Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia Ubuntu Server Espanol
Guia Ubuntu Server Espanol
Crditos y licencia
Este documento es mantenido por el equipo de documentacin de Ubuntu (https://wiki.ubuntu.com/DocumentationTeam). Una lista de colaboradores es
a continuacin.
Este documento est disponible bajo la licencia Creative Commons Compartir Igual 3.0 (CC-BY-SA).
Usted es libre de modificar, ampliar y mejorar el cdigo fuente de documentacin de Ubuntu bajo los trminos de esta licencia. Todos los trabajos derivados
debe ser liberado bajo esta licencia.
Esta documentacin se distribuye con la esperanza de que sea til, pero SIN NINGUNA GARANTA, incluso sin la garanta implcita
MERCANTIL o de APTITUD PARA UN PROPSITO PARTICULAR COMO SE DESCRIBE EN LA RENUNCIA.
Una copia de la licencia est disponible aqu: Licencia de Creative Commons Compartir Igual1.
Colaboradores en este documento son:
Miembros de la Proyecto de Documentacin de Ubuntu2
Miembros de la Ubuntu Server Team3
Los colaboradores de la Ubuntu Documentation Wiki4
Otros colaboradores se puede encontrar en el historial de revisin de la ServerGuide5 y ubuntu-docs6 BZR disponibles en Launchpad ramas.
1 http://creativecommons.org/licenses/by-sa/3.0/
2 https://launchpad.net/ ~ ubuntu-doc-core
3 https://launchpad.net/ ~ ubuntu-server
4 https://help.ubuntu.com/community/
5 https://code.launchpad.net/serverguide
6 https://code.launchpad.net/ubuntu-docs
Tabla de contenidos
1. Introduccin 1
1. Apoyar 2
2. Instalacin 3
1. Preparacin para la instalacin 4
2. La instalacin desde CD 6
3. Actualizar 9
4. Instalacin avanzada ................................................ .................................................. . 10
5. Kernel Crash Dump 17
3. La administracin de paquetes 20
1. Introduccin 21
2. dpkg 22
3. Apt-get 23
4. Aptitud 25
5. Actualizaciones automticas 27
6. Configuracin 29
7. Referencias 31
4. Redes 32
55
58
62
74
79
80
83
86
90
1. OpenLDAP Servidor 91
2. Samba y LDAP 117
3. Kerberos 124
4. Kerberos y LDAP ............................................... .................................................. .. 132
8. Domain Name Service (DNS) ............................................ ................................................. 1 39
1. Instalacin 140
2. Configuracin 141
3. Solucin de problemas 147
iii
4. Referencias 151
9. Seguridad 152
1. Gestin de usuarios 153
2. Seguridad de la consola 159
3. Firewall 160
4. AppArmor
5. Certificados
6. eCryptfs
10. Monitoreo
1. Informacin general
2. Nagios
3. Munin
11. Servidores Web
1. HTTPD - Servidor web Apache 2 ............................................. ......................................
2. PHP5 - Lenguaje de scripting de .............................................. ...........................................
3. Squid - Servidor Proxy .............................................. .................................................. ..
4. Ruby on Rails
5. Apache Tomcat
12. Bases de datos
1. MySQL
167
171
176
178
179
180
184
186
187
195
197
199
201
205
206
2. PostgreSQL
13. Aplicaciones LAMP
1. Informacin general
2. Moin Moin
211
213
214
215
3. MediaWiki 217
4. phpMyAdmin 219
14. Servidores de archivos 221
1. Servidor FTP 222
2. Network File System (NFS) ............................................ ............................................ 226
3. Iniciador iSCSI 228
4. CUPS - Servidor de impresin .............................................. .................................................. ...
15. Servicios de correo electrnico
1. Sufijo
2. Exim4
3. Servidor Dovecot 245
4. Cartero 247
5. Filtrado de Correo 253
16. Aplicaciones de chat 260
1. Informacin general 261
2. IRC Server 262
3. Servidor de mensajera instantnea Jabber .............................................. .................................... 264
17. Sistema de control de versiones ............................................... .................................................. ... 266
iv
231
234
235
242
1. Bazar 267
2. Subversin 268
3. Servidor CVS 273
4. Referencias 275
18. De red de Windows 276
1. Introduccin
2. Servidor de Archivos Samba
3. Samba Servidor de impresin
4. Asegurar un archivo de Samba y servidor de impresin ........................................... ............................
5. Samba como un controlador de dominio ............................................. .......................................
6. La integracin de Active Directory Samba .............................................. ...............................
19. Copias de seguridad
1. Shell Scripts
2. Archivo de rotacin
3. Bacula
20. Virtualizacin
1. libvirt
2. JeOS y vmbuilder ............................................... .................................................. ..
3. UEC
4. Nube de Ubuntu
277
278
281
283
288
292
294
295
299
302
307
308
313
322
333
5. LXC
21. Clustering
1. DRBD
22. VPN
340
361
362
365
1. OpenVPN 366
23. Otras aplicaciones tiles ............................................... .................................................. 378
1. pam_motd 379
2. etckeeper 381
3. Byobu 383
4. Referencias 385
Apndice A. 386
1. Informar sobre Fallos en Ubuntu Server Edition ............................................ ........................ 387
Lista de cuadros
2,1. Requerimientos mnimos recomendados ............................................... ................................. 4
5,1. Conversin de Prioridad Checker ............................................... ........................................ ....... 52
5,2. Dm-multipath Componentes .............................................. .................................................. 53
5,3. Valores predeterminados de configuracin multirruta ............................................... ........................................ 66
5,4. Los atributos de mltiples rutas 69
5,5. Los atributos de dispositivos 71
5,6. tiles Opciones de comando mltiple .............................................. ..................................... 77
17,1. Mtodos de acceso 269
20,1. UEC Requisitos front-end .............................................. .......................................... 323
20,2. Requisitos UEC nodo ............................................... ................................................ 323
20.3. Comandos de contenedores 352
vi
Captulo 1. Introduccin
Bienvenido a la Gua de Ubuntu Server!
Aqu usted puede encontrar informacin sobre cmo instalar y configurar varias aplicaciones de servidor. Es un paso
a paso, orientado a la tarea de gua para la configuracin y personalizacin de su sistema.
Esta gua asume que usted tiene una comprensin bsica de su sistema Ubuntu. Algunos detalles de la instalacin
estn cubiertos en Captulo 2, Instalacin [p. 3], pero si usted necesita instrucciones detalladas para instalar
Ubuntu, por favor referirse a la Gua de instalacin de Ubuntu1.
Una versin HTML del manual est disponible en lnea en el sitio web de documentacin de Ubuntu2.
Https://help.ubuntu.com/12.04/installation-guide/ 1
2 https://help.ubuntu.com
Introduccin
1. Apoyar
Hay un par de maneras diferentes que Ubuntu Server Edition es compatible, soporte comercial
y el apoyo de la comunidad. El principal apoyo comercial (y la financiacin del desarrollo) est disponible en
Canonical Ltd. Proporcionan un precio razonable los contratos de soporte en un escritorio o por cada servidor.
Para obtener ms informacin, consulte la Servicios Cannicos3 pgina.
La ayuda comunitaria tambin es proporcionada por personas que se dedican, y las empresas, que deseen hacer
Ubuntu la mejor distribucin posible. La ayuda se proporciona a travs de mltiples listas de correo, IRC
canales, foros, blogs, wikis, etc La gran cantidad de informacin disponible puede ser abrumador,
pero una consulta de bsqueda del motor bueno por lo general se puede dar una respuesta a sus preguntas. Vase el
Ubuntu
ApoyarPgina 4 para ms informacin.
3 http://www.canonical.com/services/support
4 http://www.ubuntu.com/support
Captulo 2. Instalacin
Este captulo proporciona una visin general rpida de instalacin de Ubuntu 12.04 LTS Server Edition. Para
obtener ms
instrucciones detalladas, por favor refirase a la Gua de instalacin de Ubuntu1.
Https://help.ubuntu.com/12.04/installation-guide/ 1
Instalacin
1. Preparacin para la
instalacin
Esta seccin explica varios aspectos a considerar antes de iniciar la instalacin.
300 megahertzios
RAM
128 megabytes
La Server Edition proporciona una base comn para todo tipo de aplicaciones de servidor. Es un minimalista
diseo que proporciona una plataforma para los servicios deseados, tales como archivo / servicios de impresin, web
hosting, correo electrnico
alojamiento, etc
Los requisitos para la UEC son ligeramente diferentes, para los requisitos de Front End ver Seccin 3.2.1,
"Requisitos de Front End" [p. 322], y para los requisitos de nodo UEC ver Seccin 3.2.2, "Nodo
Requisitos "[p. 323].
Las diferencias entre las dos ediciones son la falta de un entorno de ventanas X en el servidor
Edicin, el proceso de instalacin, y las diferentes opciones del kernel.
Cuando se ejecuta una versin de 64 bits de Ubuntu en procesadores de 64 bits no estn limitados por
espacio de direccionamiento de memoria.
Instalacin
Para ver todas las opciones de configuracin del kernel se puede ver a travs de / Boot/config-3.2.0-server.
Adems,
Kernel de Linux en una cscara de nuez2 es un gran recurso de las opciones disponibles.
Antes de instalar Ubuntu Server Edition debe asegurarse de que todos los datos en el sistema es una copia de
seguridad.
Ver Captulo 19, copias de seguridad [p. 294] para las opciones de copia de seguridad.
Si esto no es la primera vez que un sistema operativo ha sido instalado en su computadora, es probable que
tendr que volver a particionar el disco para hacer espacio para Ubuntu.
Cada vez que particione un disco, usted debe estar preparado para perder todo el contenido del disco en el que debe
comete un error o algo sale mal durante la particin. Los programas usados en la instalacin son
bastante fiables, la mayora han tenido aos de uso, sino que tambin realizan acciones destructivas.
2 http://www.kroah.com/lkn/
Instalacin
2. La instalacin desde CD
Los pasos bsicos para instalar Ubuntu Server Edition desde el CD son los mismos que para instalar cualquier
el sistema operativo desde el CD. A diferencia del Desktop Edition, la Server Edition no incluye un
programa de instalacin grfica. La Server Edition utiliza un proceso basado en men de la consola en su lugar.
En primer lugar, descargar y grabar el archivo correspondiente de la ISO Ubuntu sitio web3.
Arranque el sistema desde la unidad de CD-ROM.
En el indicador de arranque, se le pedir que seleccione un idioma.
En el men de arranque principal, hay algunas opciones adicionales para instalar Ubuntu Server Edition. Usted
puede instalar una base de Ubuntu Server, consulte el CD-ROM de los defectos, comprobar el sistema de memoria
RAM, de arranque
del primer disco duro, o rescatar a un sistema que no funciona. El resto de esta seccin cubrir la base de Ubuntu
Instalacin del servidor.
El instalador pide que el lenguaje se debe utilizar. Posteriormente, se le pedir que seleccione su
ubicacin.
A continuacin, el proceso de instalacin comienza por pedir la distribucin del teclado. Usted puede pedir al
instalador
para tratar de que con deteccin automtica, o puede seleccionar manualmente de una lista.
El instalador detecta la configuracin de su hardware y configura los ajustes de red utilizando
DHCP. Si usted no desea usar DHCP en la siguiente pantalla, seleccione "Volver", y usted tiene la
opcin de "Configuracin de la red de forma manual".
A continuacin, el instalador le pregunte el nombre de host para la zona y hora del
sistema.
A continuacin, puede elegir entre varias opciones para configurar el diseo del disco duro. Despus se
Se pide que el disco para instalar. Usted puede recibir los mensajes de confirmacin antes de volver a escribir la
la tabla de particiones o la creacin de LVM en funcin de diseo del disco. Si opta por LVM, se le
pidi el tamao del volumen lgico raz. Para ver las opciones avanzadas de disco Seccin 4, "Advanced
Instalacin "[p. 10].
El sistema de base de Ubuntu se instala.
Un nuevo usuario se configura, este usuario tendr que raz acceder a travs de la utilidad
sudo.
Despus de los ajustes de usuario se han completado, se le pedir para cifrar su casa directorio.
El siguiente paso en el proceso de instalacin es decidir cmo desea actualizar el sistema. Hay
tres opciones:
No hay actualizaciones automticas: esto requiere un administrador inicie sesin en la mquina e instalar
manualmente
actualizaciones.
Instale actualizaciones de seguridad de forma automtica: se instalar el paquete de actualizaciones
desatendida, lo que
va a instalar actualizaciones de seguridad sin la intervencin de un administrador. Para ms detalles vea
Seccin 5, "Actualizaciones automticas" [p.
27].
Administrar el sistema con el paisaje: El paisaje es un servicio de pago proporcionado por Canonical para
ayudar a
gestionar sus mquinas con Ubuntu. Vase el Paisaje4 sitio para ms detalles.
3 http://www.ubuntu.com/download/server/download
4 http://www.canonical.com/projects/landscape
Instalacin
Ahora tiene la opcin de instalar o no instalar, varias tareas del paquete. Ver Seccin 2.1, "Paquete
Tareas "[p. 7] para ms detalles. Tambin, hay una opcin para iniciar aptitud para elegir especfica
los paquetes a instalar. Para obtener ms informacin, consulte Seccin 4, "Aptitud" [p. 25].
Finalmente, el ltimo paso antes de reiniciar es para ajustar el reloj en hora
UTC.
Si en algn momento durante la instalacin no est satisfecho con la configuracin por defecto, utilice el
Go "
Volver "funcin en cualquier mensaje para ser llevado a un men de instalacin detallada que permita
modificar la configuracin predeterminada.
En algn momento durante el proceso de instalacin es posible que desee leer la pantalla de ayuda proporcionada por
el
instalacin del sistema. Para ello, pulse F1.
Una vez ms, para obtener instrucciones detalladas, vase el Gua de instalacin de
Ubuntu5.
Instalacin
El resultado ser una lista de tareas de otras distribuciones basadas en Ubuntu como Kubuntu y
Edubuntu. Tenga en cuenta que tambin se puede invocar la tasksel ordenar por s mismo, que se abrir
un men de las funciones disponibles.
Puede ver una lista de los paquetes que se instalan con cada tarea con el - La tarea de los paquetes opcin.
Por ejemplo, para listar los paquetes instalados con el Servidor DNS tarea de escribir lo siguiente:
bind9-doc
bind9utils
bind9
Si usted no ha instalado una de las tareas durante el proceso de instalacin, pero por ejemplo, usted decide
hacer que su servidor LAMP un nuevo servidor DNS, as, simplemente inserte el CD de instalacin y de una
terminal:
Instalacin
3. Actualizar
Hay varias formas de actualizar desde una versin de Ubuntu a otro. En esta seccin se ofrece una visin general
del mtodo de actualizacin recomendada.
3,1. do-release-upgrade
La forma recomendada de actualizar una instalacin de Server Edition es utilizar el do-release-upgrade
utilidad. Parte del update-manager-core paquete, no tiene ninguna dependencia grficas y es
instalado por defecto.
Sistemas basados en Debian tambin se puede actualizar mediante el uso de apt-get dist-upgrade. Sin embargo,
con doliberacin de la actualizacin es recomendable porque tiene la capacidad de manejar los cambios de configuracin
del sistema
veces sea necesario entre versiones.
Para actualizar a una versin ms reciente, de una terminal escriba:
do-release-upgrade
Tambin es posible el uso de do-release-upgrade para actualizar a una versin de desarrollo de Ubuntu. A
lograr este uso el -D interruptor:
do-release-upgrade-d
Instalacin
4. Instalacin avanzada
4,1. RAID por software
Redundant Array of Independent Disks "RAID" es un mtodo de uso de varios discos para proporcionar
diversos equilibrios de aumentar la fiabilidad de los datos y / o aumentando el rendimiento de entrada / salida,
dependiendo
en el nivel de RAID que se utiliza. RAID est implementado en software (donde el sistema operativo
sabe de ambas unidades y mantiene activamente tanto de ellos) o hardware (donde un controlador especial
hace que el sistema operativo que hay slo una unidad y mantiene las unidades de "invisible").
El software RAID incluido con las versiones actuales de Linux (y Ubuntu) se basa en la 'mdadm'
conductor y funciona muy bien, mejor incluso que los controladores RAID muchos de los llamados 'hardware'. En esta
seccin
le guiar a travs de la instalacin de Ubuntu Server Edition con dos particiones RAID 1 en dos fsica
discos duros, uno para /y otra para intercambiar.
4.1.1. Particiones
Siga los pasos de instalacin hasta llegar a la Particionar discos duros el paso, a
continuacin:
1.
2.
Seleccione el primer disco duro, y estoy de acuerdo "Crear una nueva tabla de particiones vaca en este
dispositivo?".
Repita este paso para cada unidad que desea ser parte de la matriz RAID.
3.
4.
5.
6.
7.
8.
Al igual que con la particin de intercambio, seleccione el "Utilizar como:" la lnea en la parte superior,
cambindolo por "Volumen fsico
para RAID ". Asimismo, seleccione el "La bandera de arranque:" lnea para cambiar el valor a "Encendido".
la
creacin de la
particin
A continuacin,
elija
"Hecho".
9.
Repita los pasos del tres al ocho para el otro disco y las particiones.
Instalacin
1.
2.
3.
4.
5.
6.
7.
8.
9.
Introduzca el nmero de dispositivos activos "2", o la cantidad de unidades de disco duro que tiene, para la
matriz.
A continuacin, seleccione "Continuar".
A continuacin, introduzca el nmero de dispositivos de reserva "0" por defecto, a continuacin,
elija "Continuar".
Elija las particiones a utilizar. En general sern sda1, sdb1, sdc1, etc Los nmeros
por lo general coinciden y las diferentes letras corresponden a diferentes unidades de disco duro.
Para el intercambiar particin de elegir sda1 y sdb1. Seleccionar "Continuar" para ir al paso
siguiente.
Repita los pasos tres a travs de siete para el /particin de la eleccin sda2 y sdb2.
Una vez hecho esto seleccione
"Finalizar".
4.1.3. Formato
Ahora debe haber una lista de los discos duros y dispositivos RAID. El siguiente paso es formatear y establecer el
punto de montaje de los dispositivos RAID. Tratar el dispositivo RAID como un formato de disco duro local, y
montar
en consecuencia.
1.
2.
3.
4.
5.
6.
Si opta por colocar la particin de root en un sistema RAID, el instalador le preguntar si desea
para arrancar en un degradado estado. Ver Seccin 4.1.4, "RAID degradado" [p. 11] para ms detalles.
El proceso de instalacin a continuacin, continuar normalmente.
4.1.4. RAID degradado
En algn momento de la vida del equipo de un evento fallo de disco se puede producir. Cuando esto sucede,
utilizando
RAID por software, el sistema operativo se coloque la matriz en lo que se conoce como un degradado estado.
11
Instalacin
Si la matriz se ha degradado, debido a la posibilidad de corrupcin de datos, por defecto de Ubuntu Server
Edicin se iniciar en initramfs despus de treinta segundos. Una vez que el initramfs haya arrancado hay un quince
segundo requerimiento que le da la opcin de seguir adelante y arrancar el sistema, o recuperar manual de tentativa.
Arrancar al sistema initramfs puede o no ser el comportamiento deseado, especialmente si la mquina est
en un lugar remoto. El arranque de un array degradado se puede configurar de varias maneras:
La utilidad dpkg-reconfigure se puede utilizar para configurar el comportamiento predeterminado, y durante el
proceso
se le pregunt acerca de los ajustes adicionales relacionados con la matriz. Tales como el monitoreo, alertas de correo
electrnico,
etc Para reconfigurar mdadm escriba lo siguiente:
sudo dpkg-reconfigure mdadm
BOOT_DEGRADED = true
La -D dice mdadm para mostrar detallado informacin sobre el / Dev/md0 dispositivo. Reemplazar / Dev/md0
con el dispositivo RAID apropiada.
Para ver el estado de un disco en una matriz:
12
Instalacin
La salida si es muy similar al mdadm-D comando, ajustar / Dev/sda1 para cada disco.
Si un disco falla y debe ser eliminado de una serie escriba:
A veces un disco se puede cambiar a un defectuoso Estado a pesar de que no hay ningn problema fsico
la unidad. Por lo general, vale la pena extraer la unidad de la matriz a continuacin, volver a agregar. Esto har que
la unidad para volver a sincronizar con la matriz. Si la unidad no se sincronizarn con la matriz, es una buena
indicacin de
fallo de hardware.
La / Proc / mdstat archivo tambin contiene informacin til acerca de los dispositivos RAID del
sistema:
cat / proc / mdstat
Personalidades: [linear] [multipath] [raid0] [raid1] [RAID 6] [RAID 5] [RAID 4] [RAID 10]
md0: active raid1 sda1 [0] sdb1 [1]
10016384 bloques [2/2] [UU]
los dispositivos utilizados:
<none>
6 https://help.ubuntu.com/community/Installation # redada
13
Instalacin
El software RAID HOWTO7
Administracin de RAID en Linux8
Hay varias opciones de instalacin para el LVM, "Guiado - utilizar todo el disco y la configuracin de LVM" que
Tambin le permitir asignar una porcin del espacio disponible a LVM, "Guiado - utilizar todo el programa de
instalacin
LVM cifrado ", o Manualmente configurar las particiones y configurar LVM. En este momento la nica manera de
configurar un sistema con dos particiones LVM y estndar, durante la instalacin, es utilizar el Manual
enfoque.
1.
2.
Siga los pasos de instalacin hasta llegar a la Particionar discos duros el paso, a
continuacin:
Al "Los discos de particin pantalla, seleccione "Manual".
3.
Seleccione el disco duro y en la siguiente pantalla, seleccione "s" a "Crear una nueva tabla de particin
vaca
en este dispositivo ".
4.
A continuacin, cree estndar / Boot, de intercambio, y /particiones con sistema de archivos lo que
usted prefiere.
Para el LVM / Srv, crear un nuevo Lgico particin. A continuacin, cambie "Utilizar como" a "Volumen fsico
para
LVM " entonces "Terminado de definir la particin".
5.
7 http://www.faqs.org/docs/Linux-HOWTO/Software-RAID-HOWTO.html
8 http://oreilly.com/catalog/9781565927308/
14
Instalacin
6.
7.
8.
9.
A continuacin, seleccione "Configurar el Logical Volume Manager" en la parte superior, y elija "S" para
escribir el
cambios en el disco.
Para el "LVM accin de configuracin" en la siguiente pantalla, seleccione "Crear grupo de volmenes".
Introduzca un
nombre para el VG como vg01, o algo ms descriptivo. Despus de introducir un nombre, seleccione la
particin configurado para LVM, y elija "Continuar".
De vuelta en el "LVM accin de configuracin" pantalla, seleccione "Crear volmenes lgicos". Seleccione la
recin creado grupo de volmenes, y escriba un nombre para la nueva BT, por ejemplo srv ya que es el
destinado punto de montaje. A continuacin, elija un tamao, que puede ser la particin completa, ya que siempre
puede
extenderse ms tarde. Elegir "Finalizar" y usted debera estar de vuelta en el principal "Los discos de particin"
pantalla.
Ahora agregue un sistema de archivos a la nueva LVM. Seleccione la particin en "LVM VG vg01, LV srv", o
cualquiera sea el nombre que haya elegido, el elegir Usar como. Configuracin de un sistema de archivos como
la seleccin de lo normal / Srv
como el punto de montaje. Una vez hecho esto, seleccione "Terminado de definir la particin".
10. Por ltimo, seleccione "Finalizar el particionado y escribir los cambios en el disco". A continuacin,
confirme los cambios y
continuar con el resto de la instalacin.
Hay algunas utilidades para ver la informacin sobre el LVM:
pvdisplay: muestra informacin sobre los volmenes fsicos.
vgdisplay: muestra informacin acerca de grupos de volmenes.
lvdisplay: muestra informacin sobre los volmenes lgicos.
4.2.3. La extensin de los grupos de
volmenes
Continuando con srv como un ejemplo de volumen LVM, esta seccin incluye la adicin de un segundo disco duro,
la creacin de un volumen fsico (PV), y agreg que el grupo de volmenes (VG), que se extiende el volumen lgico
srvy,
finalmente, la ampliacin del sistema de archivos. Este ejemplo se supone un segundo disco duro ha sido aadido a
el sistema. En este ejemplo, este disco duro se denominar / Dev / sdb y vamos a utilizar todo el disco como un
volumen fsico (puede optar por crear las particiones y los utilizan como diferentes volmenes fsicos)
Asegrese de que usted no tiene una ya existente / Dev / sdb antes de emitir los siguientes comandos.
Usted podra perder algunos datos si se emite los comandos en un disco que no est vaca.
1.
2.
3.
Utilice vgdisplay para encontrar las extensiones libres fsicas - Free PE / tamao (el tamao puede asignar).
Nosotros
asumir un tamao libre de 511 PE (equivalente a 2 GB con un tamao de 4 MB PE) y vamos a utilizar el
todo el espacio libre disponible. Utilice su propio PE y / o espacio libre.
15
Instalacin
El volumen lgico (LV), ahora se puede extender por diferentes mtodos, slo veremos cmo
utilizar la educacin fsica para extender el LV:
4.
La -L opcin permite que el ventrculo izquierdo que se extiende utilizando la EP. La -L opcin permite
que el ventrculo izquierdo para ser
ampliarse con Meg, Gig, Tera, bytes, etc.
A pesar de que se supone que son capaces de expandir un sistema de archivos ext3 o ext4 sin
desmontarla primero, puede ser una buena prctica para desmontar todos modos y comprobar el sistema de
ficheros, por lo que
que usted no estropear el da que quiere reducir un volumen lgico (en ese caso, desmontar primero
es obligatorio).
Los siguientes comandos son para un EXT3 o EXT4 sistema de archivos. Si usted est usando otro
sistema de archivos que puede haber otros servicios pblicos disponibles.
6.
4.2.4. Recursos
Consulte el Wiki de Ubuntu LVM artculos9.
Consulte el LVM HOWTO10 para ms informacin.
Otro buen artculo es Gestin de espacio en disco con LVM11 en el sitio linuxdevcenter.com de O'Reilly.
Para obtener ms informacin sobre fdisk ver el pgina de manual
de fdisk12.
9 https://help.ubuntu.com/community/Installation # lvm
10 http://tldp.org/HOWTO/LVM-HOWTO/index.html
11 http://www.linuxdevcenter.com/pub/a/linux/2006/04/27/managing-disk-space-with-lvm.html
12 http://manpages.ubuntu.com/manpages/precise/en/man8/fdisk.8.html
16
Instalacin
5,3. Instalacin
El fallo en el ncleo de utilidad de descarga se instala con el siguiente comando:
5,4. Configuracin
Ninguna otra configuracin se requiere a fin de tener el mecanismo de volcado del ncleo habilitado.
5,5. Verificacin
Para confirmar que el mecanismo de volcado del ncleo est habilitado, hay algunas cosas que debe verificar. En primer
lugar, confirmar la
que el crashkernel parmetro de arranque est presente (nota: La siguiente lnea se ha dividido en dos para adaptarse
a
El formato de este documento:
17
Instalacin
0.000000] Reserva de 64MB de memoria a 800 MB para crashkernel (Sistema RAM: 1023MB)
Si un valor de 0se devuelve la funcin est desactivada. Activar con el siguiente comando:
Una vez hecho esto, debe convertirse en root, como se acaba con sudo no ser suficiente. A medida que el raz
usuario, se tendr que ejecutar el comando c echo> / proc / sysrq de gatillo fcil. Si usted est usando una red
18
Instalacin
conexin, se pierde el contacto con el sistema. Por esta razn, es mejor hacer la prueba al tiempo que
conectado a la consola del sistema. Esto tiene la ventaja de hacer el proceso de volcado del ncleo visible.
Una salida de la prueba tpica debe tener el siguiente aspecto:
sudo-s
Contrasea [sudo] para Ubuntu:
#c echo> / proc / sysrq-trigger
[31.659002] Pet Sis: el disparo de un accidente
[
[
[
[
[
31.659749]
31.662668]
31.662668]
31.662668]
31.662668]
(Null)
....
El resto de la produccin se trunca, pero hay que ver el reinicio del sistema y en alguna parte en el registro,
usted ver la siguiente lnea:
Inicio: Guardar vmcore de la cada del ncleo ...
Una vez completado, el sistema se reiniciar a su modo de funcionamiento normal. A continuacin, se encuentra el
kernel
Crash en el archivo de volcado / Var / crash directorio:
ls / var / crash
linux-image-3.0.0-12-server.0.crash
5,7. Recursos
Volcado del ncleo Crash es un tema muy amplio que requiere un buen conocimiento del kernel de Linux. Usted
puede encontrar
ms informacin sobre el tema aqu:
Kdump documentacin del ncleo13.
La herramienta de
choque14
Anlisis de Crash Kernel de Linux15 (basado en Fedora, todava da una buena gua de volcado del ncleo
anlisis)
13 http://www.kernel.org/doc/Documentation/kdump/kdump.txt
14 http://people.redhat.com/ ~ anderson /
15 http://www.dedoimedo.com/computers/crash-analyze.html
19
Captulo 3. La administracin de
paquetes
Ubuntu cuenta con un sistema de paquetes de gestin integral para la instalacin, actualizacin, configuracin,
y eliminacin de software. Adems de proporcionar acceso a una base organizada de ms de 35.000 programas
los paquetes para su equipo Ubuntu, las instalaciones de gestin de paquetes tambin cuentan con la dependencia
las capacidades de resolucin y la comprobacin de
actualizaciones de software.
Existen varias herramientas para interactuar con el sistema de gestin de paquetes de Ubuntu, desde la simple
utilidades de lnea de comandos que pueden ser fcilmente automatizados por los administradores del sistema, a un
grfico simple
interfaz que es fcil de utilizar por los nuevos en Ubuntu.
20
La administracin de paquetes
1. Introduccin
Sistema de gestin de paquetes de Ubuntu se deriva desde el mismo sistema utilizado por el / Debian GNU
Distribucin de Linux. Los archivos de paquetes contienen todos los archivos necesarios, meta-datos e instrucciones en
implementar una funcionalidad particular o aplicacin de software en el equipo de Ubuntu.
Los archivos de paquetes de Debian suelen tener la extensin '. Deb', y por lo general existen en repositorios que
son
colecciones de paquetes que se encuentran en diversos medios de comunicacin, tales como discos CD-ROM o en
lnea. Los paquetes son
normalmente en un formato binario pre-compilado, por lo que la instalacin es rpida y no requiere la compilacin
de
software.
Muchos paquetes complejos utilizan el concepto de dependencias. Las dependencias son paquetes adicionales
requerido por el paquete principal con objeto de funcionar adecuadamente. Por ejemplo, la sntesis de voz
Festival del paquete depende de la libasound2 paquete, que es un paquete de suministro de la ALSA
biblioteca de sonidos necesarios para la reproduccin de audio. Con el fin de fiesta a la funcin, y todas sus dependencias
debe estar instalado. Las herramientas de gestin de software en Ubuntu lo har automticamente.
21
La administracin de paquetes
2. dpkg
dpkg es un gestor de paquetes de Basada en Debian sistemas. Se puede instalar, eliminar y crear los paquetes, pero
a diferencia de otros sistemas de gestin de paquetes, no se puede descargar automticamente e instalar los paquetes o
sus dependencias. En esta seccin se explica el uso de dpkg para administrar los paquetes instalados
localmente:
Para una lista de todos los paquetes instalados en el sistema, de un tipo de terminal del
sistema:
dpkg-l
Dependiendo de la cantidad de paquetes en su sistema, esto puede generar una gran cantidad de la produccin.
Canalizar la salida a travs de grep para ver si un paquete especfico est instalado:
Reemplazar apache2 con cualquier nombre de paquete, que forma parte de un nombre de paquete, o una
expresin regular otros.
Para una lista de los archivos instalados por un paquete, en este caso el paquete de UFW,
escriba:
dpkg-L UFW
Si usted no est seguro de qu paquete instalar un archivo, dpkg-S puede ser capaz de decirle. Por ejemplo:
Cambiar zip_3.0-4_i386.deb al nombre del archivo real del archivo local. deb que desea instalar.
La desinstalacin de un paquete se puede lograr mediante:
22
La administracin de paquetes
3. Apt-get
El comando apt-get es una potente herramienta de lnea de comandos, que trabaja con Ubuntu Avanzado
Packaging Tool (APT) la realizacin de funciones tales como la instalacin de nuevos paquetes de software,
actualizar
de paquetes de software existentes, la actualizacin del ndice de paquetes, e incluso actualizacin de todo
Sistema Ubuntu.
Al ser una simple herramienta de lnea de comandos, apt-get tiene numerosas ventajas sobre la gestin de otro paquete
herramientas disponibles en Ubuntu para los administradores de servidores. Algunas de estas ventajas incluyen la
facilidad de uso sobre
conexiones sencillas de terminal (SSH), y la capacidad de ser utilizado en las secuencias de comandos de administracin
del
queser automatizado por la utilidad de planificacin de
a susistema,
vez puede
tareas cron.
Algunos ejemplos de los usos populares de la utilidad apt-get:
Instalar un paquete: Instalacin de paquetes utilizando la herramienta apt-get es bastante simple. Por ejemplo, para
instalar el escner de red nmap, escriba lo siguiente:
Varios paquetes: Usted puede especificar varios paquetes para instalar o desinstalar,
separados por espacios.
Adems, aadiendo el - Purge opcin para apt-get remove eliminar los archivos de configuracin de paquetes
como
as. Esto puede o no puede ser el efecto deseado, a fin de utilizar con precaucin.
Actualizar el ndice de paquetes: El ndice de paquetes de APT es esencialmente una base de datos
disponible
paquetes en los repositorios definidos en el / Etc / apt / sources.list archivo y en el / Etc / apt /
sources.list.d directorio. Para actualizar el ndice local de paquetes con los ltimos cambios realizados en el
repositorios, escriba lo siguiente:
Actualizar paquetes: Con el tiempo, las versiones actualizadas de los paquetes ya instalados en su ordenador
puede llegar a ser disponible en los repositorios de paquetes (por ejemplo, actualizaciones de seguridad). Para
actualizar
el sistema, primero actualice su ndice de paquetes como se describe anteriormente, a
continuacin, escriba:
sudo apt-get upgrade
Para obtener informacin sobre cmo actualizar a una nueva versin de Ubuntu ve Seccin 3,
"Actualizacin" [p. 9].
Las acciones del comando apt-get, como instalacin y desinstalacin de paquetes, se registran en el archivo / var /
log / dpkg.log registro.
23
La administracin de paquetes
Para ms informacin sobre el uso de APT, lea el amplio Manual de Usuario de Debian APT1 o
Tipo:
apt-get ayuda
1 http://www.debian.org/doc/user-manuals # apt-howto
24
La administracin de paquetes
4. Aptitud
Puesta en marcha de Aptitud sin opciones de lnea de comandos, le dar una basada en men, basado en texto de
primera
extremo al Advanced Packaging Tool (APT) del sistema. Muchos de los de gestin de paquetes comunes
funciones, como la instalacin, desinstalacin y actualizacin, se pueden realizar en la aptitud, con una sola tecla
comandos, que son normalmente letras minsculas.
Aptitud es el ms adecuado para su uso en un entorno de terminal no grfico para asegurar el funcionamiento apropiado
de las teclas de comando. Usted puede iniciar la interfaz basada en mens de Aptitud como un usuario normal, escriba
el siguiente comando en una terminal:
sudo aptitude
Cuando inicie Aptitude, usted ver una barra de men en la parte superior de la pantalla y dos paneles debajo del men
bar. El panel superior contiene las categoras de paquetes, tales como Nuevos Paquetes y No se ha instalado
paquetes.
El panel inferior contiene informacin relacionada con los paquetes y categoras de paquetes.
Uso de aptitud para la gestin de paquetes es relativamente sencillo, y hace que la interfaz de usuario
tareas comunes fciles de realizar. Los siguientes son ejemplos de gestin de paquetes comunes
funciones que se realizan en Aptitude:
Instalar paquetes: Para instalar un paquete, busque el paquete a travs de la Paquetes no instalados paquete
categora, mediante el uso de las teclas de flecha del teclado y las ENTER clave. Resalte el paquete deseado,
continuacin, pulse el +clave. La entrada de paquete debe girar verde, lo que indica que se ha marcado
para la instalacin. A continuacin, pulse gque se presentar con un resumen de las acciones. Presionar gde nuevo,
y se le pedir que se convierta en administrador para completar la instalacin. Presionar ENTER el que se
resultar en una Contrasea: pedir. Ingrese su contrasea de usuario para entrar como root. Por ltimo, pulse guna
vez ms
y se le pedir que descargue el paquete. Presionar ENTER en el Continuar del sistema y,
descarga y la instalacin del paquete comenzar.
Desinstalar paquetes: Para eliminar un paquete, busque el paquete a travs de la Paquetes instalados paquete
categora, mediante el uso de las teclas de flecha del teclado y las ENTER clave. Resalte el paquete deseado
que desea eliminar y pulse el -clave. La entrada de paquete debe girar rosa, lo que indica que tiene
sido marcados para su eliminacin. A continuacin, pulse gque se presentar con un resumen de las acciones.
Presionar g
otra vez, y se le pedir que se convierta en administrador para completar la eliminacin. Presionar ENTER el que se
resultar en una Contrasea: pedir. Ingrese su contrasea de usuario para entrar como root. Por ltimo, pulse guna
vez ms,
a continuacin, pulse ENTER en el Continuar del sistema, y la eliminacin del paquete se iniciar.
Actualizar ndice de paquetes: Para actualizar el ndice de paquetes, simplemente presione el ullave y usted ser
pide que se convierta en administrador para completar la actualizacin. Presionar ENTER lo que resultar en un
Contrasea:
pedir. Ingrese su contrasea de usuario para entrar como root. La actualizacin del ndice de los paquetes.
Presionar ENTER en el Aceptar del sistema cuando el cuadro de dilogo de descarga para completar el proceso.
Actualizar paquetes: Para actualizar los paquetes, realizar la actualizacin del ndice de paquetes como se detalla
ms arriba, y luego presione el Uclave para marcar todos los paquetes con las actualizaciones. A continuacin,
pulse gpor el cual usted
se presentarn con un resumen de las acciones. Presionar gotra vez, y se le pedir que
25
La administracin de paquetes
convierta en administrador para completar la instalacin. Presionar ENTER lo que resultar en un Contrasea:
pedir.
Ingrese su contrasea de usuario para entrar como root. Por ltimo, pulse guna vez ms, y se le pedir que
descargar los paquetes. Presionar ENTER en el Continuar del sistema, y la actualizacin de los paquetes
comenzar.
La primera columna de la informacin que aparece en la lista de paquetes en el panel superior, cuando en realidad ver
paquetes muestra el estado actual del paquete, y utiliza la siguiente clave para describir el estado de la
paquete:
i: Paquete instalado
c: El paquete no instalado, pero la configuracin del paquete permanece en el sistema
t: Eliminado del sistema
v: Paquete virtual
B: Paquetes rotos
u: Sin embalaje archivos, pero el paquete an no est
configurado
C: A medio configurar - Error en la configuracin y requiere ser reparada
H: Half-instalado - no de eliminacin y requiere ser reparada
Para cerrar Aptitude, simplemente presione el qclave y confirme que desea salir. Muchas otras funciones son
disponible en el men Aptitud pulsando el F10 clave.
Consulte las pginas man para ms detalles sobre las opciones de lnea de comandos para la
aptitud.
26
La administracin de paquetes
5. Actualizaciones
automticas
El paquete de actualizacin desatendida se puede utilizar para instalar automticamente los paquetes actualizados, y
puede ser
configurado para actualizar todos los paquetes o simplemente instalar actualizaciones de seguridad. En primer lugar,
instalar el paquete mediante la introduccin de
lo siguiente en una terminal:
sudo apt-get install-actualizaciones desatendidas
Ciertos paquetes tambin puede ser la lista negra y por lo tanto no se actualiza automticamente. Para la lista negra
un paquete, agregar a la lista:
"Libc6-dev";
"Libc6-i686";
};
El doble "/ /" servir como comentarios, as que lo que sigue "/ /" no ser evaluado.
Las actualizaciones de configuracin por encima de la lista de paquetes, descargas, e instala las actualizaciones
disponibles cada
da. El archivo de descarga local se limpia cada semana.
Usted puede leer ms acerca de las opciones de configuracin aptas peridicos en el / Etc / cron.daily
/ apt
script de cabecera.
Los resultados de la vigilancia de las actualizaciones se registrarn en / Var / log / unattendedupgrades.
27
La administracin de paquetes
5,1. Notificaciones
Configuracin Desatendida a la actualizacin :: Correo en O etc/apt/apt.conf.d/50unattended-upgrades
voluntad
permitir que las actualizaciones de vigilancia de correo electrnico a un administrador que detalla todos los paquetes
tiene
problemas.
que necesitan
mejorar o
Otro paquete til es apticron. apticron va a configurar una tarea programada para enviar un administrador
informacin acerca de los paquetes en el sistema que tienen las actualizaciones disponibles, as como un resumen de
cambios en cada paquete.
Una vez que se instala el paquete editar / Etc / apticron / apticron.conf, Para establecer la direccin de correo
electrnico y otros
opciones:
EMAIL = "root@example.com"
28
La administracin de paquetes
6. Configuracin
La configuracin de la Advanced Packaging Tool (APT) repositorios del sistema se almacena en el / Etc / apt /
sources.list archivo y el / Etc / apt / sources.list directorio. Un ejemplo de este archivo se hace referencia
aqu, junto con informacin sobre la adicin o eliminacin de las referencias del repositorio del archivo.
Aqu2 es un ejemplo sencillo de un tpico / Etc / apt / sources.list archivo.
Usted puede editar el archivo para activar o desactivar repositorios de ellos. Por ejemplo, para desactivar el requisito
de insertar el CD-ROM de Ubuntu cada vez que las operaciones de paquetes se producen, simplemente comentar
la
lnea apropiada para el CD-ROM, que aparece en la parte superior del archivo:
# No hay ms que provoc el CD-ROM por favor
# Deb cdrom: [Ubuntu 12.04 Pangolin_ _Precise - Release i386 (20111013.1)] / precisa main restricted
6,1. Repositorios
Adems de los repositorios de paquetes disponibles con apoyo oficial para Ubuntu, existen ms
mantenido por la comunidad repositorios que se suman otros miles de paquetes para la instalacin de potencial.
Dos de los ms populares son el Universo y Multiverso repositorios. Estos depsitos no son
soportados oficialmente por Ubuntu, pero debido a que son mantenidos por la comunidad en general
Ofrecemos paquetes que son seguros para su uso con el equipo de Ubuntu.
Los paquetes en la Multiverso repositorio a menudo tienen problemas con las licencias que les impiden
que se distribuye con un sistema operativo libre, y puede ser ilegal en su localidad.
Tenga en cuenta que ni el Universo o Multiverso depsitos contienen con apoyo oficial
paquetes. En particular, no pueden ser actualizaciones de seguridad para estos paquetes.
Muchas fuentes de paquetes se dispone de otros, a veces incluso ofreciendo slo un paquete, como en el caso
de las fuentes de paquetes proporcionados por el desarrollador de una sola aplicacin. Usted siempre debe ser muy
cuidadoso y cauteloso al utilizar fuentes no estndar del paquete, sin embargo. Investigar el origen y el
paquetes cuidadosamente antes de realizar cualquier instalacin, ya que algunas fuentes de paquetes y sus paquetes
podra desestabilizar su sistema o que no funciona en algunos aspectos.
Por defecto, el Universo y Multiverso depsitos estn habilitados, pero si quieres desactivarlos
editar / Etc / apt / sources.list y comentar las siguientes lneas:
2 .. / muestra / sources.list
29
La administracin de paquetes
deb http://us.archive.ubuntu.com/ubuntu/ precisos-updates universo
deb-src http://us.archive.ubuntu.com/ubuntu/ precisos-updates universo
deb http://us.archive.ubuntu.com/ubuntu/ precisa multiverso
deb-src http://us.archive.ubuntu.com/ubuntu/ precisa multiverso
deb http://us.archive.ubuntu.com/ubuntu/ precisos-updates multiverse
deb-src http://us.archive.ubuntu.com/ubuntu/ precisos-updates multiverse
30
La administracin de paquetes
7. Referencias
La mayor parte del material cubierto en este captulo est disponible en las pginas de manual, muchos de los cuales
estn disponibles
en lnea.
El Instalar aplicaciones3 pgina del wiki de Ubuntu tiene ms informacin.
Para ms detalles ver el dpkg ms dpkg pgina de manual4.
El APT HOWTO5 y apt-get pgina man6 contienen informacin til sobre el uso de apt-get.
Consulte el pgina del manual de la aptitud7 para ms opciones de aptitud.
El Aadir repositorios HOWTO (Wiki de Ubuntu)8 pgina contiene ms detalles sobre la adicin de
repositorios.
3 https://help.ubuntu.com/community/InstallingSoftware
4 http://manpages.ubuntu.com/manpages/precise/en/man1/dpkg.1.html
5 http://www.debian.org/doc/manuals/apt-howto/
6 http://manpages.ubuntu.com/manpages/precise/en/man8/apt-get.8.html
7 http://manpages.ubuntu.com/manpages/precise/man8/aptitude.8.html
8 https://help.ubuntu.com/community/Repositories/Ubuntu
31
Captulo 4. Redes
Las redes constan de dos o ms dispositivos, como los sistemas de computadoras, impresoras y equipos relacionados
los cuales estn conectados por cualquiera de cableado fsico o enlaces inalmbricos con el fin de compartir y
distribuir informacin entre los dispositivos conectados.
En esta seccin se ofrece informacin general y especfica relativa a la creacin de redes, incluyendo un
descripcin de los conceptos de red y la discusin detallada de los protocolos de redes populares.
32
Redes
1. Configuracin de la red
Ubuntu viene con una serie de utilidades grficas para configurar sus dispositivos de red. Este documento es
dirigido a los administradores de servidores y se centrar en la gestin de su red en la lnea de comandos.
Otra aplicacin que puede ayudar a identificar todas las interfaces de red disponibles para su sistema es el lshw
comando. En el siguiente ejemplo, lshw muestra una nica interfaz de Ethernet con el nombre lgico de eth0
junto con la informacin de autobuses, los datos del conductor y todas las capacidades de apoyo.
33
Redes
El siguiente es un ejemplo de cmo ver las funciones y la configuracin establecida de una red Ethernet
interfaz.
Soporta auto-negociacin: S
Anunciados los modos de enlace: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
1000baseT/Half 1000baseT/Full
Anunciado auto-negociacin: S
Velocidad: 1000Mb / s
Dplex: Completa
Puerto: Par Trenzado
PHYAD: 1
Transceptor: interno
La negociacin automtica: el
Soporta Wake-on: g
Wake-on: d
Nivel de mensaje actual: 0x000000FF (255)
Link detected: yes
Los cambios realizados con el comando ethtool son temporales y se perdern despus de un reinicio. Si lo hara
desea conservar la configuracin, slo tiene que aadir deseada ethtool comando a un pre-up declaracin en la
interfaz
archivo de configuracin / Etc / network / interfaces.
El siguiente es un ejemplo de cmo la interfaz identificada como eth0 podra ser permanentemente configurado
con una velocidad de puerto de 1000Mb / s se ejecuta en modo full
duplex.
auto eth0
iface eth0 inet static
pre-up / sbin / ethtool-s eth0 velocidad 1000 full duplex
Aunque el ejemplo anterior muestra la interfaz configurado para utilizar el esttico mtodo,
en realidad funciona con otros mtodos, as como DHCP. El ejemplo est destinado a
demostrar slo la colocacin correcta de la pre-up declaracin en relacin con el resto del
interfaz de configuracin.
34
Redes
1,2. Direccionamiento IP
La siguiente seccin describe el proceso de configurar su direccin IP por defecto de sistemas y
puerta de entrada necesario para comunicarse en una red de rea local e Internet.
1.2.1. Cesin temporal de la direccin IP
Para las configuraciones de red temporales, puede utilizar comandos estndar como IP, ifconfig y route,
que tambin se encuentran en la mayora de otros sistemas operativos GNU / Linux. Estos comandos le permiten
configurar los ajustes que entrarn en vigor inmediatamente, sin embargo, no son persistentes y se perdern despus de
reiniciar el sistema.
Para configurar de forma temporal una direccin IP, puede utilizar el comando ifconfig de la siguiente manera.
Basta con modificar la direccin IP y la mscara de subred para satisfacer sus necesidades de red.
Para comprobar la configuracin de la direccin IP de eth0, puede utilizar el comando ifconfig en el siguiente
manera.
ifconfig eth0
eth0
Interrupcin: 16
Para configurar una puerta de enlace predeterminada, puede utilizar el comando de ruta de la siguiente manera.
Modificar el
direccin de la pasarela por defecto para que coincida con sus requisitos de red.
la ruta sudo add default gw 10.0.0.1 eth0
Para comprobar la configuracin de su puerta de enlace predeterminada, puede utilizar el comando route en la
siguiente
manera.
route-n
IP del Kernel de la tabla de
enrutamiento
Destino
Puerta
10.0.0.0
0.0.0.0
Genmask
255.255.255.0
0.0.0.0
0.0.0.0
UG
10.0.0.1
Utilice Iface
0 eth0
0 eth0
Si usted requiere DNS para la configuracin temporal de la red, puede agregar direcciones IP del servidor DNS
en el archivo / Etc / resolv.conf. El siguiente ejemplo muestra cmo introducir dos servidores DNS / Etc /
35
Redes
que ,debe
resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4
Si usted ya no tendr esta configuracin y desea purgar toda la configuracin IP de una interfaz,
Puede utilizar el comando ip con la opcin de descarga como se muestra a continuacin.
auto eth0
iface eth0 inet dhcp
Mediante la adicin de una configuracin de la interfaz como se muestra arriba, puede activar manualmente la interfaz
aeltravs
comando ifup que inicia el proceso a travs de DHCP dhclient.
Para deshabilitar manualmente la interfaz, puede utilizar el comando ifdown, que a su vez iniciar la
DHCP el proceso de liberacin y cerrar la interfaz.
auto eth0
iface eth0 inet static
la direccin 10.0.0.100
mscara de red 255.255.255.0
puerta de enlace 10.0.0.1
36
Redes
Mediante la adicin de una configuracin de la interfaz como se muestra arriba, puede activar manualmente la interfaz
a travs
el comando ifup.
sudo ifup eth0
Lo ifconfig
he aqu
Mtrica: 1
Por defecto, debera haber dos lneas de / Etc / network / interfaces responsable de forma automtica
configuracin de la interfaz de bucle invertido. Se recomienda que mantenga la configuracin predeterminada a menos
que
tienen un propsito especfico para el cambio de ellos. Un ejemplo de las dos lneas predeterminadas se muestran a
continuacin.
Lo automtico
iface inet loopback he aqu
37
Redes
resolvconf utiliza DHCP ganchos cliente, y / Etc / network / interfaces para generar una lista de servidores de
nombres
y los dominios para poner en / de / etc resolv.conf, que ahora es un enlace simblico:
/ Etc / resolv.conf -> .. / run / resolvconf / resolv.conf
Para configurar la resolucin, agregue las direcciones IP de los servidores de nombres que sean apropiados para su
red en el archivo / Etc / network / interfaces. Tambin puede agregar una opcin de bsqueda sufijo DNS listas
para que coincida con sus nombres de dominio de red. Por la otra opcin vlida de configuracin resolv.conf, puede
incluir, en la estrofa, una lnea que comienza con el nombre de la opcin con un dns- prefijo. El archivo resultante
podra ser similar al siguiente:
La bsqueda opcin tambin se puede utilizar con varios nombres de dominio de manera que las consultas DNS ser
adjunta en el orden en que se introducen. Por ejemplo, la red puede tener varios subdominios de bsqueda, un dominio de los padres example.com, y dos sub-dominios, sales.example.com y
dev.example.com.
Si tiene varios dominios que desea buscar, la configuracin podra ser similar al siguiente:
Si intenta hacer ping a un host con el nombre de server1, el sistema automticamente se consulta DNS para su
Nombre de dominio completo (FQDN) en el siguiente orden:
1. server1.example.com
2. server1.sales.example.com
3. server1.dev.example.com
Si no se encuentran coincidencias, el servidor DNS proporcionar un resultado de notfound y la consulta DNS se
producir un error.
1.3.2. Nombres de host esttico
Nombres de host estticos son definidas a nivel local el nombre de host-a-IP asignaciones encuentran en el
archivo / Etc / hosts.
Las inscripciones en el los ejrcitos archivo tendr prioridad sobre los DNS por defecto. Esto significa que si su
sistema
intenta resolver un nombre de host y coincide con una entrada en / etc / hosts, no se tratar de buscar la
registro en el DNS. En algunas configuraciones, sobre todo cuando el acceso a Internet no es necesario, los servidores
que
38
Redes
comunicarse con un nmero limitado de los recursos pueden ser convenientemente configurado para utilizar
nombres de host estticos
en lugar de DNS.
El siguiente es un ejemplo de un los ejrcitos presentar en un nmero de servidores locales han sido identificados
por
nombre de un sistema, los alias y los nombres equivalentes de dominio completo (FQDN).
127.0.0.1 localhost
127.0.1.1 ubuntu-server
10.0.0.11 server1 VPN server1.example.com
10.0.0.12 server2 server2.example.com electrnico
10.0.0.13 servidor3 www server3.example.com
10.0.0.14 servidor4 archivo server4.example.com
En el ejemplo anterior, observar que cada uno de los servidores se han dado alias adems
a sus nombres propios y los de FQDN. Servidor1 ha sido localizado en el nombre VPN, server2 es
denominado electrnico, servidor3 como www, y servidor4 como archivo.
1,4. Bridging
Reduccin de mltiples interfaces es una configuracin ms avanzada, pero es muy til en mltiples
escenarios. Un escenario es la creacin de un puente con mltiples interfaces de red, a continuacin, utilizando un
servidor de seguridad
39
Redes
para filtrar el trfico entre dos segmentos de red. Otro escenario es usar el puente en un sistema con
una interfaz para permitir que las mquinas virtuales de acceso directo a la red exterior. El siguiente ejemplo
cubre el escenario de este ltimo.
Antes de configurar un puente usted tendr que instalar el paquete bridge-utils. Para instalar el paquete, en
una terminal escriba:
auto br0
iface br0 inet static
la direccin 192.168.0.10
red 192.168.0.0
mscara de red 255.255.255.0
broadcast 192.168.0.255
puerta de enlace 192.168.0.1
bridge_ports eth0
bridge_fd 9
bridge_hello 2
bridge_maxage 12
bridge_stp fuera
La interfaz del nuevo puente ya debera estar en funcionamiento. El brctl proporciona informacin til sobre
el estado del puente, los controles que las interfaces son parte del puente, etc Vase man brctl para ms
informacin.
1,5. Recursos
El Ubuntu Wiki de la Red la pgina1 tiene enlaces a artculos que cubren la red ms avanzada
configuracin.
El resolvconf pgina de manual2 tiene ms informacin sobre resolvconf.
1 https://help.ubuntu.com/community/Network
2 http://manpages.ubuntu.com/manpages/man8/resolvconf.8.html
40
Redes
El interfaces de pgina del manual de3 tiene informacin sobre ms opciones para / Etc / network /
interfaces.
El dhclient pgina de manual4 tiene ms detalles sobre las opciones para configurar los ajustes del cliente DHCP.
Para obtener ms informacin sobre la configuracin del cliente DNS ver el resolucin de la pgina del
hombre
5. Adems, el captulo 6
de O'Reilly
Gua de Linux Administracin de Redes6 es una buena fuente de servicio de resolucin y el nombre
la informacin de configuracin.
Para ms informacin sobre puente vase el pgina del manual de brctl7 y el de la Fundacin Linux Neto: Puente8
pgina.
3 http://manpages.ubuntu.com/manpages/man5/interfaces.5.html
4 http://manpages.ubuntu.com/manpages/man8/dhclient.8.html
5 http://manpages.ubuntu.com/manpages/man5/resolver.5.html
6 http://oreilly.com/catalog/linag2/book/ch06.html
7 http://manpages.ubuntu.com/manpages/man8/brctl.8.html
8 http://www.linuxfoundation.org/en/Net:Bridge
41
Redes
2. TCP / IP
El Transmission Control Protocol e Internet Protocol (TCP / IP) es un conjunto estndar de protocolos
desarrollado en la dcada de 1970 por la Defense Advanced Research Projects Agency (DARPA) como un
medios de comunicacin entre los diferentes tipos de computadoras y redes informticas. TCP / IP es el
la fuerza motriz de la Internet, por lo que es el conjunto ms popular de los protocolos de red en la Tierra.
42
Redes
Difusin Direccin La direccin de broadcast es una direccin IP que permite a la red de datos para ser enviados
simultneamente a todos los hosts de una subred determinada en lugar de especificar un host en particular. La
Direccin del estndar de emisin general para las redes IP es 255.255.255.255, pero esta direccin de difusin
No se puede utilizar para enviar un mensaje de difusin a todos los hosts de Internet, ya que los routers bloque
l. Una direccin de difusin ms adecuado se establece para que coincida con una determinada subred. Por
ejemplo, en
la Clase C de red privada IP, 192.168.1.0, la direccin de difusin es 192.168.1.255. Transmitir
mensajes se producen tpicamente por los protocolos de red, tales como el Protocolo de resolucin de direcciones
(ARP) y el Routing Information Protocol (RIP).
Direccin de la pasarela La direccin de gateway es la direccin IP a travs del cual una red en particular,
o de acogida en una red, puede ser alcanzado. Si un host de red desea comunicarse con otro
servidores de red y host que no se encuentra en la misma red, entonces una puerta debe ser utilizado. En
muchos casos, la Direccin de puerta de enlace ser la de un router en la misma red, que a su vez
pasar el trfico a otras redes o hosts, tales como servidores de Internet. El valor de la direccin de puerta de enlace
configuracin debe ser correcta, o el sistema no ser capaz de alcanzar cualquier mquina ms all de los de la misma
red.
Nombre del servidor de direcciones Las direcciones de servidores de nombres representan las direcciones IP de
Domain Name Service
(DNS) de los sistemas, que se resuelven los nombres de host en direcciones IP de red. Hay tres niveles de
Las direcciones de servidores de nombres, que pueden ser especificados en el orden de precedencia: El Primario
Nombre del servidor,
la Secundario Nombre del servidor, y el Terciario Nombre del servidor. Para que el sistema sea capaz de
para resolver nombres de host de la red en sus correspondientes direcciones IP, debe especificar vlida
Las direcciones de servidores de nombres que estn autorizados a utilizar en su sistema TCP / IP. En
muchos casos, estas direcciones pueden y sern proporcionados por su proveedor de servicios de red, pero muchos
libre y de acceso pblico los servidores de nombres estn disponibles para su uso, tales como los Level3 (Verizon)
servidores
con las direcciones IP de 4.2.2.1 a 4.2.2.6.
La direccin IP, mscara de red, direcciones de red, direccin de broadcast y puerta de enlace
Direccin se especifican normalmente a travs de las directivas en el archivo / Etc / network /
de servidores de nombres se especifican normalmente por medio servidor de
nombres directivas
en el archivo / Etc / resolv.conf. Para obtener ms informacin, vea la pgina del manual de
para las interfaces o resolv.conf respectivamente, con los siguientes comandos escritos en el
terminal:
Las direcciones
las interfaces
.
interfaces hombre
el hombre resolv.conf
43
Redes
2,3. Enrutamiento IP
Enrutamiento IP es un medio de especificar y descubrir caminos en una red TCP / IP a lo largo de la red que
datos pueden ser enviados. Enrutamiento utiliza un conjunto de las tablas de enrutamiento para dirigir el envo de
paquetes de datos de red
desde su origen hasta el destino, a menudo a travs de muchos nodos intermedios conocidos como routers.
Hay dos formas primarias de enrutamiento IP: Enrutamiento esttico y Enrutamiento
dinmico.
El enrutamiento esttico es necesario agregar manualmente rutas IP a la tabla de enrutamiento del sistema, y esto es
por lo general
realizado mediante la manipulacin de la tabla de encaminamiento con el comando ruta. El enrutamiento esttico
goza de muchos
ventajas sobre (la
el encaminamiento
dinmico,secomo
la sencillez
de implementacin
pequeas,
previsibilidad
tabla de encaminamiento
calcula
siempre por
adelantado, y porenloredes
tantoms
la ruta
es precisamente el
mismo cada vez que se utiliza), y bajos costos en otros routers y enlaces de la red debido a la falta de
un protocolo de enrutamiento dinmico. Sin embargo, el enrutamiento esttico no presentan algunas desventajas
tambin. Para
ejemplo, el enrutamiento esttico se limita a las redes de pequeas y no escala bien. El enrutamiento esttico tambin
falla
completamente para adaptarse a las interrupciones de red y los fracasos a lo largo de la ruta debido a la naturaleza fija
del
ruta.
El enrutamiento dinmico depende de redes grandes con muchas rutas IP posibles desde un origen a un
destino y hace uso de protocolos especiales de encaminamiento, como por ejemplo el protocolo de informacin del
router
(RIP), que manejan los ajustes automticos en las tablas de encaminamiento que hacen posible el enrutamiento
dinmico.
El enrutamiento dinmico tiene varias ventajas sobre el enrutamiento esttico, como una escalabilidad superior y la
capacidad del
para adaptarse a las fallas e interrupciones a lo largo de las rutas de red. Adicionalmente, hay menos configuracin
manual
de
lascaracterstica
tablas de enrutamiento,
ya que
routers aprender
unos errores
de otrosensobre
su existencia
y rutas disponibles.
Esta
tambin elimina
la los
posibilidad
de introducir
las tablas
de enrutamiento
a travs de un error
humano.
El enrutamiento dinmico no es perfecto, sin embargo, presenta inconvenientes, tales como la complejidad mayor
y la sobrecarga de la red adicional de las comunicaciones del router, que no benefician inmediatamente
los usuarios finales, pero an as consume ancho de banda de red.
El User Datagram Protocol (UDP), por el contrario, es un sin conexin protocolo que rara vez
se refiere a la transmisin de datos importantes debido a que carece de control de flujo o cualquier otro mtodo para
garantizar la entrega confiable de los datos. UDP se utiliza comnmente en aplicaciones tales como audio y video
transmisin, donde es considerablemente ms rpido que TCP debido a la falta de correccin de errores y el flujo
controlar, y donde la prdida de unos pocos paquetes no es generalmente catastrfica.
44
Redes
2,5. ICMP
El control de Internet Messaging Protocol (ICMP) es una extensin del Protocolo de Internet (IP) como
se define en el Request For Comments (RFC) # 792 y es compatible con los paquetes de red que contiene el control,
error y mensajes informativos. ICMP es utilizado por las aplicaciones de red tales como la utilidad ping,
que puede determinar la disponibilidad de un host de red o dispositivo. Ejemplos de algunos mensajes de error
devuelto por ICMP que son tiles para mquinas de la red como en dispositivos tales como routers, incluyen
Destino inalcanzable y Tiempo excedido.
2,6. Demonios
Demonios son aplicaciones especiales del sistema que normalmente se ejecutan continuamente en segundo plano y
espera de las solicitudes de las funciones que ofrecen desde otras aplicaciones. Muchos demonios son la red
centrada, es decir, un gran nmero de demonios que se ejecutan en el fondo en un sistema Ubuntu puede
proporcionar una red relacionada con la funcionalidad. Algunos ejemplos de los demonios de red son la Hyper
Text Transport Protocol Daemon (Httpd), que proporciona funcionalidad de servidor web, el Secure SHell
Demonio (Sshd), que proporciona un shell seguro de acceso remoto y las capacidades de transferencia de
archivos, y el
Internet Message Access Protocol Daemon (Imapd), que proporciona servicios de correo electrnico.
2,7. Recursos
Hay pginas del manual para TCP9 y IP10 que contienen la informacin ms til.
Asimismo, consulte la TCP / IP Tutorial y descripcin tcnica11 IBM Redbook.
Otro recurso es el de O'Reilly TCP / IP Network Administration12.
9 http://manpages.ubuntu.com/manpages/precise/en/man7/tcp.7.html
10 http://manpages.ubuntu.com/manpages/precise/man7/ip.7.html
11 http://www.redbooks.ibm.com/abstracts/gg243376.html
12 http://oreilly.com/catalog/9780596002978/
45
Redes
La ventaja de usar DHCP es que los cambios en la red, por ejemplo un cambio en la direccin de
el servidor DNS, slo tiene que ser cambiado en el servidor DHCP, y todas las mquinas de la red se va a reconfigurar
la prxima vez que sus clientes DHCP sondeo del servidor DHCP. Como una ventaja adicional, es tambin ms
fcil
integrar nuevos equipos en la red, ya que no hay necesidad de comprobar la disponibilidad de una IP
direccin. Los conflictos en la asignacin de direcciones IP tambin se reducen.
Un servidor DHCP puede proporcionar parmetros de configuracin utilizando los siguientes
mtodos:
Asignacin manual (direccin MAC)
Este mtodo supone el uso de DHCP para identificar el hardware nico de cada tarjeta de red
conectado a la red y continuar suministrando una configuracin constante cada vez que el
Cliente DHCP hace una peticin al servidor DHCP usando ese dispositivo de red. Esto asegura que un
direccin particular se asigna automticamente a la tarjeta de red, basado en su direccin MAC.
La asignacin dinmica (grupo de direcciones)
En este mtodo, el servidor DHCP asignar una direccin IP de un conjunto de direcciones (a veces
tambin llamado un rango o mbito) durante un perodo de tiempo o alquiler, que est configurado en el servidor
o
hasta que el cliente informa al servidor que no necesita la direccin de ms. De esta manera, los clientes
va a recibir a sus propiedades de configuracin de forma dinmica y en un "primer llegado, primer servido"
base. Cuando un cliente DHCP ya no est en la red durante un perodo determinado, la configuracin
ha caducado y se libera de nuevo a la lista de direcciones para su uso por otros clientes DHCP. De esta manera,
un
cand direccin de ser arrendados o utilizados por un perodo de tiempo. Despus de este periodo, el cliente tiene
que renegociar
el contrato de arrendamiento con el servidor para mantener el uso de la direccin.
Asignacin automtica
El uso de este mtodo, el servidor DHCP asigna automticamente una direccin IP de forma permanente a un
dispositivo,
seleccionndolo de un conjunto de direcciones disponibles. Por lo general se utiliza DHCP para asignar un
temporal
atender a un cliente, pero un servidor DHCP puede permitir a un tiempo de concesin infinito.
46
Redes
Los dos ltimos mtodos se pueden considerar "automtico" ya que en cada caso, el servidor DHCP asigna
una direccin sin ninguna intervencin adicional necesaria. La nica diferencia entre ellos radica en la duracin de la IP
direccin est alquilada, en otras palabras si la direccin de un cliente vara con el tiempo. Ubuntu se distribuye con
tanto el servidor DHCP y el cliente. El servidor es dhcpd (Dynamic Host Configuration Protocol Daemon).
El cliente suministrado por Ubuntu es dhclient y se debe instalar en todos los equipos necesarios para ser
configura automticamente. Ambos programas son fciles de instalar y configurar, y ser automticamente
comenz en el arranque del sistema.
3,1. Instalacin
En un terminal, introduzca el siguiente comando para instalar el dhcpd:
Usted probablemente tendr que cambiar la configuracin por defecto editando el fichero / etc / dhcp / dhcpd.conf
para adaptarse a
sus necesidades y configuracin en particular.
Tambin es posible que tenga que editar el archivo / etc / default / isc-dhcp del servidor para especificar las interfaces
que dhcpd debera escuchar.
NOTA: Los mensajes de dhcpd se enviarn a syslog. Mira all los mensajes de diagnstico.
3,2. Configuracin
El mensaje de error de la instalacin puede resultar un poco confuso, pero se los siguientes pasos
ayudarle a configurar el servicio:
Por lo general, lo que quiero hacer es asignar una direccin IP al azar. Esto puede hacerse con
la configuracin de la siguiente manera:
Esto dar lugar a que el servidor DHCP dando a los clientes una direccin IP de la gama
192.168.1.150-192.168.1.200. La concesin de la direccin IP de 600 segundos si el cliente no pide
un marco de tiempo especfico. De lo contrario el mximo (permitido) contrato de arrendamiento ser de 7200
segundos. El servidor se
Tambin "aconsejan" que el cliente utilice 192.168.1.254 como el default-gateway 192.168.1.1 y 192.168.1.2 y
como sus servidores DNS.
Despus de cambiar el archivo de configuracin que tenga que reiniciar el
dhcpd:
47
Redes
3,3. Referencias
El dhcp3-server de Ubuntu Wiki13 pgina tiene ms informacin.
Para obtener ms / Etc / dhcp / dhcpd.conf las opciones de ver el pgina del
manual dhcpd.conf14.
ISC DHCP, servidor de15
13 https://help.ubuntu.com/community/dhcp3-server
14 http://manpages.ubuntu.com/manpages/precise/en/man5/dhcpd.conf.5.html
15 http://www.isc.org/software/dhcp
48
Redes
4,1. ntpdate
Ubuntu viene con ntpdate como estndar, y va a ejecutar una vez en el momento del arranque para configurar el tiempo
de acuerdo
con el servidor NTP de Ubuntu.
ntpdate-s ntp.ubuntu.com
4,2. ntpd
El demonio ntpd ntp calcula la desviacin de su reloj del sistema y se ajusta de forma continua, por lo que
hay grandes correcciones que podran llevar a los registros inconsistentes, por ejemplo. El costo es un poco
procesamiento
el poder y la memoria, pero para un servidor moderno, este es insignificante.
4,3. Instalacin
Para instalar ntpd, desde un indicador de la terminal
escriba:
sudo apt-get install ntp
4,4. Configuracin
Editar / Etc / ntp.conf para aadir / quitar lneas de servidores. Por defecto estos servidores estn
configurados:
# Usar los servidores del Proyecto de Piscina NTP. Aprobado por el Consejo Tcnico de
Ubuntu
# El 02/08/2011 (LP: # 104525). Ver http://www.pool.ntp.org/join.html~~V de
# Informacin ms.
servidor de 0.ubuntu.pool.ntp.org
servidor de 1.ubuntu.pool.ntp.org
servidor de 2.ubuntu.pool.ntp.org
servidor de 3.ubuntu.pool.ntp.org
Redes
+ Stratum2-3.NTP. 129.70.130.70
+ Europium.canoni 193.79.237.14
2 U
2 U
5
63
64
64
357
337
4,6. Referencias
Consulte el Ubuntu Tiempo16 wiki de la pgina para ms informacin.
ntp.org, sede del proyecto de Protocolo de Tiempo de Red17
16 https://help.ubuntu.com/community/UbuntuTime
17 http://www.ntp.org/~~V
50
68.795
81.534
-68.168 104.612
-67.968 92.792
Captulo 5. DM-Multipath
51
DM-Multipath
ALUA
Consulte la tabla Prioridad Comprobador de conversin [p. 52] Para una lista
completa
v0.4.9
Pro EMC
Pro ALUA
Pro NetApp
Pro RDAC
Pro hp_sw
prio_callout b% mpath_prio_hds_modular
HDS prio
Desde la configuracin mltiple analizador de archivos esencialmente analiza todos los pares clave / valor que encuentra
y, a continuacin hace uso
de ellos, es seguro tanto para prio_callout y Pro a convivir y se recomienda que la Pro atributo
se inserta antes de comenzar la migracin. Despus de lo cual puede eliminar la herencia prio_calliout
atribuir sin interrumpir el servicio.
52
DM-Multipath
1,2. Informacin
general
DM-Multipath se puede utilizar para proporcionar:
Redundancia DM-Multipath puede proporcionar conmutacin por error en una configuracin activo / pasivo. En un
clster activo /
configuracin pasiva, slo la mitad de las vas se utilizan en cualquier momento para I / O. Si cualquier elemento de
una ruta de acceso de E / S
(El cable, interruptor o controlador) falla, dm-multipath interruptores a una ruta alternativa.
Mejora del rendimiento Rendimiento DM-Multipath puede ser configurado en modo activo / activo el modo,
en E / S se transmite a travs de los caminos en un round-robin. En algunas configuraciones, DM-Multipath
puede detectar la carga en las rutas de E / S y dinmica re-equilibrar la carga.
Descripcin
dm_multipath kernel
mdulo
mltiple de comandos
multipathd demonio
kpartx comando
53
DM-Multipath
54
DM-Multipath
2. Dispositivos de mltiples
rutas
Sin dm-multipath, cada ruta desde un nodo de servidor a un controlador de almacenamiento es tratada por el sistema
de
como un dispositivo separado, incluso cuando la ruta de acceso de E / S conecta el nodo mismo servidor al
mismo almacenamiento
controlador. DM-Multipath proporciona una forma de organizar las rutas de E / S lgica, mediante la creacin de un
nico
multitrayecto dispositivo en la parte superior de los dispositivos subyacentes.
archivo de configuracin, el nombre no es automticamente compatible en todos los nodos del clster. Esto debera
no causar ningn problema si se utiliza LVM para crear dispositivos lgicos desde el dispositivo mltiple, pero si
que requieren que los nombres de los dispositivos de trayectoria mltiple sea consistente en todos los nodos que se
recomienda que
dejar el user_friendly_names opcin se ajusta a no y que no se configura alias para los dispositivos.
Por defecto, si no se establece user_friendly_names para s o configurar un alias para un dispositivo, un dispositivo
nombre ser el WWID para el dispositivo, que es siempre la misma. Si desea que el definido por el sistema
fciles de usar nombres para ser consistente en todos los nodos del clster, sin embargo, usted puede seguir este
procedimiento:
55
DM-Multipath
3. Copie el / Etc / mltiple / enlaces archivo de la primera mquina a todas las otras mquinas en la
clster.
4. Vuelva a habilitar el demonio multipathd en todas las mquinas del clster, ejecute el siguiente
comando:
# Service multipath-tools inicio
3. Copie el multipath.conf archivo de la primera mquina que todas las otras mquinas del cluster.
4. Vuelva a habilitar el demonio multipathd en todas las mquinas del clster, ejecute el siguiente
comando:
# Service multipath-tools inicio
56
DM-Multipath
Usted puede utilizar el dispositivo resultante fsico LVM al crear un grupo de volumen LVM as como t
se utiliza cualquier otro dispositivo fsico LVM.
Si se intenta crear un volumen fsico LVM en un dispositivo conjunto en el que tenga
particiones que haya configurado, el comando pvcreate fallar.
Cuando se crea un volumen lgico LVM que utilice activos / pasivos matrices mltiple como la subyacente
dispositivos fsicos, debe incluir filtros en el lvm.conf para excluir a los discos que subyacen a la
dispositivos de trayectoria mltiple. Esto es porque si la matriz cambia automticamente la ruta activa a la pasiva
camino cuando reciba E / S, mltiple se conmutacin por error y conmutacin por recuperacin cada vez que LVM
escanea el camino pasiva
si estos dispositivos no se filtran. Para matrices de activos / pasivos que requieren un comando para hacer que el pasivo
ruta activa, LVM imprime un mensaje de advertencia cuando esto ocurre. Para filtrar todos los dispositivos SCSI en el
LVM
archivo de configuracin (lvm.conf), incluyen el siguiente filtro en la seccin de dispositivos del archivo.
filter = ["r / block /", "r / disk /", "r / sd. * /", "a /. * /"]
Despus de actualizar / Etc / lvm.conf, Es necesario actualizar el initrd por lo que este fichero se copiar all,
donde el filtro que ms importa, durante el arranque. Lleve a cabo:
update-initramfs-u-k all
Cada vez que sea / Etc / lvm.conf o / Etc / multipath.conf se actualiza, el initrd debe ser
reconstruida para reflejar estos cambios. Esto es imprescindible cuando las listas negras y filtros son
necesarios
para mantener una configuracin de almacenamiento estable.
57
DM-Multipath
Un bsico / Etc / multipath.conf no necesitan ni siquiera existe, cuando multpath se ejecuta sin un acompaante
extrae de su,
/ Etc / multipath.conf
multipath.conf,
mediante el uso el tacto, o crear una que redefine un valor por defecto como:
por defecto {
user_friendly_names no
}
y reinicie multipathd:
# Service multipath-tools reiniciar
en el indicador de instalador. Si los dispositivos de trayectoria mltiple se encuentran stos se muestran como / Dev /
mapper
<X>
durante la/ mpath
instalacin.
1 http://wiki.debian.org/DebianInstaller/MultipathSupport
58
DM-Multipath
# Multipath-v2
crear: SIBM-ESXSST336732LC____F3ET0EP0Q000072428BX1 undef WINSYS, SF2372
size = 33 caractersticas GB = "0" hwhandler = "0" wp = undef
`- + - = Poltica de 'round-robin 0' prio = 1 estado = undef
| - 0:0:0:0 sda 08:00 [---------
funcionamiento
funcionamiento
2. Con el fin de evitar que el mapeador de dispositivos de mapeo / Dev / sda en sus mapas de trayectoria
mltiple, modifique el
seccin de la lista negra / Etc / multipath.conf archivo para incluir este dispositivo. Aunque se puede
la lista negra del sda dispositivo mediante un devnode tipo, que no sera procedimiento seguro desde / Dev / sda
es
no garantiza que sea el mismo en el reinicio. Para la lista negra de dispositivos individuales, puede utilizar la lista
negra
el WWID de ese dispositivo. Ntese que en la salida a la multipath-v2 comando, el WWID del
59
DM-Multipath
{lista negra
wwid SIBM-ESXSST336732LC____F3ET0EP0Q000072428BX1
}
3. Despus de haber actualizado la / Etc / multipath.conf archivo, manualmente debe informar a la multipathd
demonio para volver a cargar el archivo. Las recargas de comandos siguientes de la actualizacin / Etc /
multipath.conf archivo.
# Servicio mltiple-herramientas de
recarga
# Multipath-f-SIBM ESXSST336732LC____F3ET0EP0Q000072428BX1
5. Para comprobar si la eliminacin del dispositivo funcion, puede ejecutar el multipath-ll comando para mostrar
la configuracin actual multitrayecto. Para obtener ms informacin sobre la multipath-ll comandos, consulte la
seccin
"Las consultas con multitrayecto comando multipath". Para comprobar que el dispositivo de la lista negra no se
agreg
hacia atrs, puede ejecutar el comando multipath, como en el ejemplo siguiente. El comando multipath
por defecto a un nivel de detalle de la v2 si no se especifica un -V opcin.
# Multipath
crear: 3600a0b80001327d80000006d43621677 WINSYS undef, SF2372
size = 12G caractersticas = '0 'hwhandler = '0' wp = undef
`- + - = Poltica de 'round-robin 0' prio = 1 estado =
undef
| - 2:0:0:0 sdb 8:16
undef listos funcionamiento
`- 3:0:0:0 sdf 8:80 undef listos
funcionamiento
funcionamiento
funcionamiento
60
DM-Multipath
Para obtener ms informacin en la seccin de dispositivos del archivo de configuracin, consulte la seccin Archivo
de configuracin
Dispositivos [p. 70].
61
DM-Multipath
62
DM-Multipath
dispositivos
Los ajustes de los controladores de almacenamiento individuales. Estos valores sobreescribir lo que se especifica en
el
por defecto seccin del archivo de configuracin. Si est utilizando una matriz de almacenamiento que no es
compatible
con usted puede necesitar para crear una subseccin de dispositivos para la
por defecto,
matriz.
Cuando el sistema determina los atributos de un dispositivo multipath, primero comprueba la configuracin mltiple,
a continuacin, la configuracin de dispositivos, y luego por los valores predeterminados del sistema mltiple.
{lista negra
wwid 26353900f02796769
}
{lista negra
devnode "^ sd [az]"
}
63
DM-Multipath
Puede utilizar un devnode entrada en el lista negra seccin del archivo de configuracin para especificar individuo
dispositivos a la lista negra en lugar de todos los dispositivos de un tipo especfico. Esto no es recomendable, sin
embargo,
ya menos que se asignan estticamente por las reglas de udev, no hay garanta de que un dispositivo especfico tendr
el mismo nombre en el reinicio. Por ejemplo, un nombre de dispositivo podra cambiar desde / Dev / sda a / Dev /
sdb en
reiniciar el
sistema.
Por defecto, el siguiente devnode las entradas se recogen en la lista negra por defecto, los dispositivos que estos
las entradas de la lista negra por lo general no apoyar a dm-multipath. Para permitir multirruta en cualquiera de estos
dispositivos, usted tendra que especificar en la blacklist_exceptions seccin del archivo de configuracin,
como se describe en Excepciones lista negra [p. 64]
{lista negra
devnode "^ (ram | raw | loop | fd | md | dm-| sr | scd | st) [09] *"
devnode "^ hd [a-z]"
}
# DS4200 de productos 10
}
dispositivo de {
proveedor de "HP"
producto "*"
}
}
Por ejemplo, si usted tiene un gran nmero de dispositivos y quieren mltiple slo uno de ellos (con la
WWID de 3600d0230000000000e13955cc3757803), en lugar de las listas negras de forma individual cada uno de los
los dispositivos excepto el que usted desea, en su lugar podra lista negra de todos ellos, y permitir que slo entonces el
que desee mediante la adicin de las siguientes lneas a la / Etc / multipath.conf archivo.
{lista negra
wwid "*"
}
64
DM-Multipath
blacklist_exceptions {
WWID "3600d0230000000000e13955cc3757803"
}
/ Dev
5
#
#
selector
path_grouping_policy
"Round-robin 0"
conmutacin por error
getuid_callout
# Prioconst
# Path_checker
# Rr_min_io
# Rr_weight
directio
1000
uniforme
# Conmutacin manual
por
recuperacin
# No_path_retry
fallar
# User_friendly_names no
#}
Para sobrescribir el valor por defecto para cualquiera de los parmetros de configuracin, usted puede copiar el
correspondiente
la lnea de esta plantilla en el por defecto seccin y se quite. Por ejemplo, para sobrescribir el
path_grouping_policy parmetro de modo que sea multicanal en lugar del valor por defecto de conmutacin por
error,
la lneacopiar
correspondiente de la plantilla a la inicial por defecto seccin del archivo de configuracin, y
descomentarla, como sigue.
por defecto {
user_friendly_names
65
DM-Multipath
path_grouping_policy
multicanal
Mesa Multitrayecto valores predeterminados de configuracin [p. 66] describe los atributos que se
establecen en el
por defecto seccin de la multipath.conf archivo de configuracin. Estos valores son utilizados por DM-Multipath
a menos que sean sustituidos por los atributos especificados en el dispositivos y multitrayectorias secciones del
multipath.conf
archivo.
Descripcin
polling_interval
udev_dir
multipath_dir
verbosidad
path_selector
DM-Multipath
Atributo
Descripcin
getuid_callout
Especifica el programa por defecto y los argumentos para llamar a cabo para obtener una
nica
camino de identificador. Una ruta absoluta se requiere.
Pro
prio_args
caractersticas
path_checker
67
DM-Multipath
Atributo
Descripcin
conmutacin
por
recuperacin
rr_min_io
rr_weight
no_path_retry
user_friendly_names
El valor predeterminado es
ninguna.
queue_without_daemon Si se establece a no, el multipathd daemon desactivar la cola de todos los dispositivos
cuando se cierra.
El valor predeterminado es S.
flush_on_last_del
68
DM-Multipath
Atributo
max_fds
checker_timer
Descripcin
El valor predeterminado es
ninguna.
Establece el nmero mximo de descriptores de archivos abiertos que pueden ser
abiertos por
multipath y el multipathd demonio. Esto es equivalente a la ulimit n de comandos. Un valor de max se ponga esto en el lmite del sistema de / Proc /
Si. esto no se ha establecido, el nmero mximo de fichero
sys / fs / NR_OPEN
abierto
descriptores se toma del proceso de llamada, sino que generalmente es 1024. Para ser
segura, esto se debe establecer en el nmero mximo de caminos ms 32, si que
nmero es mayor que 1024.
El tiempo de espera que se utilizar para las damas de ruta que emitir comandos SCSI
con una
tiempo de espera explcito, en cuestin de segundos.
El valor predeterminado se toma de / Sys / block / sdx / dispositivo / tiempo de
espera, Que
es 30 segundo a partir de 12.04 LTS
fast_io_fail_tmo
dev_loss_tmo
Descripcin
wwid
alias
archivo.
69
DM-Multipath
Adems, los siguientes parmetros puede ser anulado en este multipath seccin
path_grouping_policy
path_selector
conmutacin por
recuperacin
Pro
prio_args
no_path_retry
rr_min_io
rr_weight
flush_on_last_del
El siguiente ejemplo muestra los atributos de trayectoria mltiple se especifican en el fichero de configuracin
especfica para dos
dispositivos de trayectoria mltiple. El primer dispositivo tiene un WWID de 3600508b4000156d70001200000b0000 y
un
nombre simblico de amarillo.
El dispositivo de multitrayectoria en el segundo ejemplo tiene un WWID de 1DEC_____321816758474 y un
nombre simblico de rojo. En este ejemplo, el rr_weight atributos se ajusta a las prioridades.
multitrayectorias {
{multipath
wwid
3600508b4000156d70001200000b0000
alias
path_grouping_policy
amarillo
multicanal
path_selector
conmutacin por
recuperacin
rr_weight
"Round-robin 0"
manual
no_path_retry
prioridades
}
{multipath
wwid
1DEC_____321816758474
alias
rojo
rr_weight
prioridades
}
}
Muchos dispositivos que soportan mltiples rutas se incluyen por defecto en una configuracin mltiple. La
los valores de los dispositivos que son compatibles por defecto se muestran en la multipath.conf.defaults archivo.
70
DM-Multipath
Usted probablemente no tendr que modificar los valores de estos dispositivos, pero si lo haces, puede sobrescribir
los valores por defecto, incluyendo una entrada en el fichero de configuracin para el dispositivo que sobrescribe los
valores. Puede copiar los valores predeterminados de configuracin del dispositivo de la
multipath.conf.annotated.gz o si
usted desea tener un archivo de configuracin breve, multipath.conf.synthetic presentar para el dispositivo y
anular
valoreslaque se desea cambiar.
Para aadir un dispositivo a esta seccin del archivo de configuracin que no se configura automticamente de forma
predeterminada,
debe establecer el vendedor y producto parmetros. Usted puede encontrar estos valores observando / Sys / block /
nombre_dispositivo / dispositivo / proveedor y / Sys / block / nombre_dispositivo / dispositivo / modelo donde
nombre_dispositivo es el
dispositivo que se multirruta, como en el ejemplo siguiente:
# Cat / sys / block / sda / dispositivo /
proveedor
WINSYS
# Cat / sys / block / sda / dispositivo /
modelo
SF2372
Los parmetros adicionales para especificar depender de su dispositivo especfico. Si el dispositivo est activo /
activo,
que por lo general no necesita configurar parmetros adicionales. Es posible que desee configurar
path_grouping_policy a
multicanal. Otros parmetros que usted puede necesitar para configurar son no_path_retry y rr_min_io, como se
describe en
Mesa Los atributos de mltiples rutas [p. 69].
Si el dispositivo est activo / pasivo, sino que cambia automticamente las rutas de E / S a la ruta de pasivo,
es necesario cambiar la funcin de corrector a uno que no enva E / S a la ruta para probar si es
de trabajo (de lo contrario, el dispositivo se mantendr la conmutacin por error). Esto casi siempre significa que se
establece la
path_checker a tur; esto funciona para todos los dispositivos SCSI que admiten el comando Test Unit Ready,
que la mayora lo hace.
Si el dispositivo necesita una orden especial para cambiar las rutas, a continuacin, configurar este dispositivo para
mltiples rutas
requiere un controlador de hardware de mdulo del kernel. El controlador de hardware disponible actual es de EMC.
no
es suficiente
para su dispositivo, puede que no sea capaz de configurar el dispositivo para el multipath.
Si este
es
Descripcin
vendedor
producto
revisin
product_blacklist
hardware_handler
71
DM-Multipath
Atributo
Descripcin
1 EMC: hardware de controlador para dispositivos de
almacenamiento de EMC
1 ALUA: hardware de controlador para arreglos ALUA SCSI-3.
1 hp_sw: hardware de controlador para Compaq / HP controladores.
1 RDAC: hardware de controlador para los controladores de LSI / Engenio
RDAC.
Adems, los siguientes parmetros puede ser anulado en este dispositivo seccin
path_grouping_policy
getuid_callout
path_selector
path_checker
caractersticas
conmutacin por
recuperacin
Pro
prio_args
no_path_retry
rr_min_io
rr_weight
fast_io_fail_tmo
dev_loss_tmo
flush_on_last_del
Cada vez que un hardware_handler se especifica, es su responsabilidad asegurarse de que el
mdulo del ncleo correspondiente se carga en apoyo de la interfaz especificada. Estos mdulos pueden
se encuentran en / Lib / modules / `uname-r` / kernel / drivers / scsi / device_handler / . La
mdulo requisite deben integrarse en el initrd para asegurar el descubrimiento necesario y
conmutacin por error, la conmutacin por recuperacin de capacidad est disponible en el momento del
arranque. Ejemplo,
# Cat scsi_dh_alua >> / etc / initramfs-tools y mdulos
# Update-initramfs-u-k all
vendedor
producto
"COMPAQ
"
#
#
multicanal path_grouping_policy
path_checker tur
rr_weight
"MSA1000
"
prioridades
#}
#}
72
DM-Multipath
El espaciamiento reservado en el proveedor, producto, y revisin los campos son importantes como la trayectoria
mltiple es
realizando una coincidencia directa contra estos atributos, cuyo formato est definido por la especificacin SCSI,
especficamente el INVESTIGACIN estndar2 comandos. Cuando las comillas se usan, el proveedor, producto, y
campos de revisin ser interpretada estrictamente de acuerdo con la especificacin. Las expresiones regulares se pueden
integrar
en las cadenas entre comillas. Si un campo se define sin el espacio necesario, mltiple se
copiar la cadena en el bfer de tamao adecuado y una almohadilla con el nmero apropiado de espacios. La
especificacin espera todo el campo a ser poblada por caracteres imprimibles o espacios, como se ve en la
ejemplo anterior
Proveedor: 8 caracteres
Producto: 16 caracteres
Revisin: 4 caracteres
Para crear un archivo de configuracin ms robusta, las expresiones regulares tambin se pueden utilizar. Los operadores
incluyen ^
$ []. *? +. Ejemplos de expresiones regulares funcionales se pueden encontrar mediante el examen de la trayectoria
mltiple en vivo
base de datos y multipath.conf archivos de ejemplo se encuentra en / Usr / share / doc / multipath-tools /
examples:
# Echo 'show config' | multipathd-k
2 http://en.wikipedia.org/wiki/SCSI_Inquiry_Command
73
DM-Multipath
3.
El tamao de tus caminos. Para los dispositivos SCSI, escribir 1 a la volver a examinar archivo para el
dispositivo hace que el SCSI
conductor que vuelva a examinar, como en el siguiente comando:
# Echo 1> / sys / block / nombre_dispositivo / dispositivo
/ volver a examinar
4.
5.
5,2. Moving Systems raz de archivos desde un dispositivo nico camino para una
trayectoria mltiple
Dispositivo
Esto es dramticamente simplificada por el uso de UUID para identificar los dispositivos como una etiqueta intrnseca.
Simplemente
instalar multipath-tools-arranque y reiniciar el sistema. Esto volver a generar el disco RAM inicial y darse el lujo de
oportunidad
construir su ruta antes de que el sistema de archivos raz se monta por UUID.
la trayectoriade
mltiple
Cuando multipath.conf se actualiza, as que si el initrd mediante la ejecucin de update-initramfs
-U-k all. La razn de ser es multipath.conf se copia en el disco de memoria y es parte integral de
determinacin de los dispositivos disponibles para agrupar a travs de su lista negra y las secciones del
dispositivo.
5,3. Moving Systems de intercambio de archivos desde un dispositivo nico camino a una
trayectoria mltiple
Dispositivo
El procedimiento es exactamente el mismo que el ilustrado en la seccin anterior llamado Mover archivos raz
Sistemas de un solo camino para un dispositivo de mltiples rutas.
DM-Multipath
75
DM-Multipath
`- 7:0:0:0 sdf 8:80
activa listos
funcionamiento
Si la ruta est en marcha y listo para I / O, el estado de la ruta de acceso es listo o fantasma. Si la ruta es hacia
abajo, el
estado es defectuoso o inestable. El estado de la ruta se actualiza peridicamente por el multipathd basado en
demonio
el intervalo de sondeo se define en el / Etc / multipath.conf archivo.
El estado dm es similar al estado de la ruta, pero desde el punto de vista del ncleo. El estado cuenta con dm
dos estados: no, que es anloga a defectuoso, y activo que cubre todos los estados otro camino.
En ocasiones, el estado de ruta y el estado de MS de un dispositivo que no se suspender
temporalmente de acuerdo.
Los valores posibles para online_status son funcionamiento y fuera de lnea. Un estado de fuera de lnea
significa que el
Dispositivo SCSI ha sido desactivado.
Cuando un dispositivo multipath est siendo creado o modificado, el estado del grupo de rutas, el dispositivo
dm
nombre, los permisos de escritura, y el estado de MS no se conocen. Adems, las caractersticas no son
siempre correcta
76
DM-Multipath
`- + - = Poltica de Pro 'round-robin 0' = 1 = habilitado el
estado
`- 18:0:0:1 SDH 8:112 funcionamiento lista activa
3600d0230000000000e13955cc3757803 DM-2, los WINSYS SF2372
size = 125G caractersticas = '0 'hwhandler = '0' wp
= rw
`- + - = Poltica de Pro 'round-robin 0' = 1 = estado
activo
| - 19:0:0:3 sde 8:64 listos funcionamiento activo
`- 18:0:0:3 SDJ 8:144 funcionamiento lista activa
Descripcin
-L
-Ll
-F dispositivo
-F
# Ls dmsetup
mpathd (253, 4)
mpathep1
(253, 12)
mpathfp1
mpathb
(253, 11)
(253, 3)
mpathgp1
mpathhp1
(253, 14)
(253, 13)
mpatha
(253, 2)
mpathh
(253, 9)
mpathg
(253, 8)
VolGroup00-LogVol01
mpathf (253, 7)
(253, 1)
VolGroup00-LogVol00
(253, 0)
mpathe
(253, 6)
77
DM-Multipath
mpathbp1
mpathd
(253, 10)
(253, 5)
ms ejemplos.
# Multipathd-k
Show config >>
>> CTRL-D
La siguiente secuencia de comandos se asegura de que por trayectoria mltiple se ha recuperado ningn
cambio en el
multipath.conf,
# Multipathd-k
Reconfigurar >>
>> CTRL-D
Utilice la siguiente secuencia de comandos para asegurarse de que el corrector ruta funciona correctamente.
# Multipathd-k
>> Muestran caminos
>> CTRL-D
3 http://www-01.ibm.com/support/docview.wss?uid=isg3T1011985
78
79
Administracin remota
1. OpenSSH servidor
1,1. Introduccin
Esta seccin de la Gua de Ubuntu Server introduce una potente coleccin de herramientas para el control remoto
el control y la transferencia de datos entre los ordenadores conectados en red llamada OpenSSH. Usted tambin
aprender
sobre algunas de las posibles opciones de configuracin con la aplicacin de servidor OpenSSH y cmo
cambios en su sistema Ubuntu.
OpenSSH es una versin libre de la familia del protocolo Secure Shell (SSH) de herramientas de forma remota
el control de, o transferir archivos entre las computadoras. Las herramientas tradicionales utilizadas para alcanzar dichos
objetivos
funciones, tales como telnet o el rcp, son inseguras y transmiten la contrasea del usuario en texto sin cifrar cuando se
utiliza.
OpenSSH proporciona un demonio y herramientas de cliente para facilitar el control seguro y encriptado a distancia y
operaciones de transferencia de archivos, reemplazando de manera efectiva las herramientas heredadas.
El componente de servidor OpenSSH, sshd, escucha continuamente las conexiones de cliente de cualquiera de los
herramientas de cliente. Cuando una solicitud de conexin, sshd establece la conexin correcta en funcin de la
tipo de herramienta de cliente que se conecta. Por ejemplo, si el equipo remoto se conecta con el cliente de ssh
aplicacin, el servidor OpenSSH establecer una sesin de control remoto despus de la autenticacin. Si un usuario
remoto
se conecta a un servidor OpenSSH con scp, el demonio del servidor OpenSSH iniciar una copia segura de archivos
entre el servidor y el cliente tras la autenticacin. OpenSSH puede usar muchos mtodos de autenticacin,
incluyendo contraseas planas, claves pblicas y tickets de Kerberos.
1,2. Instalacin
La instalacin de las aplicaciones de cliente y servidor OpenSSH es simple. Para instalar el cliente OpenSSH
aplicaciones en su sistema Ubuntu, use este comando en una terminal:
Para instalar el servidor OpenSSH, y los archivos de soporte relacionados, use este comando en una terminal
del sistema:
El paquete openssh-server tambin puede ser seleccionado para instalar durante la instalacin de Server Edition
proceso.
1,3. Configuracin
Usted puede configurar el comportamiento predeterminado del servidor OpenSSH, sshd, editando el archivo
/ Etc / ssh / sshd_config. Para obtener informacin sobre las directivas de configuracin usadas en este archivo, es
posible
ver la pgina de manual correspondiente con el siguiente comando, emitida en una terminal:
el hombre sshd_config
80
Administracin remota
Existen muchas directivas en el archivo de configuracin de sshd que controlan cosas como la comunicacin
ajustes y modos de autenticacin. Los siguientes son ejemplos de directivas de configuracin que pueden ser
cambiar editando el / Etc / ssh / sshd_config archivo.
Antes de editar el fichero de configuracin, debe hacer una copia del archivo original y protegerlo
contra escritura por lo que tendr la configuracin original como referencia y reutilizar cuando sea necesario.
Copie el / Etc / ssh / sshd_config presentar y proteger contra escritura con los siguientes
comandos, emitidos en un terminal:
Muchas otras directivas de configuracin de sshd estn disponibles para cambiar la aplicacin de servidor
comportamiento de acuerdo a sus necesidades. Tenga en cuenta, sin embargo, si su nico mtodo de acceso a
un servidor
es ssh, y comete un error en la configuracin de sshd a travs de la / Etc / ssh / sshd_config archivo,
puede encontrar lo que estn bloqueados del servidor al reiniciarlo. Adems, si una incorrecta
directiva de configuracin se suministra, el servidor sshd puede negarse a comenzar, as que ten mucho
cuidado
al editar este archivo en un servidor remoto.
81
Administracin remota
ssh-keygen-t dsa
Esto generar las claves utilizando el Algoritmo de firma digital (DSA) mtodo. Durante el proceso
se le solicitar una contrasea. Simplemente pulse Entrar cuando se le pida para crear la clave.
Por defecto, el pblico clave se guarda en el archivo ~ / .ssh / Id_dsa.pub, Mientras que ~ / .ssh / Id_dsa es el
privado
clave. Ahora copia el id_dsa.pub presentar a la mquina remota y aadirlo a ~ / .ssh / Authorized_keys por
entrada:
Por ltimo, vuelva a comprobar los permisos en el authorized_keys archivo, slo el usuario autenticado
debe tener leer y escribir. Si los permisos no son correctos cambiarlas por:
Ahora debera ser capaz de SSH a la mquina sin que se le pida una contrasea.
1,5. Referencias
Wiki de Ubuntu SSH1 pgina.
OpenSSH Web2
Advanced OpenSSH pgina wiki3
1 https://help.ubuntu.com/community/SSH
2 http://www.openssh.org/~~V
3 https://wiki.ubuntu.com/AdvancedOpenSSH
82
Administracin remota
2. Ttere
Tteres es un marco de plataforma cruzada permite a los administradores de sistemas realizar tareas comunes con
cdigo. El cdigo se puede hacer una variedad de tareas de instalacin de nuevo software, a la comprobacin de los
permisos de archivos,
o la actualizacin de las cuentas de usuario. Tteres es grande no slo durante la instalacin inicial de un sistema, sino
tambin
durante todo el ciclo del sistema de toda la vida. En la mayora de circunstancias ttere se utilizar en un cliente /
servidor
configuracin.
En esta seccin se describe la instalacin y configuracin de Tteres en una configuracin cliente / servidor. Este
sencillo
ejemplo demostrar cmo instalar Apache usando marionetas.
2,1. Instalacin
Para instalar Tteres, en un terminal en el servidor escriba:
2,2. Configuracin
Antes de la configuracin de tteres es posible que desee agregar un DNS CNAME rcord de
puppet.example.com,
donde example.com es su dominio. Por defecto los clientes DNS para ver tteres como puppet.example.com
el nombre del servidor de tteres, o Puppet Master. Ver Captulo 8, el Servicio de Nombres de Dominio (DNS) [p.
139]
para ms detalles DNS.
Si no desea utilizar DNS, puede agregar entradas al servidor y el cliente / Etc / hosts archivo. Para
ejemplo, en el servidor de Tteres / Etc / hosts presentar agregar:
Vuelva a colocar las direcciones IP y nombres de dominio ejemplo anterior con el servidor real y
direcciones de los clientes y los nombres de
dominio.
Ahora configurar algunos recursos para apache2. Cree un archivo / Etc / puppet / manifiestos / site.pp que
contiene
el siguiente:
package {
83
Administracin remota
'Apache2':
garantizar => instalado
}
servicio de {
'Apache2':
garantizar => true,
enable => true,
requieren => paquete ['apache2']
}
A continuacin, iniciar el
servicio:
sudo / etc / init.d / puppet inicio
Comprobar / Var / log / syslog por cualquier error con la configuracin. Si todo va bien el paquete apache2
Y sus dependencias se instalar en el cliente de marionetas.
Este ejemplo es muy simple, y no pone de manifiesto muchas de las funciones de tteres y los beneficios.
Para obtener ms informacin, consulte Seccin 2.3, "Recursos" [p. 84].
2,3. Recursos
Consulte el Documentacin de Tteres Oficial4 sitio web.
4 http://docs.puppetlabs.com/
84
Administracin remota
Ver tambin Tteres Pro5.
Otra fuente de informacin adicional es la Wiki de Ubuntu Pgina de Tteres6.
5 http://www.apress.com/9781430230571
6 https://help.ubuntu.com/community/Puppet
85
Administracin remota
3. Zentyal
Zentyal es un servidor Linux de la pequea empresa, que puede ser configurado como puerta de enlace,
Infraestructura
Administrador, Gerente unificada de amenazas, servidor de Office, el servidor de comunicaciones unificadas o una
de
ellos. Todos
combinacin
delos servicios de red gestionados por Zentyal estn estrechamente integrados, la automatizacin de la
mayora de las tareas. Este
ayuda a evitar errores en la configuracin de red y la administracin y permite ahorrar tiempo. Zentyal
es de cdigo abierto, distribuido bajo licencia GNU General Public License (GPL) y se ejecuta en la parte superior de
Ubuntu
GNU / Linux.
Zentyal se compone de una serie de paquetes (generalmente una para cada mdulo) que proporcionan una interfaz web
para
configurar los servidores o servicios diferentes. La configuracin se almacena en una base de datos clave-valor Redis
pero los usuarios, grupos y dominios relacionados con la configuracin es en OpenLDAP. Al configurar cualquiera de
los parmetros disponibles a travs de la interfaz web, los archivos de configuracin finales son sobrescritos con el
plantillas de configuracin proporcionada por los mdulos. Las principales ventajas de la utilizacin de Zentyal son:
unificado,
interfaz grfica de usuario para configurar todos los servicios de red y de alta, fuera de la caja de la integracin entre el
ellos.
3,1. Instalacin
Zentyal 2.3 est disponible en el repositorio de Ubuntu Universe 12,04. Los mdulos disponibles son:
Zentyal-core y Zentyal comn: el ncleo de la interfaz de Zentyal y las bibliotecas comunes de la
marco. Tambin se incluyen los registros y mdulos de eventos que dan al administrador una interfaz para
ver los registros y generar eventos de ellos.
Zentyal de la red: administra la configuracin de la red. Desde las interfaces (con soporte esttico
IP, DHCP, VLAN, puentes o PPPoE), a varias puertas de enlace, cuando tengan ms de uno en Internet
sentido, de balanceo de carga y enrutamiento avanzado, rutas estticas o dinmicas de DNS.
Los objetos de Zentyal Zentyal y servicios de: proporcionar un nivel abstration de direcciones de red (por ejemplo,
LAN
en lugar de 192.168.1.0/24) y los puertos nombrados como los servicios (por ejemplo, HTTP en lugar de
80/TCP).
Zentyal-firewall: configura las reglas de iptables para bloquear las conexiones Forbiden, NAT y el puerto
redirecciones.
Zentyal-ntp: instala el demonio NTP para mantener el servidor en el tiempo y permitir que los clientes de la
redsincronizar
para
sus relojes con el servidor.
Zentyal-dhcp: configura ISC servidor DHCP apoyo rangos estticos de la red, contratos de arrendamiento y otros
opciones avanzadas como NTP, WINS, DNS y actualizaciones dinmicas de arranque en red con PXE.
Zentyal-dns: trae ISC Bind9 servidor DNS en el servidor de almacenamiento en cach de las consultas locales, como
un opromotor
la
como unde
servidor
con autoridad para los dominios configurados. Permite configurar A, CNAME, MX, NS,
TXT y SRV.
Zentyal-ca: integra la gestin de una autoridad de certificacin dentro de Zentyal para que los usuarios pueden utilizar
certificados para la autenticacin en los servicios, al igual que con OpenVPN.
Zentyal-openvpn: permite configurar varios servidores VPN y clientes utilizando OpenVPN con
dinmica de configuracin de enrutamiento utiliza Quagga.
86
Administracin remota
Los Zentyal de los usuarios: proporciona una interfaz para configurar y administrar usuarios y grupos en
OpenLDAP.
Otros servicios de Zentyal se autentican contra LDAP con un usuario centralizadas y grupos
gestin. Tambin es posible sincronizar los usuarios, contraseas y grupos de un Microsoft
Dominio de Active Directory.
Zentyal-calamar: configura Squid y Dansguardian para acelerar la navegacin, gracias a la cach
capacidades y filtrado de contenido.
Zentyal-samba: permite la configuracin de Samba y la integracin con LDAP existentes. De la misma
la interfaz que puede definir las polticas de contraseas, crear los recursos compartidos y asignar permisos.
Las impresoras de Zentyal integra: CUPS con Samba y permite no slo para configurar las impresoras, sino tambin
darles permisos sobre la base de usuarios y grupos LDAP.
Para instalar Zentyal, en un terminal en el servidor ENTRAR (donde <zentyal-module> es cualquiera de los mdulos
de la lista anterior):
Zentyal publica una versin estable importante una vez al ao (en septiembre), basado en la ltima
Ubuntu LTS liberacin. Versiones estables siempre tienen nmeros pares menores (por ejemplo, 2.2, 3.0)
y
versiones beta tienen un nmero impar de menor importancia (por ejemplo, 2.1, 2.3). Ubuntu 12.04 viene
con Zentyal
2.3
paquetes.
Si desea
actualizar
una nueva
versin
estable
publicada
despus
deestables
la liberacin
de Ubuntu
12.04
se puede
utilizara Zentyal
equipo
PPA
7. La actualizacin
a nuevas
versiones
pueden
proporcionarle correcciones de errores menores que no portado a 2,3 en las caractersticas precisas y ms
reciente.
Si necesita ms informacin sobre cmo agregar paquetes desde un PPA ver Aadir un personal
Paquete Archive (PPA)8.
No est presente en los repositorios Universe de Ubuntu, pero en Zentyal equipo PPA9 se encuentran estas
otros mdulos:
Zentyal-antivirus: antivirus ClamAV integra con otros mdulos como el proxy, archivo
compartir o MailFilter.
Los Zentyal-asterisco: configura Asterisk para proporcionar un PBX basado en LDAP simple con
autenticacin.
Zentyal-bwmonitor: permite controlar el uso de ancho de banda de sus clientes de la LAN.
Zentyal-captiveportal: integra un portal cautivo con el firewall y los usuarios de LDAP y
grupos.
Zentyal-eBackup: permite realizar copias de seguridad programadas de su servidor utilizando el
popular
duplicidad de herramienta de
copia de seguridad.
Zentyal-ftp: permite configurar un servidor FTP con la autenticacin basada en LDAP.
7 https://launchpad.net/ ~ Zentyal /
8 https://help.ubuntu.com/12.04/ubuntu-help/addremove-ppa.html
9 https://launchpad.net/ ~ Zentyal /
87
Administracin remota
Para acceder a la interfaz web de Zentyal, navegar en https://localhost/ (o la IP de su servidor remoto). Como
Zentyal crea su propio certificado auto-firmado SSL, usted tendr que aceptar una excepcin de seguridad en la
su navegador.
Una vez conectado, ver el cuadro de instrumentos con una visin general de su servidor. Para configurar cualquiera de
los
caractersticas de los mdulos instalados, vaya a las diferentes secciones en el men de la izquierda. Al realizar
cualquier
cambios,
en de
la esquina
superiorPara
derecha
aparece
un color rojo
Guardar losen
cambios
botn
debedebe
pulsar
los cambios
configuracin.
aplicar
estos cambios
de configuracin
el servidor,
el que
mdulo
serpara salvar
apermiti
todos en primer lugar, usted puede hacerlo desde la Estado del mdulo entrada en el men de la izquierda. Cada
vez que se habilita un
mdulo, un pop-up aparecer que pide la confirmacin para llevar a cabo las acciones necesarias y los cambios
en el servidor y los archivos de configuracin.
88
Administracin remota
Si necesita personalizar cualquier archivo de configuracin o ejecutar ciertas acciones (scripts o comandos)
para configurar las caractersticas no disponibles en el lugar de Zentyal las plantillas de configuracin de
archivos personalizados
en / etc / o recibos de Zentyal o <module> / y los ganchos en / etc / Zentyal / hooks / <module>. <accin>.
3,3. Referencias
Documentacin Oficial de Zentyal
10 pginas.
Y no se olvide de visitar el foro 12 para la comunidad solicita apoyo, informacin, caractersticas, etc
10 http://doc.zentyal.org/~~V
11 http://trac.zentyal.org/wiki/Documentation
12 http://forum.zentyal.org/~~V
89
90
Autenticacin de red
1. OpenLDAP Servidor
El Lightweight Directory Access Protocol o LDAP, es un protocolo para consultar y modificar
X.500 un directorio basado en servicio que se ejecuta a travs de TCP / IP. La versin actual es LDAP LDAPv3,
como
define en RFC45101, y la implementacin de LDAP utilizado en Ubuntu es OpenLDAP, actualmente en
la versin 2.4.25 (onrico).
As que este protocolo de acceso a directorios LDAP. Estos son algunos conceptos y trminos clave:
Un directorio LDAP es un rbol de datos entradas que es de naturaleza jerrquica y se llama el Directorio
rbol de la Informacin (DIT).
Una entrada consiste en un conjunto de los
atributos.
Un atributo tiene un tipo (Un nombre / descripcin) y una o ms valores.
Cada atributo debe estar definido en al menos un objectClass.
Los atributos y clases de objetos se definen en esquemas (Una clase de objeto es actualmente considerada
como una
tipo especial de atributo).
Cada entrada tiene un identificador nico: es Nombre completo (DN DN). Esto consiste en que es Relativo
Nombre completo (RDN), seguido por el DN de la entrada de los padres.
DN de la entrada no es un atributo. No se considera parte de la propia entrada.
Los trminos objeto, contenedor, y nodo tiene ciertas connotaciones, pero en esencia todos
significa lo mismo que de entrada, el trmino tcnicamente correcto.
Por ejemplo, a continuacin tenemos una sola entrada que consta de 11 atributos. Es la DN es "cn = John
Prez, dc = ejemplo, dc = com ", es RDN es" cn = John Doe ", y su padre es DN" dc = ejemplo, dc = com ".
La entrada de arriba es en LDIF formato (LDAP Data Interchange Format). Cualquier informacin que usted alimenta
a
en su DIT tambin debe ser de tal formato. Se define en RFC28492.
Aunque esta gua se describe cmo se utiliza para la autenticacin central, LDAP sirve para nada
que involucra a un gran nmero de solicitudes de acceso a una mayor parte de lectura, basada en atributos (nombre:
valor)
1 http://tools.ietf.org/html/rfc4510
2 http://tools.ietf.org/html/rfc2849
91
Autenticacin de red
back-end. Los ejemplos incluyen una libreta de direcciones, una lista de direcciones de correo electrnico,
y un servidor de correo es
configuracin.
1,1. Instalacin
Instale el demonio del servidor OpenLDAP y los servicios tradicionales de gestin de LDAP. Estos son
en los empaques de slapd y ldap-utils, respectivamente.
La instalacin de slapd crear una configuracin de trabajo. En particular, se crear una base de datos
instancia que se puede utilizar para almacenar sus datos. Sin embargo, el sufijo (o base DN) de este ejemplo ser
determina a partir del nombre de dominio de la mquina local. Si quieres algo diferente, editar / Etc / hosts
y reemplazar el nombre de dominio con uno que le dar el sufijo que desee. Por ejemplo, si
quiero un sufijo de dc = ejemplo, dc = com a continuacin, su imagen tendr una lnea similar a esta:
127.0.1.1
Desde Ubuntu 8.10 slapd est diseado para ser configurado en slapd s, dedicando una por separado
DIT para ese propsito. Esto permite que uno dinmicamente configurar slapd sin la necesidad de reiniciar el
servicio. Esta base de datos de configuracin se compone de una coleccin de archivos LDIF de texto ubicados en /
etc / ldap / slapd.d. Esta forma de trabajar que se conoce por varios nombres: el mtodo de configuracin de
slapd-, el
Mtodo de RTC (configuracin en tiempo real), o el mtodo de cn = config. Puede seguir utilizando el tradicional
el mtodo de archivo plano (slapd.conf), pero no es recomendable, y la funcin ser finalmente eliminado.
Ubuntu utiliza ahora el slapd-config mtodo de configuracin de slapd y esta gua refleja
que.
Durante la instalacin se le pedir que defina las credenciales administrativas. Se trata de LDAP
basados en las credenciales para el rootdn de la instancia de base de datos. De forma predeterminada, DN del
usuario es
cn = admin, dc = ejemplo, dc = com. Tambin por defecto, no hay ninguna cuenta administrativa creada para el
slapd-config base de datos y por lo tanto, tendr que autenticarse con el servidor LDAP externo con el fin de
acceder a ella. Vamos a ver cmo hacer esto ms adelante.
Algunos esquemas clsicos (coseno, nis, inetorgperson) viene incorporado con slapd hoy en da. Tambin hay
incluye un "ncleo" del esquema, un pre-requisito para cualquier esquema de trabajo.
92
Autenticacin de red
#
#
# # # # Cn = {3} inetorgperson.ldif
# # # Cn = schema.ldif
#
#
#
#
# # # Cn = config.ldif
No modifique la base de datos slapd-config directamente. Haga los cambios a travs del protocolo
LDAP
(Servicios pblicos).
Esto es lo que las miradas DIT slapd-config como a travs del protocolo LDAP:
93
Autenticacin de red
dn: olcDatabase = {0} de configuracin, cn =
config
dn: olcDatabase = {1} hdb, cn = config
94
Autenticacin de red
objectClass: organizationalUnit
ou: personas
dn: ou = grupos, dc = ejemplo, dc = com
objectClass: organizationalUnit
ou: Grupos
dn: cn = mineros, ou = grupos, dc = ejemplo, dc =
com
objectClass: posixGroup
NC: mineros
gidNumber: 5000
dn: uid = Juan, ou = People, dc = ejemplo, dc = com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: juan
SN: Prez
givenName: John
cn: Juan Prez
Es importante que los valores de uid y gid en su directorio de no chocar con los valores locales. Utilizar
rangos altos de nmero, como a partir de 5000. Al establecer el uid y gid en valores de alta ldap,
que tambin permiten un control ms fcil de lo que se puede hacer con un usuario local frente a un ldap uno.
Ms
en que ms tarde.
Aadir el contenido:
95
Autenticacin de red
dn: uid = Juan, ou = People, dc = ejemplo, dc = com
cn: Juan Prez
gidNumber: 5000
Vamos a aadir un esquema. En primer lugar, tendr que ser convertido a formato LDIF. Usted puede encontrar
inconverso
esquemas, adems de los convertidos en el / Etc / ldap / schema directorio.
No es trivial para quitar un esquema de la base de datos slapd-config. Practique la adicin de
esquemas en un sistema de prueba.
Antes de realizar un esquema, se debe verificar qu esquemas ya estn instalados
(Que se muestra es un defecto, fuera de la caja de salida):
96
Autenticacin de red
1.
2.
3.
Cuando los objetos injests slapd con el DN padre del mismo se crear una ndice para que
objeto. Un ndice se encuentra entre llaves: {X}.
4.
Autenticacin de red
5.
structuralObjectClass: olcSchemaConfig
entryUUID: 52109a02-66ab-1030-8be2-bbf166230478
creatorsName: cn = config
createTimestamp: 20110829165435Z
entryCSN: 20110829165435.935248Z # 000000 # 000 # 000000
modifiersName: cn = config
modifyTimestamp: 20110829165435Z
Por ltimo, utilice ldapadd para agregar el nuevo esquema al DIT slapd-config:
7.
Para aplicaciones externas y clientes para autenticarse usando LDAP que cada uno necesita
especficamente configurado para ello. Consulte el caso del lado del cliente la documentacin para
detalles.
98
Autenticacin de red
dn: cn = config
changetype: modificar
aadir: olcLogLevel
olcLogLevel: estadsticas
Implementar el cambio:
Esto producir una cantidad significativa de la tala y que va a querer el acelerador de nuevo a una menos detallado
el nivel una vez que su sistema se encuentra en produccin. En este modo detallado el motor de su anfitrin syslog
(Rsyslog) pueden tener dificultades para mantenerse al da y puede eliminar los
mensajes:
rsyslogd-2177: imuxsock perdi 228 mensajes de pid 2547 debido a la limitante de la
velocidad
1,6. Replicacin
El servicio LDAP cada vez ms importante a medida que ms sistemas en red comienzan a depender de ello.
En tal ambiente, es una prctica habitual para construir la redundancia (alta disponibilidad) en LDAP
prevenir el caos si el servidor LDAP que no responda. Esto se realiza mediante La replicacin de LDAP.
3 http://manpages.ubuntu.com/manpages/en/man5/slapd-config.5.html
99
Autenticacin de red
La replicacin se realiza a travs de la Syncrepl motor. Esto permite que los cambios se sincronizan con un
Consumidor -Proveedor modelo. El tipo especfico de la replicacin vamos a implementar en esta gua es un
combinacin de los modos siguientes: refreshAndPersist y delta-syncrepl. Esto tiene el proveedor de
impulsar cambiado las entradas para el consumidor, tan pronto como se les hizo, pero, adems, slo los cambios
reales
Se enviar, no entradas completas.
1.6.1. Proveedor de configuracin
Comience por la configuracin de la
Proveedor.
1.
100
Autenticacin de red
Proveedor # syncrepl para db primaria
dn: olcOverlay = syncprov, olcDatabase = {1} hdb, cn = config
changetype: agregue
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpNoPresent: TRUE
Cambiar el rootdn en el archivo LDIF para que coincida con el que usted tiene para el directorio.
2.
El perfil de AppArmor para slapd tendr que ser ajustado para la ubicacin de la base de datos accesslog. Editar
/ Etc / apparmor.d / local / usr.sbin.slapd aadiendo el siguiente:
3.
Instale el software pasando a travs de Seccin 1.1, "Instalacin" [p. 92]. Asegrese de que el
slapd-config databse es idntica a la del proveedor. En particular, hacer esquemas de seguros y los
sufijo databse son los mismos.
2.
101
Autenticacin de red
dn: cn = mdulo {0}, cn = config
changetype: modificar
aadir: olcModuleLoad
olcModuleLoad: syncprov
dn: olcDatabase = {1} hdb, cn = config
changetype: modificar
aadir: olcDbIndex
olcDbIndex: entryUUID eq
-
aadir: olcSyncRepl
olcSyncRepl: rid = 0 = proveedor de LDAP :/ / ldap01.example.com bindmethod = sencilla binddn = "cn = adm
= EXA
credenciales = secreta searchbase = "dc = ejemplo, dc = com" logbase = "cn = accesslog"
logfilter = "(& (objectClass = auditWriteObject) (reqResult = 0))" = schemachecking en
type = refreshAndPersist retry = "60 +" syncdata = accesslog
aadir: olcUpdateRef
olcUpdateRef: ldap :/ / ldap01.example.com
Eso es todo. Las dos bases de datos (sufijo: dc = ejemplo, dc = com) debera ser de sincronizacin.
1.6.3. Pruebas
Una vez que se inicia la replicacin, se puede monitorear mediante
la ejecucin de
ldapsearch-Z1-LLLQY EXTERNA-H ldapi :/ / /-s contextCSN base de
dn: dc = ejemplo, dc = com
contextCSN: 20120201193408.178454Z # 000000 # 000 # 000000
102
Autenticacin de red
Si su conexin es lenta y / o su base de datos LDAP grande, puede ser que tome un tiempo para que los derechos del
consumidor
contextCSN coincide con el del proveedor. Sin embargo, usted sabr que est avanzando desde la dcada de los
consumidores
contextCSN ser steadly creciente.
Si el consumidor contextCSN Falta o no coincide con el proveedor, usted debe parar y pensar
el problema antes de continuar. Intente comprobar el slapd (syslog) y los archivos de registro en el proveedor de
autenticacin
para ver si las peticiones de los consumidores de autenticacin tuvieron xito o de sus peticiones para recuperar los
datos (que
parecerse a una gran cantidad de declaraciones ldapsearch) devuelven ningn error.
Para probar si funcionaba, simplemente consulta, en el consumidor, el DNS en la base de
datos:
ldapsearch-Q-LLL-Y EXTERNA sudo-H ldapi :/ / /-b dc = ejemplo, dc = com dn
Usted debe ver a 'Juan' el usuario y "mineros del grupo, as como de las personas 'de los nodos y' Grupos '.
Para obtener la efectiva ACL para una consulta LDAP que tenemos que mirar a las entradas de la LCA de la base de
datos
que se consulta, as como los del ejemplo interfaz de base de datos especial. Las ACL que pertenecen a la
stos actan como valores por defecto en el caso de los de la antigua no coinciden. La base de datos de interfaz de
usuario es el segundo
a ser consultados ya la ACL que se aplica es el primero para que coincida ("gana el primer partido") entre ellos
2 fuentes de ligamento cruzado anterior. Los siguientes comandos se dan, respectivamente, las ACL de la base de
datos hdb
("Dc = ejemplo, dc = com") y los de la base de datos de interfaz:
ldapsearch-Q-LLL-Y EXTERNA sudo-H ldapi :/ / / b \
cn = config "(olcDatabase = {1} hdb) 'olcAccess
El rootdn siempre tiene pleno derecho a su base de datos. Su inclusin en una lista ACL proporciona un
configuracin explcita, pero tambin hace que slapd a incurrir en una penalizacin de
rendimiento.
ldapsearch-Q-LLL-Y EXTERNA sudo-H ldapi :/ / / b \
cn = config "(olcDatabase = {1} frontend) 'olcAccess
103
Autenticacin de red
olcAccess: {0} a attrs = userPassword, shadowLastChange por la escritura auto por annimo
autenticacin por dn = "cn = admin, dc = ejemplo, dc = com" write
by * none
a *
por la escritura de
auto
por dn = "cn = admin, dc = ejemplo, dc = com" write
por la lectura *
Si esto no es deseado, entonces usted necesita para cambiar las ACL. Para forzar la autenticacin durante una solicitud
de enlace
alternativamente puede (o en combinacin con la ACL modificada) usar el 'olcRequire: authc' Directiva.
104
Autenticacin de red
Como se mencion anteriormente, no existe una cuenta administrativa creada para la base de datos slapd-config.
Hay, sin embargo, una identidad SASL que se concede acceso total a la misma. Representa la de localhost
superusuario (root / sudo). Aqu est:
Como se trata de una identidad SASL tenemos que utilizar un SASL mecanismo cuando se invoca la utilidad LDAP
en
pregunta y ya lo hemos visto muchas veces en esta gua. Es el mecanismo externo. Ver
el comando anterior para ver un ejemplo. Ntese que:
1.
2.
Usted debe utilizar sudo para convertirse en la identidad de raz para que el ligamento
cruzado anterior de igualar.
El mecanismo externo funciona a travs de IPC (UNIX sockets de dominio). Esto significa que usted debe utilizar
la ldapi URI formato.
No hay mucho que decir sobre el tema de control de acceso. Consulte la pgina del manual de
slapd.access4.
1,8. TLS
Cuando la autenticacin a un servidor OpenLDAP lo mejor es hacerlo a travs de una sesin cifrada. Esto puede
llevarse a cabo utilizando Transport Layer Security (TLS).
En este sentido, ser nuestra propia Autoridad de Certificacin y luego crear y firmar nuestro certificado de servidor
LDAP
como que CA. Desde slapd se compila utilizando la biblioteca gnutls, vamos a utilizar la utilidad de certtool
completar estas tareas.
1.
2.
4 http://manpages.ubuntu.com/manpages/en/man5/slapd.access.5.html
105
Autenticacin de red
3.
cn = Ejemplo de empresa
California
cert_signing_key
4.
5.
6.
Cree el archivo certinfo.ldif con el siguiente contenido (ajustar en consecuencia, nuestro ejemplo se supone que
hemos creado certs con https://www.cacert.org):
dn: cn = config
aadir: olcTLSCACertificateFile
106
Autenticacin de red
olcTLSCACertificateFile: / etc / ssl / certs / cacert.pem
aadir: olcTLSCertificateFile
olcTLSCertificateFile: / etc/ssl/certs/ldap01_slapd_cert.pem
aadir: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: / etc/ssl/private/ldap01_slapd_key.pem
Utilice el comando ldapmodify para decirle a slapd sobre nuestro trabajo TLS a travs de la base de datos
slapd-config:
sudo ldapmodify-Y EXTERNA-H ldapi :/ / /-f / etc / ssl / certinfo.ldif
Contratry a la creencia popular, no es necesario ldaps :/ / en / Etc / default / slapd el fin de utilizar
cifrado. Usted debe tener slo:
LDAP sobre SSL / TLS (ldaps :/ /) est en desuso en favor de StartTLS. El ltimo se refiere a
una sesin existente LDAP (escuchando en el puerto TCP 389) cada vez protegido por TLS / SSL
mientras que LDAPS, como HTTPS, es un claro encriptado-de-la puesta en el protocolo que opera
travs del puerto TCP 636.
Reinicie OpenLDAP:
Compruebe los registros de su anfitrin (/ var / log / syslog) para ver si el servidor se ha iniciado
correctamente.
107
Autenticacin de red
crear una clave y un certificado para el consumidor y luego configurar en consecuencia. Vamos a generar el
clave / certificado en el proveedor, para evitar tener que crear otro certificado de la CA, y luego transferir la
material necesario sobre el consumidor.
1.
En el Proveedor,
Crear un directorio que contiene (que ser utilizado para la transferencia final) y luego el Consumidor
clave privada:
mkdir ldap02-ssl
cd ldap02-ssl
sudo certtool - generate-privkey \
- Bits de 1024 \
- Outfile ldap02_slapd_key.pem
Crear un archivo de informacin, ldap02.info, Para el servidor del Consumidor, el ajuste de su valor en
consecuencia:
organizacin = Ejemplo de empresa
cn = ldap02.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3650
Ya hemos terminado. Ahora transferir el ldap02-ssl directorio para el consumidor. Aqu usamos scp (ajuste
en consecuencia):
cd ..
usuario scp-r ldap02-ssl @ de los consumidores:
2.
En el consumidor,
Configurar la autenticacin TLS:
108
Autenticacin de red
Cree el archivo / Etc / ssl / certinfo.ldif con el siguiente contenido (los ajustes correspondientes):
dn: cn = config
aadir: olcTLSCACertificateFile
olcTLSCACertificateFile: / etc / ssl / certs / cacert.pem
aadir: olcTLSCertificateFile
olcTLSCertificateFile: / etc/ssl/certs/ldap02_slapd_cert.pem
-
aadir: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: / etc/ssl/private/ldap02_slapd_key.pem
En el consumidor,
Configuracin de TLS para la replicacin del Consumidor-lado. Modificar el actual olcSyncrepl atributo
viradas en algunas de las opciones de TLS. De este modo, se ver, por primera vez, la forma de cambiar un
atributo de valor (s).
Las opciones adicionales especificar, respectivamente, que el consumidor debe utilizar StartTLS y que la CA
certificado es necesario para verificar la identidad del proveedor. Tambin tenga en cuenta la sintaxis LDIF para
el cambio
los valores de un atributo ("sustituir").
Poner en prctica estos cambios:
109
Autenticacin de red
Y reiniciar slapd:
4.
En el Proveedor,
Compruebe que una sesin TLS se ha establecido. En / Var / log / syslog, Siempre y cuando tengas
'Conns' registro a nivel establecido, debera ver mensajes similares a:
slapd
slapd
slapd
slapd
[3620]:
[3620]:
[3620]:
[3620]:
conn
conn
conn
conn
=
=
=
=
1047fd
1047op
1047op
1047op
=
=
=
=
slapd
slapd
slapd
slapd
[3620]:
[3620]:
[3620]:
[3620]:
conn
conn
conn
conn
=
=
=
=
Se le pedir para los detalles de su servidor LDAP. Si usted comete un error, puede volver a intentarlo
mediante:
Los resultados del dilogo se puede ver en / Etc / ldap.conf. Si el servidor requiere opciones no estn cubiertos
en el men de editar este archivo en
consecuencia.
Ahora configurar el perfil de LDAP para NSS:
sudo pam-auth-update
110
Autenticacin de red
Los clientes LDAP tendr que referirse a varios servidores si la replicacin est en uso. En / Etc / ldap.conf
usted
tendra algo as como:
uri ldap :/ / ldap01.example.com ldap :/ / ldap02.example.com
SERVER = localhost
Binddn = "cn = admin, dc = ejemplo, dc = com '
BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd"
SUFIJO = "dc = ejemplo, dc = com '
GSUFFIX = "ou = Grupos de
USUFFIX = 'Los ou = People'
MSUFFIX = 'Los ou = Computers'
GIDSTART = 10000
UIDSTART = 10000
MIDSTART = 10000
Vuelva a colocar "secreto" con la contrasea real para el usuario rootdn de su base de
datos.
Los guiones estn listos para ayudar a manejar su directorio. Estos son algunos ejemplos de cmo utilizar
ellos:
111
Autenticacin de red
Esto crear un usuario con UID george y establecer el grupo principal del usuario (GID) ejemplo
Cambiar la contrasea de un usuario:
Eliminar un usuario:
Adicin de un grupo:
sudo qa ldapaddgroup
Eliminar un grupo:
sudo qa ldapdeletegroup
Ahora debe ver una memberUid atributos para el qa grupo con un valor de george.
Quitar un usuario de un grupo:
112
Autenticacin de red
loginShell: / bin / bash
gecos: george
Descripcin: Cuenta de usuario
userPassword :: e1NTSEF9eXFsTFcyWlhwWkF1eGUybVdFWHZKRzJVMjFTSG9vcHk =
# Introducir las modificaciones aqu, terminar con CTRL-D.
dn: uid = george, ou = People, dc = ejemplo, dc = com
reemplazar: gecos
gecos: George Carlin
cambiando:
Hay muestra plantillas en el / Etc / ldapscripts directorio. Copiar o cambiar el nombre del
ldapadduser.template.sample presentar a la / Etc / ldapscripts o ldapadduser.template:
Editar la nueva plantilla para agregar los atributos deseados. A continuacin se va a crear nuevos usuarios con un
objectClass de inetOrgPerson:
Observe el <ask> opcin utilizada para el sn atributo. Esto har que ldapadduser le pedir es
valor.
Hay empresas de servicios pblicos en el paquete que no se cubren aqu. Aqu est una lista
completa:
ldaprenamemachine5
5 http://manpages.ubuntu.com/manpages/en/man1/ldaprenamemachine.1.html
113
Autenticacin de red
ldapadduser6
ldapdeleteuserfromgroup7
ldapfinger8
ldapid9
ldapgid10
ldapmodifyuser11
ldaprenameuser12
lsldap13
ldapaddusertogroup14
ldapsetpasswd15
ldapinit16
ldapaddgroup17
ldapdeletegroup18
ldapmodifygroup19
ldapdeletemachine20
ldaprenamegroup21
ldapaddmachine22
ldapmodifymachine23
ldapsetprimarygroup24
ldapdeleteuser25
6 http://manpages.ubuntu.com/manpages/en/man1/ldapadduser.1.html
7 http://manpages.ubuntu.com/manpages/en/man1/ldapdeleteuserfromgroup.1.html
8 http://manpages.ubuntu.com/manpages/en/man1/ldapfinger.1.html
9 http://manpages.ubuntu.com/manpages/en/man1/ldapid.1.html
10 http://manpages.ubuntu.com/manpages/en/man1/ldapgid.1.html
11 http://manpages.ubuntu.com/manpages/en/man1/ldapmodifyuser.1.html
12 http://manpages.ubuntu.com/manpages/en/man1/ldaprenameuser.1.html
13 http://manpages.ubuntu.com/manpages/en/man1/lsldap.1.html
14 http://manpages.ubuntu.com/manpages/en/man1/ldapaddusertogroup.1.html
15 http://manpages.ubuntu.com/manpages/en/man1/ldapsetpasswd.1.html
16 http://manpages.ubuntu.com/manpages/en/man1/ldapinit.1.html
17 http://manpages.ubuntu.com/manpages/en/man1/ldapaddgroup.1.html
18 http://manpages.ubuntu.com/manpages/en/man1/ldapdeletegroup.1.html
19 http://manpages.ubuntu.com/manpages/en/man1/ldapmodifygroup.1.html
20 http://manpages.ubuntu.com/manpages/en/man1/ldapdeletemachine.1.html
21 http://manpages.ubuntu.com/manpages/en/man1/ldaprenamegroup.1.html
22 http://manpages.ubuntu.com/manpages/en/man1/ldapaddmachine.1.html
23 http://manpages.ubuntu.com/manpages/en/man1/ldapmodifymachine.1.html
24 http://manpages.ubuntu.com/manpages/en/man1/ldapsetprimarygroup.1.html
25 http://manpages.ubuntu.com/manpages/en/man1/ldapdeleteuser.1.html
114
Autenticacin de red
BACKUP_PATH = / export / copia de
seguridad
Slapcat = / usr / sbin / slapcat
agradable $ {} slapcat-n 0> $ {} BACKUP_PATH / config.ldif
agradable $ {} slapcat-n 1> $ {} BACKUP_PATH / example.com.ldif
agradable $ {} slapcat-n 2> $ {} BACKUP_PATH / access.ldif
chmod 640 $ {BACKUP_PATH} / *. ldif
Estos archivos son los archivos sin comprimir de texto que contienen todo lo que en sus bases de
datos
LDAPel diseo de rbol, nombres de usuario y contrasea cada. Por lo tanto, es posible que desee
incluyendo
considerar la posibilidad
hacer / Export / copia de seguridad una particin cifrada y ni siquiera tener el guin cifrar los
los archivos a medida que los crea. Lo ideal es hacer ambas cosas, pero eso depende de su seguridad
requisitos.
Entonces, es slo una cuestin de tener un script cron para ejecutar este programa con la frecuencia que nos sentimos
cmodos
con. Para muchos, una vez al da es suficiente. Para otros, ms a menudo se requiere. Aqu es un ejemplo de un cron
script llamado / Etc / cron.d / ldapbackup que se ejecuta cada noche a las 22:45 h:
MAILTO = backup-emails@domain.com
45 22 *** root / usr / local / bin / ldapbackup
1,13. Recursos
El principal recurso es la documentacin del autor original: www.openldap.org26
Hay muchas pginas de manual que vienen con el paquete slapd. Estas son algunas de las ms importantes,
especialmente teniendo en cuenta el material presentado en esta gua:
slapd27
slapd-config28
slapd.access29
26 http://www.openldap.org/~~V
27 http://manpages.ubuntu.com/manpages/en/man8/slapd.8.html
28 http://manpages.ubuntu.com/manpages/en/man5/slapd-config.5.html
29 http://manpages.ubuntu.com/manpages/en/man5/slapd.access.5.html
115
Autenticacin de red
slapo-syncprov30
auth-client-config31
pam-auth-update32
Zytrax de LDAP para los cientficos de cohetes33, un tratamiento menos pedante, pero completa de LDAP
Una comunidad de Ubuntu OpenLDAP wiki34 pgina cuenta con una coleccin de notas
O'Reilly Administracin del sistema LDAP35 (libro de texto, 2003)
Packt de El dominio de OpenLDAP36 (libro de texto, 2007)
30 http://manpages.ubuntu.com/manpages/en/man5/slapo-syncprov.5.html
31 http://manpages.ubuntu.com/manpages/en/man8/auth-client-config.8.html
32 http://manpages.ubuntu.com/manpages/en/man8/pam-auth-update.8.html
33 http://www.zytrax.com/books/ldap/
34 https://help.ubuntu.com/community/OpenLDAPServer
35 http://www.oreilly.com/catalog/ldapsa/
36 http://www.packtpub.com/OpenLDAP-Developers-Server-Open-Source-Linux/book
116
Autenticacin de red
2. Samba y LDAP
Esta seccin abarca la integracin de Samba con LDAP. La funcin del servidor Samba ser la de
un "independiente" del servidor y el directorio LDAP proporcionar el nivel de autenticacin, adems de
que contiene el usuario, grupo, y la informacin de la mquina cuenta que Samba necesita para funcionar
(En cualquiera de sus 3 posibles funciones). El pre-requisito es un servidor OpenLDAP configurado con un directorio
que puede aceptar las solicitudes de autenticacin. Ver Seccin 1, "OpenLDAP Server" [p. 91] para ms detalles
sobre
el cumplimiento de este requisito. Una vez que esta seccin se ha completado, usted tendr que decidir qu es
exactamente lo
quieres que Samba a hacer por usted y luego configurar en consecuencia.
Importar un esquema de
2.
3.
El esquema se encuentra en la actualidad instalado paquete samba-doc. Tiene que ser descomprimido y copiado
al / Etc / ldap / schema directorio:
117
Autenticacin de red
sudo cp / usr / share / doc / samba-doc / examples / LDAP / samba.schema.gz / etc / ldap / schema
sudo gzip-d / etc / ldap / schema / samba.schema.gz
2.
Haga que el archivo de configuracin schema_convert.conf que contiene las siguientes lneas:
/
/
/
/
Etc
Etc
Etc
Etc
/
/
/
/
ldap
ldap
ldap
ldap
/
/
/
/
schema
schema
schema
schema
/
/
/
/
collective.schema
corba.schema
cosine.schema
duaconf.schema
incluir
incluir
incluir
incluir
incluir
/
/
/
/
/
Etc
Etc
Etc
Etc
Etc
/
/
/
/
/
ldap
ldap
ldap
ldap
ldap
/
/
/
/
/
schema
schema
schema
schema
schema
/
/
/
/
/
dyngroup.schema
inetorgperson.schema
java.schema
misc.schema
nis.schema
incluir
incluir
incluir
incluir
incluir
/
/
/
/
/
Etc
Etc
Etc
Etc
Etc
/
/
/
/
/
ldap
ldap
ldap
ldap
ldap
/
/
/
/
/
schema
schema
schema
schema
schema
/
/
/
/
/
openldap.schema
ppolicy.schema
ldapns.schema
pmi.schema
samba.schema
3.
4.
5.
6.
structuralObjectClass: olcSchemaConfig
entryUUID: b53b75ca-083f-102d-9FFF-2f64fd123c95
creatorsName: cn = config
createTimestamp: 20080827045234Z
entryCSN: 20080827045234.341425Z # 000000 # 000 # 000000
modifiersName: cn = config
modifyTimestamp: 20080827045234Z
118
Autenticacin de red
7.
sudo ldapsearch-Q-LLL-Y EXTERNA-H ldapi :/ / /-b cn = schema, cn = config 'cn = * Samba *'
Si todo ha ido bien debera ver los nuevos ndices usando ldapsearch:
119
Autenticacin de red
Usted puede crear un archivo LDIF que contiene los nuevos objetos Samba ejecutando sudo smbldap-populate
-E samba.ldif. Esto le permite mirar por encima de los cambios que hacen que todo est correcto. Si lo es,
volver a ejecutar el script sin el parmetro '-e'. Alternativamente, usted puede tomar el archivo LDIF e importarlo de
datos
por costumbre.
Su directorio LDAP ahora tiene la informacin necesaria para autenticar a los usuarios de Samba.
# Configuracin de LDAP
passdb backend = ldapsam: ldap :/ / hostname
sufijo LDAP = dc = ejemplo, dc = com
sufijo usuario ldap = ou = People
sufijo de grupo de LDAP = ou = Groups
sufijo mquina ldap = ou = Computers
ldap idmap sufijo = ou = idmap
LDAP dn = admin cn = admin, dc = ejemplo, dc = com
ldap ssl = start tls
ldap passwd sync = s
...
agregar secuencias de comandos de la mquina = sudo / usr / sbin / smbldapuseradd-t 0-w "% u"
120
Autenticacin de red
Ahora informar acerca de Samba la contrasea del usuario rootdn (el conjunto de uno durante la instalacin del slapd
el paquete):
Si ya dispone de los usuarios de LDAP que desea incluir en su nueva LDAP respaldo que Samba
Por supuesto, tambin es necesario dado algunos de los atributos adicionales. La utilidad smbpasswd puede hacer esto
y (su anfitrin tendr que ser capaz de ver (enumerar) los usuarios a travs de NSS, instalar y configurar
ya sea libnss-ldapd o libnss LDAP):
Se le pedir que introduzca una contrasea. Se considera como la nueva contrasea para ese usuario.
Haciendo que el mismo que antes es razonable.
Para administrar usuarios, grupos y cuentas de equipo usar las utilidades proporcionadas por las herramientas
smbldappaquete. He aqu algunos ejemplos:
Para aadir un usuario nuevo:
La -Un opcin agrega los atributos Samba, y el -P opcin llama a la utilidad smbldap-passwd despus de la
usuario se crea que le permite introducir una contrasea para el usuario.
Para eliminar un usuario:
La M opcin se puede aadir ms de un usuario a la vez, mediante su inclusin en el formato de valores separados
por comas.
Para eliminar un usuario de un grupo:
121
Autenticacin de red
Reemplazar Nombre de usuario con el nombre de la estacin de trabajo. La -T 0 opcin, se crea la cuenta del
equipo
sin un retardo, mientras que el -W opcin especifica el usuario como una cuenta de equipo. Adems, tenga en
cuenta aadir
mquina de secuencia de comandos parmetro en / Etc / samba / smb.conf fue cambiado para
usar smbldap-useradd.
Hay empresas de servicios pblicos en el paquete smbldap-tools que no estaban cubiertos aqu. Aqu est una lista
completa:
smbldap-groupadd37
smbldap-groupdel38
smbldap-groupmod39
smbldap-groupshow40
smbldap-passwd41
smbldap-populate42
smbldap-useradd43
smbldap-userdel44
smbldap-userinfo45
smbldap-Lista de usuarios46
smbldap-usermod47
smbldap-usershow48
2,4. Recursos
Para obtener ms informacin sobre la instalacin y configuracin de Samba ver Captulo 18,
Windows
Redes [p. 276] de esta Gua de Ubuntu Server.
Hay varios lugares donde LDAP y Samba se pueden consultar en el enlace ascendente HOWTOs de Samba
Coleccin49.
En cuanto a lo anterior, vase en particular la passdb seccin50.
Aunque la fecha (2007), el Linux Samba-HOWTO OpenLDAP51 contiene valiosas notas.
37 http://manpages.ubuntu.com/manpages/en/man8/smbldap-groupadd.8.html
38 http://manpages.ubuntu.com/manpages/en/man8/smbldap-groupdel.8.html
39 http://manpages.ubuntu.com/manpages/en/man8/smbldap-groupmod.8.html
40 http://manpages.ubuntu.com/manpages/en/man8/smbldap-groupshow.8.html
41 http://manpages.ubuntu.com/manpages/en/man8/smbldap-passwd.8.html
42 http://manpages.ubuntu.com/manpages/en/man8/smbldap-populate.8.html
43 http://manpages.ubuntu.com/manpages/en/man8/smbldap-useradd.8.html
44 http://manpages.ubuntu.com/manpages/en/man8/smbldap-userdel.8.html
45 http://manpages.ubuntu.com/manpages/en/man8/smbldap-userinfo.8.html
46 http://manpages.ubuntu.com/manpages/en/man8/smbldap-userlist.8.html
47 http://manpages.ubuntu.com/manpages/en/man8/smbldap-usermod.8.html
48 http://manpages.ubuntu.com/manpages/en/man8/smbldap-usershow.8.html
49 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/
50 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html
51 http://download.gna.org/smbldap-tools/docs/samba-ldap-howto/
122
Autenticacin de red
La pgina principal de la Samba Ubuntu comunidad de documentacin52 tiene una gran cantidad de enlaces a artculos
que puede resultar til.
# 52 https://help.ubuntu.com/community/Samba samba-ldap
123
Autenticacin de red
3. Kerberos
Kerberos es un sistema de autenticacin de red basada en el principio de una tercera parte de confianza. El otro
dos partes siendo el usuario y el servicio que el usuario desee para autenticar. No todos los servicios y
las aplicaciones pueden utilizar Kerberos, pero para aquellos que pueden, que aporta el entorno de red a un paso
ms cerca de ser Single Sign On (SSO).
Esta seccin cubre la instalacin y configuracin de un servidor de Kerberos, y algn cliente ejemplo
configuraciones.
3,1. Informacin
general
Si usted es nuevo en Kerberos hay algunos trminos que son buenos para entender antes de configurar
un servidor de Kerberos. La mayor parte de los trminos se refieren a cosas que usted puede estar familiarizado
con el de otros
ambientes:
Director: los usuarios, equipos y servicios proporcionados por servidores tienen que ser definidos como Kerberos
Los directores.
Instancias: se utilizan para los directores de servicios especiales y los directores
administrativos.
Reinos: el mbito nico de control previstos por la instalacin de Kerberos. Piense en ello como el
de dominio o grupo de sus anfitriones y de los usuarios pertenecen. Convencin dicta el reino debe estar en
maysculas. Por defecto, Ubuntu usar el dominio DNS convierte a maysculas (EXAMPLE.COM)
como el reino.
Centro de distribucin de claves: (KDC) constar de tres partes, una base de datos de todos los
directores,
servidor los
de autenticacin, y el servidor de tickets. Para cada esfera debe haber al menos un KDC.
De concesin de vales de entradas: emitido por el servidor de autenticacin (AS), el billete de concesin de
vales
(TGT) se cifran en la contrasea del usuario, que slo es conocido por el usuario y el KDC.
De concesin de vales del servidor: (TGS) emite tickets de servicio a los clientes que lo
soliciten.
Venta de entradas: confirmar la identidad de los dos principios. Una principal que es un usuario y el otro un
servicio solicitado por el usuario. Entradas a establecer una clave de cifrado que se utiliza para la comunicacin
segura
durante la sesin autenticada.
Keytab Archivos: son los archivos extrados de la base de datos principal KDC y contienen la clave de cifrado
por un servicio o de acogida.
Para poner las piezas juntas, un reino tiene al menos un KDC, preferiblemente ms de redundancia, que
contiene una base de datos de Directores. Cuando un director usuario inicia sesin en una estacin de trabajo que se
configura
para la autenticacin Kerberos, los KDC emite un vale de concesin de vales (TGT). Si el usuario suministra
credenciales coinciden, el usuario autenticado y luego se puede solicitar entradas para los servicios de Kerberos
el servidor de concesin de vales (TGS). Los tickets de servicio permite al usuario autenticarse en el servicio
sin entrar en otro nombre de usuario y contrasea.
124
Autenticacin de red
Se le pedir a la final de la instalacin para suministrar el nombre de host para el Kerberos y servidores de
administracin,
que pueden o no ser el mismo servidor, para el reino.
Por defecto, el reino se crea a partir del nombre de dominio del KDC.
krb5_newrealm sudo
3.2.2. Configuracin
Las preguntas formuladas durante la instalacin se utilizan para configurar el / Etc/krb5.conf archivo. Si usted
necesita
para ajustar el Key Distribution Center (KDC) la configuracin slo tiene que editar el archivo y reiniciar el krb5kdc
125
Autenticacin de red
demonio. Si necesita volver a configurar Kerberos desde el principio, tal vez para cambiar el nombre de reino,
Puede hacerlo escribiendo
1.
Una vez que el KDC se ejecuta correctamente, un usuario administrador - el principal admin - Es necesario. Es
recomienda el uso de un nombre de usuario diferente de su nombre de usuario todos los das. Usando el
kadmin.local
utilidad en una terminal escriba:
kadmin.local sudo
Autenticacin como usuario root director / admin @ EXAMPLE.COM con contrasea.
kadmin.local: addprinc steve / admin
ADVERTENCIA: no existe una poltica especifica para steve / admin @ EXAMPLE.COM; incumplimiento
de una poltica
Introduzca la contrasea para el principal "steve / admin @ EXAMPLE.COM":
Vuelva a introducir la contrasea para el principal "steve / admin @ EXAMPLE.COM":
Principal "steve / admin @ EXAMPLE.COM" creado.
kadmin.local: dejar de
2.
A continuacin, el usuario admin nueva tiene que tener la lista de control de acceso correspondiente (ACL).
Los permisos se configuran en el / Etc/krb5kdc/kadm5.acl archivo:
En virtud del presente entrada steve / admin la capacidad de realizar cualquier operacin en todos los
principales
del reino.
Puede configurar
los directores con los privilegios ms restrictivos, lo cual es conveniente si usted necesita un
director de administracin que el personal subalterno puede utilizar en los clientes de Kerberos. Por favor vea el
kadm5.acl La pgina man
para ms detalles.
3.
4.
Despus de introducir la contrasea, utilice la utilidad klist para ver informacin acerca de la concesin de vales
Vales (TGT):
126
Autenticacin de red
klist
Cach de Verificacin de Poderes: file :/
tmp/krb5cc_1000
Director: Steve / admin @ EXAMPLE.COM
Emitido
Expira
Principal
13 de julio 17:53:34
14 de julio 03:53:34
krbtgt / EXAMPLE.COM @ EXAMPLE.COM
Cuando el nombre del archivo cach krb5cc_1000 est compuesto por el prefijo krb5cc_ y el identificador de
usuario (UID),
que en este caso es 1000. Puede que tenga que aadir una entrada en el / Etc / hosts para el KDC por lo que el
el cliente puede encontrar el KDC. Por ejemplo:
192.168.0.1
kdc01.example.com
kdc01
Sustitucin 192.168.0.1 con la direccin IP de su KDC. Esto suele suceder cuando se tiene un
Realm de Kerberos que abarca las diferentes redes separadas por routers.
5.
La mejor manera de permitir a los clientes para determinar automticamente el KDC para el Reino est usando
DNS
Registros SRV. Agregue lo siguiente al / Etc / named / db.example.com:
_kerberos._udp.EXAMPLE.COM.
IN SRV 1
0 88
kdc01.example.com.
_kerberos._tcp.EXAMPLE.COM.
IN SRV 1
0 88
kdc01.example.com.
_kerberos._udp.EXAMPLE.COM.
_kerberos._tcp.EXAMPLE.COM.
IN SRV 10 0 88
IN SRV 10 0 88
_kerberos-adm._tcp.EXAMPLE.COM. IN SRV 1
_kpasswd._udp.EXAMPLE.COM.IN SRV 1
kdc02.example.com.
kdc02.example.com.
0 749 kdc01.example.com.
0 464 kdc01.example.com.
En primer lugar, instale los paquetes, y cuando se le pregunt por los nombres de servidor de Kerberos y Admin
entrar
nombreendeella KDC principal:
2.
Una vez que tenga los paquetes instalados, crear la secundaria KDC principal del equipo. Desde un
terminal, escriba:
127
Autenticacin de red
4.
5.
host/kdc01.example.com @ EXAMPLE.COM
host/kdc02.example.com @ EXAMPLE.COM
6.
7.
Ahora inicie el demonio kpropd, que escucha las conexiones de la utilidad kprop. kprop se utiliza
para transferir los archivos de
volcado:
sudo kpropd-S
8.
Desde un terminal en el Primaria KDC, crear un archivo de volcado de la base de datos principal:
9.
128
Autenticacin de red
Asegrese de que hay una anfitrin para kdc01.example.com antes de extraer la tabla de
claves.
10. Uso de la utilidad kprop empujar la base de datos para el KDC secundario:
11. De vuelta a la Secundaria KDC, crear una esconder presentar para sostener la clave maestra de
Kerberos:
sudo alijo kdb5_util
La Secundaria KDC Ahora debera ser capaz de emitir boletos para el Reino. Puede probar esto al detener
el demonio krb5-kdc en el KDC principal, a continuacin, mediante kinit para pedir un ticket. Si todo va bien
deben recibir un boleto de la KDC secundario. De lo contrario, marque / Var / log / syslog y / Var / log /
auth.log
en el KDC secundario.
El paquete de auth-client-config permite una sencilla configuracin de PAM para la autenticacin de mltiples
fuentes, y los ccreds libpam-en cach las credenciales de autenticacin que le permite acceder en caso de
129
Autenticacin de red
Key Distribution Center (KDC) no est disponible. Este paquete tambin es til para los ordenadores porttiles que
pueden
autenticarse mediante Kerberos, mientras que en la red corporativa, sino que es necesario tener acceso de la
red tambin.
3.4.2. Configuracin
Para configurar el cliente en una terminal escriba:
A continuacin se le pedir que introduzca el nombre del realm de Kerberos. Adems, si usted no tiene DNS
configurado con Kerberos SRV registros, el men le pedir el nombre del host de la Llave
Centro de Distribucin (KDC) y el Servidor de Administracin Reino.
El dpkg-reconfigure aade entradas a la / Etc/krb5.conf archivo para su Reino. Usted debe tener
entradas similares a lo siguiente:
[Libdefaults]
default_realm = EXAMPLE.COM
...
[Reinos]
EXAMPLE.COM =}
kdc = 192.168.0.1
admin_server = 192.168.0.1
}
Si establece el UID de cada uno de sus autenticados en red a los usuarios comenzar en 5000, como se
sugiere
en Seccin 3.2.1, "Instalacin" [p. 125], A continuacin, puede decir pam probar slo para autenticar
con los usuarios de Kerberos con uid> 5000:
# Kerberos slo se debe aplicar a LDAP / Kerberos los usuarios, no de los locales.
for i in common-auth common-session common-account common-password, haz
sudo sed-i-r \
-E 's/pam_krb5.so minimum_uid = 1000/pam_krb5.so minimum_uid = 5000 /' \
/ Etc / pam.d / $ i
hecho
Cuando un billete ha sido concedida, los detalles se pueden ver con klist:
130
Autenticacin de red
klist
Cach de entradas: file :/ tmp/krb5cc_1000
Principal predeterminado: steve@EXAMPLE.COM
Vlido a partir
Expira
Principal de servicio
A continuacin, utilice el auth-client-config para configurar el mdulo de libpam-krb5 para pedir un ticket durante el
inicio de sesin:
sudo auth-client-config-a-p kerberos_example
Usted debe ahora recibir un boleto en la autenticacin de inicio de sesin con xito.
3,5. Recursos
Para ms informacin sobre la versin del MIT de Kerberos, consulte la MIT Kerberos53 sitio.
El Wiki de Ubuntu Kerberos54 pgina tiene ms detalles.
O'Reilly Kerberos: The Definitive Guide55 es una gran referencia al configurar Kerberos.
Adems, no duden en pasar por el # Ubuntu-server y # Kerberos Canales de IRC en Freenode56 si
tiene preguntas de Kerberos.
53 http://web.mit.edu/Kerberos/
54 https://help.ubuntu.com/community/Kerberos
55 http://oreilly.com/catalog/9780596004033/
56 http://freenode.net/
131
Autenticacin de red
4. Kerberos y LDAP
La mayora de las personas no utilizan Kerberos por s misma, una vez que un usuario se autentica (Kerberos),
tenemos que
averiguar lo que este usuario puede hacer (autorizacin). Y eso sera el trabajo de programas como
LDAP.
Replicar una base de datos principal de Kerberos entre dos servidores puede ser complicado, y aade un
base de datos de usuario adicional a la red. Afortunadamente, el MIT Kerberos puede ser configurado para usar un
Directorio LDAP como una base de datos principal. Esta seccin cubre la configuracin de una primaria y
secundaria
kerberos servidor para utilizar OpenLDAP para la base de datos principal.
Los ejemplos que se presentan aqu suponen MIT Kerberos y OpenLDAP.
usuario que hemos creado con los derechos para editar la base de datos LDAP.
Muchas veces
es la rootdn. Cambie el valor para reflejar su configuracin.
Para cargar el esquema en LDAP, en el servidor LDAP de instalar el paquete krb5-kdc-ldap. Desde un
la terminal escriba:
El kerberos esquema necesita ser aadido a la cn = config rbol. El procedimiento para agregar un nuevo esquema
a slapd tambin se detalla en Seccin 1.4, "Modificacin de la base de datos de configuracin de slapd"
[p. 96].
1. En primer lugar, crear un archivo de configuracin llamado schema_convert.conf, O un nombre descriptivo
similares,
con las siguientes lneas:
include / etc / ldap / schema / core.schema
include / etc / ldap / schema / collective.schema
include / etc / ldap / schema / corba.schema
include / etc / ldap / schema / cosine.schema
132
Autenticacin de red
include / etc / ldap / schema / duaconf.schema
include / etc / ldap / schema / dyngroup.schema
include / etc / ldap / schema / inetorgperson.schema
include / etc / ldap / schema / java.schema
include / etc / ldap / schema / misc.schema
include / etc / ldap / schema / nis.schema
include / etc / ldap / schema / openldap.schema
include / etc / ldap / schema / ppolicy.schema
include / etc / ldap / schema / kerberos.schema
2.
3.
4.
Cambie los nombres anteriores de archivos y la ruta para que coincida con su cuenta si son
diferentes.
Edite el generado por el / Tmp / cn \ = kerberos.ldif archivo, cambiar los atributos siguientes:
structuralObjectClass: olcSchemaConfig
entryUUID: 18ccd010-746b-102d-9fbe-3760cca765dc
creatorsName: cn = config
createTimestamp: 20090111203515Z
entryCSN: 20090111203515.326445Z # 000000 # 000 # 000000
modifiersName: cn = config
modifyTimestamp: 20090111203515Z
5.
Los valores de los atributos pueden variar, slo asegrese de que los atributos son
eliminados.
Cargue el nuevo esquema con ldapadd:
6.
133
Autenticacin de red
modificar la entrada "olcDatabase = {1} hdb, cn = config"
7.
Eso es todo, su directorio LDAP ya est listo para servir como una base de datos principal de Kerberos.
Ahora edite / Etc/krb5.conf aadir las siguientes opciones a bajo las secciones correspondientes:
[Libdefaults]
default_realm = EXAMPLE.COM
...
[Reinos]
EXAMPLE.COM = {
kdc = kdc01.example.com
kdc = kdc02.example.com
admin_server = kdc01.example.com
admin_server = kdc02.example.com
default_domain = example.com
database_module = openldap_ldapconf
}
...
[Domain_realm]
. Example.com = EXAMPLE.COM
134
Autenticacin de red
...
[Dbdefaults]
ldap_kerberos_container_dn = dc = ejemplo, dc = com
[Dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn = admin, dc = ejemplo, dc = com"
# Este objeto tiene que haber ledo los derechos de
# El mbito contenedor, contenedor de dominio principal y sub-rboles
ldap_kadmind_dn = "cn = admin, dc = ejemplo, dc = com"
# Este objeto necesita tener derechos de lectura y escritura en
# El mbito contenedor, contenedor de dominio principal y sub-rboles
ldap_service_password_file = / etc/krb5kdc/service.keyfile
ldap_servers = ldaps :/ / ldap01.example.com ldaps :/ / ldap02.example.com
ldap_conns_per_server = 5
}
sudo kdb5_ldap_util-D
Crear un alijo de la contrasea utilizada para enlazar con el servidor LDAP. Esta contrasea es utilizada por el
ldap_kdc_dn y ldap_kadmin_dn opciones en / Etc/krb5.conf:
sudo kdb5_ldap_util-D
El certificado tambin deber ser copiados al KDC secundario, para permitir la conexin
a los servidores LDAP que utilizan LDAP.
135
Autenticacin de red
Ahora puede agregar los principales de Kerberos a la base de datos LDAP, y se copiarn a cualquier otro
Servidores LDAP configurado para la replicacin. Para aadir un director con la utilidad kadmin.local escriba:
kadmin.local sudo
Autenticacin como usuario root director / admin @ EXAMPLE.COM con contrasea.
kadmin.local: addprinc-x dn = "uid = Steve, ou = People, dc = ejemplo, dc = com" steve
ADVERTENCIA: no existe una poltica especifica para steve@EXAMPLE.COM; incumplimiento de
una poltica
Introduzca la contrasea para el principal "steve@EXAMPLE.COM":
Vuelva a introducir la contrasea para el principal
"steve@EXAMPLE.COM":
Principal "steve@EXAMPLE.COM" creado.
Si el objeto de usuario ya est creado el -X dn = "..." opcin es necesaria para aadir el Kerberos
los atributos. De lo contrario un nuevo principal objeto se crear en el mbito sub-rbol.
1.
2.
136
Autenticacin de red
...
[Dbdefaults]
ldap_kerberos_container_dn = dc = ejemplo, dc = com
[Dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_kdc_dn = "cn = admin, dc = ejemplo, dc = com"
3.
sudo kdb5_ldap_util-D
4.
5.
6.
7.
Verifique que los dos servidores LDAP y Kerberos (por extensin) estn
sincronizados.
Ahora tiene KDC redundantes en la red, y con servidores LDAP redundantes que deberan ser
capaz de seguir autenticar a los usuarios si un servidor LDAP, un servidor de Kerberos, LDAP o una y otra
Kerberos del servidor no est disponible.
137
Autenticacin de red
4,4. Recursos
El Gua de administracin de Kerberos57 tiene algunos detalles adicionales.
Para ms informacin sobre kdb5_ldap_util ver Seccin 5.658 y el pgina del manual de kdb5_ldap_util59.
Otra opcin til es la krb5.conf pgina de manual60.
Asimismo, consulte la Kerberos y LDAP61 pgina wiki de Ubuntu.
57
58
59 http://manpages.ubuntu.com/manpages/precise/en/man8/kdb5_ldap_util.8.html
60 http://manpages.ubuntu.com/manpages/precise/en/man5/krb5.conf.5.html
# 61 https://help.ubuntu.com/community/Kerberos kerberos ldap-
138
139
1. Instalacin
En un terminal, introduzca el siguiente comando para instalar dns:
Un paquete muy til para probar y solucionar problemas de DNS es el paquete de dnsutils. Muy a menudo
estas herramientas se ha instalado todava, pero para comprobar y / o instalar dnsutils escriba lo siguiente:
140
2. Configuracin
Hay muchas maneras de configurar BIND9. Algunas de las configuraciones ms comunes son el almacenamiento en
cach
servidor de nombres, maestro primario, y como un maestro de secundaria.
Cuando se configura como un servidor de nombres BIND9 almacenamiento en cach se encuentra la respuesta
a consultas de nombres y
recordar la respuesta cuando el dominio se volvi a preguntar.
Como servidor primario BIND9 lee los datos de una zona de un archivo en su husped y es
autoridad para esa zona.
En una configuracin de maestro secundario BIND9 obtiene los datos de la zona de otro servidor de
nombres
autorizado para la zona.
2,1. Informacin
general
Los archivos de configuracin de DNS se almacenan en la / Etc / bind directorio. El archivo de configuracin
principal es /
etc / bind / named.conf.
La incluir lnea especifica el nombre del archivo que contiene las opciones de DNS. La directorio lnea en la /
etc / bind / named.conf.options archivo indica DNS donde buscar los archivos. Todos los usos enlazar los
archivos ser
relativos a este directorio.
El archivo con el nombre / Etc / bind / db.root describe la raz nameservers en el mundo. El cambio de
servidores
con el tiempo, de modo que el / Etc / bind / db.root archivo se debe mantener de vez en cuando. Esto se hace
generalmente
como las actualizaciones del paquete bind9. La zona seccin define un servidor maestro, y se almacenan en un
archivo
mencionado en el expediente opcin.
Es posible configurar el mismo servidor para ser un servidor de nombres cach, maestro de primaria y secundaria
maestro. Un servidor puede ser el inicio de autoridad (SOA) para una zona, mientras que proporciona servicio
secundario
por otra zona. Todo el tiempo la prestacin de servicios de almacenamiento en cach para las mquinas de la LAN local.
forwarders {
1.2.3.4;
5.6.7.8;
};
Ahora reinicie el servidor DNS, para habilitar la nueva configuracin. Desde una terminal:
141
Ver Seccin 3.1.2, "cavar" [p. 147] para obtener informacin sobre las pruebas un
almacenamiento en cach del servidor DNS.
zone "example.com" {
type master;
archivo "/ etc / bind / db.example.com";
};
Ahora usa un archivo de zona existente como una plantilla para crear la / Etc / bind / db.example.com
archivo:
sudo cp / etc / bind / db.local / etc / bind / db.example.com
Edite el nuevo archivo de zona / Etc / bind / db.example.com cambiar localhost. que el nombre
completo
de su el adicional "." al final. Cambiar 127.0.0.1 a la direccin IP del servidor de nombres y
servidor, dejando
root.localhost a una direccin de correo electrnico vlida, pero con un "." en lugar del habitual smbolo "@",
dejando de nuevo
el "." al final. Cambiar el comentario para indicar el dominio que este archivo es para el.
Crear una Un registro para el dominio de base, example.com. Tambin, crear una Un registro para
ns.example.com,
el servidor de nombres en este ejemplo:
;
; BIND archivo de datos para example.com
;
$ TTL
604800
EN
SOA
example.com. root.example.com. (
2
604800
86400
2419200
604800)
EN
192.168.1.10
@
@
EN
EN
NS
A
ns.example.com.
192.168.1.10
EN
AAAA
:: 1
ns
EN
192.168.1.10
; De serie
; Actualizar
; Reintentar
; De Vencimiento
; Negativa de cach TTL
142
Se debe incrementar el Nmero de serie cada vez que realice cambios en el archivo de zona. Si usted hace
varios cambios antes de reiniciar BIND9, simplemente aumenta la serie una vez.
Ahora, usted puede agregar registros DNS en el fondo del archivo de zona. Ver Seccin 4.1, "Registro Comn
Tipos de "[p. 151] para ms detalles.
Muchos administradores les gusta usar la ltima fecha editado como el de serie de una zona, tales como
2012010100
que es yyyymmddss (donde ss es el nmero de serie)
Una vez que haya realizado cambios en el archivo de zona BIND9 tiene que ser reiniciado para que los cambios
surtan
efecto:
sudo service bind9 reiniciar
zona "1.168.192.in-addr.arpa" {
type master;
archivo "/ etc/bind/db.192";
};
Reemplazar 1.168.192 con los primeros tres octetos de cualquier red que est utilizando. Adems,
el nombre del archivo de zona / Etc/bind/db.192 apropiadamente. Debe coincidir con el primer octeto de
su
red.
Ahora crea el / Etc/bind/db.192 archivo:
La prxima edicin / Etc/bind/db.192 cambiando los bsicamente las mismas opciones / Etc / bind /
db.example.com:
;
; Reverso los datos del archivo de BIND para la red local de
192.168.1.XXX
;
$ TTL
604800
EN
SOA
ns.example.com. root.example.com. (
2; serie
604800
; Actualizar
86400
; Reintentar
2419200
604800)
; De Vencimiento
; Negativa de cach TTL
143
EN
NS
ns.
10
EN
PTR
ns.example.com.
La Nmero de serie en la zona inversa debe ser incrementado en cada cambio tambin. Para cada
Un registro se configura en la / Etc / bind / db.example.com, Es decir, para una direccin diferente, es
necesario
crear una Registro PTR en / Etc/bind/db.192.
Despus de crear el archivo de zona inversa reiniciar BIND9:
A continuacin, en el maestro secundario, instale el paquete bind9 la misma manera que en la primaria. A
continuacin, edite
la / Etc / bind / named.conf.local y aadir las siguientes declaraciones para el Avance y retroceso
zonas:
zone "example.com" {
tipo de esclavo;
archivo "db.example.com";
maestros {192.168.1.10;};
};
144
zona "1.168.192.in-addr.arpa" {
tipo de esclavo;
archivo "db.192";
maestros {192.168.1.10;};
};
En / Var / log / syslog usted debe ver algo similar a (algunas lneas se han dividido de acuerdo al formato
de este documento):
cliente 192.168.1.10 # 39448: recibi notificacin para la zona '1 .168.192 in-addr.arpa ".
zona de 1.168.192.in-addr.arpa/IN: Transferencia de empezar.
transferencia de '100 .18.172.in-addr.arpa/IN desde 192.168.1.10 # 53:
conectado a travs de 192.168.1.11 # 37531
zona de 1.168.192.in-addr.arpa/IN: serie transferido 5
transferencia de '100 .18.172.in-addr.arpa/IN desde 192.168.1.10 # 53:
Traslado completado: 1 mensajes
6 registros, 212 bytes, 0.002 secs (106000 bytes por segundo)
zona de 1.168.192.in-addr.arpa/IN: notifica el envo de serie (5)
cliente 192.168.1.10 # 20329: recibi notificacin de 'example.com' zona de
zona example.com / EN: Transferencia de empezar.
la transferencia de 'example.com / EN "de 192.168.1.10 # 53: conctate con 192.168.1.11 # 38577
zona example.com / EN: serie transferido 5
la transferencia de 'example.com / EN "de 192.168.1.10 # 53: Transferencia de datos completa: 1
mensajes
8 registros, 225 bytes, 0.002 secs (112500 bytes por segundo)
Nota: Una zona slo se transfiere si el Nmero de serie en el primario es mayor que el
una en el secundario. Si usted quiere tener su DNS primario maestro notificar Secundaria
Los servidores DNS de los cambios de zona, puede agregar Tambin a notificar {direccionip;}; en que /
Etc / bind /
named.conf.local
zone "example.com" {
type master;
archivo "/ etc / bind / db.example.com";
allow-transfer {192.168.1.11;};
Tambin a notificar {192.168.1.11;};
};
zona "1.168.192.in-addr.arpa" {
type master;
archivo "/ etc/bind/db.192";
145
El directorio por defecto para los archivos de zona no autorizada es / Var / cache / bind /. Este
directorio
tambin se configura en AppArmor para permitir que el demonio named para escribir en l. Para obtener
informacin sobre AppArmor vea Seccin 4, "AppArmor" [p. 167].
ms
146
3. Solucin de problemas
Esta seccin cubre las maneras de ayudar a determinar la causa cuando surgen problemas con el DNS y BIND9.
3,1. Pruebas
3.1.1. resolv.conf
El primer paso en las pruebas de BIND9 es aadir la direccin IP del servidor de nombres para una resolucin de los
ejrcitos. La primaria
servidor de nombres debe ser configurado, as como otra mquina para doblar las cosas de verificacin. Basta con editar
/ Etc /
resolv.conf
y aadir lo siguiente:
nameserver 192.168.1.10
nameserver 192.168.1.11
Tambin debe agregar la direccin IP del servidor de nombres secundario en el caso de la Primaria
no est disponible.
3.1.2. cavar
Si ha instalado el paquete de dnsutils usted puede probar su configuracin mediante la bsqueda de DNS
excavacin de utilidad:
Despus de instalar bind9 excavacin uso en contra de la interfaz de bucle invertido para asegurarse de que est
escuchando en el puerto 53.
Desde una terminal:
dig-x 127.0.0.1
;, El tiempo de consulta: 1 ms
;, Servidor: 192.168.1.10 # 53 (192.168.1.10)
dig ubuntu.com
;, El tiempo de consulta: 1 ms
147
Esta es la prueba si el servidor de nombres puede resolver el nombre de ns.example.com a una direccin IP. El
comando
de salida debe ser similar a:
PING ns.example.com (192.168.1.10) 56 (84) bytes de datos.
64 bytes from 192.168.1.10: icmp_seq = 1 ttl = 64 tiempo = 0,800 ms
64 bytes from 192.168.1.10: icmp_seq = 2 ttl = 64 tiempo = 0,813 ms
3.1.4. named-checkzone
Una gran manera de poner a prueba tus archivos de zona es mediante la utilidad llamado checkzone-instalado con el
bind9
paquete. Esta herramienta le permite asegurarse de que la configuracin es correcta antes de reiniciar BIND9 y
hacer los cambios vivir.
Para probar nuestro ejemplo Adelante archivo de zona introduzca lo siguiente en un smbolo del
sistema:
named-checkzone example.com / etc / bind / db.example.com
148
Esta seccin cubre la configuracin de BIND9 para enviar depurar mensajes relacionados con las consultas DNS a
una por separado
archivo.
En primer lugar, tenemos que configurar un canal para especificar qu archivo a enviar los mensajes. Editar /
Etc /
bind / named.conf.local
y aadir lo siguiente:
registro {
canal de query.log {
archivo "/ var / log / query.log";
severidad de depuracin 3;
};
};
A continuacin, configure una categora para enviar todas las consultas DNS al
archivo de consulta:
registro {
canal de query.log {
archivo "/ var / log / query.log";
severidad de depuracin 3;
};
consultas categora query.log {;}
};
Nota: el depurar opcin se puede ajustar de 1 a 3. Si un nivel que no se especifica el nivel 1 es el valor
predeterminado.
Dado que el llamado demonio ejecuta como el se unen el usuario / Var / log / query.log archivo debe ser
creado
y
la propiedad
cambi:
Antes de demonio named puede escribir en el nuevo archivo de registro del perfil de AppArmor se debe actualizar.
En primer lugar,
editar / Etc / apparmor.d / usr.sbin.named y aade:
Para ms informacin sobre Novell AppArmor vea Seccin 4, "AppArmor" [p. 167]
149
Usted debe ver el archivo / Var / log / query.log llenar con la informacin de la consulta. Esta es una
sencilla
ejemplo de las opciones de registro BIND9. Para la cobertura de opciones avanzadas, consultar Seccin 4.2, "Ms
De la informacin "[p. 151].
150
4. Referencias
4,1. Tipos comunes de registro
Esta seccin cubre algunos de los tipos de registro DNS ms comunes.
ARegistro: Este registro asigna una direccin IP a un nombre de host.
www
EN
192.168.1.12
CNAME Registro: Se utiliza para crear un alias a una ya existente un registro. No se puede crear un CNAME
registro que apunta a otro registro CNAME.
web
EN
CNAME
www
MX Registro: Se utiliza para definir donde el correo electrnico deben enviarse a. Debe apuntar a un registro
A, no un
CNAME.
correo
EN
MX
EN
mail.example.com.
192.168.1.13
NS Registro: Se utiliza para definir qu servidores sirven copias de una zona. Debe apuntar a un registro A, no un
CNAME. Aqu es donde los servidores primario y secundario se definen.
ns
ns2
EN
EN
NS
NS
ns.example.com.
ns2.example.com.
EN
EN
A
A
192.168.1.10
192.168.1.11
4,2. Ms informacin
El DNS COMO1 explica las opciones ms avanzadas para la configuracin de BIND9.
Para la cobertura de la profundidad de DNS y BIND9 ver Bind9.net2.
DNS and BIND3 es un libro muy popular ahora en su quinta edicin.
Un gran lugar para pedir ayuda BIND9, y que se involucren con la comunidad de Ubuntu Server, se
la # Ubuntu-server Canal de IRC en freenode4.
Asimismo, consulte la BIND9 COMO Servidor5 en el Wiki de Ubuntu.
1 http://www.tldp.org/HOWTO/DNS-HOWTO.html
2 http://www.bind9.net/
3 http://www.oreilly.com/catalog/dns5/index.html
4 http://freenode.net
5 https://help.ubuntu.com/community/BIND9ServerHowto
151
Captulo 9. Seguridad
La seguridad siempre debe tenerse en cuenta al instalar, implementar y usar cualquier tipo de ordenador
sistema. A pesar de una instalacin nueva de Ubuntu es relativamente seguro para su uso inmediato en la Internet,
Es importante tener una comprensin equilibrada de la situacin de seguridad en sistemas basados en la forma en que se
se utiliza despus del despliegue.
En este captulo se ofrece una visin general de temas relacionados con la seguridad, ya que pertenecer a Ubuntu
12.04 LTS
Server Edition, y se esbozan las medidas simples que usted puede utilizar para proteger el servidor y la red de
cualquier nmero de posibles amenazas de seguridad.
152
Seguridad
1. Gestin de usuarios
La administracin de usuarios es una parte fundamental de mantener un sistema seguro. Ineficaz de usuario y los
privilegios
la gestin de muchos sistemas a menudo conducen a que se vea comprometida. Por lo tanto, es importante que
entender cmo usted puede proteger su servidor a travs de la gestin de la cuenta de usuario simple y eficaz
tcnicas.
sudo passwd
Sudo le pedir su contrasea, y luego le pedir que proporcione una contrasea nueva para root, como
se muestra a
continuacin:
Contrasea [sudo] el nombre de usuario: (Introducir su propia contrasea)
Escriba la nueva contrasea de UNIX: (Introducir una nueva contrasea para
root)
Vuelva a escribir la nueva contrasea de UNIX: (Repetir nueva contrasea
para root)
passwd: password updated successfully
el hombre sudo
Por defecto, el usuario inicial creado por el instalador de Ubuntu es un miembro del grupo "admin", que es
agrega al archivo / Etc / sudoers sudo como un usuario autorizado. Si desea dar a cualquier otra cuenta completa
acceso de root a travs de sudo, slo tiene que aadir al grupo de administracin.
153
Seguridad
Para eliminar una cuenta de usuario y su grupo primario, use la siguiente sintaxis:
Recuerde, cualquier usuario aadido ms tarde con el mismo UID / GID como el anterior propietario tendr ahora
el acceso a esta carpeta si no ha tomado las precauciones necesarias.
Es posible que desee cambiar estos valores UID / GID a algo ms apropiado, como la raz
teniendo en cuenta, y tal vez incluso la ubicacin de la carpeta para evitar conflictos en el futuro:
Para bloquear o desbloquear temporalmente una cuenta de usuario, use la sintaxis siguiente,
respectivamente:
sudo passwd-l nombre de usuario
sudo passwd-u nombre de usuario
Seguridad
Si su servidor ser el hogar de varios usuarios, se debe prestar mucha atencin a la home del usuario
permisos de directorio para garantizar la confidencialidad. De forma predeterminada, los directorios personales de
los usuarios de Ubuntu son
creada con el mundo de lectura / permisos de ejecucin. Esto significa que todos los usuarios pueden buscar y
acceder
a la
contenido
de otros directorios de los usuarios. Esto puede no ser adecuado para su entorno.
Para verificar sus usuarios actuales permisos del directorio de origen, utilice la siguiente sintaxis:
La siguiente salida muestra que el directorio / Home / usuario tiene permisos de lectura del mundo:
drwxr-xr-x
Puede eliminar los permisos de lectura del mundo que utilizan la siguiente sintaxis:
Algunas personas tienden a utilizar la opcin recursiva (-R) de manera indiscriminada, que modifica
todas las
subcarpetas y archivos, pero esto no es necesario, y puede dar otros resultados no deseados.
El directorio padre solo es suficiente para impedir el acceso no autorizado a cualquier cosa
por debajo de la matriz.
Un enfoque mucho ms eficiente que el asunto sera la de modificar el valor predeterminado global adduser
permisos al crear carpetas personales de los usuarios. Basta con editar el archivo / Etc / adduser.conf y
modificar
la DIR_MODE variable a algo ms apropiado, de modo que todos los directorios de casas nuevas recibir el
permisos adecuados.
DIR_MODE = 0750
Despus de corregir los permisos del directorio utilizando cualquiera de las tcnicas mencionadas anteriormente,
verifique
los resultados utilizando la siguiente sintaxis:
ls-ld / home / usuario
Los siguientes resultados muestran que los permisos de lectura del mundo se han eliminado:
drwxr-x ---
Seguridad
contrasea
contrasea
La salida de abajo muestra datos interesantes sobre la cuenta de usuario, es decir, que no hay polticas
aplica:
: 20 de enero 2008
Contrasea expira
Contrasea inactiva
: Nunca
: Nunca
Cuenta caduca
Nmero mnimo de das entre el cambio de contrasea
: Nunca
: 0
: 99999
: 7
Para cambiar cualquiera de estos valores, basta con utilizar la siguiente sintaxis, y siga los mensajes interactivos:
El siguiente es un ejemplo de cmo puede cambiar manualmente la fecha de caducidad explcita (E) al 01/31/2008, la edad mnima de la contrasea (-m) de 5 das, la edad mxima de la contrasea (-M) de 90 das,
perodo de inactividad (-I) de 5 das despus de la expiracin de la contrasea, y un perodo de tiempo de aviso (-W),
de 14
das antes de la caducidad de la contrasea.
Seguridad
La salida de abajo muestra las nuevas polticas que se han establecido para la cuenta:
: 20 de enero 2008
: 19 de abril 2008
: 19 de mayo 2008
Cuenta caduca
: 31 de enero 2008
: 5
: 90
: 14
Quitar o cambiar el nombre del directorio de . Ssh / en la carpeta principal del usuario para evitar la autentificacin de
SSH ms
capacidades.
Asegrese de comprobar que no existen conexiones SSH establecidas por el usuario con discapacidad, ya que es
posible que puedan
tienen las conexiones existentes de entrada o de salida. Matar a cualquiera que se
encuentran.
Restringir el acceso SSH a cuentas de usuario nico que debe tener. Por ejemplo, puede crear un grupo de
llamado "sshlogin" y aadir el nombre del grupo como el valor asociado a la AllowGroups variable
encuentra en el archivo / Etc / ssh / sshd_config.
AllowGroups sshlogin
A continuacin, agregue sus usuarios SSH permitidos al grupo "sshlogin", y reinicie el servicio SSH.
157
Seguridad
asegrese de desactivar las cuentas de usuario, tanto externa como local, de esta manera se asegura de que reserva
local de
la autenticacin no es posible.
158
Seguridad
2. Seguridad de la
consola
Como con cualquier otra barrera de seguridad se pone en su lugar para proteger su servidor, es bastante difcil de
defender
contra el dao incalculable causado por alguien con acceso fsico a su entorno, por ejemplo,
robo de discos duros, de energa o la interrupcin del servicio, y as sucesivamente. Por lo tanto, la consola de la
seguridad debe ser
dirigida slo como un componente de su estrategia global de la seguridad fsica. Un cerrado "pantalla puerta"
puede disuadir a un delincuente ocasional, o al menos frenar un determinado uno, por lo que sigue siendo recomendable
realizar las precauciones bsicas en materia de seguridad de la consola.
Las instrucciones siguientes le ayudarn a defender a su servidor contra los problemas que de otro modo podran
producir muy
consecuencias graves.
159
Seguridad
3. Firewall
3,1. Introduccin
El kernel Linux incluye el Netfilter subsistema, que se utiliza para manipular o decidir el destino
del trfico de red dirigido hacia oa travs de su servidor. Todas las modernas soluciones de firewall de Linux utilizar
este
sistema de filtrado de paquetes.
El ncleo del sistema de filtrado de paquetes sera de poca utilidad para los administradores, sin un espacio de usuario
interfaz para su gestin. Este es el propsito de iptables. Cuando un paquete llega a su servidor, ser
entregan al subsistema Netfilter para la aceptacin, la manipulacin, o el rechazo basado en las reglas
suministrado a la misma desde el espacio de usuario a travs de iptables. As, iptables es todo lo que necesita para
administrar su servidor de seguridad si
usted est familiarizado con l, pero muchos estn disponibles interfaces para simplificar la tarea.
Tambin es posible permitir el acceso de los ordenadores o redes especficos para un puerto. El siguiente ejemplo
permite el acceso ssh desde el host 192.168.0.2 a cualquier direccin IP en el host:
160
Seguridad
Reemplazar 192.168.0.2 con 192.168.0.0/24 para permitir el acceso ssh desde la subred completa.
Adicin de la - Dry-run opcin de un UFW comando mostrar las reglas resultantes, pero no los aplica.
Por ejemplo, lo siguiente es lo que se aplicara si la apertura del puerto HTTP:
* Filtro de
:
:
:
:
:
Ufw-user-input - [0:0]
Ufw-user-salida - [0:0]
Ufw-user-hacia adelante - [0:0]
Ufw-user-lmite - [0:0]
Ufw-user-lmite-aceptar - [0:0]
REGLAS # # # # # #
# # # # # # Tupla permiten TCP 80 0.0.0.0 / 0 cualquier
0.0.0.0 / 0
-A tcp UFW-user-input-p - dport 80-j ACCEPT
# # # END REGLAS # # #
-A VOLVER UFW-user-input-j
-A VOLVER UFW-user-output-j
-A VOLVER UFW-user-hacia adelante-j
-Un lmite de UFW-user-lmite-m - lmite 3/minute-j LOG - log-prefix "[LMITE UFW]:"
-A UFW-user-limit-j REJECT
-A UFW-user-lmite-accept-j ACCEPT
COMMIT
Reglas de
actualizacin
Si el puerto que desea abrir o cerrar se define en / Etc / services, Puede utilizar el puerto
nombre en lugar del nmero. En los ejemplos anteriores, reemplazar 22 con ssh.
161
Seguridad
Esta es una breve introduccin al uso de UFW. Por favor refirase a la pgina del UFW para ms informacin.
3.2.1. UFW Integracin de Aplicaciones
Las aplicaciones que los puertos abiertos pueden incluir un perfil de UFW, el cual detalla los puertos necesarios
para el
aplicacin para funcionar correctamente. Los perfiles se mantienen en / Etc / ufw / applications.d, Y puede
editar
ser si los puertos por defecto han sido cambiadas.
Para ver las aplicaciones que ha instalado un perfil, escriba lo siguiente en una terminal:
Similar a la que permite el trfico a un puerto, con un perfil de aplicacin se lleva a cabo mediante la
introduccin de:
UFW sudo permitir a Samba
Reemplazar Samba y 192.168.0.0/24 con el perfil de aplicacin que est utilizando y el rango de direcciones IP
de
su red.
No es necesario especificar el protocolo para la aplicacin, debido a que la informacin es
detalla en el perfil. Adems, tenga en cuenta que el aplicacin reemplaza el nombre de puerto nmero.
Para ver detalles sobre los puertos, protocolos, etc, se define para una aplicacin, entrar en:
No todas las aplicaciones que requieren la apertura de un puerto de red vienen con perfiles de agua no
contabilizada,
pero si usted
tiene que el archivo se incluye en el paquete, por favor enva un error contra el
perfilado una aplicacin
y desea
paquete en Launchpad.
ubuntu-bug nameofpackage
3,3. Enmascaramiento IP
El propsito de enmascaramiento IP es permitir que las mquinas con direcciones IP privadas, no se pueden enrutar en
su
la red para acceder a Internet a travs de la mquina que realiza el enmascaramiento. El trfico de la privada
de la red destinado a Internet debe ser manipulado con las respuestas puedan encaminarse de nuevo a la mquina
que realiz la solicitud. Para ello, el ncleo debe modificar el fuente Direccin IP de cada paquete de forma que
respuestas sern enviados de nuevo a l, en lugar de a la direccin IP privada que hizo la solicitud, que
es imposible a travs de Internet. Linux utiliza Conexin de seguimiento (Conntrack) para realizar un seguimiento de
los cuales
conexiones pertenencen a qu mquinas y reencaminar adecuadamente cada paquete de retorno. El trfico que sale
la red privada es por lo que "disfraz" como que se origin a partir de su puerta de enlace de Ubuntu.
Este proceso se denomina en la documentacin de Microsoft como Conexin compartida a Internet.
162
Seguridad
net/ipv6/conf/default/forwarding = 1
Ahora vamos a aadir reglas a la / Etc / ufw / before.rules archivo. Las reglas por defecto slo se configura
el filtrar mesa, y habilitar el enmascarado de la nat mesa tendr que ser configurado. Agregue el siguiente
a la parte superior del archivo justo despus de los comentarios de cabecera:
Los comentarios no son estrictamente necesarias, pero se considera una buena prctica documentar su
configuracin. Adems, cuando la modificacin de cualquiera de los normas los archivos en / Etc / ufw,
Asegrese de que estas lneas son
la ltima lnea de cada tabla modificada:
# No elimine el 'commit' de lnea o estas reglas no ser procesado
COMMIT
Para cada Mesa una correspondiente COMMIT declaracin se requiere. En estos ejemplos slo el nat y
filtrar las tablas se muestran, pero tambin se puede aadir reglas para la crudo y mangle tablas.
163
Seguridad
Enmascaramiento de IP ahora debe estar habilitado. Tambin puede agregar cualquier norma adicional hacia adelante
a la
/ Etc / ufw / before.rules. Se recomienda que estas reglas adicionales se aaden a la UFW-antesadelante cadena.
3.3.2. iptables Masquerading
iptables tambin se puede utilizar para habilitar
enmascaramiento.
Similar a la UFW, el primer paso es permitir el reenvo de paquetes IPv4 mediante la edicin de / Etc /
sysctl.conf y
descomentar la siguiente lnea
net.ipv4.ip_forward = 1
net.ipv6.conf.default.forwarding = 1
Enmascaramiento IP ahora se puede lograr con una sola regla de iptables, que pueden diferir ligeramente
basado en la configuracin de red:
164
Seguridad
Los comandos anteriores se permiten todas las conexiones de su red local a Internet y todos los
trfico relacionado con esas conexiones para volver a la mquina que los inici.
Si desea disfrazado para estar habilitado en el reinicio, el cual es probable que s, editar / Etc / rc.local
y aadir los comandos utilizados por encima. Por ejemplo, agrega el primer comando sin filtro:
3,4. Registros
Los registros del firewall son esenciales para el reconocimiento de los ataques, solucionar los problemas de las reglas
del cortafuegos, y darse cuenta de
una actividad inusual en la red. Usted debe incluir reglas de registro en el servidor de seguridad para que sean
generado, sin embargo, las reglas y el registro debe venir antes de cualquier norma aplicable en la terminacin (por
regla general con una
objetivo que decide el destino del paquete, como ACCEPT, DROP, o REJECT).
Si est utilizando UFW, puede activar el registro, escriba lo siguiente en una terminal:
Para desactivar el registro en la UFW, basta con sustituir en con de En el comando anterior.
Si el uso de iptables en lugar de UFW, escriba:
Una peticin en el puerto 80 desde la mquina local, entonces, generar un registro en dmesg que tiene este aspecto
(Una sola lnea se dividi en tres para adaptarse a este documento):
[4304885.870000] NEW_HTTP_CONN: IN = OUT = MAC he = 00:00:00:00:00:00:00:00:00:00:00:00:08:00
SRC = 127.0.0.1 DST = 127.0.0.1 LEN = 60 TOS = 0x00 PREC = 0x00 TTL = 64 ID = 58288 DF PROTO =
TCP
SPT = 53981 DPT = 80 WINDOW = 32767 RES = 0x00 SYN URGP = 0
El registro anterior tambin aparecer en / Var / log / messages,/ Var / log / syslog, Y / Var / log /
kern.log.
Este comportamiento puede ser modificado mediante la edicin / Etc / syslog.conf adecuada o por la instalacin
configurar
ulogd y utilizando el objetivo ULOG en lugar de LOG. El demonio es un espacio de usuario ulogd
y
servidor que escucha las instrucciones de registro del ncleo especficamente para firewalls, y puede registrar a cualquier
archivo que desee, o incluso a una base de datos MySQL o PostgreSQL. Dar sentido a los registros del firewall puede ser
simplificada mediante el uso de una herramienta de anlisis de registro como logwatch, fwanalog, fwlogwatch o liras.
165
Seguridad
3,6. Referencias
El Ubuntu Firewall3 pgina wiki contiene informacin sobre el desarrollo de la UFW.
Adems, la pgina de manual de UFW contiene informacin muy til: el hombre UFW.
Consulte el de filtrado de paquetes-HOWTO4 para obtener ms informacin sobre el uso de iptables.
El NAT-HOWTO5 contiene ms detalles sobre enmascaramiento.
El IPTables HowTo6 en el wiki de Ubuntu es un gran recurso.
1 http://www.fwbuilder.org/~~V
2 http://www.shorewall.net/
3 https://wiki.ubuntu.com/UncomplicatedFirewall
4 http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html
5 http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html
6 https://help.ubuntu.com/community/IptablesHowTo
166
Seguridad
4. AppArmor
AppArmor es una implementacin del mdulo de seguridad de Linux sobre el nombre en los controles de acceso
obligatorios.
AppArmor limita programas individuales a un conjunto de archivos de la lista y POSIX capacidades de los proyectos
de 1003.1e.
AppArmor est instalado y cargado por defecto. Se utiliza perfiles de una aplicacin para determinar qu archivos
y los permisos de la aplicacin requiere. Algunos paquetes a instalar sus propios perfiles, y adicionales
perfiles se pueden encontrar en el paquete apparmor los perfiles.
sudo apparmor_status
El / Etc / apparmor.d directorio es donde los perfiles de AppArmor se encuentran. Se puede utilizar para
manipular el modo de todos los perfiles.
Escriba el siguiente para colocar todos los perfiles en el modo de queja:
167
Seguridad
Apparmor_parser Se utiliza para cargar un perfil en el ncleo. Tambin se puede utilizar para volver a cargar una
actualmente
perfil de carga utilizando la -R opcin. Para cargar un perfil:
cat / etc / apparmor.d / profile.name | apparmor_parser-a sudo
El / Etc / apparmor.d / desactivar directorio se puede utilizar junto con la opcin-R para apparmor_parser
inhabilitar un perfil.
A volver a habilitar un perfil de personas con discapacidad eliminar el enlace simblico con el perfil en / Etc
/ apparmor.d /
desactivar /. A continuacin,
AppArmor puede ser deshabilitado, y el mdulo del kernel descargado, escriba lo siguiente:
Reemplazar profile.name con el nombre del perfil que desea manipular. Adems, reemplace /
ruta / a / bin / con la ruta del archivo ejecutable real. Por ejemplo, para el uso comando ping /
bin / ping
4,2. Perfiles
Perfiles de AppArmor son simples archivos de texto ubicados en / Etc / apparmor.d /. Los archivos se nombran
despus del
ruta completa al archivo ejecutable que el perfil de sustitucin de la "/" con ".". Por ejemplo / Etc / apparmor.d /
bin.ping es el perfil de AppArmor para el / Bin / ping comando.
Hay dos tipos principales de reglas utilizadas en los perfiles:
Las entradas de Ruta: que detallan los archivos que una aplicacin puede acceder en el sistema
de archivos.
168
Seguridad
Capacidad de las entradas: determinar cules son los privilegios de un proceso confinado se le
permite utilizar.
A modo de ejemplo echar un vistazo a / Etc / apparmor.d /
bin.ping:
# Include <tunables/global>
/ Bin / ping flags = (complain) {
# Include <abstractions/base>
# Include <abstractions/consoles>
# Include <abstractions/nameservice>
capacidad de net_raw,
capacidad de setuid,
de red sin inet,
# Include <tunables/global>: incluyen las declaraciones de otros archivos. Esto permite que las declaraciones
relativas
a mltiples aplicaciones que se colocan en un archivo comn.
/ Bin / ping flags = (complain): ruta hacia el programa perfilado, tambin para establecer el modo se quejan.
capacidad de net_raw,: permite que el acceso a las aplicaciones de la capacidad CAP_NET_RAW POSIX.1e.
/ Bin / ping Mixr,: permite la aplicacin leer y ejecutar el acceso al archivo.
Despus de editar un archivo de perfil el perfil debe ser recargada. Ver Seccin 4.1, "Uso de
AppArmor "[p. 167] para ms detalles.
4.2.1. Creacin de un perfil
Disear un plan de pruebas: Trate de pensar en cmo la aplicacin debe ser ejercida. El plan de pruebas debe
se divide en los casos de prueba pequeas. Cada caso de prueba debe tener una pequea descripcin y una lista de los
pasos para
seguir.
Algunos casos de prueba estndar son:
Puesta en marcha del programa.
Detencin del programa.
Recarga del programa.
Prueba de todos los comandos soportados por el guin de inicio.
Generar el nuevo perfil: Utilice aa-genprof para generar un nuevo perfil. Desde un terminal:
Por ejemplo:
169
Seguridad
Para obtener su nuevo perfil incluido en el paquete apparmor los perfiles, cursa un bug en el Launchpad contra
la AppArmor7 paquete:
Incluya a su plan de pruebas y casos de prueba.
Conecte su nuevo perfil para el error.
4.2.2. Actualizacin de perfiles
Cuando el programa se est portando mal, los mensajes de auditora son enviados a los archivos de registro. El
programa de AA-logprof
puede ser utilizado para escanear los archivos de registro de mensajes de auditora AppArmor, revisarlos y actualizar
los perfiles.
Desde un terminal:
sudo aa-logprof
4,3. Referencias
Consulte el Gua de administracin de Novell AppArmor8 para las opciones de configuracin avanzadas.
Para ms detalles con AppArmor con otras versiones de Ubuntu ver el AppArmor Wiki de la Comunidad9 pgina.
El OpenSUSE AppArmorDe 10 pginas es otra introduccin a AppArmor.
Un gran lugar para pedir ayuda AppArmor, e involucrarse con el servidor de Ubuntu
comunidad, es el # Ubuntu-server Canal de IRC en freenode11.
7 https://bugs.launchpad.net/ubuntu/+source/apparmor/+filebug
8
apparmor201_sp10_admin/data/book_apparmor_admin.html
9 https://help.ubuntu.com/community/AppArmor
10 http://en.opensuse.org/SDB:AppArmor_geeks
11 http://freenode.net
170
Seguridad
5. Certificados
Una de las formas ms comunes de criptografa hoy es de clave pblica criptografa. De clave pblica
criptografa utiliza un clave pblica y un la clave privada. El sistema funciona encriptacin informacin
utilizando la clave pblica. La informacin puede ser slo descifrado utilizando la clave privada.
Un uso comn de criptografa de clave pblica es el cifrado del trfico de aplicaciones utilizando una conexin segura
Layer (SSL) o la capa de transporte de conexin Security (TLS). Por ejemplo, la configuracin de Apache para
proporcionar HTTPS, el protocolo HTTP sobre SSL. Esto permite que una manera de cifrar el trfico mediante un
protocolo
que no se proporciona cifrado.
ACertificado es un mtodo utilizado para distribuir un clave pblica y otra informacin sobre un servidor y
la organizacin que es responsable de ello. Los certificados pueden ser firmados digitalmente por un Certificacin
Autoridad o CA. Una CA es un tercero de confianza que se ha confirmado que la informacin contenida en el
certificado es exacta.
Continuando con el ejemplo HTTPS, un certificado firmado por una CA proporciona dos importantes capacidades
que una
certificado auto-firmado no lo hace:
Los navegadores (normalmente) reconocen automticamente el certificado y permiten una conexin segura para
ser
sin preguntar al usuario.
Cuando una CA emite un certificado firmado, est garantizando la identidad de la organizacin que es
proporcionando las pginas web al navegador.
La mayora de los navegadores de Internet y computadoras, que soportan SSL tienen una lista de CAs cuyos
certificados
aceptan automticamente. Si el navegador encuentra un certificado autorizado por una CA que no est en la lista, la
navegador pregunta al usuario si desea aceptar o rechazar la conexin. Adems, otras aplicaciones pueden generar
un mensaje de error cuando se utiliza un certificado auto-chamuscado.
171
Seguridad
3. Enviar la solicitud de certificado, junto con documentos que prueben su identidad, a la CA. No podemos decir
que el certificado que la autoridad de elegir. Su decisin puede estar basada en sus experiencias pasadas, o
en las experiencias de sus amigos o colegas, o simplemente en factores monetarios.
Una vez que haya decidido por un CA, necesitar seguir las instrucciones que se le indiquen para
obtener un certificado de los mismos.
4. Cuando la CA est satisfecha de que usted es quien dice ser, le enva una cmara digital
certificado.
5. Instale este certificado en su servidor seguro, y configurar las aplicaciones necesarias para utilizar el
certificado.
Esta seccin cubre la generacin de una clave con una contrasea, y otro sin l. La clave no passphrase
a continuacin, se utiliza para generar un certificado que se puede utilizar con diversos demonios de servicio.
El funcionamiento de su servicio de seguro sin una frase de paso es conveniente porque usted no tendr que
para ingresar la contrasea cada vez que inicie el servicio de seguro. Sin embargo, es inseguro y un
compromiso de la clave significa un compromiso del servidor.
Para generar el claves para la solicitud de firma de certificado (CSR), ejecute el comando siguiente desde un
terminal:
Ahora puede introducir su contrasea. Para mayor seguridad, que deber contener al menos ocho caracteres.
La longitud mnima al especificar-des3 es de cuatro caracteres. Se debe incluir nmeros y / o
puntuacion y no ser una palabra en un diccionario. Tambin recuerde que su contrasea distingue entre maysculas y
minsculas.
Vuelva a escribir la contrasea, para verificar. Una vez que haya que volver a escribir correctamente, la clave del
servidor se genera y se
almacenada en el server.key archivo.
Ahora crear la clave de la inseguridad, el que no tiene una contrasea, y barajar los nombres de las
teclas:
172
Seguridad
La clave de la inseguridad se llama ahora server.key, Y usted puede utilizar este archivo para generar la
responsabilidad social, sin
frase de contrasea.
Para crear el CSR, ejecute el siguiente comando en una terminal:
Se le pedir que introduzca la contrasea. Si introduce la contrasea correcta, se le pedir que introduzca
Nombre de la empresa, Nombre del sitio, Identificacin del email, etc Una vez que entre todos estos detalles, la RSE se
crear
y se almacena en el server.csr archivo.
Ahora puede enviar ese archivo CSR a una CA para su procesamiento. El CA se utiliza este archivo CSR y emitir el
certificado. Por otro lado, puede crear un certificado autofirmado utilizando este CSR.
El comando anterior le pedir que introduzca la contrasea. Una vez que ingrese la contrasea correcta,
su certificado, se crear y se guardar en el server.crt archivo.
Si su servidor seguro se va a utilizar en un entorno de produccin, es probable que tenga un CAcertificado firmado. No se recomienda el uso de un certificado autofirmado.
Ahora slo tiene que configurar todas las aplicaciones, con la posibilidad de utilizar criptografa de clave pblica, para
utilizar el
certificado y clave archivos. Por ejemplo, Apache puede proporcionar HTTPS, Dovecot puede proveer IMAPS y
POP3S, etc
Seguridad
por su propia CA, permite a los distintos servicios que utilizan los certificados a confiar fcilmente otros servicios que
utilizan
certificados emitidos por la misma CA.
1.
2.
La CA tiene unos pocos archivos adicionales para funcionar, uno para realizar un seguimiento del ltimo nmero
de serie utilizado
por la CA, todos los certificados debern tener un nmero de serie nico, y otro archivo para registrar qu
certificados han sido emitidos:
3.
4.
= / Etc / ssl /
base de datos
certificado
de serie
= $ Dir
archivo
= $ Dir
= $ Dir
# Si todo se mantiene
private_key
6.
Ahora est listo para iniciar la firma de los certificados. El primer elemento necesario es una firma de
certificado
Solicitud de la empresa (RSE), consulte Seccin 5.2, "Generacin de una solicitud de firma de certificado
(CSR)" [p. 172]
para ms detalles. Una vez que usted tiene una responsabilidad social, escriba lo siguiente para generar un
certificado firmado por la CA:
sudo openssl ca-in-server.csr de configuracin / etc / ssl / openssl.cnf
Ahora debe haber un nuevo archivo, / Etc/ssl/newcerts/01.pem, Que contiene la misma salida. Copiar
y la pasta de inicio todo con la lnea: ----- BEGIN CERTIFICATE ----- y continuando
a travs de la lnea: ---- END CERTIFICATE ----- lneas a un archivo cuyo nombre el nombre de host del
174
Seguridad
8.
Por ltimo, copie el nuevo certificado a la mquina que necesita, y configurar la adecuada
aplicaciones para usarlo. La ubicacin predeterminada para instalar certificados es / Etc / ssl / certs. Esto
permite
mltiples servicios a utilizar el mismo certificado, sin los permisos de archivos demasiado complicadas.
Para las aplicaciones que se pueden configurar para utilizar un certificado de la CA, tambin debe copiar el /
Etc /
ssl / certs / cacert.pem
5,6. Referencias
Para obtener instrucciones ms detalladas sobre el uso de la criptografa de ver el Certificados SSL
HOWTO12 por
tlpd.org
La Wikipedia HTTPS13 pgina tiene ms informacin sobre HTTPS.
Para ms informacin sobre OpenSSL vase el OpenSSL Pgina de inicio14.
Adems, O'Reilly Red de Seguridad con OpenSSL15 es una buena referencia en profundidad.
12 http://tldp.org/HOWTO/SSL-Certificates-HOWTO/index.html
13 http://en.wikipedia.org/wiki/Https
14 http://www.openssl.org/~~V
15 http://oreilly.com/catalog/9780596002701/
175
Seguridad
6. eCryptfs
eCryptfs es un POSIX de clase empresarial sistema de archivos de cifrado apilado para Linux. Estratificacin
en la parte superior de la capa de sistema de ficheros eCryptfs protege los archivos sin importar el sistema de
archivos subyacente, la particin
tipo, etc
Durante la instalacin hay una opcin para encriptar el / Home particin. Esto configurar automticamente
todo lo necesario para cifrar y montar la particin.
Como ejemplo, esta seccin incluye la configuracin de / Srv que se cifran utilizando eCryptfs.
A continuacin se le pedir algunos detalles sobre cmo ecryptfs debe cifrar los datos.
Para probar que los archivos colocados en / Srv de hecho son copia cifrada de la / Etc / default carpeta
para / Srv:
sudo cp-r / etc / default / srv
Remontar / Srv utilizando ecryptfs har que los datos visibles de nuevo.
176
Seguridad
ecryptfs_passthrough = n
ecryptfs_enable_filename_crypto = n
/ Dev/sdb1/mnt/usbext3
/ Srv / srv eCryptfs defaults 0 0
ro
0 0
6,4. Referencias
Para ms informacin sobre eCryptfs vase el Plataforma de lanzamiento del
proyecto la pgina16.
Existe tambin una Linux Journal17 El artculo que cubre eCryptfs.
Adems, para ms opciones eCryptfs ver el ecryptfs pgina de manual18.
El eCryptfs Wiki de Ubuntu19 pgina tambin cuenta con ms detalles.
16 https://launchpad.net/ecryptfs
17 http://www.linuxjournal.com/article/9400
18 http://manpages.ubuntu.com/manpages/precise/en/man7/ecryptfs.7.html
19 https://help.ubuntu.com/community/eCryptfs
177
178
Monitoreo
1. Informacin
general
La supervisin de los servidores y servicios esenciales es una parte importante de la administracin del sistema.
La mayora de los servicios de red son monitoreados para el funcionamiento, disponibilidad, o ambas cosas. En esta
seccin se cubrir
instalacin y configuracin de Nagios para supervisar la disponibilidad y Munin para el desempeo
seguimiento.
Los ejemplos de esta seccin se utilizan dos servidores con nombres de host servidor01 y Server02. Servidor01
se configurar con Nagios para supervisar los servicios en s mismo y Server02. Servidor01 tambin ser configurado
con el paquete munin para recabar informacin de la red. Usando el paquete munin-node,
Server02 se puede configurar para enviar informacin a server01.
Espero que estos sencillos ejemplos le permitir supervisar los servidores y servicios adicionales en su
red.
179
Monitoreo
2. Nagios
2,1. Instalacin
En primer lugar, sobre servidor01 instalar el paquete de nagios. En una
terminal escriba:
sudo apt-get install nagios-nagios3 nrpe-plug-in
Se le pedir que introduzca una contrasea para la nagiosadmin usuario. Las credenciales del usuario se almacenan en
/
etc/nagios3/htpasswd.users.
NRPE le permite realizar controles locales en hosts remotos. Hay otras formas de
lograr esto a travs de plugins de Nagios otros, as como otros controles.
180
Monitoreo
Ver Seccin 1, "HTTPD - Servidor web Apache 2" [p. 187] para ms detalles sobre la configuracin de
Apache,
Captulo 8, el Servicio de Nombres de Dominio (DNS) [p. 139] para el DNS, y Seccin 1, "MySQL"
[p.
206] para MySQL.
Adems, hay algunos trminos que, una vez explicado se espera que haga la comprensin de Nagios
configuracin ms fcil:
Anfitrin: un servidor, estacin de trabajo, dispositivo de red, etc que se est
supervisando.
Anfitrin del grupo: un grupo de hosts similares. Por ejemplo, puede agrupar todos los servidores web, servidor de
archivos, etc
Servicio: el servicio est monitoreando en el host. Tal como HTTP, DNS, NFS, etc
Servicio de grupo: le permite agrupar varios servicios juntos. Esto es til para agrupar mltiples
HTTP, por ejemplo.
Pngase en contacto con: persona que deba ser notificado cuando un evento se lleva a cabo. Nagios puede ser
configurado para enviar mensajes de correo electrnico,
Mensajes SMS, etc
Por defecto est configurado Nagios para comprobar HTTP, espacio en disco, SSH, los usuarios actuales, los
procesos, y la carga
en el localhost. Nagios tambin hacer ping a comprobar la puerta de
enlace.
Nagios instalaciones grandes pueden ser muy difciles de configurar. Generalmente es mejor empezar poco a poco,
uno o
dos ejrcitos, se configuran las cosas de la forma que desee a continuacin, expanda.
2,3. Configuracin
1.
En primer lugar, crear un anfitrin archivo de configuracin para el Server02. A menos que se especifique
lo contrario, ejecute todas estas
comandos en server01. En una terminal escriba:
sudo cp / etc/nagios3/conf.d/localhost_nagios2.cfg \
/ Etc/nagios3/conf.d/server02.cfg
A continuacin, modifique /
Etc/nagios3/conf.d/server02.cfg:
define host {
utilizar
nombre_host
genrico de acogida
; Nombre de la plantilla de host para
utilizar
Server02
alias
Servidor 02
direccin
172.18.100.101
}
# Verifica el servicio DNS.
definir el servicio {
utilizar
nombre_host
generic-service
Server02
service_description
DNS
181
Monitoreo
check_command
check_dns! 172.18.100.101
3.
1.
Ahora aade una definicin de servicio para la verificacin de MySQL aadiendo lo siguiente a la /
Etc/nagios3 /
conf.d/services_nagios2.cfg:
mysql-servidores
MySQL
check_mysql_cmdlinecred! nagios! secretas $ HOSTADDRESS
generic-service
0; configurar> 0 si desea que se le nueva notificacin
2.
# MySQL hostgroup.
definir hostgroup {
hostgroup_name
mysql-servidores
alias
miembros
MySQL servidores
localhost, Server02
3.
La comprobacin de Nagios necesita para autenticar a MySQL. Para agregar un nagios de usuario de
MySQL escriba:
mysql-u root-p-e "crear nagios usuario identificado por" secreto ";"
La nagios usuario tendr que aadir todos los hosts en el mysql-servidores hostgroup.
4.
1.
generic-service
Server02
service_description
nrpe disco
check_command
182
Monitoreo
2.
allowed_hosts = 172.18.100.100
3.
4.
Ahora debera ser capaz de ver la acogida y los cheques de servicios en los archivos de Nagios CGI. Para acceder a
ellos
sealar con el navegador para http://server01/nagios3. A continuacin se le pedir la nagiosadmin Nombre de usuario
y una contrasea.
2,4. Referencias
En esta seccin se ha araado la superficie de las caractersticas de Nagios. El nagios-plugins-extra y nagiossnmp-plugins contiene revisiones de servicio muchos ms.
Para obtener ms informacin, consulte NagiosUn sitio web.
En concreto, el Documentacin en lnea2 sitio.
Tambin existe una lista de librosRelacionado con Nagios y supervisin de la red 3:
El Nagios Wiki de Ubuntu4 pgina tambin cuenta con ms detalles.
1 http://www.nagios.org/~~V
2 http://nagios.sourceforge.net/docs/3_0/
3 http://www.nagios.org/propaganda/books/
4 https://help.ubuntu.com/community/Nagios
183
Monitoreo
3. Munin
3,1. Instalacin
Antes de instalar Munin en servidor01 apache2 tendr que ser instalado. La configuracin por defecto
est muy bien para ejecutar un servidor de Munin. Para obtener ms informacin, consulte Seccin 1, "HTTPD Web Apache2
Servidor "[p. 187].
En primer lugar, sobre servidor01 instalar Munin. En una
terminal escriba:
sudo apt-get install munin
3,2. Configuracin
En servidor01 editar la / Etc / munin / munin.conf aadiendo la direccin IP de Server02:
Finalmente, en un navegador, vaya al http://server01/munin, y usted debera ver los enlaces a los grficos que
muestran buenos
informacin de la norma munin-plugins para el disco, la red, los procesos y del sistema.
Como se trata de una nueva instalacin puede tardar algn tiempo para que los grficos para mostrar algo
til.
184
Monitoreo
3,4. Referencias
Consulte el Munin5 sitio web para ms detalles.
En concreto, el Munin Documentacin6 pgina incluye informacin sobre los plugins adicionales, por escrito
plugins, etc
Adems, hay un libro en alemn por la prensa de cdigo abierto: Graphisches Munin Netzwerk-und sistema
Monitoreo7.
Otro recurso es la Munin Wiki de Ubuntu8 pginas.
5 http://munin.projects.linpro.no/
6 http://munin.projects.linpro.no/wiki/Documentation
7 https://www.opensourcepress.de/index.php?26&backPID=178&tt_products=152
8 https://help.ubuntu.com/community/Munin
185
186
Servidores Web
www.ubuntu.com
Para ver el comunidadDos sub-pgina, el usuario introduzca el FQDN seguido de una ruta:
www.ubuntu.com / comunidad
El protocolo ms comn que se utiliza para transferir las pginas Web es el Hyper Text Transfer Protocol (HTTP).
Protocolos como el Protocolo de transferencia de hipertexto sobre Secure Sockets Layer (HTTPS) y Archivo
Transfer Protocol (FTP), un protocolo para la carga y descarga de archivos, tambin se apoyan.
Servidores web Apache se utilizan a menudo en combinacin con el motor de base de datos MySQL, el hipertexto
Preprocessor (PHP) el lenguaje de scripting, y otros lenguajes de scripting populares como Python y
Perl. Esta configuracin se denomina LAMP (Linux, Apache, MySQL y Perl / Python / PHP) y forma un
plataforma potente y robusta para el desarrollo y despliegue de aplicaciones basadas en Web.
1,1. Instalacin
El servidor web Apache 2 est disponible en Ubuntu Linux. Para instalar Apache 2:
1,2. Configuracin
Apache2 se configura mediante la colocacin directivas en los archivos de texto plano de configuracin. Estos
directivas
sonlos siguientes archivos y directorios:
divisin entre
apache2.conf: el principal archivo de configuracin de Apache 2. Contiene la configuracin que son global de
Apache2.
conf.d: contiene los archivos de configuracin que se aplican a nivel mundial de Apache2. Otros paquetes que
utilizan
Apache2 para servir el contenido puede agregar archivos o enlaces simblicos, a este directorio.
envvars: presentar en Apache2 medio ambiente las variables estn
ajustadas.
1 http://www.ubuntu.com
2 http://www.ubuntu.com/community
187
Servidores Web
httpd.conf: Histricamente, el principal archivo de configuracin de Apache 2, llamado as por el demonio httpd.
Ahora el archivo est normalmente vaca, como la mayora de las opciones de configuracin se han trasladado a la
siguiente
referencia a los directorios. El archivo puede ser utilizado para usuario especfico opciones de configuracin que
a nivel
mundial
efecto
de Apache2.
mods-available: este directorio contiene los archivos de configuracin tanto para la carga mdulos y configurar
ellos. No todos los mdulos se tienen archivos de configuracin especficos, sin
embargo.
mods-enabled: tiene enlaces simblicos a los archivos en / Etc/apache2/mods-available. Cuando un
mdulo
archivo de configuracin es un enlace simblico que se habilitar el apache2 vez que se reinicia.
ports.conf: casas de las directivas que determinan qu puertos TCP Apache 2 est escuchando.
sites-available: este directorio tiene archivos de configuracin de Apache 2 Mquinas virtuales. Mquinas
virtuales
permiten Apache2 sea configurado para varios sitios que tienen configuraciones diferentes.
sites-enabled: como mods-enabled, sites-enabled contiene enlaces simblicos a la / Etc/apache2/sitesdisponible directorio. Del mismo modo, cuando un archivo de configuracin en los sitios disponibles-es un enlace
simblico, el sitio
configura estar activo una vez que se reinicie Apache2.
Adems, otros archivos de configuracin se pueden aadir mediante el Incluir directiva, y los comodines pueden ser
utiliza para incluir muchos archivos de configuracin. Cualquier directiva puede colocarse en cualquiera de estos
configuracin
archivos. Los cambios en los archivos principales de configuracin slo son reconocidos por Apache2 cuando se inicia
o
reinicia.
El servidor tambin lee un archivo que contiene los tipos mime de documentos, el nombre del archivo es fijado por el
TypesConfig
Directiva, por lo general a travs de / Etc/apache2/mods-available/mime.conf, Que tambin podra incluir
adiciones y sustituciones, y es / Etc / mime.types por defecto.
1.2.1. Configuracin bsica
Esta seccin explica los parmetros del servidor Apache2 esenciales de configuracin. Consulte el Apache2
Documentacin3 para ms detalles.
Los Apache2 trae una configuracin por defecto virtual-host de usar. Es decir, se configura con una
nico servidor virtual predeterminado (usando el VirtualHost Directiva), que puede ser modificado o utilizado tal cual
si
tiene una ubicacin nica, o se utiliza como una plantilla para servidores virtuales adicionales si usted tiene mltiples
sitios. Si se deja
solo, el servidor virtual predeterminado funcionar como su sitio de forma predeterminada, o los usuarios del sitio
vern si la URL
entran
no coincide
con elmodifique
ServerName
Directiva
de cualquiera de sus sitios personalizados.
host virtual
por defecto,
el archivo
/ Etc/apache2/sites-available/default
. Para modificar el
Las directivas establecidas para una mquina virtual slo se aplican a esa mquina virtual. Si una directiva
se establece a nivel de servidor y no se define dentro de la configuracin de la mquina virtual, la
configuracin predeterminada es
utilizada. Por ejemplo, puede definir una direccin de correo electrnico webmaster y no definir
individuales
direcciones de correo electrnico para cada host virtual.
Si desea configurar un nuevo husped o sitio virtual, copiar ese archivo en el mismo directorio con un
nombre que usted elija. Por ejemplo:
3 http://httpd.apache.org/docs/2.2/
188
Servidores Web
Edite el nuevo archivo para configurar el nuevo sitio usando algunas de las directivas que se describen a
continuacin.
El ServerAdmin Directiva especifica la direccin de correo electrnico para ser objeto de publicidad
para
el servidor deEl valor por defecto es webmaster @ localhost. Esto debe cambiar a un correo electrnico
administrador.
direccin que se entrega a usted (si usted es el administrador del servidor). Si su sitio web tiene un
problema, Apache2 mostrar un mensaje de error que contiene la siguiente direccin de correo electrnico para
informar del problema
a. La directiva se encuentra en el archivo de configuracin de su sitio en / etc/apache2/sites-available.
El Escuchar Directiva especifica el puerto, y, opcionalmente, la direccin IP, Apache2 debe escuchar.
Si la direccin IP no se especifica, Apache2 escuchar en todas las direcciones IP asignada a la mquina
que se ejecuta. El valor predeterminado de la directiva Listen es 80. Cambiar a 127.0.0.1:80 provocar
Apache2 slo escuche por su dispositivo loopback de forma que no estar disponible a Internet,
a (por ejemplo) 81 para cambiar el puerto que escucha en el, o dejarlo como est para el funcionamiento normal. Este
directiva se puede encontrar y cambiar en su propio archivo, / Etc/apache2/ports.conf
Usted tambin puede querer que su sitio responda a www.ubunturocks.com, ya que muchos usuarios asumen que
el prefijo www es apropiado. Utilice el ServerAlias Directiva para esto. Tambin puede usar comodines
en la directiva ServerAlias.
Por ejemplo, la siguiente configuracin har que su sitio para responder a cualquier solicitud de dominio
terminando en . Ubunturocks.com.
ServerAlias *. Ubunturocks.com
El DocumentRoot Directiva especifica dnde Apache2 debe buscar los archivos que componen el
sitio. El valor predeterminado es / var / www, como se especifica en / Etc/apache2/sites-available/default. Si
lo desea, cambie este valor en el archivo de su sitio mquina virtual, y recuerde crear ese directorio si
es necesario!
Asegrese de reemplazar mynewsite con un nombre ms descriptivo para el host virtual. Un mtodo
es el nombre del archivo despus de la ServerName Directiva del VirtualHost.
189
Servidores Web
Del mismo modo, utilizar la utilidad a2dissite para desactivar los sitios. Esto es puede ser til para solucionar
problemas
problemas de configuracin con mltiples servidores virtuales:
sudo mynewsite a2dissite
sudo service apache2 reiniciar
generar y devolver una lista, en formato HTML, de los subdirectorios y los archivos en el directorio. La
valor por defecto, que se encuentra en el / Etc/apache2/mods-available/dir.conf es "index.html, index.pl
index.php index.htm index.xhtml ". Por lo tanto, si Apache2 encuentra un archivo en un directorio solicitado que se
ajusta
cualquiera de estos nombres, el primero se mostrar.
El ErrorDocument directiva le permite especificar un archivo de Apache 2 que se utilizar para error especfico
eventos. Por ejemplo, si un usuario solicita un recurso que no existe, un error de 404 va a producir. Por
por defecto, Apache2 slo devolver un cdigo de retorno HTTP 404. Leer / Etc/apache2/conf.d /
localiza las pginas de para
errorobtener
archivos de ejemplo.
ubicacin de
<Directory /var/www/mynewsite>
...
</ Directory>
190
Servidores Web
Por razones de seguridad, esto no debe fijarse por lo general, y ciertamente no se deben establecer en
el directorio DocumentRoot. Activar esta opcin con cuidado sobre una base por directorio
slo si est seguro de que desea que los usuarios ver el contenido completo del directorio.
Multiview - Soporte de contenido negociados MultiViews, esta opcin est desactivada de forma
predeterminada
para
razones de seguridad.
Vase el Apache2 documentacin sobre esta opcin5.
SymLinksIfOwnerMatch - Solo seguir enlaces simblicos si el fichero o directorio tiene la
mismo propietario que el enlace.
1.2.3. Configuracin de httpd
Esta seccin explica algunas opciones de configuracin bsicas httpd demonio.
LockFile - La directiva LockFile establece la ruta al fichero de bloqueo usado cuando el servidor est compilado con
USE_FCNTL_SERIALIZED_ACCEPT o USE_FLOCK_SERIALIZED_ACCEPT. Debe ser
almacenada en el disco local. Se debe dejar el valor por defecto a menos que el directorio de registros se encuentra en un
NFS accin. Si este es el caso, el valor por defecto debera ser cambiado a una posicin en el disco local y al
un directorio que slo es legible por el root.
PidFile - La directiva PidFile establece el fichero en el que el servidor graba su ID de proceso (PID). Este archivo
slo deben ser legibles por el root. En la mayora de los casos, se debe dejar el valor por defecto.
Usuario - La directiva User establece el userid usado por el servidor para responder a las solicitudes. Este
ajuste
determina el acceso del servidor. Todos los archivos inaccesibles para este usuario tambin se podr acceder a su
sitio web los visitantes. El valor predeterminado de usuario es "www-data".
4 https://help.ubuntu.com/community/ServerSideIncludes
5 Nmero de http://httpd.apache.org/docs/2.2/mod/mod_negotiation.html MultiViews
191
Servidores Web
A menos que sepa exactamente lo que ests haciendo, no configure la directiva User al root. Uso
root como el usuario puede crear grandes agujeros de seguridad de su servidor Web.
Grupo - La directiva es similar a la directiva de usuario. Group establece el grupo en las que el
servidor atender las peticiones. El grupo por defecto es "www-data".
1.2.4. Mdulos de Apache2
Apache2 es un servidor modular. Esto implica que slo la funcionalidad ms bsica est incluido en el
Server Core. Las caractersticas extendidas estn disponibles a travs de mdulos que se pueden cargar en Apache 2. Por
por defecto, un conjunto base de mdulos se incluye en el servidor en tiempo de compilacin. Si el servidor est
compilado para usar
carga dinmica de mdulos, a continuacin, los mdulos pueden ser compilados por separado, y aadi en cualquier
momento con
la directiva LoadModule. De lo contrario, debe volver a compilar Apache 2 para agregar o quitar mdulos.
Ubuntu compila Apache2 para permitir la carga dinmica de mdulos. Las directivas de configuracin pueden ser
condicionalmente incluido en la presencia de un mdulo en particular incluyendo entre ellas en un <IfModule>
bloquear.
Puede instalar mdulos adicionales de Apache2 y usarlos con su servidor Web. Por ejemplo, ejecute
el siguiente comando en una terminal para instalar el MySQL autenticacin mdulo:
192
Servidores Web
Los directorios / Etc / ssl / certs y / Etc / ssl / private son las ubicaciones predeterminadas.
Si
instalar el certificado y la clave en otro directorio, asegrese de cambiar SSLCertificateFile
y SSLCertificateKeyFile apropiadamente.
Con Apache2 ahora configurado para HTTPS, reiniciar el servicio para activar la nueva configuracin:
Dependiendo de cmo haya obtenido su certificado puede ser necesario introducir una contrasea cuando se
Apache2 se inicia.
Puede acceder a las pginas del servidor seguro escribiendo en su https://your_hostname/url/ de direcciones del
navegador
bar.
"{}" \;
Si el acceso debe ser otorgado a ms de un grupo por cada directorio, habilite Access Control Lists
(ACL).
1,5. Referencias
Apache2 Documentacin6 contiene informacin en profundidad sobre Apache2 directivas de configuracin. Adems,
ver el paquete apache2-doc para la documentacin oficial de Apache 2.
Consulte el Mod SSL Documentacin7 sitio para obtener informacin relacionada con ms de SSL.
6 http://httpd.apache.org/docs/2.2/
7 http://www.modssl.org/docs/
193
Servidores Web
O'Reilly Apache Cookbook8 es un buen recurso para el cumplimiento de Apache2 especfica
configuraciones.
En el caso de Ubuntu especficos Apache2 duda, consulte en la # Ubuntu-server Canal de IRC en freenode.net9.
Por lo general, integrado con PHP y MySQL el Apache MySQL PHP Wiki de Ubuntu De 10 pginas es una buena
recurso.
8 http://oreilly.com/catalog/9780596001919/
9 http://freenode.net/
10 https://help.ubuntu.com/community/ApacheMySQLPHP
194
Servidores Web
En esta seccin se asume que usted ha instalado y configurado el servidor web Apache2 y la base de datos MySQL
Server. Puede referirse a Apache2 seccin y las secciones de MySQL en este documento para instalar y
configurar Apache 2 y MySQL respectivamente.
2,1. Instalacin
El PHP5 est disponible en Ubuntu Linux. A diferencia de Python y Perl, que se instalan en la base
sistema, PHP debe ser aadido.
Se puede ejecutar scripts de PHP5 desde la lnea de comandos. Para ejecutar scripts de PHP5 desde la lnea de
comando que
debe instalar el paquete php5-cli. Para instalar php5-cli puede introducir el siguiente comando en el
terminal:
Tambin se puede ejecutar scripts de PHP5 sin necesidad de instalar PHP5 mdulo de Apache. Para lograr esto,
debe instalar el paquete php5-cgi. Puede ejecutar el siguiente comando en una terminal de sistema
para instalar el paquete php5-cgi:
Para usar MySQL con PHP5 debe instalar el paquete php5-mysql. Para instalar php5-mysql que
puede introducir el siguiente comando en el terminal:
Del mismo modo, para usar PostgreSQL con PHP5 debe instalar el paquete php5-pgsql. Para instalar php5pgsql debe ingresar el siguiente comando en el terminal:
2,2. Configuracin
Cuando haya instalado PHP5, podr ejecutar scripts de PHP5 desde su navegador web. Si ha instalado php5paquete de clima, puede ejecutar scripts de PHP5 desde el smbolo del sistema.
195
Servidores Web
Por defecto, el servidor web Apache 2 est configurado para ejecutar scripts de PHP5. En otras palabras, la PHP5
mdulo est habilitado en el servidor web Apache 2 automticamente al instalar el mdulo. Por favor, verifique
si los archivos / Etc/apache2/mods-enabled/php5.conf y / Etc/apache2/mods-enabled/php5.load
existir. Si no existe, se puede habilitar el mdulo con a2enmod comando.
Una vez que instale paquetes relativos a PHP5 y permiti a PHP5 mdulo Apache 2, deber reiniciar
Apache2 servidor Web para ejecutar scripts de PHP5. Puede ejecutar el siguiente comando en el indicador de la
terminal
para reiniciar el servidor web:
sudo service apache2 reiniciar
2,3. Pruebas
Para verificar la instalacin, puede ejecutar el siguiente script de PHP5 phpinfo:
<? Php
phpinfo ();
>
2,4. Referencias
Para informacin ms detallada consulte php.net11 documentos.
Hay una gran cantidad de libros sobre PHP. Dos buenos libros de O'Reilly son Aprender PHP 512 y
la PHP libro de cocina13.
Asimismo, consulte la Apache MySQL PHP Wiki de UbuntuPgina 14 para ms informacin.
11 http://www.php.net/docs.php
12 http://oreilly.com/catalog/9780596005603/
13 http://oreilly.com/catalog/9781565926813/
14 https://help.ubuntu.com/community/ApacheMySQLPHP
196
Servidores Web
3,1. Instalacin
En un terminal, introduzca el siguiente comando para instalar el servidor Squid:
3,2. Configuracin
Squid se configura editando las directivas contenidas en el / Etc / squid / squid.conf
archivo de configuracin. Los siguientes ejemplos ilustran algunas de las directrices que pueden ser modificados para
afectar el comportamiento del servidor Squid. Para obtener ms en profundidad la configuracin de Squid, vea las
referencias
seccin.
Antes de editar el fichero de configuracin, debe hacer una copia del archivo original y
proteger contra escritura por lo que tendr la configuracin original como referencia, y volver a utilizar
como
necesario.
Copie el / Etc / squid / squid.conf presentar y proteger contra escritura con los siguientes
comandos introducidos en un terminal:
Para configurar el servidor Squid escuche en el puerto TCP 8888 en lugar del puerto TCP por defecto 3128, el
cambio
la directiva http_port como sigue:
http_port 8888
197
Servidores Web
Cambie la directiva visible_hostname con el fin de dar al servidor Squid tenga un nombre de host especfico. Este
nombre no tiene por qu ser el equipo es el nombre de host. En este ejemplo se ha establecido para
weezie
weezie visible_hostname
El uso del control de acceso de Squid, puede configurar el uso de los servicios de Internet delegados por Squid est
disponibles slo los usuarios con Protocolo de Internet seguro (IP). Por ejemplo, vamos a ilustrar
el acceso de los usuarios de la subred 192.168.42.0/24 nicamente:
Uso de las funciones de control de acceso a excelentes Squid, puede configurar el uso de los servicios de Internet
delegados por Squid est disponible slo durante las horas normales de oficina. Por ejemplo, vamos a ilustrar
el acceso de los empleados de una empresa que opera entre las 9:00 am y 5:00 pm, de lunes
a viernes, y que utiliza el 10.1.42.0/42 subred:
Despus de realizar cambios en el / Etc / squid / squid.conf archivo, guardar el archivo y reinicie el
calamar
aplicacin de servidor para efectuar los cambios con el siguiente comando en una terminal de entrada
del sistema:
3,3. Referencias
Squid Web15
Wiki de Ubuntu Squid16 pginas.
15 http://www.squid-cache.org/~~V
16 https://help.ubuntu.com/community/Squid
198
Servidores Web
4. Ruby on Rails
Ruby on Rails es un framework web de cdigo abierto para desarrollar aplicaciones de bases de datos respaldados por la
web. Lo
est optimizado para la productividad sostenible de los programadores, ya que permite al programador escribir el cdigo
por convencin, favoreciendo sobre la configuracin.
4,1. Instalacin
Antes de instalar los carriles debe instalar Apache y MySQL. Para instalar el paquete de Apache, por favor
referirse a Seccin 1, "HTTPD - Servidor web Apache 2" [p. 187]. Para obtener instrucciones sobre la instalacin
de MySQL
referirse a Seccin 1, "MySQL" [p. 206].
Una vez que tenga los paquetes de Apache y MySQL instalado, est listo para instalar Ruby on Rails
paquete.
Para instalar los paquetes bsicos de Ruby y Ruby on Rails, puede introducir el siguiente comando en el
terminal:
4,2. Configuracin
Modificar el / Etc/apache2/sites-available/default archivo de configuracin para configurar sus dominios.
Lo primero que debe cambiar es la DocumentRoot Directiva:
<Directory "/path/to/rails/application/public">
Opciones ndices FollowSymLinks MultiViews ExecCGI
AllowOverride All
Order allow, deny
Dejar de todas las
AddHandler cgi-script. Cgi
</ Directory>
Tambin debe activar el mdulo mod_rewrite de Apache. Para habilitar el mdulo mod_rewrite, por favor
introducir el siguiente comando en una terminal:
Por ltimo, tendr que cambiar la propiedad de la / Ruta / al / rails / application / pblica y /
ruta / al / rails / application / tmp directorios a los que el usuario utiliza para ejecutar el proceso de
Apache:
199
Servidores Web
Eso es! Ahora que tenemos un servidor listo para sus aplicaciones de Ruby on Rails.
4,3. Referencias
Consulte el Ruby on Rails17 sitio web para ms informacin.
Tambin se Desarrollo gil con Rails18 es un gran recurso.
Otro lugar para obtener ms informacin es el Ruby on Rails Wiki de Ubuntu19 pginas.
17 http://rubyonrails.org/~~V
18 http://pragprog.com/titles/rails3/agile-web-development-with-rails-third-edition
19 https://help.ubuntu.com/community/RubyOnRails
200
Servidores Web
5. Apache Tomcat
Apache Tomcat es un contenedor web que le permite servir a Java Servlets y JSP (Java Server Pages)
aplicaciones web.
Los paquetes de Tomcat 6.0 en Ubuntu admiten dos formas diferentes de ejecutar Tomcat. Puede instalar
como un clsico nico en todo el sistema de instancia, que ser ejecutado durante el arranque se ejecutar con la
tomcat6 usuario sin privilegios. Pero tambin se puede implementar instancias privadas que se ejecutar con su
propia
derechos de los usuarios, y que debe iniciar y detener por s mismo. Esta segunda forma es particularmente til en un
contexto de desarrollo del servidor, donde varios usuarios necesitan para poner a prueba en sus propias instancias de
Tomcat privadas.
Esto instalar un servidor Tomcat con slo una aplicacin web por defecto ROOT que muestra un mnimo de
"Funciona"
la pgina por defecto.
5,2. Configuracin
Archivos de configuracin de Tomcat se puede encontrar en / Etc/tomcat6. Slo unos pocos ajustes de configuracin
comunes
se describe aqu, por favor consulte Documentacin de Tomcat 6.020 para obtener ms.
5.2.1. Cambio de puertos por defecto
Por defecto Tomcat 6.0 corre un conector HTTP en el puerto 8080 y un conector AJP en el puerto 8009. Usted
que desee cambiar los puertos predeterminados para evitar conflictos con otro servidor en el sistema. Es
hace cambiando las siguientes lneas en / Etc/tomcat6/server.xml:
JAVA_HOME = / usr/lib/jvm/java-6-sun
20 http://tomcat.apache.org/tomcat-6.0-doc/index.html
201
Servidores Web
<role rolename="admin"/>
usuario> username="tomcat" password="s3cret" roles="admin"/>
202
Servidores Web
Es posible ejecutar el ejemplo de todo el sistema y los casos particulares en paralelo, siempre y cuando
que no utilizan los mismos puertos TCP.
5.4.1. Instalacin de apoyo de instancia privada
Se puede instalar todo lo necesario para ejecutar instancias privadas introduciendo el siguiente comando en
de la terminal:
tomcat6-ejemplo-crear mi instancia
Esto crear una nueva mi instancia directorio con todos los subdirectorios y los scripts necesarios. Usted
Por ejemplo, puede instalar sus bibliotecas comunes en el lib / subdirectorio y desplegar sus aplicaciones web en el
la webapps / subdirectorio. No hay aplicaciones web se han desplegado por
defecto.
5.4.3. Configuracin de la instancia privada
Va a encontrar los archivos de configuracin de Tomcat clsicos de la instancia privada en el conf /
subdirectorio. Usted debe, por ejemplo, sin duda modificar la conf / server.xml archivo para cambiar el valor por
defecto
puertos utilizados por la instancia de Tomcat privada para evitar conflictos con otros casos que podran ser
ejecutando.
203
Servidores Web
my-instance/bin/startup.sh
Puede detener la instancia entrando el mandato siguiente en el smbolo de la terminal (en el supuesto
su ejemplo se encuentra en el mi instancia directorio):
my-instance/bin/shutdown.sh
5,5. Referencias
Consulte el Apache Tomcat21 sitio web para ms informacin.
Tomcat: The Definitive Guide22 es un buen recurso para la construccin de aplicaciones web con Tomcat.
Para los libros adicionales, consulte la Tomcat Libros23 lista de la pgina.
Tambin, vea theUbuntu Wiki Apache Tomcat24 pginas.
21 http://tomcat.apache.org/~~V
22 http://oreilly.com/catalog/9780596003180/
23 http://wiki.apache.org/tomcat/Tomcat/Books
24 https://help.ubuntu.com/community/ApacheTomcat5
204
205
Bases de datos
1. MySQL
MySQL es un rpido, multi-threaded, multi-usuario, y el servidor robusta base de datos SQL. Est destinado a
de misin crtica, con alta carga de los sistemas de produccin, as como para integrarse en desplegado
software.
1,1. Instalacin
Para instalar MySQL, ejecute el siguiente comando en una terminal:
A partir de Ubuntu 12.04, MySQL 5.5 se instala por defecto. Si bien esto es 100% compatible con
MySQL 5.1 en caso de necesitar la instalacin de 5,1 (por ejemplo, para ser un esclavo de otra MySQL 5.1
servidores) que puede instalar el paquete mysql-server-5.1 en su lugar.
Durante el proceso de instalacin se le pedir que introduzca una contrasea para el usuario root de MySQL.
Una vez completada la instalacin, el servidor MySQL se iniciar automticamente. Puede ejecutar el
el siguiente comando en una terminal para comprobar si el servidor MySQL se est ejecutando:
tcp
0 localhost: mysql
*: *
ESCUCHAR
2556/mysqld
Si el servidor no se est ejecutando correctamente, puede escribir el siguiente comando para iniciarlo:
1,2. Configuracin
Puede editar el / Etc / mysql / my.cnf presentar para configurar las opciones bsicas - archivo de registro, nmero
de
etcpara configurar MySQL para escuchar las conexiones de mquinas de la red, cambiar el bindPorpuerto,
ejemplo,
direccin Directiva a la direccin IP del servidor:
bind-address
= 192.168.0.5
Despus de hacer un cambio en / Etc / mysql / my.cnf el demonio de MySQL es necesario reiniciar:
206
Bases de datos
207
Bases de datos
Este le pedir la contrasea de root antes de crear una copia de los datos. Es aconsejable
asegurarse de que no hay otros usuarios o procesos que utilizan la base de datos, mientras esto ocurre. Dependiendo
la cantidad de datos que tienes en tu base de datos, esto puede tardar un tiempo. No se ve nada en la
pantalla durante este proceso.
Ahora copia de seguridad del fichero my.cnf y sustituirlo por uno nuevo:
A continuacin, elimine y vuelva a inicializar el espacio de base de datos y que la propiedad sea la correcta antes de
reiniciar
MySQL:
Finalmente lo nico que queda es volver a importar los datos. Para darnos una idea de hasta qu punto el proceso de
importacin
tiene
usted puede encontrar
la utilidad 'Visor de Pipe', pv, til. A continuacin se muestra cmo instalar y utilizar PV
este caso, pero si prefieres no usarlo basta con sustituir pv con el gato en el siguiente comando. Ignore cualquier
Los tiempos de ETA producidos por pv, que estn basadas en el tiempo medio de tramitacin de cada fila del archivo,
pero
la velocidad de la insercin puede variar enormemente de una fila a otra, con
mysqldumps:
3 http://tools.percona.com/members/wizard
208
Bases de datos
y esperar a que su informe final. La seccin superior se ofrece informacin general sobre el servidor de base de datos,
y la parte inferior proporciona sugerencias para el ajuste de alterar en su my.cnf. La mayora de estos puede ser
alterado en vivo en el servidor sin necesidad de reiniciar, busca a travs de la documentacin oficial de MySQL
(enlace
en la seccin de Recursos) para las variables relevantes para el cambio en la produccin. La siguiente es parte de un
informe ejemplo de una base de datos de produccin que muestra que puede haber algn beneficio de aumentar
la cantidad de cach de consultas:
Un comentario final sobre las bases de datos de ajuste: Mientras que en trminos generales se puede decir que ciertos
ajustes son los mejores,
el rendimiento puede variar de una aplicacin a otra. Por ejemplo, lo que funciona mejor para Wordpress
podra no ser lo mejor para Drupal, Joomla o aplicaciones propietarias. Su rendimiento depende del
los tipos de consultas, el uso de ndices, el grado de eficiencia en el diseo de base de datos es y as sucesivamente.
Usted puede encontrar
que es til para pasar un tiempo en busca de consejos de ajuste de bases de datos basado en las aplicaciones que
estn
usar para. Una vez que llegue all de cierto punto los ajustes que realice slo se traducir en menores
mejoras, y usted va a estar mejor ya sea la mejora de la aplicacin, o mirando a la ampliacin de su
medio ambiente a travs de bases de datos o bien utilizando un hardware ms potente o mediante la adicin de los
servidores esclavos.
209
Bases de datos
1,5. Recursos
Consulte el MySQL Home Page4 para ms informacin.
La documentacin completa est disponible en los formatos online y offline de la Desarrolladores de MySQL
portal5
Para ver informacin general de SQL Uso de SQL Edition Especial6 por Rafe Colburn.
El Apache MySQL PHP Wiki de Ubuntu7 pgina tambin tiene informacin til.
4 http://www.mysql.com/
5 http://dev.mysql.com/doc/
6 http://www.informit.com/store/product.aspx?isbn=0768664128
7 https://help.ubuntu.com/community/ApacheMySQLPHP
210
Bases de datos
2. PostgreSQL
PostgreSQL es un sistema de base de datos objeto-relacional que tiene las caractersticas de las entidades
comerciales tradicionales
los sistemas de bases de datos con las mejoras que se encuentran en la prxima generacin de sistemas DBMS.
2,1. Instalacin
Para instalar PostgreSQL, ejecute el comando siguiente en el smbolo del sistema:
Una vez completada la instalacin, debe configurar el servidor PostgreSQL en base a sus necesidades,
aunque la configuracin por defecto es viable.
2,2. Configuracin
De forma predeterminada, la conexin a travs de TCP / IP est deshabilitado. PostgreSQL soporta la autenticacin
de clientes mltiples
mtodos. Mtodo de autenticacin IDENT se utiliza para los usuarios de postgres y locales, a menos que
configurado. Por favor, consulte el Administrador de PostgreSQL si desea configurar
alternativas como Kerberos8.
La discusin siguiente se supone que se desea habilitar las conexiones TCP / IP y utilizar el MD5
mtodo de autenticacin del cliente. Archivos de configuracin de PostgreSQL se almacenan en la / Etc /
postgresql /
<versin> / main
directorio. Por ejemplo, si instala PostgreSQL 8.4, los archivos de configuracin son
almacenada en el / Etc/postgresql/8.4/main directorio.
Para configurar ident autenticacin, aadir entradas a la / Etc/postgresql/8.4/main /
pg_ident.conf archivo. Hay observaciones detalladas en el archivo que te gue.
Para habilitar las conexiones TCP / IP, edite el archivo / Etc/postgresql/8.4/main/postgresql.conf
Busque la lnea # Listen_addresses = 'localhost' y cambiar a:
listen_addresses 'localhost' =
Para permitir que otros equipos para conectarse a su servidor PostgreSQL sustituir 'localhost' con la
Direccin IP de su servidor, o, alternativamente, '0 .0.0.0 'para obligar a todas las interfaces.
Tambin puede editar todos los dems parmetros, si sabes lo que ests haciendo! Para obtener ms informacin,
consulte la
archivo de configuracin o de la documentacin de PostgreSQL.
Ahora que podemos conectar a nuestro servidor PostgreSQL, el siguiente paso es establecer una contrasea para el
postgres
usuario. Ejecute el siguiente comando en una terminal para conectarse a la plantilla predeterminada de PostgreSQL
base de datos:
8 http://www.postgresql.org/docs/8.4/static/admin.html
211
Bases de datos
El comando de arriba se conecta a la base de datos PostgreSQL template1 como usuario postgres. Una vez que se
conecte
con el servidor PostgreSQL, que ser en el intrprete de SQL. Puede ejecutar el comando SQL siguiente en
el indicador de psql para establecer la contrasea para el usuario postgres.
local
todo
postgres
md5
Por ltimo, debe reiniciar el servicio de PostgreSQL para inicializar la nueva configuracin. Desde un terminal
ingrese el siguiente para reiniciar PostgreSQL:
La configuracin anterior no est completa, por cualquier medio. Por favor, consulte PostgreSQL
Gua del administrador9 para configurar ms parmetros.
2,3. Recursos
Como se mencion anteriormente la Gua del administrador10 es un excelente recurso. La gua tambin est
disponible en el paquete postgresql-doc-8.4. Ejecute lo siguiente en una terminal para instalar el
paquete:
9 http://www.postgresql.org/docs/8.4/static/admin.html
10 http://www.postgresql.org/docs/8.4/static/admin.html
11 http://www.informit.com/store/product.aspx?isbn=0768664128
12 https://help.ubuntu.com/community/PostgreSQL
212
213
Aplicaciones LAMP
1. Informacin
general
Instalaciones de LAMP (Linux + Apache + MySQL + PHP / Perl / Python) son un montaje muy popular para Ubuntu
servidores. Hay un gran nmero de aplicaciones de cdigo abierto escrito usando la pila de aplicaciones LAMP.
Algunas aplicaciones LAMP populares son Wiki, Sistemas de Gestin de Contenidos y Gestin
Software como phpMyAdmin.
Una de las ventajas de la lmpara es la flexibilidad sustancial para la base de datos, servidor web, y las secuencias de
comandos
idiomas. Sustitutos populares para MySQL incluye PostgreSQL y SQLite. Python, Perl y Ruby
Tambin se utiliza con frecuencia en lugar de PHP. Mientras que Nginx, Cherokee y Lighttpd puede sustituir a Apache.
La forma ms rpida para empezar es instalar LAMP utilizando tasksel. Tasksel es una herramienta de Debian /
Ubuntu que
instala varios paquetes relacionados como una coordinada "tarea" en su sistema. Para instalar una lmpara
servidor:
Despus de instalarlo usted ser capaz de instalar a la mayor parte LMPARA aplicaciones de
esta manera:
Descargar un archivo que contiene los archivos de origen de la aplicacin.
Descomprima el archivo, por lo general en un directorio accesible a un servidor web.
Dependiendo de donde se extrajo la fuente, configurar un servidor web para servir a los archivos.
Configurar la aplicacin para conectarse a la base de datos.
Ejecutar un script, o navegar a una pgina de la aplicacin, para instalar la base de datos que necesita el
aplicacin.
Una vez que los pasos anteriores, o medidas similares, se han completado ya est listo para comenzar a utilizar la
aplicacin.
Una desventaja del uso de este enfoque es que los archivos de la aplicacin no se colocan en el sistema de archivos en
una forma estndar, lo cual puede causar confusin en cuanto a donde se instala la aplicacin. Otro ms grande
desventaja es la actualizacin de la aplicacin. Cuando una nueva versin es liberada, el mismo proceso utilizado
para
instalar la aplicacin que se necesita para aplicar las actualizaciones.
Afortunadamente, un nmero de LMPARA aplicaciones ya estn empacados para Ubuntu, y estn disponibles para
instalacin de la misma manera como aplicaciones LAMP no. Dependiendo de la aplicacin adicional alguna
los pasos de configuracin y puesta en marcha puede ser necesaria, sin embargo.
214
Aplicaciones LAMP
2. Moin Moin
MoinMoin es un motor Wiki implementado en Python, basado en el motor PikiPiki Wiki, y con licencia
bajo la GNU GPL.
2,1. Instalacin
Para instalar MoinMoin, ejecute el comando siguiente en el smbolo del sistema:
Tambin debe instalar el servidor web Apache2. Para instalar apache2 servidor web, por favor vaya a
Seccin 1.1, "Instalacin" [p. 187] sub-seccin en Seccin 1, "HTTPD - Servidor web Apache 2" [p.
187] seccin.
2,2. Configuracin
Para configurar la aplicacin Wiki en primer lugar, por favor, ejecute el siguiente conjunto de comandos. Supongamos
que va a crear un Wiki llamado MyWiki:
Ahora debe configurar MoinMoin para encontrar su nuevo Wiki MyWiki. Para configurar MoinMoin, abra /
etc / moin / mywiki.py presentar y cambiar la siguiente lnea:
data_dir = '/ org / MyWiki / datos'
a
data_dir = '/ usr / share / moin / MyWiki / datos'
Si el / Etc / moin / mywiki.py archivo no existe, debe copiar / Usr / share / moin /
config / wikifarm / mywiki.py
presentar
cambiar.
Si usted ha nombrado a su Wiki como my_wiki_name debe insertar una lnea "(" my_wiki_name ",
r ". *") "en / Etc / moin / farmconfig.py presentar despus de la lnea "(" MyWiki ", r". * ")".
215
Aplicaciones LAMP
Una vez que haya configurado MoinMoin para encontrar su aplicacin Wiki primero MyWiki, debe configurar
apache2 y que quede listo para su aplicacin Wiki.
Usted debe agregar las siguientes lneas en / Etc/apache2/sites-available/default archivo dentro de la
"*> <VirtualHost" Tag:
# # # Moin
ScriptAlias / MyWiki "/ usr / share / moin / MyWiki / moin.cgi"
alias o moin_static193 "/ usr / share / moin / htdocs"
<Directory /usr/share/moin/htdocs>
Order allow, deny
Dejar de todas las
</ Directory>
# # # End moin
Una vez que configure el servidor web apache2 y que quede listo para su aplicacin Wiki, usted debe
reiniciarlo. Puede ejecutar el siguiente comando para reiniciar el servidor web apache2:
2,3. Verificacin
Usted puede verificar la aplicacin Wiki y ver si funciona apuntando desde su navegador web a la siguiente
URL:
http://localhost/mywiki
2,4. Referencias
Para obtener ms informacin, consulte la MoinMoin Wiki2.
Asimismo, consulte la Ubuntu Wiki MoinMoin3 pgina.
1 http://moinmo.in/
2 http://moinmo.in/
3 https://help.ubuntu.com/community/MoinMoin
216
Aplicaciones LAMP
3. MediaWiki
MediaWiki es un software basado en Web Wiki escrito en el lenguaje PHP. Se puede utilizar tanto MySQL o
Base de datos PostgreSQL Sistema de Gestin.
3,1. Instalacin
Antes de instalar MediaWiki tambin debe instalar Apache 2, el lenguaje de secuencias de comandos y PHP5
Base de datos de un Sistema de Gestin. MySQL o PostgreSQL son los ms comunes, elija una
dependiendo de su necesidad. Por favor refirase a las secciones de este manual de instrucciones de instalacin.
3,2. Configuracin
El archivo de configuracin de Apache mediawiki.conf para MediaWiki est instalado en / Etc/apache2/conf.d /
directorio. Usted debe descomentar la siguiente lnea en este archivo para acceder a la aplicacin de MediaWiki.
Despus de que el comentario de la lnea anterior, reiniciar el servidor Apache y MediaWiki acceso mediante el siguiente
url:
http://localhost/mediawiki/config/index.php
Por favor, lea el "entorno de Comprobacin ..." en este pgina. Debera ser capaz de fijar
muchos temas de leer detenidamente esta seccin.
Una vez completada la configuracin, debe copiar el LocalSettings.php presentar a la / Etc / mediawiki
directorio:
Tambin es posible que desee editar / Etc / mediawiki / LocalSettings.php con el fin de establecer el lmite
de la memoria
(Desactivado por defecto):
ini_set ('memory_limit', '64M ');
3,3. Extensiones
Las extensiones de aadir nuevas caractersticas y mejoras para la aplicacin de MediaWiki. Las extensiones
proporcionar a los administradores del wiki y los usuarios finales la posibilidad de personalizar MediaWiki a sus
necesidades.
217
Aplicaciones LAMP
3,4. Referencias
Para ms detalles, consulte el MediaWiki4 sitio web.
El Gua MediaWiki administradores 'Tutorial5 contiene una gran cantidad de informacin para los nuevos
MediaWiki administradores.
Adems, el Ubuntu MediaWiki6 pgina es un buen recurso.
4 http://www.mediawiki.org
5 http://www.packtpub.com/Mediawiki/book
6 https://help.ubuntu.com/community/MediaWiki
218
Aplicaciones LAMP
4. phpMyAdmin
phpMyAdmin es una aplicacin LMPARA escrito especficamente para la administracin de servidores MySQL.
Escrito
en PHP, y se accede a travs de un navegador web, phpMyAdmin proporciona una interfaz grfica para
las tareas de base de datos de administracin.
4,1. Instalacin
Antes de instalar phpMyAdmin tendr acceso a una base de datos MySQL, ya sea en la misma mquina que
phpMyAdmin que est instalado en, o en un host accesible a travs de la red. Para obtener ms informacin, consulte
Seccin 1, "MySQL" [p. 206]. Desde una terminal escriba:
En el sistema elige qu servidor web para ser configurado para phpMyAdmin. El resto de esta seccin
usar Apache2 para el servidor web.
En un navegador, vaya al http://servername/phpmyadmin, sustitucin de serveranme con real del servidor
nombre de host. En el inicio de sesin, pgina, escriba raz para el nombre de usuario, u otro usuario de MySQL si
ningn tipo de configuracin,
e introduzca la contrasea del usuario de MySQL.
Una vez conectado se puede restablecer el raz contrasea si es necesario, crear usuarios, crear / destruir bases de
datos y
tablas, etc
4,2. Configuracin
Los archivos de configuracin para phpMyAdmin se encuentran en / Etc / phpmyadmin. La configuracin principal
archivo / Etc / phpmyadmin / config.inc.php. Este archivo contiene las opciones de configuracin que se aplican a
nivel mundial
a phpMyAdmin.
Para utilizar phpMyAdmin para administrar una base de datos MySQL alojada en otro servidor, ajuste los siguientes
en / Etc / phpmyadmin / config.inc.php:
Reemplazar db_server con el nombre real del servidor remoto de base de datos o direccin IP. Adems,
asegrese
de phpMyAdmin tiene permisos para acceder a la base de datos remota.
que el anfitrin
Una vez configurado, la sesin de phpMyAdmin y de nuevo, y usted debe tener acceso al nuevo servidor.
La config.header.inc.php y config.footer.inc.php archivos se utilizan para agregar un encabezado HTML y
pie de pgina a phpMyAdmin.
Otro archivo de configuracin importante es / Etc / phpmyadmin / apache.conf, Este archivo es un enlace simblico
a/
etc/apache2/conf.d/phpmyadmin.conf, Y se utiliza para configurar Apache2 para servir a la phpMyAdmin
219
Aplicaciones LAMP
sitio. El archivo contiene las directivas para la carga de PHP, los permisos de directorio, etc Para ms informacin sobre
la configuracin de Apache2 ver Seccin 1, "HTTPD - Servidor web Apache 2" [p. 187].
4,3. Referencias
La documentacin de phpMyAdmin viene instalado con el paquete y se puede acceder desde el
phpMyAdmin Documentacin enlace (un signo de interrogacin con una caja alrededor de l) en el marco del
phpMyAdmin
logotipo. La documentacin oficial tambin puede ser el acceso a la
phpMyAdmin7 sitio.
Por otra parte, Dominar phpMyAdmin8 es un gran recurso.
Un tercer recurso es el phpMyAdmin Wiki de Ubuntu9 pgina.
7 http://www.phpmyadmin.net/home_page/docs.php
8 http://www.packtpub.com/phpmyadmin-3rd-edition/book
9 https://help.ubuntu.com/community/phpMyAdmin
220
221
Servidores de
archivos
1. Servidor FTP
File Transfer Protocol (FTP) es un protocolo TCP para la descarga de archivos entre ordenadores. En el
pasado, se ha utilizado tambin para la carga, pero, como ese mtodo no utiliza cifrado, credenciales del usuario
as como los datos transferidos en la clara y son interceptados fcilmente. As que si ests aqu en busca de
una forma de cargar y descargar archivos de forma segura, consulte la seccin sobre OpenSSH en El captulo 6,
a distancia
Administracin [p. 79] en su lugar.
FTP trabaja en un modelo cliente / servidor. El componente de servidor que se llama un FTP daemon. De manera
continua
escucha las peticiones FTP de clientes remotos. Cuando se recibe una peticin, gestiona el inicio de sesin y establece
la conexin. Durante la duracin de la sesin ejecuta las rdenes enviadas por el cliente FTP.
El acceso a un servidor FTP se pueden gestionar de dos formas:
Annimo
Autenticado
En el modo Annimo, los clientes remotos pueden acceder al servidor FTP usando la cuenta de usuario por defecto
llamada "annima" o "ftp" y enviando una direccin de correo electrnico como contrasea. En el modo autenticado
el usuario debe tener una cuenta y una contrasea. Esta ltima opcin es muy insegura y no debera ser
utilizada, salvo en circunstancias especiales. Si usted est buscando para transferir archivos de forma segura SFTP ver
en el
seccin sobre openssh-server. El acceso del usuario a los directorios del servidor FTP y archivos depende de la
permisos definidos para la cuenta utilizada al iniciar la sesin. Como regla general, el demonio FTP oculta el
el directorio raz del servidor FTP y cambiar al directorio de inicio del FTP. Esto oculta el resto del
del sistema de archivos de las sesiones remotas.
Durante la instalacin de una ftp usuario se crea con un directorio de inicio de la / Srv / ftp. Este es el FTP por
defecto
directorio.
Si desea cambiar esta ubicacin, para / Srv / files / ftp por ejemplo, basta con crear un directorio en el
otro lugar y cambiar el ftp usuario directorio home:
222
Servidores de
archivos
Finalmente, copie todos los archivos y directorios que le gustara poner a disposicin a travs de FTP annimo para /
srv / files / ftp, O / Srv / ftp si desea utilizar la opcin predeterminada.
write_enable = SI
Ahora, cuando los usuarios del sistema acceder a FTP que se iniciar en su casa directorios donde pueden
descargar, cargar, crear directorios, etc
Del mismo modo, por defecto, los usuarios annimos no pueden subir archivos al servidor FTP. Para cambiar esta
configuracin, debe descomentar la siguiente lnea y reiniciar vsftpd:
anon_upload_enable = SI
Habilitacin de carga FTP annimo puede ser un riesgo para la seguridad extrema. Lo mejor es no
permitir que
Annimo carga en los servidores de acceso directamente desde Internet.
El archivo de configuracin se compone de muchos parmetros de configuracin. La informacin acerca de cada
parmetro est disponible en el fichero de configuracin. Alternativamente, puede consultar la pgina del manual,
man 5
vsftpd.conf para los detalles de cada parmetro.
chroot_local_user = SI
Tambin puede limitar una lista especfica de los usuarios a sus directorios de inicio
slo:
223
Servidores de
archivos
chroot_list_enable = SI
chroot_list_file = / etc / vsftpd.chroot_list
Tras descomentar las opciones anteriores, crear un / Etc / vsftpd.chroot_list que contiene una lista de usuarios
uno por lnea. A continuacin, reinicie
vsftpd:
vsftpd restart sudo
Adems, el / Etc / ftpusers archivo es una lista de usuarios que son rechazado Acceso a FTP. La lista
predeterminada incluye
root, daemon, nadie, etc Para deshabilitar el acceso FTP a los usuarios adicionales, simplemente aadirlos a la lista.
FTP tambin pueden ser encriptados usando FTPS. A diferencia de SFTP, FTPS es FTP a travs de Secure Socket
Layer
(SSL). SFTP es un cliente de FTP como a travs de una sesin de cifrado SSH conexin. Una diferencia importante es
que
Los usuarios de SFTP necesita tener una concha cuenta en el sistema, en lugar de una nologin concha. Proporcionar
toda la
los usuarios con un depsito no puede ser ideal para algunos entornos, como por ejemplo un proveedor de alojamiento
web compartido. Sin embargo, se
Es posible restringir dichas cuentas a SFTP solamente y deshabilitar la interaccin de comandos. Vea la seccin de
Openssh-server para ms.
Para configurar FTPS, editar / Etc / vsftpd.conf y en la parte inferior
agregar:
ssl_enable = S
Por defecto estas opciones se establecen en el certificado y la clave proporcionada por el paquete ssl-cert. En una
entorno de produccin estos deben ser reemplazados con un certificado y la clave generada por el especfico
de acogida. Para ms informacin sobre certificados, consulte Seccin 5, "certificados" [p. 171].
Ahora reiniciar vsftpd, y no a los usuarios annimos se ven obligados a utilizar FTPS:
Para permitir a los usuarios con una cscara de / Usr / sbin / nologin el acceso a FTP, pero no tienen acceso a una
consola,
edicin / Etc
/
conchas aadiendo
el nologin
shell:
224
Servidores de
archivos
/ Usr / bin / tcsh
/ Bin / tcsh
/ Usr / bin / esh
/ Bin / dash
/ Bin / bash
/ Bin / rbash
/ Usr / bin / pantalla
/ Usr / sbin / nologin
Esto es necesario porque, por defecto, vsftpd utiliza PAM para la autenticacin, y la / Etc / pam.d /
vsftpd archivo de configuracin contiene:
auth
necesario
pam_shells.so
La conchas Mdulo PAM restringe el acceso a los depsitos que figuran en el / Etc /
shells archivo.
Los clientes FTP ms populares se puede configurar para conectarse a travs de FTPS. El lftp lnea de comandos
FTP
cliente tiene la capacidad de utilizar FTPS tambin.
1,5. Referencias
Consulte el sitio web de vsftpd1 para ms informacin.
Para informacin detallada / Etc / vsftpd.conf las opciones de ver el pgina del
manual de vsftpd.conf2.
1 http://vsftpd.beasts.org/vsftpd_conf.html
2 http://manpages.ubuntu.com/manpages/precise/en/man5/vsftpd.conf.5.html
225
Servidores de
archivos
2,1. Instalacin
En un terminal escriba el siguiente comando para instalar el servidor NFS:
2,2. Configuracin
Puede configurar los directorios sean exportados mediante la adicin de ellos a la / Etc / exports archivo.
Para
ejemplo:
/ Ubuntu
/ Home
Puede reemplazar * con uno de los formatos de nombre de host. Hacer la declaracin de nombre de host lo ms
especfico
posibles sistemas de manera no deseados no puede acceder al montaje NFS.
Para iniciar el servidor NFS, puede ejecutar el siguiente comando en una terminal:
El directorio de punto de montaje / Local / ubuntu debe existir. No deben existir archivos o
subdirectorios en el / Local / ubuntu directorio.
226
Servidores de
archivos
Un mtodo alternativo para montar datos compartidos mediante NFS es aadir una lnea a la / Etc / fstab archivo.
La lnea debe incluir el nombre del servidor NFS, el directorio en el servidor que se exportan, y
el directorio en la mquina local, donde el recurso NFS para ser montados.
example.hostname.com :/ ubuntu / local / ubuntu nfs rsize = 8192, wsize = 8192, timeo = 14, intr
Si tiene problemas para montar un recurso compartido NFS, asegrese de que el paquete nfs-common est instalado en
su
cliente. Para instalar nfs-common introducir el siguiente comando en el terminal:
sudo apt-get install nfs-common
2,4. Referencias
Linux NFS preguntas
frecuentes3
Wiki de Ubuntu NFS Howto4
3 http://nfs.sourceforge.net/
4 https://help.ubuntu.com/community/NFSv4Howto
227
Servidores de
archivos
3. Iniciador iSCSI
iSCSI (Internet Small Computer System Interface) es un protocolo que permite a los comandos SCSI para ser
transmitida a travs de una red. Normalmente iSCSI se implementa en una red SAN (Storage Area Network)
para permitir que los servidores para acceder a un gran almacn de espacio en disco duro. El protocolo iSCSI se
refiere a los clientes como
iniciadores iSCSI y servidores como objetivos.
Ubuntu Server puede ser configurado como un iniator iSCSI y un destino. Esta gua proporciona comandos
y opciones de configuracin para configurar un iniciador iSCSI. Se supone que usted ya tiene un iSCSI
orientar en la red local y tienen los derechos adecuados para conectarse a ella. Las instrucciones para
el establecimiento de un objetivo varan considerablemente entre los proveedores de hardware, as que consulte la
documentacin del proveedor de
configurar el especfico destino iSCSI.
node.startup = automtico
Puede comprobar qu objetivos se encuentran disponibles mediante la utilidad iscsiadm. Escriba lo siguiente en
una
terminal:
sudo iscsiadm m descubrimiento ST-T p 192.168.0.10
228
Servidores de
archivos
Ahora debera ser capaz de conectar con el destino de iSCSI, y dependiendo de la configuracin de su destino que
podr
tiene que introducir las credenciales del usuario. Inicie sesin en el nodo iSCSI:
sudo iscsiadm-nodo m - de inicio de sesin
dmesg | grep sd
[
[
[
[
[
[
4.322797]
4.322843]
4.322846]
4.322896]
4.322899]
[
[
[
sd
sd
sd
sd
sd
2:0:0:0:
2:0:0:0:
2:0:0:0:
2:0:0:0:
2:0:0:0:
[Sda]
[Sda]
[Sda]
[Sda]
[Sda]
[
[
sdb: sdb1
En la salida anterior sdb es el nuevo disco iSCSI. Recuerde que este es slo un ejemplo, la salida se ve
en la pantalla pueden variar.
A continuacin, cree una particin, formatear el sistema de archivos, y montar el nuevo disco iSCSI. En una
terminal escriba:
sudo fdisk / dev / sdb
n
p
entrar
w
Los siguientes comandos son del interior de la utilidad fdisk, consulte el hombre fdisk para ms detalle
instrucciones. Adems, la utilidad cfdisk a veces es ms fcil de usar.
Ahora formatear el sistema de archivos y montar a / Srv como ejemplo:
229
Servidores de
archivos
Por ltimo, aadir una entrada a / Etc / fstab para montar la unidad iSCSI durante el
arranque:
/ Dev/sdb1
/ Srv
ext4
Es una buena idea para asegurarse de que todo est funcionando como se esperaba al reiniciar el servidor.
3,3. Referencias
Open-iSCSI de Sitio Web5
Debian Open-iSCSI de la pgina6
5 http://www.open-iscsi.org/~~V
6 http://wiki.debian.org/SAN/iSCSI/open-iscsi
230
Servidores de
archivos
4. - Servidor de impresin
CUPS
El principal mecanismo para la impresin de Ubuntu y servicios de impresin es el Impresin Comn de UNIX
Sistema (CUPS). Este sistema de impresin es una libremente disponible, capa de impresin porttil que se ha
convertido
el nuevo estndar para la impresin en la mayora de las distribuciones
de Linux.
CUPS gestiona los trabajos y las colas, y proporciona impresin de red utilizando el estndar de Internet
Printing Protocol (IPP), que dispone de soporte para una gama muy amplia de impresoras, desde matriciales
al lser y muchos en el medio. CUPS tambin soporta PostScript Printer Description (PPD) y autodeteccin de impresoras de red, y cuenta con una sencilla configuracin basada en web y una herramienta de
administracin.
4,1. Instalacin
Para instalar CUPS en su equipo Ubuntu, simplemente use sudo con el comando apt-get y dar la
los paquetes a instalar como primer parmetro. Una instalacin completa de CUPS tiene muchas dependencias de
paquetes,
pero todos ellos pueden ser especificados en la misma lnea de comandos. Escriba lo siguiente en una terminal para
instalar CUPS:
Tras autenticarse con su contrasea de usuario, los paquetes deben ser descargados e instalados
sin error. Al concluir la instalacin, el servidor CUPS se iniciar automticamente.
Para solucionar problemas, puede acceder a los errores del servidor CUPS a travs del archivo de registro de errores
en: / Var / log /
cups / error_log. Si el registro de errores no muestra suficiente informacin para resolver cualquier problema
se encuentra, el nivel de detalle del registro de CUPS puede incrementarse cambiando el LogLevel directiva
en el archivo de configuracin (vase ms adelante) a "depurar" o incluso "debug2", que registra todo, desde
el valor predeterminado de "info". Si usted hace este cambio, recuerde volver a cambiarlo una vez que haya solucionado
su
problema, para evitar que el archivo de registro crezca demasiado grande.
4,2. Configuracin
El comportamiento del servidor de Impresin Comn de Unix System se configura a travs de las directrices contenidas
en el archivo / Etc / cups / cupsd.conf. El archivo de configuracin de CUPS tiene la misma sintaxis que la
archivo principal de configuracin del servidor HTTP Apache, por lo que los usuarios familiarizados con la edicin
de Apache
archivo de configuracin debe sentirse a gusto cuando se edita el fichero de configuracin de CUPS. Algunos
ejemplos de
ajustes que usted puede desear cambiar inicialmente se presenta aqu.
Antes de editar el fichero de configuracin, debe hacer una copia del archivo original y
protegerlo de la escritura, por lo que tendr la configuracin original como referencia, y reutilizar como
necesario.
Copie el / Etc / cups / cupsd.conf presentar y proteger contra escritura con los siguientes
comandos, emitidos en un terminal:
231
Servidores de
archivos
ServerAdmin: Para configurar la direccin de correo electrnico del administrador designado por el servidor CUPS,
Simplemente edita el / Etc / cups / cupsd.conf archivo de configuracin con su editor de texto preferido,
y
agregar o modificar la ServerAdmin alinearse en consecuencia. Por ejemplo, si usted es el administrador de
el servidor CUPS, y su direccin de correo electrnico es 'bjoy@somebigco.com', entonces podra modificar el
ServerAdmin la lnea para que aparezca como tal:
ServerAdmin bjoy@somebigco.com
Escuche: Por defecto en Ubuntu, la instalacin del servidor CUPS escucha slo por la interfaz loopback
en la direccin IP 127.0.0.1. Con el fin de que el servidor CUPS escuche en un adaptador de red real de
Direccin IP, debe especificar un nombre de host, la direccin IP, u opcionalmente, una direccin IP / puerto
de emparejamiento a travs de la adicin de una directiva Listen. Por ejemplo, si su servidor CUPS reside en un local
red en la direccin IP 192.168.10.250 y que le gustara para que sea accesible a los otros sistemas
en esta subred, puede editar el / Etc / cups / cupsd.conf y aadir una directiva Listen, como por ejemplo:
Listen 127.0.0.1:631
En el ejemplo anterior, usted puede comentar o eliminar la referencia a la direccin de bucle invertido
(127.0.0.1) si no desea que cupsd escuche por esa interfaz, sino que ms bien tendran que slo escuchan
en las interfaces Ethernet de la red de rea local (LAN). Para activar la escucha por toda la red
interfaces a las que un nombre de host est obligado, incluyendo el loopback, se podra crear una Listen
entrada para el nombre de host Scrates como tales:
Listen socrates: 631 # Escuchar en todas las interfaces para la mquina 'socrates'
El puerto 631
# Escuchando en el puerto 631 en todas las
interfaces
Para ms ejemplos de directivas de configuracin en el fichero de configuracin del servidor CUPS, ver el
pgina de manual asociada introduciendo el siguiente comando en una terminal:
el hombre cupsd.conf
Siempre que haga cambios en el / Etc / cups / cupsd.conf archivo de configuracin, tendr que
para reiniciar el servidor CUPS tecleando el siguiente comando en una terminal:
232
Servidores de
archivos
4,4. Referencias
Sitio web de CUPS7
Debian Open-iSCSI de la pgina8
7 http://www.cups.org/~~V
8 http://wiki.debian.org/SAN/iSCSI/open-iscsi
233
234
Servicios de correo
electrnico
1. Sufijo
Postfix es el agente de transferencia de correo por defecto (MTA) en Ubuntu. Se trata de ser rpido y fcil
administrar y asegurar. Es compatible con el MTA sendmail. En esta seccin se explica cmo instalar
y configurar postfix. Tambin se explica cmo configurarlo como un servidor SMTP utilizando una conexin segura
(Para el envo de mensajes de correo electrnico de forma segura).
Esta gua no cubre la creacin de Postfix Dominios virtuales, para obtener informacin sobre Virtual
Dominios y otras configuraciones avanzadas, consultar Seccin 1.7.3, "Referencias" [p. 240].
1,1. Instalacin
Para instalar postfix ejecute el siguiente comando:
Slo tiene que pulsar retorno cuando el proceso de instalacin hace preguntas, la configuracin se har en
mayor detalle en la siguiente etapa.
235
Servicios de correo
electrnico
/ Etc / postfix
/ main.cf
archivo.
Posteriormente,
Esto har que el correo nuevo en / home / usuario / Maildir por lo que tendr que configurar su
Agente de entrega de correo (MDA) para utilizar el mismo camino.
1.
2.
A continuacin, generar u obtener un certificado digital para TLS. Ver Seccin 5, "certificados" [p. 171] para
detalles. Este ejemplo tambin se utiliza una entidad emisora de certificados (CA). Para obtener informacin sobre
la generacin de una CA
certificado de ver Seccin 5.5, "Autoridad de Certificacin" [p. 173].
MUA para conectarse a su servidor de correo mediante TLS tendr que reconocer el certificado de
utiliza para TLS. Esto puede llevarse a cabo mediante un certificado de una CA comercial o
con un certificado autofirmado que los usuarios instalar manualmente / aceptar. Para MTA a MTA
Certficates TLS no se validan, sin acuerdo previo del afectado
organizaciones. Para MTA a MTA TLS, a menos que la poltica local lo requiere, no hay
razn para no utilizar un certificado autofirmado. Referirse a Seccin 5.3, "Creacin de una firma
automtica
Certificado de "[p. 173] para ms detalles.
3.
Una vez que tenga un certificado, configurar Postfix para proporcionar el cifrado TLS para el entrante y
correo saliente:
236
Servicios de correo
electrnico
postconf-e sudo 'smtp_tls_note_starttls_offer = yes'
postconf-e sudo 'smtpd_tls_key_file = / etc / ssl / private / server.key "
postconf-e sudo 'smtpd_tls_cert_file = / etc / ssl / certs / server.crt'
postconf-e sudo 'smtpd_tls_loglevel = 1'
sudo postconf-e 'smtpd_tls_received_header = yes'
sudo postconf-e 'myhostname = mail.example.com "
4.
Una vez ms, para ms detalles sobre certificados, consulte Seccin 5, "certificados" [p. 171].
Despus de ejecutar todos los comandos, Postfix est configurado para SMTP-AUTH y una firma de autocertificado ha sido creado para el cifrado TLS.
Ahora, el archivo / Etc / postfix / main.cf debe ser similar este1.
La configuracin inicial de postfix se ha completado. Ejecute el comando siguiente para reiniciar el postfix
demonio:
Postfix admite los protocolos SMTP-AUTH como se define en RFC25542. Se basa en SASL3. Sin embargo, es todava
necesaria para configurar la autenticacin SASL para poder utilizar SMTP-AUTH.
A continuacin, tendr que editar / Etc / dovecot / dovecot.conf. En el autenticacin por defecto descomentar
la seccin de
socket de escucha opcin y cambiar lo siguiente:
socket de escucha {
# Principal {
# Maestro toma proporciona el acceso a la informacin userdb. Es por lo general
# Usado para dar acceso a locales de Dovecot agente de entrega de userdb por lo que
# Puede encontrar la ubicacin de los
buzones.
# Path = / var / run / dovecot / auth-master
# Mode = 0600
# Por defecto el usuario / grupo es el que comenz dovecot-auth (raz)
1 .. / sample / postfix_configuration
2 http://www.ietf.org/rfc/rfc2554.txt
3 http://www.ietf.org/rfc/rfc2222.txt
237
Servicios de correo
electrnico
# User =
# = Grupo
#}
{cliente
# El socket de cliente es generalmente seguro para exportar a todo el mundo. El uso
tpico
# Es para exportar a su servidor SMTP por lo que puede hacer bsquedas de SMTP
AUTH
# Utilizando.
path = / var / spool / postfix / private / auth-client
mode = 0660
user = postfix
= grupo postfix
}
}
Con el fin de permitir que los clientes de Outlook utilizar SMTP-AUTH, en el autenticacin por defecto
seccin de / etc / dovecot /
dovecot.conf complemento "Login":
mecanismos de acceso = normal
Usted puede o no desea ejecutar IMAP, IMAPS, POP3 o POP3S en su servidor de correo. Para
ejemplo, si va a configurar el servidor para ser un gateway de correo, el spam / virus de filtro, etc Si
este es el caso, puede ser ms fcil de usar los comandos anteriores para configurar Postfix para SMTP
AUTH.
Ahora debe tener un servidor de correo de trabajo, pero hay algunas opciones que usted puede desear ampliar
personalizar. Por ejemplo, el paquete utiliza el certificado y la clave del paquete ssl-cert, y en un
entorno de produccin se debe utilizar un certificado y una clave generada por el anfitrin. Ver Seccin 5,
"Certificados" [p. 171] para ms detalles.
Una vez que tenga un certificado personalizado y la clave para el host, cambie las siguientes opciones en / Etc /
postfix / main.cf:
238
Servicios de correo
electrnico
smtpd_tls_cert_file = / etc / ssl / certs / ssl-mail.pem
smtpd_tls_key_file = / etc / ssl / private / ssl-mail.key
A continuacin, reinicie
Postfix:
sudo / etc / init.d / postfix restart
1,6. Pruebas
SMTP-AUTH de configuracin se ha completado. Ahora es el momento de probar la
configuracin.
Para ver si SMTP-AUTH y TLS funcione correctamente, ejecute el comando siguiente:
telnet mail.example.com 25
ehlo mail.example.com
Si usted ve las siguientes lneas, entre otros, entonces todo est funcionando perfectamente. Tipo dejar de para salir.
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH = LOGIN PLAIN
250 8BITMIME
smtp
inet
smtpd
smtpd
smtp
inet
A continuacin, tendr que reiniciar Postfix para que utilice la nueva configuracin. Desde una terminal escriba:
239
Servicios de correo
electrnico
1.7.2. Archivos de
registro
Postfix enva todos los mensajes de registro / Var / log / mail.log. Sin embargo los mensajes de error y aviso
puede
a veces se pierden en la salida del registro normal, de modo que tambin se registran en / Var / log / mail.err y /
Var / mail.warnrespectivamente.
log
Para ver los mensajes ingresados en los registros en tiempo real se puede utilizar el comando tail-f:
La cantidad de detalles que se registran en los registros puede ser aumentada. A continuacin se presentan algunos
configuracin
opciones para aumentar el nivel de registro para algunas de las reas cubiertas por
encima.
Para aumentar TLS el registro de la actividad de establecer el smtpd_tls_loglevel opcin para un valor de
1 a 4.
postconf-e sudo 'smtpd_tls_loglevel = 4'
Si usted est teniendo problemas para enviar o recibir correo de un dominio especfico puede agregar el dominio
al debug_peer_list parmetro.
Puede aumentar el nivel de detalle de cualquier proceso de demonio de Postfix mediante la edicin del / Etc /
postfix /
master.cf
smtp
smtp-V
Es importante notar que despus de hacer uno de los cambios en el registro por encima de la Postfix
proceso tendr que ser recargada con el fin de reconocer la nueva configuracin: sudo / etc /
init.d / postfix reload
Para aumentar la cantidad de informacin registrada para solucionar problemas SASL cuestiones que se pueden
establecer la
siguientes opciones en / Etc / dovecot / dovecot.conf
auth_debug = yes
auth_debug_passwords = yes
Al igual que Postfix si se cambia una configuracin de Dovecot el proceso tendr que volver a cargar:
sudo / etc / init.d / dovecot recarga.
Algunas de las opciones anteriores puede aumentar drsticamente la cantidad de informacin enviada en el
registro
archivos. Recuerde devolver el nivel de registro a la normalidad despus de haber corregido el problema.
A continuacin, volver a cargar el diablillo apropiado para la nueva configuracin surta
efecto.
1.7.3. Referencias
La administracin de un servidor Postfix puede ser una tarea muy complicada. En algn momento puede que tenga que
recurrir a
la comunidad de Ubuntu en busca de ayuda con ms experiencia.
240
Servicios de correo
electrnico
Un gran lugar para pedir ayuda Postfix, y que se involucren con la comunidad de Ubuntu Server, es el
# Ubuntu-server Canal de IRC en freenode4. Tambin puede enviar un mensaje a uno de los Web Foros5.
Para informacin en profundidad Postfix los desarrolladores de Ubuntu recomendamos: El libro de Postfix6.
Por ltimo, el Sufijo7 sitio web tambin tiene excelente documentacin sobre todas las diferentes opciones de configuracin
disponible.
Adems, el Wiki de Ubuntu Postfix8 pgina tiene ms informacin.
4 http://freenode.net
5 http://www.ubuntu.com/support/community/webforums
6 http://www.postfix-book.com/
7 http://www.postfix.org/documentation.html
8 https://help.ubuntu.com/community/Postfix
241
Servicios de correo
electrnico
2. Exim4
Exim4 es otro agente de transferencia de mensajes (MTA) desarrollado en la Universidad de Cambridge para su uso
en sistemas Unix conectados a Internet. Exim puede ser instalado en lugar de sendmail, aunque el
configuracin de exim es bastante diferente a la de sendmail.
2,1. Instalacin
Para instalar exim4, ejecute el comando siguiente:
2,2. Configuracin
Para configurar exim4, ejecute el comando siguiente:
La interfaz de usuario se mostrar. La interfaz de usuario le permite configurar muchos parmetros. Para
ejemplo, en Exim4 los archivos de configuracin se dividen entre varios archivos. Si desea tenerlos en
un archivo que se puede configurar de acuerdo en esta interfaz de usuario.
sudo update-exim4.conf
242
Servicios de correo
electrnico
El primer paso es crear un certificado para el uso con TLS. Escriba lo siguiente en una terminal:
sudo / usr/share/doc/exim4-base/examples/exim-gencert
Ahora Exim4 necesita ser configurado para TLS mediante la edicin de / Etc/exim4/conf.d/main/03_exim4config_tlsoptions agregar lo siguiente:
MAIN_TLS_ENABLE = yes
A continuacin, debe configurar Exim4 para utilizar el saslauthd para la autenticacin. Editar / Etc/exim4 /
conf.d/auth/30_exim4-config_examples y el comentario de la plain_saslauthd_server y
login_saslauthd_server secciones:
plain_saslauthd_server:
Driver = texto
public_name = PLAIN
server_condition = $ {if saslauthd {{$} {$ auth2 auth3}} {1} {0}}
server_set_id = $ auth2
server_prompts =:
. Ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
server_advertise_condition = $ {if eq {$ tls_cipher} {} {} {*}}
. Endif
#
login_saslauthd_server:
Driver = texto
public_name = LOGIN
server_prompts = "Nombre de usuario Contrasea :::
::"
# No enva las contraseas del sistema a travs de conexiones cifradas
server_condition = $ {if saslauthd {{$} {$ auth1 auth2}} {1} {0}}
server_set_id = $ auth1
. Ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
server_advertise_condition = $ {if eq {$ tls_cipher} {} {} {*}}
. Endif
Adems, a fin de que fuera cliente de correo para poder conectarse al nuevo servidor exim, nuevo usuario necesita
que se aaden a exim con los siguientes comandos.
sudo / usr/share/doc/exim4/examples/exim-adduser
Los usuarios deben proteger los archivos exim nueva contrasea con los siguientes comandos.
sudo update-exim4.conf
243
Servicios de correo
electrnico
sudo / etc/init.d/exim4 reinicio
Para configurar saslauthd editar el fichero de configuracin / etc / default / saslauthd y establecer START = no
a:
START = yes
A continuacin, el Debian-exim usuario necesita ser parte del sasl grupo a fin de que Exim4 para utilizar el saslauthd
servicio:
2,5. Referencias
Ver exim.org9 para ms informacin.
Existe tambin una Exim4 LibroDispone de 10.
Otro recurso es la Exim4 Wiki de Ubuntu 11 pginas.
9 http://www.exim.org/~~V
10 http://www.uit.co.uk/content/exim-smtp-mail-server
11 https://help.ubuntu.com/community/Exim4
244
Servicios de correo
electrnico
3. Servidor Dovecot
Dovecot es un Agente de entrega de correo, escrito con la seguridad sobre todo en la mente. Es compatible con los
principales
formatos de buzones: mbox o Maildir. En esta seccin se explica cmo configurarlo como un servidor IMAP o
POP3.
3,1. Instalacin
Para instalar dovecot, ejecute el comando siguiente en el smbolo del sistema:
3,2. Configuracin
Para configurar dovecot, puede editar el archivo / Etc / dovecot / dovecot.conf. Usted puede elegir el
protocolo que use. Podra ser POP3, POP3S (pop3 seguro), IMAP y imaps (imap seguro). Una descripcin
de estos protocolos est fuera del alcance de esta gua. Para ms informacin, consulte la Wikipedia
artculos sobre POP312 y IMAP13.
IMAPS y POP3S son ms seguras que la simple IMAP y POP3, ya que utilizan SSL
cifrado de la conexin. Una vez que haya elegido el protocolo, modificar la siguiente lnea en el archivo / Etc /
dovecot / dovecot.conf:
A continuacin, seleccione el buzn que desea utilizar. Dovecot apoya maildir y mbox formatos. Estos
son los formatos de buzn ms comnmente utilizados. Ambos tienen sus propios beneficios y se discuten en
el sitio web de Dovecot14.
Una vez que haya elegido el tipo de buzn, edite el archivo / Etc / dovecot / dovecot.conf y cambiar el
siguiendo la lnea:
Usted debe configurar el Agente de Transporte de Correo (MTA) para transferir el correo entrante
este tipo de buzn de correo si es diferente a la que ha configurado.
Una vez que haya configurado dovecot, reiniciar el demonio de dovecot con el fin de probar la instalacin:
245
Servicios de correo
electrnico
Si ha habilitado IMAP o POP3, tambin puede tratar de conectarse con los comandos telnet localhost
pop3 o telnet localhost imap2. Si usted ve algo como lo siguiente, la instalacin ha sido
xito:
Usted puede obtener el certificado SSL de una Autoridad emisora de certificados o usted puede crear su propia firma
SSL
certificado. Esta ltima es una buena opcin para correo electrnico, ya que los clientes SMTP rara vez se quejan de
"autocertificados
firmados
". Por favor
Seccin
5, "certificados"
[p. 171]depara
obtener
ms informacin acerca de
certificado SSL
autofirmado.
Una consulte
vez creado
el certificado,
tendr un archivo
clave
y un certificado
cmo
crear
archivo. Por favor, copiar a la ubicacin indicada en el / Etc / dovecot / dovecot.conf archivo de configuracin.
3,5. Referencias
Consulte el Sitio web de Dovecot15 para ms informacin.
Adems, el Dovecot Wiki de Ubuntu16 pginas tiene ms detalles.
15 http://www.dovecot.org/~~V
Https://help.ubuntu.com/community/Dovecot 16
246
Servicios de correo
electrnico
4. Cartero
Mailman es un programa open source para la gestin de las discusiones de correo electrnico y listas de e-newsletter.
Muchas listas abiertas de correo de origen (incluyendo todos los Listas de correo de Ubuntu17) usar Mailman como su correo
lista de software. Es potente y fcil de instalar y mantener.
4,1. Instalacin
Mailman proporciona una interfaz web para los administradores y usuarios, utilizando un servidor de correo externo
enviar y recibir mensajes de correo electrnico. Funciona perfectamente con los servidores de correo siguientes:
Postfix
Exim
Sendmail
Qmail
Vamos a ver cmo instalar y configurar Mailman con, el servidor web Apache, Postfix y, o bien la
o el servidor de correo Exim. Si desea instalar Mailman con otro servidor de correo, por favor refirase a la
seccin de referencias.
Usted slo tiene que instalar un servidor de correo Postfix, y es el de transferencia de correo
predeterminado en Ubuntu
Agente.
4.1.1. Apache2
Para instalar apache2 que se refieren a Seccin 1.1, "Instalacin" [p. 187] para ms detalles.
4.1.2. Sufijo
Para obtener instrucciones sobre cmo instalar y configurar Postfix se refieren a Seccin 1, "Postfix" [p.
235]
4.1.3. Exim4
Para instalar Exim4 se refieren a Seccin 2, "Exim4" [p. 242].
Una vez que se ha instalado exim4, los archivos de configuracin se guardan en la / Etc/exim4 directorio. En Ubuntu,
por
predeterminada, los archivos de configuracin de exim4 se dividen en diferentes archivos. Puede cambiar este
cambiando la siguiente variable en el / Etc/exim4/update-exim4.conf archivo:
comportamiento
dc_use_split_config = 'true'
4.1.4. Cartero
Para instalar Mailman, ejecute el comando siguiente en una terminal:
17 http://lists.ubuntu.com
247
Servicios de correo
electrnico
Se copia a los archivos de instalacin en / var / lib / mailman. Se instala los scripts CGI en / usr/lib/cgibin / mailman. Se crea lista usuario de linux. Se crea el lista linux grupo. El proceso de cartero
sern propiedad de este usuario.
4,2. Configuracin
En esta seccin se asume que usted ha instalado con xito mailman, apache2 y postfix o exim4. Ahora
slo tienes que configurarlos.
4.2.1. Apache2
Un ejemplo de archivo de configuracin de Apache viene con Mailman y se coloca en / Etc / mailman /
apache.conf. Con el fin de Apache para que utilice el archivo de configuracin que necesita para ser copiado a /
Etc/apache2 /
sites-available:
Esto configurar un nuevo Apache VirtualHost para el sitio de administracin de Mailman. Ahora permitir que el
nuevo
la configuracin y reiniciar Apache:
mailman.conf a2ensite sudo
sudo service apache2 reiniciar
Mailman usa apache2 para hacer sus scripts CGI. Los scripts cgi de mailman se instalan en el directorio / usr / lib /
cgi-bin/mailman directorio. Por lo tanto, la url ser http://hostname/cgi-bin/mailman/ cartero. Usted puede
realizar cambios en el / Etc/apache2/sites-available/mailman.conf presentar si desea cambiar esta
comportamiento.
4.2.2. Sufijo
Para la integracin de Postfix, vamos a asociar el lists.example.com de dominio con las listas de correo. Por favor,
reemplazar lists.example.com con el dominio de su eleccin.
Puede utilizar el comando postconf para aadir la configuracin necesaria para / Etc / postfix / main.cf:
cartero
unix
tubo
248
Servicios de correo
electrnico
$ {} $ {NextHop usuario}
lists.example.com
Mailman:
Ahora tiene Postfix construir el mapa de transporte, escriba lo siguiente en una terminal:
4.2.3. Exim4
Una vez que Exim4 est instalado, usted puede iniciar el servidor Exim usando el siguiente comando en una terminal
del sistema:
Con el fin de hacer que el trabajo cartero con Exim4, necesita configurar Exim4. Como se mencion anteriormente,
Por defecto, exim4 usa varios archivos de configuracin de distintos tipos. Para obtener ms informacin,
consulte
la Exim18 sitios web. Para ejecutar mailman, hay que aadir un nuevo archivo de configuracin para los siguientes
tipos de configuracin:
Principal
Transporte
Router
Exim crea un archivo de configuracin principal, clasificando todos los archivos de configuracin de mini. As, el
orden de
estos archivos de configuracin es muy importante.
4.2.4. Principal
Todos los archivos de configuracin que pertenecen al tipo principal se almacenan en el / Etc/exim4/conf.d/main
/
249
Servicios de correo
electrnico
# Este es normalmente el mismo que ~ cartero
MM_HOME = / var / lib / mailman
#
# El usuario y el grupo de Mailman, debe coincidir con la opcin - withmail-gid
# Del script de configuracin de Mailman.
El valor es normalmente "cartero"
MM_UID = lista
MM_GID = lista
#
# Los dominios que se encuentran en las listas - la lista separada
por dos puntos
# Es posible que desee agregar en local_domains as
mm_domains DomainList = hostname.com
#
# - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = = - = - = - = - = - = - = - = - = - = - = - =
#
# Estos valores se derivan de los de arriba y no es necesario
# Cambiarse a menos que haya manipulado su instalacin de mailman
#
# La ruta del script Mailman envoltorio electrnico
MM_WRAP = MM_HOME / mail / mailman
#
4.2.5. Transporte
Todos los archivos de configuracin pertenecientes al tipo de transporte se almacenan en el /
Etc/exim4/conf.d /
de transporte / directorio.
config_mailman:
mailman_transport:
Driver = tubera
command = MM_WRAP \
'$ {If def: local_part_suffix \
{$ {Sg {$ local_part_suffix} {- (\ \ w +) (. \ \ + *)} {\ $ 1}}}
\
{Mensaje}} '\
$ Local_part
current_directory = MM_HOME
home_directory = MM_HOME
user = MM_UID
= grupo MM_GID
4.2.6. Router
Todos los archivos de configuracin correspondientes a un tipo de encaminamiento se almacenan en la /
Etc/exim4/conf.d/router /
250
Servicios de correo
electrnico
require_files = MM_HOME / lists / $ local_part / config.pck
local_part_suffix_optional
local_part_suffix =-Rebotes:-bounces + *: \
A confirmar + *:-join:-licencia: \
-Propietario:-peticin:-admin
transport = mailman_transport
El orden de los archivos principales de configuracin y el transporte puede ser en cualquier orden.
Pero, el orden
de los archivos de configuracin del router debe ser el mismo. Este archivo en particular debe aparecer
antes de
el archivo 200_exim4-config_primary. Estos dos archivos de configuracin contienen el mismo tipo
de informacin. El primer archivo tiene prioridad. Para ms detalles, consulte el
seccin de referencias.
4.2.7. Cartero
Una vez que mailman est instalado, se puede ejecutar con el siguiente comando:
Una vez que mailman est instalado, usted debe crear la lista de correo por defecto. Ejecute el siguiente comando para
crear la lista de correo:
mailman-propietario:
mailman-request:
"| / Var /
cartero"
"| / Var /
licencia"
"| / Var /
"| / Var /
mailman-subscribe:
mailman-unsubscribe:
Hemos configurado ya sea Postfix o exim4 para reconocer a todos los correos electrnicos de cartero. As, es
no es obligatorio realizar las nuevas inscripciones en el / Etc / aliases. Si ha realizado algn cambio en la
archivos de configuracin, por favor asegrese de reiniciar esos servicios antes de continuar a la siguiente seccin.
251
Servicios de correo
electrnico
El Exim4 no utiliza los alias de arriba para reenviar correos a Mailman, ya que utiliza una descubrir
enfoque. Para suprimir los alias al crear la lista, puede agregar MTA = Ninguno lnea en
Mailman archivo de configuracin, / Etc / mailman / mm_cfg.py.
4,3. Administracin
Suponemos que usted tiene una instalacin por defecto. Los scripts cgi de mailman todava estn en el directorio / usr /
lib / cgi-bin /
mailman /. Mailman proporciona una facilidad de administracin web. Para acceder a esta pgina, punto
su navegador a la siguiente direccin:
http://hostname/cgi-bin/mailman/admin
La lista de correo por defecto, cartero, aparecer en la pantalla. Si hace clic en el nombre de la lista de correo, lo har
pedir su contrasea de autenticacin. Si introduce la contrasea correcta, usted ser capaz de cambiar
la configuracin administrativa de esta lista de correo. Puede crear una nueva lista de correo utilizando la lnea de
comandos
utilidad (/ usr / bin / newlist). Como alternativa, puede crear una nueva lista de correo usando el interfaz web.
4,4. Usuarios
Mailman proporciona una interfaz basada en web para los usuarios. Para acceder a esta pgina, dirija su navegador
a la
siguiente url:
http://hostname/cgi-bin/mailman/listinfo
La lista de correo por defecto, cartero, aparecer en la pantalla. Si hace clic en el nombre de la lista de correo, lo har
mostrar el formulario de suscripcin. Puedes ingresar tu direccin de correo electrnico, nombre (opcional), y una
contrasea para
suscribirse. Una invitacin por correo electrnico ser enviado a usted. Puede seguir las instrucciones del correo
electrnico a
suscribirse.
4,5. Referencias
GNU Mailman - Manual de Instalacin19
HOWTO - Uso de Exim 4 y Mailman 2.1, junto20
Adems, vea la Mailman Wiki de Ubuntu21 pginas.
19 http://www.list.org/mailman-install/index.html
20 http://www.exim.org/howto/mailman21.html
21 https://help.ubuntu.com/community/Mailman
252
Servicios de correo
electrnico
5. Filtrado de Correo
Uno de los mayores problemas con el correo electrnico hoy en da es el problema del correo electrnico masivo no
solicitado (UBE). Tambin
conocido como spam, ese tipo de mensajes tambin pueden contener virus y otras formas de malware. De acuerdo
algunos informes estos mensajes constituyen la mayor parte de todo el trfico de correo
con
electrnico en Internet.
Esta seccin cubre la integracin de Amavisd-new, Spamassassin y ClamAV con el correo Postfix
Agente de Transporte (MTA). Postfix tambin puede comprobar la validez de correo electrnico pasndolo a travs de
contenido externo
filtros. Estos filtros pueden a veces determinar si un mensaje es spam sin necesidad de procesar con
ms intensivo de recursos de aplicaciones. Dos filtros comunes son opendkim y python-spf-Policyd.
Amavisd-new es un programa contenedor que se puede llamar a cualquier nmero de programas de filtrado de
contenidos para el spam
deteccin, antivirus, etc
Spamassassin usa una variedad de mecanismos para filtrar el correo electrnico basado en el contenido del
mensaje.
ClamAV es una aplicacin de cdigo abierto antivirus.
opendkim implementa un filtro de correo Sendmail (milter) para los DomainKeys Identified Mail (DKIM)
estndar.
python-Policyd-SPF permite a Sender Policy Framework (SPF) de cheques con Postfix.
As es como encajan las piezas:
Un mensaje de correo electrnico es aceptado por
Postfix.
El mensaje se transmite a travs de los filtros externos opendkim y python-Policyd spf-en este caso.
Amavisd-new procesa el mensaje.
ClamAV se utiliza para explorar el mensaje. Si el mensaje contiene un virus Postfix rechace el
mensaje.
Limpie los mensajes sern analizados por SpamAssassin para saber si el mensaje es spam.
Spamassassin luego aade una cabecera X-lneas permitiendo Amavisd-new para manipular an ms la
mensaje.
Por ejemplo, si un mensaje tiene una puntuacin de spam de ms de cincuenta aos que el mensaje podra ser eliminada
automticamente
de la cola sin que el destinatario tener que ser molestado. Otra forma, para manejar marcado
mensajes es para entregar al Agente de Usuario de Correo (MUA) que permite al usuario hacer frente con el mensaje
como mejor les parezca.
5,1. Instalacin
Ver Seccin 1, "Postfix" [p. 235] para obtener instrucciones sobre cmo instalar y configurar Postfix.
Para instalar el resto de las aplicaciones introduzca lo siguiente en una terminal:
Hay algunos paquetes opcionales que se integran con Spamassassin para la deteccin de spam mejor:
253
Servicios de correo
electrnico
Junto con las principales aplicaciones de filtrado de utilidades de compresin son necesarios para procesar el correo
electronico
archivos adjuntos:
sudo apt-get install cabextract arj lha cpio nomarca personas rar unrar zip unzip
Si algunos paquetes no se encontr, compruebe que el multiverso repositorio est habilitado en / Etc / apt
/
sources.list
Si realiza cambios en el archivo, asegrese de ejecutar sudo apt-get update antes de instalarlo
nuevo.
5,2. Configuracin
Ahora configure todo para trabajar en conjunto y filtrar el correo
electrnico.
5.2.1. ClamAV
El comportamiento predeterminado de ClamAV se ajuste a nuestras necesidades. Para obtener ms opciones de
configuracin de ClamAV, compruebe
los archivos de configuracin en / Etc / clamav.
Aadir el clamav usuario al amavis grupo con el fin de Amavisd-new tener el acceso adecuado a los
analizar los
archivos:
sudo adduser clamav amavis
sudo adduser clamav amavis
5.2.2. Spamassassin
Spamassassin detecta automticamente los componentes opcionales y las usarn si estn presentes. Este
significa que no hay necesidad de configurar pyzor y maquinilla de afeitar.
Editar / Etc / default / spamassassin para activar el demonio SpamAssassin. Cambiar ENABLED = 0 a:
ENABLED = 1
5.2.3. Amavisd-new
En primer lugar activar la deteccin de spam y antivirus en Amavisd-new editando / Etc/amavis/conf.d/15content_filter_mode:
254
Servicios de correo
electrnico
use strict;
# Se puede modificar este archivo para la comprobacin de SPAM volver a habilitar a
travs de spamassassin
# Y volver a habilitar la comprobacin de
antivirus.
#
# Por defecto el modo de control de
antivirus
# Elimine las dos lneas de abajo para permitir que
#
@ Bypass_virus_checks_maps = (
\ Bypass_virus_checks%, \ @ bypass_virus_checks_acl, \ $ bypass_virus_checks_re);
#
# SPAM por defecto el modo de control de
# Elimine las dos lneas de abajo para permitir que
#
@ Bypass_spam_checks_maps = (
\ Bypass_spam_checks%, \ @ bypass_spam_checks_acl, \ $ bypass_spam_checks_re);
1;
Bouncing spam puede ser una mala idea ya la direccin de retorno es a menudo falso. Considere la posibilidad de editar
/ Etc / amavis /
conf.d/20-debian_defaults
como sigue:
$ Final_spam_destiny
= D_DISCARD;
Adems, es posible que desee ajustar las siguientes opciones para marcar ms mensajes como spam:
Si el servidor nombre de host es diferente del registro MX del dominio puede que tenga que configurar
manualmente la
$ Myhostname opcin. Adems, si el servidor recibe correo para varios dominios de la @ Local_domains_acl
opcin tendr que ser personalizado. Edite el / Etc/amavis/conf.d/50-user archivo:
@ Local_domains_acl = qw (.);
255
Servicios de correo
electrnico
En este contexto, una vez que un dominio ha sido aadido a la lista blanca el mensaje no recibir
ningn tipo de filtro anti-virus o spam. Esto puede o no puede ser el comportamiento previsto desea para
un dominio.
5.2.4. Sufijo
Para la integracin de Postfix, introduzca lo siguiente en una terminal:
La prxima edicin / Etc / postfix / master.cf y aadir lo siguiente al final del archivo:
smtp-amavis
unix
smtp
smtpd
-O smtp_data_done_timeout = 1200
-O smtp_send_xforward_command = yes
-O disable_dns_lookups = yes
-O = 20 max_use
127.0.0.1:10025 inet
-O content_filter =
-O local_recipient_maps =
-O relay_recipient_maps =
-O smtpd_restriction_classes =
-O smtpd_delay_reject = no
-O smtpd_client_restrictions = permit_mynetworks, rechazar
256
Servicios de correo
electrnico
-O smtpd_helo_restrictions =
-O smtpd_sender_restrictions =
-O smtpd_recipient_restrictions = permit_mynetworks, rechazar
-O smtpd_data_restrictions = reject_unauth_pipelining
-O smtpd_end_of_data_restrictions =
-O mynetworks = 127.0.0.0 / 8
-O smtpd_error_sleep_time = 0
-O smtpd_soft_error_limit = 1001
-O smtpd_hard_error_limit = 1000
-O smtpd_client_connection_count_limit = 0
-O smtpd_client_connection_rate_limit = 0
-O receive_override_options = no_header_body_checks y no_unknown_recipient_checks
Tambin aada las dos lneas siguientes inmediatamente debajo de la "Pickup" Servicio de
transporte:
-O content_filter =
-O receive_override_options = no_header_body_checks
Esto evitar que los mensajes que se generan para informar sobre el spam de ser clasificado como spam.
Ahora reiniciar Postfix:
5,3. Pruebas
En primer lugar, prueba de que el SMTP Amavisd-new est
escuchando:
telnet localhost 10024
Trying 127.0.0.1 ...
Connected to localhost.
Carcter de escape es '^]'.
257
Servicios de correo
electrnico
220 [127.0.0.1] ESMTP amavisd-new servicio listo
^]
En el encabezado de los mensajes que pasan por el filtro de contenido que usted debe ver:
X-Spam-Level:
X-Virus-escaneada: Debian amavisd-new at example.com
X-Spam-Status: No, hits = -2.3 tagged_above = -1000,0 requerida = 5.0 tests = AWL, BAYES_00
X-Spam-Level:
Su salida puede variar, pero lo importante es que hay X-Virus-Scanned y XSpam-Status entradas.
$ Log_level = 2;
Cuando el Amavisd-new salida del registro se aument la produccin de Spamassassin registro tambin se
incrementa.
El nivel de registro de ClamAV se puede aumentar mediante la edicin de / Etc / clamav / clamd.conf y
estableciendo el
siguiente opcin:
LogVerbose verdad
De forma predeterminada ClamAV enviar mensajes de registro para / Var / log / clamav
/ clamav.log.
Despus de cambiar una configuracin de las aplicaciones de registro de acuerdo para reiniciar el
servicio
para el nuevo
la configuracin
surta efecto. Adems, una vez el problema que est solucionando problemas se resuelve
que es una buena
idea de cambiar la configuracin del registro a la normalidad.
5,5. Referencias
Para ms informacin sobre el filtrado de correo ver los siguientes enlaces:
Amavisd-new Documentacin22
ClamAV Documentacin23 y ClamAV Wiki24
22 http://www.ijs.si/software/amavisd/amavisd-new-docs.html
23 http://www.clamav.net/doc/latest/html/
24 http://wiki.clamav.net/Main/WebHome
258
Servicios de correo
electrnico
Spamassassin Wiki25
Pyzor Pgina de inicio26
Razor Pgina de inicio27
DKIM.org28
Postfix Amavis Nueva29
Adems, no dude en hacer preguntas en el # Ubuntu-server Canal de IRC en freenode30.
25 http://wiki.apache.org/spamassassin/
26 http://sourceforge.net/apps/trac/pyzor/
27 http://razor.sourceforge.net/
28 http://dkim.org/~~V
29 https://help.ubuntu.com/community/PostfixAmavisNew
30 http://freenode.net
259
260
Aplicaciones de chat
1. Informacin
general
En esta seccin, vamos a discutir cmo instalar y configurar un servidor de IRC, ircd-IRc2. Tambin se
discutir la forma de instalar y configurar Jabber, un servidor de mensajera ejemplo.
261
Aplicaciones de chat
2. IRC Server
El repositorio de Ubuntu tiene muchos servidores de Internet Relay Chat. En esta seccin se explica cmo instalar y
configurar el servidor original de IRC-ircd IRc2.
2,1. Instalacin
Para instalar ircd-IRc2, ejecute el comando siguiente en el smbolo del sistema:
Los archivos de configuracin se guardan en / Etc / ircd directorio. Los documentos estn disponibles en /
Usr /
share/doc/ircd-irc2
directorio.
2,2. Configuracin
Los ajustes de IRC se puede hacer en el archivo de configuracin / Etc / ircd / ircd.conf. Puede configurar el
IRC
nombre de host en el archivo mediante la edicin de la siguiente lnea:
M: irc.localhost :: Debian ircd configuracin por defecto :: 000A
Por favor, asegrese de aadir alias de DNS para el nombre de host del IRC. Por ejemplo, si se
establece
irc.livecipher.com como nombre de host del IRC, por favor haga irc.livecipher.com que se puede resolver en su
Servidor de Nombres de Dominio. El nombre de host del IRC no debe ser el mismo que el nombre de host.
Los detalles de administrador de IRC se puede configurar mediante la edicin de la
siguiente lnea:
A: Organizacin, IRC departamento:. <ircd@example.irc.org> Demonio: Client Server :: IRCnet:
Se deben agregar las lneas especficas para configurar la lista de puertos de IRC para escuchar, para configurar
operador
credenciales, para configurar la autenticacin de cliente, etc Para ms informacin, consulte el ejemplo
archivo de configuracin / Usr/share/doc/ircd-irc2/ircd.conf.example.gz.
La bandera de IRC que se mostrar en el cliente de IRC, cuando el usuario se conecta al servidor se puede establecer en
/
etc / ircd / ircd.motd
archivo.
Despus de hacer los cambios necesarios en el fichero de configuracin, puede reiniciar el servidor de IRC con
el siguiente comando:
2,3. Referencias
Usted tambin podra estar interesado en echar un vistazo a otros servidores IRC disponibles en el repositorio de
Ubuntu. Lo
incluye, ircd ircd-UCRI y la hbrida.
262
Aplicaciones de chat
Consulte IRCD Preguntas frecuentes1 para ms detalles sobre el servidor IRC.
1 http://www.irc.org/tech_docs/ircnet/faq.html
263
Aplicaciones de chat
3,1. Instalacin
Para instalar jabberd2, en una terminal escriba:
3,2. Configuracin
Hace un par de archivos de configuracin XML se utiliza para configurar jabberd2 de Berkeley DB usuario
autenticacin. Esta es una forma muy simple de autenticacin. Sin embargo, jabberd2 puede ser configurado para
usar LDAP, MySQL, PostgreSQL, etc para la autenticacin del usuario.
Ahora debera ser capaz de conectarse al servidor usando un cliente Jabber como Pidgin por ejemplo.
264
Aplicaciones de chat
La ventaja de utilizar Berkeley DB para los datos de usuario es que despus de ser configurado sin
de mantenimiento adicional. Si necesita ms control sobre las cuentas de usuario y
las credenciales de otro mtodo de autenticacin que se recomienda.
3,3. Referencias
El Jabberd2 Sitio Web2 contiene ms detalles sobre la configuracin de jabberd2.
Para las opciones de autenticacin ms ver el Jabberd2 Gua de instalacin3.
Adems, el Configuracin de Jabber Wiki de Ubuntu Server4 pgina tiene ms informacin.
2 http://codex.xiaoka.com/wiki/jabberd2:start
3 http://www.jabberdoc.org/~~V
4 https://help.ubuntu.com/community/SettingUpJabberServer
265
266
1. Bazar
Bazaar es un sistema de control de versiones patrocinado por Canonical, la empresa comercial que hay detrs
Ubuntu. A diferencia de CVS, Subversion y que slo admiten un modelo de repositorio central, el bazar tambin
apoya la versin de control distribuido, dando a la gente la capacidad de colaborar de manera ms eficiente. En
Bazar en particular, est diseada para maximizar el nivel de participacin de la comunidad en el cdigo abierto
proyectos.
1,1. Instalacin
En un terminal, introduzca el siguiente comando para instalar bzr:
1,2. Configuracin
Para presentarse a bzr, utilice el whoami comando como este:
1 https://launchpad.net/
2 http://bazaar-vcs.org/LaunchpadIntegration/
267
2. Subversin
Subversion es una versin de cdigo abierto sistema de control. Uso de Subversion, puede registrar la historia de
archivos de cdigo fuente y documentos. Gestiona archivos y directorios a travs del tiempo. Un rbol de ficheros se
coloca en un
repositorio central. El repositorio es como un servidor de archivos ordinario, salvo que recuerda todos los
los cambios hechos a los archivos y directorios.
2,1. Instalacin
Para acceder a un repositorio de Subversion mediante el protocolo HTTP, debe instalar y configurar una red
servidor. Apache2 ha demostrado funcionar bien con Subversion. Por favor, consulte la subseccin HTTP en el
Apache2 seccin para instalar y configurar Apache 2. Para acceder al repositorio de Subversion mediante el
El protocolo HTTPS, debe instalar y configurar un certificado digital en su servidor web Apache 2.
Por favor, consulte la subseccin HTTPS en la seccin de Apache2 para instalar y configurar la era digital
certificado.
268
Mtodo de acceso
file :/ /
http://
https://
svn :/ /
svn + ssh :/ /
En esta seccin veremos cmo configurar Subversion para todos estos mtodos de acceso. Aqu, cubrimos
los conceptos bsicos. Para obtener ms informacin de uso ms avanzadas, se refieren a la svn libro3.
2.3.1. Acceso directo al repositorio (file :/ /)
Este es el ms simple de todos los mtodos de acceso. No se requiere ningn proceso de servidor de Subversion para
ser
ejecutando. Este mtodo de acceso se utiliza para acceder a Subversion desde la misma mquina. La sintaxis de la
comando, introducido en un sistema de terminal, es la siguiente:
Si no se especifica el nombre del host, hay tres barras diagonales (/ / /) - dos para el
protocolo (archivo, en este caso), adems de la barra que lleva en el camino. Si se especifica el nombre de
host,
debe utilizar dos barras inclinadas (/ /).
Los permisos del repositorio dependen de los permisos del sistema de archivos. Si el usuario ha ledo / permiso de
escritura,
se puede desde la que obtener y comprometerse con el repositorio.
2.3.2. Acceso mediante el protocolo WebDAV (http://)
Para acceder al repositorio de Subversion mediante el protocolo WebDAV, debe configurar el Apache 2 Web
servidor. Aadir el siguiente cdigo entre el <VirtualHost> y </ VirtualHost> elementos en / Etc /
apache2/sites-available/default,
<Location /svn>
DAV svn
SVNPath / home / svn
AuthType Basic
AuthName "El nombre del repositorio"
3 http://svnbook.red-bean.com/
269
Para aadir usuarios adicionales omitir el "-C" opcin ya que esta opcin reemplaza el archivo antiguo. En lugar de
utilizar el siguiente formulario:
sudo htpasswd / etc / subversion / passwd nombre_usuario
Este comando le pedir que introduzca la contrasea. Una vez que introduzca la contrasea, el usuario se agrega.
Ahora, para acceder al repositorio puede ejecutar el siguiente comando:
svn co http://servername/svn
La contrasea se transmite como texto sin formato. Si usted est preocupado por la adivinacin de
contraseas, que
Se recomienda usar el cifrado SSL. Para obtener ms informacin, consulte la siguiente seccin.
2.3.3. Acceso mediante el protocolo WebDAV con cifrado SSL (https://)
Acceso a un repositorio de Subversion mediante el protocolo WebDAV con cifrado SSL (https://) es similar
al http:// excepto en que debe instalar y configurar el certificado digital en su web Apache2
servidor. Para usar SSL con Subversion aade lo anterior Apache2 configuracin / Etc/apache2/sitesdisponible / default-ssl. Para obtener ms informacin sobre la configuracin de Apache 2 con SSL ve Seccin
1.3,
"Configuracin de HTTPS" [p. 192].
Puede instalar un certificado digital emitido por una autoridad de certificacin. Alternativamente, usted puede instalar
su
propio certificado autofirmado.
270
Este paso asume que usted ha instalado y configurado un certificado digital en su servidor web Apache 2.
Ahora, para acceder al repositorio de Subversion, por favor refirase a la seccin de arriba! Los mtodos de acceso son
exactamente el mismo, excepto el protocolo. Usted debe usar https:// para acceder al repositorio de Subversion.
Despus de descomentar las lneas anteriores, se puede mantener la lista de usuarios en el archivo passwd. Por lo tanto,
modificar el archivo
passwd en el mismo directorio y aadir el nuevo usuario. La sintaxis es como sigue:
nombre de usuario =
contrasea
Una vez que se ejecuta este comando, Subversion empieza a escuchar en el puerto por defecto (3690). Para acceder al
proyecto
repositorio, debe ejecutar el siguiente comando en una terminal:
svn co svn :/ / hostname / proyecto del proyecto - nombre de usuario Nombre de usuario
Sobre la base de la configuracin del servidor, se le pedir la contrasea. Una vez autenticado, se desprotege
el cdigo desde el repositorio Subversion. Para sincronizar el repositorio del proyecto con la copia local,
puede ejecutar el actualizar sub-comandos. La sintaxis del comando, entr en el indicador de la terminal, es tan
sigue:
Para ms detalles sobre el uso de cada sub-orden de Subversion, puede consultar el manual. Para
ejemplo, para aprender ms acerca de la co (checkout) de comandos, por favor, ejecute el comando siguiente desde un
terminal:
svn co ayuda
271
2.3.5. El acceso a travs de un protocolo personalizado con cifrado SSL (svn + ssh
:/ /)
El proceso de configuracin y el servidor es el mismo que en el mtodo svn :/ /. Para obtener ms informacin, consulte
la
la seccin anterior. Este paso asume que usted ha seguido los pasos anteriores y se inici el servidor de Subversion
usando la orden svnserve.
Tambin se asume que el servidor ssh se est ejecutando en esa mquina, y que est permitiendo que de entrada
conexiones. Para confirmar, por favor, intenta iniciar sesin en esa mquina usando ssh. Si usted puede entrar, todo est
perfecto. Si no puede ingresar, por favor dirigirse antes de seguir adelante.
El svn + ssh :/ / protocolo se utiliza para acceder al repositorio de Subversion usando el cifrado SSL. La
la transferencia de datos se cifran mediante este mtodo. Para acceder al repositorio del proyecto (por ejemplo con
un
compra), deber utilizar la siguiente sintaxis:
Usted debe usar la ruta completa (/ ruta / al / repositorio / proyecto) para acceder al repositorio de Subversion
utilizando
este mtodo de acceso.
Sobre la base de la configuracin del servidor, se le pedir la contrasea. Debe introducir la contrasea que utiliza para
iniciar sesin
a travs de ssh. Cuando se haya autenticado, se comprueba el cdigo desde el repositorio Subversion.
272
3. Servidor CVS
CVS es un sistema de control de versiones. Puede usarlo para grabar la historia de los archivos de
origen.
3,1. Instalacin
Para instalar CVS, ejecute el siguiente comando en una terminal:
Despus de instalar cvs, debe instalar xinetd para iniciar / parar el servidor CVS. Cuando se le indique, introduzca el
el siguiente comando para instalar xinetd:
3,2. Configuracin
Una vez instalado cvs, el repositorio se inicializar automticamente. De forma predeterminada, el repositorio residir
en el directorio / srv / cvs. Puede cambiar esta ruta ejecutando el siguiente comando:
Una vez que el depsito inicial se establece, usted puede configurar xinetd para iniciar el servidor CVS. Usted puede
copiar
las siguientes lneas a la / Etc / xinetd.d / cvspserver archivo.
servicio de cvspserver
{
port = 2401
socket_type = corriente
protocol = tcp
user = root
= sin esperar
type = No Cotizadas
servidor = / usr / bin / cvs
server_args =-f - allow-root / srv / cvs pserver
disable = no
}
Una vez que haya configurado el xinetd podr iniciar el servidor cvs ejecutando el siguiente comando:
Usted puede confirmar que el servidor CVS se est ejecutando el comando siguiente:
273
tcp
0 *: cvspserver
*: * LISTEN
Desde aqu se puede continuar aadiendo usuarios, nuevos proyectos, y gestionar el servidor CVS.
CVS permite al usuario aadir usuarios independientemente del sistema operativo subyacente.
Probablemente
la forma ms sencilla es utilizar los usuarios de Linux para el CVS, aunque tiene problemas de seguridad
potenciales.
Por favor, consulte el manual de CVS para ms detalles.
cd su / proyecto
cvs-d: pserver: username@hostname.com :/ srv / cvs import-m \
"Importacin de mi proyecto al repositorio CVS". nuevo_proyecto inicio
Puede utilizar la variable de entorno CVSROOT para guardar el directorio raz CVS. Una vez que
exportar la variable de entorno CVSROOT, podr evitar el uso de la opcin-d en los cvs de arriba
comando.
La cadena nuevo_proyecto es una etiqueta de vendedor, y comenzar es una etiqueta de versin. Ellos no
sirven a ningn propsito en este
contexto, pero como CVS los requiere, deben estar presentes.
Cuando se agrega un nuevo proyecto, el usuario CVS que utilice deber tener acceso de escritura al CVS
repositorio (/ srv / cvs). De forma predeterminada, el grupo src tiene acceso de escritura al repositorio CVS.
As,
puede agregar el usuario a este grupo, y as l podr aadir y gestionar proyectos en el CVS
repositorio.
274
4. Referencias
Bazaar Pgina de inicio4
Launchpad5
Subversion Pgina de inicio6
Libro de Subversion7
Manual de CVS8
Fcil Bazar pgina Wiki de Ubuntu9
Wiki de Ubuntu la pgina de
Subversion10
4 http://bazaar.canonical.com/en/
5 https://launchpad.net/
6 http://subversion.tigris.org/~~V
7 http://svnbook.red-bean.com/
8 http://ximbiot.com/cvs/manual/cvs-1.11.21/cvs_toc.html
9 https://help.ubuntu.com/community/EasyBazaar
10 https://help.ubuntu.com/community/Subversion
275
276
De red de Windows
1. Introduccin
La creacin de redes con xito su sistema Ubuntu con clientes Windows implica la provisin y
la integracin con los servicios comunes a los entornos de Windows. Estos servicios asistir a la puesta en comn de
datos
y la informacin sobre los equipos y usuarios implicados en la red, y pueden clasificarse en
tres grandes categoras de funcionalidad:
Servicios de archivos e impresoras de uso compartido. Utilizando el Server Message Block (SMB) para facilitar
la el intercambio de archivos, carpetas, volmenes, y la distribucin de impresoras en la red.
Servicios de directorio. El intercambio de informacin vital acerca de los equipos y usuarios de la red con
tecnologas tales como el Lightweight Directory Access Protocol (LDAP) y Microsoft Active
Directory .
De autenticacin y acceso. El establecimiento de la identidad de un equipo o usuario de la red y
determinar la informacin que el equipo o el usuario est autorizado a acceder usando estos principios y
tecnologas como los permisos de archivos, las polticas de grupo, y el servicio de autenticacin Kerberos.
Afortunadamente, su sistema Ubuntu puede proporcionar todas las facilidades a los clientes de Windows y compartir
recursos de la red entre ellos. Una de las principales piezas de su software de sistema de Ubuntu incluye
de red de Windows es la suite de aplicaciones de servidor Samba SMB y herramientas.
Esta seccin de la Gua de Ubuntu Server va a introducir algunos de los casos de uso comunes de Samba,
y cmo instalar y configurar los paquetes necesarios. Documentacin adicional detallada y
informacin sobre Samba se puede encontrar en el Samba pgina web1.
1 http://www.samba.org
277
De red de Windows
2. Servidor de Archivos
Samba
Una de las maneras ms comunes de la red de Ubuntu y Windows es configurar Samba como
un servidor de archivos. Esta seccin abarca la creacin de un servidor Samba para compartir archivos con clientes
Windows.
El servidor se configura para compartir archivos con cualquier cliente de la red sin pedir un
contrasea. Si su entorno requiere estrictos controles de acceso a ver Seccin 4, "Asegurar un servidor Samba
Servidor de archivos e impresin "[p. 283]
2,1. Instalacin
El primer paso es instalar el paquete samba. Desde una terminal escriba:
Eso es todo lo que hay que hacer, que ahora est listo para configurar Samba para compartir
archivos.
2,2. Configuracin
El principal archivo de configuracin de Samba se encuentra en / Etc / samba / smb.conf. El archivo de
configuracin por defecto
tiene una gran cantidad de comentarios con el fin de documentar las diversas directivas de configuracin.
No todas las opciones disponibles se incluyen en el fichero de configuracin por defecto. Vase el smb.conf
el hombre o la pgina de Samba HOWTO Collection2 para ms detalles.
1.
En primer lugar, edite los siguientes pares clave / valor en el [Global] seccin de / Etc / samba /
smb.conf:
Ejemplo de grupo de trabajo
=
...
security = user
Crear una nueva seccin en la parte inferior del archivo, o quite uno de los ejemplos, para el
directorio compartido:
[Compartir]
comment = Compartir Ubuntu servidor de
archivos
path = / srv / samba / share
navegable = yes
guest ok = yes
read only = no
create mask = 0755
2 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/
278
De red de Windows
Ahora que Samba est configurado, el directorio debe ser creado y cambiado los permisos.
Desde un terminal escriba:
4.
Por ltimo, reinicie los servicios samba para habilitar la nueva configuracin:
Una vez ms, la configuracin anterior muestra todo el acceso a cualquier cliente en la red local. Para
una configuracin ms segura ver Seccin 4, "Asegurar un archivo de Samba y servidor de
impresin" [p.
283].
Desde un cliente de Windows ahora debera ser capaz de navegar por el servidor de archivos de Ubuntu y ver la
compartida
directorio. Si el cliente no se presenta de forma automtica su parte, intentar acceder a su servidor por su IP
direccin, por ejemplo, \ \ 192.168.1.1, en una ventana del Explorador de Windows. Para comprobar que todo est
funcionando tratar
la creacin de un directorio de Windows.
Para crear acciones adicionales, simplemente crear nuevos [Dir] secciones en / Etc / samba / smb.confY reinicie
Samba. Slo asegrese de que el directorio que desea compartir existe realmente y son los permisos
corregir.
La cuota de archivo con el nombre "[Share]" y la ruta / Srv / samba / share son slo algunos
ejemplos. Ajustar
la proporcin y la ruta de los nombres que se adaptan a su entorno. Es una buena idea nombrar a una parte
despus de un
3 http://www.pathname.com/fhs/pub/fhs-2.3.html # SRVDATAFORSERVICESPROVIDEDBYSYSTEM
279
De red de Windows
directorio en el sistema de archivos. Otro ejemplo podra ser un nombre de parte de los [Q] con una
trayectoria de
/ Srv / samba / qa.
2,3. Recursos
Para una configuracin ms detallada Samba, consulte la Samba HOWTO Collection4
La gua tambin est disponible en formato impreso5.
O'Reilly Usar el sistema Samba6 es otra buena referencia.
El Wiki de Ubuntu Samba 7 pgina.
4 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/
5 http://www.amazon.com/exec/obidos/tg/detail/-/0131882228
6 http://www.oreilly.com/catalog/9780596007690/
7 https://help.ubuntu.com/community/Samba
280
De red de Windows
3. Samba Servidor de
impresin
Otro uso comn de Samba es configurarlo para compartir impresoras instaladas, ya sea localmente oa travs de
la red, en un servidor de Ubuntu. Similar a Seccin 2, "Servidor de archivos Samba" [p. 278] esta seccin
configurar Samba para permitir que cualquier cliente de la red local para usar las impresoras instaladas sin
solicita un nombre de usuario y contrasea.
Para una configuracin ms segura ver Seccin 4, "Asegurar un archivo de Samba y servidor de impresin" [p.
283].
3,1. Instalacin
Antes de la instalacin y configuracin de Samba es mejor tener ya una instalacin de trabajo de CUPS. Ver
Seccin 4, "CUPS - Servidor de impresin" [p. 231] para ms detalles.
Para instalar el paquete samba, desde una terminal escriba:
3,2. Configuracin
Despus de instalar samba edicin / Etc / samba / smb.conf. Cambie el grupo de trabajo atribuir a lo que
es
adecuada para su red, y el cambio seguridad a usuario:
navegable = yes
guest ok = yes
La configuracin por defecto de Samba automticamente compartir las impresoras instaladas. Simplemente instale
el
la impresora de forma local en los clientes de Windows.
3,3. Recursos
Para una configuracin ms detallada Samba, consulte la Samba HOWTO Collection8
8 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/
281
De red de Windows
La gua tambin est disponible en formato impreso9.
O'Reilly Usar el sistema Samba10 es otra buena referencia.
Asimismo, consulte la Sitio web de CUPS11 para obtener ms informacin sobre la configuracin de CUPS.
El Wiki de Ubuntu Samba 12 pginas.
9 http://www.amazon.com/exec/obidos/tg/detail/-/0131882228
10 http://www.oreilly.com/catalog/9780596007690/
11 http://www.cups.org/~~V
12 https://help.ubuntu.com/community/Samba
282
De red de Windows
guest ok = no
283
De red de Windows
Ahora cuando se conecta a los directorios compartidos o impresoras se le solicitar un nombre de usuario
y una contrasea.
Si decide asignar una unidad de red al recurso compartido se puede comprobar la "Conectar de nuevo al
inicio de sesin"
casilla de verificacin, lo que requerir que introduzca slo el nombre de usuario y contrasea una vez, por
hasta
que los cambios de contrasea.
lo menos
De red de Windows
leer la lista de @ = qa
write list = @ sysadmin, Vicente
usuarios administradores =
melissa
Despus de editar / Etc / samba / smb.conf, Reiniciar Samba para que los cambios surtan
efecto:
reinicio sudo smbd
reinicio sudo nmbd
Para el leer la lista y escribir la lista para trabajar en el modo de seguridad de Samba debe no se establecer
en seguridad =
parte
Ahora que Samba ha sido configurado para limitar los grupos que tienen acceso al directorio compartido, el
los permisos de sistema de ficheros necesitan ser actualizados.
Tradicionales de los permisos de archivos de Linux no se asignan tambin a Windows NT listas de control de acceso
(ACL).
Afortunadamente POSIX ACL estn disponibles en los servidores de Ubuntu que proporcionan un control de grano
ms fino. Para
ejemplo, para habilitar ACLs en / Srv un sistema de archivos ext3, edita / Etc / fstab aadiendo el acl opcin:
UUID = 66bcdd2e-8861-4fb0-b7e4-e61c569fe17d / srv
ext3
En el ejemplo anterior se supone / Srv en una particin separada. Si / Srv, O dondequiera que usted
tiene
configurado la ruta del recurso compartido, es parte de la /particin de un reinicio puede ser
requerida.
Para que coincida con la configuracin de Samba por encima de la administrador de sistemas grupo se le dar
lectura, escritura y ejecucin
permisos a / Srv / samba / share, El qa grupo se le dar lectura y ejecucin, y la
archivos sern propiedad del usuario melissa. Escriba lo siguiente en una terminal:
El comando setfacl anterior muestra ejecutar permisos a todos los archivos de la / Srv / samba / share
directorio, que puede o no quiere.
285
De red de Windows
Ahora desde un cliente Windows usted debe notar los nuevos permisos del archivo se implementan. Ver la ACL
y las pginas setfacl man para obtener ms informacin sobre ACL de POSIX.
Hay perfiles predeterminados para AppArmor / Usr / sbin / smbd y / Usr / sbin / nmbd, El demonio Samba
binarios, como parte de los paquetes apparmor los perfiles. Para instalar el paquete, desde un indicador de la terminal
escriba:
Por defecto, los perfiles de smbd y nmbd estn en quejarse modo de permitir que Samba para trabajar sin
modificar el perfil, y slo el registro de errores. Para colocar el perfil en smbd hacer cumplir modo, y tienen
Samba trabajo como se esperaba, el perfil tendr que ser modificado para reflejar los directorios que se comparten.
Editar / Etc / apparmor.d / usr.sbin.smbd la adicin de informacin para [Compartir] en el ejemplo del servidor
de archivos:
/ Srv / samba / share / r,
/ Srv / samba / share / rwkix **,
Ahora debera ser capaz de leer, escribir y ejecutar archivos en el directorio compartido de forma normal, y el
binaria smbd tendr acceso slo a los archivos y directorios configurados. Asegrese de aadir las entradas de
cada directorio que configurar Samba para compartir. Adems, los errores se registran en / Var / log / syslog.
4,5. Recursos
Para una configuracin ms detallada Samba, consulte la Samba HOWTO Collection14
La gua tambin est disponible en formato impreso15.
O'Reilly Usar el sistema Samba16 es tambin una buena referencia.
Captulo 1817 de la coleccin de HOWTOs de Samba est dedicado a la seguridad.
14 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/
15 http://www.amazon.com/exec/obidos/tg/detail/-/0131882228
16 http://www.oreilly.com/catalog/9780596007690/
17 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html
286
De red de Windows
Para ms informacin sobre Samba y ver la ACL Samba ACL pgina 18.
El Wiki de Ubuntu Samba 19 pginas.
# 18 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/AccessControls.html id397568
19 https://help.ubuntu.com/community/Samba
287
De red de Windows
En primer lugar, instale Samba y libpam-smbpass para sincronizar las cuentas de usuario, escribiendo lo siguiente
en el
una terminal:
sudo apt-get install samba libpam-smbpass
2.
A continuacin, configure Samba editando / Etc / samba / smb.conf. La seguridad modo se debe
establecer en
usuario, y el grupo de trabajo deben estar relacionados con su organizacin:
Ejemplo de grupo de trabajo
=
...
security = user
3.
En el coment: "Dominios" seccin de agregar o descomentar la siguiente (la ltima lnea ha sido
divididos de acuerdo al formato de este documento):
Si usted no desea usar Perfiles mviles dejar el de inicio de sesin en casa y inicio de sesin de
ruta opciones
coment.
los inicios de sesin de dominio: ofrece el servicio netlogon causando a Samba actuar como un controlador
de dominio.
inicio de sesin de ruta: coloca el perfil del usuario de Windows en su directorio personal. Tambin es
posible
configurar un [Perfiles] compartir la colocacin de todos los perfiles en un solo directorio.
inicio de sesin de la unidad: especifica la ruta de directorio
local.
de inicio de sesin de inicio: especifica la ubicacin del
directorio principal.
inicio de sesin de secuencia de comandos: determina la secuencia de comandos que se ejecutan de forma
local, una vez que un usuario ha iniciado sesin pulg El script necesita
para ser colocado en el [Netlogon] accin.
288
De red de Windows
5.
Cuando se configura como un controlador de dominio una [Netlogon] participacin tiene que ser configurado. Para
permitir que el
accin, quite los comentarios:
[Netlogon]
un comentario de la red = servicio de
inicio de sesin
path = / srv / samba / netlogon
guest ok = yes
read only = yes
share modes = no
El original netlogon ruta del recurso compartido es / Home / samba / netlogon, Pero de acuerdo con
el
Filesystem Hierarchy Standard (FHS), / Srv20 es la ubicacin correcta de datos especficos del sitio
proporcionada por el sistema.
6.
Ahora crea el netlogon directorio, y vaciar una (por ahora) logon.cmd archivo de script:
Puede acceder a todos los comandos de script de Windows normales de inicio de sesin en el logon.cmd
para
personalizar
entorno
de cliente.el
7.
8.
Por ltimo, hay algunos comandos adicionales necesarios para configurar los derechos
correspondientes.
Con raz est desactivada por defecto, con el fin de unirse a una estacin de trabajo al dominio, un grupo de
sistemas
se debe asignar a la carpeta Windows Administradores de dominio grupo. Uso de la utilidad neta, desde un
terminal
escriba:
# 20 http://www.pathname.com/fhs/pub/fhs-2.3.html SRVDATAFORSERVICESPROVIDEDBYSYSTEM
289
De red de Windows
sudo add neta groupMap ntgroup = "Administradores de dominio" unixgroup = sysadmin rid = 512 type = d
Cambiar administrador de sistemas a cualquier grupo que prefiera. Adems, el usuario utiliza para
unir el dominio
necesidades a ser un miembro de la administrador de sistemas grupo, as como un miembro del
sistema
administracin
grupo. La
administracin grupo permite el uso de
sudo.
Si el usuario no tiene credenciales de Samba, sin embargo, usted puede agregar a la smbpasswd
utilidad, cambiar el administrador de sistemas nombre de usuario de forma adecuada:
Adems, los derechos deben ser explcitamente a la Administradores de dominio grupo para permitir que el
agregar la mquina
guin (Y otras funciones de administracin) para trabajar. Esto se logra mediante la ejecucin de:
net rpc los derechos de subvencin-U administrador de sistemas "EJEMPLO \ Administradores de dominio"
SeMachineAccountPrivilege \
SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \
SeRemoteShutdownPrivilege
9.
Ahora debera ser capaz de unirse a los clientes de Windows con el dominio de la misma manera como unirse
a un dominio NT4 que se ejecuta en un servidor Windows.
2.
3.
290
De red de Windows
4.
Asegrese de que el usuario tiene derechos para leer los archivos en / Var / lib / samba. Por ejemplo, para
permitir a los usuarios en
la administracin grupo scp los archivos, escriba:
sudo chgrp-R admin / var / lib / samba
5.
A continuacin, sincronizar las cuentas de usuario, usando scp para copiar el / Var / lib / samba directorio
del PDC:
sudo scp-r usuario @ pdc :/ var / lib / samba / var / lib
6.
Reemplazar Nombre de usuario con un nombre de usuario y PDC con la Direccin de host o
direccin IP del
el PDC real.
Por ltimo, reiniciar samba:
Usted puede probar que el controlador de dominio de copia de seguridad est trabajando por detener el demonio de
Samba en el
PDC, luego tratar de acceder a un cliente de Windows unido al dominio.
Otra cosa a tener en cuenta es si se ha configurado el de inicio de sesin en casa opcin como un directorio en el
PDC y el PDC no est disponible, el acceso al usuario de Casa unidad tambin estar disponible. Para
esta razn lo mejor es configurar el de inicio de sesin en casa a residir en un servidor de archivos independiente de
la PDC y
BDC.
5,3. Recursos
Para una configuracin ms detallada Samba, consulte la Samba HOWTO Collection21
La gua tambin est disponible en formato impreso22.
O'Reilly Usar el sistema Samba23 es tambin una buena referencia.
Captulo 424 de la coleccin de HOWTOs de Samba explica la creacin de un controlador de dominio principal.
Captulo 525 de la coleccin de HOWTOs de Samba explica la creacin de un controlador de dominio de copia de seguridad.
El Wiki de Ubuntu Samba 26 pginas.
21 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/
22 http://www.amazon.com/exec/obidos/tg/detail/-/0131882228
23 http://www.oreilly.com/catalog/9780596007690/
24 http://samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-pdc.html
25 http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-bdc.html
26 https://help.ubuntu.com/community/Samba
291
De red de Windows
Ahora debera ser capaz de acceder a los recursos compartidos de Samba desde un cliente Windows. Sin embargo,
asegrese de dar
los usuarios de AD o de acceso adecuados a los grupos el directorio compartido. Ver Seccin 4, "Asegurar un
servidor Samba
Servidor de archivos e impresin "[p. 283] para ms detalles.
Tambin es posible acceder a recursos compartidos en los equipos que no forman parte de un dominio de AD,
pero un nombre de usuario y
contrasea tendr que ser proporcionado.
27 http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-guide.html
292
De red de Windows
Para montar el recurso compartido en el lugar de arranque de una entrada en / Etc / fstab,
Por ejemplo:
/ / 192.168.0.5/share / mnt / windows cifs auto, username = Steve, password = secreto, rw 0
Otra forma de copiar archivos desde un servidor Windows es utilizar la herramienta smbclient. Para listar los archivos
en
un recurso compartido de
Windows:
smbclient / / fs01.example.com/share-k-c "ls"
smbclient / / fs01.example.com/share-k
6,3. Recursos
Para obtener ms opciones smbclient consulte la pgina: el hombre smbclient, tambin disponible en
lnea28.
Los mount.cifs La pgina man29 es tambin til para obtener informacin ms detallada.
La Wiki de Ubuntu Samba 30 pginas.
28 http://manpages.ubuntu.com/manpages/precise/en/man1/smbclient.1.html
29 http://manpages.ubuntu.com/manpages/precise/en/man8/mount.cifs.8.html
30 https://help.ubuntu.com/community/Samba
293
294
Copias de
seguridad
1. Shell Scripts
Una de las maneras ms sencillas de copia de seguridad de un sistema que se utiliza un script de shell. Por ejemplo,
una
comandos
se de
puede
utilizar
parasecuencia
configurardelos
directorios
copia
de seguridad, y pasar esos directorios como argumentos de la utilidad tar,
que crea un archivo. El archivo histrico se puede mover o copiar a otra ubicacin. La
archivo tambin se puede crear en un sistema de archivos remoto, como un NFS montar.
La utilidad tar crea un archivo de almacenamiento de archivos o directorios. tar tambin puede filtrar los archivos
a travs de herramientas de compresin, lo que reduce el tamao del archivo de almacenamiento.
#! / Bin / sh
# # # # # # # # # # # # # # # # # # # # # # # #
# # # # # # # # # # # #
#
# Copia de seguridad en NFS guin de
montaje.
#
# # # # # # # # # # # # # # # # # # # # # # # #
# # # # # # # # # # # #
# Qu hacer copias de seguridad.
backup_files = "/ home / var / spool / mail / etc / root / boot / opt"
295
Copias de
seguridad
$ Backup_files: una lista variable de los directorios que desea respaldar. La lista debe ser
personalizado para adaptarse a sus necesidades.
$ Da: una variable que contiene el da de la semana (lunes, martes, mircoles, etc.) Esto se utiliza para
crear un archivo por cada da de la semana, dando un historial de copia de seguridad de siete das. Hay
otras formas de lograr esto incluyendo el uso de la utilidad de la fecha.
$ Nombre de host: variable que contiene el corto nombre de host del sistema. Usando el nombre de host en el
archivo de nombre de archivo que da la opcin de colocar archivos diarios de mltiples sistemas en el
mismo directorio.
$ Archive_file: el nombre del archivo completo.
$ Dest: destino del archivo de almacenamiento. El directorio debe ser creado y en este caso montado
antes de ejecutar el script. Ver Seccin 2, "Network File System (NFS)" [p. 226] para
detalles de la utilizacin NFS.
mensajes de estado: Mensajes opcional en la consola con la utilidad del eco.
tar CZF $ dest / $ $ archive_file backup_files: el comando tar para crear el archivo histrico.
c: crea un archivo.
z: filtrar el archivo a travs de la utilidad gzip comprimir el archivo.
f: de salida en un archivo histrico. Contrario, la salida de alquitrn se enviar a STDOUT.
ls-lh $ dest: sentencia opcional que imprime una -L larga lista de -H formato legible por humanos del destino
directorio. Esto es til para un chequeo rpido de tamao de archivo del archivo de almacenamiento. Esta
comprobacin no debe sustituir a
probar el archivo de
almacenamiento.
Este es un ejemplo sencillo de un script de shell de copia de seguridad, sin embargo hay muchas opciones que
pueden ser
incluido en una secuencia de comandos. Ver Seccin 1.4, "Referencias" [p. 298] de enlaces a recursos que
proporcionan
ms a fondo la informacin de secuencias de comandos de shell.
Esta es una gran manera de probar el script para asegurarse de que todo funciona como se
esperaba.
1.2.2. Ejecutando con cron
La utilidad cron se pueden utilizar para automatizar la ejecucin del script. El demonio cron permite la ejecucin
de scripts o comandos, en una hora y fecha.
cron se configura a travs de las entradas de una crontab archivo. crontab ficheros se dividen en campos:
296
Copias de
seguridad
comando
sudo crontab-e
Utilizar sudo con el comando crontab-e edita la raz crontab del usuario. Esto es necesario si
va a realizar copias de seguridad de directorios slo el usuario root tiene acceso.
Agregue la siguiente entrada a la crontab archivo:
comando
El guin backup.sh ahora se ejecutar todos los das a las 12:00 am.
El guin backup.sh tendr que ser copiado en el / Usr / local / bin / directorio para que
esta entrada se ejecute correctamente. El script puede residir en cualquier parte del sistema de archivos,
simplemente
cambiar la ruta del script adecuadamente.
Para obtener ms en profundidad las opciones de crontab vea Seccin 1.4,
"Referencias" [p. 298].
297
Copias de
seguridad
La -C opcin de tar redirige los archivos extrados en el directorio especificado. El resultado del ejemplo
extraer el / Etc / hosts presentar a la / Tmp / etc / hosts. tar recrea la estructura de directorios que contiene.
Tambin, observe el lder "/" se deja fuera de la ruta del archivo a restaurar.
Para restaurar todos los archivos en el archivo escriba lo siguiente:
cd /
sudo tar-xzvf / mnt / backup / host Monday.tgz
1,4. Referencias
Para ms informacin sobre secuencias de comandos shell ver el Advanced Bash-Scripting
Guide1
El libro Aprendiendo Programacin Shell en 24 horas2 est disponible en lnea y un gran recurso
de secuencias de comandos shell.
El CronHowto pgina wiki3 contiene informacin sobre las opciones avanzadas de cron.
Consulte el GNU tar Manual4 para ms opciones de alquitrn.
La Wikipedia Esquema de rotacin de copia de seguridad5 El artculo contiene informacin sobre la rotacin de copia de seguridad de
otros
esquemas.
La secuencia de comandos de shell usa tar para crear el archivo, pero hay muchas otras utilidades de lnea de
comandos que puede
ser utilizado. Por ejemplo:
cpio6: se utiliza para copiar archivos desde y hacia archivos.
dd7: parte del paquete coreutils. Una utilidad de bajo nivel que puede copiar datos de un formato a
otro.
rsnapshot8: un sistema de archivo de la utilidad instantnea que permite crear copias de un sistema de archivos.
rsync9: una herramienta flexible que permite crear copias incrementales de archivos.
1 http://tldp.org/LDP/abs/html/
2 http://safari.samspublishing.com/0672323583
3 https://help.ubuntu.com/community/CronHowto
4 http://www.gnu.org/software/tar/manual/index.html
5 http://en.wikipedia.org/wiki/Backup_rotation_scheme
6 http://www.gnu.org/software/cpio/
7 http://www.gnu.org/software/coreutils/
8 http://www.rsnapshot.org/~~V
9 http://www.samba.org/ftp/rsync/rsync.html
298
Copias de
seguridad
2. Archivo de rotacin
El script de shell en el Seccin 1, "Secuencias de comandos de Shell" [p. 295] slo permite siete archivos
diferentes.
Paradatos
una no cambian a menudo, esto puede ser suficiente. Si el servidor tiene una gran cantidad de datos, un
servidor cuyos
esquema de rotacin ms compleja se debe utilizar.
#! / Bin / bash
# # # # # # # # # # # # # # # # # # # # # # # #
# # # # # # # # # # # #
#
# Copia de seguridad en NFS guin de montaje
con
# Abuelo-padre-hijo de la rotacin.
#
# # # # # # # # # # # # # # # # # # # # # # # #
# # # # # # # # # # # #
# Qu hacer copias de seguridad.
backup_files = "/ home / var / spool / mail / etc / root / boot / opt"
299
Copias de
seguridad
# Encuentra si el mes es par o impar.
month_num = $ (date +% m)
mes = $ (expr $ month_num% 2)
if [$ mes-eq 0], y luego
month_file = "$ host-month2.tgz"
ms
month_file = "$ host-month1.tgz"
fi
# Creacin de nombre de archivo.
if [$ day_num == 1], y luego
archive_file = $ month_file
elif [$ day = "Sbado"!], y luego
archive_file = "$ $ hostname-day.tgz"
ms
archive_file = $ week_file
fi
La secuencia de comandos se pueden ejecutar con los mismos mtodos que en el Seccin 1.2, "Ejecucin de la
secuencia de comandos" [p. 296].
Es una buena prctica para tomar los medios de copia de seguridad fuera de sitio en caso de un desastre. En el
ejemplo del script de shell
copia de seguridad de los medios de comunicacin es otro servidor que proporciona una comparticin NFS. Con
toda probabilidad, teniendo que el servidor NFS
otro lugar no sera prctico. Dependiendo de la velocidad de conexin puede ser una opcin para
copie el archivo en un enlace WAN a un servidor en otro lugar.
Otra opcin es copiar el archivo en un disco duro externo que puede ser tomado fuera de sitio.
Dado que el precio de los discos duros externos continan disminuyendo, puede ser rentable el uso de dos unidades
para cada nivel de archivo. Esto le permite tener un disco duro externo conectado al servidor de copia de seguridad
y una en otra ubicacin.
Copias de
seguridad
Cuando se utiliza una unidad de cinta, las porciones de nombre de archivo de la secuencia de comandos no son
necesarios porque los datos se envan
directamente al dispositivo de cinta. Algunos comandos para manipular la cinta se necesitan. Esto se logra
utilizando toneladas, un control de cinta magntica parte de la utilidad del paquete cpio.
Aqu est el script de shell modificado para utilizar una unidad
de cinta:
#! / Bin / bash
# # # # # # # # # # # # # # # # # # # # # # # #
# # # # # # # # # # # #
#
# Copia de seguridad de secuencia de comandos
de la unidad de cinta.
#
# # # # # # # # # # # # # # # # # # # # # # # #
# # # # # # # # # # # #
# Qu hacer copias de seguridad.
backup_files = "/ home / var / spool / mail / etc / root / boot / opt"
El nombre del dispositivo por defecto para una unidad de cinta SCSI es / Dev/st0. Utilice la ruta de
dispositivo adecuado
para su sistema.
Restauracin a partir de una unidad de cinta es bsicamente la misma que la restauracin de un archivo. Basta con
rebobinar la cinta y
utilizar la ruta de dispositivo en lugar de una ruta de archivo. Por ejemplo, para restaurar el / Etc / hosts presentar a
los
la / ejrcitos
Tmp / etc: /
301
Copias de
seguridad
3. Bacula
Bacula es un programa de copia de seguridad que le permite realizar copias de seguridad, restaurar y verificar los
datos
en la red.
Hay clientes
de Bacula para Linux, Windows y Mac OS X - por lo que es una red multi-plataforma
solucin de ancho.
3,1. Informacin
general
Bacula se compone de varios componentes y servicios utilizados para administrar los archivos de copia de
seguridad y
ubicaciones de copia de seguridad:
Bacula Director: un servicio que controla todas las copias de seguridad, restaurar, verificar, y las
operaciones de archivo.
Consola de Bacula: una aplicacin que permite la comunicacin con el Director. Hay tres versiones
de la consola:
Texto de comandos basado en la versin de
lnea.
Gnome basada en GTK + Interfaz grfica de usuario (GUI) de la interfaz.
wxWidgets interfaz grfica de usuario.
Bacula File: tambin conocido como el programa cliente de Bacula. Esta aplicacin se instala en las mquinas para
una copia de seguridad, y es responsable de los datos solicitados por el Director.
Bacula Storage: los programas que llevan a cabo el almacenamiento y recuperacin de datos a los medios fsicos.
Catlogo de Bacula: es responsable de mantener los ndices de archivos y bases de datos de volumen para todos los
archivos
una copia de seguridad, lo que permite una rpida localizacin y restauracin de archivos comprimidos. El
Catlogo soporta tres
diferentes bases de datos MySQL, PostgreSQL y SQLite.
Bacula Monitor: permite la supervisin del Director, los demonios de archivos, y los demonios de
almacenamiento.
Actualmente, el monitor slo est disponible como una aplicacin GTK + GUI.
Estos servicios y aplicaciones pueden ejecutarse en mltiples servidores y clientes, o se puede instalar en
una mquina, si la copia de seguridad de un solo disco o volumen.
3,2. Instalacin
Si se utiliza MySQL o PostgreSQL como base de datos, usted ya debe contar con los servicios
disponible. Bacula no los instala por ti.
Hay varios paquetes que contienen los diferentes componentes de Bacula. Para instalar Bacula, desde un
terminal introduzca:
Por defecto la instalacin del paquete bacula utilizar una base de datos MySQL para el Catlogo. Si desea
usar SQLite o PostgreSQL, para el Catlogo, instale bacula-director-sqlite3 o bacula-director-pgsql
respectivamente.
302
Copias de
seguridad
Durante el proceso de instalacin se le pedir que proporcione las credenciales de la base de datos administrador y
la bacula base de datos propietario. El administrador de base de datos tendr que tener los derechos adecuados para
crear una base de datos, consulte Seccin 1, "MySQL" [p. 206] para ms informacin.
3,3. Configuracin
Bacula archivos de configuracin se basa en el formato recursos que comprende de directivas rodeado por
"{}" Llaves. Cada componente de Bacula tiene un archivo individual en el / Etc / bacula directorio.
Los diversos componentes de Bacula deben autorizar el uno al otro. Esto se logra utilizando
la contrasea Directiva. Por ejemplo, el Almacenamiento recurso clave en la / Etc/bacula/baculadir.conf archivo debe coincidir con el Director de los recursos clave en / Etc / bacula / bacula-sd.conf.
Por defecto, el trabajo de copia de seguridad denominado Cliente1 est configurado para archivar el catlogo de
Bacula. Si usted planea en
utilizando el servidor de copia de seguridad de ms de un cliente debe cambiar el nombre de este trabajo a algo
ms descriptivo. Para cambiar los nombres de edicin / Etc / bacula / bacula-dir.conf:
#
# Definir la principal tarea de copia de seguridad nocturna
de ahorro
# Por defecto, este trabajo ser una copia de seguridad en
Job
{
el disco
en
Name = "BackupServer"
JobDefs = "DefaultJob"
Escribir Bootstrap = "/ var/lib/bacula/Client1.bsr"
}
El ejemplo anterior cambia el nombre de trabajo que BackupServer juego de acogida de la mquina
nombre. Vuelva a colocar "BackupServer" con su nombre descriptivo apropiado nombre de host, o de otro
tipo.
La Consola se puede utilizar para consultar el Director acerca de los trabajos, pero para utilizar la consola con un no
root
usuario, el usuario tiene que estar en el bacula grupo. Para aadir un usuario al grupo bacula introduzca lo siguiente
desde un terminal:
Reemplazar $ Nombre de usuario con el nombre de usuario real. Adems, si va a agregar el usuario actual
a la
grupo que debe salir y volver en el de los nuevos permisos para tener efecto.
303
Copias de
seguridad
Tipo de papel = DDS-4
Archivo Device = / dev/st0
Finales del hardware de medio = no;
AutomaticMount = yes;
AlwaysOpen = S;
RemovableMedia = yes;
RandomAccess = no;
Alerta Comando = "sh-c 'tapeinfo-f% c | grep TapeAlert'"
}
El ejemplo es para un DDS-4 la unidad de cinta. Ajuste el "Tipo de papel" y "Dispositivo de Archivo" para que
coincida con
su hardware.
Tambin puede descomentar uno de los otros ejemplos en el archivo.
Despus de la edicin / Etc / bacula / bacula-sd.conf el demonio de almacenamiento tendr que ser
reiniciado:
sudo / etc / init.d / bacula-sd reiniciar
SDPort = 9103
Password = "Cv70F6pf1t6pBopT4vQOnigDrR0v3LT3Cgkiyjc"
Device = "cinta"
Tipo de soporte de cinta =
}
La Direccin Directiva debe ser el nombre de dominio completo (FQDN) del servidor. Cambiar
backupserver al nombre de host real.
Adems, asegrese de que el Contrasea Directiva coincide con la cadena de contrasea en el /
Etc/bacula/baculasd.conf.
304
Copias de
seguridad
}
Este Conjunto de archivos se copia de seguridad del / Etc y / Home directorios. La Opciones directivas de
recursos
configurar
el conjunto
de archivos para crear una firma MD5 para cada archivo de copia de seguridad, y para comprimir
los archivos a travs de
GZIP.
A continuacin, cree un nuevo Programar para el trabajo de
copia de seguridad:
# LocalhostBackup Calendario - diario.
Horario {
Name = "LocalhostDaily"
Ejecutar todos los das = completo
a las 00:01
}
La tarea se ejecutar todos los das a las 00:01 oa las 12:01 am. Hay muchas otras opciones de
programacin
disponible.
Por ltimo crear la Trabajo:
etiqueta
305
Copias de
seguridad
Felicidades, usted ha configurado ahora Bacula una copia de seguridad de la mquina local a una unidad de cinta
adhesiva.
3,5. Recursos
Para obtener ms Bacula opciones de configuracin se refieren a la Manual del usuario de
Bacula10
El Bacula Pgina de inicio11 contiene las ltimas noticias y desarrollos de Bacula.
Asimismo, consulte la Bacula Wiki de Ubuntu12 pginas.
10 http://www.bacula.org/en/rel-manual/index.html
11 http://www.bacula.org/~~V
12 https://help.ubuntu.com/community/Bacula
306
307
Virtualizacin
1. libvirt
La biblioteca libvirt se utiliza para interactuar con diferentes tecnologas de virtualizacin. Antes de empezar
con libvirt lo mejor es asegurarse de que su hardware es compatible con las extensiones de virtualizacin necesarios para
KVM. Escriba lo siguiente en una terminal:
kvm-ok
Para habilitar los servidores externos para acceder directamente a los servicios en las mquinas virtuales de un puente
necesidades para ser
configurado. Esto permite que las interfaces virtuales para conectarse a la red exterior a travs de la fsica
interfaz, haciendo que aparezcan como anfitriones normales al resto de la red. Para obtener informacin sobre
un puente de ver Seccin 1.4, "Puente" [p. 39].
1,2. Instalacin
Para instalar los paquetes necesarios, de una terminal escriba:
Despus de instalar libvirt-bin, el usuario utiliza para administrar mquinas virtuales tendr que ser aadido a la
libvirtd grupo. Si lo hace, concede al usuario el acceso a las opciones avanzadas de red.
En una terminal escriba:
Si el usuario elige es el usuario actual, tendr que salir y volver a entrar para el nuevo grupo
pertenencia a surtir efecto.
Ahora est listo para instalar un Invitado el sistema operativo. Instalacin de una mquina virtual sigue el mismo
procesar como instalar el sistema operativo directamente en el hardware. Usted necesita una manera de automatizar
la instalacin, o un teclado y el monitor tendr que ser conectado a la mquina fsica.
308
Virtualizacin
En el caso de las mquinas virtuales de una interfaz grfica de usuario (GUI) es anlogo al uso de una fsica
teclado y el ratn. En lugar de instalar una interfaz grfica de usuario de la aplicacin virt-viewer se puede utilizar
para conectar
a la consola de una mquina virtual usando VNC. Ver Seccin 1.6, "Visor Virtual Machine" [p. 311] para
ms informacin.
Hay varias maneras de automatizar el proceso de instalacin de Ubuntu, por ejemplo usando preseeds,
kickstart, etc, consultar el Gua de instalacin de Ubuntu1 para ms detalles.
Sin embargo, otra forma de instalar una mquina virtual de Ubuntu es el uso de ubuntu-vm-builder. ubuntu-vm-builder
le permite configurar particiones avanzadas, ejecutar instalacin personalizada post-scripts, etc Para ms detalles ver
Seccin 2, "JeOS y vmbuilder" [p. 313]
1,3. virt-install
virt-install es parte del paquete de virtinst. Para instalarlo, en una terminal escriba:
309
Virtualizacin
1,4. virt-clone
La aplicacin virt-clone se puede usar para copiar una mquina virtual a otro. Por ejemplo:
El estado mquinas virtuales de se pueden guardar en un archivo con el fin de ser restaurado ms tarde. El siguiente
guardar el estado de la mquina virtual en un archivo con el nombre de acuerdo a la fecha:
Virtualizacin
En los ejemplos anteriores reemplazar web_devel con el nombre de la mquina virtual correspondiente, y
web_devel-022708.state con un nombre de archivo descriptivo.
1.5.2. Virtual Machine Manager
El paquete virt-manager contiene una utilidad grfica para administrar mquinas virtuales locales y remotos.
Para instalar virt-manager escriba:
Desde virt-manager requiere una interfaz de usuario grfica (GUI) el medio ambiente, se recomienda
ser instalado en una estacin de trabajo o una mquina de ensayo en lugar de un servidor de produccin. Para
conectarse a la configuracin
servicio de libvirt escriba:
Puede conectarse al servicio de libvirt que se ejecuta en otro host, escriba lo siguiente en una terminal
del sistema:
311
Virtualizacin
Una vez que una mquina virtual est instalado y funcionando se puede conectar a la consola de la mquina virtual de
mediante:
Al igual que en virt-manager, virt-viewer puede conectarse a un host remoto a travs de SSH con autenticacin de
clave,
as:
virt-viewer-c qemu + ssh :/ / web_devel virtnode1.mydomain.com/system
1,7. Recursos
Consulte el KVM2 tu pgina de inicio para ms detalles.
Para ms informacin sobre libvirt ver el pgina de inicio libvirt3
El Virtual Machine Manager4 sitio tiene ms informacin sobre el desarrollo de virt-manager.
Adems, pasar por la # Ubuntu-virt Canal de IRC en freenode5 para discutir la tecnologa de virtualizacin en el
Ubuntu.
Otro buen recurso es la Wiki de Ubuntu KVM6 pgina.
2 http://kvm.qumranet.com/kvmwiki
3 http://libvirt.org/~~V
4 http://virt-manager.et.redhat.com/
5 http://freenode.net/
6 https://help.ubuntu.com/community/KVM
312
Virtualizacin
2. JeOS y vmbuilder
2,1. Introduccin
2.1.1. Qu es JeOS
Ubuntu JeOS (Pronunciado "Juice") es una variante eficaz del sistema operativo Ubuntu Server,
configurado especficamente para dispositivos virtuales. Ya no est disponible como un CD-ROM ISO para su
descarga,
pero slo como una opcin ya sea:
Durante la instalacin de la ISO Server Edition (presionando F4 en la primera pantalla le permitir elegir
"Instalacin mnima", que es la seleccin de paquetes equivalentes a JeOS).
O que se construirn con vmbuilder de Ubuntu, que se describe aqu.
JeOS es una instalacin especializada de Ubuntu Server Edition con un ncleo ajustado que slo contiene el
elementos bsicos necesarios para ejecutar en un entorno virtualizado.
Ubuntu JeOS ha sido adaptado para aprovechar las tecnologas clave de rendimiento en la ltima
productos de virtualizacin de VMware. Esta combinacin de tamao reducido y un rendimiento optimizado
asegura que Ubuntu JeOS Edition proporciona un uso altamente eficiente de los recursos del servidor en el virtual
grande
despliegues.
Sin controladores innecesarios, y slo los paquetes requeridos mnimos, los ISVs pueden configurar su
apoyo operativo tal y como requieren. Ellos tienen la tranquilidad de saber que las actualizaciones, ya sea para la
seguridad
o por razones de mejora, se limitar a la cantidad mnima de lo que se requiere en su especfica
medio ambiente. A su vez, los usuarios que utilicen los equipos virtuales creados por encima de JeOS tendr que pasar
por
un menor nmero de actualizaciones y mantenimiento por lo tanto, menos de lo que han tenido que con un
completo estndar
la instalacin de un servidor.
2.1.2. Qu es vmbuilder
Con vmbuilder, no hay necesidad de descargar una ISO de JeOS ms. vmbuilder obtendr los diversos
empaquetar y construir una mquina virtual adaptada a sus necesidades en un minuto. vmbuilder es una secuencia de
comandos
que automatiza el proceso de crear una mquina virtual lista para su uso basado en Linux. El apoyo en la actualidad
hipervisores son KVM y Xen.
Puede pasar las opciones de lnea de comandos para agregar paquetes adicionales, eliminar paquetes, seleccione la
versin
de Ubuntu, que reflejan etc En reciente de hardware con un montn de memoria RAM, en tmpdir / Dev / shm o
utilizando un
tmpfs, y un espejo local, puede arrancar una mquina virtual en menos de un minuto.
Presentado por primera vez como un script de shell en Ubuntu 8.04 LTS, Ubuntu-vm-builder comenz con poco
nfasis
como un truco para ayudar a los desarrolladores probar su nuevo cdigo en una mquina virtual sin tener que reiniciar
desde
cero
vez.y adaptndolo
Como algunos
administradores
Ubuntu
a notar
secuencia
deycomandos, algunos de
en la cada
mejora
para
el caso de usode
tantos
que comenz
Soren Hansen
(elesta
autor
del guin
ellos
fueron
Especialista en virtualizacin de Ubuntu, no el jugador de golf) decidi volver a escribir desde cero para Intrepid como
un script en Python con un nuevo diseo de los objetivos ltimos:
313
Virtualizacin
Si est ejecutando Hardy, todava se puede realizar la mayor parte de esta utilizando la versin anterior de
la
paquete llamado ubuntu-vm-builder, hay slo unos pocos cambios en la sintaxis de la herramienta.
314
Virtualizacin
sudo vmbuilder kvm ubuntu - suite precisa - el sabor virtual - i386 arco
-O - libvirt qemu :/ / / sistema de
La - Suite define la versin de Ubuntu, la - Sabor especifica que queremos utilizar el ncleo virtual de
(Que es el que se utiliza para construir una imagen JeOS), la - Arco de dice que desea utilizar una mquina de 32 bits, el
odice vmbuilder para sobrescribir la versin anterior de la mquina virtual y la - Libvirt dice que informar a la local,
entorno de virtualizacin para agregar la mquina virtual resultante a la lista de mquinas disponibles.
Notas:
Debido a la naturaleza de las operaciones realizadas por vmbuilder, es necesario tener privilegios de root, por lo tanto,
el uso de sudo.
Si la mquina virtual necesita usar ms de 3 GB de RAM, se debe construir una mquina de 64 bits (arco de amd64).
Hasta que Ubuntu 8.10, el kernel virtual fue construido slo para la arquitectura de 32 bits, as que si quieres definir
una mquina amd64 en Hardy, usted debe utilizar - Sabor servidor en lugar.
2.3.2. JeOS los parmetros de instalacin
2.3.2.1. JeOS Red
2.3.2.1.1. Asignacin de una direccin IP fija
Como un dispositivo virtual que puede ser implementado en varias redes muy diferentes, es muy difcil
saber cul es el real de la red se ver as. Con el fin de simplificar la configuracin, es una buena idea
adoptar un enfoque similar a lo que los vendedores de hardware de red suelen hacer, es decir, la asignacin de un
la direccin inicial de IP fija para el aparato en una red de clase privada que se le dio en su
documentacin. Una direccin en el rango de 192.168.0.0/255 suele ser una buena opcin.
315
Virtualizacin
2.3.2.1.2. Bridging
Debido a que nuestro aparato es probable que haya necesidad de acceder a mquinas remotas, es necesario
configurar
libvirt, para que el aparato utiliza las redes puente. Para ello, agregue el - Puente opcin para el
comando:
sudo vmbuilder kvm ubuntu - suite precisa - el sabor virtual - i386 arco de \
-O - libvirt qemu :/ / system / - IP 192.168.0.100 - myvm nombre de host - puente br0
Usted tendr que configurar previamente una interfaz de puente, consulte Seccin 1.4, "Puente" [p.
39] para ms informacin. Adems, si el nombre de la interfaz es diferente cambio br0 a la real
puente de la interfaz.
2.3.2.2. Particiones
Particin de la aplicacin virtual tendr que tener en cuenta lo que usted est planeando hacer
con lo es. Debido a que la mayora de los aparatos quieren tener un dispositivo de almacenamiento independiente para
los datos, con una separada / Var
tendra sentido.
Con el fin de hacer esto vmbuilder nos proporciona - Parte:
- Parte de la ruta
Le permite especificar una tabla de particiones en un archivo de la particin, ubicado en el
path. Cada
lnea del archivo de la particin debera especificar (root):
punto de montaje de tamao
donde el tamao es en megabytes. Puede tener hasta 4 discos virtuales, un nuevo disco se inicia
en una lnea con '---'. es decir:
raz de 1000
/ Opt 1000
intercambian 256
--/ Var 2000
/ Log 1500
En nuestro caso vamos a definir un nombre de archivo de texto vmbuilder.partition que contendr lo siguiente:
raz de 8000
intercambiar 4000
---
316
Virtualizacin
/ Var 20000
Tenga en cuenta que como estamos usando imgenes de disco virtuales, los tamaos reales que ponemos aqu
es mxima
dimensiones para estos volmenes.
Nuestra lnea de comandos ahora se ve as:
sudo vmbuilder kvm ubuntu - suite precisa - el sabor virtual - i386 arco de \
-O - libvirt qemu :/ / system / - IP 192.168.0.100 - myvm nombre de host - vmbuilder.partition parte
El uso de un "\" en un comando permitir largas cadenas de mando pase a la siguiente lnea.
317
Virtualizacin
- Addpkg PKG
Instalar PKG en el husped (se puede cia especificados varias veces)
Sin embargo, debido a la forma vmbuilder opera, paquetes que tienen que hacer preguntas al usuario durante
la fase posterior a la instalacin no son compatibles y en su lugar se debe instalar, mientras que la interactividad puede
ocurrir.
Este es el caso de LimeSurvey, que vamos a tener que instalar ms tarde, una vez que el usuario inicia
sesin
Otros paquetes que se haga la pregunta debconf sencilla, como mysql-server pidiendo para establecer una contrasea, la
paquete se puede instalar de inmediato, pero vamos a tener que volver a configurar la primera vez que el usuario inicia
sesin
Si algunos paquetes que tenemos que instalar no se encuentran en principal, tenemos que activar los repositorios
adicionales
con - comp y - ppa:
- Los componentes COMP1, COMP2, ..., COMPN
Una lista separada por comas de los componentes de tu distribucin para incluir (por ejemplo
principal, el universo).
El valor predeterminado es "principal"
- Ppa = PPA Aadir ppa que pertenece a la APP en la sources.list de la mquina virtual.
Limesurvey no ser parte del archivo en el momento, vamos a especificar que es PPA (Personal Package
archivo) direccin de modo que se aade a la VM / Etc / apt / source.list, Por lo que se aade el siguiente
opciones a la lnea de comandos:
Una vez completado esto, su (vaca) de proxy est listo para su uso en http://mirroraddress:9999 y encontrarn
Ubuntu repositorio bajo / ubuntu. Para vmbuilder usarlo, vamos a tener que utilizar el - Espejo opcin:
- Mirror = URL El uso del espejo de Ubuntu en el URL en lugar del predeterminado,
que
es http://archive.ubuntu.com/ubuntu oficial para el
318
Virtualizacin
arcos y http://ports.ubuntu.com/ubuntu-ports
de otra manera
- Espejo de http://mirroraddress:9999/ubuntu
La direccin de espejo especificado aqu tambin se utilizar en el / Etc / apt / sources.list de los
recin creado husped, lo que es til para especificar aqu una direccin que puede ser resuelto por el
invitado o para planificar el reseteo esta direccin ms adelante.
deb
/ Deb-i386
Tenga en cuenta que los paquetes de cdigo fuente no se reflejan, ya que rara vez se utilizan en comparacin con los
binarios y
que toman un espacio mucho ms, pero que pueden ser fcilmente aadidos a la lista.
Una vez que el espejo ha terminado de replicar (y esto puede ser muy largo), es necesario configurar Apache
de modo que sus archivos de espejo (en / Var / spool / apt-mirror si no cambia el valor predeterminado), se
publican
319
Virtualizacin
por el servidor Apache. Para obtener ms informacin sobre Apache vea Seccin 1, "HTTPD - Web Apache2
Servidor "[p. 187].
Como hemos puesto nuestro paquete de aplicacin en un PPA, el proceso se actualizar no slo el sistema, pero
tambin la aplicacin cada vez que actualicemos la versin de la PPA.
2.5.2. ACPI Manejo de Eventos
Para que su mquina virtual para ser capaz de manejar el reinicio y eventos de cierre que se est enviando, es una buena
idea de instalar el paquete acpid tambin. Para ello slo tiene que aadir la siguiente opcin:
- Addpkg acpid
320
Virtualizacin
2,7. Recursos
Si usted est interesado en aprender ms, tiene preguntas o sugerencias, por favor pngase en contacto con el servidor de
Ubuntu
Equipo en:
IRC: # ubuntu-server en freenode
Lista de correo: ubuntu-server en lists.ubuntu.com 12
Asimismo, consulte la JeOSVMBuilder Wiki de Ubuntu13 pginas.
12 https://lists.ubuntu.com/mailman/listinfo/ubuntu-server
13 https://help.ubuntu.com/community/JeOSVMBuilder
321
Virtualizacin
3. UEC
3,1. Informacin
general
UEC (Ubuntu Enterprise Cloud) est depracated a favor de la UC (Ubuntu Cloud). La
primero se basa en eucalipto y el segundo se basa en Openstack. Esta seccin de la gua
se eliminar en versiones futuras.
Este tutorial cubre la instalacin de la UEC de Ubuntu 12.04 LTS Server Edition CD, y asume una
topologa de la red bsica, con un nico sistema que acta como "Todo-en-un controlador", y una o ms
los nodos conectados.
A partir de este tutorial, aprender a instalar, configurar, registrar y realizar varias operaciones en
una configuracin bsica UEC que se traduce en una nube con un controlador de un "Front-end" y una o varias nodo (s)
para el funcionamiento de la mquina virtual (VM) de los casos. Tambin se utilizan ejemplos para ayudar a empezar a
utilizar
su propia nube privada de clculo.
322
Virtualizacin
Mnimo
Sugerido
Notas
CPU
De 1 GHz
2 x 2 GHz
Memoria
2 GB
4 GB
Disco
5400 RPM
IDE
7200 RPM
SATA
Espacio en disco de 40 GB
200 GB
1000 imgenes de la mquina Mbps son cientos de MB, y la necesidad de ser copiado
travs de la red a los nodos.
Notas
CPU
VTVT, de 64-bit,
Extensiones de Multicore
Memoria
1 GB
Disco
4 GB
1000 Mbps
2.
Al iniciar, seleccione "Instalar Ubuntu Enterprise Cloud". El programa de instalacin detectar si cualquier
otro
Componentes de eucalipto estn presentes.
323
Virtualizacin
3.
A continuacin, puede elegir los componentes a instalar, en base a sus elegidos topologa14.
4.
5.
1.
2.
3.
4.
5.
6.
Los nodos son los sistemas fsicos dentro de la UEC que realmente explotan las instancias de mquinas virtuales
de la
nube.
Todo registro de componentes debe ser automtica, en el supuesto:
una. Pblicos claves SSH se han intercambiado adecuadamente.
b. Los servicios estn configurados correctamente.
c. El caso UEC-componente de escucha se est ejecutando.
d. Comprobar el registro.
Pasos de un correo que slo debe ser necesario si usted est utilizando el UEC / PackageInstall15 mtodo.
De lo contrario, si usted est siguiendo esta gua, estas medidas ya se completa de forma automtica
para usted, y por lo tanto, puede omitir "Uno" a "E".
2.
14 https://help.ubuntu.com/community/UEC/Topologies~~V
15 https://help.ubuntu.com/community/UEC/PackageInstall
324
Virtualizacin
El controlador de la nube de eucalipto usuario necesita tener acceso SSH a la morsa del controlador,
Controlador del clster, y el Controlador de almacenamiento como el usuario de eucalipto.
Instalar el controlador de la nube eucalipto clave pblica del usuario SSH por:
En el controlador de destino, de forma temporal establecer una contrasea para el usuario de
eucalipto:
eucaliptos sudo passwd
A continuacin, en el controlador de la
nube:
sudo-u eucaliptos ssh-copy-id-i ~ eucalipto / .ssh / id_rsa.pub \
eucaliptos @ <IP_OF_NODE>
3.
En el El regulador de grupo:
En el caso Controlador de almacenamiento
Registro:
Definir la variable de shell en el CC_NAME / Etc / eucalipto / eucalipto cc.conf
Definir la variable de shell en el SC_IP_ADDR / Etc / eucalipto / eucalipto ipaddr.conf, Como
una lista separada por espacios de una o ms direcciones IP.
4.
Publicar
Ahora empieza a los servicios de publicacin.
Morsa de control:
El regulador de grupo:
325
Virtualizacin
Controlador de
almacenamiento:
inicio sudo eucaliptos-sc-publicacin
Controlador de Nodos:
5.
6.
Comprobar el registro
Desde su navegador de Internet (ya sea de forma remota o en el servidor de Ubuntu) acceder a la siguiente
direccin URL:
https:// <cloud-controller-ip-address>: 8443 /
Debe utilizar una conexin segura, as que asegrate de utilizar "https" y no "http" en su
URL. Usted recibir una advertencia de certificado de seguridad. Usted tendr que aadir una
excepcin
para ver la pgina. Si no lo aceptan que no ser capaz de ver el eucalipto
configuracin de la pgina.
2.
Utilizar nombre de usuario 'Admin' y la contrasea 'Admin' para el primer inicio de sesin (se le pedir que
cambiar la contrasea).
3.
326
Virtualizacin
6.
Una vez que el proceso de configuracin en tiempo primero se haya completado, haga clic en el Las
credenciales de los pestaa situada en el
porcin superior izquierda de la pantalla.
Haga clic en el "Descarga de Verificacin de Poderes" botn para obtener
sus certificados.
Guardar a ~ /. EUCA.
7.
4.
5.
Por otra parte, si usted est en la lnea de comandos de la Nube de Contralor, puede ejecutar:
mkdir-p ~ /. EUCA
chmod 700 ~ /. EUCA
cd ~ /. EUCA
euca_conf sudo - get-credenciales mycreds.zip
descomprimir mycreds.zip
ln-s ~ / .euca / eucarc ~ /. eucarc
cd -
2.
Para validar que todo funciona correctamente, tener detalles sobre la disponibilidad del clster local:
. ~ / .euca / Eucarc
EUCA-describe-la disponibilidad de zonas de detallado
AVAILABILITYZONEmyowncloud
192.168.1.1
AVAILABILITYZONE
| - Tipos vm
gratis / max
AVAILABILITYZONE
AVAILABILITYZONE
| - M1.small
| - C1.medium
0004/0004
0004/0004
cpu
1
1
AVAILABILITYZONE
| - M1.large
0002/0002
AVAILABILITYZONE
| - M1.xlarge
0002/0002
AVAILABILITYZONE
| - C1.xlarge
0001/0001
carnero
disco
128
256
2
5
512
10
1024
20
2048
20
16 https://help.ubuntu.com/community/UEC/BundlingImages
327
Virtualizacin
La forma ms sencilla de agregar una imagen a la UEC es que lo instale desde el almacn de imgenes en la web
UEC
interfaz.
1.
2.
Ingrese su usuario y contrasea (si se solicita, ya que todava se pueden registrar desde antes).
3.
4.
5.
Una vez que la imagen ha sido descargado e instalado, puede hacer clic en "Cmo funciona?" que ser
aparece debajo del botn de la imagen para ver el comando a ejecutar para crear una instancia (inicio) esta imagen.
La imagen tambin aparecer en la lista que figura en el Imagen ficha.
Antes de ejecutar una instancia de su imagen, primero debe crear una par de claves (Ssh key) que
puede utilizar para iniciar sesin en la instancia como root, una vez que se inicie. La clave se almacena, por lo que
slo tendr que
hacer esto una vez.
Ejecute el siguiente comando:
Usted puede llamar a la clave de lo que quieras (en este ejemplo, la clave se llama "MyKey"), pero
recordar lo que se llama. Si se olvida, siempre se puede correr EUCA-describe-pares de claves
para obtener una lista de claves creadas almacenados en el sistema.
2.
17 https://help.ubuntu.com/community/UEC/ElasticFox
328
Virtualizacin
3.
Si recibe un error con respecto a image_id, usted puede encontrar viendo la pgina de imgenes o
clic "Cmo ejecutar" en el Almacenar la pgina para ver el comando de la muestra.
4.
La primera vez que ejecute una instancia, el sistema ser la creacin de cachs para la imagen de la que
se crear. A menudo, esto puede tomar algn tiempo la primera vez que se ejecuta una instancia teniendo en cuenta
que VM
las imgenes son generalmente bastante grande.
Para supervisar el estado de la instancia, ejecute:
reloj-N5 EUCA-describe-instances
En la salida, usted debe ver la informacin acerca de la instancia, incluyendo su estado. Mientras que por primera
vez
el almacenamiento en cach se est realizando, el estado del ejemplar ser
5.
"Pendiente".
Cuando la instancia est completamente encendido, el estado anterior se convertir en 'Corriendo'. Mira la
direccin IP
asignado a la instancia en la salida, a continuacin, conecte a la misma:
IPADDR = $ (EUCA-describe-instances | grep $ EMI | grep corriendo | \
la cola-n1 | awk '{print $ 4}')
ssh-i ~ / .euca / mykey.priv ubuntu @ $ IPADDR
6.
Y cuando haya terminado con este caso, salir de su conexin SSH, y luego terminar su
ejemplo:
18 http://developer.amazonwebservices.com/connect/entry.jspa?externalID=1085
329
Virtualizacin
Si el usuario de datos se inicia con '#!', a continuacin, se almacena y se ejecuta como root al final del proceso de
arranque de
El primer arranque de la instancia (similar a una tradicional 'rc.local' script). La salida de la secuencia de comandos se
la
consola.
dirige
a
Por ejemplo, cree un archivo llamado ud.txt que contiene:
#! / Bin / sh
eco ========== Hola a todos: $ (date) ==========
echo "He estado por $ (cut-d \
Espera ahora por el sistema para llegar a la consola y que est disponible. Para ver el resultado del archivo de datos
comandos escriba:
El enfoque simple muestra anterior muestra una gran cantidad de energa. El usuario de datos puede contener una
secuencia de comandos en
cualquiera de las lenguas en que un intrprete ya existe en la imagen (#! / bin / sh, #! / usr / bin / python, #! / usr / bin /
perl #! / usr / bin / awk ... ).
Para muchos casos, el usuario puede no estar interesado en escribir un programa. Para este caso, la nube de inicio
proporciona
"Nube-config", un enfoque hacia la configuracin basada en la personalizacin. Para utilizar la nube-config
la sintaxis, el suministro de datos de usuario debe comenzar con una '# Cloud-config'.
Por ejemplo, crear un archivo de texto llamado nube config.txt que contiene:
# Cloud-config
apt_upgrade: true
apt_sources:
- Fuente: "ppa: ubuntu-server-edgers/server-edgers-apache"
paquetes:
- Build-essential
- Pastebinit
330
Virtualizacin
runcmd:
- ======= Echo Hola Mundo =====
- Echo "He estado por $ (cut-d \
EUCA plazo de instancias $ EMI-k-t MyKey m1.small - el usuario del archivo de datos = nube config.txt
La 'Runcmd' comandos se ejecutan en el mismo punto de arranque en el que la '#!' secuencia de comandos que se
ejecutan en el anterior
ejemplo. Est presente para que pueda obtener toda la potencia de un lenguaje de script, si lo necesita, sin
el abandono la nube de
configuracin.
Para ms informacin sobre qu tipo de cosas se puede hacer con la nube de configuracin, consulte doc /
examples20 en
la fuente.
3,9. Ms informacin
Como utilizar el Controlador de
almacenamiento21
El control de los servicios de eucalipto:
Servicio de sudo de eucalipto [start | stop | restart] (en el Convenio de Responsabilidad Civil /
CC / SC / lateral morsa)
sudo servicio de eucalyptus-nc [start | stop | restart] (en el lado del nodo)
La ubicacin de algunos archivos importantes:
Archivos de
registro:
/ var / log / eucaliptos
Los archivos de
configuracin:
/ etc / eucaliptos
Base de datos:
19 https://launchpad.net/~~HEAD=NNS del ~ ubuntu-servercanteadoras
20 http://bazaar.launchpad.net/ ~ cloud-init-dev/cloud-init/trunk/files/head :/ doc / examples /
21 https://help.ubuntu.com/community/UEC/StorageController
331
Virtualizacin
3,10. Referencias
Para obtener informacin sobre los casos de carga de ver el Eucalyptus Wiki22 pginas.
Sitio del Proyecto Eucalipto (foros, documentacin, descargas) 23.
El eucalipto en Launchpad (bugs, cdigo)24.
Solucin de problemas de eucalipto (1,5)25.
Registre su nube con RightScale26.
Tambin puede encontrar ayuda en el # Ubuntu-virt, # eucalipto, y # Ubuntu-server Canales de IRC en
Freenode27.
22 https://help.ubuntu.com/community/Eucalyptus
23 http://open.eucalyptus.com/
24 https://launchpad.net/eucalyptus/
25 http://open.eucalyptus.com/wiki/EucalyptusTroubleshooting_v1.5
26
27 http://freenode.net
332
Virtualizacin
4. Nube de Ubuntu
Cloud computing es un modelo de computacin que permite vastas reservas de recursos que deben asignarse a la carta.
Estos recursos, como el almacenamiento, potencia de clculo, software de red y se abstraen y se entregan
como un servicio a travs de Internet en cualquier lugar ya cualquier hora. Estos servicios se facturan por tiempo
consumido
similares a los utilizados por los servicios pblicos tales como electricidad, agua y telefona. Nube de Ubuntu
Infraestructura utiliza el software de cdigo abierto OpenStack para ayudar a construir altamente escalable, el cloud
computing
tanto para nubes pblicas y privadas.
4,1. Informacin
general
Este tutorial cubre la instalacin de la OpenStack Ubuntu 12.04 LTS Server Edition CD,
y asume una topologa de la red bsica, con un nico sistema que sirve como el "todo-en-una nube
infraestructura ". Debido a la simplicidad del tutorial, las instrucciones tal cual no se contempla la creacin de
servidores de produccin a pesar de que le permite tener un POC (prueba de concepto) de la nube de Ubuntu
con OpenStack.
Comprueba si tu sistema es compatible con KVM emisin sudo kvm-ok en una terminal de
linux.
La "Topologa mnima" recomienda el uso de la produccin es el uso de tres nodos - Un maestro
servidor que ejecuta los servicios de Nova (con excepcin de cmputo) y dos servidores que ejecutan nova de clculo.
Esta configuracin es
no es redundante y el servidor maestro es un punto de fallo (Single Point of Failure).
333
Virtualizacin
servidor 127.127.1.0
fudge 127.127.1.0 estrato 10
El carcter de continuacin de lnea "\" implica que se debe incluir la lnea siguiente como parte de la
comando actual.
334
Virtualizacin
Flat_injected = true
Network_manager = nova.network.manager.FlatDHCPManager
Fixed_range = 10.0.0.0/24
Floating_range = 10.153.107.72/29
Flat_network_dhcp_start = 10.0.0.2
Flat_network_bridge = BR100
Flat_interface = eth1
Public_interface = eth0
Migrar base de datos de Nova sqlite db a MySQL db. Se puede tomar un tiempo.
Definir una red privada especfica en todas las instancias se ejecutar. Esto ser utilizado en la red
de Ips fijos establecidos en el interior nova.conf .
Definir una red pblica especfica y la asignacin de 6 (utilizable) Flotando Las direcciones IP pblicas para su uso con
la
casos a partir de 10.153.107.72.
sudo nova gestionar flotante crear - ip_range = 10.153.107.72/29
Crear un usuario (usuario1), un proyecto (proyecto 1), credenciales de descarga y la fuente de su archivo de
configuracin.
cd; mkdir nova, nova cd
sudo nova gestionar usuario admin usuario1
sudo-nova, la gestin del proyecto crear proyecto1 usuario1
sudo-nova, la gestin del proyecto zip proyecto1 usuario1
descomprimir nova.zip
fuente de novarc
335
Virtualizacin
Si los servicios de Nova no se muestran correctamente reiniciar los servicios OpenStack como se describi
anteriormente. Para obtener ms
informacin por favor consulte la seccin de solucin de problemas en esta gua.
Editar el archivo / etc / vista / vista-registry.conf y editar la lnea que contiene la opcin
"Sql_connection =" a esto:
sql_connection = mysql :/ / glanceuser: glancepassword @ localhost / vista
Si usted encuentra problemas de echar un vistazo a el archivo de registro en / var / log / vista / api.log y / var / log /
vista / registry.log.
336
Virtualizacin
distro = lcida
http://cloud-images.ubuntu.com/ wget $ distro / current / $ distro-server-cloudimg-amd64.tar.gz
la nube de publicacin-tar "$ distro"-server-cloudimg-amd64.tar.gz "$ distro" _amd64
cd ~ / nova
fuente de novarc
EUCA-add-par de claves usuario1> user1.priv
chmod 0600 user1.priv
EUCA-asignar direccin
EUCA-socio-direccin-i instance_id public_ip_address
EUCA-describe-instances
EUCA-Terminate-casos instance_id
337
Virtualizacin
Las organizaciones utilizan Swift para almacenar gran cantidad de datos de manera eficiente, segura y barata que las
aplicaciones utilizan una
API especial para la interfaz entre las aplicaciones y los objetos almacenados en Swift.
Aunque puede instalar Swift en un nico servidor, la instalacin de varios servidores es necesaria para
entornos de produccin. Si desea instalar Almacenamiento OpenStack Object (Swift) en un nico nodo de
con fines de desarrollo o de prueba, utilice el All In One Swift instrucciones sobre Ubuntu.
4,9. Recursos
Cloud Computing - Servicio de modelos32
OpenStack Compute33
OpenStack Image Service34
OpenStack Object Storage Gua de administracin de
Instalacin de almacenamiento de objetos OpenStack en
Ubuntu35
http://cloudglossary.com/
4.10. Glosario
La documentacin de la nube Ubuntu utiliza una terminologa que puede ser familiar para algunos lectores. Este
la pgina tiene como objetivo proporcionar un glosario de trminos y acrnimos.
Nube - Un conjunto federado de mquinas fsicas que ofrecen los recursos informticos a travs de Virtual
mquinas, aprovisionarse y recogido de forma dinmica.
IaaS - Infraestructura como Servicio - servicios en la nube de infraestructura, mediante el cual un
virtualizado
el medio ambiente se entrega como un servicio a travs de Internet por el proveedor. La infraestructura puede
son los servidores, equipos de red y software.
28 http://swift.openstack.org/development_saio.html
29 https://launchpad.net/ ~ openstack
30 http://wiki.openstack.org
31 https://bugs.launchpad.net/nova
32 Nmero de http://en.wikipedia.org/wiki/Cloud_computing Service_Models
33 docs.openstack.org / trunk / openstack a calcular /
34 http://docs.openstack.org/diablo/openstack-compute/starter/content/GlanceMS-d2s21.html
35
338
Virtualizacin
339
Virtualizacin
5. LXC
Los contenedores son una tecnologa de virtualizacin de peso ligero. Ellos se parecen ms a una jaula mayor que el
a la virtualizacin completa como Qemu o VMware, tanto porque no emular el hardware y porque
contenedores de compartir el mismo sistema operativo que el host. Por lo tanto los contenedores estn mejor en
comparacin con
Zonas de Solaris o BSD crceles. Linux-vserver y OpenVZ son dos pre-existente, desarrollada de forma independiente
implementaciones de contenedores-al igual que la funcionalidad de Linux. De hecho, los contenedores se produjo como
resultado de los trabajos que aguas arriba del vserver y la funcionalidad de OpenVZ. Algunos vserver y OpenVZ
funcionalidad que an falta en los contenedores, sin embargo, los recipientes se pueden arrancar muchas distribuciones
de Linux y
tienen la ventaja de que pueden ser utilizados con un ncleo aguas arriba sin modificar.
Hay dos implementaciones en espacio de usuario de los contenedores, cada uno aprovechando las caractersticas del
kernel mismo.
Libvirt permite el uso de los contenedores a travs del controlador LXC mediante la conexin a ':/ LXC / /'. Esto puede
ser muy
conveniente, ya que soporta el mismo uso que los otros conductores. La aplicacin otro, llamado simplemente
"LXC ', no es compatible con libvirt, pero es ms flexible, con herramientas de usuario ms. Es posible
cambiar entre los dos, aunque existen algunas peculiaridades que pueden causar confusin.
En este documento se describir principalmente el paquete LXC. Hacia el final, vamos a describir cmo
utilizar el controlador de LXC libvirt.
En este documento, un nombre de contenedor se muestra como CN, C1, o C2.
5,1. Instalacin
El paquete LXC puede ser instalado utilizando
Esto har que en las dependencias necesarias y recomendadas, incluyendo cgroup-lite, lvm2, y
debootstrap. Para utilizar libvirt-LXC, instalar libvirt-bin. LXC y libvirt LXC-puede ser instalado y utilizado en la
mismo tiempo.
5,2. Configuracin de
Host
5.2.1. Disposicin bsica de los archivos
LXC
Lo que sigue es una descripcin de los archivos y directorios que estn instalados y utilizados por LXC.
Hay dos puestos de trabajo
advenedizos:
/ Etc / init / LXC-net.conf: es un trabajo opcional que slo se ejecuta si / Etc / default / LXC
especifica
USE_LXC_BRIDGE (true por defecto). Establece un puente de NAT para los contenedores para su uso.
/ Etc / init / lxc.conf: se ejecuta si LXC_AUTO (true por defecto) se establece en true en el / Etc /
default / LXC.
Busca entradas en / Etc / LXC / auto / que son enlaces simblicos a los archivos de configuracin para el
contenedores que se debe iniciar en el arranque.
340
Virtualizacin
/ Etc / LXC / lxc.conf: No es un contenedor por defecto la creacin de archivos de configuracin, / Etc / LXC
/
lxc.conf, Que dirige los recipientes a utilizar el puente LXC creado por el trabajo advenedizo LXC-net. Si no hay
archivo de configuracin se especifica cuando se crea un contenedor, entonces ste ser utilizado.
Ejemplos de otros archivos de configuracin de creacin de contenedores se encuentran en / Usr / share / doc /
LXC /
ejemplos.
Estos muestran cmo crear contenedores sin una red privada, o el uso de macvlan, VLAN,
o de otros esquemas de la red.
341
Virtualizacin
Si desea utilizar otro sistema de archivos de / Var, Se puede montar un sistema de archivos que tiene ms espacio
en esos lugares. Si usted tiene un disco dedicado para esto, slo tiene que montar en / Var / lib / LXC.
Si desea utilizar otra ubicacin, como / Srv, Se puede enlazar montar o usar un enlace simblico. Para
ejemplo, si / Srv es un sistema de archivos de gran monta, crear y enlace a dos directorios:
La usr.bin.lxc de inicio perfil se introduce mediante la ejecucin LXC de inicio. Este perfil principalmente
impide
LXCcomenzar
de montaje de nuevos sistemas de ficheros fuera del sistema de archivos raz del contenedor. Antes de
ejecutar el
contenedor init, LXC peticiones de un interruptor para el perfil del contenedor. Por defecto, este perfil es el LXCcontenedores por defecto poltica que se define en / Etc / apparmor.d / LXC / LXC-default. Este perfil
evita que el contenedor de acceso a muchos caminos peligrosos, y de montaje en la mayora de los sistemas de
archivos.
342
Virtualizacin
Si usted encuentra que LXC-inicio est fallando debido a un acceso legtimo que se le niega por su Apparmor
la poltica, usted puede desactivar el perfil LXC-Comience por hacer:
Esto har que LXC-inicio corren no confinados, sino que siguen para confinar el propio envase. Si usted tambin desea
para inhabilitar el confinamiento del contenedor, a continuacin, adems de la desactivacin usr.bin.lxc de inicio
perfil,
debe agregar:
lxc.aa_profile = confinados
al archivo de configuracin del contenedor. Si desea ejecutar un contenedor en un perfil personalizado, puede crear
un nuevo perfil bajo / Etc / apparmor.d / LXC /. Su nombre debe empezar con LXC- a fin de que LXC-inicio para
ser
permite la transicin a dicho perfil. Despus de crear la poltica, hay que cargarlo con:
El perfil se cargar automticamente despus de un reinicio, ya que tiene su origen en el archivo / Etc /
apparmor.d / LXC-contenedores
Finalmente, para
.
LXC a ejecutar no entrar en un perfil de AppArmor, pero el envase que se genera se limita.
5.2.7. Grupos de Control
Los grupos de control (cgroups) son una caracterstica del ncleo facilitar la concentracin de tareas jerrquico y por
cgroupcontabilidad de recursos y los lmites. Se utilizan en contenedores para limitar el acceso al dispositivo de bloque y
y congelar (suspender) los contenedores. Pueden usarse adems para limitar el uso de la memoria y el bloque i / o,
carcter
garantizar el mnimo de acciones de la CPU, y para fijar los contenedores para las CPUs especficas. De forma
predeterminada, LXC depende de
el paquete cgroup-lite para ser instalado, que proporciona la inicializacin cgroup adecuada en el arranque. La
cgroup-lite paquete se monta cada subsistema por separado en cgroup / Sys / fs / cgroup / SS, Donde
SS es el nombre del subsistema. Por ejemplo, el subsistema congelador est montado bajo / Sys / fs / cgroup /
congelador
LXC cgroup
.
se mantienen bajo / Sys / fs / cgroup / SS / init / LXC, Donde INIT es la tarea de inicio
de
cgroup. Es /por defecto, as que al final de la cgroup congelador durante NC contenedores sera / Sys / fs /
cgroup / congelador / LXC / NC.
5.2.8. Privilegio
Las herramientas de administracin de contenedores debe ejecutarse con privilegios de usuario root. Una utilidad
llamada LXC-setup
fue escrito con la intencin de proporcionar las herramientas con las capacidades de los archivos necesarios para permitir
los
para ejecutar las herramientas con privilegios suficientes. Sin embargo, como usuario root en un
queusuarios
no sea root
contenedor que an no puede ser fiable
343
Virtualizacin
contenida, esto no vale la pena. Por tanto, se recomienda no utilizar LXC-setup, Y para proporcionar
los administradores LXC el sudo es necesario privilegio.
El espacio de nombres de usuario, que se espera que est disponible en el siguiente apoyo a largo plazo (LTS) de
liberacin,
permitir contencin del usuario root contenedor, as como reducir la cantidad de privilegio requerido
para crear y administrar contenedores.
5.2.9. Trabajos LXC Upstart
Como se mencion anteriormente, el paquete incluye dos puestos de trabajo LXC advenedizos. La primera, LXC-net,
Siempre se inicia cuando
el otro, LXC, Est a punto de comenzar, y se detiene cuando se detiene. Si la variable se establece en
USE_LXC_BRIDGE
falsa en / Etc / defaults / LXC, Entonces inmediatamente se cerrar. Si bien es cierto, y se produce un error traer
hasta el puente LXC, entonces el LXC trabajo no se iniciar. LXC-net har bajar el puente cuando LXC
detenido, a menos que un recipiente que se est ejecutando se utiliza ese puente.
La LXC trabajo se inicia en el nivel de ejecucin 2.5. Si la variable LXC_AUTO se establece en true, entonces se ver
en
/ Etc / LXC los contenedores que se debe iniciar automticamente. Cuando el LXC trabajo se detiene, ya sea
manualmente o mediante la introduccin de niveles 0, 1 6, se detendr dichos contenedores.
Para inscribirse en un contenedor que se inicie automticamente, crear un enlace simblico / Etc / default / LXC
/ name.conf
apuntando a un archivo de configuracin del contenedor. Por ejemplo, el archivo de configuracin para un contenedor
NC es / Var /
lib / LXC / CN / config. Para hacer que el contenedor se inicia automticamente, utilice el comando:
sudo ln-s / var / lib / LXC / CN / configuracin / etc / LXC / auto / CN.conf
Esto le dice a LXC a crear para usar la plantilla de Ubuntu (Ubuntu-t) y para llamar el contenedor CN (CN-n). Desde
ningn archivo de configuracin se ha especificado (lo que se han hecho con '-f archivo'), se utilizar el valor por defecto
archivo de configuracin en / Etc / LXC / lxc.conf. Esto le da al envase una nica interfaz de red veth
unida al puente lxcbr0.
344
Virtualizacin
Las plantillas de creacin de contenedores tambin puede aceptar los argumentos. Estos pueden aparecer luego de -.
Por ejemplo
a continuacin, el general LXC a crear ayuda ser seguido por la salida de ayuda especfica a la plantilla de ubuntu. Si
no hay
plantilla se especifica, entonces slo ayuda a los LXC a crear misma se muestran.
5.3.1.2. Ubuntu plantilla
La plantilla ubuntu se puede utilizar para crear contenedores Ubuntu del sistema con cualquier liberacin al menos tan
nuevo
en 10.04. Se utiliza debootstrap para crear un sistema de archivos de contenedores en cach que se copia en su lugar
cada vez que un contenedor se crea. La imagen se guardar en cach y slo volver a generar, al crear un
recipiente utilizando el -F (Ras) opcin de la plantilla, es decir:
La versin de Ubuntu instalado por la plantilla ser la misma que en el host, salvo
especificado con el -R opcin, es decir,
Si desea crear un contenedor de 32 bits en un host de 64-bit, pasar -I386 al contenedor. Si usted tiene la
qemu-user-esttica paquete instalado, entonces usted puede crear un contenedor con cualquier arquitectura compatible
por qemu-user-esttica.
El contenedor tiene un usuario llamado Ubuntu cuya contrasea es Ubuntu y que es miembro de
la sudo grupo. Si se desea incorporar a un pblico clave ssh para la Ubuntu usuario, puede hacerlo con -S
sshkey.pub.
Tambin puede se unen el usuario jperez desde el host en el recipiente con el -B jperez opcin. Esto copiar
jperez contrasea y las entradas de sombra en el contenedor, asegrese de que su grupo por defecto y la cscara
son
345
Virtualizacin
disponibles, lo agregue al grupo sudo, y se unen a montar su directorio home en el recipiente cuando el
recipiente se ha iniciado.
Cuando un recipiente se crea, el liberacin de actualizaciones archivo se aade a la del recipiente sources.list,
y su archivo de paquetes sern actualizados. Si la liberacin del recipiente es mayor que 12.04 LTS, entonces el
lxcguest paquete se instala automticamente. Alternativamente, si el - Cortar se especifica la opcin, a continuacin,
la lxcguest paquete no se instalar, y muchos servicios se retira del recipiente.
Esto dar lugar a un ms rpido el arranque, pero menos de actualizacin-capaz contenedor.
Dado que debian no se puede arrancar de forma segura dentro de un contenedor, los contenedores de Debian se va a
recortar, como con la
- Cortar opcin de la plantilla de Ubuntu.
Para purgar la cach de imgenes de contenedores, llame a la plantilla directamente y le pasa el - Limpiar
opcin.
Una plantilla de Fedora existe, lo que genera los contenedores sobre la base de versiones de Fedora <= 14. Fedora
versin
15 y mayores se basan en systemd, que la plantilla an no es capaz de convertir en un contenedor
la configuracin de arranque. Antes de la plantilla de fedora es capaz de correr, usted tendr que asegurarse de que
yum y rizo
estn instalados. Un contenedor de Fedora 12 se pueden crear con
346
Virtualizacin
Una plantilla de OpenSuSE existe, pero requiere que la zypper programa, que an no est empaquetado. La
Plantilla de OpenSuSE tanto, no se admite.
Dos plantillas de ms existen principalmente con propsitos experimentales. La plantilla busybox crea una muy
recipiente pequeo sistema basado enteramente en busybox. La plantilla de sshd crea un contenedor de aplicaciones
sshd corriendo en un espacio de red privada. La biblioteca de la acogida y los directorios de binarios son bindmontada en el recipiente, aunque no su / Home o / Root. Para crear, iniciar y ssh en un ssh
contenedor, usted puede:
5.3.1.5. Tiendas de
Acompaamiento
De forma predeterminada, LXC a crear pone sistema de archivos del contenedor raz como un rbol de directorios en
el / Var / lib / LXC / CN /
rootfs. Otra opcin es utilizar volmenes lgicos. Si un grupo de volmenes llamado LXC existe, puede
crear un contenedor de lvm respaldado llama NC con:
Si desea utilizar un grupo de volmenes llamado schroots, con un sistema de ficheros XFS 5G, entonces deberas
usar
sudo LXC-create-t ubuntu-n CN-B lvm - schroots nombre_grupo_volmenes - fssize 5G - fstype xfs
5.3.2. Clonacin
Para un rpido aprovisionamiento, puede que desee personalizar un contenedor cannica de acuerdo a sus necesidades
y luego hacer varias copias de la misma. Esto puede hacerse con el LXC-clone programa. Dada una existente
contenedor llamado C1, un nuevo contenedor denominado C2 pueden ser creados usando
347
Virtualizacin
Si / Var / lib / LXC es un sistema de ficheros Btrfs, a continuacin, LXC-clone crear sistema de archivos C2 como
una instantnea de la C1.
Si sistema de archivos del contenedor raz es respaldado por LVM, entonces usted puede especificar el -S opcin para
crear el nuevo
rootfs como una instantnea de LVM del original de la siguiente manera:
Ambas instantneas de LVM y btrfs proporcionar una clonacin rpida con el uso de disco muy pequeo
inicial.
5.3.3. Inicio y detencin
Para iniciar un contenedor, utilice LXC-comienzo-n NC. Por defecto LXC-inicio ejecutar / Sbin / init en el
recipiente. Puede proporcionar un programa diferente para ejecutar, adems de los argumentos, como argumentos
adicionales a los
LXC de inicio:
Si no se especifica el -D (Demonio) opcin, entonces usted ver una consola (en el de contenedores / Dev /
ver Seccin
la consola
,
Por ltimo, puede especificar los parmetros de configuracin en lnea con -S. Sin embargo, es
generalmente
recomienda colocarlos en el archivo de configuracin del contenedor en su lugar. Asimismo, una totalmente
archivo de configuracin alternativo se puede especificar con la -F opcin, pero esto no se recomienda
generalmente.
Mientras que LXC-inicio corre el contenedor / Sbin / init,LXC a ejecutar utiliza un programa mnimo init llama
LXCinit, que intenta montar / Proc,/ Dev / mqueue, Y / Dev / shm, Ejecuta los programas especificados en
la lnea de comandos, y espera a que los termine de ejecutarse. LXC-inicio se destina a ser utilizado para sistema
contenedores, mientras que LXC a ejecutar est diseado para contenedores de aplicaciones (Ver este
artculo36 para ms).
Puede detener un contenedor de varias maneras. Usted puede usar apagado, poweroff y reiniciar mientras est
conectado
en el recipiente. Para cerrar sin errores un contenedor externo (es decir, desde el host), puede emitir
la LXC sudo shutdown-NC-n comando. Esto tiene un valor de tiempo de espera opcional. Si no se especifica,
36 https://www.ibm.com/developerworks/linux/library/l-lxc-containers/
348
Virtualizacin
las cuestiones de mando una seal SIGPWR al contenedor y vuelve inmediatamente. Si la opcin es
utilizada, como en LXC sudo shutdown-n-CN-t 10, a continuacin, el comando esperar el nmero especificado
de
segundos para el contenedor para cerrar sin errores. Entonces, si el envase est todava funcionando, lo matar
(Y todas las aplicaciones en ejecucin). Tambin se puede matar de inmediato el contenedor (sin ninguna posibilidad
de
aplicaciones a cerrar sin errores), utilizando sudo LXC-stop-n NC. Por ltimo, LXC matar se puede utilizar ms
en general, para enviar seal a cualquier nmero del contenedor es de
inicio.
Mientras que el contenedor se est cerrando, usted puede esperar ver algunos mensajes de error (inofensiva),
como
sigue:
$ Sudo poweroff
Contrasea [sudo] para Ubuntu: =
$ =
Difundir mensaje de ubuntu @ CN1
(/ Dev / LXC / consola) a las 18:17 ...
El sistema se est cerrando para apagar AHORA!
* Pedir a todos los dems procesos para terminar ...
... Hecho.
* Todos los procesos de finalizado el plazo de 1
segundo ....
... Hecho.
* Desconfigurar las interfaces de red ...
... Hecho.
* Desactivacin de intercambio
...
No ...!
umount: / run / bloqueo: no est montado
umount: / dev / shm: sin montar
Montaje: / est ocupado
* Ahora se detendr
Un contenedor puede ser congelado con sudo LXC-congelacin-n NC. Esto bloquear todos los procesos hasta
que el
recipiente es posterior descongelado utilizando sudo LXC-descongelar-n NC.
5.3.4. Supervisin del rgimen de depsito
Dos comandos estn disponibles para controlar los cambios de contenedores del estado. LXC-monitor monitores uno
o ms
contenedores para los cambios de estado. Se necesita un nombre de contenedor como es habitual con el -N opcin, pero
en este caso
el nombre del contenedor puede ser una expresin posix regular para permitir el seguimiento conjuntos deseables de los
contenedores.
LXC-monitor
contina
funcionando,
ya que imprime cambios de contenedores. LXC-espera espera a que un estado
cambiar y luego
se cierra.
Por ejemplo,
especfico
que imprimir todos los cambios de estado a los contenedores que coincidan con la expresin regular, mientras
que la lista
349
Virtualizacin
esperar hasta que el recipiente CONT1 entra en el estado DETENIDO o estado congelada y luego
salir.
5.3.5. Consolas
Los contenedores tienen un nmero configurable de las consolas. Uno siempre existe en el recipiente de / Dev /
la consola. Esto se muestra en el terminal desde el que ejecut LXC de inicio, a menos que el -D opcin es
especificado. La salida en / Dev / console se puede redirigir a un archivo utilizando el -C-archivo de la consola
opcin para
LXC de inicio. El nmero de consolas adicionales se especifica por el lxc.tty variable, y normalmente se establece a
4.
Estas consolas se muestran en / Dev / ttyn (Para 1 <= n <= 4). Para acceder a la consola 3 desde el host, utilice
o si el N-t opcin no se especifica, una consola sin usar se seleccionar automticamente. Para salir de la
consola, utilice la secuencia de escape Ctrl-a q. Tenga en cuenta que la secuencia de escape no funciona en la consola
resultante de LXC-inicio sin el -D opcin.
Cada consola es en realidad un contenedor de pty Unix98 en el de acogida (no de los huspedes) pty montaje, se unenmontado sobre el invitado de / Dev / ttyn y / Dev / console. Por lo tanto, si el cliente desmonta los o
de lo contrario intenta acceder al dispositivo de carcter real 4: N, no se sirve getty al LXC
consolas. (Con la configuracin predeterminada, el contenedor no podr acceder a dicho dispositivo de la fuente y
getty por lo tanto, se producir un error.) Esto puede suceder fcilmente cuando un script de arranque ciegamente
monta una nueva / Dev.
5.3.6. Inspeccin de contenedores
Varios comandos estn disponibles para recoger informacin sobre los contenedores existentes. LXC-ls informar de
todos los
los contenedores existentes en su primera lnea de salida, y todos los recipientes se ejecutan en la segunda lnea. LXClist
proporciona
misma informacin
en un formatolistas
ms detallado,
lista
ejecutan
primero ps
y se detuvo
contenedoreslaprximos.
LXC-PS proporcionar
de procesos
en de
loscontenedores
contenedores.sePara
proporcionar
argumentos para LXCps, anteponer con -. Por ejemplo, para la inclusin de todos los procesos en el llano de contenedores,
LXC-info proporciona el estado de un contenedor y el pid del proceso de inicializacin. LXC-cgroup se puede
utilizar
para consultar o establecer los valores de los lmites de un contenedor del grupo de control e informacin. Esto
puede ser ms
conveniente
que la se
interaccin
con el permite
cgroup el
sistema
desearchivos.
Por ejemplo, para consultar la lista de
que
un contenedor
est ejecutando
acceso,
puede utilizar
dispositivos
350
Virtualizacin
LXC-netstat ejecuta netstat en el contenedor en ejecucin, que le da una idea de su estado de la red.
LXC-copia de seguridad va a crear copias de seguridad de los sistemas de archivos raz de todos los contenedores
existentes (excepto LVM basado en
unos), utilizando rsync realizar una copia de los contenidos en el marco de / Var/lib/lxc/CN/rootfs.backup.1. Estas
copias de seguridad
se pueden restaurar utilizando LXC-restauracin. Sin embargo, LXC-copia de seguridad y LXC-restauracin son
frgiles con respecto a
personalizaciones y por lo tanto su uso no se recomienda.
5.3.7. La destruccin de los envases
Utilizar LXC-destruir para destruir a un contenedor existente.
sudo LXC-destruir-n NC
Si el contenedor est en funcionamiento, LXC-destruir terminar con un mensaje que le informa que puede forzar
detener y destruir el recipiente con
Virtualizacin
crea un shell bash con pid privada y los espacios de montaje. En esta capa, que puede hacer
root @
root @
UIDPID
root10
raz
110
0 10:20 pts / 9
00:00:00 ps-ef
Sinopsis
LXC a colocar
LXC-copia de
seguridad
LXC-cgroup
LXC-puesto de control
LXC-clone
LXC-console
LXC a crear
LXC-destruir
LXC a ejecutar
LXC-checkConfig
352
Virtualizacin
Comando
Sinopsis
LXC-congelacin
LXC-info
LXC matar
LXC-list
LXC-monitor
LXC-netstat
LXC-PS
LXC-ls
LXC-restart
LXC-restauracin
LXC-apagado
LXC-inicio
LXC-start-efmera
LXC-stop
LXC-descongelar
LXC-deje de
compartir
LXC-versin
LXC-espera
LXC-setcap
LXC-setuid
Virtualizacin
este punto. Por otra configuracin, por lo general es mejor para editar el fichero de configuracin que el contenedor
creacin.
El archivo / Var / lib / LXC / CN / config se utiliza en el inicio de contenedores por
defecto.
LXC-inicio acepta un archivo de configuracin alternativa con el -F nombre de archivo
opcin.
Las variables especficas de configuracin se puede anular en LXC-inicio uso -S clave = valor. En general, es
mejor para editar el archivo de configuracin del contenedor.
5.4.2. Configuracin de la red
La creacin de redes de contenedores en LXC es muy flexible. Se desencadena por el lxc.network.type configuracin
las entradas del archivo. Si no hay entradas que existan, a continuacin, el contenedor ser compartir la pila de la red
de acogida.
Servicios y las conexiones iniciadas en el contenedor va a utilizar la direccin IP del anfitrin. Si al menos
uno lxc.network.type la entrada est presente, entonces el contenedor tendr una privada (nivel 2) de la red
pila. Tendr sus propias interfaces de red y las reglas de firewall. Hay varias opciones para
lxc.network.type:
lxc.network.type = vaco: El contenedor no tienen interfaces de red que no sean de bucle invertido.
lxc.network.type = veth: Este es el valor predeterminado cuando se utilizan las plantillas de Ubuntu o Ubuntu en la
nube, y
crea un tnel de red veth. Un extremo de este tnel se convierte en la interfaz de red en el interior del
recipiente. El otro extremo est conectado a un puente sobre el husped. Cualquier nmero de tales tneles puede ser
creado mediante la adicin de ms lxc.network.type = veth entradas en el archivo de configuracin del
contenedor. La
puente para que el extremo del host del tnel se adjunta se especifica con lxc.network.link =
lxcbr0.
lxc.network.type = phys Un interfaz de red fsica (es decir, eth2) se hace pasar al interior del recipiente.
Las otras dos opciones son utilizar VLAN o macvlan, sin embargo, su uso es ms complicado y no es
se describe aqu. Algunas otras opciones de red existen:
lxc.network.flags Slo se puede establecer a hasta y asegura que la interfaz de red es de hasta.
lxc.network.hwaddr especifica una direccin MAC para asignar la tarjeta del interior del contenedor.
lxc.network.ipv4 y lxc.network.ipv6 establecer las direcciones IP correspondientes, si los que deben ser estticos.
lxc.network.name especifica un nombre para asignar el interior del recipiente. Si esto no se especifica, una buena
por defecto (es decir, eth0 para la primera NIC) que se elija.
lxc.network.lxcscript.up especifica un script que se llamar despus de que el lado del host de la red tiene
ha creado. Vase el lxc.conf (5) pgina del manual para ms detalles.
5.4.3. Control de grupo de configuracin
Cgroup opciones se puede especificar mediante lxc.cgroup entradas. lxc.cgroup.subsystem.item = valor
LXC instruye para establecer cgroup elemento del subsistema a valor. Tal vez sea ms fcil de darse cuenta de
que esta voluntad
simplemente escriba valor en el fichero artculo para el grupo control del contenedor para el subsistema
subsistema.
ejemplo, para Para
establecer el lmite de memoria de 320M, puede agregar
354
Virtualizacin
lxc.cgroup.memory.limit_in_bytes = 320000000
lo que provocar 320000000 que se escriben en el archivo / Sys / fs / cgroup / memoria / LXC /
CN /
limit_in_bytes.
La primera lnea dice que el sistema de archivos del contenedor de la raz ya est montado en el / Var / lib / LXC /
CN / rootfs.
Si el sistema de archivos es un dispositivo de bloques (por ejemplo, un volumen lgico LVM), entonces la ruta de acceso
al dispositivo de bloques
se debe dar lugar.
Cada lxc.mount.entry lnea debe contener un elemento para montar en formato fstab vlido. El directorio de destino
debe ser precedido por / Var / lib / LXC / CN / rootfs, Incluso si lxc.rootfs apunta a un dispositivo de bloque.
Por ltimo, lxc.mount apunta a un archivo, en formato fstab, que contiene elementos adicionales para montar. Ntese
que todas
estas entradas sern las organizadas por la mquina antes de que el contenedor de init se ha iniciado. De esta manera es
posible
de obligar a montar varios directorios desde el host en el recipiente.
5.4.5. Otras opciones de configuracin
lxc.cap.drop se puede utilizar para evitar que el recipiente de tener u obtener siempre la lista
capacidades. Por ejemplo, incluyendo
lxc.cap.drop = sys_admin
evitar que el contenedor de sistemas de ficheros de montaje, as como todas las otras acciones que requieren
CAP_SYS_ADMIN. Vase el capacidades (7) pgina del manual para una lista de capacidades y sus
significados.
lxc.aa_profile = LXC-NC-el perfil especifica un perfil de AppArmor personalizada en la que para iniciar el
recipiente. Ver Seccin 5.2.6, "AppArmor" [p. 342] para ms informacin.
lxc.console = / ruta / a / consolefile har que los mensajes de consola que se escriben en el archivo especificado.
lxc.arch especifica la arquitectura para el contenedor, por ejemplo x86 o x86_64.
lxc.tty = 5 especifica que 5 consolas (adems de / Dev / console) Debe ser creado. Esto es,
consolas estar disponible en / Dev/tty1 a travs de / Dev/tty5. Las plantillas de ubuntu establecer este valor en
4.
355
Virtualizacin
lxc.pts = 1024 especifica que el recipiente debe tener una empresa privada (Unix98) devpts sistema de archivos de
montaje.
Si esto no se especifica, a continuacin, el contenedor se comparten / Dev / pts con el anfitrin, que raramente se
desea.
Elignora
nmero
1024 significa
que
ptys debe
permitirse
en elLXC
contenedor,
sin (esencialmente)
embargo, este nmero
es
actualmente.
Antes
de1024
comenzar
el envase
de inicio,
va a hacer
un
dentro del recipiente. Es importante darse cuenta de que el contenedor no deben montar sistemas de ficheros devpts
propia. Se puede hacer con seguridad montajes se unen o se mueven de su montaje / Dev / pts. Pero si lo hace
que volver a montarse ejemplo, el anfitrin devpts. Si se aade la opcin de montaje nueva-ventana, entonces
ser
montar un nuevo privado (vaco) ejemplo. En ningn caso va a volver a montar la instancia que se cre
por LXC. Por esta razn, y para evitar que el recipiente de utilizar ptys del husped, el valor predeterminado
La poltica de AppArmor no permitir que los contenedores para montar sistemas de ficheros devpts despus de que
el init de contenedores tiene
ha iniciado.
lxc.devttydir especifica un directorio bajo / Dev en el que LXC crear sus dispositivos de consola. Si
esta opcin no se especifica, a continuacin, los ptys no sern vinculantes a montarse sobre / Dev / console y /
Dev /
ttyn.
Sin
embargo, las actualizaciones de paquetes raros puede tratar a ciegas rm-f y, a continuacin mknod dichos
dispositivos.
Ellos no (porque el archivo ha sido montado en aprieto), haciendo que el paquete de actualizacin a fallar. Cuando
lxc.devttydir es ajustado a LXC, por ejemplo, a continuacin, LXC se unir a montar la consola en los ptys / Dev
/
LXC / consola
y / Dev / LXC / ttyn, y, posteriormente, simblicamente vincularlos a / Dev / console
y / Dev / ttyn. Esto permite que las actualizaciones de paquetes para tener xito, aun a riesgo de hacer gettys
futuras
en esas consolas no hasta el siguiente reinicio. Este problema se resuelve con idealmente dispositivo
espacios de nombres.
356
Virtualizacin
El exceso de montaje de los dispositivos de consola con ptys desde el host puede causar problemas con udev
actualizaciones.
Apparmor la poltica y las restricciones de los dispositivos de cgroup puede impedir la actualizacin de paquetes de
realizar
ciertas acciones.
Capacidades cay por el uso de lxc.cap.drop Asimismo, puede dejar de realizar actualizaciones de los paquetes
ciertas acciones.
Editar este archivo para reemplazar el nombre del contenedor y la ubicacin del sistema de archivos raz. A
continuacin, puede definir el
recipiente con:
url1 = `ubuntu-cloudimg-consulta precisa todos los das $ arch - formato"% {url} \ n "`
url = `echo $ url1 | sed-e 's / .tar.gz / root \ 0 /'`
357
Virtualizacin
wget $ url
filename = `basename $ url`
mkdir $ HOME/c1
cd $ HOME/c1
sudo tar zxf $ nombre_archivo
Obsrvese que mientras que el LXC-destruir comando elimina el contenedor, el virsh destruir comando detiene
un contenedor de funcionamiento. Para eliminar la definicin de contenedor, utilice
358
Virtualizacin
A partir de la versin 12.04 LTS, el trabajo realizado anteriormente por el paquete de lxcguest pas a un segundo
los paquetes principales, y el paquete fue eliminado en lxcguest. Como resultado, una no modificada 12,04 LTS
imagen
se puede arrancar como un contenedor, en hardware desnudo, o en un Xen, KVM, o de la mquina virtual de VMware.
Para utilizar
una versin anterior, el paquete de lxcguest se deben utilizar.
5,8. Seguridad
Un espacio de nombres identificadores de mapas a los recursos. Al no proporcionar un recipiente con cualquier ID que
hacer referencia a una
recurso, el recurso puede ser protegido. Esta es la base de algunas de la seguridad que proporciona al contenedor
usuarios. Por ejemplo, los espacios de nombres de la CIP estn completamente aislados. Otros espacios de
nombres, sin embargo, tienen
diversos fugas que permiten el privilegio de ser inapropiada ejercida desde un recipiente a otro
recipiente o al host.
De forma predeterminada, los contenedores LXC se inician en una poltica de AppArmor para restringir algunas
acciones. Sin embargo,
al mismo tiempo una mayor seguridad es un objetivo para futuras versiones, en 12.04 LTS el objetivo de la poltica de
AppArmor es
no dejar de acciones maliciosas, sino ms bien dejar de dao accidental de la mquina por el husped.
Vase el LXC de seguridad37 pgina wiki para ms, una informacin actualizada.
5.8.1. Llamadas explotables del sistema
Es una caracterstica fundamental de que los recipientes contenedores compartir un ncleo con el host. Por lo
tanto, si el ncleo
contiene ninguna llamada del sistema explotables, el contenedor puede explotar stos tambin. Una vez que el
contenedor
controla el ncleo se puede controlar totalmente cualquier recurso a la hueste.
37 http://wiki.ubuntu.com/LxcSecurity
359
Virtualizacin
5,9. Recursos
El artculo de DeveloperWorks LXC: Herramientas contenedores Linux38 fue una introduccin temprana al uso de
contenedores.
El Contenedores Cookbook seguro39 demostr el uso de mdulos de seguridad para hacer los envases
ms seguro.
Las pginas del manual se hace referencia anteriormente se
pueden encontrar en:
capacidades40
lxc.conf41
38 https://www.ibm.com/developerworks/linux/library/l-lxc-containers/
39 http://www.ibm.com/developerworks/linux/library/l-lxc-security/index.html
40 http://manpages.ubuntu.com/manpages/en/man7/capabilities.7.html
41 http://manpages.ubuntu.com/manpages/en/man5/lxc.conf.5.html
42 http://lxc.sf.net
43 http://wiki.ubuntu.com/LxcSecurity
360
361
Clustering
1. DRBD
Distribuida Replicated Block Device (DRBD) refleja los dispositivos de bloque entre varios hosts. La
replicacin es transparente para otras aplicaciones en los sistemas host. Cualquier bloque discos duros de
dispositivos,
particiones, los dispositivos RAID, volmenes lgicos, etc se puede reflejar.
Para empezar a utilizar DRBD, en primer lugar instalar los paquetes necesarios. Desde un terminal
escriba:
sudo apt-get install drbd8-utils
Si est utilizando el virtual del ncleo como parte de una mquina virtual tendr que manualmente
compilar el mdulo drbd. Puede ser ms fcil para instalar el paquete linux-servidor dentro de la
mquina virtual.
Esta seccin abarca la creacin de un drbd para replicar una por separado / Srv particin, con un sistema de
archivos ext3
entre dos hosts. El tamao de la particin no es particularmente relevante, pero ambas particiones tienen que ser los
mismo tamao.
1,1. Configuracin
Los dos anfitriones de este ejemplo se llamar drbd01 y drbd02. Ellos tendrn que tener el nombre
resolucin de configurarse a travs de DNS o el / Etc / hosts archivo. Ver Captulo 8, de nombres de
dominio
Service (DNS) [p. 139] para ms detalles.
Para configurar drbd, en la edicin de acogida primeros / Etc /
drbd.conf:
mundial {contador de uso no;}
comn {{syncer tasa 100M;}}
recursos r0 {
protocolo C;
inicio {
WFC-tiempo de espera de 15;
degr-WFC-tiempo de espera de
60 aos;
}
net {
CRAM-HMAC-SHA1 alg;
secreto compartido "secreto";
}
el drbd01 {
dispositivo / dev/drbd0;
disco / dev/sdb1;
Direccin 192.168.0.1:7788;
meta-disco interno;
}
el drbd02 {
dispositivo / dev/drbd0;
disco / dev/sdb1;
Direccin 192.168.0.2:7788;
362
Clustering
meta-disco interno;
}
}
Hay muchas otras opciones en / Etc / drbd.conf, Pero para este ejemplo su valor por defecto
los valores estn muy
bien.
Ahora copia / Etc / drbd.conf el segundo anfitrin:
Ahora con la utilidad drbdadm inicializar el almacenamiento de datos meta. En cada servidor ejecute:
Despus de ejecutar el comando anterior, los datos se iniciar la sincronizacin con el host secundario. Para ver
el progreso, en drbd02 escriba lo siguiente:
1,2. Pruebas
Para comprobar que los datos son en realidad la sincronizacin entre los ejrcitos copiar algunos archivos en el drbd01,
la, primaria
a / Srv:
sudo cp-r / etc / default / srv
Desmontar A continuacin, /
Srv:
sudo umount / srv
363
Clustering
Uso ls usted debe ver / Srv / default copia de la antigua primario anfitrin drbd01.
1,3. Referencias
Para ms informacin sobre DRBD ver el DRBD sitio web1.
El drbd.conf pgina de manual2 contiene detalles sobre las opciones que no estn cubiertos en esta gua.
Asimismo, consulte la drbdadm pgina de
manual3.
El DRBD Wiki de Ubuntu4 pgina tambin tiene ms informacin.
1 http://www.drbd.org/~~V
2 http://manpages.ubuntu.com/manpages/precise/en/man5/drbd.conf.5.html
3 http://manpages.ubuntu.com/manpages/precise/en/man8/drbdadm.8.html
4 https://help.ubuntu.com/community/DRBD
364
365
VPN
1. OpenVPN
Si desea algo ms que claves pre-compartidas OpenVPN hace que sea fcil de configurar y usar una clave pblica
Infraestructura (PKI) para uso de certificados SSL / TLS para la autenticacin y el intercambio de claves entre los
el servidor VPN y los clientes. OpenVPN puede ser utilizado en un modo de VPN ruta o un puente y puede ser
configurado para utilizar UDP o TCP. El nmero de puerto puede ser configurado as, pero es el puerto 1194 de la
oficial. Y slo se utiliza ese puerto nico para todas las comunicaciones. Implementaciones de los clientes VPN
estn disponibles para casi cualquier cosa, incluyendo todas las distribuciones de Linux, OS X, Windows y
OpenWRT
basadas en routers WLAN.
Tanto el servidor y el cliente se autentique la otra, en primer lugar verificar que el certificado presentado
fue firmado por la autoridad principal de certificacin (CA), y luego probando la informacin en el ahoracertificado autenticado de cabecera, como el nombre comn del certificado o el certificado de tipo (cliente o
servidor).
366
VPN
Escriba el siguiente para generar el certificado de maestro de Autoridad de certificacin (CA) y la clave:
Como en el paso anterior, la mayora de los parmetros pueden ser de pago. Dos otras consultas requieren positivo
las respuestas, "Sign the certificate? [Y / n]" y "1 de 1 solicitudes de certificados certificados, se comprometen? [s /
n]".
Parmetros Diffie Hellman deben ser generados por el servidor OpenVPN:
. / Build-dh
Todos los certificados y las claves se han generado en las claves subdirectorio /. La prctica comn es copiar
a / etc / openvpn /:
claves de cd /
cp myservername.crt myservername.key ca.crt dh1024.pem / etc / openvpn /
367
VPN
sudo cp / usr / share / doc / openvpn ejemplos / / configuracin de la muestra-de los archivos / server.conf.gz / etc / openvpn /
sudo gzip-d / etc / openvpn / server.conf.gz
Editar / Etc / openvpn / server.conf para asegurarse de que las siguientes lneas que enlazan con los certificados
y
claves que ha creado en la seccin anterior.
ca ca.crt
cert myservername.crt
clave myservername.key
dh dh1024.pem
Eso es lo mnimo que tiene que configurar para tener un servidor OpenVPN de trabajo. Usted puede utilizar toda la
configuracin predeterminada en el archivo server.conf muestra. Ahora iniciamos el servidor. Usted encontrar la tala
y el error
los mensajes de syslog.
root @ servidor :/ etc / openvpn # / etc / init.d / openvpn
inicio
* Iniciando el demonio de red privada virtual (s) ...
*
Autoarranque 'servidor' VPN
[OK]
[...]
368
MTU: 1500
Mtrica: 1
VPN
Copie las claves del cliente y el certificado de la CA que ha creado en la seccin anterior para, por ejemplo, / Etc /
openvpn / y editar / Etc / openvpn / client.conf para asegurarse de que las siguientes lneas que enlazan con los
archivos. Si tiene los archivos en / etc / openvpn / se puede omitir el paso.
ca ca.crt
cert client1.crt
clave client1.key
Y usted tiene que especificar al menos el nombre del servidor o la direccin de OpenVPN. Asegrese de que el cliente
clave
es en la configuracin. Eso es lo que activa el modo cliente.
cliente
distancia vpnserver.example.com 1194
[OK]
P-t-P: 10.8.0.5
Mscara: 255.255.255.255
MTU: 1500
369
Mtrica: 1
VPN
El servidor OpenVPN siempre utiliza la primera direccin IP utilizable en la red del cliente y slo
que la propiedad intelectual es pingable. Por ejemplo si se ha configurado un / 24 de la mscara de red del
cliente, la direccin 0.1
se utilizar. La direccin punto a punto que se ve en el resultado de ifconfig por encima de lo general no se
responde
solicitudes de ping.
Echa un vistazo a las rutas:
0.0.0.0
192.168.42.1
GenmaskFlags
255.255.255.255 UH
255.255.255.255 UGH
255.255.255.0
0.0.0.0
U
UG
MSS Window
0 0
0 0
0 0
0 0
irtt Iface
Tun0 0
Tun0 0
0 eth0
0 eth0
O usted puede empujar una puerta de enlace predeterminada a todos los clientes para enviar todo su trfico de
Internet
a la VPN
primera puerta
de enlace y de all a travs del firewall de la compaa en la internet. En esta seccin se muestran
algunas
las opciones posibles.
Presione rutas al cliente para que pueda llegar a otras subredes privadas detrs del servidor. Recuerde que
estas subredes privadas tambin se necesita saber para dirigir el conjunto de direcciones del cliente OpenVPN
(10.8.0.0/24)
de vuelta al servidor OpenVPN.
370
VPN
Si se habilita, esta directiva va a configurar todos los clientes para redirigir su puerta de enlace predeterminada a
travs de la red
la VPN, lo que todo el trfico IP, tales como la navegacin web y las bsquedas de DNS, y para ir a travs de la VPN
(La mquina del servidor OpenVPN o el servidor de seguridad central, puede ser necesario NAT la interfaz TUN /
TAP
para
Internet
para que esto funcione correctamente).
Configurar el modo de servidor y suministro de una subred VPN OpenVPN para dibujar las direcciones de los
clientes de. La
servidor se llevar a 10.8.0.1 por s mismo, el resto ser puesto a disposicin de los clientes. Cada cliente podr
llegar al servidor en 10.8.0.1. Comenta esta lnea si usted est Ethernet puente.
Mantener un registro de cliente para las asociaciones virtuales de direcciones IP en este archivo. Si se cae o
OpenVPN
se reinicia, los clientes de reconexin se le puede asignar la misma direccin IP virtual de la piscina que era
asignado previamente.
ifconfig-pool-persist ipp.txt
comp-lzo
La directiva keepalive causa como mesa de ping-que se enven mensajes de ida y vuelta a travs del enlace de manera
que cada
lado sabe cuando la otra parte se ha reducido. Ping cada 1 segundo, se supone que es distancia entre pares de abajo
si no hay mesa de ping recibidos durante un perodo de tiempo de 3 segundos.
keepalive 1 3
Es una buena idea para reducir los privilegios del demonio OpenVPN despus de la
inicializacin.
usuario nobody
grupo nogroup
371
VPN
OpenVPN 2.0 incluye una caracterstica que permite que el servidor OpenVPN para obtener con seguridad un nombre
de usuario y
contrasea de un cliente que se conecta, y utilizar esa informacin como base para la autenticacin del cliente.
Para utilizar este mtodo de autenticacin, agregue primero la directiva de autenticacin del usuario de paso a la
configuracin
del OpenVPN
cliente. Lopara solicitar al usuario un nombre de usuario / contrasea, que pasa que en el servidor
dirigir el cliente
sobre el canal seguro TLS.
# Configuracin del
cliente!
autenticacin de usuario
de paso
Esto le dir al servidor OpenVPN para validar el usuario / contrasea introducidos por los clientes que utilizan la
ingresa el mdulo PAM. Es til si usted tiene la autenticacin centralizada con, por ejemplo Kerberos.
Por favor lea la OpenVPN endurecimiento de la Gua de seguridadUn consejo de seguridad adicional.
Antes de configurar OpenVPN en modo puente que necesita para cambiar su configuracin de la interfaz. Vamos a
asumir que su servidor tiene una interfaz eth0 conectado a Internet y una interfaz eth1 conectada a
de la LAN que desea salvar. El archivo / etc / network / interfaces que de esta manera:
auto eth0
iface eth0 inet static
direccin 1.2.3.4
mscara de red 255.255.255.248
por defecto 1.2.3.1
auto eth1
iface eth1 inet static
# 1 http://openvpn.net/index.php/open-source/documentation/howto.html de seguridad
372
VPN
la direccin 10.0.0.4
mscara de red 255.255.255.0
Esta interfaz de configuracin recta hacia adelante hay que cambiar a un modo de puente, como en la configuracin
de interfaz eth1 se mueve a la nueva interfaz br0. Adems, podemos configurar que debera llenar la interfaz br0
eth1. Tambin tenemos que asegurarnos de que la interfaz eth1 est siempre en modo promiscuo - le dice al
Interfaz para desviar todas las tramas de Ethernet a la pila IP.
auto eth0
iface eth0 inet static
direccin 1.2.3.4
mscara de red 255.255.255.248
por defecto 1.2.3.1
auto eth1
iface eth1 inet manual de
por ip link set $ IFACE hasta el promisc
auto br0
iface br0 inet static
la direccin 10.0.0.4
mscara de red 255.255.255.0
bridge_ports eth1
En este punto es necesario reiniciar la red. Est preparado para que esto podra no funcionar como se esperaba y que
perder la conectividad remota. Asegrese de que puede resolver los problemas que tienen acceso local.
; Dev tun
dev tap
arriba "/ etc / openvpn / up.sh br0 eth1"
, Servidor 10.8.0.0 255.255.255.0
servidor de puente 10.0.0.4 255.255.255.0 10.0.0.128 10.0.0.254
A continuacin, cree un script de ayuda para agregar el aprovechar interfaz para el puente y para
asegurarse de que es eth1
modo promiscuo. Crear / Etc / openvpn / up.sh:
#! / Bin / sh
BR = $ 1
ETHDEV = $ 2
TAPDEV = $ 3
/ Sbin / ip link set "$ TAPDEV" hasta
373
VPN
/ Sbin / ip link set "$ ETHDEV" promisc de
/ Sbin / brctl addif $ BR $ TAPDEV
Luego, con el servidor configurado y los certificados de cliente copia en el / Etc / openvpn / directorio,
crear un archivo de configuracin de cliente copiando el ejemplo. En una terminal en la mquina cliente escriba:
sudo cp / usr / share / doc / openvpn ejemplos / / configuracin de la muestra-de los archivos / client.conf / etc / openvpn
dev tap
; Dev tun
Ahora debera ser capaz de conectarse a la red LAN remota a travs de la VPN.
374
VPN
Los siguientes paquetes extras sern instalados:
liblzo2-2-libpkcs11 helper1 network-manager-openvpn-gnome openvpn
Paquetes sugeridos:
resolvconf
Los siguientes paquetes se instalarn:
liblzo2-2-libpkcs11 helper1 network-manager-openvpn
network-manager-openvpn-gnome openvpn
0 actualizados, 5 nuevos instalados, 0 para eliminar y 631 no actualizados.
Necesito descargar 700 kB de archivos.
Despus de esta operacin, 3.031 kB de espacio de disco adicional se utilizar.
Desea continuar [S / n]?
Para informar a network-manager acerca de los nuevos paquetes instalados se tendr que reiniciar:
Abra el Administrador de Red de interfaz grfica de usuario, seleccione la pestaa de VPN y luego el botn 'Aadir'.
Seleccione OpenVPN como
el tipo de VPN en el solicitante de la apertura y pulse en 'Crear'. En la siguiente ventana de agregar el OpenVPN
servidor de nombres como el 'Gateway' set 'tipo' a los certificados (TLS) "," Certificado de Usuario "punto a su
usuario
certificado, "Certificado CA 'a su certificado de la CA y la" clave privada "a su archivo de clave privada. Utilice el
botn Opciones avanzadas para habilitar la compresin u otros ajustes especiales se establecen en el servidor. Ahora
trata de la VPN.
establecer
1.7.2. OpenVPN con interfaz grfica de usuario para Mac OS X:
Tunnelblick
Tunnelblick es una excelente aplicacin gratuita y de cdigo abierto de una interfaz grfica para OpenVPN para OS X.
La
pgina de inicio del proyecto se encuentra en http://code.google.com/p/tunnelblick/. Descarga la ltima versin del
sistema operativo de instalacin de X
aenpartir
de /ah
e instalarlo.
Entonces
ponga Support
su client.ovpn
fichero de
configuracin junto
con los certificados
/ Users
usuario
/ Library
/ Application
/ Tunnelblick
/ Configuraciones
/ y Tunnelblick
lauch y las
claves
de la carpeta de aplicaciones.
375
VPN
376
VPN
opkg actualizacin
opkg instalar OpenVPN
Echa un vistazo a / etc / config / openvpn y te ponen el cliente de configuracin en ese pas. Copia certificada de las
teclas y para / etc /
openvpn /
configuracin de openvpn
cliente1
opcin de permitir a un
opcin cliente 1
opcin dev tap
#
opcin dev tun
opcin proto udp
opcin ca / etc / openvpn / ca.crt
Reiniciar OpenVPN:
Usted tendr que ver si es necesario ajustar el enrutamiento del router y las reglas del cortafuegos.
1,8. Referencias
Consulte el OpenVPN4 pgina web para obtener informacin adicional.
OpenVPN endurecimiento de la Gua de
seguridad5
Adems, los Pakt OpenVPN: construccin e integracin de redes privadas virtuales 6 es un buen recurso.
4 http://openvpn.net/
5 # http://openvpn.net/index.php/open-source/documentation/howto.html de seguridad
6 http://www.packtpub.com/openvpn/book
377
378
1. pam_motd
Al iniciar sesin en un servidor de Ubuntu te habrs dado cuenta el mensaje informativo del Da
(MOTD). Esta informacin se obtiene y se muestra mediante un par de paquetes:
paisaje comn: proporciona las bibliotecas del ncleo del paisaje y el cliente, que pueden ser utilizadas para
administrar
sistemas que utilizan la web en base Paisaje aplicacin. El paquete incluye el / usr/bin/landscapeutilidad sysinfo que se utiliza para recopilar la informacin que aparece en el MOTD.
update-notifier-common: se utiliza para actualizar automticamente el MOTD a travs del mdulo
pam_motd.
pam_motd ejecuta las secuencias de comandos en / Etc / update-motd.d en el orden basado en el nmero
antepuesto
el guin. La salida de los guiones se escriben en / Var / run / motd, Manteniendo el orden numrico, entonces
concatenado con / Etc / motd.tail.
Usted puede agregar la informacin de su propia dinmica a la MOTD. Por ejemplo, para aadir el clima local
informacin:
En primer lugar, instalar el paquete clima-util:
La utilidad del tiempo utiliza los datos METAR de la Administracin Nacional Ocenica y Atmosfrica
y las previsiones del Servicio Meteorolgico Nacional. Con el fin de encontrar informacin local tendr
el de 4 caracteres Indicador de lugar OACI. Esto puede ser determinado por la navegacin a la Nacional
El tiempo de servicioUn sitio.
Aunque el Servicio Meteorolgico Nacional es una agencia de gobierno de Estados Unidos no son el clima
estaciones disponibles en todo el mundo. Sin embargo, la informacin del tiempo local para todas las ubicaciones
fuera de los EE.UU.
puede no estar disponible.
Crear / Usr / local / bin / local a la intemperie, Un simple script de shell para utilizar el tiempo con su
oficina local de la OACI
Indicador:
#! / Bin / sh
#
#
# Imprime la informacin del tiempo local para el MOTD.
#
#
1 http://www.weather.gov/tg/siteloc.shtml
379
Por ltimo, salir del servidor y volver a entrar para ver el MOTD nuevo.
Ahora debera ser recibido con un poco de informacin til, y alguna informacin sobre el local
El tiempo que puede no ser tan til. Esperemos que el ejemplo local de clima demuestra la
flexibilidad de pam_motd.
380
2. etckeeper
etckeeper permite que el contenido de / Etc ser fcilmente almacenado en el control de versiones del sistema (VCS)
repositorio.
Se engancha a tienden a comprometerse de forma automtica los cambios en / Etc cuando los paquetes se han instalado
o actualizado.
Colocacin / Etc bajo control de versiones se considera una mejor prctica del sector, y es el objetivo de etckeeper
para que este proceso sea lo menos doloroso posible.
Instale etckeeper escribiendo lo siguiente en una terminal:
El archivo de configuracin principal, / Etc / etckeeper / etckeeper.conf, Es bastante simple. La opcin principal
es
que VCS para su uso. De forma predeterminada etckeeper est configurado para usar bzr para el control de versiones. El
repositorio es
inicializa automticamente (y se comprometieron por primera vez) durante la instalacin del paquete. Es posible
deshacer esta introduciendo el siguiente comando:
No inic etckeeper sudo
De forma predeterminada, se compromete etckeeper cambios no confirmados realizados a / etc todos los das. Esto
se puede desactivar
utilizando la opcin de configuracin AVOID_DAILY_AUTOCOMMITS. Se har tambin de forma automtica
confirmar los cambios antes y despus de la instalacin del paquete. Para un seguimiento ms preciso de los
cambios, es
recomienda confirmar los cambios manualmente, junto con un mensaje de confirmacin, mediante:
Con los comandos de control de versiones se puede ver informacin acerca de los archivos
de registro en la / Etc:
registro de bzr sudo / etc / passwd
Cuando la instalacin haya finalizado, todos los archivos de configuracin de sufijo debe estar comprometido
con el
repositorio:
Comprometerse a: / etc /
aadido aliases.db
modificacin del grupo
grupo modificado
gshadow modificado
gshadow-modificado
modificado passwd
modificado passwdaadido postfix
381
/
/
/
/
post-instalacin
postfix-archivos
postfix-script
sasl
aadidoppp / ip-down.d
aadidoppp / ip-down.d / postfix
aadidoppp / ip-up.d / postfix
aadidorc0.d/K20postfix
aadidorc1.d/K20postfix
aadidorc2.d/S20postfix
aadido rc3.d/S20postfix
aadido rc4.d/S20postfix
aadido rc5.d/S20postfix
aadido rc6.d/K20postfix
resolvconf aadido / actualizacin
libc.dresolvconf aadido / update-libc.d / postfix
aadido rsyslog.d / postfix.conf
aadido UFW / applications.d / postfix
Comprometidos con la revisin
2.
Para un ejemplo de cmo etckeeper seguimiento de los cambios manuales, aadir un nuevo host para / Etc / hosts.
Usando bzr
puede ver qu archivos han sido modificados:
estado de bzr sudo / etc /
modificada por:
los
ejrcitos
382
3. Byobu
Una de las aplicaciones ms tiles para cualquier administrador del sistema es la pantalla. Se permite la ejecucin de
proyectiles mltiples en una sola terminal. Para hacer un poco de la pantalla de las funciones avanzadas ms fcil de
usar, y
proporcionar informacin til sobre el sistema, el paquete fue creado byobu.
Cuando se ejecuta pulsando el byobu F9 clave que aparezca el men de configuracin. Este men se
le permiten:
Ver el men Ayuda
El color de fondo del cambio Byobu
El color de primer plano Cambiar Byobu
Las notificaciones de estado de
palanca
Cambie el conjunto de combinacin de
teclas
Cambie la secuencia de escape
Crear nuevas ventanas
Gestionar la predeterminada de Windows
Byobu actualmente no se ejecuta al iniciar la sesin (activar)
La combinaciones de teclas determinar aspectos tales como la secuencia de escape, una nueva ventana, la ventana
de cambio, etc
Hay dos grupos principales de unin para elegir teclas de funcin y evacuacin de pantalla de las teclas. Si
originales
combinaciones
de teclas elegir el ninguno
desea utilizar
el
establecido.
byobu ofrece un men que muestra la versin de Ubuntu, la informacin del procesador, la memoria
informacin, y la fecha y la hora. El efecto es similar a un men de escritorio.
Utilizando el "Byobu actualmente no se ejecuta al iniciar la sesin (de alternancia en)" opcin har que byobu
ser
ejecutada en cualquier momento se abre un terminal. Los cambios realizados en byobu estn en funcin de cada
afectar
usuario,a yotros
no seusuarios en el sistema.
Una diferencia cuando se utiliza byobu es el scrollback modo. Pulse el botn F7 para entrar en el modo de scroll.
El modo de scroll le permite navegar a la salida el pasado con vi como comandos. Aqu est una lista rpida de
comandos de movimiento:
h- Mueva el cursor a la izquierda un carcter
j- Mover el cursor hacia abajo por una lnea
k- Mover el cursor hacia arriba por una lnea
l- Mover el cursor hacia la derecha por un carcter
0- Ir al principio de la lnea actual
$- Ir al final de la lnea actual
G- Pasa a la lnea indicada (por defecto el final del bfer)
/- Bsqueda hacia delante
383
384
4. Referencias
Consulte el update-motd pgina man2 para ms opciones disponibles para actualizar-motd.
El paquete Debian del Da tiempo3 El artculo tiene ms detalles sobre cmo usar el weatherutility.
Consulte el etckeeper4 sitio para obtener ms informacin sobre el uso de etckeeper.
El etckeeper Wiki de Ubuntu5 pgina.
Para conocer las ltimas noticias e informacin sobre bzr ver el bzr6 sitio web.
Para obtener ms informacin en la pantalla de ver el pantalla de sitio
web7.
Y el Wiki de Ubuntu la pantalla8 pginas.
Adems, vea la byobu Pgina del proyecto9 para ms informacin.
2 http://manpages.ubuntu.com/manpages/precise/en/man1/update-motd.1.html
3
4 http://kitenet.net/ ~ joey / code / etckeeper /
5 https://help.ubuntu.com/community/etckeeper
6 http://bazaar-vcs.org/~~V
7 http://www.gnu.org/software/screen/
8 https://help.ubuntu.com/community/Screen
9 https://launchpad.net/byobu
385
Apndice A. Apndice
386
Apndice
ubuntu-bug NOMBREPAQUETE
Por ejemplo, para presentar un error contra el paquete openssh-server, puede hacer:
ubuntu-bug openssh-server
Puede especificar un paquete binario o el paquete de fuentes para ubuntu-bug. Una vez ms usando opensshservidor como un ejemplo, tambin puede generar el informe en contra del paquete de fuentes de opensshservidor, OpenSSH:
ubuntu-bug openssh
Ver Captulo 3, La administracin de paquetes [p. 20] Para obtener ms informacin acerca de los
paquetes de
Ubuntu.
El comando ubuntu-bug reunir informacin sobre el sistema en cuestin, que pueden incluir
informacin especfica para el paquete especificado, y luego hacer lo que te gustara hacer con
la informacin recopilada:
ubuntu-bug postgresql
La recogida de informacin *** problema
La informacin recopilada puede ser enviado a los desarrolladores para mejorar la
aplicacin. Esta operacin puede tardar unos minutos.
..........
1 https://launchpad.net/
2 https://help.launchpad.net/YourAccount/NewAccount
387
Apndice
*** Enviar informe de problemas a los
desarrolladores?
Despus de que el informe de problemas ha sido enviado, por favor llene el formulario
en el
abre automticamente navegador web.
Qu te gustara hacer? Sus opciones son:
S: Enva el informe (1,7 Kb)
V: Ver informe
K: Mantener archivo de informe para el envo fuera de plazo o copiar a otra
parte
C: Cancelar
Por favor, elija (S / V / M / C):
Opciones:
1: Abra el navegador de hoy
C: Cancelar
Por favor, elija (1 / C):
Si usted decide iniciar un navegador, de forma predeterminada el texto basado en w3m navegador web se utilizar
para
terminar
presentar
el informe de error. Alternativamente, usted puede copiar la URL dada a un navegador web actualmente en
funcionamiento.
Ver informe La seleccin Ver informe hace que la informacin recopilada para que se muestre a la
terminales para su revisin.
388
Apndice
adduser 3.112ubuntu1
base-files 5.0.0ubuntu10
base-passwd 05/03/22
coreutils 7.4-2ubuntu2
...
Cancelar Si selecciona Cancelar hace que la informacin recopilada para ser desechado.
Ver Captulo 3, La administracin de paquetes [p. 20] Para obtener ms informacin sobre el manejo de
paquetes en
Ubuntu.
Una vez que se han asegurado de que el gdb est instalado, abra el archivo / Etc / default / apport en su editor
de
texto, el activado fijar a ser 1de este modo:
y cambiar
389
Apndice
enabled = 1
# Set bsico de vertido mxima de tamao de archivo (por defecto: 209715200 bytes ==
200 MB)
maxsize = 209715200
Una vez que haya terminado de editar / Etc / default / apport, Inicie el servicio apport:
Despus de una aplicacin se bloquea, utilice el comando apport-cli para buscar el informe de errores existente
guardado
informacin:
apport-cli
Tablero *** cerr inesperadamente el 11/03/2010 a las 21:40:59.
Si no estaban haciendo nada confidencial (contraseas u otros que entran en
informacin privada), puede ayudar a mejorar la aplicacin por
la presentacin de
informes
el problema.
Qu te gustara hacer? Sus opciones son:
R: informe de problemas ...
I: Cancelar e ignorar los accidentes en el futuro de esta versin del
programa
C: Cancelar
Por favor, elija (R / E / C):
Seleccin Informe de Incidencia le guiar a travs de medidas similares cuando se utiliza como ubuntu-bug.
Uno
diferencia importante es que un informe de choque ser marcado como privado, cuando present en Launchpad,
lo que significa que ser visible slo a un conjunto limitado de triagers de errores. Estos triagers revisar la
recogida de datos para obtener informacin privada antes de hacer el informe de error visible para el pblico.
1,3. Recursos
Consulte el Informar sobre Fallos3 Ubuntu wiki de la pgina.
Adems, el Apport4 pgina tiene alguna informacin til. Aunque algunos de los que se refiere al uso de una interfaz grfica de usuario.
3 https://help.ubuntu.com/community/ReportingBugs
4 https://wiki.ubuntu.com/Apport
390