Manual Linux

Administracin de servicios de red con Red Hat/Fedora Linux
Tabla de contenido
Introduccin a TCP/IP..........................................................................................................9
ntroduccin al protocolo TCP/P.....................................................................................10
Familia de Protocolos TCP/P ....................................................................................10
Protocolo P - Direccionamiento P ............................................................................10
Clasificacin de direcciones P....................................................................................12
Direcciones P reservadas.......................................................................................... 13
Mscaras de subred....................................................................................................13
Protocolo ARP.............................................................................................................14
Protocolo CMP...........................................................................................................14
Protocolo GMP ..........................................................................................................15
UDP (User Datagram Protocol - Protocolo de Datagrama de Usuario)......................15
TCP (Transmission Control Protocol - Protocolo de Control de la Transmisin) ...... 16
Comparacin de TCP y UDP .....................................................................................16
Confiuracin de dis!ositivos de red............................................................................. "#
Deteccin y configuracin del hardware..........................................................................18
Scripts de red...................................................................................................................19
Ficheros de configuracin de red................................................................................19
Ficheros de configuracin de interfaz.........................................................................20
nterfaces Ethernet......................................................................................................20
nterfaces de acceso telefnico...................................................................................21
Otras interfaces...........................................................................................................22
Ficheros alias y clon....................................................................................................22
Scripts de control de interfaz.......................................................................................23
Asignacin de parmetros de red....................................................................................24
Nombre del host .........................................................................................................25
Direccin P, mscara de sub-red y puerta de enlace................................................25
Servidores de nombres de dominio............................................................................ 25
Agregar rutas adicionales............................................................................................26
Funcin de Re-envo de paquetes para P versin 4..................................................26
Funcin Zeroconf.........................................................................................................26
Verificacin de la configuracin...................................................................................27
La herramienta ethtool.....................................................................................................27
$et%or& File '(stem )$F'*...............................................................................................+9
Network File System (NFS).............................................................................................30
NFS y portmap............................................................................................................30
Trabajando con portmap.............................................................................................30
Archivos de configuracin del servidor NFS................................................................... 32
/etc/exports..................................................................................................................33
Archivos de configuracin de clientes NFS.................................................................35
/etc/fstab......................................................................................................................35
Opciones de montaje NFS comunes.......................................................................... 36
Resolucin de problemas de NFS con portmap..............................................................37
,(namic Host Confiuration Protocol ),HCP*...............................................................-9
Dynamic Host Configuration Protocol (DHCP)................................................................40
Motivos para usar el protocolo DHCP.........................................................................40
Configuracin de un servidor DHCP...............................................................................40
Archivo de configuracin.............................................................................................40
Parmetro Range (Rango)..........................................................................................42
Direccin P esttica con DHCP .................................................................................42
Base de datos de arrendamiento................................................................................42
Arranque y parada del servidor.......................................................................................43
Agente de retransmisin DHCP...................................................................................... 43
Interconexin con .indo%s / 'A01A ............................................................................23
Configuracin de SAMBA................................................................................................46
Configuracin de la seccin [global] de servidor SAMBA ..........................................46
Configuracin de la seccin [shares] de servidor SAMBA .........................................49
Accediendo a recursos SAMBA...................................................................................... 52
Escenarios tpicos............................................................................................................53
'ervidor !rox( '4uid ........................................................................................................33
Servidor proxy Squid.......................................................................................................56
Configuracin bsica.......................................................................................................56
Parmetro http_port.....................................................................................................57
Parmetro cache_mem...............................................................................................57
Parmetro cache_dir...................................................................................................58
Parmetro ftp_user......................................................................................................59
3 ng. van Ferreira
Control de acceso........................................................................................................59
Reglas de Control de Acceso......................................................................................60
Parmetro cache_mgr.................................................................................................61
Parmetro cache_peer: caches padres y hermanos.................................................. 61
Aplicando Listas y Reglas de control de acceso.............................................................62
Control de acceso - Caso 1.........................................................................................62
Control de acceso - Caso 2.........................................................................................62
Proxy Transparente.........................................................................................................63
Proxy transparente - Regla de iptables.......................................................................64
Estableciendo el idioma por defecto................................................................................64
niciando el servicio al arranque del sistema...................................................................65
Depuracin de errores.....................................................................................................65
5er( 'ecure FTP ,aemon )5'FTP,* .............................................................................. 66
Configuracin inicial.........................................................................................................67
Control del servicio vsftpd ...............................................................................................68
Control de acceso de los usuarios.................................................................................. 69
Usuarios annimos......................................................................................................69
Usuarios locales..........................................................................................................69
1er&ele( Internet $ame ,omain )1I$,*.......................................................................... #-
ntroduccin a DNS..........................................................................................................74
Tipos de zonas de los servidores de nombres................................................................75
BND como un servidor de nombres...............................................................................76
El archivo /etc/named.conf..........................................................................................77
Etiquetas de comentarios............................................................................................77
Declaracin acl............................................................................................................77
Declaracin include.....................................................................................................79
Declaracin options.....................................................................................................79
Declaracin zone.........................................................................................................81
Ejemplo de declaraciones de zone.............................................................................83
Otros tipos de declaraciones.......................................................................................85
Archivos de zona.........................................................................................................86
Registros de recursos de archivos de zona................................................................87
Red Hat Certified Engineer 4
Registro SOA (Start Of Authority)...............................................................................87
Registro NS (Name Server)........................................................................................88
Registro A (Address)...................................................................................................89
Registro CNAME (Cannonical Name).........................................................................89
Registro CNAME (Cannonical Name).........................................................................89
Registro PTR (PoinTeR)............................................................................................. 90
Ejemplo de archivo de zonas......................................................................................90
Archivos de zona de resolucin de nombres inversa................................................. 91
Uso de rndc......................................................................................................................92
Configuracin de /etc/named.conf para rndc..............................................................92
Configuracin de /etc/rndc.conf...................................................................................93
Opciones de lnea de comandos de rndc....................................................................93
'ervidor A!ac7e HTTP .....................................................................................................93
Directivas de configuracin en httpd.conf....................................................................... 96
Sugerencias de configuracin generales....................................................................96
Directiva ServerRoot...................................................................................................97
Directiva PidFile...........................................................................................................97
Directiva Timeout.........................................................................................................97
Directiva KeepAlive.....................................................................................................97
Directiva MaxKeepAliveRequests...............................................................................97
Directiva KeepAliveTimeout........................................................................................98
Directivas MinSpareServers y MaxSpareServers.......................................................98
Directiva StartServers..................................................................................................98
Directiva MaxClients....................................................................................................98
Directiva Listen............................................................................................................98
Directiva nclude..........................................................................................................99
Directiva User..............................................................................................................99
Directiva Group............................................................................................................99
Directiva ServerAdmin.................................................................................................99
Directiva ServerName...............................................................................................100
Directiva DocumentRoot........................................................................................... 100
Directiva Directoryndex............................................................................................100
5 ng. van Ferreira
Directiva AccessFileName........................................................................................101
Directiva HostnameLookups.....................................................................................101
Directiva ErrorLog......................................................................................................101
Directiva LogLevel.....................................................................................................101
Directiva ServerSignature.........................................................................................101
Directiva Redirect......................................................................................................102
Configuracin de directorios .........................................................................................102
Directiva Alias............................................................................................................102
Directiva ScriptAlias...................................................................................................102
Directiva AddHandler.................................................................................................103
Directiva Directory.....................................................................................................103
Directiva Options.......................................................................................................104
Directiva AllowOverride.............................................................................................104
Directiva Order..........................................................................................................105
Directiva UserDir.......................................................................................................105
Arrancar y detener httpd................................................................................................106
Configuracin de mquinas virtuales............................................................................107
Directiva NameVirtualHost........................................................................................107
Directiva VirtualHost..................................................................................................107
Mquinas Virtuales....................................................................................................107
Ejemplo de creacin de mquinas virtuales..............................................................108
Configuracin de autenticacin para el acceso a directorios........................................109
Configuracin del Servidor Seguro Apache HTTP........................................................109
Vista preliminar de los paquetes relacionados con la seguridad..............................110
Vista preliminar de certificados y seguridad..............................................................110
Generar una clave.....................................................................................................111
Generar una peticin de certificado para enviarla a un CA......................................113
Creacin de un certificado autofirmado.................................................................... 115
Probar su certificado..................................................................................................115
Forzar el uso del modo SSL......................................................................................116
'ervicios de correo electrnico.....................................................................................""#
Postfix............................................................................................................................118
Arquitectura de Postfix..............................................................................................118
Archivos de configuracin de Postfix........................................................................120
EL archivo main.cf.....................................................................................................121
Directivas adicionales................................................................................................122
Direcciones cannicas.............................................................................................. 122
Usuarios reubicados..................................................................................................123
Listas de correo.........................................................................................................123
Administracin de colas............................................................................................124
Herramientas de gestin de colas.............................................................................125
Listar mensajes.........................................................................................................126
Borrando mensajes...................................................................................................126
Reteniendo mensajes................................................................................................126
Reencolando mensajes.............................................................................................127
Mostrando mensajes.................................................................................................127
Liberando mensajes..................................................................................................127
Mapas de transporte..................................................................................................127
Gateway de reenvo interno......................................................................................129
Reenvo de correo saliente.......................................................................................129
Enmascarando nombres de host..............................................................................130
Sendmail........................................................................................................................131
Confirmando la instalacin de Sendmail...................................................................131
Configurando Sendmail.............................................................................................131
Control de RELAY.....................................................................................................132
nicio del servicio sendmail .......................................................................................134
Administrando los aliases..........................................................................................134
Cmo usar un anfitrin inteligente............................................................................ 136
Central de correo.......................................................................................................136
Habilitando los servicios POP3 e MAP.........................................................................137
Dovecot......................................................................................................................137
Configuracin de Webmail.............................................................................................137
'ecure '7ell ....................................................................................................................."-9
Secure Shell...................................................................................................................140
7 ng. van Ferreira
El demonio SSH............................................................................................................140
Control del servicio SSH................................................................................................142
Cliente SSH para Windows...........................................................................................143
Transferencias de archivos de forma segura................................................................143
Secure copy...............................................................................................................144
$et%or& Time Protocol...................................................................................................."23
Convenciones generales...............................................................................................146
Zonas horarias...............................................................................................................147
Daylight Savings Time...............................................................................................147
Los archivos de zona horaria ...................................................................................147
El proyecto pool.ntp.org ................................................................................................149
Configuracin de NTP...................................................................................................150
'olucin de !roblemas..................................................................................................."32
Diagnstico y solucin de problemas de red y servicios...............................................155
"
Introduccin a TCP/IP
ntroduccin a TCP/P
Introduccin a TCP/IP
Introduccin al !rotocolo TCP/IP
Los protocolos establecen una descripcin formal de los formatos que deben
representar los mensajes para poder ser intercambiados por equipos de cmputo;
adems definen las reglas que ellos deben seguir para lograrlo.
Familia de Protocolos TCP/IP
El protocolo TCP/P est compuesto por varios protocolos que proveen distintas
funciones relacionadas con la capa del modelo OS en que se encuentran.
Los protocolos que conforman el TCP/P y su relacin con el modelo OS son:
Modelo OSI Modelo TCP/IP Suite de protocolos TCP/IP
Aplicacin
Presentacin
Sesin
Aplicacin FTP DNS SMTP SSH WWW
Transporte Transporte TCP UDP
Red Internet IP ARP ICMP - IGMP
Enlace
Fsico
Interface de red Ethernet
Token
Ring
Frame
Relay
ATM
Protocolo IP / ,ireccionamiento IP
Las direcciones de nternet pueden ser simblicas o numricas. La forma simblica
es ms fcil de leer, por ejemplo: www.redhat.com. La forma numrica es un
nmero binario sin signo de 32 bits, habitualmente expresado en forma de nmeros
decimales separados por puntos. Por ejemplo, 9.167.5.8 es una direccin de
nternet vlida.
La forma numrica es usada por el software de P. La funcin de mapeo entre los
dos la realiza el DNS (Domain Name System) discutido posteriormente.
Primeramente examinaremos la forma numrica, denominada direccin P. La
direccin P Para ser capaz de identificar una mquina en nternet, a cada interfaz
de red de la mquina o host se le asigna una direccin, la direccin P, o direccin
de nternet.
ntroduccin a TCP/P
Las direcciones P son nmeros de 32 bits representados habitualmente en formato
decimal (la representacin decimal de cuatro valores binarios de 8 bits
concatenados por puntos). Por ejemplo128.2.7.9 es una direccin P. Las
direcciones P son usadas por el protocolo P(ver nternet Protocol (P)) para definir
nicamente un host en la red.
El formato binario para la direccin P 128.2.7.9 es:
,ecimal 1inario
128.2.7.9 10000000.00000010.00000111.00001001
Una direccin P se compone de dos partes, una de ellas identifica la red a la que
pertenece el host (equipo) y otra identifica al equipo en s.
Las direcciones P deben ser nicas y no deben repetirse dentro de una misma red.
Los host que desean comunicarse entre s en una red, deben tener configurados la
misma direccin de red. Puede pensar en esta direccin como el cdigo de rea de
un nmero telefnico. Para todos los nmeros de Ciudad del Este son iguales.
Cada dispositivo dentro de una red debe tener una nica direccin de host. Puede
considerar que esta direccin es el nmero especfico de telfono con quien se
desea comunicar en C.E. Existen reglas que definen que parte de la direccin P
identifica a la red y que parte identifica al host. Estas reglas son conocidas como
Clases de direcciones P.
Hay cinco clases de direcciones P:
0 8 16 24 31
Clase A 0 Redes Hosts
Clase B 10 Redes Hosts
Clase C 110 Redes Hosts
Clase D 1110 Multicast
Clase 1111 Resevado
Solo las clases A, B y C son utilizadas para redes empresariales.
Las direcciones de clase A usan 7 bits para el nmero de red permitiendo 126
posibles redes(veremos posteriormente que de cada par de direcciones de red y de
host, dos tienen un significado especial). Los restantes 24 bits se emplean para el
nmero de host, de modo que cada red tener hasta 16,777,214 hosts.
Las direcciones de clase B usan 14 bits para el nmero de red, y 16 bits para el de
host, lo que supone 16382 redes de hasta 65534 hosts cada una.
11 ng. van Ferreira
ntroduccin a TCP/P
Las direcciones de clase C usan 21 bits para el nmero de red y 8 para el de host,
lo que supone 2,097,150 redes de hasta 254 hosts cada una.
Las direcciones de clase D se reservan para multicasting o multidifusin, usada
para direccionar grupos de hosts en un rea limitada.
Las direcciones de clase E se reservaron para usos en el futuro.
Clasificacin de direcciones IP
Las direcciones P se clasifican en:
,irecciones IP !8blicas. Son visibles en todo nternet. Un ordenador con
una P pblica es accesible (visible) desde cualquier otro ordenador
conectado a nternet. Para conectarse a nternet es necesario tener una
direccin P pblica.
,irecciones IP !rivadas )reservadas*. Son visibles nicamente por otros
hosts de su propia red o de otras redes privadas interconectadas por
ruteadores. Se utilizan en las empresas para los puestos de trabajo. Los
ordenadores con direcciones P privadas pueden salir a nternet por medio
de un ruteador (o proxy) que tenga una P pblica. Sin embargo, desde
nternet no se puede acceder a ordenadores con direcciones P privadas.
A su vez, las direcciones P pueden ser:
,irecciones IP est9ticas )fi:as*. Un host que se conecte a la red con
direccin P esttica siempre lo har con una misma P. Las direcciones P
pblicas estticas son las que utilizan los servidores de nternet con objeto
de que estn siempre localizables por los usuarios de nternet. Estas
direcciones deben ser contratarlas.
,irecciones IP din9micas. Un host que se conecte a la red mediante
direccin P dinmica, cada vez lo podra hacer con una direccin P distinta.
Para ello es necesario que en la red exista un servidor DHCP (Dynamic Host
Configuration Protocol).
Clase !or"ato #$"ero de
%edes
#$"ero de
&osts
%a'(o de
direccio'es
M)scara por
de*ecto
A r.h.h.h
128 16777214
0.0.0.0-
127.0.0.0
255.0.0.0
B r.r.h.h
16384 65534
128.0.0.0-
191.255.0.0
255.255.0.0
C r.r.r.h
2097152 254
192.0.0.0-
223.255.255.0
255.255.255.0
ntroduccin a TCP/P
,irecciones IP reservadas
Las siguientes direcciones P pueden ser utilizadas dentro de una red privada
(empresarial) sin requerir autorizacin de una organizacin de asignacin de
direcciones P.
Clase A; 10.0.0.0
Clase 1; 172.16.0.0 - 172.31.0.0
Clase C; 192.168.0.0 - 192.168.255.0
Direcciones especiales que no pueden ser utilizadas:
<.<.<.< esta reservada para la puerta de enlace por defecto (default
gateway ).
"+#.<.<.< esta reservada para la tarjeta de red loopback en cada host
(127.0.0.1) utilizada para comunicacin dentro del mismo host y diagnstico.
Todos los bits de la !orcin de 7osts a <; Ej. 192.168.0.0 Este es el
nmero que identifica a la red.
Todos los bits de la !orcin de 7osts a "; Ej. 192.168.255.255 Este es el
nmero de broadcast. El broadcast es una direccin utilizada para enviar
mensajes a todos los hosts de la red.
09scaras de subred
Los d. de red y de host en una direccin P se distinguen mediante una mscara
de subred. Cada mscara de subred es un nmero de 32 bits que utiliza grupos de
bits consecutivos de todo unos (1) para identificar la parte de d. de red y todo
ceros (0) para identificar la parte de d. de host en una direccin P.
Por ejemplo, la mscara de subred que se utiliza normalmente con la direccin P
131.107.16.200 es el siguiente nmero binario de 32 bits:
,ecimal 1inario
255.255.0.0 11111111.11111111.00000000.00000000
Este nmero de mscara de subred est formado por 16 bits uno seguidos de 16
bits cero, lo que indica que las secciones de d. de red e d. de host de esta
direccin P tienen una longitud de 16 bits. Normalmente, esta mscara de subred
se muestra en notacin decimal con puntos como 255.255.0.0.
13 ng. van Ferreira
ntroduccin a TCP/P
Normalmente, los valores predeterminados de mscara de subred (como se
muestra en la tabla anterior) son aceptables para la mayor parte de las redes sin
requisitos especiales en las que cada segmento de red P corresponde a una nica
red fsica.
En algunos casos, puede utilizar mscaras de subred personalizadas para
implementar la creacin de subredes P. Con la creacin de subredes P, se puede
subdividir la parte de d. de host predeterminada en una direccin P para
especificar subredes, que son subdivisiones del d. de red basado en la clase
original.
Al personalizar la longitud de la mscara de subred, puede reducir el nmero de
bits que se utilizan para el d. de host actual.
Para evitar problemas de direcciones y enrutamiento, debe asegurarse de que
todos los equipos TCP/P de un segmento de la red utilizan la misma mscara de
subred.
Protocolo ARP
Dentro de una misma red, las mquinas se comunican envindose tramas fsicas.
Las tramas Ethernet contienen campos para las direcciones fsicas de origen y
destino (6 bytes cada una) tambin conocidas como MAC address.
El MAC address es una direccin que est grabada en cada tarjeta de red y es
nica para cada tarjeta fabricada en el mundo. Por ejemplo puede ser representado
de la siguiente forma:
08-00-4c-85-fc-8c
08:00:4c:85:fc:8c
El problema que se nos plantea es cmo podemos conocer la direccin fsica de la
mquina destino. Necesitamos obtener la direccin fsica de un ordenador a partir
de su direccin P. Esta es justamente la misin del protocolo ARP (Address
Resolution Protocol, protocolo de resolucin de direcciones).
Protocolo IC0P
Debido a que el protocolo P no es fiable, los datagramas pueden perderse o llegar
defectuosos a su destino. El protocolo CMP (nternet Control Message Protocol,
protocolo de mensajes de control y error) se encarga de informar al origen si se ha
producido algn error durante la entrega de su mensaje.
Pero no slo se encarga de notificar los errores, sino que tambin transporta
ntroduccin a TCP/P
distintos mensajes de control.
Cam!o de ti!o Ti!o de mensa:e IC0P
0 Respuesta de eco (Echo Reply)
3 Destino inaccesible (Destination Unreachable)
4 Disminucin del trfico desde el origen (Source Quench)
5 Redireccionar, cambio de ruta (Redirect)
8 Solicitud de eco (Echo)
11 Tiempo excedido para un datagrama (Time Exceeded)
12 Problema de Parmetros (Parameter Problem)
13 Solicitud de marca de tiempo (Timestamp)
14 Respuesta de marca de tiempo (Timestamp Reply)
15 Solicitud de informacin, obsoleto (nformation Request)
16 Respuesta de informacin, obsoleto (nformation Reply)
17 Solicitud de mscara (Addressmask)
18 Respuesta de mscara (Addressmask Reply)
Protocolo I=0P
Este protocolo esta ntimamente ligado a P. Se emplea en maquinas que emplean
P multicast . El P multicast es una variante de P que permite emplear datagramas
con mltiples destinatarios.
>,P )>ser ,ataram Protocol / Protocolo de ,atarama de >suario*
UDP es uno de los dos principales protocolos que residen por encima de P. Ofrece
servicio a las aplicaciones de red de usuario. Algunos ejemplos de aplicaciones de
red que usan UDP son: NFS (Network File System - Sistema de Archivos de Red) y
SNMP (Simple Network management Protocol - Protocolo de administracin de
Red Simple).
El servicio es un poco ms que un interface a P. UDP es un servicio de entrega de
datagramas no orientado a conexin, lo cual no garantiza la entrega. UDP no
mantiene una conexin de extremo a extremo con el mdulo UDP remoto;
simplemente enva el datagrama a la red y acepta datagramas de entrada de la
red. UDP aade dos valores a los servicios provistos por P. Uno de ellos es la
multiplexacin de la informacin entre aplicaciones basndose en el nmero de
puerto. El otro es una suma de comprobacin (checksum) para comprobar la
integridad de los datos.
15 ng. van Ferreira
ntroduccin a TCP/P
TCP )Transmission Control Protocol / Protocolo de Control de la
Transmisin*
TCP ofrece un servicio diferente que UDP. TCP ofrece un flujo de bytes orientado a
conexin, en lugar de un servicio de entrega de datagramas no orientado a
conexin.
TCP garantiza la entrega, mientras que UDP no lo hace. TCP es usado por las
aplicaciones de red que quieren garanta de entrega y no pueden ser molestados
haciendo time-outs (tiempo de espera agotado) y retransmisiones. Las dos
aplicaciones de red ms tpicas que usan TCP son FTP (File Transfer Protocol -
Protocolo de Transferencia de Ficheros), SSH o TELNET. La mayor capacidad de
TCP no es gratis: requiere ms CPU y ancho de banda de red. Las interioridades
del mdulo TCP son mucho ms complicadas que las de un mdulo UDP.
Com!aracin de TCP ( >,P
El TCP es un protocolo de comunicacin entre dos mquinas con:
Negociacin de conexin
Acuse de recibo de cada paquete
Control de no duplicidad de paquetes
nmune a la llegada desordenada de paquetes
nmune a la perdida de paquetes (se solicitan otra vez)
UDP es un protocolo simple para transferir datos sin toda la sobrecarga del TCP y
sin ninguna de sus virtudes. En las conexiones UDP no hay negociacin, ni acuse
de recibo, ni control de perdida o desorden o duplicacin de paquetes, todo esto
debe ser gestionado por el servicio que emplea la conexin.
+
Confiuracin de dis!ositivos de red
Configuracin de dispositivos de red
Confiuracin de dis!ositivos de red
,eteccin ( confiuracin del 7ard%are
La deteccin del hardware es realizada o bien por el programa de instalacin, o
bien a travs de kudzu, un daemon que inicia con el sistema y que se encarga de
detectar y configurar los dispositivos de hardware instalados. En trminos
generales, no hace falta configurar parmetro alguno mientras los dispositivos de
red sean compatibles y exista un controlador para la versin del kernel ejecutado.
Si acaso no fuese detectado el dispositivo de red debido a la ausencia de kudzu, es
posible configurar todo manualmente. La marca de la tarjeta de red es lo que
menos interesa, lo que es importante es que se determine con exactitud que
chipset utiliza la tarjeta de red. Esto puede determinarse examinando fsicamente la
tarjeta de red o bien examinando a detalle la salida en pantalla que se obtiene al
ejecutar el siguiente comando:
# less /proc/pci
# lspci -v
Lo cual devuelve una salida similar a las siguiente (en el caso de una tarjeta 3Com
905 C)
Ethernet controller: 3Com Corporation 3c905C-TX [Fast Etherlink] (rev 120).
Debe editarse con un procesador de textos /etc/modules.conf (kernel 2.4) o
/etc/modprobe.conf (kernel 2.6) y debe verificarse que el mdulo de su tarjeta de red
realmente este especificado correctamente. Ejemplo:
alias eth0 3c59x
Si se realiz alguna edicin de este fichero, deber de ejecutarse el siguiente
comando, a fin de actualizar dependencias:
# /sbin/depmod -a
Si utiliza kernel 2.4.x, la lista de mdulos existentes en su equipo que puede utilizar
para distintos chipsets de distintas tarjetas de red se puede obtener enlistando el
contenido del directorio /lib/modules/[versin de su kernel]/kernel/drivers/net/.
Ejemplo:
# ls /lib/modules/2.4.9-ac10/kernel/drivers/net/
Si utiliza kenel 2.6, la lista de mdulos existentes en su equipo puede obtenerla del
mismo modo que la versin 2.4.x, o utilizar el comando:
# modprobe -t net -l
'cri!ts de red
Usando Red Hat Linux, todas las comunicaciones de red acontecen entre
interfaces, que son dispositivos de red conectados al sistema, configurados de un
modo determinado y usando un protocolo, al menos, para intercambiar datos con
otros sistemas. Los diferentes tipos de interfaz que existen son tan variados como
los dispositivos que los soportan.
Los ficheros de configuracin para las diferentes interfaces de red y scripts para
activarlos o desactivarlos estn ubicados en el directorio /etc/sysconfig/network-
scripts. Mientras que la existencia de ficheros de interfaces particulares puede
diferir de sistema a sistema dependiendo del uso, los tres tipos de ficheros
diferentes que existen en este directorio, ficheros de configuracin de interfaz,
scripts de control de interfaz y ficheros de funcin de red, funcionan conjuntamente
para habilitar Red Hat Linux para el uso de diversos dispositivos de red disponibles.
Este captulo explorar la relacin entre estos ficheros y las diferentes opciones
para su uso.
Fic7eros de confiuracin de red
Antes de revisar los ficheros de configuracin de interfaz estudiemos los ficheros
de configuracin principales que usa Red Hat Linux para configurar la red. La
comprensin del papel que desemepean en la configuracin de la red es
fundamental para configurar el sistema.
Los principales ficheros de configuracin de la red son los siguientes:
/etc/+osts El principal propsito de este fichero es resolver los nombres de
hosts que no se pueden resolver en otra manera. Se puede usar solamente
para resolver nombres de hosts en pequeas redes sin servidor DNS. Sin
tener en cuenta el tipo de red que el ordenador use, este fichero contiene un
lnea que especifica la direccin P del dispositivo loopback (127.0.0.1) como
por ejemplo localhost.localdomain.

/etc/resol,-co'* Este fichero especifica las direcciones P de los servidores
DNS y el dominio de bsqueda. A menos que se haya configurado para algo
diferente, los scripts de inicializacin de la red llenan este fichero.
/etc/s.sco'*i(/'et/or0 Especifica la informacin del routing y del host para
todas las interfaces de red.
/etc/s.sco'*i(/'et/or01scripts/i*c*(12i'ter*ace1'a"e3 Para cada interfaz de
19 ng. van Ferreira
red del sistema Red Hat Linux existe un script de configuracin de interfaz
para una interfaz de red determinada.
Fic7eros de confiuracin de interfa?
Los ficheros de configuracin de interfaz controlan la operacin de un dispositivo de
interfaz de red particular. Cuando su sistema Red Hat Linux arranca, utiliza estos
ficheros para saber qu interfaces utilizar automticamente y cmo configurarlas
para que operen correctamente. Estos ficheros habitualmente se conocen como
ifcfg-<device>, donde <device> hace referencia al nombre del dispositivo que
controla el fichero de configuracin.
Interfaces @t7ernet
Uno de los ficheros de interfaz ms comunes es ifcfg-eth0, que controla el primer
NC de un sistema. En un sistema con muchos NCs, tendr ficheros ifcfg-ethX
mltiples, cada uno con un nmero al final del nombre del fichero. Como cada
dispositivo tiene su propio fichero de configuracin, llevar un gran control sobre el
modo en que funciona cada interfaz.
Un ejemplo ifcfg-eth0 para un sistema que usa una direccin P fija sera de la
siguiente manera:
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
NETWORK=10.0.1.0
NETMASK=255.255.255.0
IPADDR=10.0.1.27
USERCTL=no
Los valores que se requieren en un fichero de configuracin de interfaz pueden
cambiar basndose en otros valores. Por ejemplo, el fichero ifcfg-eth0 para una
interfaz que use DHCP aparecer diferente, debido al hecho de que la informacin
P viene proporcionada por el servidor DHCP:
DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes
La mayora del tiempo, desear utilizar una utilidad GU, como por ejemplo redhat-
config-network, system-config-network o netconfig para hacer cambios en los
diversos ficheros de configuracin de interfaz.
Tambin puede modificar el fichero de configuracin de un determinado dispositivo
de red a mano. A continuacin, le mostramos los parmetros que necesita para
modificar el fichero de configuracin.
Dentro de cada uno de los ficheros de configuracin de la interfaz, son comunes los
siguientes valores:
BOOTP%OTO42protocol3, donde <protocol> es uno de los siguientes:
'o'e No se debera utilizar ningn protocolo de tiempo de arranque.
5ootp Se debera utilizar el protocolo BOOTP.
d+cp Se debera utilizar el protocolo DHCP.
B%OADCAST42address3, donde <address> es la direccin de broadcast.
D6IC42'a"e3, donde <name> es el nombre del dispositivo fsico (a excepcin
de los dispositivos PPP asignados de forma dinmica donde es el nombre
lgico).

D#S7182942address3, donde <address> es la direccin del servidor de nombres
que se tiene que colocar en /etc/resolv.conf si la directiva PEERDNS est
activada.
IPADD%42address3, donde <address> es la direccin P.
#TMAS:42"as03, donde <mask> es el valor de la mscara de red.
#T;O%:42address3, donde <address> es la direccin de red. Esta opcin ya no
se usa.
O#BOOT42a's/er3, donde <answer> es uno de los siguientes:
.es dispositivo debera activarse en el momento de arranque.

'o Este dispositivo no debera activarse en el momento de arranque.
P%D#S42a's/er3, donde <answer> es uno de las siguientes:
.es Modificar /etc/resolv.conf si la directiva DNS est activada. Si est
usando DCHP, la opcin s es la predeterminada.
'o No modificar /etc/resolv.conf
Interfaces de acceso telefnico
Si se conecta a una red, como nternet, a travs de la conexin de acceso
telefnico PPP, necesitar un fichero de configuracin para esa interfaz.
21 ng. van Ferreira
Este fichero se crea automticamente cuando usa las aplicaciones wvdial, ls
herramienta de administracin de redes o Kppp para crear una cuenta telefnica.
Adems, todos los cambios que se hagan en la cuentas telefnica se reflejan en
estos ficheros de configuracin de estos dispositivos. El Manual del principiante de
Red Hat Linux contiene las instrucciones para usar estas herramientas de conexin
telefnica. Tambin puede crear y modificar este fichero a mano. La muestra de
ficheros ifcfg-ppp0 sera de la siguiente manera:
DEVICE=ppp0
NAME=test
WVDIALSECT=test
MODEMPORT=/dev/modem
LINESPEED=115200
PAPNAME=test
USERCTL=true
ONBOOT=no
PERSIST=no
DEFROUTE=yes
PEERDNS=yes
DEMAND=no
IDLETIMEOUT=600
Atras interfaces
Otro fichero de configuracin de interfaz comunes que usan estas opciones es el
ifcfg-lo, que controla el dispositivo loopback local del protocolo P, ifcfg-irlan0,
que establece los parmetros para el primer dispositivo infrarojo, ifcfg-plip0, que
controla el primer dispositivo PLP, y ifcfg-tr0, que se usa con el primer dispositivo
Token Ring.
A menudo se usa una interfaz loopback en las pruebas as como una variedad de
aplicaciones que requieren una direccin P que apunte al mismo sistema. Todos
los datos que se mandan al dispositivo loopback vuelven inmediatamente a la red
del host.
Fic7eros alias ( clon
Dos tipos menos usados de ficheros de configuracin de interfaz que se
encuentran en /etc/sysconfig/network-scripts son los ficheros alias y clon, que
incluyen un componente adicional en el nombre del fichero ms all del nombre de
la interfaz.
Los ficheros de configuracin de la interfaz toman nombres en el formato de ifcfg-
<if-name>:<alias-value>: y permiten que un alias seale una interfaz. Por ejemplo,
un fichero ifcfg-eth0:0: podra estar configurado para especificar DEVICE=eth0:0 y
una direccin P esttica de 10.0.0.2, que sirva como un alias de una interfaz
Ethernet que ya haya sido configurada para recibir la informacin P a travs de
DHCP en ifcfg-eth0. Llegado a ese punto, el dispositivo eth0 est ligado a una
direccin P 10.0.0.2.
Un fichero de configuracin de clon tiene un nombre parecido a ifcfg-<if-name>-
<clone-name>. Un fichero alias es otro modo de referirse a un fichero de
configuracin de interfaz ya existente, mientras que un fichero clon se usa para
especificar opciones adicionales al especificar una interfaz. Por ejemplo, si tiene
una interfaz Ethernet DHCP estndar llamada eth0, ser de la siguiente manera:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
Como USERCTL no est configurado para la opcin s, los usuarios no pueden activar
y desactivar esta interfaz. Para que los usuarios gocen de esta habilidad, cree un
clon llamado user de ifcfg-eth0 que permita que un usuario active o no la interfaz
eth0. El nombre que resulta del clon sera ifcfg-eth0-user y tan slo necesitara
una lnea:
USERCTL=yes
Cuando un usuario activa la interfaz eth0 mediante el comando ifup eth0-user, las
opciones de configuracin desde ifcfg-eth0 y ifcfg-eth0-user se usan
conjuntamente. Aunque este ejemplo es muy sencillo, este mtodo puede ser
utilizado con una variedad de opciones e interfaces.
Si desea configurar un alias a una interfaz slo momentneamente puede usar el
conmando ifconfig. Por ejemplo para crear un alias en la interfaz eth0 ejecute:
# ifconfig eth0:0 192.168.1.1
# ifconfig eth0:0 192.168.2.1
De esta forma podr acceder a las redes 192.168.1.0 y 192.168.2.0. Para
desactivar un alias ejecute el comando:
# ifconfig eth0:0 down
'cri!ts de control de interfa?
Los scripts de control de interfaz controlan la activacin y desactivacin de las
conexiones de interfaz. Existen dos scripts de control de la interfaz primarios,
/sbin/ifdown y /sbin/ifup que utilizan otros scripts de control variados localizados
en el directorio /etc/sysconfig/network-scripts para activar y desactivar las
interfaces de red.
Los dos scripts de control de interfaz son ifdown y ifup y son enlaces simblicos
para los scripts en el directorio /sbin. Cuando se solicita cualquiera de estos
scripts, aceptan el uso de un valor de la interfaz, como por ejemplo:
# ifup eth0
23 ng. van Ferreira
Determining IP information for eth0... done.
Tras haber verificado que se ha especificado una interfaz y que al usuario que ha
ejecutado la peticin se le permite activar o desactivar la interfaz, se solicita el
script correcto para el tipo de dispositivo de interfaz. Los siguientes scripts de
control de interfaz son los ms habituales de este tipo:
i*up1aliases Configura los alias P desde los ficheros de configuracin de la
interfaz cuando se asocia ms de una direccin P con una interfaz.
i*do/'1ip,6 ( i*up1ip,6 Contiene la llamada de funciones basadas en Pv6
que utilizan las variables de entorno en varios ficheros de configuracin de la
interfaz y /etc/sysconfig/network.

i*up1ip< Se usa para configurar una interfaz PX.
i*up1plip Se usa para configurar una interfaz PLP.
i*up1plus5 Se usa para configurar una interfaz USB para conexiones de red.
i*do/'1post e i*up1post Contiene comandos que se ejecutan despus de que
una interfaz particular haya sido activada o desactivada.
i*do/'1ppp e i*up1ppp Se usa para activar o desactivar una interfaz PPP
mediante el uso de un dispositivo en particular.
i*up1routes Aade rutas estticas para un dispositivo en particular como si
se activase su interfaz.
i*do/'1sl . i*up1sl Se usa para activar o desactivar una interfaz SLP.
Tenga en cuenta que si elimina o modifica estos scripts puede provocar varias
conexiones de interfaz que pueden funcionar de forma extraa o incluso fallar,
debido a que los scripts tienden a apoyarse uno en el otro. Sin embargo, los
usuarios avanzados pueden modificar los scripts relacionados con una interfaz
especfica para hacer que se produzcan pasos adicionales cuando esa interfaz se
activa o desactiva.
Tambin puede utilizar el script init /etc/rc.d/init.d/network para activar o
desactivar todas las interfaces de red configuradas para iniciar en el momento de
arranque con el comando:
# /sbin/service network start | stop | restart
Asinacin de !ar9metros de red
$ombre del 7ost
Debe editarse con un procesador de textos el archivo /etc/hosts, y debe verificarse
que el nombre de la mquina est asociada a su direccin P correspondiente y no
a la interfaz loopback. Ejemplo:
127.0.0.1 localhost.localdomain localhost
192.168.1.50 host.dominio.com.py host
Se debe establecer un nombre para el sistema. Este deber ser un nombre de
dominio completamente resuelto por un servidor de nombre de domino (DNS) o
bien, en el caso de sistemas sin conexin a red o sistemas caseros, sea resuelto
localmente en /etc/hosts. De tal modo, el nombre de host del sistema se definir en
el fichero /etc/sysconfig/network del siguiente modo:
NETWORKING=yes
HOSTNAME=su_maquina.su_dominio.com
El nombre de host es retornado por el comando hostname. El valor retornado debe
coincidir la entrada del archivo /etc/hosts.
,ireccin IPB m9scara de sub/red ( !uerta de enlace
Debe editarse con un procesador de textos /etc/sysconfig/network-scripts/ifcfg-
eth<numero> y debe verificarse que sus parmetros de red sean los correctos. Por
ejemplo, para la primera interfaz de red, edite el archivo ifcfg-eth0, para la
segunda ifcfg-eth1:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.1.50
NETMASK=255.255.255.0
GATEWAY=192.168.1.254
Los parmetros anteriores son proporcionados por el administrador de la red local
en donde se localice la mquina que est siendo configurada, o bien definidos de
acuerdo a una planeacin pre-definida. El administrador de la red deber
proporcionar una direccin P disponible IPADDR y una mscara de la sub-red
NETMASK.
'ervidores de nombres de dominio
Debe editarse con un procesador de textos /etc/resolv.conf y deben establecerse
en ste los servidores de resolucin de nombres de dominio (DNS) y el dominio al
cual el host pertenece. Ejemplo:
domain redhat.com.py
nameserver 192.168.1.254
25 ng. van Ferreira
nameserver 192.168.1.1
Arear rutas adicionales
Si se requiere establecer rutas adicionales para obtener conectividad con otras
redes, se pueden generar ficheros para cada interfaz que sea necesario, en donde
se establecen los valores para puerta de enlace, red a la que se quiere acceder y la
mscara de sub-red correspondiente. Los fichero se deben generar dentro de
/etc/sysconfig/network-scripts/ como route-[interfaz] y deben llevar el siguiente
formato:
<destino> via <nombre>
Por citar un ejemplo, imaginemos que nos encontramos dentro de la red
192.168.1.0 y se requiere establecer conectividad con las redes 192.168.2.0 y
192.168.3.0, con mscaras 255.255.255.0, a travs de las puerta de enlace o
ruteadores con direccin P 192.168.1.1. La configuracin de
/etc/sysconfig/network-scripts/route-eth0 sera la siguiente:
192.168.2.0/24 via 192.168.1.1
192.168.3.0/24 via 192.168.1.1
Funcin de Re/envCo de !a4uetes !ara IP versin 2
Si se tiene planeado implementar un NAT, se debe habilitar el re-envo de paquetes
para P versin 4. Esto se realiza en /etc/sysctl.conf cambiando
net.ipv4.ip_forward = 0 por net.ipv4.ip_forward = 1:
net.ipv4.ip_forward = 1
Funcin Deroconf
La funcin Zeroconf permite obtener una direccin P automtica privada para la
ineterfaz de red cuando no puede contactar un servidor DHCP. Dicha configuracin
har que cuando se ejecute route -n se muestre una ruta adicional hacia la red
169.254.0.0:
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
Si se desea deshabilitar dicha funcin, solo bastar aadir en
/etc/sysconfig/network el parmetro NOZEROCONF con el valor yes:
NETWORKING=yes
HOSTNAME=host.dominio
NOZEROCONF=yes
5erificacin de la confiuracin
Despus de hacer configurado todos los parmetros de red deseados, solo deber
de ser reiniciado el servicio de red, ejecutando lo siguiente:
# /sbin/service network restart
Basta solamente comprobar si hay realmente conectividad. Puede ejecutarse el
comando ping hacia cualquier direccin de la red local para tal fin.
# ping 192.168.1.254
Las interfaces y la informacin de las mismas se puede examinar utilizando:
# /sbin/ifconfig -a
Las rutas se pueden comprobar ejecutado:
# /sbin/netstat -n
Para comprobar si hay resolucin de nombres, se puede realizar una consulta
hacia los DNS definidos para el sistema utilizando:
# host host.dominio
# dig host.dominio
La 7erramienta et7tool
La herramienta ethtool es utilizada para consultar y cambiar la configuracin de un
dispositivo ethernet.
El modulo de la tarjeta ethernet debe compatible con mii-tool o ethtool para poder
utilizar el comando.
Para consultar el estado de un adaptador de red, utilice el siguiente comando:
# ethtool <nombre de interface>
Por ejemplo:
# ethtool eth0
Settings for eth0:
Supported ports: [ MII ]
Supported link modes: 10baseT/Half 10baseT/Full
27 ng. van Ferreira
100baseT/Half 100baseT/Full
Supports auto-negotiation: Yes
Advertised link modes: 10baseT/Half 10baseT/Full
Advertised auto-negotiation: Yes
Speed: 1000Mb/s
Duplex: Full
Port: Twisted Pair
PHYAD: 1
Transceiver: internal
Auto-negotiation: on
Supports Wake-on: g
Wake-on: d
Current message level: 0x000000ff (255)
Link detected: yes
Para cambiar los valores de configuracin de un adaptador ethernet, utilice el
comando ethtool con las siguientes opciones:
A!cin ,escri!cin
-s
Cambia la configuracin de un dispositivo.
autoneg on|off
Habilita o deshabilita la autonegociacin de velocidad del
adaptador.
speed 10|100|1000
Configura la velocidad en Mb/s.
duplex half|full
Selecciona el modo de duplex.
Ejemplo:
# ethtool -s eth0 speed 100 duplex full autoneg off
Para que los cambios sean permanentes, edite el archivo /etc/sysconfig/network-
scripts/ifcfg-ethX y agregue la siguiente lnea:
ETHTOOL_OPTS="speed 100 duplex full autoneg off"
-
$et%or& File '(stem )$F'*
Network File System (NFS)
$et%or& File '(stem )$F'*
NFS (Network File System) permite a las mquinas montar particiones en un
sistema remoto en concreto y usarlas como si estuvieran en el sistema de archivos
local. Esto permite centralizar archivos en una localizacin, mientras se permite su
acceso continuo a los usuarios autorizados.
Hay distintas versiones de NFS actualmente en uso. La versin 2 de NFS (NFSv2),
que tiene varios aos, es ampliamente soportada por muchos sistemas operativos.
La versin 3 (NFSv3) tiene ms caractersticas, incluyendo tamao variable del
manejador de archivos y una mejor informacin de errores. NFSv4 incluye varias
mejoras sobre NFSv3 como mayor seguridad, soporte para ACL, codificacin UTF-
8, bloqueo y montado integrado sin necesidad de protocolos auxiliares, entre otras
caractersticas.
$F' ( !ortma!
Linux usa una combinacin de soporte a nivel de kernel y demonios en continua
ejecucin para compartir archivos a travs de NFS, sin embargo, el soporte NFS
debe estar activo en el kernel de Linux para que funcione. NFS usa Remote
Procedure Calls (RPC) para enrutar peticiones entre clientes y servidores,
implicando que el servicio portmap debe estar disponible y activo en los niveles de
ejecucin adecuados para que la comunicacin NFS funcione.
NFS se apoya en las llamadas de procedimientos remotos (RPC) para funcionar.
Se requiere portmap para trazar las peticiones RPC a los servicios correctos. Los
procesos RPC notifican a portmap cuando comienzan, revelando el nmero de
puerto que ellos estn monitorizando y el nmero de programas RPC que esperan
servir. El sistema cliente entonces contacta con el portmap del servidor con un
nmero de programa RPC particular. Entonces portmap redirecciona al cliente al
nmero del puerto apropiado para que se comunique con el servicio adecuado.
Como los servicios basados en RPC confan en portmap para hacer todas las
conexiones con las peticiones de clientes entrantes, portmap debe estar disponible
antes que cualquiera de esos servicios comience. Si, por alguna razn, el servicio
portmap inesperadamente termina, reinicie portmap y cualquier servicio que estuviera
ejecutndose entonces.
Traba:ando con !ortma!
Los procesos siguientes se aseguran que una conexin particular NFS est
permitida y pueda proceder sin error:
rpc-"ou'td= El proceso que recibe la peticin de montaje desde un cliente
NFS y chequea para mirar si coincide con un sistema de archivos
actualmente exportado.
rpc-'*sd= El proceso que implementa los componentes del espacio del
usuario del servicio NFS. Trabaja con el kernel Linux para satisfacer las
demandas dinmicas de clientes NFS, tales como proporcionar procesos
adicionales del servidor para que los clientes NFS lo utilicen.
rpc-loc0d= Un demonio innecesario en los kernels modernos. El bloqueo de
archivos NFS ahora lo hace el kernel. Est incluido en el paquete nfs-utils
para usuarios de versiones antiguas del kernel que no incluyen esta
capacidad por defecto.
rpc-statd= implementa el protocolo RPC Network Status Monitor (NSM). Esto
proporciona notificacin de reinicio cuando un servidor NFS es reiniciado
luego de haber sido apagado abruptamente.
rpc-r>uotad= Un servidor RPC que proporciona informacin de cuotas de
usuarios a usuarios remotos.
No todos estos programas son requeridos para el servicio NFS. Los nicos
servicios que deben estar activos son rpc.mountd, rpc.nfsd, y portmap. Los otros
demonios proporcionan funcionalidades adicionales y slo deben usarse si el
entorno de su servidor los requiere.
La versin 2 de NFS usa el User Datagram Protocol (UDP) para proporcionar una
conexin de red sin estado entre el cliente y el servidor. La versin 3 de NFS puede
usar UDP o TCP corriendo sobre una P. La conexin UDP sin estado minimiza el
trfico de red, al mandar el servidor NFS una cookie al cliente, despus de que el
cliente sea autorizado a acceder al volumen compartido. Esta cookie es un valor
aleatorio guardado en la parte del servidor y es pasado junto con las peticiones
RPC desde el cliente. El servidor NFS puede ser reiniciado sin afectar a los clientes
y las cookies permanecen intactas.
Con NFS, la autenticacin slo se produce cuando el cliente intenta montar un
sistema de archivos remoto. Para limitar el acceso, el servidor NFS utiliza en primer
lugar envolturas TCP (TCP wrappers). Estas envolturas leen los archivos
/etc/+osts-allo/ y /etc/+osts-de'. para determinar si a un cliente particular le debe
ser explcitamente permitido o denegado su acceso al NFS.
Despus de que al cliente se le permite acceso a una envoltura TCP, el servidor
NFS recurre a su archivo de configuracin, /etc/e<ports, para determinar si el
cliente tiene suficientes privilegios para montar alguno de los sistemas de archivos
exportados. Despus de permitir el acceso, cualquier operacin de archivos y
directorios es mandada al servidor usando llamadas de procedimiento remotas.
31 ng. van Ferreira
Arc7ivos de confiuracin del servidor $F'
Es sencillo configurar un sistema para compartir archivos y directorios usando NFS.
Cada Sistema de archivos que se exporta a usuarios remotos va NFS, as como
los derechos de acceso relativos a ellos, es localizado en el archivo /etc/exports.
Este archivo es ledo por el comando exportfs para dar a rpc.mountd y a rpc.nfsd la
informacin necesaria para permitir el montaje remoto de un sistema de archivos
por una mquina autorizada.
El comando exportfs permite a root exportar o no directorios concretos sin reiniciar
los servicios NFS. Cuando se le pasan las opciones apropiadas a exportfs, el
sistema de archivos a exportar es incluido en /var/lib/nfs/xtab. Como rpc.mountd
se refiere al archivo xtab para decidir privilegios de acceso a un sistema de
archivos, los cambios en la lista de sistemas de archivos exportados toman efecto
inmediatamente.
Hay varias opciones disponibles cuando usamos exportfs:
A!cin ,escri!cin
1r
Provoca que todos los directorios listados en /etc/exports sean
exportados construyendo una nueva lista de exportacin en
/etc/lib/nfs/xtab. Esta opcin refresca la lista de exportacin con
cualquier cambio que hubiramos realizado en /etc/exports.
1a
Provoca que todos los directorios sean exportados o no,
dependiendo de qu otras opciones hemos pasado a exportfs.
1o opciones
Permite al usuario especificar directorios a exportar que no estn
listados en /etc/exports. Estos sistemas de archivos adicionales
compartidos deben ser escritos de la misma forma que son
especificados en /etc/exports. Esta opcin es usada para probar un
sistema de archivos antes de aadirlo permanentemente a la lista
de sistemas a exportar.
1i
gnora /etc/exports; slo las opciones dadas desde la lnea de
comandos son usadas para definir los sistemas de archivos
exportados.
1u
Termina de exportar directorios que puedan ser montados por
usuarios remotos. El comando exportfs -ua suspende los recursos
compartidos NFS mientras que mantiene los demonios activos.
Para volver a compartir recursos NFS, teclee exportfs -r.
1,
Operacin descriptiva, donde los sistemas de archivos exportados o
dejados de exportar son mostrados en gran detalle al ejecutarse el
comando exportfs.
Si no se pasan opciones al comando exportfs, mostrar una lista de los sistemas
de archivos actualmente exportados.
Los cambios efectuados a /etc/exports pueden ser ledos al recargar el servicio
NFS con el comando service nfs reload. Esto deja a los demonios NFS
ejecutndose mientras reexporta el archivo /etc/exports.
/etc/ex!orts
El archivo /etc/e<ports controla cules sistemas de archivos son exportados a las
mquinas remotas y especifica opciones particulares que controlen todo. Las lneas
en blanco son ignoradas, se pueden comentar lneas con el smbolo # y las lneas
largas pueden ser divididas con una barra invertida (\). Cada sistema de archivos
exportado debe tener su propia lnea. La lista de mquinas autorizadas colocada
despus de un sistema de archivos exportado, debe estar separada por un
espacio. Las opciones para cada uno de las mquinas deben ser colocadas entre
parntesis directamente detrs del identificador de la mquina, sin ningn espacio
de separacin entre la mquina y el primer parntesis.
De esta sencilla manera, /etc/exports slo necesita saber el directorio a exportar y
las mquinas que pueden usarlo:
/algun/directorio host1.redhat.com.py
/otro/directorio/exportado 192.168.0.3
Despus de reexportar /etc/exports con el comando /sbin/service nfs reload, la
mquina host1.redhat.com.py ser capaz de montar /algun/directorio y 192.168.0.3
podr montar /otro/directorio/exportado. Como no hay opciones especificadas en
este ejemplo, varias preferencias por defecto toman efecto:
A!cin ,escri!cin
ro
Slo lectura (read-only). Las mquinas que monten este sistema
de archivos no podrn cambiarlo. Para permitirlas que puedan
hacer cambios en el sistema de archivos, debe especificar la
opcin r/ (lectura-escritura, read-write).
as.'c
Permite al servidor escribir los datos en el disco cuando lo crea
conveniente. Mientras que esto no tiene importancia en un
sistema de slo lectura, si una mquina hace cambios en un
sistema de archivos de lectura-escritura y el servidor se cae o se
apaga, se pueden perder datos. Especificando la opcin s.'c,
todas las escrituras en el disco deben hacerse antes de devolver
el control al cliente. Esto puede que disminuya el rendimiento.
/dela.
Provoca que el servidor NFS retrase el escribir a disco si
33 ng. van Ferreira
A!cin ,escri!cin
sospecha que otra peticin de escritura es inminente. Esto puede
mejorar el rendimiento reduciendo las veces que se debe acceder
al disco por comandos de escritura separados. Use 'o?/dela. para
desactivar esta opcin, la cual slo funciona si est usando la
opcin s.'c.
root?s>uas+
Previene a los usuarios root conectados remotamente de tener
privilegios como root asignndole el userD de 'nobody'. Esto
reconvierte el poder del usuario root remoto al de usuario local
ms bajo, previniendo que los usuarios root remotos puedan
convertirse en usuarios root en el sistema local. Alternativamente,
la opcin 'o?root?s>uas+ lo desactiva. Para reconvertir a todos los
usuarios, incluyendo a root, use la opcin all?s>uas+. Para
especificar los D de usuario y grupo para usar con usuarios
remotos desde una mquina particular, use las opciones a'o'uid y
a'o'(id, respectivamente. De esta manera, puede crear una
cuenta de usuario especial para usuarios NFS remotos para
compartir y especificar anonuid=<valor>,anongid=<valor>, donde
<uid-valor> es el nmero D de usuario y <gid-valor> es el nmero
D de grupo.
Para saltarse estas opciones predeterminadas, debe especificar una opcin que
tome su lugar. Por ejemplo, si no especifica la opcin rw, entonces se exportar en
slo lectura. Cada opcin predeterminada para cada sistema de archivos
exportado, debe ser explcitamente ignorada. Adicionalmente, hay otras opciones
que estn disponibles que no tienen especificado un valor predeterminado. Estas
incluyen desactivar el navegar por subdirectorios, permitir el acceso a puertos
inseguros, y permitir bloquear archivos inseguros (necesario para algunas
implementaciones antiguas de clientes NFS). Vea la pgina man de exports para
estas opciones menos usadas.
Cuando especifique los nombres de mquinas, use los mtodos siguientes:
>na sola m94uina / Cuando una mquina en particular es especificada con
nombre completo de dominio, nombre de mquina o direccin P.
Comodines / Cuando usamos un carcter * o ? para referirnos a un grupo
de nombres completos de dominio o direcciones P o que coincidan con una
cadena particular de letras.
Sin embargo, tenga cuidado cuando especifique comodines con nombres de
dominio completos, pues tienden a ser ms exactos de lo que usted cree.
Por ejemplo, el uso de *.redhat.com.py como comodn, permitir a
ventas.redhat.com.py acceder al sistema de archivos exportado, pero no a
bob.ventas.redhat.com.py. Para permitir ambas posibilidades, debera usar
*.redhat.com.py *.*.redhat.com.py.
Redes IP / Permite el acceso a mquinas basadas en sus direcciones P. Es
posible especificar la mscara de red en formato decimal o como tamao de
la mscara (for ejemplo 255.255.255.0 o /24).

=ru!os de redes / Permite que un nombre de grupo de red NS, escrita
como @<nombre-grupo>, sea usada. Esto pone al servidor NS controlando el
acceso de este sistema de archivos, donde los usuarios pueden ser
aadidos o borrados de un grupo NS sin que afecte a /etc/exports.
La manera en que el archivo /etc/exports est organizado es muy importante,
particularmente lo que concierne a los espacios en blanco. Recuerde separar
siempre los sistemas de archivos exportados de una mquina a la otra, con un
espacio. Sin embargo, no debera haber otros espacios en el archivo a menos que
se usen en lneas comentadas.
Por ejemplo, las siguientes dos lneas significan cosas distintas:
/home bob.redhat.com.py(rw,sync)
/home bob.redhat.com.py (rw,sync)
La primera lnea permite slo a los usuarios de bob.redhat.com.py acceder en
modo de lectura-escritura al directorio /home. La segunda lnea permite a los
usuarios de bob.redhat.com.py montar el directorio de solo lectura (el
predeterminado), pero el resto del mundo puede instalarlo como lectura-escritura.
Arc7ivos de confiuracin de clientes $F'
Cualquier recurso NFS puesto a disposicin por un servidor puede ser montado
usando varios mtodos. El recurso compartido puede ser montado manualmente,
usando el comando mount. Sin embargo, esto requiere que el usuario root teclee el
comando mount cada vez que el sistema reinicie.
/etc/fstab
Colocando una lnea adecuadamente formada en el archivo /etc/fstab tiene el
mismo efecto que el montaje manual del sistema de archivos exportado. El archivo
/etc/fstab es ledo por el script /etc/rc.d/init.d/netfs cuando arranca el sistema y
cualquier recurso NFS listado ser montado.
Un ejemplo de lnea /etc/fstab para montar un NFS exportado ser parecida a:
<servidor>:</recurso/exportado> </punto_montaje_local> nfs <opciones> 0 0
La opcin <servidor> tiene que ver con el nombre de la mquina, direccin P o
nombre de dominio totalmente cualificado del servidor que exporta el sistema de
35 ng. van Ferreira
archivos.
La opcin </recurso/exportado> es la ruta al directorio exportado.
La opcin </punto_montaje_local> especifica dnde montar en el sistema de
archivos local el directorio exportado. Este punto de montaje debe existir antes de
que /etc/fstab sea ledo o el montaje fallar.
La opcin nfs especifica el tipo de sistema de archivos que esta siendo montado.
El rea <opciones> especifica como el sistema de archivos es montado. Por
ejemplo, si las opciones indican rw,suid, el sistema de archivos exportado ser
montado en modo de lectura-escritura y los D de usuario y grupo puestos por el
servidor sern usados. Aqu no se usan parntesis.
A!ciones de monta:e $F' comunes
Aparte de montar un sistema de archivos via NFS en una mquina remota, existe
un nmero de diferentes opciones que pueden ser especificadas en tiempo de
montaje que pueden ser ms fciles de usar. Estas opciones pueden usarse con el
comando manual mount, configuraciones /etc/fstab, autofs y otros mtodos de
montaje.
Las siguientes opciones son las ms populares para montajes NFS:
+ard o so*t 1 Especifican si el programa que usa un archivo va conexin
NFS debe parar y esperar a que el servidor vuelva a estar en lnea si la
mquina que exporta ese sistema de archivos no est disponible (hard), o
bien debe informar de un error (soft).
Si se especifica la opcin hard, el usuario no podr parar el proceso que est
esperando la comunicacin NFS a menos que especifique la opcin intr.
Si usa soft, puede usar la opcin adicional timeo=<value>, donde <value>
especifica el nmero de segundos que deben pasar antes de informar del
error.
i'tr 1 Permite a las peticiones NFS ser interrumpidas si el servidor se cae o
no puede ser accedido.
'oloc0 1 Es requerido a veces cuando conectamos a servidores NFS
antiguos. Para requerir el bloqueo, use la opcin lock.
'oe<ec - No permite la ejecucin de binarios en el sistema de archivos
montado. Esto es til si el sistema est montando un sistema de archivos no
Linux a travs de NFS que contiene binarios incompatibles.
'osuid - No permite que los bits SUD o SGD tomen efecto.
rsi@e481A2 . /si@e481A2 - Pueden acelerar la comunicacin NFS tanto para
leer (rsize) como para escribir (wsize), configurando un tamao de bloque de
datos mayor, en bytes, que sern transferidos de una sola vez. Tenga
cuidado al cambiar estos valores; algunos kernels antiguos de Linux y
tarjetas de red pueden no trabajar bien con grandes tamaos de bloques.
'*s,ers42 o '*s,ers43 - Especifica que versin del protocolo NFS usar. Para
montar un sistema de archivos NFSv4, utilice como sistema de archivos
'*s,4.
Hay muchas ms opciones en la pgina del manual de mount, incluyendo opciones
para montar sistemas de archivos que no sean NFS.
Resolucin de !roblemas de $F' con !ortma!
Como portmap proporciona la coordinacin entre servicios RPC y los nmeros de
puertos usados para comunicarlos, es til poder visualizar el estado de los servicios
RPC actuales usando portmap cuando estamos resolviendo algn problema. El
comando rpci'*o muestra cada servicio basado en RPC con su nmero de puerto,
nmero de programa RPC, versin y tipo de protocolo (TCP o UDP).
Para asegurarse que los servicios NFS basados en RPC estn activos para
portmap, use el comando rpcinfo -p:
programa vers proto puerto
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 32768 status
100024 1 tcp 32769 status
100011 1 udp 863 rquotad
100011 2 udp 863 rquotad
100011 1 tcp 866 rquotad
100011 2 tcp 866 rquotad
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 4 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
100021 1 udp 32770 nlockmgr
100021 1 tcp 32772 nlockmgr
100005 1 udp 32771 mountd
100005 1 tcp 894 mountd
100005 2 udp 32771 mountd
100005 2 tcp 894 mountd
100005 3 udp 32771 mountd
37 ng. van Ferreira
100005 3 tcp 894 mountd
La opcin -p prueba el portmap de la mquina especificada, o en la mquina local
por defecto si no se especifica ninguna mquina. Otras opciones estn disponibles
en la pgina manual de rpcinfo.
De la salida anterior, varios servicios NFS pueden verse ejecutndose. Si uno de
los servicios NFS no comienza correctamente, portmap puede ser incapaz de
corresponder las peticiones RPC con sus respectivos puertos. En muchos casos,
reiniciando NFS como root con el comando /sbin/service nfs restart, provocar
que estos servicios funcionen correctamente con portmap y empiecen a funcionar.
2
,(namic Host Confiuration Protocol ),HCP*
Dynamic Host Configuration Protocol (DHCP)
,(namic Host Confiuration Protocol ),HCP*
Dynamic Host Configuration Protocol (DHCP), es un protocolo de red para asignar
automticamente informacin TCP/P a equipos cliente. Cada cliente DHCP se
conecta un servidor DHCP centralizado que devuelve la configuracin de red del
cliente, incluida la direccin P, el gateway y los servidores DNS.
0otivos !ara usar el !rotocolo ,HCP
DHCP es til para proporcionar de un modo rpido la configuracin de red del
cliente. Al configurar el sistema cliente, el administrador puede seleccionar el
protocolo DHCP y no especificar una direccin P, una mscara de red, un gateway
o servidor DNS. El cliente recupera esta informacin desde el servidor DHCP.
DHCP tambin es til si un administrador desea cambiar las direcciones P de
muchos sistemas. En lugar de volver a configurar todos los sistemas, puede
modificar un archivo de configuracin DHCP en el servidor para establecer el nuevo
conjunto de direcciones P. Si los servidores DNS de una organizacin cambian, los
cambios tambin se aplicarn en el servidor DHCP, no en todos los clientes DHCP.
Una vez que se reinicie la red en los clientes (o rearranquen los clientes), se
aplicarn los cambios.
Adems, si un porttil o cualquier tipo de equipo mvil se configura para DHCP,
podr desplazarse entre distintas oficinas sin tener que volver a configurarlo,
siempre y cuando cada oficina tenga un servidor DHCP que permita su conexin a
la red.
Confiuracin de un servidor ,HCP
Puede configurar un servidor DHCP mediante el archivo de configuracin
/etc/d+cpd-co'*.
DHCP tambin usa el archivo /,ar/li5/d+cpd/d+cpd-leases para almacenar la base
de datos de arrendamiento de clientes.
Arc7ivo de confiuracin
El primer paso al configurar un servidor DHCP es crear el archivo de configuracin
que almacena la informacin de red de los clientes. Se pueden declarar opciones
globales para todos los clientes, o bien opciones para cada sistema cliente.
El archivo de configuracin puede contener tabulaciones o lneas en blanco
adicionales para facilitar el formato. Las palabras clave no distinguen entre
maysculas y minsculas, y las lneas que empiezan con una almohadilla o
smbolo numeral (#) se consideran comentarios.
DHCP puede interactuar con DNS para actualizar el archivo de zona DNS una vez
entregada una direccin P a un host. Este proceso se conoce como DNS dinmico
o DDNS (Dynamic DNS).
Si no utilizar DDNS, aada la siguiente lnea al inicio del archivo de configuracin:
ddns-update-style none;
El archivo de configuracin posee dos tipos de informacin:
Par9metros - Establece cmo se realiza una tarea, si debe llevarse a cabo una
tarea o las opciones de configuracin de red que se enviarn al cliente.
,eclaraciones - Describen la topologa de la red, describen los clientes,
proporcionan direcciones para los clientes o aplican un grupo de parmetros a
un grupo de declaraciones.
Algunos parmetros deben empezar con la palabra clave option. Algunas opciones
configuran DHCP y los parmetros definen valores no opcionales o que controlan el
comportamiento del servidor DHCP.
Los parmetros (incluidas las opciones) declarados antes de una seccin
encerrada entre llaves { } se consideran parmetros globales. Los parmetros
globales se aplican a todas las secciones situadas debajo de ellos.
Si cambia el archivo de configuracin, los cambios no se aplicarn hasta reiniciar el
demonio DHCP con el comando service dhcpd restart.
Un ejemplo de configuracin del archivo dhcpd.conf puede encontrarse en el
directorio /usr/share/doc/dhcp-<nmero-versin>/dhcpd.conf.sample . Puede copiar
este archivo como /etc/dhcpd.conf y editarlo para adecuarlo a sus necesidades.
En este ejemplo, hay opciones globales para cada cliente DHCP en la subred y un
rango declarado. A los clientes se les asigna una direccin P dentro del rango.
Ejemplo de declaracin de Subred:
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.254;
option subnet-mask 255.255.255.0;
option domain-name "redhat.com.py";
option domain-name-servers 192.168.1.1;
option time-offset -14400; #
range 192.168.1.10 192.168.1.100;
}
41 ng. van Ferreira
Par9metro Rane )Rano*
Para configurar un servidor DHCP para que responda a solicitudes de direcciones
P en una subred, modifique el ejemplo con los valores pertinentes. Declara un
tiempo de lease por defecto, un tiempo de lease mximo y los valores de
configuracin de red para los clientes. Este ejemplo asigna una direccin P en el
rango 192.168.1.10 y 192.168.1.100 a los sistemas cliente:
ddns-update-style none

default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
option domain-name-servers 192.168.1.1, 192.168.1.2;
option ntp-servers 192.168.1.1;
option domain-name "redhat.com.py";
option netbios-name-servers 192.168.1.5;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
range 192.168.1.150 192.168.1.200;
option time-offset -14400;
}

,ireccin IP est9tica con ,HCP
Para asignar una direccin P a un cliente segn la direccin MAC de la tarjeta de
interfaz de red, use el parmetro hardware ethernet dentro de la declaracin host.
Como se muestra en el ejemplo, la declaracin host apex especifica que la interfaz
de red con una direccin MAC 00:A0:78:8E:9E:AA siempre recibe la direccin P
192.168.1.4.
Tenga en cuenta que tambin puede usar el parmetro opcional host-name para
asignar un nombre host al cliente.
host apex {
option host-name "apex.redhat.com.py";
hardware ethernet 00:A0:78:8E:9E:AA;
fixed-address 192.168.1.4;
}
1ase de datos de arrendamiento
En el servidor DHCP, el archivo /var/lib/dhcp/dhcpd.leases almacena la base de
datos de arrendamiento del cliente DHCP. Este archivo no debe modificarse
manualmente. La informacin sobre arrendamiento de DHCP de cada direccin P
asignada recientemente se almacena de modo automtico en la base de datos de
arrendamiento. La informacin incluye la longitud del arrendamiento, a quin se ha
asignado la direccin P, las fechas iniciales y finales de la renta, y la direccin
MAC de la tarjeta de interfaz de red utilizada para recuperar el arrendamiento.
Arran4ue ( !arada del servidor
Para arrancar el servicio DHCP, use el comando /sbin/service dhcpd start. Para
detener el servidor DHCP, use el comando /sbin/service dhcpd stop.
Si tiene ms de una interfaz de red conectada al sistema, pero slo desea que el
servidor DHCP arranque en una de las interfaces, puede configurar el servidor
DHCP para que slo arranque en ese dispositivo. En /etc/sysconfig/dhcpd, agregue
el nombre de la interfaz a la lista de DHCPDARGS:
# Command line options here
DHCPDARGS=eth0
Esto es til si tiene una mquina firewall con dos tarjetas de red. Se puede
configurar una tarjeta de red como cliente DHCP para recuperar una direccin P
en nternet y la otra tarjeta de red puede utilizarse como servidor DHCP para la red
interna detrs del firewall. Su sistema ser ms seguro si especifica la tarjeta de
red conectada a la red interna ya que los usuarios no pueden conectarse al
demonio va nternet.
Aente de retransmisin ,HCP
El Agente de transmisin DHCP (dhcrelay) le permite transmitir las peticiones
DHCP y BOOTP desde una subred sin un servidor DHCP a uno o ms servidores
DHCP en otras subredes. Un agente de retransmisin es necesario cuando los
ruteadores que unen las subredes no reenvan paquetes bootp.
Cuando un cliente DHCP pide informacin, el agente de transmisin DHCP reenva
la peticin a la lista de servidores DHCP especificada cuando se inicia el agente de
transmisin DHCP. Cuando un servidor DHCP devuelve una respuesta, la
respuesta puede ser broadcast o unicast en la red que ha enviado la peticin
original.
La configuracin del agente de retransmisin DHCP se realiza por medio de
archivo /etc/sysconfig/dhcrelay:
La directiva INTERFACES indica en que interfaces se escucharn solicitudes
DHCP.
La directiva DHCPSERVERS especifica la lista de servidores DHCP a los cuales
se reenviarn las solicitudes.
43 ng. van Ferreira
Por ejemplo el archivo /etc/sysconfig/dhcrelay tendra el siguiente formato:
INTERFACES=""
DHCPSERVERS="10.42.42.2"
Luego inicie el servicio utilizando el siguiente comando:
# service dhcrelay start
3
Interconexin con .indo%s / 'A01A
nterconexin con Windows - SAMBA
Interconexin con .indo%s / 'A01A
SAMBA es una conjunto de programas, originalmente creados por Andrew Tridgell
y actualmente mantenidos por The SAMBA Team, bajo la Licencia Publica General
GNU, y que implementan en sistemas basados sobre UNX el protocolo Server
Message Block (o protocolo SMB). Este es algunas veces referido tambin como
Common nternet File System (CFS), LanManager o protocolo NetBOS. Sirve
como reemplazo total para Windows NT, Warp, NFS o servidores Netware.
Confiuracin de 'A01A
La configuracin de SAMBA se realiza a travs del archivo /etc/samba/smb.conf. En
ste archivo encontrar no solo las opciones que requieren editarse, sino tambin
un valioso instructivo que podra consultar ms adelante para hacer ajustes a la
configuracin. Dentro de este notar que la informacin que le ser de utilidad
viene comentada con un smbolo # y los ejemplos con ; (punto y coma), siendo
estos ltimos los que tomaremos como referencia.
El archivo consiste de varias secciones las cuales inician con el nombre de la
seccin encerrada en corchetes [ ] en una nueva lnea. Cada seccin contiene uno
o mas pares de clave/valor separado por el signo igual (=). Cada seccin
representa un recurso compartido o un meta-servicio de SAMBA. La seccin
[global] es especial debido a que contiene valores que se aplican a todo el
servidor SAMBA.
Samba soporta una serie de meta-servicios cada uno con un propsito, por ejemplo
el recurso compartido [homes] permite a SAMBA proporcionar un directorio personal
para cada usuario. El meta-servicio [printers] permite compartir impresoras e
indica el directorio de spool para los trabajos recibidos.
Confiuracin de la seccin [global] de servidor 'A01A
Definamos primero los parmetros necesarios, como sera el nombre NetBOS con
el que nos vera el grupo de mquinas Windows, el grupo al que pertenecemos y el
rango de direcciones P a las que se permitir acceder hacia la mquina con
GNU/Linux.

Abra el fichero /etc/samba/smb.conf con su editor de texto favorito.
Empezaremos por establecer el grupo de trabajo o dominio editando la lnea
workgroup, de este modo:

workgroup = REDHAT

Opcionalmente, estableceremos el nombre NetBOS de la mquina, si no se
configura uno, toma por defecto el nombre de host:

netbios Name = Serv1

Para permitir que las impresoras configuradas en Linux sean automticamente
compartidas a travs de SAMBA, configure las siguientes opciones:
load printers = yes
printing = cups
cups options = raw
A continuacin estableceremos cierto nivel de seguridad. Primero especificando por
cuales interfaces del sistema se escucharan peticiones. Cualquier interfaz omitida
significar que Samba no responder a peticiones provenientes de esa interfaz.
Esto es til cuando Samba se ejecuta en un servidor que sirve tambin de puerta
de enlace para la red local, impidiendo se establezcan conexiones desde fuera de
la red local.

interfaces = 192.168.1.254/24

Continuamos especificando que rango de direcciones P podrn acceder al servidor
SAMBA, descomentando y editando la lnea hosts allow. Si nuestra red consiste en
la mquinas con direccin P desde 192.168.1.1 hasta 192.168.1.254, el rango de
direcciones P ser 192.168.1. y este permitir el acceso solo a dichas mquinas.
Note por favor el punto al final de cada rango. Edite sta de manera que quede del
siguiente modo:

hosts allow = 192.168.1. 127.
Es necesario especificar el modelo de seguridad que utilizar SAMBA para
autententicar los usuarios, el valor por defecto y mas comnmente usado es user.
Los valores pueden ser:
securit. 4 s+are 1 Utilice este modelo de seguridad si desea definir recursos
compartidos que no requieran de una contrasea de acceso (acceso de
invitado). Este modelo de seguridad es normalmente utilizado para
servidores de impresin.
securit. 4 user 1 Si el nombre de usuario de sus estaciones de trabajo es el
mismo que el nombre de usuario de Unix, entonces utilice este modelo de
seguridad. Los usuarios deben autenticarse para acceder al recurso
compartido. Tambin es posible definir distintos permisos de acceso para
cada usuario o grupo de usuarios. Este modelo requiere que los usuarios
esten creados tanto en el sistema operativo como en la base de datos de
usuarios del SAMBA.
securit. 4 do"ai' 1 Cuando se utiliza este modelo de seguridad, el servidor
samba tiene una una cuenta de equipo en el dominio Windows y provoca
que todas las solicitudes de autenticacin sean validadas por controladores
de dominio. En otras palabras, esto convierte a samba en un servidor
miembro.
47 ng. van Ferreira
securit. 4 ADS 1 Si cuenta con un entorno de Directorio Activo de Windows,
es posible unir a samba como un servidor miembro nativo de Directorio
Activo. El servidor SAMBA puede unirse al dominio utilizando Kerberos.
securit. 4 ser,er 1 Su utilizacin no es recomendada y se utilizaba
previamente cuando samba no poda pertenecer a un dominio Windows.

A menos que tenga un controlador de dominio Windows, normalmente se utiliza:
security = user
Si queremos tener que evitar el registro de Windows 9X y permitir acceso desde
Windows 2000/XP, debemos asegurarnos de que las siguientes lneas no estn
comentadas:

encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd

Si habilita estas lineas, recuerde que debe crear el usuario en el sistema operativo
con el comando adduser, y luego en el samba con el comando s"5pass/d 1a,
finalmente el nombre de inicio de sesin en Windows debe ser igual al del usuario
que usted ha creado para ese equipo.
El comando smbpasswd se utiliza de la siguiente forma:
Arear usuario / smbpasswd -a <usuario>
,es7abilitar usuario / smbpasswd -d <usuario>
Habilitar usuario / smbpasswd -e <usuario>
@liminar usuario / smbpasswd -x <usuario>
@stablecer la contraseEa a nulo / smbpasswd -n <usuario>
Las mquinas Windows registran su nombre NetBOS al iniciarse. El mtodo
exacto de este registro depende de si se ha configurado o no un servidor WNS, si
se habilit la busqueda LMHOSTS, si se habilita DNS para resolucin NetBOS,
etc.
En el caso que no se utilice un servidor WNS, toso los registros de nombres y las
bsquedas son realizadas a travs de broadcast UDP. Esto asla la resolucin de
nombres a la subred local a menos que se utilice LMHOSTS para listar todos los
nombres y las direcciones P. Si se utiliza un servidor WNS, el cliente Windows
utilizar UDP unicast para registrarse con el servidor WNS. Este paquete puede
ser ruteado por tanto WNS permite la resolucin de nombres entre redes ruteadas.
Durante el proceso de inicio, una eleccin se lleva a cabo para crear un Local
Master Browser (LMB) si no existe uno. En cada red NetBOS una mquina ser
electa para funcionar como el "Domain Master Browser (DMB). El DMB contacta a
cada LMB e intercambia el contenido de la lista de navegacin de red, esto permite
la navegacin entre redes ruteadas. Cada 11 a 15 minutos una eleccin es
mantenida para determinar quien ser el "master browser. Por la naturaleza del
criterio de eleccin, la mquina con mayor tiempo encendida y la versin de
protocolo superior entre otros criterios, ganara la eleccin como DMB.
Los clientes que desean navegar la red hacen uso de esta lista, cualquier cambio
en la resolucin de nombres o fallo del LMB molestar a los usuarios debido a que
temporalmente no podrn navegar la red.
Por tanto, siempre es recomendada la utilizacin de un servidor WNS.
De ser necesario, puede especificar que el servidor sea el LMB, e incluso
sobreponerse a cualquier otro en la red.

domain master = yes
local master = yes
preferred master = yes
os level = 34

Utilice esta opcin solo si no existe un servidor de Windows NT o 200X Server en la
red. Un controlador de dominio Windows utiliza un nivel 32.

Si desea que el equipo se comporte como un Windows 9x/Me , es recomendable
que configure las siguientes opciones:
os level = 2
domain master = no
preferred master = no
local master = yes

Puede habilitar convertirse en servidor WNS o bien utilizar un servidor WNS ya
existente. Se puede ser un servidor WNS o un cliente WNS, pero no ambas cosas
a al vez. Si se va ser el servidor WNS, debe habilitarse lo siguiente:

wins support = yes

Si se va a utilizar un servidor WNS ya existente, debe descomentar la siguiente
lnea y especificar que direccin P utiliza dicho servidor WNS:

wins server = 192.168.1.1
Confiuracin de la seccin Bs+aresC de servidor 'A01A
Para permitir el acceso a todas las impresoras compartidas verifique que este
configurado el recurso printers y el path al cual apunta el recurso existe:

[printers]
49 ng. van Ferreira
comment = ALL Printers.
path = /var/spool/samba
printable = yes
browseable = no
printable = yes
guest ok = no # Configure a yes si desea que la cuenta invitado imprima
writable = no

Para los directorios o volmenes que se irn a compartir, en el mismo fichero de
configuracin encontrar distintos ejemplos para distintas situaciones particulares.
Para crear un recurso compartido:
El nombre del recurso compartido por el cual accedern las mquinas se
encuentra entre corchetes.
Si lo desea, puede agregar un comentario con la opcin comment.
Luego debe especificar la ruta al directorio compartido utilizando la opcin
path
ndique las opciones para el recurso compartido, tales como si ser de
acceso pblico, de slo lectura, escritura para ciertos usuarios o grupos o de
acceso restringido.
Ejemplos de recursos compartidos:
# Este ejemplo es util para personas que desean compartir archivos
[tmp]
comment = Directorio de archivos temporales
path = /tmp
read only = no
public = yes

# Un directorio pblico donde todos acceden en modo slo lectura excepto por los
# miembros del grupo staff y el usuario fsadmin.
[public]
comment = Directorio publico
path = /app/archivos
public = yes
read only = yes
write list = @staff fsadmin
# Un directorio compartido al cual slo puede acceder el usuario fred.
[freddir]
comment = Directorio de fred
path = /usr/home/fred/privado
valid users = fred
public = no
writable = yes

Hecho todo lo anterior, solo resta iniciar el demonio correspondiente a fin de que
cargue los nuevos parmetros configurados. Si iniciar SAMBA por primera vez
ejecute lo siguiente:

# /sbin/service smb start

Si va a reiniciar el servicio, ejecute lo siguiente:

# /sbin/service smb restart

Por ltimo, asegrese de que SAMBA iniciar automticamente cada vez que inicie
el servidor. Puede hacerlo fcilmente desde una consola ejecutando el siguiente
comando:

/sbin/chkconfig smb on

No olvide sincronizar las cuentas entre el servidor GNU/Linux y las estaciones con
Windows. Es decir, si en una mquina con Windows ingresamos como el usuario
"rhuser" con contrasea "P@ssw0rd", en el servidor GNU/Linux debe existir
tambin dicha cuenta con ese mismo login y esa misma contrasea. Aada las
cuentas el comando adduser y tambin con smbpasswd.

# /usr/sbin/useradd <usuario>
# /usr/bin/smbpasswd -a <usuario>

O bien, si no deseamos que las cuentas que se vayan a crear puedan acceder a
servicios distintos de SAMBA, como seran Telnet, SSH, etc, es decir, que no se les
permita hacer login al sistema, podemos utilizar la siguiente alternativa que solo
permitir acceso a SAMBA, pero impedir que el usuario intente acceder al servidor
y obtenga un shell:

# /usr/sbin/useradd -s /bin/false <usuario>
# /usr/bin/smbpasswd -a <usuario>

Ejemplo de un fichero de configuracin de SAMBA

# Parmetros globales
[global]
workgroup = REDHAT
netbios name = Serv1
server string = Servidor de Archivos
interfaces = 192.168.1.254/24
encrypt passwords = Yes
log file = /var/log/samba/%m.log
max log size = 0
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
domain logons = Yes
domain master = True
preferred master = yes
dns proxy = No
wins support = Yes
remote announce = 192.168.1.255
hosts allow = 192.168.1. 127.
load printers = yes
printing = cups
# Recursos compartidos
[homes]
comment = Home Directories
valid users = %S
read only = No
create mask = 0664
51 ng. van Ferreira
directory mask = 0775
browseable = No

[printers]
comment = All Printers
path = /var/spool/samba
guest ok = yes
printable = yes
browseable = no

[FTP]
comment = Directorio del servidor FTP
path = /var/ftp/pub
read only = no
guest ok = yes

Accediendo a recursos 'A01A
ndudablemente el mtodo ms prctico y seguro es el comando smbclient. Este
permite acceder haca cualquier servidor Samba o Windows como si fuese el
comando ftp en modo texto.

Para acceder al cualquier recurso de alguna mquina Windows o servidor SAMBA
determine primero que volmenes o recursos compartidos posee est. utilice el
comando smbclient del siguiente modo:

# smbclient -U <usuario> -L //<host>
Por ejemplo:
# smbclient -U <usuario> -L //<host>
Lo cual le devolvera ms menos lo siguiente:

added interface ip=192.168.1.254 bcast=192.168.1.255 nmask=255.255.255.0
Anonymous login successful
Domain=[REDHAT] OS=[Windows]

Sharename Type Comment
--------- ----- -------
publico Disk Directorio Publico
HPDeskjet Printer

Workgroup Master
--------- -------
REDHAT Serv1

La siguiente corresponde a la sintaxis bsica para poder navegar los recursos
compartidos por la mquina Windows o el servidor SAMBA:

# smbclient //host/recurso -U usuario

Ejemplo:

# smbclient //serv1/publico -U rhuser

Despus de ejecutar lo anterior, el sistema solicitar se proporcione la contrasea
del usuario rhuser en el equipo denominado Serv1.

# smbclient //serv1/publico -U rhuser

Password:

Domain=[LPT] OS=[Unix] Server=[Samba 2.2.1a]
smb: \>

Pueden utilizarse virtualmente los mismos comandos que en el shell del comando
ftp, como seran get, mget, put, del, etc.

En el ejemplo anterior hay un volumen compartido llamado publico. Si queremos
montar este, debemos crear un punto de montaje. ste puede crearse en cualquier
directorio sobre el que tengamos permisos de escritura. Para montarlo, utilizamos
cualqueiera de los siguientes comandos segn la versin de Linux:

# mount -t smbfs -o username=<usuario>,password=<contrasea> //host/recurso
/punto/de/montaje/
# mount -t cifs -o username=<usuario>,password=<contrasea> //host/recurso
/punto/de/montaje/

@scenarios tC!icos
A continuacin se presenta un escenario que requiere de una planificacin
adecuada y una configuracin correcta del servicio SAMBA. El escenario es el
siguiente;
Es necesario configurar un recurso compartido que permita el acceso de equipos
Windows. Los usuarios rhuser1, rhuser2 y rhuser3 del grupo admin, deben escribir
en el recurso compartido, sin embargo, todos los dems usuarios deben poder
acceder al recurso compartido, con permisos de solo lectura.

Usted debe crear un directorio con el nombre que desee, utilizando el comando
correspondiente:

# mkdir -p /programas/aplicaciones

Otorgue a los miembros del grupo admin todos los permisos y a todos los usuarios
del sistema los permisos de lectura y ejecucin. Establezca el permiso SGD para
permitir que los archivos creados en el directorio hereden el grupo propietario del
directorio:

# chown root.admin /programas/aplicaciones
# chmod 2775 /programas/aplicaciones
53 ng. van Ferreira

Luego debe agregar los usuarios y grupos al sistema operativo:

# groupadd admin
# useradd rhuser1 -G admin

Debe agregar el usuario al SAMBA y configurar su contrasea:

# smbpasswd -a rhuser1

Luego debe editar la configuracin del SAMBA con el editor vi:

# vi /etc/samba/smb.conf

All, debe configurar las siguientes opciones para permitir el acceso de los usuarios
que no existen en el SAMBA:

guest account = nobody
map to guest = Bad User

Configurar una entrada como la siguiente

[Aplicaciones]
comment = Directorio de aplicaciones
path = /programas/aplicaciones
guest ok = yes
writable = no
write list = @admin
Samba vuelve a leer su archivo de configuracin cada 60 segundos para detectar
cambios. Si lo desea, puede forzar la lectura del archivo de configuracin sin
afectar las conexiones existentes ejecutando el comando:
# service smb reload
El cual envia la seal -HUP a los demonios SAMBA. Para comprobar que se haya
creado el recurso compartido ejecute el siguiente comando:
# smbclient -L //localhost -N
Para probar el acceso al recurso compartido ejecute el siguiente comando:
# smbclient //localhost/Aplicaciones -U rhuser1
Si desea montar el recurso compartido desde un cliente Linux ejecute:
# mount -t cifs //Serv1/Aplicaciones -o username=rhuser1,password=<contrasea>
/mnt/aplicaciones
6
'ervidor !rox( '4uid
Servidor proxy Squid
'ervidor !rox( '4uid
Squid es el software para servidor Proxy ms popular y extendido entre los
sistemas operativos basados sobre UNX. Es muy confiable, robusto y verstil. Al
ser software libre, adems de estar disponible el cdigo fuente, est libre del pago
de costosas licencias por uso o con restriccin a un uso con determinado nmero
de usuarios.
Entre otras cosas, Squid puede hacer Proxy y cache con los protocolos HTTP,
FTP, GOPHER y WAS, Proxy de SSL, cache transparente, WWCP, aceleracin
HTTP, cache de consultas DNS y otras muchas ms como filtracin de contenido y
control de acceso por P y por usuario.
$ota; Squid no puede funcionar como proxy para servicios como SMTP, POP3,
TELNET, SSH, etc. Si se requiere hacer proxy para cualquier cosa distinta a HTTP,
HTTPS, FTP, GOPHER y WAS. Se requerir o bien implementar
enmascaramiento de P a travs de un NAT (Network Address Translation) o bien
hacer uso de un servidor SOCKS como Dante.
Confiuracin b9sica
Squid utiliza el fichero de configuracin localizado en /etc/squid/squid.conf, y podr
trabajar sobre este utilizando su editor de texto preferido. Existen un gran nmero
de parmetros, de los cuales recomendamos configurar los siguientes:
http_port
cache_mem
ftp_user
cache_dir
Al menos una Lista de Control de Acceso
Al menos una Regla de Control de Acceso
httpd_accel_host
httpd_accel_port
httpd_accel_with_proxy
Par9metro 7tt!F!ort
Squid por defecto utilizar el puerto 3128 para atender peticiones, sin embargo se
puede especificar que lo haga en cualquier otro puerto o bien que lo haga en varios
puertos a la vez.
En el caso de un Proxy Transparente, regularmente se utilizar el puerto 80 y se
valdr del re-direccionamiento de peticiones de modo tal que no habr necesidad
alguna de modificar la configuracin de los navegadores de Red para utilizar el
servidor Proxy, bastar con utilizar como puerta de enlace al servidor. Es
importante recordar que los servidores HTTP, como Apache, tambin utilizan dicho
puerto, por lo que ser necesario reconfigurar el servidor Web para utiliza otro
puerto disponible, o bien desinstalar o deshabilitar el servidor Web.
Hoy en da ya no es del todo prctico el utilizar un Proxy Transparente, a menos
que se trate de un servicio de Caf nternet u oficina pequea, siendo que uno de
los principales problemas con los que lidian los administradores es el mal uso y/o
abuso del acceso a nternet por parte del personal. Es por esto que puede resultar
ms conveniente confiurar un servidor Prox( con restricciones !or
contraseEa, lo cual no !uede 7acerse con un Prox( Trans!arente, debido a que
se requiere un dilogo de nombre de usuario y contrasea.
Regularmente algunos programas utilizados comnmente por los usuarios suelen
traer por defecto el puerto 8080 -servicio de cacheo WWW- para utilizarse al
configurar que servidor proxy utilizar. Si queremos aprovechar esto en nuestro
favor y ahorrarnos el tener que dar explicaciones innecesarias al usuario, podemos
especificar que Squid escuche peticiones en dicho puerto tambin. Siendo as
localice la seccin de definicin de http_port, y especifique:
#
# You may specify multiple socket addresses on multiple lines.
#
# Default: http_port 3128
# http_port 3128
http_port 8080
Si desea incrementar la seguridad, puede vincularse el servicio a una P que solo
se pueda acceder desde la red local. Considerando que el servidor utilizado posee
una P 192.168.1.254, puede hacerse lo siguiente:
#
# You may specify multiple socket addresses on multiple lines.
#
# Default: http_port 3128
# http_port 192.168.1.254:3128
http_port 192.168.1.254:8080
Par9metro cac7eFmem
57 ng. van Ferreira
El parmetro cache_mem establece la cantidad ideal de memoria para lo siguiente:
Ab:etos en tr9nsito (n transit objects) Ej. descargas activas o pginas de
servidores remotos que estn siendo estiradas por el servidor
Ab:etos !o!ulares (Hot objects) Los objetos que squid considera los ms
utilizados.
Ab:etos neativas en cac7e (negative-cached) Por defecto se almacenan
en cach por cinco minutos y son pginas que responden con:
302 Moved Temporarily
400 Bad Request
403 Forbidden
404 Not Found
500 nternal Server Error.
Los datos de estos objetos se almacenan en bloques de 4 Kb. El parmetro
cache_mem especifica un lmite mximo en el tamao total de bloques asignados. Los
objetos en trnsito tienen mayor prioridad. Cuando se necesita espacio adicional
para algn dato que esta siendo recibido, los objetos negativas en cach y
populares sern liberados. Es otras palabras los objetos negativas en cach y
populares utilizarn todo el espacio no usado y necesitado por los objetos en
trnsito.
Por defecto se establecen 8 MB. Puede especificarse una cantidad mayor si as se
considera necesario, dependiendo esto de los hbitos de los usuarios o
necesidades establecidas por el administrador.
Si el servidor posee suficiente memoria, podra elevar este parmetro a 32 o 48
MB:
cache_mem 32 MB
Squid puede usar mucho ms de lo que especifica en este parmetro, por lo tanto
sea reservado.
Par9metro cac7eFdir
Este parmetro se utiliza para establecer que tamao se desea que tenga el cache
en el disco duro para Squid. Para entender esto un poco mejor, responda a esta
pregunta: Cuanto desea almacenar de nternet en el disco duro? Por defecto
Squid utilizar un cache de 100 MB, de modo tal que encontrar la siguiente lnea:
cache_dir ufs /var/spool/squid 100 16 256
Se puede incrementar el tamao del cache hasta donde lo desee el administrador.
Mientras ms grande el cache, ms objetos de almacenarn en ste y por lo tanto
se utilizar menos el ancho de banda. La siguiente lnea establece un cache de 3
GB:
cache_dir ufs /var/spool/squid 3096 16 256
Los nmeros 16 y 256 significan que el directorio del cache contendr 16
subdirectorios con 256 niveles cada uno. No modifique esto nmeros, no hay
necesidad de hacerlo.
Es muy importante considerar que si se especifica un determinado tamao de
cache y este excede al espacio real disponible en el disco duro, Squid se bloquear
inevitablemente. Sea cauteloso con el tamao de cache especificado.
Par9metro ft!Fuser
Al acceder a un servidor FTP de manera annima, por defecto Squid enviar como
contrasea Squid@. Si se desea que el acceso annimo a los servidores FTP sea
ms informativo, o bien si se desea acceder a servidores FTP que validan la
autenticidad de la direccin de correo especificada como contrasea, puede
especificarse la direccin de correo electrnico que uno considere pertinente.
ftp_user proxy@redhat.com.py
Control de acceso
Es necesario establecer Listas de Control de Acceso que definan una red o bien
ciertas mquinas en particular. A cada lista se le asignar una Regla de Control de
Acceso que permitir o denegar el acceso a Squid. Procedamos a entender como
definir unas y otras.
Regularmente una lista de control de acceso se establece siguiendo la siguiente
sintaxis:
acl [nombre de la lista] src [lo que compone a la lista]
Si uno desea establecer una lista de control de acceso que defina sin mayor trabajo
adicional a toda la red local definiendo la P que corresponde a la red y la mscara
de la sub-red. Por ejemplo, si se tienen una red donde las mquinas tienen
direcciones P 192.168.1.0 con mscara de subred 255.255.255.0, podemos utilizar
lo siguiente:
acl our_networks src 192.168.1.0/255.255.255.0
59 ng. van Ferreira
Tambin puede definirse una Lista de Control de Acceso invocando un fichero
localizado en cualquier parte del disco duro, y en el cual se en cuenta una lista de
direcciones P. Ejemplo:
acl permitidos src "/etc/squid/permitidos"
El fichero /etc/squid/permitidos contendra algo como siguiente:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16
192.168.1.20
192.168.1.40
Lo anterior estara definiendo que la Lista de Control de Acceso denominada
permitidos estara compuesta por las direcciones P incluidas en el fichero
/etc/squid/permitidos.
Relas de Control de Acceso
Estas definen si se permite o no el acceso a Squid. Se aplican a las Listas de
Control de Acceso. Deben colocarse en la seccin de reglas de control de acceso
definidas por el administrador, es decir, a partir de donde se localiza la siguiente
leyenda:
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
La sintaxis bsica es la siguiente:
http_access [deny o allow] [lista de control de acceso]
En el siguiente ejemplo consideramos una regla que establece acceso permitido a
Squid a la Lista de Control de Acceso denominada permitidos:
http_access allow permitidos
Tambin pueden definirse reglas valindose de la expresin !, la cual significa
excepcin. Pueden definirse, por ejemplo, dos listas de control de acceso, una
denominada lista1 y otra denominada lista2, en la misma regla de control de
acceso, en donde se asigna una expresin a una de estas. La siguiente establece
que se permite el acceso a Squid a lo que comprenda lista1 excepto aquello que
comprenda lista2:
http_access allow lista1 !lista2
Este tipo de reglas son tiles cuando se tiene un gran grupo de P dentro de un
rango de red al que se debe permitir acceso, y otro grupo dentro de la misma red al
que se debe denegar el acceso.
Par9metro cac7eFmr
Por defecto, si algo ocurre con el Cache, como por ejemplo que muera el proceso,
se enviar un mensaje de aviso a la cuenta webmaster del servidor. Puede
especificarse una distinta si acaso se considera conveniente.
cache_mgr joseperez@midominio.net
Par9metro cac7eF!eer; cac7es !adres ( 7ermanos
El parmetro cache_peer se utiliza para especificar otros proxy-cache en una
jerarqua como padres o como hermanos. es decir, definir si hay un proxy adelante
o en parelelo. La sntaxis bsica es la siguiente:
cache_peer servidor tipo http_port icp_port opciones
Ejemplo: Si su cache va a estar trabajando detrs de otro servidor cache, es decir
un cache padre, y considerando que el cache padre tiene una P 192.168.1.1,
escuchando peticiones HTTP en el puerto 8080 y peticiones CP en puerto 3130
(puerto utilizado por defecto por Squid) ,especificando que no se almacenen en
cache los objetos que ya estn presentes en el cache del proxy padre, utilice la
siguiente lnea:
cache_peer 192.168.1.1 parent 8080 3130 proxy-only
Cuando se trabaja en redes muy grandes donde existen varios servidores proxy
haciendo cache de contenido de nternet, es una buena idea hacer trabajar todos
los cache entre si. Configurar caches vecinos como sibbling (hermanos) tiene como
beneficio el que se consultarn estos caches localizados en la red local antes de
acceder hacia nternet y consumir ancho de banda para acceder hacia un objeto
que ya podra estar presente en otro cache vecino.
Ejemplo: Si su cache va a estar trabajando en paralelo junto con otros caches, es
decir caches hermanos, y considerando los caches tienen P 10.1.0.1, 10.2.0.1 y
10.3.0.1, todos escuchando peticiones HTTP en el puerto 8080 y peticiones CP en
puerto 3130, especificando que no se almacenen en cache los objetos que ya
estn presentes en los caches hermanos, utilice las siguientes lneas:
cache_peer 10.1.0.1 sibbling 8080 3130 proxy-only
Pueden hacerse combinaciones que de manera tal que se podran tener caches
61 ng. van Ferreira
padres y hermanos trabajando en conjunto en una red local. Ejemplo:
cache_peer 10.0.0.1 parent 8080 3130 proxy-only
A!licando Listas ( Relas de control de acceso
Una vez comprendido el funcionamiento de la Listas y las Regla de Control de
Acceso, procederemos a determinar cuales utilizar para nuestra configuracin.
Control de acceso / Caso "
Considerando como ejemplo que se dispone de una red
192.168.1.0/255.255.255.0, si se desea definir toda la red local, utilizaremos la
siguiente lnea en la seccin de Listas de Control de Acceso:
Habiendo hecho lo anterior, la seccin de listas de control de acceso debe quedar
ms o menos del siguiente modo:
# Listas de Control de Acceso: definicin de una red local completa
#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar
ms o menos de este modo:
# Reglas de control de acceso: Acceso a una Lista de Control de Acceso.
#
#
http_access allow localhost
http_access allow our_networks
http_access deny all
La regla http_access allow our_networks permite el acceso a Squid a la Lista de
Control de Acceso denominada our_networks, la cual est conformada por
192.168.1.0/255.255.255.0. Esto significa que cualquier mquina desde
192.168.1.1 hasta 192.168.1.254 podr acceder a Squid.
Control de acceso / Caso +
Si solo se desea permitir el acceso a Squid a ciertas direcciones P de la red local,
deberemos crear un fichero que contenga dicha lista. Genere el fichero
/etc/squid/permitidos, dentro del cual se incluirn solo aquellas direcciones P que
desea confirmen la Lista de Control de acceso. Ejemplo:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16
192.168.1.20
192.168.1.40
Denominaremos a esta lista de control de acceso como permitidos:
Habiendo hecho lo anterior, la seccin de listas de control de acceso debe quedar
ms o menos del siguiente modo:
# Listas de Control de Acceso: definicin de una red local completa
#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar
ms o menos de este modo:
# Reglas de control de acceso: Acceso a una Lista de Control de Acceso.
#
#
http_access allow localhost
http_access allow permitidos
http_access deny all
La regla http_access allow permitidos permite el acceso a Squid a la Lista de
Control de Acceso denominada permitidos, la cual est conformada por las
direcciones P especificadas en el fichero /etc/squid/permitidos. esto significa que
cualquier mquina no incluida en /etc/squid/permitidos no tendr acceso a Squid.
Prox( Trans!arente
Un proxy transparente combina un servidor proxy con NAT de manera que las
conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y
habitualmente sin que el propio cliente conozca de su existencia.
Si la versin de squid es anterior a la 2.6, para hacer que trabaje como un proxy
transparente, configure las siguientes opciones:
63 ng. van Ferreira
# Debe especificarse la IP de cualquier servidor Web en la red local
# o bien el valor virtual
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Si la versin de squid es 2.6 o superior el proxy transparente se configura
simplemente estableciendo transparent en la directiva http_port:
http_port 3128 transparent
Nota acerca de Internet Explorer 5.5 y versiones anteriores: Si va a utilizar
nternet Explorer 5.5 y versiones anteriores con un proxy transparente, es
importante recuerde que dichas versiones tiene un psimo soporte con los proxies
transparentes imposibilitando por completo la capacidad de refrescar contenido. Lo
ms conveniente es actualizar hacia nternet Explorer 6.x o defintivamente optar
por otras alternativas como Mozilla, que consiste en una suite completa de
aplicaciones para nternet, o bien Mozilla Firebird, que consiste en un navegador
muy ligero y que cumple con los estndares, de las cuales encontrar versin para
Windows. Si se utiliza el parmetro ie_refresh con valor on puede hacer que se
verifique en los servidores de origen para nuevo contenido para todas las
peticiones MS-REFRESH provenientes de nternet Explorer 5.5 y versiones
anteriores.
Prox( trans!arente / Rela de i!tables
Para que el proxy transparente funcione, debe indicar por medio de iptables que
las solicitudes de conexin al puerto 80 sern redireccionadas al puerto del squid.
Considerando que la red local accede a travs de eth0 y que Squid escucha
peticiones en puerto 8080, se utiliza la siguiente lnea:
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
-j REDIRECT --to-port 8080
@stableciendo el idioma !or defecto
Squid incluye traduccin a distintos idiomas de las distintas pginas de error e
informativas que son desplegadas en un momento dado. Dichas traducciones se
pueden encontrar en /usr/lib/squid/errors/. Para poder hacer uso de las pginas
de error traducidas al espaol, es necesario cambiar un enlace simblico localizado
en /etc/squid/errors para que apunte hacia /usr/lib/squid/errors/Spanish en lugar
de hacerlo hacia /usr/lib/squid/errors/English.
Elimine primero el enlace simblico actual:
# rm -f /etc/squid/errors
Coloque un nuevo enlace simblico apuntando hacia el directorio con los ficheros
correspondientes a los errores traducidos al espaol.
Red Hat Linux y Fedora Core:
ln -s /usr/share/squid/errors/Spanish /etc/squid/errors
Iniciando el servicio al arran4ue del sistema
Una vez terminada la configuracin, ejecute el siguiente comando para iniciar por
primera vez Squid:
service squid start
Si necesita reiniciar para probar cambios hechos en la configuracin, ejecute lo
siguiente:
service squid restart
Si desea que Squid inicie de manera automtica la prxima vez que inicie el
sistema, ejecute lo siguiente:
/sbin/chkconfig squid on
,e!uracin de errores
Cualquier error al inicio de squid solo significa que hubo errores de sintaxis, errores
de dedo o bien se estn citando incorrectamente las rutas hacia los ficheros de las
Listas de Control de Acceso.
Puede realizar diagnstico de problemas revisando los registros del servidor squid
en el directorio /var/log/squid.
65 ng. van Ferreira
#
5er( 'ecure FTP ,aemon )5'FTP,*
Very Secure FTP Daemon (VSFTPD)
5er( 'ecure FTP ,aemon )5'FTP,*
El protocolo de transferencia de archivos (File transfer protocol) ftp es el mas
antiguo y confiable mtodo de transferencia de archivos y es utilizado ampliamente
en las organizaciones actualmente. El demonio Very Secure FTP Daemon (vsftpd)
es uno de los servidores FTP mas popular y robusto disponible para la comunidad
Linux. El servidor vsftpd tiene una prioridad desde su diseo, reforzar los
requerimientos de seguridad. El servidor puede operar en una jaula chroot y ahora
soporta encriptacin TLS/SSL (desde la version 2).
La configuracin instalada inicialmente provee acceso para descarga a usuarios
annimos. Esta seccin cubrir algunos parmetros bsicos de configuracin del
servidor y como aumentar la seguridad para permitir usuarios autorizados
solamente. Tambin se dara una mirada a como habilitar la encriptacin TLS/SSL
para proveer un nivel de seguridad para la transferencia de archivos. Las
extensiones de seguridad FTP son discutidas en RFC2228.
Confiuracin inicial
El archivo de configuracin /etc/vsftpd/vsftpd.conf por defecto esta perfectamente
adaptado para permitir acceso seguro annimo y es un buen punto para comenzar
las personalizaciones. Antes de modificar el archivo de configuracin, haga una
copia del archivo actual.
Para desplegar un mensaje de bienvenida cada vez que un usuario se conecta,
configure el parmetro 5a''er?*ile y cree un mensaje de bienvenida dentro del
archivo especificado.
banner_file=/etc/vsftpd/vsftpd.welcome
El parmetro *tpd?5a''er le permite configurar rpidamente una linea de bienvenida
para los usuarios que se conectan.
ftpd_banner=Bienvenido al servidor FTP.
Si ambos parmetros estan habilitados, banner_file es desplegado antes que
ftpd_banner.
Es posible personalizar el mensaje mostrado a medida que los usuarios van
navegando por los directorios con el parmetro message_file. Este mensaje puede
mostrar un resumen del contenido del directorio o la funcion de los archivos
ubicados en l.
message_file=.message
El servidor vsftpd puede ejecutarse en modo independiente o a travs de
inetd/xinetd. Para habilitar el modo independiente, configure el parmetro listen.
67 ng. van Ferreira
listen=YES
El parmetro umask define los permisos por defecto cuando se suben archivos al
servidor FTP. El parmetro anon_umask determina los permisos por defecto para
archivos subidos por usuarios annimos y local_umask determina los permisos por
defecto para archivos subidos por usuarios locales.
anon_umask=077
local_umask=022
La cuenta de usuario utilizada para acceso annimo es establecido con el
parmetro nopriv_user.
nopriv_user=ftp
La directiva pasv_enable habilita o deshabilita el modo pasivo del servidor FTP. Por
defecto el modo pasivo est habilitado.
pasv_enable=NO
Los siguientes parmetros configuran el archivo de registro de transferencias
donde se guardar un detalle de los archivos subidos y bajados.
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
El parmetro pam_service_name especifica el nombre del mdulo PAM a ser utilizado.
pam_service_name=vsftpd
El parmetro anon_root es el directorio donde los archivos FTP debern ser
ubicados para acceso annimo. El servidor vsftpd tratar de cambiarse a este
directorio luego de un inicio de sesin annimo. Debe ser un directorio vaco y no
escribible por el usaurio ftp, a menos que permita que los usuarios annimos suban
los archivos.
anon_root=/var/ftp
Control del servicio vsft!d
Una vez configurado el servidor vsftpd, puede habilitar la ejecucin del servicio
durante el inicio del sistema utilizando los siguientes comandos:
# chkconfig level 345 vsftpd on
# chkconfig list
El servicio puede ser iniciado o reiniciado inmediatamente, usando los siguientes
comandos:
# service vsftpd start
# service vsftpd restart
Control de acceso de los usuarios
En el estado inicial de la configuracin del servidor vsftpd, se permite acceso de
descarga a los usuarios annimos. Para aumentar la seguridad, es necesario
realizar ajustes a la configuracin del servidor.
>suarios annimos
Para deshabilitar el acceso annimo de usuarios, configure el parmetro
anonymous_enable a NO, es importante destacar que no es suficiente con simplementa
comentar la lnea.
anonymous_enable=NO
Si el servidor FTP permitir el acceso FTP, puede evitar que los usuarios annimos
suban archivos y creen directorios por medio de las directivas anon_upload_enable y
anon_mkdir_write_enable. Por seguridad, no es recomendado habilitar estas
opciones.
anon_upload_enable=NO
anon_mkdir_write_enable=NO
Para restringir la tasa de transferencia para las subidas hechas por usuarios
annimos y locales, puede configurar la opcin anon_max_rate y local_max_rate
respectivamente. El valor depende del tipo de conexin que su servidor esta
utilizando y es establecido en bytes por segundo.
anon_max_rate=10485760
local_max_rate=0
Puede limitar la cantidad de sesiones establecidas por los usuarios en total y la
cantidad de sesiones que pueden ser establecidas desde la misma direccin P.
Esto es til para evitar los aceleradores de descargas que pueden saturar al
servidor.
max_clients=500
max_per_ip=4
>suarios locales
Normalmente, cualquier usuario que tenga una cuenta en el sistema local puede
iniciar sesin a travs de ftp y acceder a sus archivos. Como medida de seguridad,
no todas las cuentas del sistema deberan ser habilitadas para realizar ftp. A
cualquier cuenta de usuario listada en el archivo /etc/vsftpd/user_list se le
denegar el acceso al sistema travs de ftp.
69 ng. van Ferreira
Si desea que por defecto, a todas las cuentas de usuario se deniegue el acceso ftp,
excepto a los explicitamente permitidos, configure las opciones userlist_deny y
userlist_enable.
Si la opcin userlist_deny esta configurada a #O, entonces a los usuarios se les
denegar el inicio de sesin a menos que esten listados en el archivo especificado
en el parmetro userlist_file.
La opcin userlist_enable especifica el archivo a ser leido cuando la opcin
userlist_enable est activa.
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
Si desea evitar que todas las cuentas locales del sistema puedan iniciar sesin a
travs de FTP, configure las opciones local_enable y write_enable a NO.
local_enable=YES
write_enable=YES
Las cuentas locales normalmente tienen la posibilidad de navegar a travs de todo
el sistema de archivos, tal como si estuvieran ingresando desde una terminal,
dependiendo de los permisos de los directorios. Para evitar esto, puede enjaular a
los usuarios en su directorio HOME, haciendo chroot. Esto significa que el usuario
vera a su directorio como como el directorio raz y no podr acceder al rbol
principal del sistema de archivos.
chroot_local_user=YES
Es posible hacer de forma selectiva el enjaulamiento de los usuarios, especificando
la lista de usuarios que sern enjaulados en un archivo, usando las siguientes
opciones:
# chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
Si habilita las tres opciones la lista funciona de forma inversa, esto es, por defecto
todos los usuarios estarn en un entorno chroot excepto los listando en
chroot_list_file.
Habilitando la encri!tacin ''L/TL'
Con el lanzamiento de vsftpd version 2, se realizaron varias mejoras y
actualizaciones al paquete FTP y la mas notable de ellas es la inclusin de
encriptacin TLS/SSL para asegurar la autenticacin y transferencia de datos.
TLS/SSL no debera ser habilitado si el servidor permitira acceso annimo, el
proceso de encriptacin es una carga adicional a los recursos del servidor y
debera ser habilitado solo si es realmente necesario.
Para habilitar TLS/SSL, la versin de vsftpd debe haber sido compilada con soporte
TLS/SSL. Para identificar si la versin ha sido compilada con soporte SSL, ejecute
el siguiente comando:
# ldd /usr/sbin/vsftpd
Si el comando despliega la biblioteca libssl como resultado, entonces la versin
soporta TLS/SSL.
Antes de poder usar TLS/SSL, requiere de la genracin de una clave privada y un
certificado digital. Durante la generacin de la clave, se solicitar informacin
acerca del nombre del servidor, nombre de la organizacin, contacto y cdigo de
pas.
Ejecute los siguientes comandos para generar la clave y el certificado digital:
# cd /etc/pki/tls/certs
# make vsftpd.pem
El contenido del archivo debe ser verificado para asegurarse que existe la clave
privada y el certificado digital.
Para examinar el archivo ejecute:
# cat vsftpd.pem
Para examinar el certificado digital ejecute:
# openssl x509 -in vsftpd.pem noout -text
Debera asegurar los permisos del certificado, de tal forma a que solo el usuario root
tenga acceso, para ello ejecute el siguiente comando:
# chmod 600 vsftpd.pem
Mueva el archivo generado al directorio /etc/vsftpd
# mv vsftpd.pem /etc/vsftpd
El archivo de configuracin ahora debe ser modificado para incluir el soporte de
encriptacin TLS/SSL. Los parmetros que deber configurar son:
# Si ssl_enable esta habilitado y vsftpd fue compilado con OpenSSL, vsftpd
# soportar conexiones via SSL. Necesitar un cliente con soporte SSL tambin.
ssl_enable=YES
# El parametro allow_anon_ssl si es configurado a YES, se permitira conexiones
# aseguradas con SSL a los usuarios anonimos.
allow_anon_ssl=NO
71 ng. van Ferreira
# Si se activa el parametro force_local_data_ssl todas las conexiones no anonimas
# seran forzadas al uso de una conexin segura SSL para la transferencia de datos.
force_local_data_ssl=NO
# Si se activa el parametro force_local_login_ssl todos los inicios de sesion no
# anonimos seran forzados a usar SSL para el envio de la contrasea.
force_local_logins_ssl=YES
# Permitimos conexiones TLS V1
ssl_tlsv1=YES
# Las conexiones TLS son preferidas, por tanto se deshabilitan las conexiones
# SSL v2 y SSL v3.
ssl_sslv2=NO
ssl_sslv3=NO
# Finalmente, especificamos la ruta al archivo que contiene el certificado digital
rsa_cert_file=/etc/fsftpd/vsftpd.pem
Para que los cambios tengan efecto, es necesario reiniciar el servicio:
# service vsftpd restart
Clientes FTP con so!orte TL'/''L
El cliente FTP FTP para linux permite conexiones TLS/SSL, sin embargo por
defecto rechazar certificados auto formados. Esto puede evitarse deshabilitando la
opcin "Verify SSL Peer en las opciones. Cuando realiza una conexin, asegrese
de seleccionar el protocolo FTPS.
El cliente FTP 'martFTP para Windows permite conexiones TLS/SSL. El servidor
FTP debe ser configurado como un "Sitio Favorito, luego, las propiedades deben
ser ajustadas para usar "FTP over SSL Explicit.
G
1er&ele( Internet $ame ,omain )1I$,*
Berkeley nternet Name Domain (BND)
1er&ele( Internet $ame ,omain )1I$,*
En la mayora de las redes modernas, incluyendo la nternet, los usuarios localizan
otras mquinas por su nombre. Esto libera a los usuarios de la pesada tarea de
recordar la direccin numrica de los recursos de red. La forma ms efectiva de
configurar una red para permitir tales conexiones basadas en nombres es
configurando un Domain Name Service (DNS) o servidor de nombres, el cual
resuelve los nombres de hosts en la red a direcciones numricas y viceversa.
Este captulo revisa el servidor de nombres incluido con Red Hat Linux, servidor
DNS Berkeley nternet Name Domain (BND), con nfasis en la estructura de sus
archivos de configuracin y en cmo deberan ser administrados localmente y
remtamente.
Si utiliza la Herramienta de configuracin de Bind system-config-bind, no edite
manualmente ningn archivo de configuracin BND pues todos los cambios sern
sobreescritos la prxima vez que utilice la Herramienta de configuracin de Bind.
Introduccin a ,$'
Cuando hosts en una red se conectan a travs de sus nombres de mquinas,
tambin llamado nombre de dominio completamente cualificado (FQDN), DNS es
usado para asociar los nombres de las mquinas a las direcciones P para el host.
El uso de nombres de un dominio completamente cualificado y DNS tiene ventajas
para los administradores del sistema, stos dan a los administradores flexibilidad a
la hora de cambiar las direcciones P para mquinas individuales sin realizar
preguntas sobre el nombre en las mquinas. Por otro lado, los administradores
pueden revolver cules mquinas manejan consultas basadas en nombre .
DNS es normalmente implementado usando servidores centralizados que autorizan
algunos dominios y se refieren a otros servidores DNS para otros dominios.
Cuando un host cliente solicita informacin desde un servidor de nombres,
usualmente se conecta al puerto 53. El nombre de servidor luego intenta resolver el
FQDN basado en su librera de resolucin, la cual puede contener informacin de
autorizacin sobre el host solicitado o datos en cach de una consulta anterior. Si
el nombre del servidor no tiene la respuesta en su librera de resolucin, consultar
otros nombres de servidores, llamados servidores de nombres de root, para
determinar cules servidores de nombres son fidedignos para el FQDN en
cuestin. Luego, con esa informacin, consulta los servidores de nombres
autoritarios para determinar la direccin P del host solicitado. Si se est realizando
una bsqueda inversa, se usa el mismo procedimiento, excepto que la consulta es
realizada con una direccin P desconocida en vez de un nombre.
Donas de servidores de nombres
En nternet, el FQDN de un host se puede analizar en diversas secciones y estas
secciones se analizan a su vez por orden jerrquico, como en un rbol el tronco,
las ramas primarias, las ramas secundarias, etc. Por ejemplo, considere el
siguiente FDNQ:
update.rhn.redhat.com

Cuando miramos cmo un FQDN es resuelto para encontrar la direccin P que se
relaciona a un sistema particular, lea el nombre de derecha a izquierda, con cada
nivel de la jerarqua dividido por puntos (.). En nuestro ejemplo, com define el
dominio de nivel superior para este FQDN. El nombre redhat es un subdominio bajo
com, mientras que rhn es un subdominio bajo redhat. El nombre ms hacia la
izquierda, update, identifica una mquina especfica.
Aparte del nombre del dominio, cada seccin se llama zona, la cual define un
espacio de nombre particular. Un espacio de nombre, controla los nombres de los
subdominios de la izquierda. Aunque en el ejemplo solamente hay dos
subdominios, un FQDN tiene que contener al menos un subdominio pero puede
incluir muchos ms; depende de la organizacin del espacio de nombres elegido.
Las zonas son definidas en servidores de nombres autorizados a travs del uso de
archivos de zona, lo cual describen el espacio de nombres de esa zona, los
servidores de correo a ser utilizados por un dominio particular o sub-dominio, y
ms. Los archivos de zona son almancenados en servidores de nombres primarios
(tambin llamados servidores de nombres maestro), los cuales son
verdaderamente autorizados y donde los cambios se hacen a los archivos, y
servidores de nombres secundarios (tambin llamados servidores de nombres
esclavos), que reciben sus archivos de zona desde los servidores de nombres
primarios. Cualquier servidor de nombres puede ser un servidor primario y
secundario para zonas diferentes al mismo tiempo, y tambin pueden ser
considerados autoritarios para mltiples zonas. Todo depende de cmo se
configure el servidor de nombres.
Ti!os de ?onas de los servidores de nombres
Existen cinco tipos de configuracin de zonas en servidores de nombres de
dominio:
master )maestro* / Almacena los registros de las zonas originales y de
autoridad para un cierto espacio de nombres, contestando preguntas de
otros servidores de nombres buscando respuestas concernientes a ese
espacio de nombres.
slave )esclavo* / Responde a las peticiones que provienen de otros
75 ng. van Ferreira
servidores de nombres y que se refieren a los espacios de nombres sobre
los que tiene autoridad. Sin embargo, los servidores esclavos obtienen la
informacin de sus espacios de nombres desde los servidores maestros.
Mantiene una copia de solo lectura de los registros almacenados en una
zona maestra. Es utilizada para tolerancia a fallos.
stub / Es parecida an servidor esclavo, excepto que repliza solo los registros
NS de la zona maestra en lugar de toda la zona.
cac7in onl( )slo cac7H* / ofrece servicios de resolucin de nombres a
direcciones P pero no tiene ninguna autoridad sobre ninguna zona. Las
respuestas en general se introducen en un cach por un perodo de tiempo
fijo, la cual es especificada por el registro de zona recuperado.
for%arder )reenvCo* / Reenva las peticiones a una lista especfica de
servidores de nombres para la resolucin de nombres. Si ninguno de los
servidores de nombres especificados puede resolver los nombres, la
resolucin falla.
Hint - El conjunto de servidores de nombres para el dominio raiz ". (root
nameservers) se especifican en una zona hint.
Un servidor de nombres puede contener uno o ms de estos tipos de zonas. Por
ejemplo, un servidor de nombres puede ser un maestro para algunas zonas, un
esclavo para otras y slo ofrecer el reenvo de resoluciones para otras.
1I$, como un servidor de nombres
BND realiza la resolucin de nombres a travs del demonio /usr/sbin/named. BND
tambin incluye una utilidad de administracin llamada /usr/sbin/rndc.
BND almacena sus archivos de configuracin en los siguientes dos lugares:
/etc/'a"ed-co'* El archivo de configuracin para el demonio named.
/,ar/'a"ed/ El directorio de trabajo named el cual almacena zonas,
estadsticas y archivos cach.
El servicio named puede ejecutarse en un entorno enjaulado (chroot). Esto
proporciona mayor seguridad debido a que el demonio no puede acceder al
sistema de archivos raz real, en lugar de ello, se genera un sistema de archivos
raz alternativo para la ejecucin del servicio. Si el servicio es explotado, no podr
obtener datos del sistema de archivos real.
La ejecucin de named en entorno enjaulado es controlado por el archivo
/etc/sysconfig/named. El archivo por defecto est configurado para ejecutarse en
entorno enjaulado:
ROOTDIR=/var/named/chroot
Para evitar que named se ejecute en un entorno enjaulado comente esa lnea.
Las prximas secciones revisan los archivos de configuracin de BND en ms
detalle. Si named se ejecuta en entorno enjaulado, la ruta a todos los archivos
mencionados son relativas al directorio ROOTDIR.
@l arc7ivo /etc/named.conf
El archivo named.conf es una coleccin de declaraciones usando opciones anidadas
rodeadas por caracteres de llaves, { }. Los administradores deben tener mucho
cuidado cuando estn modificando named.conf para evitar errores sintcticos puesto
que hasta el error ms pequeos puede impedir que el servicio named arranque.
No modifique manualmente el archivo /etc/named.conf o cualquier archivo en el
directorio /var/named/ si est usando la Herramienta de configuracin de Bind.
Cualquier cambio manual a esos archivos sern sobreescritos la prxima vez que
se use Herramienta de configuracin de Bind.
Un archivo tpico de named.conf est organizado de forma similar al ejemplo
siguiente:
<declaracion> {
<opcion-1> {valor; [valor]...};
};
@ti4uetas de comentarios
La siguiente es una lista de las etiquetas de comentarios vlidas usadas dentro de
named.conf:
// Cuando se coloca al comienzo de una lnea, esa lnea es ignorada por named.
# Cuando se coloca al comienzo de una lnea, esa lnea es ignorada por named.
/* y */ Cuando el texto se coloca entre estas etiquetas, se ignora el bloque de
texto por named.
,eclaracin acl
La sentencia acl (o sentencia de control de acceso) define grupos de hosts a los
que se les puede permitir o negar el acceso al servidor de nombres.
77 ng. van Ferreira
Una declaracin acl tiene la siguiente forma:
acl <nombre-acl> {
<elemento-de-concordancia>;
[ <elemento-de-concordancia>; ...]
};
En esta declaracin, sustituya <nombre-acl> con el nombre de la lista de control de
acceso y reemplace <elemento-de-concordancia> con una lista de direcciones P
separada por puntos y comas. La mayora de las veces, una direccin P individual
o notacin de red P (tal como 10.0.1.0/24) es usada para identificar las direcciones
P dentro de la declaracin acl.
La siguiente lista de control de acceso ya estn definidas como palabras claves
para simplificar la configuracin:
a'. 1 Hace coincidir todas las direcciones P.
local+ost 1 Hace coincidir cualquier direccin P que se use el sistema local.
local'ets 1 Hace coincidir cualquier direccin P en cualquier red en la que
el sistema local est conectado.
'o'e 1 No concuerda ninguna direccin P.
Cuando lo utilice con otras pautas (tales como declaraciones options), las
declaraciones acl pueden ser muy tiles al asegurar el uso correcto de su servidor
de nombres BND.
El ejemplo siguiente define dos listas de control de acceso y utiliza una declaracin
options para definir cmo son tratadas en el servidor de nombres:
acl black-hats {
10.0.2.0/24;
192.168.0.0/24;
};
acl red-hats {
10.0.1.0/24;
};
options {
blackhole { black-hats; };
allow-query { red-hats; };
allow-recursion { red-hats; };
}

Este ejemplo contiene dos listas de control de acceso, black-hats y red-hats. Los
hosts en la lista black-hats se les niega el acceso al servidor de nombres, mientras
que a los hosts en la lista red-hats se les d acceso normal.
,eclaracin include
La declaracin include permite incluir archivos en un named.conf. De esta forma los
datos de configuracin confidenciales (tales como claves) se pueden colocar en un
archivo separado con permisos de restriccin.
Una declaracin include tiene la forma siguiente:
include "<nombre-archivo>"
En esta declaracin, <nombre-archivo> es reemplazado con una ruta absoluta a un
archivo.
,eclaracin o!tions
La declaracion options define opciones de configuracin de servidor globales y
configura otras declaraciones por defecto. Puede ser usado para especificar la
ubicacin del directorio de trabajo named, los tipos de consulta permitidos y mucho
ms.
La declaracin options toma la forma siguiente:
options {
<opcion>;
[<opcion>; ...]
};
En esta declaracin, las directivas <opcion> son reemplazadas con una opcin
vlida.
Las siguientes son opciones usadas a menudo:
allo/1>uer. 1 Especifica cules hosts tienen permitido consultar este
servidor de nombres. Por defecto, todos los hosts tienen derecho a
consultar. Una lista de control de acceso, o una coleccin de direcciones P
o redes se puede usar aqu para slo permitir a hosts particulares hacer
consultas al servidor de nombres.
allo/1recursio' 1 Parecida a la opcin allow-query, salvo que se aplica a las
peticiones recursivas. Por defecto, todos los hosts estn autorizados a
presentar peticiones recursivas en un servidor de nombres.
5lac0+ole 1 Especifica cules hosts no tienen permitido consultar al servidor
de nombres.
director. 1 Reemplaza el directorio de trabajo named en vez del directorio
predeterminado /var/named.
79 ng. van Ferreira
*or/ard 1 Controla el comportamiento de reenvo de una directiva forwarders.
Se aceptan las siguientes opciones:
*irst 1 ndica que los servidores de nombres especificados en la
directiva forwarders sean consultados antes de que named intente resolver
el nombre el mismo.
o'l. 1 ndica que named no intente la resolucin de nombres l mismo en
el evento de que consultas a los servidores de nombres especificados en
la directiva forwarders fallen.
*or/arders Especifica una lista de direcciones P vlidas para los servidores
de nombres donde las peticiones se pueden reenviar para ser resueltas.
Una directiva forwarders se puede ver como:
options {
forwarders { 192.168.10.1; 192.168.10.2; };
};
Una servidor de solo reenvo se configura de la siguiente forma:
options {
forwarders { 192.168.10.1; 192.168.10.2; };
forward only;
};
liste'1o' Especifica la interfaz de red en la cual named escucha por
solicitudes. Por defecto, todas las interfaces son usadas.
De esta forma, si el servidor DNS es tambin una gateway, BND se puede
configurar para slo contestar solicitudes que se originan desde algunas de
las redes.
Una directiva listen-on se puede ver como:
options {
listen-on { 10.0.1.1; };
};

De esta forma, solamente las peticiones que llegan desde la interfaz de red
sirviendo a la red privada (10.0.1.1) sern aceptadas.
#oti*. 1 Controla si named notifica a los servidores esclavos cuando una
zona es actualizada. Acepta las opciones siguientes:
.es / Notifica a los servidores esclavos.
'o / No notifica a los servidores esclavos.
e<plicit / Slo notifica a los servidores esclavos en una lista also-notify
dentro de una declaracin de zona.
pid1*ile Especifica la ubicacin del archivo del proceso D creado por named.
statistics1*ile Permite especificar la localizacin alternativa de los archivos
de estadsticas. Por defecto, las estadsticas de named son guardadas al
archivo /var/named/named.stats.
Existen numerosas opciones disponibles, muchas de ellas dependen unas de otras
para poder funcionar correctamente. Consulte el Manual de referencia para el
administrador de BND 9 y la pgina del manual para bind.conf para ms detalles.
,eclaracin ?one
Una declaracin zone define las caractersticas de una zona tal como la ubicacin
de su archivo de configuracin y opciones especficas de la zona. Esta declaracin
puede ser usada para ignorar las declaraciones globales options.
Una declaracin zone tiene la forma siguiente:
zone domain_name [ ( in | hs | hesiod | chaos ) ] {
type master;
file path_name;
[ forward ( only | first ); ]
[ forwarders { [ ip_addr ; [ ip_addr ; ... ] ] }; ]
[ check-names ( warn | fail | ignore ); ]
[ allow-update { address_match_list }; ]
[ allow-query { address_match_list }; ]
[ allow-transfer { address_match_list }; ]
[ dialup yes_or_no; ]
[ notify yes_or_no; ]
[ also-notify { ip_addr; [ ip_addr; ... ] };
[ ixfr-base path_name; ]
[ pubkey number number number string; ]
};
type ( slave | stub );
[ file path_name; ]
[ ixfr-base path_name; ]
masters [ port ip_port ] { ip_addr; [ ip_addr; ... ] };
[ allow-update { address_match_list }; ]
[ allow-query { address_match_list }; ]
[ allow-transfer { address_match_list }; ]
[ transfer-source ip_addr; ]
[ dialup yes_or_no; ]
[ max-transfer-time-in number; ]
[ notify yes_or_no; ]
[ also-notify { ip_addr; [ ip_addr; ... ] };
[ pubkey number number number string; ]
};
type forward;
81 ng. van Ferreira
};
zone "." [ ( in | hs | hesiod | chaos ) ] {
type hint;
file path_name;
};

En esta declaracin, <zone-name> es el nombre de la zona, <zone-class> es la clase
opcional de la zona, y <zone-options> es una lista de opciones que caracterizan la
zona.
El atributo <zone-name> para la declaracin de zona es particularmente importante,
pues es el valor por defecto asignado para la directiva $ORIGIN usada dentro del
archivo de zona correspondiente localizado en el directorio /var/named/. El demonio
named anexa el nombre de la zona a cualquier nombre de dominio que no est
completamente cualificado listado en el archivo de zona.
Por ejemplo, si una declaracin zone define el espacio de nombres para
redhat.com.py, utilice redhat.com.py como el <zone-name> para que sea colocado al
final de los nombres de hosts dentro del archivo de zona redhat.com.py.
Las opciones ms comunes para la declaracin zone incluyen lo siguiente:
allo%/4uer( / Especifica los clientes que se autorizan para pedir informacin
sobre una zona. Por defecto, todas las peticiones de informacin son
autorizadas.
allo%/transfer / Especifica los servidores esclavos que estn autorizados
para pedir una transferencia de informacin de la zona. Por defecto, todas
las peticiones se autorizan.
allo%/u!date / Especifica los hosts que estn autorizados para actualizar
dinmicamente la informacin en sus zonas. Por defecto, no se autoriza la
actualizacin de la informacin dinmicamente.
Tenga cuidado cuando autorice a los hosts para actualizar la informacin de
su zona. No habilite esta opcin si no tiene confianza en el host que vaya a
usar. Es mejor que el administrador actualice manualmente los registros de
zona y que vuelva a cargar el servicio named.
file / Especifica el nombre del archivo en el directorio de trabajo named que
contiene los datos de configuracin de zona.
masters / La opcin masters lista las direcciones P desde las cuales solicitar
informacin autorizada. Solamente se usa si la zona est definida como tipo
esclavo.
notif( / Controla si named notifica a los servidores esclavos cuando una zona
es actualizada. Acepta las opciones siguientes:
(es Notifica a los servidores esclavos.
no No notifica a los servidores esclavos.
ex!licit Solamente notifica a los servidores esclavos especificados en
una lista de also-notify dentro de la declaracin de una zona.
t(!e - Define el tipo de zona. Abajo se muestra una lista de las opciones
vlidas:
for%ard / Dice al servidor de nombres que lleve a cabo todas las
peticiones de informacin de la zona en cuestin hacia otros
servidores de nombres. Tradicionalmente, el uso de reenviadores o
forwarders ha sido una propocicin al todo o nada. O usa un forwarder
para resolver cualquier consulta que su servidor no puede responder
por si solo, o no se usan forwarders en lo absoluto. Las zonas forward
permiten configurar a su servidor de nombres para usar forwarders
solamente cuando buscan ciertos nombres de dominios.
7int Tipo especial de zona que se usa para orientar hacia los servidores
de nombres root que sirven para resolver peticiones de una zona que no
se conoce. No se requiere mayor configuracin que la establecida por
defecto con una zona hint.
master Designa el servidor de nombres actual como el que tiene la
autoridad para esa zona. Una zona se puede configurar como tipo master
si los archivos de configuracin de la zona residen en el sistema.
slave Designa el servidor de nombres como un servidor esclavo para esa
zona. Tambin especifica la direccin P del servidor de nombres
maestro para la zona.
stub Acta como un servidor esclavo, pero solamente replica los
registros NS de la zona maestra. Es utilizada principalmente para
delegacion de dominios, en el dominio padre, o cuando el ancho de
banda es limitado para realizar una transferencia completa de la zona.
@:em!lo de declaraciones de ?one
La mayora de los cambios al archivo /etc/named.conf de un servidor de nombres
maestro o esclavo envuelven agregar, modificar o borrar declaraciones zone.
Mientras que estas declaraciones zone pueden contener muchas opciones, la
mayora de los servidores de nombres requieren slo un pequeo subconjunto para
83 ng. van Ferreira
funcionar efectivamente. Las siguientes declaraciones zone son ejemplos muy
bsicos que ilustran la relacin de servidores de nombres maestro-esclavo.
A continuacin se muestra un ejemplo de una declaracin de zone para un servidor
de nombres primario hospedando redhat.com.py (192.168.0.1):
zone "redhat.com.py" IN {
type master;
file "redhat.com.py.zone";
allow-update { none; };
};

En la declaracin, la zona es identificada como redhat.com.py, el tipo es
configurado a master y el servicio named se instruye para leer el archivo
/var/named/chroot/var/named/redhat.com.py.zone (Si se ha habilitado el entorno
enjaulado). Tambin le dice a named que no permita a ningn otro host que realice
actualizaciones.
Una declaracin de zone de servidor esclavo para redhat.com.py se ve un poco
diferente comparado con el ejemplo anterior. Para un servidor esclavo, el tipo se
coloca a slave y en lugar de la lnea allow-update est una directiva dicindole a
named la direccin P del servidor maestro.
Una declaracin de zone para un servidor esclavo para redhat.com.py sera como
sigue:
zone "redhat.com.py" IN {
type slave;
file "redhat.com.py.zone";
masters { 192.168.0.1; };
};

Esta declaracin zone configura named en el servidor esclavo a que busque por el
servidor maestro en la direccin P 192.168.0.1 por informacin sobre la zona
redhat.com.py. La informacin que el servidor esclavo recibe desde el servidor
maestro es guardada al archivo /var/named/chroot/var/named/redhat.com.py.zone (Si
se ha habilitado el entorno enjaulado).
Una declaracin de zone para un servidor que realiza reenvo condicional
(conditional forwarding) para suc1.redhat.com.py y suc2.redhat.com.py sera como
sigue:
zone "suc1.redhat.com.py" IN {
type forward;
forwarders { 138.72.10.20; 138.72.30.28; };
};
zone "suc2. redhat.com.py" IN {
type forward;
forwarders { 138.72.20.20; 138.72.20.28; };
};
Para permitir que el servidor DNS pueda resolver dominios de la nternet, es
necesario agregar una zona +i't, el archivo de zona contiene la lista de root
nameservers:
zone "." IN {
type hint;
file "named.ca" ;
};
Las zonas stub son utilizadas normalmente en los servidores DNS padres cuando
se ha implementado delegacion de dominios. La siguiente seria una declaracin de
zona stub para un dominio llamado redhat.com.py que tiene un subdominio
delegado llamado suc1.redhat.com.py:
zone "scu1.redhat.com.py" {
type stub;
masters { 192.253.254.2; };
file "stub.redhat.com.py.zone";
};
Atros ti!os de declaraciones
La lista siguiente muestra tipos de declaraciones usadas con menos frecuencia
disponibles dentro de named.conf.
co'trols Configura varios requerimientos de seguridad necesarios para usar
el comando rndc para administrar el servicio named.
0e. D20e.1'a"e3D Define una clave particular por nombre. Las claves son
usadas para autenticar varias acciones, tales como actualizaciones seguras
o el uso del comando rndc. Se usan dos opciones con key:
al(orit+" 2al(orit+"1'a"e3 El tipo de algoritma usado, tal como dsa o
hmac-md5.
secret D20e.1,alue3D La clave encriptada.
lo((i'( Permite el uso de mltiples tipos de registro, llamados channels.
Usando la opcin channel dentro de la declaracin logging, se puede
construir un tipo registro personalizado, con su propio nombre de archivo
(file), tamao lmite (size), versin (version), y nivel de importancia
(severity). Una vez que se haya definido el canal personalizado, se usa una
opcin category para clasificar el canal y comenzar a conectar cuando se
reinicie named.
Por defecto, named registra mensajes estndar al demonio syslog, que les
sita en /var/log/messages. Esto se debe a que varios canales estndares se
encuentran incorporados a BND junto con varios niveles de severidad, tales
como uno que maneja la informacin de mensajes de registros
85 ng. van Ferreira
(default_syslog) y otro que maneja mensajes de depuracin (default_debug).
Una categora por defecto, llamada default, usa los canales incorporados
para hacer conexiones normales sin ninguna configuracin especial.
Arc7ivos de ?ona
Los Archivos de zona contienen informacin sobre un espacio de nombres
particular y son almacenados en el directorio de trabajo /var/named/ por defecto o
/var/named/chroot/var/named si esta habilitado el entorno enjaulado. Cada archivo de
zona es llamado de acuerdo a la opcin file en la declaracin zone, usualmente en
una forma que relaciona al dominio en cuestin e identifica el archivo como
conteniendo datos de zona, tal como redhat.com.py.zone.
Cada archivo de zona contiene directivas y registros de recursos. Las directivas le
dicen al servidor de nombres que realice tareas o aplique configuraciones
especiales a la zona. Los registros de recursos define los parmetros de la zona y
asignan identidades a hosts individuales. Las directivas son opcionales, pero los
registros de recursos se requieren para proporcionar servicios de nombres a la
zona.
Todas las directivas y registros de recursos deberan ir en sus propias lneas
individuales.
Los comentarios se pueden colocar despus de los punto y comas (;) en archivos
de zona.
,irectivas de arc7ivos de ?ona
Las directivas comienzan con el smbolo de dlar ($) seguido del nombre de la
directiva. Usualmente aparecen en la parte superior del archivo de zona.
Lo siguiente son directivas usadas a menudo:
EI#CFGD 1 Dice a named que incluya otro archivo de zona en el archivo de
zona donde se usa la directiva. As se pueden almacenar configuraciones de
zona suplementarias aparte del archivo de zona principal.
EO%IHI# 1 Anexa el nombre del dominio a registros no cualificados, tales
como aquellos con el nombre de host solamente.
Por ejemplo, un archivo de zona puede contener la lnea siguiente:
$ORIGIN redhat.com.py
Cualquier nombre usado en los registros de recursos que no terminen en un
punto (.) tendrn redhat.com.py anexado.
ETTF 1 Ajusta el valor Time to Live (TTL) predeterminado para la zona. Este
es el tiempo, en segundos, que un registro de recurso de zona es vlido.
Cada recurso puede contener su propio valor TTL, el cual ignora esta
directiva.
Cuando se decide aumentar este valor, permite a los servidores de nombres
remotos hacer cach a la informacin de zona para un perodo ms largo de
tiempo, reduciendo el nmero de consultas para la zona y alargando la
cantidad de tiempo requerido para proliferar cambios de registros de
recursos.
Reistros de recursos de arc7ivos de ?ona
El componente principal de un archivo de zona es su registro de recursos.
Hay muchos tipos de registros de recursos de archivos de zona. A continuacin le
mostramos los tipos de registros ms frecuentes;
Reistro 'AA )'tart Af Aut7orit(*
El registro SOA proclama informacin importante sobre la autoridad de
determinados servidores sobre determinados espacios de nombres.
Est situado detrs de las directivas, un registro SOA es el primer registro en un
archivo de zona.
El ejemplo siguiente muestra la estructura bsica de un registro SOA:
@ IN SOA <primary-name-server> <hostmaster-email> (
<serial-number>
<time-to-refresh>
<time-to-retry>
<time-to-expire>
<minimum-TTL> )

El smbolo @ coloca la directiva $ORIGIN (o el nombre de la zona, si la directiva
$ORIGIN no est configurada) como el espacio de nombres que esta siendo definido
por este registro de recursos SOA. El servidor de nombres primario que tiene
autoridad para este dominio es usado por el <primary-name-server>, y el correo
electrnico de la persona a contactar sobre este espacio de nombres es sustitudo
por el <hostmaster-email>.
El <serial-number> es incrementado cada vez que se cambia el archivo de zona
para que as named sabr que debera recargar esta zona. El parmetro <time-to-
refresh> le dice a cualquier servidor esclavo cunto tiempo debe esperar antes de
preguntar al servidor de nombres maestro si se han realizado cambios a la zona. El
87 ng. van Ferreira
valor <serial-number> es usado por el esclavo para determinar si esta usando datos
de la zona desactualizados y si debera refrescarlos.
El valor <time-to-retry> le dice al servidor de nombres esclavo sobre el intervalo de
tiempo que tiene que esperar antes de emitir una peticin de actualizacin de datos
en caso de que el servidor de nombres maestro no le responda. Si el servidor
maestro no ha respondido a una peticin de actualizacin de datos antes que se
acabe el intervalo de tiempo <time-to-expire>, el servidor esclavo para de
responder como una autoridad por peticiones al espacio de nombres.
La opcin <minimum-TTL> solicita que otro servidor de nombres guarde en cach la
informacin de zona por al menos esta cantidad de tiempo (en segundos).
Con BND, todos los tiempos son siempre referenciados en segundos. Sin
embargo, es posible usar abreviaciones cuando se especifiquen unidades de
tiempo adems de segundos, tales como minutos (M), horas (H), das (D) y semanas
(W).
El ejemplo siguiente ilustra la forma que un registro de recursos SOA puede tomar
cuando es configurado con valores reales.
@ IN SOA dns1.redhat.com.py hostmaster.redhat.com.py. (
2001062501 ; serial
21600 ; refresh after 6 hours
3600 ; retry after 1 hour
604800 ; expire after 1 week
86400 ) ; minimum TTL of 1 day
Reistro $' )$ame 'erver*
El registro NS anuncia los nombres de servidores con autoridad para una zona
particular.
Este es un ejemplo de un registro NS:
IN NS <nameserver-name>

El <nameserver-name> debera ser un FQDN.
Luego, dos nombres de servidores son listados como con autoridad para el
dominio. No es importante si estos nombres de servidores son esclavos o si son
maestros; ambos son todava considerados con autoridad.
IN NS dns1.redhat.com.py.
Reistro A )Address*
El registro de direccin que especifica una direccin P que se debe asignar a un
nombre, como en el ejemplo:
<host> IN A <IP-address>

Si el valor <host> es omitido, el registro A apunta a una direccin P por defecto para
la parte superior del espacio de nombres. Este sistema es el objetivo para todas las
peticiones no FQDN.
Considere el siguiente ejemplo de registro A para el archivo de zona redhat.com.py:
IN A 10.0.1.3
server1 IN A 10.0.1.5

Las peticiones para redhat.com.py son apuntadas a 10.0.1.3, mientras que las
solicitudes para server1.redhat.com.py son dirigidas a 10.0.1.5.
Reistro C$A0@ )Cannonical $ame*
El registro del nombre cannico, que enlaza un nombre con otro: tambin conocido
como un alias.
El prximo ejemplo indica a named que cualquier peticin enviada a <alias-name>
apuntar al host, <real-name>. Los registros CNAME son usados normalmente para
apuntar a servicios que usan un esquema de nombres comn, tal como www para
servidores Web.
<alias-name> IN CNAME <real-name>

En el ejemplo siguiente, un registro A vincula un nombre de host a una direccin P,
mientras que un registro CNAME apunta al nombre host comnmente usado www
para este.
www IN CNAME server1

Reistro C$A0@ )Cannonical $ame*
El registro de Mail eXchange, el cual indica dnde debera de ir el correo enviado a
un espacio de nombres particular controlado por esta zona.
IN MX <preference-value> <email-server-name>

En este ejemplo, <preference-value> permite una clasificacin numrica de los
servidores de correo para un espacio de nombres, dando preferencia a algunos
89 ng. van Ferreira
sistemas de correo sobre otros. El registro de recursos MX con el valor ms bajo
<preference-value> es preferido sobre los otros. Sin embargo, mltiples servidores
de correo pueden tener el mismo valor para distribuir el trfico de forma pareja
entre ellos.
El <email-server-name> puede ser un nombre de servidor o FQDN.
IN MX 10 mail.redhat.com.py.
IN MX 20 mail2.redhat.com.py.

En este ejemplo, el primer servidor de correo mail.redhat.com.py es preferido al
servidor de correo mail2.redhat.com.py cuando se recibe correo destinado para el
dominio redhat.com.py.
Reistro PTR )PoinTeR*
El registro PoinTeR o puntero, diseado para apuntar a otra parte del espacio de
nombres. Es utilizado en las zonas de bsqueda inversa.
@:em!lo de arc7ivo de ?onas
Vistos individualmente, las directivas y registros de recursos pueden ser difciles de
comprender. Sin embargo, cuando se colocan juntos en un mismo archivo, se
vuelven ms fciles de entender.
El ejemplo siguiente muestra un archivo de zona muy bsico.
$ORIGIN redhat.com.py
$TTL 86400
@ IN SOA dns1.redhat.com.py. hostmaster.redhat.com.py. (
2001062501 ; serial
IN MX 10 mail.redhat.com.py.
IN MX 20 mail2.redhat.com.py.
IN A 10.0.1.5
dns1 IN A 10.0.1.2
dns2 IN A 10.0.1.3
ftp IN CNAME server1
mail IN CNAME server1
mail2 IN CNAME server2
www IN CNAME server2

En este ejemplo, las directivas estndar y los valores SOA son usados. Los
servidores de nombres con autoridad se configuran como dns1.redhat.com.py y
dns2.redhat.com.py, que tiene archivos A que los juntan a 10.0.1.2 y a 10.0.1.3,
respectivamente.
Los servidores de correo configurados con los registros MX apuntan a server1 y
server2 a travs de registros CNAME. Puesto que los nombres server1 y server2 no
terminan en un punto (.), el dominio $ORIGIN es colocado despus de ellos,
expandindolos a server1.redhat.com.py y a server2.redhat.com.py. A travs de
registros de recursos relacionados A, se puede determinar sus direcciones P.
Los servicios FTP y Web, disponibles en los nombres estndar ftp..redhat.com.py y
www..redhat.com.py, son apuntados a los servidores apropiados usando registros
CNAME.
Arc7ivos de ?ona de resolucin de nombres inversa
Un archivo de zona de resolucin de nombres inversa es usado para traducir una
direccin P en un espacio de nombres particular en un FQDN. Se v muy similar a
un archivo de zona estndar, excepto que se usan registros de recursos PTR para
enlazar las direcciones P a un nombre de dominio completamente cualificado.
Un registro PTR se vera similar a esto:
<ultimo-digito-ip> IN PTR <FQDN-of-system>

El valor <ultimo-digito-ip> se refiere al ltimo nmero en una direccin P que
debera apuntar a un sistema FQDN particular.
En el ejemplo siguiente, las direcciones P de la 10.0.1.20 a la 10.0.1.25 apuntan a
los FQDNs correspondientes.
$ORIGIN 1.0.10.in-addr.arpa
$TTL 86400
@ IN SOA dns1.redhat.com.py. hostmaster.redhat.com.py. (
2001062501 ; serial
20 IN PTR alice.redhat.com.py.
21 IN PTR betty.redhat.com.py.
22 IN PTR charlie.redhat.com.py.
23 IN PTR doug.redhat.com.py.
24 IN PTR ernest.redhat.com.py.
25 IN PTR fanny.redhat.com.py.
91 ng. van Ferreira

Este archivo de zona se colocar en funcionamiento con una declaracin zone en
el archivo named.conf el cual se ve similar a lo siguiente:
zone "1.0.10.in-addr.arpa" IN {
type master;
file "redhat.com.py.rr.zone";
allow-update { none; };
};
Hay muy poca diferencia entre este ejemplo y una declaracin de zone estndar,
excepto por el nombre de la zona. Observe que una zona de resolucin de
nombres inversa requiere que los primeros tres bloques de la direccin P estn
invertidos seguido por .in-addr.arpa. Esto permite asociar con la zona a un bloque
nico de nmeros P usados en el archivo de zona de resolucin de nombres
inversa.
>so de rndc
BND incluye una utilidad llamada rndc la cual permite la administracin de lnea de
comandos del demonio named desde el host local o desde un host remoto.
Para prevenir el acceso no autorizado al demonio named, BND utiliza un mtodo
de clave secreta compartida para otorgar privilegios a hosts. Esto significa que una
clave idntica debe estar presente en los archivos de configuracin /etc/named.conf
y en el rndc, /etc/rndc.conf.
Confiuracin de /etc/named.conf !ara rndc
Para que rndc se pueda conectar a un servicio named, debe haber una declaracin
controls en el archivo de configuracin del servidor BND /etc/named.conf.
La declaracin controls mostrada abajo en el ejemplo permite a rndc conectarse
desde un host local.
controls {
inet 127.0.0.1 allow { localhost; } keys { <key-name>; };
};

Esta declaracin le dice a named que escuche en el puerto por defecto TCP 953 de
la direccin loopback y que permita comandos rndc provenientes del host local, si
se proporciona la clave correcta. El valor <key-name> se relaciona con la declaracin
key, la cual esta tambin en el archivo /etc/named.conf. El ejemplo siguiente ilustra
la declaracin key.
key "<key-name>" {
algorithm hmac-md5;
secret "<key-value>";
};
En este caso, el <key-value> es una clave HMAC-MD5. Use el comando siguiente para
generar claves HMAC-MD5:
# dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>

Una clave con al menos un largo de 256-bit es una buena idea. La clave actual
debera ser colocada en el rea <key-value> se puede encontrar en <key-file-name>.
Confiuracin de /etc/rndc.conf
La declaracin key es la ms importante en /etc/rndc.conf.
key "<key-name>" {
algorithm hmac-md5;
secret "<key-value>";
};

<key-name> y <key-value> deberan ser exactamente los mismos que sus
configuraciones en /etc/named.conf.
Para coincidir las claves especificadas en el archivo de configuracin del servidor
objetivo /etc/named.conf, agregue las lneas siguientes a /etc/rndc.conf.
options {
default-server localhost;
default-key "<key-name>";
};

Este comando configura una clave global por defecto. Sin embargo, el comando
rndc tambin puede usar claves diferentes para servidores diferentes, como en el
ejemplo siguiente:
server localhost {
key "<key-name>";
};

A!ciones de lCnea de comandos de rndc
Un comando rndc toma la forma siguiente:
rndc <options> <command> <command-options>

Cuando est ejecutando rndc en una mquina local configurada de la forma
correcta, los comandos siguientes estn disponibles:
93 ng. van Ferreira
Comando ,escri!cin
+alt
Para inmediatamente el servicio named.
>uer.lo(
Registra todas las peticiones hechas a este servidor de nombres.
re*res+
Refresca la base de datos del servidor de nombres.
reload
Recarga los archivos de zona pero mantiene todas las respuestas
precedentes situadas en cach. Esto le permite realizar cambios
en los archivos de zona sin perder todas las resoluciones de
nombres almacenadas.
stats
Descarga las estadsticas actuales de named al archivo
/var/named/named.stats.
stop
Detiene al servidor salvando todas las actualizaciones dinmicas y
los datos de las Transferencias de zona incremental (XFR) antes
de salir.
Ocasionalmente, puede ser necesario ignorar las configuraciones por defecto en el
archivo /etc/rndc.conf. Estan disponibles las siguientes opciones:
A!cin ,escri!cin
1c 2arc+i,o3
Le dice a rndc que use un archivo de configuracin diferente
a /etc/rndc.conf.
1p 2puerto3
Especifica la utilizacin de un nmero de puerto diferente del
predeterminado 953 para la conexin del comando rndc.
1s 2ser,idor3
Dice a rndc que envie el comando a un servidor distinto al
default-server especificado en su archivo de configuracin.
1. 2cla,e3
Le permite especificar una clave distinta de la opcin default-
key en el archivo /etc/rndc.conf.
Se puede encontrar informacin adicional sobre estas opciones en la pgina del
manual de rndc.
9
'ervidor A!ac7e HTTP
Servidor Apache HTTP
'ervidor A!ac7e HTTP
El Servidor Apache HTTP es un servidor Web de tecnologa Open Source slido y
para uso comercial desarrollado por la Apache Software Foundation
(http://www.apache.org). Red Hat Linux incluye el Servidor Apache HTTP versin 2
as como tambin una serie de mdulos de servidor diseados para mejorar la
funcionalidad.
El archivo de configuracin predeterminado instalado en el Servidor Apache HTTP
funciona en la mayor parte de los casos. Esta seccin subraya cmo personalizar
el archivo de configuracin /etc/httpd/conf/httpd.conf de Servidor Apache HTTP
para ayudar a aquellos que requieren una configuracin personalizada.
Si utiliza la Herramienta de configuracin de HTTP system-config-httpd, no cambie
el archivo de configuracin del Servidor Apache HTTP manualmente pues la
Herramienta de configuracin de HTTP vuelve a generar este archivo cada vez que
se usa.
,irectivas de confiuracin en 7tt!d.conf
El archivo de configuracin del Servidor Apache HTTP es
/etc/httpd/conf/httpd.conf. El archivo httpd.conf est bien comentado y es
bastante autoexplicativo. Su configuracin por defecto funciona para la mayora de
los casos; sin embargo, quizs quiera conocer el resto de las opciones de
configuracin ms importantes.
'uerencias de confiuracin enerales
Si necesita configurar Servidor Apache HTTP slo tiene que modificar el archivo
/etc/httpd/conf/httpd.conf y despus recargar o bien apagar y arrancar el proceso
del comando httpd.
Antes de modificar el archivo httpd.conf, primero haga una copia del archivo
original. Si crea una copia de respaldo, podr recuperar el sistema de posibles
errores cometidos antes al editar el nuevo archivo de configuracin.
Si comete un error y su servidor de web no funciona correctamente, lo primero que
debe realizar es revisar lo que lo que acaba de modificar en httpd.conf para ver si
no hay errores de transcripcin.
Despus consulte el archivo de registro de errores del servidor web,
/var/log/httpd/error_log. Este puede ser difcil de interpretar, todo depende del
nivel de experiencia. Si acaba de tener problemas, de todas formas, las ltimas
entradas deberan de ayudarle a saber lo que ha pasado.
Puede utilizar el comando +ttpd 1t para verificar que est correcta la sintxis del
archivo de configuracin.
,irectiva 'erverRoot
La directiva ServerRoot especifica el directorio de nivel superior que tiene el
contenido web. Por defecto, ServerRoot est configurado a "/etc/httpd" para
servidores seguros y no seguros.
,irectiva PidFile
PidFile nombra el archivo en el que el servidor graba su D de proceso (pid). Por
defecto, el PD es listado en /var/run/httpd.pid.
,irectiva Timeout
Timeout define, en segundos, el tiempo que el servidor esperar para recibir y enviar
peticiones durante la comunicacin. Especficamente, Timeout define cunto
esperar el servidor para recibir peticiones GET, cunto esperar para recibir
paquetes TCP en una peticin POST o PUT y cunto esperar entre ACKs
respondiendo a otros paquetes TCP. Timeout est configurado por defecto a 300,
lo cual es apropiado para la mayora de las situaciones
,irectiva Iee!Alive
KeepAlive determina si el servidor permitir ms de una peticin por conexin y se
puede usar para prevenir a un cliente consumir demasiados recursos del servidor.
Por defecto Keepalive est configurado a off. Si Keepalive est en on y el servidor
se vuelve muy ocupado, este puede rpidamente generar el mximo nmero de
procesos hijos. En esta situacin, el servidor se volver significativamente lento. Si
se activa Keepalive, es una buena idea configurar el KeepAliveTimeout a un valor
bajo.
,irectiva 0axIee!AliveRe4uests
Esta directiva establece el nmero mximo de peticiones permitidas por cada
conexin persistente. El Proyecto Apache recomienda un valor alto, lo que
mejorara el rendimiento del servidor. El valor predeterminado de
97 ng. van Ferreira
MaxKeepAliveRequests es de 100 que debera bastar en la mayora de los casos.
,irectiva Iee!AliveTimeout
La directiva KeepAliveTimeout establece el nmero de segundos que el servidor
esperar a la siguiente peticin, tras haber dado servicio a una peticin, antes de
cerrar la conexin. Una vez recibida la peticin, se aplica la directiva Timeout en su
lugar. KeepAliveTimeout est configurado a 15 segundos por defecto.
,irectivas 0in'!are'ervers ( 0ax'!are'ervers
El Servidor Apache HTTP se adapta dinmicamente a la carga percibida
manteniendo un nmero apropiado de procesos de servidores libres basado en el
trfico. El servidor comprueba el nmero de servidores que esperan peticiones y
elimina algunos si el nmero es ms alto que MaxSpareServers o crea algunos si el
nmero de servidores es menor que MinSpareServers.
El valor predeterminado de MinSpareServers es 5 y el de MaxSpareServers es 20.
Estos valores predeterminados son suficientes en la mayora de los casos. El
nmero de MinSpareServers no debera de ser elevado ya que crear una gran carga
incluso cuando el trfico fuese bajo.
,irectiva 'tart'ervers
StartServers establece cuntos procesos sern creados al arrancar. Ya que el
servidor Web crea y elimina dinmicamente servidores segn el trfico, no se
necesitar cambiar este parmetro. El servidor est configurado para arrancar ocho
procesos al arrancar.
,irectiva 0axClients
La directiva MaxClients establece un lmite al total de los procesos del servidor (o
clientes conectados simultneamente) que se pueden ejecutar a la vez. El
propsito principal de esta directiva es prevenir que un Servidor Apache HTTP
descontrolado vuelva inestable al sistema operativo. Para los servidores muy
ocupados este valor se debera colocar a un valor alto. El valor por defecto es 150.
No se recomienda que el valor del comando MaxClients supere 256.
,irectiva Listen
El comando Listen identifica los puertos en los que el servidor Web aceptar las
peticiones entrantes. Por defecto, el Servidor Apache HTTP est configurado para
escuchar en el puerto 80 para comunicaciones Web no seguras y (en
/etc/httpd/conf.d/ssl.conf el cual define cualquier servidor seguro) en el puerto
443 para comunicaciones seguras.
,irectiva Include
Include permite que se incluyan otros archivos de configuracin en el tiempo de
ejecucin.
La ruta a estos archivos de configuracin pueden ser absolutas o relativas con
respecto al ServerRoot.
,irectiva >ser
La directiva User establece el nombre de usuario para el proceso del servidor y
determina qu archivos puede acceder el servidor. Cualquier archivo que no est
accesible a este usuario tampoco estar disponible para los clientes del Servidor
Apache HTTP.
Por defecto User es configurado a apache.
,irectiva =rou!
Especifica el nombre del grupo de los procesos Servidor Apache HTTP.
Por defecto Group est configurado a apache.
,irectiva 'erverAdmin
Configure la directiva ServerAdmin a la direccin de correo electrnico del
administrador del servidor Web. Esta direccin de correo aparecer en los
mensajes de error en las pginas generadas por el servidor Web, de tal manera
que los usuarios pueden comunicar errores enviando correo al administrador.
Por defecto, ServerAdmin es configurado a root@localhost.
Una forma tpica de configurar ServerAdmin es situarlo en la direccin
webmaster@ejemplo.com. Despus cree un alias del webmaster para la persona
responsable del servidor Web en /etc/aliases y ejecute /usr/bin/newaliases.
99 ng. van Ferreira
,irectiva 'erver$ame
Use la directiva ServerName para configurar un nombre de servidor y un nmero de
puerto (que coincida con la directiva Listen) para el servidor. El ServerName no
necesita coincidir con el nombre real de la mquina. Por ejemplo, el servidor Web
puede ser www.redhat.com.py pero el nombre del servidor es en realidad
foo.redhat.com.py. El valor especificado en ServerName debe ser un nombre de
Domain Name Service vlido (DNS) que pueda ser resuelto por el sistema no
invente algo.
Lo siguiente es una directiva ServerName de ejemplo:
ServerName www.redhat.com.py:80
Cuando especifique un ServerName, asegrese de que el par de la direccin P y el
nombre del servidor estn incluidos en el archivo /etc/hosts.
,irectiva ,ocumentRoot
DocumentRoot es el directorio que contiene la mayora de los archivos HTML que se
entregarn en respuesta a peticiones. El directorio predeterminado DocumentRoot
para servidores seguros y no seguros es /var/www/html. Por ejemplo, el servidor
puede recibir una peticin para el siguiente documento:
http://www.redhat.com.py/foo.html

El servidor busca por el archivo siguiente en el directorio por defecto:
/var/www/html/foo.html
,irectiva ,irector(Index
DirectoryIndex es la pgina por defecto que entrega el servidor cuando hay una
peticin de ndice de un directorio especificado con una barra (/) al final del nombre
del directorio.
Por ejemplo, cuando un usuario pide la pgina http://example/this_directory/, recibe
la pgina DirectoryIndex si existe, o un listado generado por el servidor. El valor por
defecto para DirectoryIndex es index.html y el tipo de mapa index.html.var. El
servidor intentar encontrar cualquiera de estos archivos y entregar el primero que
encuentre. Si no encuentra ninguno de estos archivos y Options Indexes esta
configurado para ese directorio, el servidor genera y devuelve una lista, en formato
HTML, de los subdirectorios y archivos del directorio, a menos que la caracterstica
de listar directorios est desactivada.
,irectiva AccessFile$ame
AccessFileName denomina el archivo que el servidor utilizar para informacin de
control de acceso en cada directorio. Por defecto, el servidor utilizar .htaccess.
Justo tras AccessFileName, un conjunto de indicadores de Files aplican el control de
acceso a cualquier archivo comenzando con un .ht. Estas directivas niegan el
acceso Web a cualquier archivo .htaccess (o otros archivos que comiencen con .ht)
por razones de seguridad.
,irectiva HostnameLoo&u!s
HostnameLookups se puede configurar a on, off o double. Si se configura
HostnameLookups a on, el servidor automticamente resuelve las direcciones P para
cada conexin. Resolver las direcciones P significa que el servidor hace una o ms
conexiones a un servidor DNS, aadiendo sobrecarga por procesamiento. Si
HostnameLookups es configurado a double, el servidor realiza bsquedas inversa doble
aadiendo an ms sobrecarga.
Para ahorrar recursos en el servidor, HostnameLookups es configurado a off por
defecto.
Si se requieren nombres de host en los archivos de registro, considere ejecutar una
de los muchas herramientas de anlisis de log que llevan a cabo las bsquedas de
DNS de forma mucho ms eficiente y por montones cuando se este rotando los
archivos de log del servidor Web.
,irectiva @rrorLo
ErrorLog especifica el archivo donde se guardan los errores del servidor . Por
defecto, esta directiva es configurada a /var/log/httpd/error_log.
,irectiva LoLevel
LogLevel establece que tantos detalles tendrn los registros de mensajes de error.
LogLevel se puede configurar (desde el que tiene menos detalles a los ms
detallados) a emerg, alert, crit, error, warn, notice, info o debug. El valor
predeterminado de LogLevel es warn.
,irectiva 'erver'inature
La directiva ServerSignature aade una lnea que contiene la versin del Servidor
101 ng. van Ferreira
Apache HTTP y el ServerName para cualquier documento generado por el servidor,
tales como mensajes de error devueltos a los clientes. Por defecto ServerSignature
est configurada a on.
Tambin se puede configurar a off o a EMail. EMail, agrega una etiqueta HTML
mailto:ServerAdmin a la lnea de la firma de las respuestas autogeneradas.
,irectiva Redirect
Cuando se mueve una pgina web, se puede utilizar Redirect para crear
asignaciones de la ubicacin del archivo a un nuevo URL. El formato es como
sigue:
Redirect /<old-path> http://<current-domain>/<current-path>

Por ejemplo, si nuestro servidor es www.redhat.com.py y solicitan la pgina
http://www.redhat.com.py/suc1, ser redireccionada al servidor web de la sucursal
correspondiente:
Redirect /suc1 http://www.suc1.redhat.com.py
Confiuracin de directorios
,irectiva Alias
La directiva Alias permite que haya directorios fuera del DocumentRoot a los que
puede acceder el servidor. Cualquier URL que termine en el alias ser
automticamente traducido a la ruta del alias. Por defecto, ya existe un alias
configurado para un directorio icons. El servidor web puede acceder al directorio
icons pero el directorio no est en DocumentRoot.
Por ejemplo, para acceder al directorio /web/forms usando el URL
http://www.redhat.com.py/webform, creamos el siguiente Alias:
Alias /webform /web/forms
,irectiva 'cri!tAlias
La directiva ScriptAlias define dnde pueden encontrarse los scripts CG (u otros
scripts). Normalmente, no es una buena idea colocar los scripts CG dentro de
DocumentRoot. Si los scripts CG se encontrasen en DocumentRoot, podran,
potencialmente, ser considerados como documentos de texto. Por esta razn, la
directiva ScriptAlias disea un directorio especial fuera del directorio DocumentRoot
para contener ejecutables del servidor y scripts. Este directorio es conocido como
un cgi-bin y se configura por defecto a /var/www/cgi-bin/.
Es posible establecer directorios para almacenar ejecutables fuera del directorio
cgi-bin.
Por ejemplo, para acceder al directorio /web/applications usando el URL
http://www.redhat.com.py/webap, creamos el siguiente ScriptAlias:
ScriptAlias /webap /web/applications
,irectiva AddHandler
La directiva AddHandler mapea extensiones de archivos a manejadores especficos.
Por ejemplo, el manejador cgi-script puede mapearse con la extensin .cgi para
que automticamente trate a cualquier archivo con un nombre que termine en .cgi
como un script CG. A continuacin se presenta un ejemplo de una directiva
AddHandler para la extensin .cgi y .pl.
AddHandler cgi-script .cgi .pl

Esta directiva habilita a CGs fuera del cgi-bin a que funcionen en cualquier
directorio en el servidor que tengan la opcin ExecCGI dentro del contenedor de
directorios.
,irectiva ,irector(
Las etiquetas <Directory /path/to/directory> y </Directory> se usan para crear lo
que se conoce como un contenedor y se usan para agrupar un grupo de directivas
de configuracin que slo se aplican a ese directorio y sus subdirectorios.
El contenedor Directory tambin se puede usar para configurar directorios
adicionales cgi-bin para las aplicaciones del servidor fuera del directorio
especificado en la directiva ScriptAlias. Para lograr esto, el contenedor Directory
debe configurar la opcin ExecCGI para ese directorio.
Por ejemplo, si los scripts CG estn localizados en /web/applications, aada el
contenedor siguiente Directory al archivo httpd.conf:
<Directory /web/applications>
Options +ExecCGI
</Directory>

Para que esto funcione, los permisos para los scripts CG y la ruta completa a los
scripts, se deben colocar a 0755.
,irectiva A!tions
La directiva Options controla caractersticas del servidor que estn disponibles en
un directorio en particular.
Por defecto, el directorio DocumentRoot, Options est configurado para incluir Indexes
y FollowSymLinks. Indexes permite al servidor generar un listado de un directorio si no
se especifica el DirectoryIndex (por ejemplo, index.html) es especificado.
FollowSymLinks permite al servidor seguir enlaces simblicos en ese directorio.
Las opciones son:
<ecCHI 1 Permite la ejecucin de los scripts CG. Los scripts no se ejecutan
si no elige esta opcin y visualizar el script como una pgina de texto.
!ollo/S."Fi'0s 1 Permite que se sigan enlaces simblicos.
I'cludes 1 Permite las inclusiones en el servidor. Esto permite la generacin
de contenido dinmico como fecha y hora actual, etc.
I'cludes#OIC 1 Permite las inclusiones en el servidor pero anula los
comandos #exec y #include en los scripts CG. Esto es mucho ms seguro.
I'de<es 1 Muestra una lista formateada de los contenidos de un directorio si
la opcin Directoryndex (como por ejemplo index.html) existe en el
directorio pedido.
Multi,ie/s 1 Soporta las visualizaciones mltiples de los contenidos
habilitando el mdulo mod_negotiation; esta opcin no est activada por
defecto. Desde HTTP 1.1, los navegadores pueden enviar informacin al
servidor adicional y preferencias adems de sus solicitudes de paginas web.
Este mdulo permite seleccionar el documento que mejor concuerda con las
capacidades del cliente. Es til por ejemplo para desplegar la pgina en el
idioma que corresponde segn la preferencia del navegador.
S."Fi'0sI*O/'erMatc+ 1 Permite seguir un enlace simblico solamente si el
fichero o el directorio en cuestin tienen el mismo nombre que el dueo del
enlace.
,irectiva Allo%Averride
La directiva AllowOverride indica si puede o no sobreescribir Options por las
declaraciones en un archivo .htaccess. Por defecto, tanto el directorio raz como
DocumentRoot estn configurados para no permitir la sobreescritura .htaccess.
,irectiva Arder
La directiva Order controla el orden en el cual las directivas allow y deny son
evaluadas.
Order De'.8Allo/: Las directivas Deny son evaluadas primero y luego las
directivas Allow. Si a un host no se ha denegado explcitamente el acceso,
se otorga el acceso al recurso. Es el orden por defecto si no se especifica lo
contrario.
Order Allo/8De'.: Todas las directivas Allow son evaluadas primero y luego
las directivas Deny. Si a un host no se ha otorgado explcitamente el acceso,
se deniega el acceso al recurso.
Order "utual1*ailure: Solo hosts que son especificados en la directiva Allow y
al mismo tiempo no aparecen en la directiva Deny se otorga el acceso. Si un
host no aparece en ninguna directiva, el acceso es denegado.
Ejemplos:
# Un directorio el cual permitimos acceso solo a la red local
# Se evaluan las directivas Deny primero, luego las allow, por tanto se otorga
# acceso a la red local
<Directory "/web/forms">
Options Multiviews
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.1 redhat.com.py 192.168
</Directory>
# Un directorio el cual permitimos acceso solo a la red local y contiene scripts
# Se evaluan las directivas Allow primero, si no se ha otorgado explicitamente
# el acceso, se deniega el acceso al recurso.
<Directory "/web/applications">
Options ExcecCGI
AllowOverride None
Order allow,deny
Allow from 127.0.0.1 redhat.com.py 192.168
</Directory>
# Un directorio el cual permitimos acceso acceso a todos y genera un indice HTML
# de su contenido
<Directory "/web/downloads">
Options Indexes
AllowOverride None
Order allow,deny
Allow from all
</Directory>
,irectiva >ser,ir
UserDir es el nombre del subdirectorio dentro del directorio de cada usuario dnde
estarn los archivos HTML personal que sern servidos por el servidor de Web.
Esta directiva esta configurada por defecto a disable.
El nombre para el subdirectorio esta configurado a public_html en la configuracin
por defecto. Por ejemplo, el servidor puede recibir la siguiente peticin:
http://redhat.com.py/~username/foo.html

El servidor buscar por el archivo:
/home/username/public_html/foo.html

En el ejemplo de arriba, /home/username/ es el directorio principal del usuario
(observe que la ruta por defecto al directorio principal del usuario puede variar).
Hay que asegurarse que los permisos de los directorios de usuario sean correctos.
El valor de los permisos deben ser de 0711. Los bits de lectura (r) y ejecucin (x)
deben estar activados en el directorio del usuario public_html (0755 tambin
funcionar). El valor de los permisos con que se servirn los archivos desde
public_html debe ser 0644 por lo menos.
Arrancar ( detener 7tt!d
El RPM de httpd instala el script /etc/rc.d/init.d/httpd, el cual se puede acceder
usando el comando /sbin/service.
Para iniciar el servidor, como root escriba:
/sbin/service httpd start

Para detener el servidor, como root escriba:
/sbin/service httpd stop

La opcin restart es un truco para detener y luego arrancar el Servidor Apache
HTTP.
Para reiniciar el servidor, como root escriba:
/sbin/service httpd restart

Sin embargo, luego de modificar el archivo httpd.conf, no es necesario que
explcitamente detenga e inicie el servidor. Para esto use la opcin reload.
Para volver a cargar el archivo de configuracin, como usuario root escriba:
/sbin/service httpd reload
Confiuracin de m94uinas virtuales
Para crear una mquina virtual basada en nombre, lo mejor es utilizar el
contenedor de la mquina virtual proporcionado en httpd.conf como un ejemplo.
,irectiva $ame5irtualHost
La directiva NameVirtualHost asocia una direccin P y nmero de puerto, si es
necesario, para cualquier mquina virtual basada en nombres. El hospedaje virtual
basado en nombres permite a un Servidor Apache HTTP servir a dominios
diferentes sin usar mltiples direcciones P.
Para habilitar el hospedaje basado en nombres, quite los comentarios de la
directiva de configuracin NameVirtualHost y aada la direccin P correcta. Luego
aada ms contenedores VirtualHost para cada host virtual.
,irectiva 5irtualHost
Las etiquetas <VirtualHost> y </VirtualHost> crean un contenedor mostrando las
caractersticas de un host virtual. El contenedor <VirtualHost> acepta la mayora de
las directivas de configuracin.
094uinas 5irtuales
La caracterstica incorporada del Servidor Apache HTTP de mquinas virtules
permite al servidor servir diferente informacin basado en cual direccin P, nombre
de host o puerto est siendo solicitado.
El ejemplo de mquina virtual se lee como sigue:
#NameVirtualHost *
#
#<VirtualHost *>
# ServerAdmin webmaster@dummy-host.redhat.com.py
# DocumentRoot /www/docs/dummy-host.redhat.com.py
# ServerName dummy-host.redhat.com.py
# ErrorLog logs/dummy-host.redhat.com.py-error_log
# CustomLog logs/dummy-host.redhat.com.py-access_log common
#</VirtualHost>

Para activar mquinas virtuales basadas en nombre, quite los comentarios de la
lnea NameVirtualHost eliminando el smbolo de numeral o almohadilla (#).
Luego, configure un host virtual, quitando los comentarios y personalizando el
contenedor <VirtualHost>.
En la lnea <VirtualHost>, cambie el ServerName al nombre DNS vlido asignado a la
mquina y configure las otras directivas si es necesario.
El contenedor <VirtualHost> es altamente personalizable y acepta casi cada
directiva dentro de la configuracin del servidor principal.
Es posible especificar la direccin P del servidor en lugar del asterisco (*) en las
directivas NameVirtualHost y <VirtualHost>. La direccin P es requerida en versiones
1.3.12 y anteriores.
@:em!lo de creacin de m94uinas virtuales
Para crear dos mquinas virtuales, uno llamado www.lab.redhat.com y
foro.lab.redhat.com cree el archivo /etc/httpd/conf.d/virtualhosts.conf y configure
como el siguiente ejemplo:
NameVirtualHost *
<VirtualHost *>
ServerAdmin webmaster@lab.redhat.com
DocumentRoot /var/www/html/www
ServerName www.lab.redhat.com
ErrorLog logs/www.lab.redhat.com-error_log
CustomLog logs/www.lab.redhat.com-access_log common
</VirtualHost>
<VirtualHost *>
ServerAdmin webmaster@lab.redhat.com
DocumentRoot /var/www/html/foro
ServerName foro.lab.redhat.com
ErrorLog logs/foro.lab.redhat.com-error_log
CustomLog logs/foro.lab.redhat.com-access_log common
</VirtualHost>
Existen servidores que pueden ser accedidos por mas de un nombre a la vez. Esto
es posible por medio de la directiva ServerAlias, que se configura en la seccin
<VirtualHost>. Por ejemplo, si desea puede agregar lo siguiente a la directiva
<VirtualHost> para foro.lab.redhat.com:
ServerAlias soporte.redhat.com
Si especifica la siguiente directiva ServerAlias:
ServerAlias *.redhat.com
Todas las solicitudes para cualquier host en redhat.com sera respondida por el
servidor virtual al cual se aplica la directiva. Es posible utilizar * y ? como
comodines para hacer concordar los nombres.
Confiuracin de autenticacin !ara el acceso a directorios
El modulo mod_auth_dbm en el Servidor Apache le permite configurar un sistema de
autenticacin para el acceso al directorio. La configuracin es como sigue:
<Location /private/>
AuthType Basic
AuthName "My Private Files"
AuthDBMUserFile /var/www/authdb
AuthDBMType DB
require valid-user
</Location>
Observe que la directiva AuthDBMUserFile tambin puede ser usada en archivos
.htaccess.
El script Perl dbmmanage, usado para manipular bases de datos de nombres de
usuarios y contraseas.
Aade un usuario a la base de datos (usando la contrasea dada)
# htdbm -b -TDB authdb username password
Aade un usuario a la base de datos ( le pide la contrasea)
# htdbm -TDB authdb username
Eliminar el usuario de la base de datos
# htdbm -x -TDB authdb username
Listar usuarios en la base de datos
# htdbm -l -TDB authdb
Confiuracin del 'ervidor 'euro A!ac7e HTTP
El mdulo mod_ssl es un mdulo de seguridad para el Servidor Apache HTTP. El
mdulo mod_ssl usa las herramientas proporcionadas por el Proyecto OpenSSL para
aadir una caracterstica muy importante al Servidor Apache HTTP la habilidad de
tener comunicaciones encriptadas. En contraste, usando HTTP normal, las
comunicaciones entre el navegador y el servidor Web son enviadas en texto plano,
lo cual puede ser interceptado y ledo por alguna persona no autorizada.
El archivo de configuracin mod_ssl est ubicado en /etc/httpd/conf.d/ssl.conf.
Para que este archivo sea cargado, y por ende para que mod_ssl funcione, debe
tener la sentencia Include conf.d/*.conf en /etc/httpd/conf/httpd.conf.
5ista !reliminar de los !a4uetes relacionados con la seuridad
Para activar el servidor seguro, necesita, como mnimo, tener instalados los
siguientes tres paquetes:
+ttpd El paquete httpd contiene el demonio httpd y otras utilidades
relacionadas, archivos de configuracin, iconos, Servidor Apache HTTP
mdulos, pginas de manual y otros archivos utilizados por Servidor Apache
HTTP.
"od?ssl El paquete mod_ssl incluye el mdulo mod_ssl, que proporciona
criptografa fuerte para el servidor web Servidor Apache HTTP a travs de
los protocolos SSL, Secure Sockets Layer y TLS, Transport Layer Security.
ope'ssl El paquete openssl contiene el conjunto de herramientas de
OpenSSL. El conjunto de herramientas de OpenSSL implementa los
protocolos SSL y TLS y tambin incluye una librera criptogrfica de
propsito general.
5ista !reliminar de certificados ( seuridad
Su servidor proporciona seguridad usando una combinacin del protocolo SSL
Secure Sockets Layer y (en la mayora de los casos) un certificado digital de una
Autoridad de Certificacin (CA). SSL maneja las comunicaciones encriptadas y la
mutua autentificacin entre navegadores y su servidor seguro. El certificado digital
aprobado por una CA proporciona autentificacin para su servidor seguro (el CA
pone su reputacin detrs de la certificacin de la identidad de su organizacin).
Cuando su navegador se est comunicando usando la encriptacin SSL, ver el
prefijo https:// al principio de la URL (Localizador de Recursos Uniforme - la
direccin de internet) en la barra de navegacin.
La encriptacin depende del uso de claves (imagnelas como anillos
codificador/decodificador en formato de datos). En criptografa convencional o
simtrica, ambas partes de la transaccin tienen la misma clave, la cual usan para
decodificar la transmisin del otro. En criptografa pblica o asimtrica, coexisten
dos claves: una pblica y una privada. Una persona o una organizacin guarda su
clave privada en secreto, y publica su clave pblica. Los datos codificados con la
llave pblica slo pueden ser decodificados con la clave privada; y los datos
codificados con la clave privada slo pueden ser decodificados con la llave pblica.
Para configurar su servidor seguro, usar criptografa pblica para crear un par de
claves pblica y privada. En muchos casos, enviar su peticin de certificado
(incluyendo su clave pblica), demostrando la identidad de su compaa y pago a la
CA. La CA verificar la peticin del certificado y su identidad, y entonces mandar
un certificado para su servidor seguro.
Un servidor seguro usa un certificado para identificarse a s mismo a los
navegadores web. Puede generar su propio certificado (llamado certificado
autofirmado) o puede conseguirlo de una Autoridad de Certificacin o CA. Un
certificado de una CA con buena reputacin garantiza que un sitio web est
asociado a una compaa u organizacin particular.
Alternativamente, puede crear su propio certificado autofirmado. Note, sin embargo,
que estos certificados autofirmados no deben ser usados en muchos entornos de
produccin. Dichos certificados pueden no ser aceptados automticamente por el
navegador de un usuario, el usuario ser preguntado por el navegador si quiere
aceptar el certificado y crear la conexin segura.
=enerar una clave
Tiene que ser root para generar una clave.
Antes de generar la clave, debe identificar donde esta almancenada la clave, esta
informacin la puede obtener del archivo /etc/httpd/conf.d/ssl.conf. Verifique la
ruta de los archivos mencionados en las opciones:
SSLCertificateFile
SSLCertificateFile
Una vez determinada la ubicacin de los archivos, elimine la clave y el certificado
simulados que se generaron durante la instalacin con los siguientes comandos:
# rm /etc/httpd/conf/ssl.key/server.key
# rm /etc/httpd/conf/ssl.crt/server.crt
O en versiones mas recientes:
# rm /etc/pki/tls/certs/localhost.crt
# rm /etc/pki/tls/private/localhost.key
A continuacin, necesita crear su propia clave aleatoria. Cambie al directorio
/usr/share/ssl/certs y escriba el comando siguiente:
# make genkey
Su sistema mostrar un mensaje similar al siguiente:
umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter PEM pass phrase:
O en versiones mas recientes, cambiese al directorio /etc/pki/tls/certs:
umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/pki/tls/private/localhost.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter pass phrase:
Necesita teclear una palabra de paso. Para mayor seguridad, su palabra de paso
debe incluir, al menos, ocho caracteres, incluyendo nmeros y smbolos de
puntuacin, y no ser una palabra que est incluida en un diccionario. Tambin,
recuerde que su palabra de paso es sensible a las maysculas.
Le ser requerido que reingrese su contrasea, para verificar que es correcta. Una
vez que la haya tecleado correctamente, ser creado el archivo mostrado en la
redireccin de la salida del comando, que contendr dicha clave.
Observe que si no quiere teclear la palabra de paso cada vez que comience su
servidor seguro, necesitar usar los dos comandos siguientes en vez de make
genkey para crear su clave.
La ruta que debe especificar para el archivo generado usted la obtendr del archivo
ssl.conf.
Utilice el siguiente comando para crear su clave:
# /usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key
O dependiendo del archivo de configuracin:
# /usr/bin/openssl genrsa 1024 > /etc/pki/tls/private/localhost.key
Luego, utilice el comando siguiente para asegurarse que los permisos de su clave
estn correctamente asignados:
# chmod go-rwx /etc/httpd/conf/ssl.key/server.key
O dependiendo del archivo de configuracin:
# chmod go-rwx /etc/pki/tls/private/localhost.key
Despus de usar los comandos anteriores para crear su clave, no necesitar
utilizar una contrasea para comenzar su servidor Web seguro.
Los problemas asociados con no usar la contrasea estn directamente
relacionados al mantenimiento de la seguridad en el sistema de la mquina. Si por
ejemplo, un individuo sin escrpulos compromete la seguridad UNX estndar de la
mquina, sta persona podr obtener su clave privada. La clave podra ser usada
para servir pginas web que aparenten estar en su servidor web.
Si las labores de seguridad de UNX son rigurosamente mantenidas en el sistema
(todos los parches y actualizaciones del sistema operativo son instalados tan
pronto como estn disponibles, no se ejecutan servicios innecesarios o peligrosos,
etc.), la contrasea del servidor seguro puede parecer innecesaria. Sin embargo,
desde que su servidor Web seguro no necesita ser reiniciado muy a menudo, la
seguridad extra proporcionada por la introduccin de la contrasea es un pequeo
esfuerzo que vale la pena en muchos casos.
El archivo server.key o localhost.key deben ser propiedad del usuario root de su
sistema y no debe ser accesible por nadie ms. Haga una copia de seguridad de
dicho archivo y gurdela en un lugar seguro. Necesitar la copia de seguridad por
que si pierde el archivo server.key despus de haberlo usado para crear su
certificado, el susodicho certificado no funcionar ms y la CA no podr ayudarle.
Su nica solucin ser pedir (y volver a pagar por ello) un nuevo certificado.
=enerar una !eticin de certificado !ara enviarla a un CA
Una vez creada la clave, el siguiente paso es generar la peticin de certificado que
necesitaremos enviar al CA de nuestra eleccin. Asegrese de estar en el
directorio /usr/share/ssl/certs o /etc/pki/tls/certs, segn corresponda, y teclee el
siguiente comando:
# make certreq
Teclee la palabra de paso que eligi cuando gener su clave. Su sistema mostrar
algunas instrucciones y le requerir una serie de respuestas. Dichas respuestas
sern incorporadas a la peticin del certificado. La pantalla, con respuestas de
ejemplo, ser similar a esta:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:PY
State or Province Name (full name) [Berkshire]:Asuncion
Locality Name (eg, city) [Newbury]:Asuncion
Organization Name (eg, company) [My Company Ltd]:Red Hat Paraguay
Organizational Unit Name (eg, section) []:Sistemas
Common Name (your name or server's hostname) []:www.redhat.com.py
Email Address []:soporte@redhat.com.py
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Las respuestas por defecto aparecern entre corchetes [] inmediatamente
despus de cada peticin de entrada. Por ejemplo, la primera informacin
requerida es el nombre del pas dnde el certificado ser usado, parecido a:
Country Name (2 letter code) [GB]:
La entrada por defecto, entre corchetes, es GB. Para aceptarla, pulse [ntro], o
rellne con el cdigo de dos letras de su pas.
Tendr que introducir el resto de las entradas. Todas estas entradas son
autoexplicativas, pero necesitar seguir estas directrices.
No abrevie la localidad o el estado. Escrbalas enteras.
Si est mandando esta informacin de un CSR a un CA, sea cuidadoso en
proporcionar la informacin correcta en todos los campos, pero especialmente en el
Nombre de la Organizacin y el Nombre comn. Las CAs verifican los datos para
determinar si su organizacin es responsable de quin proporcion como Nombre
comn. Las CAs rechazarn las peticiones que incluyan informacin que ellos
perciban como invlida.
Para $ombre com8nB ase8rese 4ue teclea el verdadero nombre de su
servidor .eb seuro )un nombre de ,$' v9lido* ( no un alias 4ue el servidor
tena.
La Direccin email debe ser la del webmaster o administrador del sistema.
Evite caracteres especiales como @, #, &, !, etc. Algunas CAs rechazarn una
peticin de certificado que contenga un caracter especial. As, si el nombre de su
compaa contiene una "y" comercial (&), escrbalo como "y" en vez de "&".
$o use los atributos extra )Atra ContraseEa ( $ombre o!cional de la
com!aECa*. Para continuar sin introducir estos campos, simplemente pulse [ntro]
para aceptar los valores en blanco por defecto.
El archivo /etc/httpd/conf/ssl.csr/server.csr o /etc/pki/tls/certs/localhost.csr
segn corresponda, es creado cuando termine de introducir su informacin. Este
archivo es su peticin de certificado, listo para enviar a su CA.
Despus de haber decidido una CA, siga las instrucciones que ellos proporcionen
en su sitio web. Estas instrucciones le dirn como mandar su peticin de
certificado, cualquier otra documentacin que ellos requieran, y como pagarles.
Despus de haber satisfecho los requisitos de la CA, ellos le mandarn un
certificado para usted (normalmente por email). Guarde (o copie y pegue) el
certificado que le manden como /etc/httpd/conf/ssl.crt/server.crt o
/etc/pki/tls/certs/localhost.crt.
Ase8rese de 7acer una co!ia de res!aldo.
Creacin de un certificado autofirmado
Usted puede crear su propio certificado autofirmado. Por favor, tenga en cuenta
que un certificado autofirmado no proporciona las garantas de seguridad que un
certificado firmado por una CA s proporciona.
Una vez que tenga la clave y que se asegure de estar en el directorio
/usr/share/ssl/certs o /etc/pki/tls/certs segn correponda, y utilice el siguiente
comando:
# make testcert
Se le pedir que introduzca su palabra de paso (a menos que haya generado una
clave sin contrasea):
Despus de que introduzca su contrasea (o sin la peticin, si ha creado una clave
sin ella), se le pedir ms informacin. La salida del ordenador y el conjunto de
peticiones ser parecido al siguiente (necesitar dar la informacin correcta de su
organizacin y de su mquina):
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:PY
State or Province Name (full name) [Berkshire]:Asuncion
Locality Name (eg, city) [Newbury]:Asuncion
Organization Name (eg, company) [My Company Ltd]: Red Hat Paraguay
Organizational Unit Name (eg, section) []: Sistemas
Common Name (your name or server's hostname) []:www.redhat.com.py
Email Address []:soporte@redhat.com.py
Despus que proporcione la informacin correcta, un certificado autofirmado ser
creado y colocado en /etc/httpd/conf/ssl.crt/server.crt o
/etc/pki/tls/certs/localhost.crt. Necesitar reiniciar su servidor seguro, despus
de generar el certificado, con el comando:
# /sbin/service httpd restart
Probar su certificado
Para probar el certificado instalado por defecto, un certificado de una CA o un
certificado autofirmado, apunte su navegador Web a la siguiente pgina web
(reemplazando server.redhat.com.py con el nombre de su dominio):
https://server.redhat.com.py
Si ha comprado un certificado de una CA bien conocida, su navegador
probablemente aceptar el certificado automticamente (sin pedirle informacin
adicional) y crear una conexin segura. Su navegador no reconocer
automticamente un certificado de prueba o un certificado autofirmado, porque el
certificado no es firmado por una CA. Si no est usando un certificado de una CA,
siga las instrucciones proporcionadas por su navegador para aceptar el certificado.
Una vez que su navegador acepte el certificado, su servidor seguro mostrar una
pgina de inicio predeterminada.
For?ar el uso del modo ''L
Ahora que el servidor tiene habilitado SSL, todas las interacciones con el servidor
que esten relacionadas con nombres de usuarios, contraseas, detalles personales
o financieros deben ser enviados a traves de este protocolo. Esto se hace
facilmente indicando https:// en lugar de http:// en la direccin URL. Sin embargo,
es posible que las personas olviden este gran detalle.
Para evitar ello, el servidor tiene otro mdulo llamado "mod_rewrite, el cual permite
que una solicitud de USL sea reescrita antes que el servido web responda a la
peticin de la pgina. El mdulo rewrite provee una forma de forzar la utilizacin de
SSL para cualquier solicitud entrante.
Para lograr esto, es necesario crear un archivo de configuracin para el mdulo
rewrite. Con el editor de texto vi, cree el archivo /etc/httpd/conf.d/mod-rewrite.conf
# vi /etc/httpd/conf.d/mod-rewrite.conf
En este ejemplo, cualquier solicitud hecha a la carpeta "webmail se forzar el uso
de SSL, y los usuarios pueden introducir sus detalles de forma confidencial. La
opcin rewrite log puede ser usada para propsitos de solucin de problemas.
# Rewrite Rules.
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/webmail/(.*) https://%{SERVER_NAME}/webmail/$1 [R,L]
#Debug Rewrite Rules
#RewriteLog /var/log/httpd/rewrite_engine_log
#RewriteLogLevel 3
"<
'ervicios de correo electrnico
Servicios de correo electrnico
'ervicios de correo electrnico
Postfix
Postfix es un agente de transporte de correo electrnico (MTA) bastante reciente
que se suma a la lista de alternativas al legendario Sendmail. En su diseo han
primado factores como la seguridad, la eficiencia y la facilidad de configuracin y
administracin, junto con la compatibilidad con Sendmail y con otros sistemas de
correo. Este producto se desarroll en el centro de investigacin Thomas J.
Watson Research Center, de BM.
Ar4uitectura de Postfix
Al contrario de Sendmail, que es un gestor de correo monoltico, en el diseo de
Postfix se han disgregado los diversos tratamientos que se realizan sobre un
mensaje a su paso por un Mail Transfer Agent (MTA), adjudicando cada
tratamiento o grupo de tratamientos a un proceso independiente. El conjunto de
todos estos procesos es Postfix.
Los procesos que conforman Postfix se comunican a travs de sockets que se
crean, por razones de seguridad, en un directorio de acceso restringido. La
informacin que intercambian los diversos procesos es la mnima posible,
limitndose en la mayora de los casos a la referencia de la entrada en una cola y
la relacin de destinatarios, o a un simple identificador de estado.
La siguiente figura proporciona una visin global de los elementos que componen
Postfix:
Postfix basa su funcionamiento en cuatro colas: maildrop, incoming, active y
deferred (cuadrados coloreados en verde).
El correo que se genera de forma local se deposita en maildrop para su posterior
proceso. El proceso picup toma los mensajes que llegan a maildrop y los pasa a
cleanup, que analiza las cabeceras de los mensajes y deposita stos en la cola
incoming.
En la cola active se encuentran aquellos mensajes que estn en fase de
encaminamiento, y en deferred los mensajes que por diversas causas no se
pueden encaminar o estn pendientes de reintentar su encaminamiento.
El proceso !mgr es el encargado de tratar los mensajes que llegan a la cola
incoming, depositarlos en active y lanzar el proceso adecuado para su
encaminamiento, como pueden ser local, smtp o pipe.
El correo procedente de otros sistemas se atiende a travs del proceso smtpd,
utilizando el protocolo SMTP, pudiendo utilizar accesos a servidores de RBL o
tablas internas para aplicar las polticas de acceso a cada mensaje entrante.
Coloreadas de azul aparecen las ta"las que, creadas por el administrador, sirven a
los diferentes procesos para concretar el tratamiento que debe darse a cada
mensaje. Se usan seis tablas: access, aliases, canonical, relocated, transport y
virtual. Aunque no es obligatoria la existencia ni utilizacin de todas ellas.
La tabla access permite definir una relacin explcita de sistemas a los que se les
deben aceptar o rechazar sus mensajes. La utiliza el proceso smptd.
La tabla aliases, al igual que en Sendmail, define una serie de nombres alternativos
a usuarios locales, y la consulta el proceso local.
El proceso cleanup, mediante la tabla canonical establece relaciones entre
nombres alternativos y nombres reales, ya sean usuarios locales o no.
El proceso qmgr utiliza la tabla relocated para devolver los mensajes de usuarios
que han cambiado de direccin: "User has moved to new-email.
Con la tabla transport, que es utilizada por el proceso trivial-rewrite, se define la
poltica de encaminamiento por dominios, subdominios e incluso por direccin
concreta de usuario.
Para la gestin y soporte de dominios virtuales el proceso cleanup utiliza la tabla
virtual. En ella se establecen las relaciones entre usuarios virtuales y reales, e
incluso de dominios completos.
Todas estas tablas pueden usar alguno de los siguientes tipos de formato de base
de datos:
Fichero binario indexado (btree, hash, dbm, etc).
Fichero de texto basado en expresiones regulares ( regexp).
Sistema externo de base de datos (NS, LDAP, MySQL, etc).
Para conocer qu tipos de formato de base de datos soporta nuestra instalacin, se
puede usar la directiva /usr/sbin/postconf m.
Para indicar a Postfix el mtodo de acceso a un determinado fichero se antepone al
nombre del mismo el mtodo de acceso. As por ejemplo hash:/etc/postfix/tabla
indica que /etc/postfix/tabla es un fichero en formato db.
Para crear los ficheros binarios indexados, Postfix dispone de la directiva: postmap.
Por ejemplo, para generar el correspondiente binario del fichero anterior se usara
la directiva postmap /etc/postfix/tabla, con lo que se creara el fichero
/etc/postfix/tabla.db.
Arc7ivos de confiuracin de Postfix
Como Sendmail es el MTA por defecto en Red Hat/Fedora, debe cambiar esto
utilizando el comando alternatives luego de detener el servicio sendmail:
# service sendmail stop
# chkconfig sendmail off
# alternatives config mta
There are 2 programs which provide 'mta'.
Selection Command
-----------------------------------------------
*+ 1 /usr/sbin/sendmail.sendmail
2 /usr/sbin/sendmail.postfix
Enter to keep the current selection[+], or type selection number: 2
# alternatives --display mta
mta - status is manual.
link currently points to /usr/sbin/sendmail.postfix
...
La configuracin de Postfix se realiza mediante dos ficheros principales (situados
en el directorio /etc/postfix) y varias tablas opcionales que puede crear el
administrador. Esos dos ficheros son:
"aster-c* - Aqu se configuran los procesos que pueden arrancarse y
algunos parmetros como el nmero de cada uno que puede haber
simultneamente, etc. Normalmente slo hay que tocarlo si queremos usar
un sistema alternativo de entrega de correo local (si usamos Cyrus, Courier,
por ejemplo), si queremos integrar un antivirus (ClamAV + AMaViS), etc.
"ai'-c* - El fichero donde se define gran parte del funcionamiento de Postfix
es main.cf.
@L arc7ivo main.cf
Las directivas mnimas, para tener nuestro Postfix corriendo son las siguientes;
Especifique el nombre de nternet para este host. El valor de esta variable debe ser
un nombre FQDN resoluble a travs de consultas DNS. El valor por defecto es
utilizar el nombre de host retornado por gethostname().
myhostname = <Nombre de Internet de este host>
Ej:
myhostname = mail.redhat.com.py
El nombre del dominio de nternet para este sistema de correo; por defecto se
utiliza el valor de la variable $myhostname sin el primer componente del valor de la
misma. El valor de la variable $mydomain se utiliza por defecto en muchos otros
parmetros de la configuracin de Postfix.
mydomain = <Dominio de Internet de este sistema de correo>
Ej:
mydomain = redhat.com.py
Especifique el dominio de nternet con el que se originan los mensajes de correo
salientes de este servidor de correo. Este es el dominio que aparece en el campo
"From de los mensajes de correo. Por defecto, se agrega $myhostname.
myorigin = <Dominio de Internet>
Ej:
myorigin = $mydomain
El parmetro inet_interfaces especifica las direcciones de las interfaces de red
para las cuales este sistema recibe correo. El valor por defecto para Red
Hat/Fedora es activar solamente la interface localhost. Para permitir que nuestro
servidor de correo reciba mensajes de otro sistemas debe configurar para que se
active en todas las interfaces.
inet_interfaces = <Interfaces de red habilitadas para recibir correo>
Ej:
inet_interfaces = all
Especifique los dominios de nternet que este sistema de correo atiende.
mydestination = <Dominio de Internet>
Ej:
mydestination = $myhostname localhost.localdomain localhost $mydomain
Es con este parmetro le estamos indicando a Postfix cuales dominios de nternet
atiende este servidor de correo, es decir, especifica que dominios entregar
localmente, en vez de enviarlo a otras maquinas.
Esta configuracin es suficiente para tener un sistema de correo funcional.
,irectivas adicionales
La opcin queue_directory especifica el lugar de la cola de Postfix. Es tambin el
directorio raz de los demonios de Postfix (que corren en entorno chroot).
queue_directory = /var/spool/postfix
Las opciones command_directory y daemon_directory contienen la ruta donde estn los
comandos de Postfix y los demonios, respectivamente.
command_directory=/usr/sbin
daemon_directory=/usr/libexec/postfix
La opcin mail_owner indica el usuario que es propietario de la cola de Postfix.
Especificar un usuario que no comparta un grupo con otras cuentas y que no posea
otros archivos o procesos en la misma maquina. O sea, ni nobody ni daemon. Se debe
usar un usuario dedicado.
mail_owner = postfix
La opcin default_privs indica los privilegios por defecto del agente de entrega de
correo para ejecutar un comando o abrir un archivo. NO especificar un usuario con
privilegios o el usuario postfix. Generalmente se usa nobody.
default_privs = nobody
La opcin mail_spool_directory indica el directorio donde las casillas de correo son
almacenados.
mail_spool_directory = /var/spool/mail
,irecciones cannicas
El parmetro canonical_maps apunta a una tabla de mapeo de direcciones (en
trminos de profesionales de computacin, cannico significa "lo usual, estndar o
normal). Los mapas cannicos normalmente son utilizados para cambiar la
direccin de un formato interno a uno pblico. ncluya entradas como la siguiente
en su tabla cannica:
#
# /etc/postfix/canonical
#
jperez@redhat.com.py juan.perez@redhat.com.py
plopez@redhat.com.py pedro.lopez@redhat.com.py
En el archivo main.cf, apunte el parmetro canonical_maps al archivo canonical:
canonical_maps = hash:/etc/postfix/canonical
Asegrese de ejecutar el comando postmap sobre el archivo canonical y recargue
postfix para que reconozca los cambios en mail.cf:
# postmap /etc/postfix/canonical
# postfix reload
>suarios reubicados
El parmetro relocated_maps apunta a una tabla de bsqueda donde puede
almacenar una lista de direcciones o dominios que se han movido a otra ubicacin:
relocated_maps = hash:/etc/postfix/relocated
La tabla de bsqueda usa las direcciones viejas como la clave y su nueva
ubicacin como el valor. Cuando un mensaje es entregado a una direccin
reubicada, Postfix rechaza el intento con un mensaje que indica la nueva direccin
como se especifica en la tabla de bsqueda. Podra listar tambin un dominio para
indicar que todos los recipientes en ese dominio son rechazados con el mensaje
indicado. El archivo /etc/postfix/relocated contiene entradas como:
jperez@redhat.com.py jperez@linuxmail.org
@it.redhat.com.py linuxmail.org
Listas de correo
Las listas de correo proporcionan una forma conveniente de enviar un nico
mensaje de correo a mltiples destinatarios. Postfix proporciona los mtodos para
crear listas de correos simples a travs de aliases. Los aliases pueden apuntar a
una lista de correos o archivos que contienen listas de direcciones.
Puede crear una lista en el archivo aliases, o cualquier otro archivo que especifica
en el parmetro alias_maps. El archivo por defecto de aliases es /etc/aliases.
Soponga que usted administra el dominio redhat.com.py y desea que los mensajes
de carcter tcnico sean enviados a soporte@redhat.com.py, y que los mensajes
enviados a esta direccin sean recibidos por varios miembros del personal de
soporte tcnico. Para lograr esto, edite el archivo /etc/aliases y agregue una lnea
como la siguiente:
soporte: jperez, plopez@redhat.com.py, hgomez@linuxmail.org
Luego de realizar los cambios, reconstruya la tabla de bsqueda de aliases
ejecutando:
# postalias /etc/aliases
Si tiene muchas direcciones en una lista, es mas conveniente crear un archivo de
texto que liste todas las direcciones para la lista. El formato de una entrada alias
que apunta a un archivo es como sigue:
alias: :include:/ruta/al/archivo
Por ejemplo, para crear la lista notificaciones@redhat.com.py la cual lee la lista de
miembros de archivo /etc/postfix/notificaciones cree un alias como el siguiente:
notificaciones: :include:/etc/postfix/notificaciones
Cuando se enva un mensaje a notificacioens@redhat.com.py, el mensaje ser
entregado a todas las direcciones de correo listadas en el archivo
/etc/postfix/notificaciones.
Si algn mensaje no puede ser enviado a alguna de las direcciones listadas, el
emisor original del mensaje recibe un error explicando el problema de entrega.
Para listas largas o para aquellas en las cuales los miembros no se conocen unos a
otros, es probablemente mas apropiado que los mensajes de error sean
entregados al administrador de la lista.
La convencin es crear un alias adicional usando el formato owner-
<alias>@dominio.com, es decir, owner- es antepuesto al nombre de la lista. Para el
ejemplo anterior, podramos crear el alias owner-notificaciones:
owner-notificaciones: postmaster@redhat.com.py
Administracin de colas
El demonio de administracin de colas, qmgr, es en muchas formas el corazn del
sistema Postfix. Todos los mensajes entrantes y salientes, deben pasar a travs de
la cola.
El administrador de colas mantiene cinco colas diferentes: incoming, active,
deferred, hold y corrupt. Postfix utiliza un directorio para cada cola bajo la ruta
especificada en el parmetro queue_directory. Por defecto la ruta es
/var/spool/mail, el cual da una estructura de directorio como la siguiente:
/var/spool/mail/active
/var/spool/mail/bounce
/var/spool/mail/corrupt
/var/spool/mail/deferred
/var/spool/mail/hold
La cola incoming es donde los mensajes inicialmente entran a Postfix. El
administrador de colas proporciona proteccin para el sistema de archivos a travs
del parmetro queue_minfree. Por defecto es 0. Puede asegurarse que el disco que
almacena la cola no se quede sin espacio indicando un lmite.
De la cola incoming, el administrador de colas mueve el mensaje a la cola active e
invoca al agente de entrega apropiado para manejarlo. Para la mayor parte, si no
existen problemas con la entrega, el movimiento de colas es tan rpido que no ver
mensajes en la cola. Si postfix est intentando entregar a un servidor SMTP lento o
que no est disponible, podra ver mensajes en la cola active. Postfix espera 30
segundos antes de decidir si un sistema remoto no est disponible.
Un mensaje que no pudo ser entregado es ubicado en la cola deferred. Los
mensajes son diferidos solamente si encuentran un problema de entrega temporal,
como un problema DNS o cuando el servidor de destino reporta un problema
temporal. Los mensajes que son rechazados, o encontraron un error permanente,
son retornados inmediatamente al emisor con el reporte y no se quedan en la cola.
Postfix peridicamente verifica la cola para ver si existen mensajes diferidos cuya
marca de tiempo indica que estn listos para otro intento de entrega. ntentos
fallidos de entrega subsiguientes provocan que el tiempo de espera para el
reintento se duplique. Puede configurar un tiempo mximo de espera con el
parmetro maximal_queue_lifetime, cuando el tiempo ha expirado, Postfix rechaza el
mensaje y lo enva al emisor. El periodo por defecto es cinco das (5d). Si establece
el valor a 0, el mensaje es retornado inmediatamente.
La cola corrupt es simplemente usada para almacenar mensajes daados o que no
pueden ser ledos. Si un mensaje est tan daado como para hacer algo con l,
Postfix lo ubica en esta cola. Los mensajes corruptos son muy raros, pero podran
ser una indicacin de un problema del sistema operativo o del hardware.
Herramientas de estin de colas
Postfix proporciona herramientas de lnea de comandos para mostrar y administrar
los mensajes en la cola. Los comandos principales son postsuper y postqueue,
Puede realizar las siguientes tareas en las colas de mensajes:
Listar mensajes
Borrar mensajes
Retener mensajes
Reencolar mensajes
Mostrar mensajes
Liberar mensajes
Listar mensa:es
Puede listar todos los mensajes en la cola con el comando postqueue -p. Postfix
adems proporciona el comando mailq para compatibilidad con Sendmail.
# postqueue -p
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
DBA3F1A9 553 Mon May 5 14:42:15 jperez@redhat.com.py
(connect to mail.linuxmail.org [192.168.155.63]: Connection refused)
hgomez@linuxmail.org
1orrando mensa:es
El comando postsuper permite eliminar mensajes de la cola. Para remover el
mensaje del ejemplo anterior, ejecute el comando postsuper con la opcin -d:
# postsuper -d DBA3F1A9
postsuper: DBA3F1A9: removed
postsuper: Deleted: 1 message
Si desea eliminar todos los mensajes de la cola ejecute el comando:
# postsuper -d ALL
postsuper: Deleted: 23 messages
Reteniendo mensa:es
La cola hold est disponible para mensajes que desea mantener en la cola de
forma indefinida. Para ubicar el mensaje del ejemplo en la cola hold, use comando
postsuper con la opcin -h:
# postsuper -h DBA3F1A9
La cola ahora contiene un signo de exclamacin indicando que el mensaje est
retenido:
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
DBA3F1A9 ! 553 Mon May 5 14:42:15 jperez@redhat.com.py
(connect to mail.linuxmail.org [192.168.155.63]: Connection refused)
hgomez@linuxmail.org
Para mover el mensaje nuevamente a la cola normal para su procesamiento,
ejecute el comando con la opcin -H:
# postsuper -H DBA3F1A9
Reencolando mensa:es
Si tiene mensajes que fueron diferidos por problemas de configuracin que han
sido corregidos, puede reencolar los mensajes para que sean entregados. El
comando postsuper utiliza la opcin -r para reencolar mensajes. Puede especificar
el D de un mensaje o la palabra ALL para reencolar todo:
# postsuper -r ALL
0ostrando mensa:es
El comando postcat muestra el contenido de un archivo en la cola:
# postcat -q DBA3F1A9
Liberando mensa:es
Liberar la cola provoca que Postfix intente entregar todos los mensajes
inmediatamente. Puede liberar la cola usando el comando postqueue -f.
# postqueue -f
0a!as de trans!orte
Postfix puede ser configurado para reenviar a cualquier otro host,
independientemente de como estn configurados los registros MX en el servidor
DNS. Conceptualmente, los mapas de transporte sobreescriben los tipos de
transporte por defecto para la entrega de mensajes.
El parmetro transport_maps apunta a uno o ms tablas de bsqueda de transporte.
La siguiente entrada configura el archivo /etc/postfix/transport como una tabla de
bsqueda de transporte:
transport_maps = hash:/etc/postfix/transport
La clave de una tabla de bsqueda de transporte es una direccin de correo
completa o dominios y subdominios. Cuando una direccin de destino o de dominio
coincide con la clave, utiliza el valor de la derecha para determinar el mtodo de
entrega y el destino. El formato de los valores de la derecha pueden variar
dependiendo del tipo de transporte, pero generalmente tiene el formato de
transporte:host:puerto. Por ejemplo:
#
# Transport map
#
redhat.com.pysmtp:[192.168.0.1]:20025
#
Todos los mensajes destinados a redhat.com.py son reenviados usando el
transporte smtp al host con una direccin P 192.168.0.1. Los mensajes son
entregados al puerto 20025 en lugar del puero 25 por defecto. Es requerido
encerrar direcciones P entre corchetes.
#
# Transport map
#
redhat.com.pyrelay:[gateway.redhat.com.py]
#
Todos los mensajes destinados para redhat.com.py son reenviados usando el
transporte relay al host gateway.redhat.com.py. Como no se indica el puerto, se
utiliza el puerto por 25 por defecto. El nombre de host es encerrado entre corchetes
para evitar que postfix busque registros MX, en lugar de ellos, busca el registro A y
entrega a la direccin P a la cual el nombre de host resuelve.
El transporte relay fue introducido en la versin 2 de Postfix para solucionar un
posible problema de rendimiento con el agendamiento de las colas. Debera
direccionar los mensajes de entrada reenviados a un sistema interno usando el
transporte relay, de tal forma a no competir con mensajes destinados a muchos
sistemas diferentes en la nternet.
#
# Transport map
#
redhat.com.pysmtp
#
Todos los mensajes destinados a redhat.com.py son reenviados usando el
transporte smtp. Debido a que el host y puerto estn en blanco, postfix usa el
puerto 25 por defecto y determina el host buscando a travs de DNS un MX para el
dominio.
#
# Transport map
#
jperez@redhat.com.py error:no se aceptan mensajes para jperez
#
El mensaje de transporte especial error provoca que los mensajes sean
rechazados, luego del dos puntos, especifique el reporte del por qu el mensaje fue
rechazado.
=ate%a( de reenvCo interno
Un mail gateway es un sistema de correo que acepta mensajes y reenva a otro
sistema. Mail gateways son comnmente utilizados en conjunto con sistemas de
firewall para limitar el nmero de servidores que necesitan acceso directo a
nternet.
Suponga que tiene instalado un mail gateway en la DMZ, gateway.redhat.com.py, y
desea que este reenve los mensajes recibidos a un host en la HSZ,
mail.redhat.com.py. El siguiente procedimiento demuestra como configurar
gateway.redhat.com.py para reenviar los mensajes al servidor de correo interno:
1. Asegrese que DNS ha sido configurado con los recursos MX correctos para
redhat.com.py y que apuntan a gateway.redhat.com.py.
2. En el archivo de configuracin main.cf, configure relay_domains:
relay_domains = redhat.com.py
3. Asegrese que el parmetro transport_maps apunta a su tabla de bsqueda
de transporte:
transport_maps = hash:/etc/postfix/transport
4. Agregue la entrada al archivo transport para reenviar los mensajes
destinados a redhat.com.py al servidor interno:
#
# transport maps
#
redhat.com.py relay:[mail.redhat.com.py]
5. Recargue postfix para que reconozca los cambios en el archivo de
configuracin:
# postfix reload
ReenvCo de correo saliente
Para permitir que el servidor mail.redhat.com.py enve mensajes hacia la nternet
sin tener una conexin directa, ste debe enviar los mensajes a
gateway.redhat.com.py y ste a su vez reenviarlos hacia la nternet.
Para permitir esto, asegrese que el parmetro mynetworks incluye la direccin P
del servidor de correo interno.
1. En el servidor mail.redhat.com.py, configure el parmetro mynetworks para
asegurarse que incluye todos los clientes del sistema.
2. Configure los MUA para utilizar mail.redhat.com.py como servidor de correo
SMTP.
3. En el archivo mail.cf, configure el parmetro relayhost para apuntar a
gateway.redhat.com.py:
relayhost = [gateway.redhat.com.py]
4. Recargue postfix para que reconozca los cambios en el archivo de
configuracin:
# postfix reload
Ahora, todos los mensajes entregados a mail.redhat.com.py son reenviados a
gateway.redhat.com.py.
@nmascarando nombres de 7ost
El enmascaramiento de direcciones se refiere a la idea de que puede ocultar los
nombres de los host internos y hacer que todas las direcciones aparenten como si
fueran originadas desde el gateway mismo. Cuando un mensaje es enviado desde
estos sistemas y la direccin del emisor incluye el nombre completo del host,
podra desear que la direccin aparezca con el nombre de dominio solamente. El
parmetro masquerade_domains remueve el nombre de host.
El parmetro toma una lista de dominios. Cualquier direccin cuyo nombre de host
completamente calificado coincide con la porcin de dominio, es reescrita de tal
forma a que quede solamente la porcin del dominio:
masquerade_domains = redhat.com.py
Direcciones como jperez@servidor1.redhat.com.py son convertidas a
jperez@redhat.com.py.
Puede listar mltiples dominios y subdominios. Postfix procesa las direcciones
contra la lista de dominios en el orden que lo lista. Por ejemplo, considere una red
con dos subdominios, suc1.redhat.com.py y suc2.redhat.com.py. Usted desea que
las direcciones de estos dominios muestren el subdominio, pero que se oculte el
nombre de host o el dominio padre de cualquier otro subdominio. Entonces
configure masquerade_domains como sigue:
masquerade_domains = suc1.redhat.com.py suc2.redhat.com.py redhat.com.py
Con esta configuracin, la direccin jperez@serv1.suc1.redhat.com.py coincide con
suc1.redhat.com.py y se convierte en jperez@suc1.redhat.com.py. La direccin
plopez@serv2.suc2.redhat.com.py coincide con suc2.redhat.com.py y se convierte
en plopez@suc2.redhat.com.py. Finalmente, hperez@serv3.redhat.com.py
coincide con redhat.com.py y se convierte en hperez@redhat.com.py
Puede excluir ciertas cuentas del enmascaramiento. Por ejemplo, si desea que una
direccin como root@serv1.redhat.com.py se mantenga intacto, agregue la cuenta
al parmetro masquerade_exceptions:
masquerade_exceptions = admin, root, oracle
'endmail
La mayora de las distribuciones de GNU/Linux incluyen de manera predeterminada
Sendmail, un poderoso servidor de correo electrnico ampliamente utilizado
alrededor del mundo. Este requiere de una correcta configuracin para su mejor
aprovechamiento y poder disponer de un nivel de seguridad aceptable.
Es muy comn que los administradores inexpertos no se molesten siquiera en
establecer un nivel de seguridad apropiado en sus redes locales, y mucho menos
en el servidor de correo, el cual ven como un servicio ms. Es un error comn el
configurar Sendmail para que permita enviar correo como sea a cualquier costo.
Usualmente este costo significa convertirse en Open Relay, y por lo tanto en un
paraso para personas que se dedican al envo masivo de correo comercial (Spam).
Confirmando la instalacin de 'endmail
Debe tener instalados los paquetes sendmail y sendmail-cf. Para asegurarse de
esto, se puede utilizar la siguiente lnea de comando:
rpm -q sendmail sendmail-cf
Debe instalar sendmail-cf o no le ser posible compilar los archivos necesarios
para configurar Sendmail.
Confiurando 'endmail
Sendmail utiliza dos archivos de configuracin, /etc/mail/submit.cf cuando un
usuario en el equipo local envia un nuevo mensaje y /etc/mail/sendmail.cf para
todas las otras funciones que incluyen al demonio mail. Los archivos de
configuracin *.cf son generados a partir de archivos macro *.mc que son
expandidos por el procesador de macros m4.
Antes de continuar, debemos editar el fichero /etc/mail/local-host-names, en el cual
deberemos de listar todos y cada uno de los aliases que tenga el servidor que
estamos configurando, as como los posibles sub-dominios. Es decir, todos los
dominios para los cuales estaremos recibiendo correo en un momento dado.
# Incluya aqu todos los dominios para los que
# recibimos correo
localhost
localhost.localdomain
redhat.com.py
mail.redhat.com.py
Procederemos entonces a modificar el archivo /etc/mail/sendmail.mc, con previo
respaldo del original, a fin de preparar la configuracin del servidor de correo.
# cp /etc/mail/sendmail.mc /etc/mail/etc/sendmail.mc.default
Por defecto Sendmail solo permitir enviar correo solo desde la interfaz loopback
(127.0.0.1), es decir, desde el mismo servidor. Si queremos poder enviar correo
desde las mquinas de la red local comente la lnea o bien, si tiene varias, aada
las interfaces desde las cuales se quiere que escuche peticiones sendmail y omita
las que no deben, como sera una red local secundaria con restricciones.
dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')
Si queremos filtrar Spam de manera eficiente, la mejor manera de empezar a
hacerlo es rechazando correo proveniente de dominios NO RESUELTOS, es decir
dominios que no estn registrados en un DNS y que por lo tanto SON invlidos.
Para tal fin, a menos que se requiera lo contrario, es necesario mantener
comentada la siguiente lnea:
dnl FEATURE(`accept_unresolvable_domains')dnl
Es necesario establecer que redhat.com.py corresponder a la mscara que
utilizaremos para todo el correo que emitamos desde nuestro servidor. Debe, por
tanto, aadirse una lnea justo debajo de MAILER(procmail)dnl y que va del siguiente
modo:
MASQUERADE_AS(redhat.com.py)dnl
Luego se procesa con el siguiente comando para generar /etc/mail/sendmail.cf
# m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
Control de R@LAJ
Para permitir el uso de nuestro servidor de correo desde ciertos dominios o
direcciones P se pueden utilizar distintos mtodos.
El mas simple es agregar los nombres de dominio necesarios al archivo
/etc/mail/relay-domains.
Deben definirse los dominios para los cuales se estar permitiendo enviar correo
electrnico. Esto se hace generando el fichero /etc/mail/relay-domains:
# Permitir el dominio redhat.com.py
redhat.com.py
# Permitir a todos los host de la red 192.168.0.0
# Note que la direccion IP no indica el ultimo octeto pero si el punto.
192.168.0.
# Permite a un host en particular
172.17.1.1
Para un ajuste mas preciso, el archivo /etc/mail/access es utilizado. Cada registro
se compone de el nombre del dominio o direccin a la izquierda, y a la derecha la
accin que debe realizarse. Las acciones pueden ser:
O: Acepta el correo inclusive si otras reglas lo rechazaran, por ejemplo
nombre de dominio no puede ser resuelto.
%FAJ Acepta el correo dirigido al dominio indicado o recibido del dominio
indicado por el servidor SMTP.
%KCT Rechazar el correo con un mensaje de error genrico.
DISCA%D Descartar el mensaje utilizando la propiedad $#discard del sistema
de correo.
TITO D %%O% Cualquier mensaje de error que cumple con RFC 821.
Para habilitar la opcin de la base de datos de acceso, se debe utilizar la siguiente
declaracin en su fichero sendmail.mc:
FEATURE(access_db,`hash -T<TMPF> -o /etc/mail/access.db')dnl
Abrimos ahora el archivo /etc/mail/access y agregamos algunas lneas para definir
quienes podrn hacer uso de nuestro servidor de correo para poder enviar
mensajes:
# Por defecto, solo se permite enviar correo desde localhost...
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
# Debemos aadir solo las direcciones IP
# que ahora tenga el servidor
192.168.1.1 RELAY
148.243.59.1 RELAY
# Permitimos uso del dominio local
redhat.com.py RELAY
# Agregue tambin las direcciones IP que integran su red local.
192.168.1 RELAY
192.168.2 RELAY
# Y tambin podemos agregar las direcciones de correo
# electrnico de aquellos a quienes consideremos
# "indeseables", o que queramos bloquear.
spammer.com 550 No aceptamos correo de spammers
spam@algun_spamer.com REJECT
info@otro_spammer.com REJECT
servidor.indeseable.com REJECT
En este archivo tambin puede agregar las direcciones de correo electrnico que
desee bloquear, como son algunas de quienes envan correo masivo no solicitado
-Spam-.
Al concluir, debemos tambin compilar este archivo para generar otro en formato
de base de datos a fin de ser utilizado por Sendmail:
# makemap hash /etc/mail/access.db < /etc/mail/access
Inicio del servicio sendmail
Terminados los detalles de la configuracin, reinicie sendmail del siguiente modo y
tendr listo un servidor de correo que podr utilizar para enviar mensajes para toda
su red local utilizando el servidor SMTP de su proveedor de servicios:
/sbin/service sendmail restart
Generalmente Sendmail est incluido entre los servicios que de forma
predeterminada se inician con el sistema. Si por alguna razn Sendmail no
estuviese habilitado, ejecute lo siguiente a fin de habilitar sendmail en los niveles
de corrida 3, 4 y 5:
/sbin/chkconfig --level 345 sendmail on
Administrando los aliases
Los alias de correo son una poderosa opcin que permite que el correo sea dirigido
a otros apartados postales que son nombres alternativos de usuarios o procesos en
un servidor destinatario. Por ejemplo, es una prctica comn tener
retroalimentacin o comentarios con respecto a un servidor de Web y que estn
dirigidos a webmaster.
Con frecuencia no hay un usuario llamado webmaster. en el servidor, en vez de
ello, hay un alias a otro usuario del sistema. Otro uso comn para los alias de
correo es utilizarlos por los programas de gestin de listas de correo en los cuales
un alias dirige todos los mensajes que ingresan al programa de gestin de la lista
para que sea interpretado.
El fichero /etc/aliases es el lugar en donde los alias se almacenan. El programa
sendmail consulta este fichero cuando est determinando cmo manejar un
mensaje que ingresa. Si encuentra una lnea en este fichero que coincide con el
usuario a quien va dirigido el mensaje, lo redirige al lugar que indica dicha lnea.
De forma especfica, hay tres cosas que los alias permiten:
Otorgan un nombre corto o bien conocido para el correo que ser dirigido hacia
una o ms personas.
Pueden invocar a un programa con el mensaje de correo como entrada hacia
dicho programa.
Pueden mandar el correo a un fichero.
Todos los sistemas requieren de alias para el Postmaster y el MALER-DAEMON
para cumplir con el RFC.
Se debe ser especialmente cuidadoso con la seguridad cuando se definan alias
que invoquen o escriban a programas, ya que sendmail por lo general se ejecuta
con los permisos de root.
#
# Los siguientes dos alias deben estar presentes para cumplir con el RFC.
# Es importante resolverlos en 'una persona' que lea su correo con regularidad.
#
postmaster: root # lnea indispensable
MAILER-DAEMON: postmaster # lnea indispensable
#
#
# demuestra los tipos ms comunes de alias
#
usenet: janet # alias para una persona
admin: joe,janet # alias para varias personas
newspak-users: :include:/usr/lib/lists/newspak # lee a los destinatarios desde un
fichero
changefeed: |/usr/local/lib/gup # alias que invoca a un programa
complaints: /var/log/complaints # alias que escribe el correo a un
fichero
#
Cada vez que actualice el fichero /etc/aliases, se debe asegurar de ejecutar el
programa:
# /usr/bin/newaliases
para reconstruir la base de datos que sendmail utiliza internamente. La orden
/usr/bin/newaliases es un vnculo simblico al ejecutable de sendmail y, cuando se
invoca de esta forma, se comporta exactamente como si hubiese sido invocado as:
# /usr/lib/sendmail -bi
La orden newaliases es una forma alternativa y ms adecuada para hacer esto.
Cmo usar un anfitrin inteliente
Algunas veces un anfitrin encuentra correo que no puede entregar directamente a
un sitio remoto. Con frecuencia es conveniente tener un nico sitio en una red que
tenga el papel de gestionar la transmisin del correo a sitios remotos que son
difciles de alcanzar, en vez de que cada sitio local intente hacer esto por s mismo.
Una organizacin puede elegir instalar una red P privada y utilizar sus propias
direcciones P no registradas. La red privada se puede conectar a nternet
mediante un cortafuegos. El enviar el correo desde y hacia los diversos anfitriones
dentro de la red privada hacia el mundo exterior utilizando SMTP no ser posible
en una configuracin convencional debido a que los sitios locales no pueden
establecer una conexin directa de red a los sitios que estn en nternet. En
cambio, la organizacin puede optar por que el cortafuegos tenga la funcin de
anfitrin inteligente. El anfitrin inteligente que se ejecute en el cortafuegos ser
capaz de establecer conexiones directas de red con los sitios que se encuentran
tanto en el interior de la red privada como en el exterior de ella. El anfitrin
inteligente puede aceptar correo de ambos anfitriones, de los que estn en la red
privada y de los que estn en nternet, el correo se guarda en un almacenamiento
local y luego se gestiona la retransmisin de ese correo directamente al sitio
adecuado.
Los anfitriones inteligentes se utilizan en general cuando todos los otros mtodos
de entrega han fallado.
Sendmail provee de un mtodo simple para configurar un anfitrin inteligente
utilizando la opcin SMART_HOST. Las porciones relevantes de nuestra configuracin
que definen al anfitrin inteligente son:
define(`SMART_HOST', `mail.isp.net')
No se necesita especificar que el transporte es SMTP, ya que est dicho por
omisin.
Central de correo
Para transferir toda la mensajera local (la que llega) pero debidamente cualificada
a un host determinado se puede emplear la variable MAIL_HUB. Ejemplo:
define(`MAIL_HUB', `smtp:otrohost.localdomain')dnl
Habilitando los servicios PAP- e I0AP
Puede habilitar los servicios ipop3 (POP3 tradicional, autenticacin en texto plano),
pop3s (POP3 seguro, autenticacin con criptografa), imap (MAP tradicional,
autenticacin en texto plano) e imaps (MAP seguro, autenticacin con criptografa).
Utilice aquellos que consider como ms apropiados para su red local de acuerdo a
las capacidades de los clientes de correo electrnico utilizados. Tome en cuenta
que la autenticacin por medio de texto plano es definitivamente un mtodo
inseguro, y siempre sern mejor usar los servicios que permitan establecer
conexiones seguras.
,ovecot
El paquete dovecot proporciona los servicios POP/MAP. Edite el archivo de
configuracin /etc/dovecot.conf para habilitar los protocolos pop3 e imap. Para ello,
modifique la siquiente lnea del archivo de configuracin:
protocols = imap imaps pop3 pop3s
Luego, inicie el servicio dovecot y habilite para su ejecucin durante el arranque del
sistema:
# service dovecot start
# chkconfig dovecot on
Confiuracin de .ebmail
SquirrelMail es una aplicacin web basada en PHP que se ejecuta en el servidor
Apache y permite a los usuarios acceder y leer su correo electrnico desde una
ubicacin remota a travs de un navegador web. La aplicacin solamente soporta
casillas de correo map, no POP3, por tanto su servidor de correo debe priveer
acceso map. El paquete dovecot e imap soportan ambos protocolos y tambin
encriptacin TLS. SquirrelMail tiene muchos plugins extra que han sido
desarrollados para l.
El paquete tiene dos archivos de configuracin, uno que habilita la aplicacin en
Apache y otra que contiene las configuracines PHP. El archivo de configuracin
de SquirrelMail para Apache es:
/etc/httpd/conf.d/squierrelmail.conf
El archivo de configuracin contiene un alias que apunta al directorio principal de
SquierrelMail y puede ser visualizado ejecutando http://nombre_servidor/webmail.
El archivo de configuracin del SquierrelMail es el archivo:
/etc/squirrelmail/config.php
El archivo de configuracin es muy fcil de entender. Lo mas importante que debe
configurar el el nombre del dominio, dnde estan ubicadas las casillas de correo y
el servidor utilizado para enviar los mensajes de salida. Si SquierrelMail se est
ejecutando en el mismo servidor de correo, entonces puede dejar los valores en
localhost:
$domain = 'redhat.com.py';
$imapServerAddress = 'localhost';
$imapPort = 143;
$useSendmail = true;
$smtpServerAddress = 'localhost';
$smtpPort = 25;
$sendmail_path = '/usr/sbin/sendmail';
$pop_before_smtp = false;
$imap_server_type = 'uw';
Una de las mayores consultas realizadas acerca de cualquier sistema webmail, es
como cambiar el tamao de los adjuntos que pueden ser enviados. Esto es en
realidad una configuracin PHP. Es necesario cambiar los valores en el archivo
/etc/php.ini. Para ello edite el archivo /etc/php.ini y configure las siguientes
opciones:
upload_max_filesize = 2M
post_max_size = 2M
""
'ecure '7ell
Secure Shell
'ecure '7ell
Uno de los aspectos mas importantes de cualquier sistema de computacin en red
es la posibilidad de administrarlo totalmente desde una ubicacin remota como si
estuviese sentado frente a la terminal. Existen aplicaciones como telnet, rcp y
rlogin que permiten la administracin remota de sistemas, sin embargo, estos
programas son obsoletos y son un riesgo de seguridad, principalmente porque la
comunicacin no est encriptada.
OpenSSH es un conjunto de aplicaciones que proporcionan un enlace encriptado
entre la estacin de trabajo del administrador y el host remoto, esto asegura que
cualquier detalle de la informacin transferida, como la informacin de inicio de
sesin, se mantenga confidencial.
@l demonio ''H
El demonio SSH acta como el servidor que escucha y maneja las conexiones
entrantes de los clientes. En su configuracin por defecto, el demonio maneja todos
los requerimientos para la generacin y rotacin de claves criptogrficas, por tanto
se discutira como ajustar los parmetros operacionales del servidor.
El archivo de configuracin para el servidor SSH es el archivo:
/etc/ssh/sshd_config
SSH opera por defecto en el purto TCP 22 y escucha en todos los dispositivos de
red instalados. El demonio openssh ademas soporta versiones 1 y 2 del protocolo
ssh los cuales estn habilitados por defecto.
La version 1 del protocolo SSH es vulnerable a un fallo de seguridad donde un
atacante puede introducir datos malignos en un enlace seguro, por tanto es
recomendado la utilizacin de protocolo version 2 solamente.
Port 22
Protocol 2
#ListenAddress 0.0.0.0
#ListenAddress ::
El demonio debera ser configurado para registrar todos los intentos de acceso a
traves de syslog, ya sean satisfactorios o no. Estos eventos sern registrados en el
archivo /var/log/secure segn la configuracin por defecto de syslogd.
SyslogFacility AUTHPRIV
LogLevel INFO
Por defecto, la cuenta de root tiene permitido el acceso por ssh al sistema. Es
Secure Shell
altamente recomendable que no permita el acceso root a travs de ssh.
PermitRootLogin no
La directiva LoginGraceTime determina la cantidad de tiempo en la que una vez
conectado un usuario, debe iniciar sesin, de lo contrario es desconectado.
Adems, es posible configurar veces que es posible introducir la contrasea de
forma incorrecta:
LoginGraceTime 30s
MaxAuthTries 4
Las directivas AllowUsers y AllowGroups especifican que slo los usuarios o grupos
listados pueden iniciar sesin a travs de ssh.
AllowUsers manager
AllowGroups sshusers
La directiva DenyUsers y DenyGroups tienen efecto contrario, los usuarios y grupos
listados no pueden iniciar sesin a travs de ssh.
DenyUsers alice bob
DenyGroups sshdeny
SSH puede autenticar a travs de contraseas o claves pblicas. Para permitir la
autenticacin con contraseas e impedir que contraseas en blanco sean vlidas,
configure las siguientes opciones:
PasswordAuthentication yes
PermitEmptyPasswords no
La directiva AuthorizedKeysFile identifica el nombre del archivo ubicado en el
directorio HOME de los usuarios, el cual es utilizado para almacenar la clave
pblica cuando se conectan a un servidor.
AuthorizedKeysFile .ssh/authorized_keys
Cuando un usuario se conecta al servidor, un mensaje es mostrado antes que
intente iniciar sesin en el sistema, esto puede ser utilizado para informar a los
usuarios que todos los accesos son registrados y cualquier otro detalle legal.
Puede ademas configurar que el mensaje del da (/etc/motd) sea mostrado una vez
que ha iniciado sesin satisfactoriamente.
Banner /etc/ssh/banner
PrintMotd yes
El subsistema sftp (SSH File Transfer Protocol) permite copiar archivos entre la
estacin de trabajo y los sistemas remotos usando encriptacin para mayor
seguridad.
Subsystem sftp /usr/libexec/openssh/sftp-server
Todas las opciones de configuracin estan detalladas en la pgina del manual
sshd_config, para visualizarla, ejecute man sshd_config.
Secure Shell
Control del servicio ''H
Una vez configurado el servidor sshd, puede habilitar la ejecucin del servicio
durante el inicio del sistema utilizando los siguientes comandos:
# chkconfig level 345 sshd on
# chkconfig list
El servicio puede ser iniciado o reiniciado inmediatamente, usando los siguientes
comandos:
# service sshd start
# service sshdd restart
>so de ''H
Para conectarse a un servidor a travs de ssh, utilice cualquier de los siguientes
comandos:
$ ssh usuario@host
$ ssh host -l usuario
Si no especifica el nombre de usuario, intentar conectarse al sistema remoto con
el mismo usuario que utiliza en el sistema local.
La primera vez que inicia sesin en un servidor remoto, usted sera advertido que la
identidad del servidor no puedo ser establecida. Si esta seguro de la identidad del
host, puede aceptar el certificado presentado. Una copia es guardada en el archivo
~/.ssh/known_hosts. Usted vera un mensaje similar al siguiente:
$ ssh alice@galaxy.redhat.com.py
The authenticity of host 'galaxy.redhat.com.py (192.168.1.1)' can't be
established.
RSA key fingerprint is cd:3e:99:ef:5a:e6:6e:40:a4:25:79:a1:50:31:4b:7a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'galaxy.redhat.com.py ' (RSA) to the list of known
hosts.
alice@galaxy.redhat.com.py 's password:
Una vez autenticado, entrar al prompt del sistema remoto. A partir de ese
momento puede ejecutar cualquier comando en el sistema remoto.
Puede darse la situacin que el par de claves del servidor es reemplazada, esto
puede deberse a una reinstalacin por ejemplo. Si este es el caso, la clave pblica
almacenada anteriormente en el archivo ~/.ssh/known_hosts causar un conflicto
con la nueva clave pblica. Esto provocar que el cliente rechace la conexin,
suponiendo que pueda ser un fraude.
Secure Shell
# ssh alice@galaxy.redhat.com.py
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
8e:ed:e3:45:50:5e:13:33:58:0e:d5:eb:e6:fc:ef:43.
Please contact your system administrator.
Add correct host key in /home/alice/.ssh/known_hosts to get rid of this message.
Offending key in /home/alice/.ssh/known_hosts:14
RSA host key for galaxy.redhat.com.py has changed and you have requested strict
checking.
Host key verification failed.
El mensaje de advertencia anterior indica que la huella digital de las claves han
cambiado. Debe confirmar cualquier cambio que ha ocurrido en el sistema remoto
antes de intentar corregir este error.
Una vez verificada la identidad del host remoto nuevamente, deber eliminar la
clave pblica guardada en el archivo ~/.ssh/known_hosts. Para ello, edite el archivo y
elimine la clave pblica que corresponde con el host.
Cliente ''H !ara .indo%s
PuTTY es un cliente Telnet y SSH gratuito escrito y mantenido por Simon Tatham.
El cliente y el cdigo fuente pueden ser descargados de:
http://www.chiark.greenend.org.uk/~sgtatham/putty
Transferencias de arc7ivos de forma seura
El demonio SSH puede ejecutar un subsistema de aplicaciones que pueden tomar
venaja del entorno seguro proporcionado por los protocolos criptogrficos, uno de
estos subsistemas es sft! )'ecure File Transfer Protocol*. El servidor sftp
proporciona al los usuarios la posibilidad de iniciar sesin de tal forma a que
puedan transferir archivos de forma confidencial.
El servidor sftp no debe ser confundido con FTPS disponible en vsftpd. Si bien
ambos sistemas proporcionan la capacidad de encriptar la comunicacin, existen
diferencias en como pueden ser implementados.
Para conectarse a un servidor sftp, utilice el siguiente comando:
$ sftp usuario@host
Si no especifica el nombre del usuario, intentar conectarse con el mismo usuario
que est usando en el sistema local.
Secure Shell
Una vez conectado, tiene disponible los comandos mas comunes de transferencias
de archivos de FTP, utilice el comando help para obtener la lista de comandos
permitidos.
'ecure co!(
El scp s el reemplazo de rcp, y permite la copia de archivos entre el sistema local y
remoto de una forma bastante parecida a si estuviera copiando archivos de un
directorio a otro dentro del mismo servidor. La aplicacin scp permite copia de
archivos de forma no interactiva.
La sintaxis del comando para copiar un archivo del equipo local al equipo remoto
es:
$ scp [opciones] archivo [...] [usuario]@host:[/ruta/de/destino]
Por ejemplo:
Para copiar el archivo local reporte.txt al sistema galaxy.redhat.com.py en el
directorio /tmp iniciando sesin con usuario bob, ejecute:
$ scp /tmp/reporte.txt bob@galaxy.redhat.com.py:/tmp
Para copiar todos los archivos .txt de su directorio HOME al sistema remoto, tambin
en su directorio home, iniciando sesin con el mismo usuario utilizado de forma
local, ejecute:
$ scp $HOME/*.txt galaxy.redhat.com.py:
La sintaxis del comando para copiar un archivo del equipo local al equipo remoto
es:
$ scp [opciones] [usuario]@host:[/ruta/al/archivo] /ruta/de/destino
Por ejemplo:
Para copiar el archivo remoto /tmp/reporte.txt al directorio local /backup, iniciando
sesin como usuario bob en el servidor galaxy.redhat.com.py, ejecute:
$ scp bob@galaxy.redhat.com.py:/tmp/reporte.txt /backup
$ scp galaxy.redhat.com.py:/tmp/*.txt .
Para copiar de forma recursiva el directorio /reportes del sistema remoto al
directorio /backup local, utilice la opcin -r:
$ scp -r galaxy.redhat.com.py:/reportes/ /backup
"+
$et%or& Time Protocol
Network Time Protocol
$et%or& Time Protocol )$TP*
NTP (Network Time Protocol) es un protocolo de comunicaciones que permite
sincronizar el reloj de un ordenador que este conectado a la red con un servidor
central de tiempo. Con ello lograremos una exactitud del orden de milisegundos en
una red local.
El NTP implementa un modelo jerrquico de sincronizacin. En la cumbre se
encuentran los servidores de tiempo stratum 1, computadoras conectadas en forma
directa a dispositivos conocidos como "relojes de referencia" ( stratum 0), de
altsima precisin. Estos dispositivos pueden ser relojes atmicos, receptores
Global Positioning Systems (GPS) o receptores de radio. Cualquier servidor que
obtenga la referencial de tiempo de un stratum 1 pasa a ser un stratum 2 y as
sucesivamente.
La sincronizacin del tiempo es vital para millones de computadoras que
intercambian informaciones: personas que comparten bases de datos, que
procesan transacciones de diversos tipos, tales como comercio electrnico y
personal banking. Es justamente en este ambiente abierto, en el cual se comparten
informaciones, que la necesidad de una referencia de tiempo comn, exacta y
confiable se hace imprescindible
Convenciones enerales
Hay varios conceptos y acrnimos utilizados cuando se configura un servidor NTP:
=0T )=reen%ic7 0ean Time* / Es la hora del meridiano de Greenwich,
poblacin cercana a Londres. Se us esa porque fu la usada por la
"Britain's Royal Navy" durante el sigo XX. El meridiano tambin pasa por
Espaa.
>TC )>niversal Time Coordenated* / Bsicamente lo mismo que la hora
GMT, pero ya sincronizado con relojes atmicos. Es estndard y ya no hace
referencia a un sitio en concreto.
Dul8 o D / En la segunda guerra mundial abreviaban "GMT" por "Z", y segn
el alfabeto internacional de comunicaciones la Z se pronuncia Zul
C@T )Central @uro!ean Time* / Hora Central Europa, es UTC+1. Donde
est Espaa excepto las Canarias.
C@'T )Central @uro!ean 'ummer Time* / Hora central Europea en
verano, UTC+2. Donde est Espaa excepto las Canarias.
.@T ).estern @uro!ean Time* / Hora de Europa del Oeste, donde estn
las Canarias. Es la misma que UTC.
.@'T ).estern @uro!ean 'ummer Time* / Hora de Europa del Oeste en
verano, donde estn las Canarias. Es UTC+1
,'T ),a(li7t 'ummer Time* / As se llama el periodo que estamos en
ahorro de luz de verano.
PJT )Paraua( Time* / Horario normal de Paraguay.
PJ'T )Paraua( 'ummer Time* / Horario de verano de Paraguay.
Donas 7orarias
Las zonas horarias son divisiones geogrficas del globo terrqueo de 15 cada
una. niciando en Greenwich, creadas para ayudar a las personas a saber que hora
es en otra parte del mundo.
Por razones de ahorro de energa, se utiliza el horario de verano, conocido como
Dailyght Savings Time (DST), que son variaciones de la zona horaria.
Las zonas horarias generalmente son definidas por el gobierno de un pas o un
instituto astronmico y es representado por 3 o cuatro letras, por ejemplo PYT o
PYST.
,a(li7t 'avins Time
Por razones de ahorro de energa, los gobiernos han creado el horario de verano o
DST. Los relojes son adelantados una hora y esto hace que los dias parezcan mas
largos. Lo que sucede en realidad es tan solo Kun cambio en la ?ona 7orariaL. El
tiempo primitivo (UTC) es y seguir siendo el mismo.
Los arc7ivos de ?ona 7oraria
Durante la instalacin del sistema operativo Linux, se selecciona la zona horaria.
Esta configuracin se encuentra almacenada en el archivo /etc/s.sco'*i(/cloc0.
El archivo /etc/localti"e es el archivo de zona horaria y es una copia de alguno de
los ficheros de zona que se encuentran en el directorio /usr/s+are/@o'ei'*o. Estos
ficheros son binarios no pueden ser editados directamente.
En el fichero de zona se especifica la fecha en la que comienza y termina el horario
de verano para una zona dada. Por ejemplo, el fuente de un fichero de zona para
America/Asuncion es como sigue:
# Paraguay
# Rule NAME FROM TO TYPE IN ON AT SAVE LETTER/S
Rule Para 2003 only - Oct 16 0:00 1:00 S
Rule Para 2004 only - Mar 31 0:00 0 -
# Zone NAME GMTOFF RULES FORMAT [UNTIL]
Zone America/Asuncion -4:00 Para PY%sT
El bloque Rule define la fecha y la hora en la que el horario de verano se aplica,
mientras que el bloque Zone hace referencia a regla (Rule) que lo gobierna. Note
que el nombre de Zone el el nombre del fichero en el directorio /usr/share/zoneinfo.
Para configurar la sincronizacin de hora a travs de NTP, la configuracin de la
zona horaria debe ser correcta.
Como es habitual que en nuestro pas, el cambio de hora no se haga en la misma
fecha, es necesario modificar el archivo fuente de la zona y especificar la duracin
del horario de verano. En este caso deberan agregarse dos reglas, para indicar
cuando inicia y cuando termina el horario de verano, por ejemplo, modificando el
archivo paraguay.zic anterior seria:
# Paraguay
# Rule NAME FROM TO TYPE IN ON AT SAVE LETTER/S
# Zone NAME GMTOFF RULES FORMAT [UNTIL]
Zone America/Asuncion -4:00 Para PY%sT
Una vez modificado el archivo fuente de zona, es necesario compilarlo con el
comando zic. Para ello ejecute:
# zic paraguay.zic
Luego, debera copiar el archivo /usr/share/zoneinfo/America/Asuncion a
/etc/localtime:
# cp /usr/share/zoneinfo/America/Asuncion /etc/localtime
Puede verificar que las configuraciones fueron realizadas con el comando zdump.
# zdump -v America/Asuncion
Como mencionamos anteriormente, los servidores NTP siempre proporcionan la
informacin de hora en horario UTC. Es el archivo de zona el que determina la
cantidad de horas que se deben sumar o restar al horario UTC y tambin en que
momento inicia el horario de verano. Por lo tanto, una vez llegada la fecha y la hora
indicada, no es necesario realizar ninguna operacin adicional. $o es necesario
modificar la 7ora manualmente.
@l !ro(ecto !ool.nt!.or
El proyecto se nutre de servidores horarios de todo el mundo que se unen de forma
voluntaria. El sistema se basa en asignar el mismo nombre a varias mquinas en el
DNS (round robin), con lo que cada vez que solicitamos una direccin, recibimos
una contestacin distinta. Este es un mtodo sencillo pero muy til para repartir la
carga.
Esta asignacin de direcciones se basa en una jerarquizacin por situacin
geogrfica, aadiendo cada servidor a la zona DNS correspondiente a su pas, a su
continente y a la zona mundial que los engloba a todos, bajo el dominio
pool.ntp.org. Por ejemplo north-america.pool.ntp.org, south-america.pool.ntp.org,
europe.pool.ntp.org, oceania.pool.ntp.org.
Si consultamos al DNS la direccin P de south-america.pool.ntp.org veremos como
no obtenemos una respuesta nica.

# dig south-america.pool.ntp.org

; <<>> DiG 9.3.1 <<>> south-america.pool.ntp.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31674
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 5, ADDITIONAL: 5

;; QUESTION SECTION:
;south-america.pool.ntp.org. IN A

;; ANSWER SECTION:

;; ANSWER SECTION:
south-america.pool.ntp.org. 1420 IN A 200.141.215.162

De forma peridica, se comprueba el estado y fiabilidad de los servidores
implicados (recordemos que se trata de voluntarios sin ninguna garanta de
operatividad). Para ello, las zonas DNS se actualizan aproximadamente cada hora
a partir de los datos de servidores que velan por el correcto funcionamiento de
todos los servidores monitoreando su estado mediante las herramientas que NTP
proporciona. De esta forma, aquellos servidores que quedan desconectados o,
sencillamente, no ofrecen una hora razonablemente buena, son eliminados
temporalmente.
El sistema se basa en la asignacin de una puntuacin entre dos extremos: si un
servidor est funcionando bien, se le suman puntos, si no, se le restan. Cuando
alguno de ellos tiene una puntuacin por debajo del umbral establecido, se retira
del DNS y se sigue vigilando para una futura reincorporacin.
El mtodo hace que las puntuaciones bajen muy deprisa en caso de mal
funcionamiento, pero tarden un poco ms en subir, asegurando as que no existen
servidores malos en el sistema.
Confiuracin de $TP
La configuracin de NTP se realiza a travs del archivo /etc/ntp.conf.
En el archivo de configuracin, existe una regla por defecto que aplica cierta
seguridad a la configuracin NTP.
restrict default nomodify notrap noquery
Esta regla permite la sincronizacin con los servidores NTP, pero no permite que
los servidores NTP consulten o modifiquen el servicio en nuestro sistema.
En la seccin OUR TIMESERVERS debemos configurar los servidores NTP.
# --- OUR TIMESERVERS -----
server south-america.pool.ntp.org
Lo ms interesante del fichero de configuracin son las lineas que nos indican qu
servidores vamos a usar para sincronizarnos. Como se puede notar, todas ellas
son iguales, aprovechando la resolucin DNS que hemos explicado ms arriba. De
esta forma, obtenemos tres servidores distintos con los que actuar.
Si desea utilizar otros servidores NTP puede consultar la lista de servidores NTP
publicos en http://www.eecis.udel.edu/~mills/ntp/servers.html.
driftfile /var/lib/ntp/drift
La opcin driftfile especifica qu fichero se utiliza para almacenar el
desplazamiento de la frecuencia de reloj de la mquina. El servicio "ntpd utiliza
este valor para automticamente compensar el desvo que experimenta de forma
natural el reloj de la mquina, permitiendo mantener una precisin acotada incluso
cuando se pierde la comunicacin con el resto de referencias externas.
Inicio del servicio $TP
Antes de iniciar el demonio ntpd, ejecute el comando ntpdate para sincronizar el
reloj con el servidor de horario. NTP no sincronizar su reloj con un servidor de
horario si la hora local esta significativamente desfasada a la del servidor NTP.
# ntpdate -u south-america.pool.ntp.org
Como una alternativa, puede agregar los servidor NTP al archivo /etc/'tp/step1
tic0ers. De esta forma usted no necesita sincronizar manualmente el reloj, ntp
consultar estos servidores si la hora esta muy desfasada con respecto a la hora
NTP durante el inicio del servicio.
Configure el servicio para iniciar automticamente al siguiente reinicio:
# chkconfig ntpd on
nicie el servicio inmediatamente ejecutando el comando:
# service ntpd start
Es posible utilizar la herramienta system-config-date para administrar NTP.
5erificacin de $TP
El comando ntpq es util para consultar servidores NTP remotos y verificar la
configuracin y operacin del servicio.
Utilice el comando ntpq siempre que necesite:
Verificar que ntpd puede formar asociaciones con otros hosts NTP
La sincronizacin esta funcionado correctamente
Luego que ha iniciado el servidor ntpd ejecute el comando ntpq con la opcin -p:
# ntpq -p
El resultado del comando sera algo similar al siguiente:
# ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
-80.34.215.206 213.144.140.154 3 u 143 256 377 126.321 24.212 0.798
+130.206.130.95 129.132.2.21 2 u 74 256 377 68.792 -8.019 2.836
*217.127.249.18 193.79.237.14 2 u 88 256 377 110.388 -6.299 1.346
80.38.245.22 130.206.3.166 2 u 74 256 377 942.683 -397.04 399.034
+193.45.254.143 212.94.162.1 3 u 80 256 375 87.577 -2.074 100.146
Cada columna mostrada se describe como sigue:
re"ote= La columna remote lista los hosts especificados en el archivo de
configuracion local. Los hosts pueden estar precedidos con los siguientes
caracteres especiales:
L ndica que es la fuente actual de sincronizacin.
M ndica que el host ha sido seleccionado para sincronizacin, pero la
distancia desde el host al servidor ha excedido el maximo valor.
o ndica que el host es seleccionado para sincronizacin y la seal PPS esta
en uso.
N ndica que el host ha sido includo en el conjunto de seleccin final.
< ndica que el host es designado como "false ticker por el algoritmo de
sincronizacin
- ndica que el host es seleccionado del final de la lista de candidatos.
1 ndica que el host ha sido descartado por el algoritmo de clustering.
5acCo o en blanco ndica que el host ha sido descartado debido a un alto
stratum o fallo las verificacines de sanidad.
re*id= La columna indicador de referencia indica la actual fuente de
sincronizacin para el host remoto. WWVB indica que el host utiliza un radio
reloj.
st= La columna stratum indica que nivel de stratum para el host remoto.
t= La columna tipo denota los tipos disponibles que incluyen:
l = local (como un relog GPS)
u = unicast
m = multicast
b = broadcast
- = netaddr (normalmente 0)
/+e'= La columna when indica la cantidad de segundos desde que la
respuesta del host remoto fue recibida.
poll= El periodo de poll indica el intervalo de consulta al host remoto.
reac+= La columna reach indica que tan exitosos son los intentos de alcanzar
un servidor. El valor 001 indica que la prueba mas reciente fue contestada,
mientras 357 indica que una respuesta no fue contestada. El valor 377 indica
que todas las pruebas recientes fueron contestadas.
dela.= La columna delay indica el tiempo (en milisegundos) que toma en
retornar el paquete de respuesta a una consulta.
o**set= La columna offset indica la diferencia de tiempo (en milisegundos)
entre el reloj del servidor y el reloj des cliente. Cuando este numero excede
128, el mensaje de "synchronization lost aparece en el archivo de registro.
disp= La columna dispersin indica la diferencia en la medida del offset entre
dos muestras. Este es un estimativo de error. La dispersin es un valor para
medir la calidad del servicio de red.
Aqu vemos cmo tomamos como referencia el tercero de los servidores (*), siendo
el segundo y el quinto (+) alternativas a tener en cuenta que entran en el clculo de
la hora, descartando momentneamente los dems.
Con ntptrace conoceremos cul es el origen de nuestra hora:
# ntptrace -n
127.0.0.1: stratum 3, offset 0.000038, synch distance 0.18706
217.127.249.18: stratum 2, offset -0.006845, synch distance 0.09442
193.79.237.14: stratum 1, offset -0.006269, synch distance 0.00000, refid 'GPS'
Nuestra mquina (127.0.0.1) toma la hora de 217.127.249.18, que est
sincronizado con 193.79.237.14, que tiene por referencia un receptor GPS. En este
caso, nuestro ordenador se ha convertido en un servidor NTP de stratum 3.
Si dejamos que ntpd funcione durante ms tiempo haciendo su trabajo
mejoraremos mucho la precisin.
"-
'olucin de !roblemas
Solucin de problemas
'olucin de !roblemas
,ianstico ( solucin de !roblemas de red ( servicios
Existen diversas clases de problemas con los que se puede encontrar al trabajar
con configuracin de dispositivos y servicios de red. Estas son algunas
recomendaciones a tener en cuenta para diagnosticar problemas de red:
Problema Accin a tomar
El comando ifconfig no despliega otro
adaptador de red ms que el adaptador
loopback.
Verifique que el servicio network est
habilitado para ese nivel de ejecucin.
Verifique la configuracin NETWORKING en
/etc/sysconfig/network
Verifique que los mdulos han sido
cargados para su adaptador de red,
revise el archivo /etc/modules.conf
No es posible conectarse a la red. No
responde ningn host al comando ping.
Compruebe que el adaptador est
recibiendo paquetes con el comando
ifconfig. Si no, puede ser un problema
con el cable de red, el switch o el
adaptador de red.
Verifique la configuracin de la direccin
P y la mscara de sub red.
Detenga los servicios de firewall y
pruebe nuevamente.
Verifique la configuracin de los
archivos host, ifcfg-ethX, resolv.conf.
No es posible alcanzar un host remoto Verifique la configuracin de las rutas
con el comando netstat -r.
Compruebe la configuracin de los
firewalls que se encuentran en el
camino al host.
Un servicio de red no inicia. Muchos servicios proveen archivos de
registros propios, verifique estos
archivos generalmente ubicados en el
directorio /var/log.
Busque referencias al error el archivo
/var/log/messages, /var/log/secure, etc.
Solucin de problemas
Problema Accin a tomar
El servicio de red inicia pero no es
posible acceder a l.
Compruebe la configuracin del firewall.
Compruebe que el servicio est
escuchando en todas las interfaces de
red.
Revise la configuracin del tcpwrapper.
La transferencia de archivos es muy
lenta en algn sentido de la conexin, la
conexin es intermitente o existen
muchos errores en los paquetes en las
estadsticas de netstat.
Verifique que la velocidad de la tarjeta
de red concuerda con la velocidad
configurada en el puerto del swtich.

Manual Linux

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Linux

Cargado por

Copyright:

Formatos disponibles

Administracin de servicios de red con Red Hat/Fedora Linux

También podría gustarte