una zona desmtarzada (":]), es parte de una red que no est dentro de a red nterna (L=N)
pero tampoco est drectamente conectada haca Internet. Podra resumrse como una red que se
ocaza entre dos redes. En trmnos ms tcncos se refere a un rea dentro de cortafuegos donde
os sstemas que a componen tenen acceso haca as redes nterna y externa, sn embargo no
tenen acceso competo haca a red nterna y tampoco acceso competamente aberto haca a red
externa. Los cortafuegos y dspostvos de encamnamento (routers) protegen esta zona con
funconadades de ftrado de trfco de red.
Dagrama de una Zona Desmtarzada.
Imagen de domno pbco tomada de Wkpeda y modfcada con e Gmp.
4S%2%2% @Aue es una (ed <rivadaB
Una (ed <rivada es aquea que utza dreccones IP estabecdas en e RFC 1918. Es decr,
348
dreccones IP reservadas para (edes <rivadas dentro de os rangos 10.0.0.0/8 (desde 10.0.0.0
hasta 10.255.255.255), 172.16.0.0/12 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16
(desde 192.168.0.0 hasta 192.168.255.255).
4S%2%3% @AuF es un N=>B
N=> (acrnmo de Network =ddress >ransaton o Traduccn de dreccn de red), tambn conocdo
como enmascaramento de IP, es una tcnca medante a cua as dreccones de orgen y/o destno
de paquetes IP son reescrtas mentras pasan a travs de un dspostvo de encamnamento (router)
o muro cortafuegos. Se utza para permtr a mtpes anftrones en una (ed <rivada con
dreccones IP para (ed <rivada para acceder haca una Internet utzando una soa dreccn IP
pbca.
4S%2%4% @AuF es un "N=>B
"N=>, (acrnmo de "estnaton Network =ddress >ransaton o traduccn de dreccn de red de
destno) es una tcnca medante a cua se hace pbco un servco desde una (ed <rivada. Es
decr permte redrgr puertos haca dreccones IP de (ed <rivada. E uso de esta tcnca puede
permtr a un usuaro en Internet acanzar un puerto en una (ed <rivada (dentro de una L=N)
desde e exteror a travs de un encamnados (router) o muro cortafuegos donde ha sdo habtado
un N=>.
4S%3% <rocedimientos%
4S%3%+% Sustento l*ico necesario%
ptabes: Controa e cdgo de nceo de GNU/Lnux para ftracn de
paquetes de red.
proute: Con|unto de utdades dseadas para utzar as capacdades
avanzadas de gestn de redes de nceo de GNU/Lnux.
shorewa: Shorene Frewa.
Shorewa puede descargarse en formato RPM desde http://www.shorewa.net/.
S dspone de un sstema con Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux
4, puede utzar e sguente depsto yum (utzado por Linux <ara >odosg para dstrbur
MaScanner y que adems ncuye Shorewa):
>mailscanner-lpt?
name3'ailcanner ;inux Cara "odos para $n!erprise %inu# &.0
baseurl3http://111!linuxparatodos!net/lpt/1hitebox/+!0/mailscanner/
gpgke23http://111!linuxparatodos!net/lpt/;C"-RC'-Q:\
Una vez confgurado o anteror, soo bastar utzar:
2um -2 install shore1all
4S%3%2% 7ic'ero de confi*uracin /etc/s'oreMall/s'oreMall%conf
En ste se defnen, prncpamente, dos parmetros. S>=(>U<QEN=!LE" y $L=:<:SS.
349
S>=(>U<QEN=!LE" se utza para actvar Shorewa. De modo predefndo est desactvado, soo
basta cambar No por Zes.
"6R"$C5:769;:%3\es
$L=:<:SS se utza en conexones tpo PPP (PPTP o PPPoE) y srve para mtar e :SS (acrnmo
de :axmum Segment Sze que sgnfca Mxmo Tamao de Segmento). Cambando e vaor No por
Zes, Shorewa cacuar e :SS ms apropado para a conexn. S se es osado, puede tambn
especfcarse un nmero en paquetes SYN. La recomendacn es estabecer Zes s se cuenta con un
enace tpo PPP.
A;6'C'3\es
4S%3%3% 7ic'ero de confi*uracin /etc/s'oreMall/8ones
Este fchero se utza para defnr as zonas que se admnstrarn con Shorewa y e tpo de zona
(frewa, pv4 o psec). La zona fM est presente en e fchero /etc/s'oreMall%conf como
confguracn predefnda. En e sguente e|empo se regstrarn as zonas de Internet (net), Red
Loca (oc) y Zona Desmtarzada (dmz):
Ld87: %<C;6\ 8C"<87
f1 fire1all
net ipv+
loc ipv+
dm4 ipv+
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
4S%3%4% 7ic'ero de confi*uracin /etc/s'oreMall/interfaces
En ste se estabecen cuaes sern as nterfaces para as tres dferentes zonas. Se estabecen as
nterfaces que corresponden a a Internet, Zona Desmtarzada ":] y Red Loca. En e sguente
e|empo, se cuenta con una nterfaz ppp0 para acceder haca Internet, una nterfaz eth0 para
acceder haca a L=N y una nterfaz eth1 para acceder haca a ":], y en todas se socta se
cacue automtcamente a dreccn de transmsn (Broadcast):
Ld87: <7":RX6A: 9R86%A6" 8C"<87 *6":K6\
net ppp0 detect
loc eth0 detect
dm4 eth1 detect
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
En e sguente e|empo, se cuenta con una nterfaz et'0 para acceder haca Internet, una nterfaz
eth1 para acceder haca a L=N y una nterfaz et'2 para acceder haca a ":], y en todas se
socta se cacue automtcamente a dreccn de transmsn (Broadcast):
Ld87: <7":RX6A: 9R86%A6" 8C"<87 *6":K6\
net eth0 detect
loc eth1 detect
dm4 eth( detect
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
Hay una cuarta zona mpcta que corresponde a cortafuegos msmo y que se denomna fM.
350
S acaso hubera un servco de "H$<, sea como cente, como servdor o como ntermedaro, en
aguna de as nterfaces, se debe aadr a opcn d'cp para permtr a comuncacn requerda
para este servco. En e sguente e|empo e anftrn donde opera e muro cortafuegos obtene su
dreccn IP, para a nterfaz ppp0, a travs de servco "H$< de IS<; en este msmo anftrn
opera smutneamente un servdor "H$<, e cua es utzado en a red de rea oca para asgnar
dreccones IP; por todo o anteror se debe actvar a opcn "H$< para as nterfaces ppp0 2 et'+,
que correspondentemente son utzadas por a zona de Internet y a red de rea oca, pero no es
necesaro hacero para a nterfaz et'2 que es utzada para a zona de a ":]:
Ld87: <7":RX6A: 9R86%A6" 8C"<87 *6":K6\
net ppp0 detect *+p
loc eth1 detect *+p
dm4 eth( detect
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
4S%3%5% 7ic'ero de confi*uracin /etc/s'oreMall/polic2
En este fchero se estabece como se acceder desde una zona haca otra y haca a zona de
Internet.
L8$RA: %:" C8;<A\ ;8* ;<'<":9$R"
loc net 6AA:C"
dm4 net 6AA:C"
f1 net 6AA:C"
net all %R8C info
all all R:U:A" info
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
Lo anteror hace o sguente:
+% La zona de a red oca puede acceder haca a zona de Internet.
2% La zona de a DMZ puede acceder haca a zona de Internet.
3% E cortafuegos msmo puede acceder haca a zona de Internet.
4% Se mpden conexones desde Internet haca e resto de as zonas.
5% Se estabece una potca de rechazar conexones para todo o que se haya
omtdo.
Todo o anteror permte e paso entre as dversas zonas haca Internet, lo cual no es deseable s
se quere mantener una potca estrcta de segurdad. La recomendacn es cerrar todo haca todo e
r abrendo e trfco de acuerdo a como se vaya requrendo. Es decr, utzar ago como o
sguente:
L8$RA: %:" C8;<A\ ;8* ;<'<":9$R"
net all %R8C info
all all R:U:A" info
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
Lo anteror boquea todo e trfco desde donde sea a donde sea. S es necesaro reazar pruebas de
dagnstco desde e cortafuegos haca Internet para probar conectvdad y acceso haca dversos
protocoos, se puede utzar o sguente:
351
L8$RA: %:" C8;<A\ ;8* ;<'<":9$R"
f1 net 6AA:C"
net all %R8C info
all all R:U:A" info
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
Lo anteror permte a propo cortafuegos acceder haca a zona de Internet. Esta sera a potca
ms rea|ada que se pudera recomendar para mantener un nve de segurdad aceptabe.
4S%3%6% 7ic'ero de confi*uracin /etc/s'oreMall/masG
Se utza para defnr que a travs de que nterfaz o nterfaces se habtar enmascaramento, o
N=>, y para que nterfaz o nterfaces o redes se apcar dcho enmascaramento. En e sguente
e|empo, se reazar enmascaramento a travs de a nterfaz ppp0 para as redes que acceden
desde as nterfaces eth0 y eth1:
L<7":RX6A: $97:" 6%%R: CR8"8 C8R"() <C:A
ppp0 eth0
ppp0 eth1
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
En e sguente e|empo, se reazar enmascaramento a travs de a nterfaz eth0 para as redes
192.168.0.0/24 y 192.168.1.0/24:
L<7":RX6A: $97:" 6%%R: CR8"8 C8R"() <C:A
eth0 1-(!16,!0!0/(+
eth0 1-(!16,!1!0/(+
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
Tambn es posbe hacer N=> soamente haca una IP en partcuar y para un soo protocoo en
partcuar. En e sguente e|empo se hace N=> a travs de a nterfaz ppp0 para a dreccn
192.168.3.25 que accede desde a nterfaz eth1 y soo se e permtr hacer N=> de os protocoos
smtp y pop3. Los nombres de os servcos se asgnan de acuerdo a como estn stados en e fchero
/etc/services.
L<7":RX6A: $97:" 6%%R: CR8"8 C8R"() <C:A
ppp0 eth1 1-(!16,!.!() tcp ()=110
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
4S%3%7% 7ic'ero de confi*uracin /etc/s'oreMall/rules
Todos os puertos estn cerrados de modo predefndo, y es en este fchero donde se habtan os
puertos necesaros. Hay dversas funcones que pueden reazarse.
4S%3%7%+% =$$E<>
La accn ACCEPT se hace para especfcar s se permten conexones desde o haca una(s) zona (s)
un protocoo(s) y puerto(s) en partcuar. En e sguente e|empo se permten conexones desde
Internet haca e puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de os servcos se asgnan
de acuerdo a como estn stados en e fchero /etc/services.
L6A"<87 8$RA: %:" CR8"8 %:"
352
L C8R"
6AA:C" net f1 tcp ,0=()=110
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
4S%3%7%2% (E"I(E$>
La accn REDIRECT permte redrgr petcones haca un puerto en partcuar. Muy t cuando se
queren redrgr petcones para H>>< (puerto 80) y se quere que estas pasen a travs de un
Servidor Intermediario (Proxy) como Squd. En e sguente e|empo as petcones hechas desde
a red oca y desde a ":] sern redrgdas haca e puerto 8080 de cortafuegos, en donde hay un
Servidor Intermediario (Proxy) confgurado de modo transparente.
L6A"<87 8$RA: %:" CR8"8 %:"
L C8R"
R:%<R:A" loc ,0,0 tcp ,0
R:%<R:A" dm4 ,0,0 tcp ,0
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
4S%3%7%3% "N=>
La accn "N=> se utza para reenvar petcones desde un puerto de cortafuegos haca una IP y
puerto en partcuar tanto en a red oca como en a ":]. Cabe destacar que para que e "N=>
funcon se necesta que:
Est habtado e reenvo de paquetes en /etc/s2sconfi*/s2sctl%cf* y
/etc/s'oreMall/s'oreMall%conf
Los equpos haca os que se est hacendo "N=> utcen como puerta de enace
a cortafuegos desde sus correspondentes zonas.
En e sguente e|empo, se hace "N=> desde a zona de Internet para H>>< (puerto 80), S:><
(puerto 25) y <0<3 (puerto 110) por TCP y "NS (puerto 53) por >$< y U"< haca a IP 10.10.10.28
ocazada en a zona de a Red Loca.
L6A"<87 8$RA: %:" CR8"8 %:"
L C8R"
%76" net dm4:10!10!10!(, tcp ,0=()=110=).
%76" net dm4:10!10!10!(, udp ).
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
4S%3%7%4% E-emplos diversos de re*las%
En e sguente e|empo se permte a a zona de Red Loca e acceso haca e puerto 22 (SSH) de
cuaquer equpo dentro de a ":]:
L6A"<87 8$RA: %:" CR8"8 %:"
L C8R"
6AA:C" loc dm4 tcp ((
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e acceso
haca e puerto 22 (SSH) de cuaquer equpo dentro de a ":]:
353
L6A"<87 8$RA: %:" CR8"8 %:"
L C8R"
6AA:C" loc:1-(!16,!(!.+ dm4 tcp ((
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e acceso
haca e puerto 22 (ssh) de a dreccn 10.10.10.5 que est dentro de a ":]:
L6A"<87 8$RA: %:" CR8"8 %:"
L C8R"
6AA:C" loc:1-(!16,!(!.+ dm4:10!10!10!) tcp ((
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
En e sguente e|empo se hace "N=> desde a zona de Internet para os servcos de H>>< (puerto
80), S:>< (puerto 25) y <0<3 (puerto 110) por >$< y "NS (puerto 53) por >$< y U"< haca
dversos servdores ocazados ":]:
L6A"<87 8$RA: %:" CR8"8 %:"
L C8R"
%76" net dm4:10!10!10!1 tcp ,0
%76" net dm4:10!10!10!( tcp ()=110
%76" net dm4:10!10!10!. tcp ).
%76" net dm4:10!10!10!. udp ).
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
En e sguente e|empo se hace "N=> desde a zona de a Red Loca para os servcos de H>><
(puerto 80), S:>< (puerto 25), <0<3 (puerto 110) y "NS (puerto 53) haca dversos servdores
ocazados ":]:
L6A"<87 8$RA: %:" CR8"8 %:"
L C8R"
%76" loc dm4:10!10!10!1 tcp ,0
%76" loc dm4:10!10!10!( tcp ()=110
%76" loc dm4:10!10!10!. tcp ).
%76" loc dm4:10!10!10!. udp ).
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
En e sguente e|empo se hace "N=> desde a zona de Internet para os servcos de H>>< (puerto
80), S:>< (puerto 25), <0<3 (puerto 110) y "NS (puerto 53) haca dversos servdores ocazados
":] y mtar a taza de conexones a dez por segundo con rfagas de hasta cnco conexones para
cada servco:
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: 8R<*<76; R6":
L C8R" C8R"() %:" ;<'<"
%76" net dm4:10!10!10!1 tcp ,0 - - 10/sec:)
%76" net dm4:10!10!10!( tcp ()=110 - - 10/sec:)
%76" net dm4:10!10!10!. tcp ). - - 10/sec:)
%76" net dm4:10!10!10!. udp ). - - 10/sec:)
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
En e sguente e|empo as petcones hechas desde a red oca (L=N) sern redrgdas haca e
puerto 8080 de cortafuegos, en donde hay un Servidor Intermediario (Proxy) confgurado de
modo transparente, mtando a taza de conexones a dez por segundo con rfagas de hasta cnco
354
conexones. Esto es muy t para evtar ataques de "oS (acrnmo de "ena of Servce que se
traduce como Denegacn de Servco) desde a red oca (L=N).
L6A"<87 8$RA: %:" CR8"8 %:" 8$RA: 8R<*<76; R6":
L C8R" C8R"() %:" ;<'<"
R:%<R:" loc ,0,0 tcp ,0 - - (0/sec:)
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
4S%4% Iniciar el cortafue*os 2 a#adirlo a los servicios de arranGue
del sistema
service shore1all start
service shore1all restart
Para detener e cortafuegos, utce:
service shore1all stop
Cabe seaar que detener e cortafuegos tambn detene todo trfco de red, ncuyendo e trfco
provenente desde a L=N. S se desea restaurar e trfco de red, sn a proteccn de un
cortafuegos, ser necesaro tambn utzar e gun de iptables.
service iptables stop
Lo ms convenente, en caso de ser necesaro detener e cortafuegos, es defnr que dreccones IP o
redes podrn contnuar accedendo cuando e cortafuegos es detendo, o cuando ste se encuentra
en proceso de renco. Esto se defne en e fchero /etc/s'oreMall/routestopped, defnendo a
nterfaz, a travs de a cua se permtr a comuncacn, y a dreccn IP o red, en un formato de
sta separada por comas, de os anftrones que podrn acceder a cortafuegos. E|empo:
L<7":RX6A: B8"() 8C"<87
eth0 1-(!16,!1!0/(+
eth0 1-(!16,!(!.0=1-(!16,!(!.1
L;6" ;<7: -- 6%% \8$R :7"R<: 9:X8R: "B< 87: -- %8 78" R:'8P:
Para aadr Shorewa a arranque de sstema, utce:
chkconfig shore1all on
355
50% $mo confi*urar SN:<
stos.
50%+% Introduccin
SNMP (Smpe Network Management Protoco) es un protocoo ampamente utzado en a
admnstracn de redes para supervsar a saud y e benestar de equpo de a red, equpo de
computo y otros dspostvos. Net-SNMP, e sustento ogco utzado en este documento, es un
con|unto de apcacones utzados para mpementar SNMP v1, SNMP v2c y SNMP v3 utzando IPv4
y/o IPv6.
net-snmp-5.0.9
net-snmp-uts-5.0.9
Snmpd es un servco que reguarmente se nstaa de modo predefndo en a mayora de as
dstrbucones, aunque no est habtado en os servcos de arranque de sstema. E paquete net-
snmp-uts no suee nstaarse de modo predefndo, por tanto se puede e|ecutar o sguente para
reazar a Instaacn de sustento gco necesaro:
Sstemas que utcen yum:
2um -2 install net-snmp net-snmp-utils
Sstemas que utcen up2date:
up(date -i net-snmp net-snmp-utils
50%3%+% 7ic'ero de confi*uracin%
E fchero 'etc'snmp'snmpd#conf que se nstaa por defecto es una verdadera maraa de comentaros y
opcones de todo tpo. Lo ms recomendabe ser cerrar un fchero nuevo y mpo de contendo.
cd /etc/snmp
mv snmpd!conf snmpd!conf-8;%
touch snmpd!conf
356
50%3%2% Listas de control de acceso
Se deben crear as stas de contro de acceso (ACL) correspondentes en e fchero
'etc'snmp'snmpd#conf y que servrn para defnr qun tendr acceso haca e servco snmpd. A una de
estas stas se e otorgar permso de acceso de ectura y escrtura para o que sea necesaro y a a
otra de so ectura. Por razones de segurdad soamente a nterfaz 127.0.0.1 ser a de ectura
escrtura. Se otorgar permso de acceso de so ectura a una red o ben a una IP en a otra sta de
contro de acceso (ACL).
De ta modo se podran agregar un par de neas como as sguentes:
com(sec local 1(/!0!0!1/.( Al+v.-d.-6cc.s0
com(sec miredlocal 1-(!16,!1!0/(+ Al+v.-d.-6cc.s0
En o anteror, a prmera nea sgnfca que habr una sta de contro de acceso denomnada
Jlocal= y que corresponder so a 127.0.0.1/32, asgnando "lTvP8dP8AccPs: como cave de acceso.
La segunda nea hace o msmo pero defnendo a a red 192.168.1.0/24. Se puede defnr o que
uno desee mentras no sea a cave de root; o anteror debdo a que dcha cave se transmte a
travs de a red en forma de texto smpe (es decr, sn cfrar).
50%3%3% "efinicin de *rupos
Se van a crear dos grupos: :2(YGroup y :2(0Group. E prmero ser un grupo a que se
asgnarn ms adeante permsos de lectura escrituraX y e segundo ser un grupo a que
posterormente se asgnarn permsos de slo lectura. Por cada grupo se asgnan tres neas que
especfcan e tpo de acceso que se permtr en un momento dado a un grupo en partcuar. Es
decr, :2(YGroup se asoca a local y :2(0Group a miredlocal.
Le asigna local al grupo de le+!ur) es+ri!ur)
group '2RK*roup v1 local
group '2RK*roup v(c local
group '2RK*roup usm local
Le asigna miredlocal al grupo de solo le+!ur)
group '2R8*roup v1 miredlocal
group '2R8*roup v(c miredlocal
group '2R8*roup usm miredlocal
50%3%4% (amas permitidas
Se especfcan as ramas que se van a permtr ver a travs de servco. Lo ms comn para, por
e|empo, utzarse con MRTG, es o sguente:
LL name incl/excl subtree mask(optional)
vie1 all included !1 ,0
50%3%5% =si*nacin de permisos a los *rupos
Se debe especfcar qu permsos tendrn os dos grupos, MyROGroup y MyRWGroup. Son de
especa nters as tmas coumnas.
357
LL group context sec!model sec!level prefix read 1rite notif
access '2R8*roup GG an2 noauth exact all none none
access '2RK*roup GG an2 noauth exact all all all
50%3%6% <ar;metros de car;cter informativo
Se defnen dos parmetros de carcter nformatvo para que cuando utcen apcacones cente
como MRTG, se ncuya aguna nformacn acerca de a qu sstema se est accedendo.
s2slocation ervidor ;inux en $-:RP<%8R!algun-dominio!net
s2scontact 6dministrador (fulanoTalgun-dominio!net)
50%3%7% Un e-emplo real
E e|empo que mostramos a contnuacn se utza en todas as PC que posee e autor en casa y a
ofcna. Bastar reempazar redlocalX por o que uno consdere apropado, y reempazar
+S2%+69%+%0/24 por la red o a IP desde donde se requera acceder con un cente snmp, como
MRTG.
L ;istas de control de acceso (6A;)
LL sec!name source communit2 (alias clave de acceso)
com(sec local 1(/!0!0!1/.( Al+v.-d.-6cc.s0
com(sec miredlocal 1-(!16,!1!0/(+ Al+v.-d.-6cc.s0
Le asigna 6A; al grupo de lectura escritura
group '2RK*roup v1 local
group '2RK*roup v(c local
group '2RK*roup usm local
Le asigna 6A; al grupo de solo lectura
group '2R8*roup v1 miredlocal
group '2R8*roup v(c miredlocal
group '2R8*roup usm miredlocal
L Ramas '<9 Oue se permiten ver
LL name incl/excl subtree mask(optional)
vie1 all included !1 ,0
L :stablece permisos de lectura 2 escritura
LL group context sec!model sec!level prefix read 1rite notif
access '2RK*roup GG an2 noauth exact all all all
L <nformaci@n de Aontacto del istema
s2slocation ervidor ;inux en amdk6!nombre-de-dominio-resuelto
s2scontact 6dministrador (fulanoTalgun-dominio!net)
S es necesaro aadr ms equpos para que accedan a servco snmp, so hay que hacer o
sguente:
1. Agregar una ACL con un nombre nco. E|empo:
358
com(sec mi+uev) 1-(!16,!1!()1 Al+v.-d.-6cc.s0
2. Agregar un |uego regas que asgnen a grupo, en este caso micueva, con o sguente:
group o!ro,rupo v1 local
group o!ro,rupo v(c local
group o!ro,rupo usm local
1. Agregar una nea donde se estabece qu permsos tendr e grupo otro*rupo. Este
e|empo ser so ectura:
50%3%9% Iniciar el servicio 2 a#adirlo a los servicios de arranGue del
sistema
Ince e servco de SNMP y aada ste a resto de os servcos que arrancan |unto con e sstema:
service snmpd start
chkconfig snmpd on
Suponendo que se asgn como cave de acceso $l4v3)d3)=cc3s0 en un sstema cuya dreccn IP
es +S2%+69%+%254, para probar s a confguracn funcona, so hay que e|ecutar os dos
sguentes mandatos a fn verfcar que devuevan nformacn acerca de sstema consutado.
snmp1alk -v 1 192.16H.1.25& -c ?l&v3'*3'8++3s0 s2stem
snmp1alk -v 1 192.16H.1.25& -c ?l&v3'*3'8++3s0 interfaces
359
5+% $mo confi*urar :(>G
stos.
5+%+% Introduccin
MRTG (Mut Router Traffc Grapher) es una herramenta, escrta en C y Per por Tobas Oetker y Dave
Rand, que se utza para supervsar a carga de trfco de nterfaces de red. MRTG genera pgnas
HTML con grfcos que proveen una representacn vsua de este trfco.
MRTG utza SNMP (Smpe Networque Management Protoco) para recoectar os datos de trfco de
un determnado dspostvo (ruteadores o servdores), por tanto es requsto contar con a menos un
sstema con SNMP funconando y correctamente confgurado.
5+%2% Sustento l*ico necesario
mrtg 2.10.15
MRTG reguarmente no se nstaa de modo predefndo en a mayora de as dstrbucones. Puede
e|ecutar o sguente para reazar a Instaacn de sustento gco necesaro:
Sstemas que utcen yum:
2um -2 install mrtg
Sstemas que utcen up2date:
up(date -i mrtg
5+%3% <rocedimientos
Genere e drectoro de traba|o de MRTG de sguente modo:
mkdir -p /var/111/mrtg/miredlocal
Respade e fchero de confguracn predetermnado:
cp /etc/mrtg/mrtg!cfg /etc/mrtg/mrtg!cfg-8;%
Para generar e fchero de confguracn para supervsar una soa dreccn IP, e|ecute o sguente,
donde $l4v3)d3)=cc3s0 es a cave de acceso defnda en a confguracn de SNMP de sstema
nvoucrado:
360
cfgmaker D
--global G1orkdir: /var/111/mrtg/miredlocalG D
--global G8ptions>5?: bits=gro1rightG D
--output /etc/mrtg/mrtg!cfg D
?l&v3'*3'8++3s0T1-(!16,!1!1
Para generar e fchero de confguracn para supervsar varas dreccones IP, e|ecute o sguente,
donde $l4v3)d3)=cc3s0 es a cave de acceso s sta fue defnda as en a confguracn de SNMP
de todos os sstemas nvoucrados:
cfgmaker D
--global G1orkdir: /var/111/mrtg/miredlocalG D
--global G8ptions>5?: bits=gro1rightG D
--output /etc/mrtg/mrtg!cfg D
--communit23?l&v3'*3'8++3s0 D
1-(!16,!1!1 D
1-(!16,!1!( D
1-(!16,!1!. D
1-(!16,!1!+
5+%4% $omprobaciones
E paquete de MRTG ncuye un gun para crontab en /etc/cron.d/mrt" de modo que ste e|ecute
MRTG autom;ticamente cada 5 mnutos, por o que s se quere comprobar a confguracn so
es necesaro esperar agunos mnutos. S desea generar un reporte a momento, e|ecute mrtg
utzando o sguente:
env ;67*3A mrtg /etc/mrtg/mrtg!cfg
Rence Apache a fn de cargar a confguracn que permtr acceder haca os reportes de MRTG a
travs de ste.
Puede mrar con agn navegador os resutados en e drectoro /var/www/mrt"/miredlocal de dsco
duro, o ben accedendo a travs de Apache haca
!ttp233<BQ.:.:.<3mrt%3miredlocal3#+,.#-..#.#FB.!tml, suponiendo que se desea ver el reporte del
sistema con AD <UB.<HO.<.<.
361
52% $mo instalar correctamente avag a partir
de paGuete (<:
stos.
52%+% <rocedimiento
1. Dr|a e navegador haca e sto de red de |ava y proceda a descargar e paquete auto-
extrabe que contene e RPM de $avaV B Luntime Environment 1.4.2 desde
http://www.|ava.com/en/downoad/nux_manua.|sp.
2. Haga e|ecutabe |re-1_5_0_04-nux-586-rpm.bn a fn de poder extraero:
chmod [x Ere-15)5050+-linux-i),6-rpm!bin
3. E|ecute |re-1_5_0_04-nux-586-rpm.bn:
!/Ere-15)5050+-linux-i),6-rpm!bin
4. Lea en su totalidad a cenca y confrme que acepta os trmnos de a msma, s se es e
caso. Una vez hecho o anteror, se extraer automtcamente e paquete RPM |2re-1_5_0_04-
nux-586.rpm.
5. Como root nstae |re-1_5_0_04-nux-586.rpm:
su
rpm -$vh Ere-15)5050+-linux-i),6!rpm
6. Proceda a crear e fchero /etc/profile%d/-ava%s' a fn de ncur en ste una nea que
aadr a ruta de bnaros de |ava 2 (/usr/|ava/|re1.5.0_04/bn, o o que corresponda segn a
versn de paquete RPM) a as rutas predetermnadas de e|ecutabes de sstema.
export C6"B3/usr/Eava/Ere1!)!050+/bin:FC6"B
U6P65B8':3G/usr/Eava/Ere1!)!050+/G
export U6P65B8':
7. Haga e|ecutabe /etc/profile%d/-ava%s',
chmod /)) /etc/profile!d/Eava!sh
8. Instae a extensn (Pug-n) |ava para Moza de sguente modo:
S utza una versn de Moza, Frefox o Netscape compada con GCC 3.x (Red Hat
362
Enterprse Lnux 3, CentOS 3.0 2 versiones posteriores), deber e|ecutar:
cd /usr/lib/mo4illa/plugins/
ln -s /usr/Eava/Ere1!)!050+/plugin/i.,6/ns//libEavaplugin5oEi!so !/
S utza una versn de Moza o Netscape compada con GCC 2.96 (Red Hat Enterprse
Lnux 2.1 y CentOS 2.1), deber e|ecutar:
cd /usr/lib/mo4illa/plugins/
ln -s /usr/Eava/Ere1!)!050+/plugin/i.,6/ns/-gcc(-/libEavaplugin5oEi!so !/
9. En al*unas versiones de paquete RPM se inclu2e un fic'ero Gue muestra una entrada
para el escritorio, pero hay un error de omsn en dcho fchero. ste es responsabe de
que as preferencas de |ava aparezcan en e men de preferencas de escrtoro. De exstr,
modfque e fchero /usr/s'are/applications/sunQ-ava%desLtop y aada un ";" (punto y
coma) a fna de a nea $ate*oriesT=pplicationaSettin*s, de modo ta que e contendo
quede de a sguente manera:
>%esktop :ntr2?
7ame3Uava
Aomment3Uava Aontrol Canel
:xec3/usr/Eava/Ere1!)!050+/bin/AontrolCanel
<con3/usr/Eava/Ere1!)!050+/plugin/desktop/sun5Eava!png
"erminal3false
"2pe36pplication
?)!e,ories78ppli+)!ionU/e!!in,sU
S e fchero no exste, puede generaro con e contendo anterormente mostrado.
10.$ierre todas las sesiones *r;ficas 2 de consola Gue estFn abiertas NN0 SIGNI7I$=
AUE "E!E (EINI$I=( EL SIS>E:=C 2 vuelva a in*resar como usuario.
Para comprobar s |ava qued nstaado correctamente, e|ecute o sguente desde una termna
1hich Eava

Lo anteror debe devover que e mandato java est en /usr/-ava/-re+%5%0Q04/bin/-ava.
Abra Moza, Epphany o Gaeon y en a barra de dreccones escrba about,plu*ins. Puse a teca
ENTER. Deber aparecer a nformacn acerca de as extensones nstaadas para Moza, y entre
stas deber aparecer a nformacn correspondente a a extensn (pug-n) |ava
363
Informacn sobre e Pug-n de |ava en Moza
Por tmo, verfque en e men de GNOME que aparezca a entrada de men de Pane de Contro
de |ava en /en0 principal 1 2re(erencias 1 /3s pre(erencias. Haga cc en Ja4a y verfque
que funcone.
Pane de Contro de |ava 2
Pruebe acceder haca agn sto que tenga un apque |ava para corroborar que a extensn para
Moza ha quedado nstaada correctamente. Encontrar varos enaces haca |uegos y otras
apcacones en http://www.|ava.com/es/.
364
53% $mo instalar la extensin Nplu*)inC 7las'
para :o8illa
stos.
53%+% Introduccin
Los procedmentos descrtos permtrn vsuazar desde Moza, Moza Frebrd, Epphany o Gaeon
contendo Web en Macromeda Fash 5 (y versones anterores) y Macromeda Fash MX con
extensones *.swf y *.sp.
Los procedmentos de Instaacn de sustento gco necesaro suponen que ya ey en su
totalidad y sgu os procedmentos de documento de Yum correspondente.
53%2%+% Instalacin del sustento l*ico necesario en $ent0SX Y'ite !ox 2
(ed Hatg Enterprise Linux 3
Modfque /etc/2um%conf y aada e sguente contendo:
>flash-plugin?
name3'acromedia Xlash Cla2er
baseurl3http://sluglug!ucsc!edu/macromedia/apt/redhat/./
2um -2 install flash-plugin
S est nstaando por prmera vez aparecer una ventana grfca que soctar eer a
cenca y aceptar os trmnos de a msma.
53%2%2% Instalacin del sustento l*ico necesario en $ent0SX Y'ite !ox 2
(ed Hatg Enterprise Linux 4
Genere e fchero /etc/2um%repos%d/flas'%repo y aada e sguente contendo:
>flash-plugin?
name3'acromedia Xlash Cla2er
baseurl3http://sluglug!ucsc!edu/macromedia/apt/redhat/./
2um -2 install flash-plugin
S est nstaando por prmera vez aparecer una ventana grfca que soctar eer a
cenca y aceptar os trmnos de a msma.
365
Abra Moza, Moza Frebrd, Epphany o Gaeon y en a barra de dreccones y tece about,plu*ins.
Puse enter. Deber aparecer a nformacn acerca de as extensones nstaadas para Moza; entre
stas deber aparecer a nformacn correspondente a a extensn (pug-n) Macromeda Fash
Informacn sobre e Pug-n de Macromeda Fash en Moza.
366
54% $mo confi*urar esc;ner en red
stos.
Este manua se basa sobre e documento redactado por marianodjes y pubcado orgnamente en
e artcuo 3379 en Lnux Para Todos.
54%+% El servidor
54%+%+% Sustento l*ico necesario
sane-backends
sane-frontends
xnetd
S se utza Fedora Core o Whte Box Enterprse Lnux, so basta e|ecutar:
2um -2 install sane-backends sane-frontends xinetd
54%+%2% <rocedimientos
Debemos verfcar que en e fchero /etc/sane%d/dll%conf est habtada a nea net.
L enable the next line if 2ou 1ant to allo1 access through the net1ork:
net
Se aade en e fchero /etc/sane%d/saned%conf a a sta de dreccones IP a a que tendrn
permtdo conectarse a servco de escner en red. E|empo:
367
L
L saned!conf
L
L "he contents of the saned!conf file is a list of host
L names or <C addresses that are permitted b2 saned to
L use local 67: devices in a net1orked configuration!
L "he hostname matching is not case-sensitive!
L
Lscan-client!somedomain!firm
L1-(!16,!0!1
1(/!0!0!1
1-(!16,!1!()+
1-(!16,!1!().
1-(!16,!1!()(
1-(!16,!1!()1
1-(!16,!1!()0
Para fnes nformatvos en e sstema, se edta e fchero /etc/services y se aade a sguente nea:
saned 6)66/tcp saned L 67: net1ork scanner daemon!
6566 es e puerto por donde accedern a escner en red.
Debe crearse e fchero /etc/xinetd%d/saned con e sguente contendo:
service saned
R
socket5t2pe 3 stream
server 3 /usr/sbin/saned
protocol 3 tcp
user 3 root
group 3 root
1ait 3 no
disable 3 no
S

Una vez hecho todo esto actvamos xnetd, especfcando que e servco se actve:
chkconfig saned on
S todo ha do ben, podemos comprobar e funconamento de servco con un smpe telnet haca
e puerto 6566.
telnet localhost 6)66
Lo anteror debe devover ago como o sguente:
"r2ing 1(/!0!0!1!!!
Aonnected to localhost!
:scape character is I`?I!
368
Para sar soamente tecee Guit y uego presone a teca ENTER.
54%2% Los clientes
54%2%+% Sustento l*ico necesario
sane-backends
sane-frontends
xsane-gmp
xsane
sane-frontends
S se utza Fedora Core o Whte Box Enterprse Lnux, so basta e|ecutar:
2um -2 install sane-backends sane-frontends xsane-gimp xsane sane-
frontends
54%2%2% <rocedimientos
Deben edtarse en os equpos centes e fchero /etc/sane.d/net.conf y especfcarse a dreccn IP
de servdor recn confgurado:
L "his is the net config file! :ach line names a host to attach to!
L <f 2ou list GlocalhostG then 2our backends can be accessed either
L directl2 or through the net backend! *oing through the net backend
L ma2 be necessar2 to access devices that need special privileges!
1-(!16,!1!1
E e|empo anteror consdera que e servdor donde se confgur e escner tene a dreccn IP
192.168.1.1
Soamente bastar e|ecutar xsane en os centes y stos debern detectar automtcamente e
escner en e servdor 192.168.1.1. Recuerde que so se puede utzar e escner por un cente a
a vez.
369
55% Usando Smartd para anticipar los desastres
de disco duro
stos.
55%+% Introduccin
La mayora de as dstrbucones recentes ncuyen smartctl y smartd (parte de smartmontools
ncudo en e paquete Lernel)utils), que son herramentas utzadas para supervsar a saud de os
dscos duros reazando pruebas para comprobar su buen funconamento. Mentras e dsco y a
tar|eta madre (soporte que se actva en e BIOS) tenga capacdad para utzar S.M.A.R.T. (Sef-
:ontorng, =nayss and (eportng >echnoogy), es posbe antcpar as faas de un dsco duro.
So basta confgurar un fchero (/etc/smartd%conf) e ncar un servco (smartd).
E fchero /etc/smartd%conf so requere una nea de confguracn por cada dsco duro en e
sstema. E|empos:
/dev/hda -a -m alguienTcuenta-de-correo!algo
/dev/sda -d scsi -a -m alguienTcuenta-de-correo!algo
/dev/sdb -d scsi -a -m alguienTcuenta-de-correo!algo
Lo anteror hace que se env un reporte competo y detaado de toda a nformacn S.M.A.R.T. y
as aertas pendentes. La opcn -a en dscos IDE equvae a '-H - -c -A - error )l selftest )l
selective', y en dscos SCSI equvae a c)H )i )= )l error )l selftest', donde:
-B Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar
reportes a un tefono mv, sta sera a opcn nca a utzar.
-i Incuye en e reporte e numero de modeo, nmero de sere, versn de Frmware
e nformacn adcona reaconada.
-c Incuye en e reporte as capacdades S.M.A.R.T.
-6 Incuye en e reporte atrbutos S.M.A.R.T. especfcos de fabrcante de dsco.
-l
error
Incuye en e reporte a btcora de errores de S.M.A.R.T.
-l
selftes
t
Incuye en e reporte a btcora de pruebas de S.M.A.R.T.
-l
selecti
Agunos dscos tpo ATA-7 (e|empo: Maxtor) ncuyen una btcora de pruebas
seectvas.
370
-B Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar
reportes a un tefono mv, sta sera a opcn nca a utzar.
ve
-m Cuenta de correo eectrnco a a cua se envarn reportes.
S por e|empo, so nos nteresa recbr reportes de saud en un tefono mv, se utzara
soamente o sguente:
/dev/hda -B -m alguienTcuenta-de-correo!algo
/dev/sda -d scsi -B -m alguienTcuenta-de-correo!algo
/dev/sdb -d scsi -B -m alguienTcuenta-de-correo!algo
Hecho o anteror, so basta agregar e servco a os servcos de arranque de sstema e ncar (o
rencar, segn e caso) smartd:
chkconfig smartd
service smartd start
E servco se encarga de e|ecutar automtcamente en e trasfondo de sstema todas as pruebas
necesaras y soportadas por as undades de dsco duro presentes. E reporte se enva
automtcamente |unto con e mensa|e con e reporte de a btcora de sstema unos mnutos
despus de as 4:00 AM.
S se quere ver un reporte a momento, competo y detaado, suponendo que se trata de un dsco
duro en e IDE 1, basta e|ecutar:
smartctl -a /dev/hda
S se quere ver un reporte a momento y que so muestre e estado de saud de a undad,
suponendo que se trata de un dsco duro en e IDE 1, basta e|ecutar:
smartctl -B /dev/hda
371
56% Glosario de mandatos b;sicos
Actuazado e Sbado 19/04/2003, 07:36:14 GMT -0600.
Dablo Marcelo Moia
%amme(ane1linu(paratodos.net
stos.
56%+% :andatos *enerales
!1sGuedas
man mandato Muestra un manua sobre e mandato. Su modo de uso y
sus varantes.
shutdo1n -h ) Apaga e sstema en 5 mnutos despus de e|ecutarse y no
renca.
shutdo1n -h no1 Apaga e sstema en ese momento y NO o vueve a renca
halt Apaga e sstema de a msma manera que e mandato
anteror.
shutdo1n -r ) Apaga e sstema 5 mnutos despus de habero e|ecutado
y renca.
shutdo1n -r no1 Apaga e sstema en ese momento y renca.
reboot Renca e sstema.
startx Inca e entorno grfco.
adduser miusuario Agrega un usuaro amado musuaro.
pass1d miusuario Le asgna a cave de acceso a usuaro musuaro.
userdel miusuario Borra a cuenta musuaro.
su Da momentneamente prvegos de ROOT (S sabemos a
cave :) )
su - miusuario Se toma momentneamente os prvegos de usuaro
musuaro.
exit Sae de perf de usuaro que o e|ecuta.
mount -t iso-660
/dev/cdrom
/mnt/cdrom
Monta a undad de CD-ROM en e drectoro especfcado
(/mnt/cdrom)
mount -t msdos
/dev/hda1 /mnt/1in5c
Monta e dsco "C" en e drectoro especfcado con
partcn msdos.
mount -t vfat
/dev/hda1 /mnt/1in5c
Monta e dsco "C" con partcn FAT en e drectoro
especfcado.
umount /mnt/cdrom Desmonta e CD-ROM.
umount /mnt/1in5c Desmonta e dsco rgdo "C"
usermount Una forma fc y rpda de montar y desmontar undades.
372
Xconfigurator Srve para cambar a resoucn, profunddad y paca de
vdeo.
xf,6config Archvo de confguracn de X.
s1itchdesk Camba e entorno grfco por defecto (GNOME, KDE, etc.).
56%2% >ratamiento de arc'ivos
cd /home/miusuario Ingresa a drectoro /home/musuaro.
cd !! Vueve a drectoro raz.
ls -l Lsta os archvos de drectoro actua con todos sus
atrbutos.
ls -X Lsta os archvos de drectoro actua ndcando su tpo
(archvo, drectoro, etc.).
ls -lA Lsta os archvos de drectoro actua en coumnas.
ls -a Lsta os archvos nvsbes de drectoro actua.(os que
empezan con "../../../../home/|barros/.").
rm lpt!txt Borra e archvo con nombre pt.txt.
rm -R /miusuario Borra e drectoro musuaro con todos os archvos que
tene dentro (Recursvo).
rm -Rf /miusuario Borra e drectoro musuaro en forma recursva y SIN
PREGUNTAR. -Atencn con este mandato sendo Root-.
cp lpt!txt
/home/miusuario
Copa e Archvo pt.txt dentro de drectoro
/home/musuaro.
mv lpt!txt
/home/miusuario
Mueve e Archvo pt.txt dentro de drectoro
/home/musuaro.
mv lpt!txt
linux5para5todos!txt
Le camba e nombre a archvo pt.txt por
nux_para_todos.txt.
J Representa todo. E|empo: s *.rpm (sta todos os archvos
con extensn rpm).
_ Representa un so carcter. E|empo: s ?.txt (sta todos
os archvos de un so carcter con extensn txt).
56%3% :ane-o de paGueter.a
rpm -ivh lpt-ne1s-
0!1-)!i.,6!rpm
Instaa e paquete pt-news-0.1-5.386.rpm (Use
preferentemente -Uvh)
rpm -$vh lpt-ne1s-
0!1-)!i.,6!rpm
Instaa o actuaza e paquete pt-news-0.1-5.386.rpmA
(usar ste, preferentemente, para nstaar)
rpm -e lpt-ne1s Desnstaa e paquete pt-news (no se necesta n a versn
n a extncn)
rpm -Of /bin/ls Muestra en qu paquete est ncudo e mandato s. 8ver
4!ereis, en secci'n b&squeda8
rpm -O lpt-ne1s Muestra a versn de paquete ya nstaado pt-news.
rpm -Ol lpt-ne1s Lsta os componentes de paquete pt-news, prevamente
nstaado, con sus respectvas rutas.
373
rpm -Oa Lsta todos os paquetes nstaados en e sstema (no se
necestan prvegos de ROOT)
rpm -Oa Wgrep lpt Lsta todos os paquetes que contengan pt en su nombre.
tar -4xvf lpt!tar!g4 Descomprme y Desempaqueta e archvo pt.tar.gz
tar -4cvf lpt!tar!g4
/home/miusuario
Empaqueta y Comprme e drectoro /home/musuaro
dentro de pt.tar.gz
tar -Exvf
lpt!tar!b4(
Descomprme y Desempaqueta e archvo pt.tar.bz2
tar -Ecvf
lpt!tar!b4(
/home/miusuario
Empaqueta y Comprme e drectoro /home/musuaro
dentro de pt.tar.bz2
tar -c'f /dev/fd0 Empaqueta e drectoro actua en mtpes Dskettes.
56%4% Sistema
ps -axu Wless Lsta os procesos que se estn correndo.
kill -- 1(. Mata e proceso con nmero de PID 123, sn dare tempo a
termnar
kill -1) 1(. Fuerza a termnar e proceso (e -15 no es necesaro ya que
es e nmero por defecto)
kill -l Lsta os posbes argumentos de e mandato, -15
(termnar), -9(matar) etc.
top Cumpe a funcn de ps y k smutneamente en consoa.
>Atrl?[>6lt?[>%el? Shutdown. Apaga e sstema de forma organzada desde
una termna de texto.
>Atrl?[>6lt?[>X1? Camba a a prmera termna de texto.
>Atrl?[>6lt?[>Xn? Camba a a termna de texto nmero n (n=1,...,8)
>Atrl?[>6lt?[>X/? Camba a a prmera termna X (s se est usando aguna)
>Atrl?[>6lt?[>Xn? Camba a a termna X nmero n (n=7,...,12)
>"ab? Auto-competa e nombre de un mandato, fchero,
drectoro, programa, cuando traba|amos en una termna
texto.
>6rro1$p? (Fecha arrba) Va modfcando a hstora de mandatos que
hemos escrto anterormente en termna texto.
>hift?>Cg$p? Scro a sada de a termna haca arrba, en termna
texto.
>hift?>Cg%o1n?: Scro a sada de a termna haca aba|o, en termna
texto.
>Atrl?[c Termna e proceso actua. S no est correndo de fondo
>Atrl?[d Termna a termna actua.
>Atrl?[s Para a transferenca a a termna.
>Atrl?[4 Manda e proceso actua a correr de fondo.
hostname Devueve e nombre de a mquna.
uptime Devueve a cantdad de tempo transcurrdo desde a
374
tma vez que se arranc e sstema.
uname -a Informacn sobre e sstema operatvo de a mquna.
dmesgWmore Imprme e "rng buffer" de kerne.
free -tm Informacn sobre a cantdad de memora dsponbe y
utzada.
df -h Informacn sobre todo os dspostvos montados en a
mquna.
du -bh /Wmore Informacn sobre e espaco ocupado por cada drectoro
subordnado, comenzando en e drectoro raz (/)
cat /proc/cpuinfo Informacn sobre e mcroprocesador
cat /proc/interrupts Informacn sobre as nterrupcones en uso (IROs)
cat
/proc/files2stems
Informacn sobre os sstemas de archvos que se pueden
utzar (compados en e kerne).
1ho Informacn sobre os usuaros usando e sstema.
id miusuario Informacn sobre UID, GID y GROUPS de usuaro
musuaro
last Informacn sobre os tmos usuaros que han usado e
sstema.
/sbin/ifconfig Informacn sobre os dstntos dspostvos de red
netstat Informacn vaosa sobre a conexn de red
find / -name lpt!txt
-print
Busca e archvo pt.txt empezando por e drectoro / y o
muestra en pantaa .
find / -name lpt!txt
H b]sOueda!txt
Busca e archvo pt.txt empezando por e drectoro / y
guarda a sada en e archvo bsqueda.txt
1hereis fichero Busca os fcheros bnaros, fuentes y pgnas de manua
correspondentes a un paquete
375
57% L<> "esLtop
stos.
57%+% @AuF es L<> "esLtopB
LPT Desktop es una coeccn de sustento gco cuyo ob|etvo es enrquecer os sstemas operatvos
con apcacones y herramentas de vanguarda.
LPT Desktop 3.0, a ms recente versn, est consttudo por ms m;s de +200 paGuetes que
ncuyen, entre otras cosas, os ms recentes anzamentos de GN0:E 2%+2, Frefox 1.5, Evouton
2.8, Gmp 2.2, Gthumb 2.6, Xne-b 1.0, Mpayer, Totem 1.0, Nvu +%0, Transcode, K3b 0.12.10,
muc'os -ue*os libres para Lnux y muchos otros paquetes ms; reguarmente so estn
dsponbes para Fedora Core y otras dstrbucones.
57%2% Sistemas operativos soportados por L<> "esLtop
Lnux Para Todos ofrece soporte para as sguentes versones de LPT Desktop:
Versn Sstemas operatvos soportados Arqutectura
2.4
Red Hat Enterprse Lnux 3
CentOS 3
Whte Box Enterprse Lnux 3
x86
3.6
Red Hat Enterprse Lnux 4
CentOS 4
Whte Box Enterprse Lnux 4
x86
57%3% @$mo puedo instalarloB
Se requere nstaar en e sstema una ave pbca dsponbe en http://pt-
desktop.nuxparatodos.net/pt/LPT-RPM-KEY.
1get http://lpt-desktop!linuxparatodos!net/lpt/;C"-RC'-Q:\
rpm --import ;C"-RC'-Q:\
S no se han aaddo as aves pbcas de a dstrbucn utzada, proceda a hacero ahora:
rpm --import /usr/share/rhn/JQ:\J
Es ndspensabe que estn confgurados correctamente os depstos yum predetermnados de
sstema especfcos para a dstrbucn utzada. Para ms detaes a respecto, consute a
documentacn correspondente para cada dstrbucn en partcuar.
376
Se requere adems aadr a sguente confguracn a os depstos yum de sstema.
57%3%+% L<> "esLtop 3%6
lpt'desktop!
nameI;nterprise Dinux 2releasever ' 2basearch ' D=< Eesktop *.2 para ;nterprise Dinux +
mirrorlistIhttp://www.linuxparatodos.net/lpt/el+/lpt'desktop
"p"ke#Ihttp://www.linuxparatodos.net/lpt/D=<'F=:'T;R
"p"checkI(
57%3%2% L<> "esLtop 2%4
"nome'2.H!
nameI;nterprise Dinux 2releasever ' 2basearch ' D=< Eesktop 2.+ ' KN9:; 2.H
baseurlIftp://ftp.lpt'desktop.d2".com/pub/lpt'desktop/whitebox/*.M/i*H-/"nome/
ftp://lptdesktop.is"leas.net/pub/lpt/whitebox/*.M/i*H-/"nome/
ftp://2MM.,2.W2.--/pub/lpt'desktop/whitebox/*.M/i*H-/"nome/
ftp://koalasoft.homelinux.net/pub/lpt'desktop/whitebox/*.M/i*H-/"nome
ftp://manowar.sfera.cl/pub/lpt'desktop/whitebox/*.M/i*H-/"nome/
ftp://ftp.infinitum.d2".com/pub/lpt'desktop/whitebox/*.M/i*H-/"nome/
ftp://lpt'desktop.linuxparatodos.net/pub/whitebox/*.M/i*H-/"nome/
"p"checkI(
lpt'extras!
nameI;nterprise Dinux 2releasever ' 2basearch ' D=< Eesktop 2.+ ' ;xtras
baseurlIftp://ftp.lpt'desktop.d2".com/pub/lpt'desktop/whitebox/*.M/i*H-/lpt/
ftp://lptdesktop.is"leas.net/pub/lpt/whitebox/*.M/i*H-/lpt/
ftp://2MM.,2.W2.--/pub/lpt'desktop/whitebox/*.M/i*H-/lpt/
ftp://koalasoft.homelinux.net/pub/lpt'desktop/whitebox/*.M/i*H-/lpt
ftp://manowar.sfera.cl/pub/lpt'desktop/whitebox/*.M/i*H-/lpt/
ftp://ftp.infinitum.d2".com/pub/lpt'desktop/whitebox/*.M/i*H-/lpt/
ftp://lpt'desktop.linuxparatodos.net/pub/whitebox/*.M/i*H-/lpt/
"p"checkI(
57%3%3% <rocedimientos%
57%3%3%+% L<> "esLtop 2%4
1. Respadar os drectoros -/.gconf de as cuentas de usuaro.
2. $errar cuaquer sesn de GNOME aberta. A fn de evtarnos sustos y moestas,
GNOME no debe estar e|ecutndose a momento de nstaar e sustento gco.
3. Cambar a nve de corrda 3 (GDM no debe estar e|ecutndose)
init *
4. Como root e|ecutar:
#um install "nome'all
#um update
5. Ser mu2 pacentes e rse a cenar o por un caf. Agunos de os espe|os estn a su
mxma capacdad.
6. Regresar a nve de corrda 5 y acceder como usuaro.
L<> "esLtop 3%6
1. Respadar os drectoros -/.gconf de as cuentas de usuaro.
2. $errar cuaquer sesn de GNOME aberta. A fn de evtarnos sustos y moestas,
GNOME no debe estar e|ecutndose a momento de nstaar.
3. Cambar a nve de corrda 3 (GDM no debe estar e|ecutndose)
init *
4. Como root e|ecutar:
yum nsta gnome-a
yum update
377
5. Ser mu2 pacentes e rse a cenar o por un caf. Agunos de os espe|os estn a su
mxma capacdad.
6. Regresar a nve de corrda 5 y acceder como usuaro.
57%4% Errores conocidos
57%4%+% L<> "esLtop 3%6
Cuando se utza Frefox por prmera vez en una nueva cuenta de usuaro en un sstema
recn nstaado, se genera un drectoro -/.moza propedad de Root, o cua no de|a ncar
Frefox. Este probema no es excusvo de LPT Desktop sno de versones recentes de Frefox.
La soucn es emnar e drectoro -/.moza y de|ar que se genere un nuevo drectoro
automtcamente.
Para poder acceder con Nautus (admnstrador de archvos) haca dreccones como sftp:// o
smb://, es necesaro desactvar SELnux.
GNOME Pot, a herramenta para sncronzar con os dspostvos de mano Pam Pot, est
competamente roto, partcuarmente os conductos para Nove Evouton. Por favor utzar
|pot para sncronzar y respadar nformacn desde dspostvos de mano Pam Pot.
E apque de montor de sstema suee estrearse a termnar a sesn de GNOME.
57%4%2% L<> "esLtop 2%4
La compacn evouton-connector para Evouton 2.0.x, es decr, a extensn para acceder
a servdores MS Exchange desde Evouton requere una versn de OpenLDAP que por e
momento no puede ser ncuda en LPT Desktop (demasadas dependencas en e sstema).
Por tanto no se ncuye dcho paquete. S se es usuaro de Evouton y se requere evouton-
connector para traba|ar, LPT Desktop no es una buena aternatva.
Monodeveop, no ncudo en a nstaacn predefnda, e fatan agunas pantas. Por o
dems parece traba|ar perfectamente.
Asstente de K3b, paquete no ncudo en a nstaacn predefnda; est ncudo |unto con e
paquete prncpa, vaya, k3b, pero ste est roto. Confguracn manua requerda. Por o
dems K3b debe traba|ar perfectamente.
Ecpse, paquete ncudo en Red Hat Enterprse 3.0, no puede funconar con Moza 1.7.11
que es a versn utzada por LPT Desktop. S se es usuaro de Ecpse, LPT Desktop, esto no
es una buena aternatva.
57%5% @$mo puedo cooperar con el pro2ectoB
Donando espaco y ancho de banda para poner ms servdores espe|o. Los actuaes se
encuentran a toda su capacdad, y savo por uno, e resto son enaces ADSL con IP dnmca.
Envando reportes de errores.
Ayudando a depurar errores.
378
57%6% @:;s pre*untasB
@AuF tan estable esB Lo sufcente para e uso daro.
@<or GuF no 'an incluido K"E 3%4B Respuesta en:
http://www.nuxparatodos.net/geekog/artce.php?story=kde-pt-desktop.
@$u;l es la motivacin de este pro2ectoB Hacer de pataformas como Red Hat Enterprse
Lnux, CentOS y Whte Box Enterprse Lnux sstemas operatvos ms amstosos y dvertdos para e
usuaro que quere un sstema operatvo estabe, y a msmo tempo un escrtoro bonto y con
sufcentes herramentas como para no extraar n envdar muchos otros sstemas operatvos como
Fedora Core.
@AuF paGueter.a no puede ser incluida en L<> "esLtopB Aquea que no sea bre o cuando
menos que permta su bre dstrbucn en forma bnara.
379
59% E-ercicios
59%+% E-ercicio N7S
59%+%+% Introduccin
Haga equpo con agn compaero de curso a fn de poder reazar e procedmento, pruebas y
depuracn entre s.
59%+%2% <rocedimientos
59%+%2%+% Servidor
1. Como root genere e drectoro /var/nfs/publico/ y asgne a ste un permso 1777.
mkdir -p /var/nfs/publico
chmod 1/// /var/nfs/publico
2. Como root modifiGue /etc/exports y defna que se compartr /var/nfs/publico a sstema de
compaero con e cua est hacendo equpo en modo de ectura y escrtura con el si*uiente
contenido:
/var/nfs/publico 1-(!16,!0!n(r1=s2nc)
3. Como root inicie o reinicie e servco de nfs.
service nfs restart
59%+%2%2% $liente
1. Como root genere e drectoro /mnt/publico a fn de que posterormente sea utzado para
montar e voumen NFS de esta prctca.
2. Como root modfque /etc/fstab y especfque que se montar e voumen /var/nfs/publico/ de
sstema de compaero con e que est hacendo equpo en e drectoro /mnt/publico/,
utzando as opcones de montado no automtco (noauto), ectura y escrtura (rw), montado con
expracn (soft), contnuar en trasfondo de ser necesaro (bg), se pueda montar por e usuaro
(user) y permtr nterrumpr procesos (ntr).
1-(!16,!0!n:/var/nfs/publico /mnt/publico nfs
noauto=r1=soft=bg=user=intr 0 0
3. Como usuaro (fuano) ntente montar e voumen NFS:
mount /mnt/publico
4. Como fuano cambe a drectoro /mnt/publico/ e ntente crear un fchero con cuaquer
380
contendo dentro de drectoro /mnt/publico/.
cd /mnt/publico/
echo eBola mundoG H holamundo!txt
ls
381
59%2% E-ercicio Samba
Usted deber confgurar a travs de Samba un drectoro sobre e cua se quere permtr e ngreso
so a dos usuaros, |efe y contador, quenes pertenecen a grupo de contabdad. Dcho drectoro
deber contar con permsos de escrtura, de modo que tanto |efe como contador puedan traba|ar en
dcho drectoro con una apcacn admnstratva.
59%2%+% <rocedimientos
1) Genere e drectoro /var/samba/contabilidad:
mkdir -p /var/samba/contabilidad
2) Genere e grupo de traba|o:
groupadd contabilidad
3) Genere os usuaros |efe y contador de modo que no tengan acceso a ntrprete de mandatos y
tengan como grupo prmaro a contabdad. Asgne a stos contrasea
useradd -s /sbin/nologin -g contabilidad Eefe
useradd -s /sbin/nologin -g contabilidad contador
smbpass1d -a Eefe
smbpass1d -a contador
4) Asgne os permsos necesaros a /var/samba/contabilidad, de modo ta, que se permta so a
escrtura, ectura y e|ecucn a dcho drectoro a usuaro y a grupo contabdad, y de modo que
se preserven os permsos de contendo de dcho drectoro:
chmod 1//0 /var/samba/contabilidad
chgrp contabilidad /var/samba/contabilidad
5) Modfque /etc/samba/smb%conf y confgure o necesaro para compartr
/var/samba/contabilidad en modo ectura-escrtura con acceso soo para |efe y contador,
redundando os permsos que se asgnaron ocamente a dcho drectoro, y defnendo e permso
que deber tener por defecto todo fchero o documento nuevo en e nteror, a fn de que
soamente puedan ser edos y modfcados por |efe y contador:
>contabilidad?
comment 3 Aontabilidad
path 3 /var/samba/contabilidad
1ritable 3 2es
bro1seable 3 2es
public 3 no
printable 3 no
valid users 3 Eefe contador
director2 mode 3 1//0
create mode 3 0660
382
6) Rence e servco de Samba:
service smb restart
7) Haga as pruebas pertnentes accedendo desde e admnstrador de archvos copando,
movendo o emnado ob|etos en e recurso que acaba de confgurar.
smbclient -7 -; su5mZOuina
smbclient //su5mZOuina/contabilidad -$ Eefe
383
59%3% E-ercicio =pac'eD 2 PS7><"
Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs
de apache y vsftpd:
Una sto de red vrtua denomnado su)m;Guina.dominio)a)definir asocado a a
dreccn IP 192.168.+0.n.
E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro
accedendo por medo de una conexn FTP.
E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras generadas
por e sto de red vrtua, pero sn permtr a usuaro que pueda borrar accdentamente e
drectoro que contene a dchas btcoras.
1) Modfque /etc/'osts y proceda a resover ocamente a dreccn IP y e nombre que tendr e
servdor en a red 192.168.10.0:
1-(!16,!0!n su-mZOuina!nombre-de-dominio-resuelto su-mZOuina
1-(!16,!10!n su'mS9uin)!*ominio')'*e2inir
2) Proceda a crear e fchero de confguracn de dspostvo vrtua en /etc/s2sconfi*/netMorL)
scripts/ifcf*)et'0,+ con e sguente contendo:
%:P<A:3e!031
<C6%%R31-(!16,!10!n
7:"'6Q3())!())!())!0
3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua et'0,+
que acaba de confgurar:
ifconfig e!031
4) Genere e rbo de drectoros necesaro:
mkdir /var/111/net
mkdir /var/111/net/html
mkdir /var/111/net/log
mkdir /var/111/net/etc
5) Genera a cuenta de usuaro que ser utzada para admnstrar e sto de red vrtua:
useradd -s /sbin/nologin -d /v)r/www/ne! adminnet
pass1d adminnet
saslpass1d adminnet
saslpass1d( adminnet
6) Confgure os permsos apropados a /var/MMM/net y su contendo:
384
chmod 1/)) /var/111/net
chmod 1/)) /var/111/net/html
cho1n root:apache /var/111/net
cho1n )*minne!:apache /var/111/net/html
cho1n )*minne!:apache /var/111/net/etc
cho1n root:root /var/111/net/log
7) Confgure apache para poder acceder haca este sto de red vrtua hacendo uso de fchero
ocazado en a ruta /etc/'ttpd/conf%d/virtuales%conf con e sguente contendo:
7amePirtualBost 1-(!16,!10!n
VPirtualBost 1-(!16,!10!nH
%ocumentRoot /var/111/ne!/html
erver7ame su'm)9uin)!*ominio')'*e2inir
erver6dmin 1ebmasterTsu'm)9uin)!*ominio')'*e2inir
:rror;og /var/111/net/log/error5log
Austom;og /var/111/net/log/access5log combined
V/PirtualBostH
8) Este sto vrtua generar su propa btcora. Por ta motvo, es mportante confgurar e sstema
para que reace a rotacn de btcoras correspondente. Genere o ben verfque que exsta e
fchero de confguracn correspondente, en a ruta /etc/lo*rotate%d/virtuales con e sguente
contendo, donde as comas se estabecern utzando acentos *raves:
/var/111/J/log/Jlog R
missingok
notifempt2
sharedscripts
postrotate
/bin/kill -B$C acat /var/run/httpd!pid (H/dev/nulla (H /dev/null
WW true
endscript
S
9) Rence apache y haga comprobacones y dagnstco s fuese necesaro.
Rencace Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para
pubcacn de red, como puede ser Moza Composer, Frontpage o cuaquer edtor HTML y
pubcando a travs de FTP, hacendo uso de a cuenta FTP de adminnet. Vsuace desde e
navegador que prefera e sto de red vrtua que se confgur.
S desea hacer todo desde modo termna, utce e sguente procedmento.
1. Acceda a sstema como usuaro oca (fulano).
2. Genere un documento HTML denomnado index%'tml utzando e edtor de texto que prefera
con e sguente contendo:
385
VhtmlH
VheadH
VtitleH9ienvenido a su'mS9uin).*ominio')'*e2inirV/titleH
V/headH
Vbod2H
Vh1H9ienvenido a su'mS9uin).*ominio')'*e2inirV/h1H
VpHfiexclNBola mundocV/pH
V/bod2H
V/htmlH
3. Pubque como e usuaro admnnet e documento anteror utzando ftp:
ftp su'mS9uin).*ominio')'*e2inir
Aonnected to amdk6 (1-(!16,!1!1)!
((0 9ienvenido al servidor X"C de ;inux para "odos!
7ame (su'mS9uin).*ominio')'*e2inir:fulano):)*minne!
..1 Clease specif2 the pass1ord!
Cass1ord:
(.0 ;ogin successful! Bave fun!
Remote s2stem t2pe is $7<X!
$sing binar2 mode to transfer files!
ftpH+* !ml
ftpHpu! in*e#.!ml
ftpHbye
4. Fnamente vsuace a pgna su)m;Guina%dominio)a)definir prncpa utzando enks.
elinks http://su'mS9uin).*ominio')'*e2inir/
386
59%4% E-ercicio, $uotas de discoX =pac'eX PS7><" 2 "NS
Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs
de apache, bnd y vsftpd:
Deber confgurar a zona de reenvo para e DNS que se har cargo de resover os sub-
domnos www, ns1, ma, ftp y su)m;Guina de domno que se e especfque.
Un sto de red vrtua denomnado su)m;Guina.dominio)a)definir con aas
dominio)a)definir asocado a a dreccn IP 192.168.20.n.
E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro
accedendo por medo de una conexn FTP.
E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras generadas
por e sto de red vrtua, pero sn permtr que e usuaro pueda borrar accdentamente e
drectoro que contene a dchas btcoras.
E usuaro deber tener asgnada una cuota de dsco de 300 MB.
1) Aada en /etc/'osts a resoucn oca de nombre de domno de sto de red vrtua asocado a
a dreccn IP defnda para e msmo:
1-(!16,!0!n su-mZOuina!nombre-de-dominio-resuelto su-mZOuina
1-(!16,!10!n su-mZOuina!dominio-eEercicio-anterior
1-(!16,!(0!n su'mS9uin).*ominio')'*e2inir www.*ominio')'*e2inir
*ominio')'*e2inir
2) Proceda a crear e fchero de confguracn ocazado en a ruta /etc/s2sconfi*/netMorL)
scripts/ifcf*)et'0,2 para e dspostvo et'0,2 utzando e sguente contendo:
%:P<A:3e!032
<C6%%R31-(!16,!(0!n
7:"'6Q3())!())!())!0
3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua et'0,2
que acaba de confgurar:
ifconfig e!032
4) Dentro de drectoro /var/named/c'root/var/named, genere e fchero dominio)a)
definir.zone, que servr para resover a zona de reenvo para e domno dominio)a)definir
con os sub-domnos www, ns1, ma, ftp y su)m;Guina:
387
F""; ,6+00
T <7 86 su'mS9uin)!nombre'*e'*ominio'resuel!o!
fulano!su'mS9uin)!nombre'*e'*ominio'resuel!o! (
(00+0+0,01 N n]mero de serie
(,,00 N tiempo refresco
/(00 N tiempo reintentos
60+,00 N expiraci@n
)
T <7 7 su'mS9uin)!nombre-de-dominio-resuelto!
T <7 7 ns1
T <7 'X 10 mail
T <7 6 1-(!16,!(0!n
su'mS9uin) <7 6 1-(!16,!(0!n
111 <7 6 1-(!16,!(0!n
mail <7 6 1-(!16,!(0!n
ns1 <7 6 1-(!16,!(0!n
ftp <7 6 1-(!16,!(0!n
5) Modfque /var/named/c'root/etc/named%conf y aada a zona correspondente:
4one e*ominio')'*e2inirG R
t2pe masterN
file e*ominio')'*e2inir.6oneGN
SN
6) Cambe a pertenenca de fchero de zona a usuaro named e|ecutando o sguente:
cho1n named!named /var/named/chroot/var/named/*ominio')'*e2inir!4one
7) Rence e servco de servdor de nombres:
service named restart
8) Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
tail -,0 /var/log/messages Wgrep named
9) Compruebe que e domno resueve correctamente:
host *ominio')'*e2inir 1-(!16,!(0!n
dig T1-(!16,!(0!n *ominio')'*e2inir
dig T1-(!16,!(0!n *ominio')'*e2inir mx
10) S e domno resueve correctamente, proceda a colocar como "NS primario a su propo
servdor en e fchero /etc/resolv%conf, smpemente defnendo ste como e prmer regstro
nameserver de este fchero, |usto deba|o de os regstros searc':
388
N Carte superior del fichero /etc/resolv!conf
search nombre'*e'*ominio'resuel!o
search *ominio')'*e2inir
n)meserver 192.16H.0.n
nameserver 1-(!16,!1!1
11) Genere e rbo de drectoros necesaro para e sto de red vrtua a travs de Apache utzando
os sguentes mandatos:
mkdir -m 1/)) /var/111/*ominio')'*e2inir
mkdir -m ./)) /var/111/*ominio')'*e2inir/html
mkdir /var/111/*ominio')'*e2inir/Rlog=etc=mailS
12) Genere a cuenta de usuaro que ser utzada para admnstrar e sto de red vrtua:
useradd -s /sbin/nologin -d /var/111/*ominio')'*e2inir )*min*ominio
pass1d )*min*ominio
saslpass1d )*min*ominio
saslpass1d( )*min*ominio
13) Confgure os permsos apropados a /var/MMM/dominio)a)definir y os drectoros en su
nteror utzando lo si*uientes mandatos:
cho1n root:apache /var/111/*ominio')'*e2inir
cho1n )*min*ominio:apache /var/111/*ominio')'*e2inir/html
cho1n )*min*ominio:apache /var/111/*ominio')'*e2inir/etc
cho1n )*min*ominio:)*min*ominio /var/111/*ominio')'*e2inir/etc
cho1n root:root /var/111/*ominio')'*e2inir/log
14) Confgure Apache para poder acceder haca este sto de red vrtua hacendo uso de fchero
ocazado en a ruta /etc/'ttpd/conf%d/virtuales%conf con e sguente contendo:
7amePirtualBost 1-(!16,!(0!n
VPirtualBost 1-(!16,!(0!nH
%ocumentRoot /var/111/*ominio')'*e2inir/html
erver7ame su'mS9uin)!*ominio')'*e2inir
erver6lias *ominio')'*e2inir www.*ominio')'*e2inir
erver6dmin 1ebmasterT*ominio')'*e2inir
:rror;og /var/111/*ominio')'*e2inir/log/error5log
Austom;og /var/111/*ominio')'*e2inir/log/access5log combined
V/PirtualBostH
15) Este sto vrtua generar su propa btcora. Por ta motvo es mportante confgurar e sstema
para que reace a rotacn de btcoras correspondente. Genere o ben verfque que exsta e
fchero de confguracn correspondente en a ruta /etc/lo*rotate%d/virtuales con e sguente
contendo, donde as comas se estabecern utzando acentos *raves:
389
/var/111/J/log/Jlog R
missingok
notifempt2
sharedscripts
postrotate
/bin/kill -B$C acat /var/run/httpd!pid (H/dev/nulla (H /dev/null
WW true
endscript
S
16) Rence e servco de httpd (apache) y haga as comprobacones, a depuracn y e dagnstco
s fuese as necesaro.
17) Confgure os domnos vrtuaes para que Sendma pueda recbr correo para os msmos
aadendo dominio)a)definir y ma.dominio)a)definir en e nteror de fchero
/etc/mail/local)'ost)names con e sguente contendo:
*omino')'*e2inir
mail.*omino')'*e2inir
18) Confgure e domno vrtua dominio)a)definir a fn de que Sendma permta envar correo
para e msmo en e fchero /etc/mail/rela2)domains con e sguente contendo:
*ominio')'*e2inir
19) Genere os nuevos fcheros necesaros para os domnos vrtuaes en Sendma, s es que an
exsten:
touch /etc/mail/Rvirtusertable=genericstable=generics-domainS
20)S no ha hecho an, habtar a re-escrtura de as cuentas de correo, aada en e fchero
/etc/mail/sendmail%mcX deba|o de 7E=>U(ENbvirtusertablecXb'as' )o
/etc/mail/virtusertable%dbcCdnl as sguentes dos neas de confguracn:
X:6"$R:(avirtusertableI=ahash -o /etc/mail/virtusertable!dbI)dnl
=$8>(A$(P,eneri+s!)ble05P)s 'o /e!+/m)il/,eneri+s!)ble.*b0)*nl
G$@$AE?/_N.;8E@_=E%$(P/e!+/m)il/,eneri+s'*om)ins0)*nl
21)Aada en e fchero /etc/mail/sendmail%mc os domnos vrtuaes:
A1*ominio')'*e2inir
A1mail!*ominio')'*e2inir
22) Genere a cuenta de correo vrtua denomnada webmaster@dominio)a)definir como aas de
a cuenta oca admndomno, modfcando e fchero /etc/mail/virtusertable de sguente
modo:
1ebmasterT*ominio')'*e2inir admindominio
390
23) A termnar, y a fn de que e usuaro vrtua sea reconocdo por e servco de Sendma, se
deber convertr e fchero /etc/mail/virtusertable en /etc/mail/virtusertable%db e-ecutando
o sguente:
makemap hash /etc/mail/virtusertable!db V /etc/mail/virtusertable
24)A fn de reescrbr como webmaster@dominio)a)definir a correo emtdo desde a cuenta oca
admindominio, modfcando e fchero /etc/mail/*enericstable de sguente modo:
admindominio 1ebmasterT*ominio')'*e2inir
25) A termnar, y a fn de que e correo de usuaro rea se reescrba como a cuenta de correo de
usuaro vrtua, se deber convertr e fchero /etc/mail/*enericstable en
/etc/mail/*enericstable%db e-ecutando o sguente:
makemap hash /etc/mail/genericstable!db V /etc/mail/genericstable
26) Aada en e fchero /etc/mail/*enerics)domains e nuevo domno vrtua:
*ominio')'*e2inir
27)Rence e servdor de Sendma:
28) E|ecutando edGuota admindominio, asgne una cuota de 300 MB (307200 kb) a usuaro
admindominio:
%isk Ouotas for user admindominio (uid )0,):
/dev/hda6 0 0 0 0 0 0
/dev/hda. (+ 0 30G200 10 0 0
Rencace Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para
pubcacn de red, como puede ser Moza Composer, Frontpage o cuaquer edtor HTML y
pubcando a travs de FTP, hacendo uso de a cuenta FTP de admindominio en e URL
ftp,//dominio)a)definir/'tml/
Vsuace desde e navegador e sto de red vrtua que se confgur.
Pruebe envar correo a a cuenta vrtua MebmasterOdominio)a)definir y eer dcho correo a
travs de POP3 o IMAP desde a cuenta de admindominio.
S desea hacer todo desde modo termna, utce e sguente procedmento.
1. Acceda a sstema como usuaro oca (fulano).
2. Genere un documento HTML denomnado index%'tml utzando e edtor de texto que prefera
391
con e sguente contendo:
VhtmlH
VheadH
VtitleH9ienvenido a www.*ominio')'*e2inirV/titleH
V/headH
Vbod2H
Vh1H9ienvenido a www.*ominio')'*e2inirV/h1H
VpHfiexclNBola mundocV/pH
V/bod2H
V/htmlH
3. Pubque como e usuaro admindominio e documento anteror utzando ftp:
ftp 2!p.*ominio')'*e2inir
Aonnected to amdk6 (1-(!16,!1!1)!
((0 9ienvenido al servidor X"C de ;inux para "odos!
7ame (2!p.*ominio')'*e2inir:fulano):)*min*ominio
..1 Clease specif2 the pass1ord!
Cass1ord:
(.0 ;ogin successful! Bave fun!
Remote s2stem t2pe is $7<X!
$sing binar2 mode to transfer files!
ftpH+* !ml
ftpHpu! in*e#.!ml
ftpHbye
4. Fnamente, vsuace a pgna su)m;Guina%dominio)a)definir prncpa de utzando e
navegador enks.
elin1s !!p3//su'mS9uin).*ominio')'*e2inir/
5. Utce mutt y enve un mensa|e a usuaro MebmasterOdominio)a)definir.
echo e'ensaEe de pruebaG W mutt -s e'ensaEe de pruebaG
webm)s!erL*ominio')'*e2inir
6. Verfque a cuenta de correo de admindominio a travs de cualGuier cente de correo
eectrnco o ben e correo con nterfaz HTTP.
elinks http://su-mZOuina!dominio-a-definir/webm)il/
392
59%5% E-ercicio Servidor Intermediario N<rox2C%
1! Croceda a instalar sOuid:
sudo 2um -2 install sOuid l2nx
(! Aambie al directorio /etc/sOuid
cd /etc/sOuid
.! *enere el subdirectorio listas:
sudo mkdir listas/
4. Genere os fcheros que se utzarn para as stas de contro de acceso y caves de acceso:
sudo touch D
listas/Rlibres=redlocal=porno=extensiones=claves=inocentesS
5. Lstar as propedades de fchero que ser utzado para amacenar as caves de acceso:
ls -l listas/claves
6. Cambar atrbutos de ectura y escrtura soo para e usuaro propetaro:
sudo chmod 600 listas/claves
7. Cambar e propetaro de fchero de caves de acceso haca e usuaro sGuid:
sudo cho1n sOuid!sOuid listas/claves
8. Lstar de nuevo as propedades de fchero que ser utzado para amacenar as caves de
acceso, y observar cambos:
ls -l listas/claves
9. E|ecutar o sguente y asgnar caves de acceso a os usuaros vrtuaes (para este e|ercco,
asgnar a todos GMert2 como cave de acceso)
for usuario in Euanito pepito pedrito paOuito
do
sudo htpass1d listas/claves Fusuario
done
10.Edtar e fchero stas/bres:
sudo vim listas/libres
Poner como contendo a IP de m mquna.
Opconamente, tambn se puede hacer esto:
393
/sbin/ifconfig eth0 D
W grep inet W cut -d : -f ( W cut -d D -f 1 H /tmp/libres
mv /tmp/libres /etc/sOuid/listas/libres
11.Edtar e fchero stas/redoca:
sudo vim listas/redlocal
Poner como contendo as IP de resto de a LAN. Un rengn por IP.
12.Edtar e fchero stas/porno:
sudo vim listas/porno
Poner como contendo o sguente:
111!sitioporno!com
111!otrositioporno!com
sitioindeseable!com
otrositioindeseable!com
napster
sex
porn
mp.
xxx
adult
1are4
celebri
2outube
13.Edtar e fchero stas/extensones:
sudo vim listas/extensiones
14.Poner como contendo:
D!aviF
D!mp+F
D!mp.F
D!mp+F
D!mpgF
D!mpegF
D!movF
D!raF
D!ramF
D!rmF
D!rpmF
D!vobF
D!1maF
D!1mvF
D!1avF
D!docF
D!xlsF
394
D!mbdF
D!pptF
D!ppsF
D!aceF
D!batF
D!exeF
D!lnkF
D!pifF
D!scrF
D!s2sF
D!4ipF
D!rarF
15.Edtar e fchero stas/nocentes:
sudo vim listas/inocentes
Poner como contendo:
!linuxparatodos!net
!google!com!mx
!eluniversal!com!mx
!milenio!com!mx
!diariolara4on!com!mx
!reforma!com!mx
!cnn!com
16.Edtar e fchero squd.conf:
sudo vim sOuid!conf
17.Desde vm, e|ecutar a sguente bsqueda:
/L http5port .1(,
Reempazar por:
http5port 1-(!16,!0!JJJ:,0,0
donde WWW es el 1ltimo octeto de la direccin I< de su m;Guina%
18.Desde vm, reazar a sguente bsqueda:
/100 16 ()6
Reempazar:
L cache5dir ufs /var/spool/sOuid 100 16 ()6
Por:
395
cache5dir ufs /var/spool/sOuid )1( 16 ()6
/Lauth5param basic program Vuncomment and complete this lineH
Reempazar:
Lauth5param basic program Vuncomment and complete this lineH
Por:
auth5param basic program /usr/lib/sOuid/ncsa5auth /etc/sOuid/listas/claves
/Lacl pass1ord prox25auth R:b$<R:%
Descomentar a nea, qutando e smboo #
21.Desde v, reazar a sguente bsqueda:
/acl to5localhost dst 1(/!0!0!0
Deba|o de sta nea, agregar:
acl redlocal src G/etc/sOuid/listas/redlocalG
acl libres src G/etc/sOuid/listas/libresG
acl porno url5regex G/etc/sOuid/listas/pornoG
acl extensiones urlpath5regex G/etc/sOuid/listas/extensionesG
acl inocentes dstdomain G/etc/sOuid/listas/inocentesG
acl matutino time '"KBX 0,:00-1-:00
/http5access den2 all
Arrba de dcha nea, agregar:
http5access allo1 matutino redlocal pass1ord cporno cextensiones
http5access allo1 inocentes redlocal pass1ord
http5access allo1 libres
/L httpd5accel5port ,0
Deba|o de dcha nea, agregue:
396
httpd5accel5host virtual
httpd5accel5port 0
/L error5director2
Reempazar:
L error5director2 /usr/share/sOuid/errors/:nglish
Por:
error5director2 /usr/share/sOuid/errors/panish
25.Rence o, en su defecto, nce a confguracn de Squd a fn de verfcar s hubo errores
fataes:
sudo service sOuid restart
S hay errores, corregros. Sno devueve depuracn, examnar /var/lo*/sGuid/sGuid%out y
reazar correccones:
sudo tail -f /var/log/sOuid/sOuid!out
26.Recarge a confguracn de Squd a fn de verfcar s hubo errores no fataes:
sudo service sOuid reload
S hay errores, reazar correccones.
27.Reazar comprobacones utzando navegador en modo texto:
Defna e propo servdor como e vaor para a varabe de ambente http_proxy:
export http5prox23Ghttp://1-(!16,!0!JJJ:,0,0/G
Reace una prueba de bsqueda a travs de Googe Mxco para a paabra sex:
l2nx Ghttp://111!google!com!mx/search_O3sexoG
Deber permtr reazar a bsqueda e ngresar haca stos cuyo URL contenga a cadena de
caracteres sex.
Defna otro servdor donde a IP de sstema donde est traba|ando est en a sta de
redlocal como e vaor para a varabe de ambente http_proxy:
export http5prox23Ghttp:// <C de la CA de al lado:,0,0/G
397
Reace una prueba de bsqueda a travs de Googe Mxco para a paabra sex:
l2nx ')++ep!_)ll_+oo1ies Ghttp://111!google!com!mx/search_O3sexoG
Deber permtr reazar a bsqueda pero denegar e ngreso haca stos cuyo URL contenga
a cadena de caracteres sex.
398
59%6% E-ercicio de confi*uracin del sistema para LinuxX =pac'eX
<H< 2 :2SAL
Este e|ercco e mostrar como confgurar e sstema para hacer uso de Lnux, =pache, <HP y
:ySOL, o que se conoce como L.A.M.P., y mostrar tambn agunas funcones bscas de PHP. Este
e|ercco se reaza como cortes.a a fn de preparar os sstemas para poder ser utzados por
quenes tomarn e curso de PHP y MySOL.
1. S acaso exstera, por favor emne a confguracn en Apache hecha durante as prctcas
anterores:
rm -f /etc/httpd/conf!d/virtuales!conf
rm -f /etc/httpd/conf!d/misvariables!conf
2. A fn de mpar e sstema de as confguracones dervadas de este curso, emne os servcos
que no sern necesaros e|ecutando o sguente:
2um -2 remove bind caching-nameserver nfs-utils samba
2um -2 remove vsftpd sOuirrelmail sOuid 2ires!)r!er ip!)bles
3. Instae o verfque que est nstaado todo o necesaro e|ecutando o sguente:
2um -2 install httpd php php-m2sOl bluefish m2sOl m2sOl-server
4. Aada os servcos de Apache y MySOL a nco de sstema:
chkconfig httpd on
chkconfig m2sOld on
5. Proceda a crear e drectoro de traba|o /var/MMM/cursolamp y e rbo de traba|o
correspondente, sobre e cua podr reazar pruebas de confguracn de servcos sn necesdad
de tocar fcheros de confguracn centra e|ecutando o sguente:
mkdir -p /var/111/cursolamp/
mkdir -p /var/111/cursolamp/html/
mkdir -p /var/111/cursolamp/cgi-bin/
mkdir -p /var/111/cursolamp/etc/
mkdir -p /var/111/lo,'+ursol)mp/
ln -s /var/111/lo,'+ursol)mp /var/111/cursolamp/log
6. Proceda a crear un usuaro especfco para traba|ar con e drectoro de traba|o
/var/www/cursoamp/. Dcho usuaro deber daro de ata con acceso a ntrprete de mandatos
(She) a fn de poder permtr acceso por SSH, asgnando como clave de acceso a paabra
GMert2. E|ecute o sguente:
useradd -s /bin/bash -m -d /v)r/www/+ursol)mp cursolamp
pass1d +ursol)mp
7. Asgne os permsos necesaros a drectoro de traba|o y drectoros subordnados en e nteror,
e|ecutando o sguente:
399
cho1n +ursol)mp.)p)+e /var/111/cursolamp
chmod 1/)) /var/111/cursolamp
cho1n cursolamp!apache /var/111/cursolamp/html/
cho1n cursolamp!apache /var/111/cursolamp/cgi-bin/
cho1n cursolamp!apache /var/111/cursolamp/etc/
cho1n root!root /var/111/lo,'+ursol)mp/
ln -s /var/111/cursolamp/html /var/111/cursolamp/%esktop/html
8. Confgure apache para que utce e domno su)m;Guina.dominio)red)local asocado a de a
dreccn IP 192.168.0.n en e fchero de confguracn /etc/'ttpd/conf%d/cursolamp%conf
utzando e sguente contendo:
7amePirtualBost J:,0
VPirtualBost J:,0H
erver7ame su'mS9uin)!*ominio're*'lo+)l
erver6lias su'mS9uin)
%ocumentRoot /var/111/cursolamp/html/
erver6dmin cursolampTsu'mS9uin).*ominio're*'lo+)l
:rror;og /var/111/lo,'+ursol)mp/error5log
Austom;og /var/111/lo,'+ursol)mp/access5log combined
L Cermitir ver contenido de directorio 2 activar uso de ficheros
!htaccess
V%irector2 /var/111/cursolamp/html/H
8ptions <ndexes <ncludes Xollo12m;inks
6llo18verride 6ll
8rder allo1=den2
6llo1 from all
V/%irector2H
L Aonfigurar directorio cgi-bin independiente al del sistema!
cript6lias /cgi-bin/ G/var/111/cursolamp/cgi-bin/G
V%irector2 G/var/111/cursolamp/cgi-binGH
8ptions <ncludes
6llo18verride 7one
8rder allo1=den2
6llo1 from all
V/%irector2H
V/PirtualBostH
9. Rence o nce e servco de Apache e|ecutando o sguente:
10.Cerre a sesn de root e in*rese como e usuaro cursolamp.
11.Como e usuaro cursolamp, cambe a drectoro -/htm/
cd M/html/
12.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero
-/htm/cabecera.php utzando e sguente contendo:
400
Vhtml lang3GesGH
VheadH
13.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero
-/htm/cuerpo.php utzando e sguente contendo:
V/headH
Vbod2 st2le3Gbackground-color: redN color: LXXXX00N font-1eight:
bolderN GH
14.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero -/htm/pe.php
utzando e sguente contendo:
V/bod2H
V/htmlH
15.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero -/htm/e|empo-
ncudes.php utzando e sguente contendo:
V_php function titulo() R echo GCfaacuteNgina de prueba CBCGN S _H
V_php include Gcabecera!phpGN _H
VtitleHV_php titulo() _HV/titleH
V_php include Gcuerpo!phpGN _H
Vh1HV_php titulo() _HV/h1H
VpH%ocumento de eEemplo de funciones bfaacuteNsicas de CBC!V/pH
VpHBo2 es V_php echo date(Gl d of X \ h:i:s 6G)N_HV/pH
V_php include Gpie!phpGN _H
16.Utce cuaquer navegador, ya sea en modo texto o ben en modo grfco y vsuace e
documento ocazado en e ur http://su)m;Guina%dominio)redlocal/e|empo-ncudes.php.
elinks http://su'mS9uin).*ominio're*lo+)l/eEemplo-includes!php
401
59%7% $onfi*uracin del sistema como estacin de traba-o
1. Edte e fchero /etc/nttab y ocace a sguente nea:
id:3:initdefault:
2. Lo anteror estabece que e sstema nca en nve de corrda 3; es decr, en modo mutusuaro
competo, sn modo grfco actvo. A fn de que e sstema nce en modo grfco, cambe a nea
anteror por esta otra:
id:5:initdefault:
3. Locace ms adeante en este msmo fchero o sguente:
L Run gett2s in standard runlevels
1:(.+5:respa1n:/sbin/mingett2 tt21
(:(.+5:respa1n:/sbin/mingett2 tt2(
.:(.+5:respa1n:/sbin/mingett2 tt2.
+:(.+5:respa1n:/sbin/mingett2 tt2+
):(.+5:respa1n:/sbin/mingett2 tt2)
6:(.+5:respa1n:/sbin/mingett2 tt26
4. Lo anteror especfca que as ses termnaes de texto estarn habtadas en os nvees de
corrda 2, 3, 4 y 5. Se deshabtarn as ses termnaes soamente en e nve de corrda 5. Edte
o anteror de modo que quede de sguente modo:
L Run gett2s in standard runlevels
1:(.+:respa1n:/sbin/mingett2 tt21
(:(.+:respa1n:/sbin/mingett2 tt2(
.:(.+:respa1n:/sbin/mingett2 tt2.
+:(.+:respa1n:/sbin/mingett2 tt2+
):(.+:respa1n:/sbin/mingett2 tt2)
6:(.+:respa1n:/sbin/mingett2 tt26
5. Edte e fchero /etc/rc.oca y aada a nstruccn /usr/bn/cear, de modo que a pantaa sea
mpada una vez que haya concudo e arranque.
Lc/bin/sh
L
L "his script 1ill be executed JafterJ all the other init scripts!
L \ou can put 2our o1n initiali4ation stuff in here if 2ou donIt
L 1ant to do the full 2s P st2le init stuff!
touch /var/lock/subs2s/local
/usr/bin/clear
6. Modfque /etc/grub.conf y ocace a nea de nceo:
title Khite 9ox :nterprise ;inux ((!+!(1-(0!:;)
root (hd0=0)
kernel /vmlinu4-(!+!(1-(0!:; ro root3;69:;3/
initrd /initrd-(!+!(1-(0!:;!img
7. Aada os parmetros r'*b y Guiet a a nea que especfca e nceo a e|ecutar, teniendo
402
cuidado de de-ar un espacio despuFs de rootTL=!ELT/ 2a Gue de otro modo no podr;
iniciar el sistema:
title Khite 9ox :nterprise ;inux ((!+!(1-(0!:;)
root (hd0=0)
kernel /vmlinu4-(!+!(1-(0!:; ro root3;69:;3/ r,b 9uie!
initrd /initrd-(!+!(1-(0!:;!img
8. Instae e paquete denomnado r'*b, e cua es un programa que har que e sstema tenga un
arranque grfco ms amstoso para e usuaro no-tcnco:
2um -2 install rhgb
9. Ince una sesn grfca con e mandato xnt. Esto ncar una sesn grfca smpe con una
nca termna xrvt. No olvide posicionar el puntero del ratn sobre la terminal a fin de
darle foco.
10.E|ecute e mandato *dmsetup y estabezca que e sstema nce automtcamente con e
usuaro cursoamp.
11.Elimine todas las interfaces virtuales; es decr, todos os fcheros ifcf*)et'0,W ocazados
dentro de drectoro /etc/s2sconfi*/netMorL)scripts/
rm -f /etc/sysconfg/network-scrpts/fcfg-eth0:*
12.Edte e fchero /etc/'osts y emne todas a resoucones ocaes asocadas a as dferentes
dreccones IP que fueron confguradas a o argo de curso. E fchero /etc/'osts debe quedar
ncamente con e sguente contendo:
403
L %o not remove the follo1ing line= or various programs
L that reOuire net1ork functionalit2 1ill fail!
13.Edte tambn e fchero /etc/s2sconfi*/netMorL y estabezca de nuevo local'ost%localdomain
como H0S>N=:E de sstema. Emne tambn a nea que deshabta a confguracn de
Zeroconf. De modo ta, e fchero /etc/s2sconfi*/netMorL debe quedar ncamente con e
sguente contendo:
7:"K8RQ<7*32es
B8"76':3localhost!localdomain
14.Confgure de nuevo a nterfaz eth0; esta vez como "H$< y utzando e mandato netconfi*.
Desde cuaquer termna, como e usuaro root, e|ecute e mandato netconfi*.
15.(einicie el sistema y compruebe que ste o hace con rhgb y que adems nca
automtcamente con a sesn de usuaro cursoamp.
404
Notas
405
Notas
406
Notas
407
Notas
408

Implementacion Servidores Linux LR

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Implementacion Servidores Linux LR

Cargado por

Copyright:

Formatos disponibles

|oe Barros Dueas Impementacn de Servdores con GNU/Lnux

Linux Para Todos

También podría gustarte