Actividad autodiagnostico 4 Trimestre de Administración de Redes

JOHAN ALEXANDER LOPEZ BETANCUR

CAMILO ZAPATA

CESGE

Orden
20111

Sena
Medellín
2009
 INTRODUCCIÓN

Documento   en   donde   vemos     a   ver   el   proceso   de   instalacion   y 

configuracion   de   algun   servicios   con  lo   son   DNS   “BIND9”,   WEB 
“Apache2”   con   validacion   de   usuarios   y   por   direcciones   ip,   FTP 
“VSFTPD”   accediendo   con   usuarios   del   sistema   y   configuraremos 
acceso via SSH “OpenSSH­Server” 

todo esto bajo sistema operativo ubuntu 9.04

configuraremos en una misma interfaz dos interfaces mas virtuales.
 Planteamiento del problema

La empresa IT­SENA ofrece servicios de Hosting para el alojamiento 
de aplicaciones WEB. En días recientes la empresa adquirió un nuevo 
servidor bajo Linux con el objetivo de configurar los siguientes sitios 
WEB para sus clientes:

Cliente 1: 
Dos   sitios   web,   www.galileo.lab   y   sec.galileo.lab.   Estos   sitios   Web 
deben estar alojados en la misma dirección IP. El sitio www.galileo.lab 
será de acceso publico, mientras que el sitio sec.galileo.lab solo deberá 
estar   disponible   para   una   lista   de   usuarios   con   contraseñas   que   el 
cliente dispondrá. 

Cliente 2: 
Dos sitios web, www.voyager.star y conf.voyager.star. El primer sitio 
(www.voyager.star) sera usado para fines de divulgación, por lo tanto 
será   de   acceso   público,   mientras   que   el   segundo   sitio 
(conf.voyager.star) solo deberá estar disponible desde las direcciones 
IP especificadas por el cliente. El cliente requiere que los sitios esten 
alojados en dos direcciones IP distintas, y sobra especificar que estas 
direcciones  deben  ser  diferentes a cualquier  Dirección IP empleada 
con cualquier otro cliente.

La empresa IT­SENA ofrece a sus clientes la posibilidad de actualizar 
sus sitios web a traves de FTP, al cual pueden acceder solo después de 
autenticarse con una credencial administrativa. 

La   Administración   Remota   del   Servidor,   por   parte   de   IT­SENA, 

deberá   contar   con   una   conexión   segura   a   través   de   SSH.   El   login 
remoto solo sera permitido a un usuario especifico sin privilegios, y 
solo   desde   este   usuario   se   puede   tomar   control   administrativo   del 
sistema. 

BonusTrack:   Envíe   las   alertas   de   seguridad,   por   ejemplo   acceso 

denegado al sistema, a través de correo electrónico a un usuario del 
sistema .
Requerimientos del problema: 
1. SO Linux 
2. Servidor Web 
3. Servidor DNS 
4. Servidor FTP 
5. Servidor SSH 
6. Consideraciones de Seguridad 
Comenzaremos con la instalación del sistema operativo Ubuntu:

por uno de los terminales se instalaran los paquetes los cuales ya se 
mencionaron anteriormente con el comando “apt­get”  

apt­get install apache2 vsftpd  bind9  openssh­server

una vez terminada la instalación de los diferentes paquetes iremos al 
proceso de configuración, comenzaremos por el servidor ftp.  

FTP VSFTPD

lo   primero   que   tenemos   que   hacer   es   crear   los   usuarios   que 

necesitamos se validen en el servidor ftp con el comando 

adduser galileo password galileo
adduser voyeur password voyeur 

luego de esto editaremos el archivo de configuración que se encuentra 
en /etc/vsftpd.conf con el editor de texto que mejor se prefiera en mi 
caso ser nano 

nano /etc/vsftpd.conf

y lo editaremos tal cual se requiera en este caso el archivo quedaría de 
esta forma 
Las lineas 
anonymous_enable=NO
es muy importante que esta sea no para la petición de autenticación del 
servidor ftp 

chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list

estas tres lineas son necesarias en el proceso de enjaulamiento de los 
usuarios que tendrán  o no acceso a su home o demas carpetas del 
sistema,   el  archivo   vsftp.chroot_lis es necesario crearlo para que el 
servicio pueda iniciar.
En este archivo  vsftp.chroot_lis estarán los usuarios que en este caso 
queremos que puedan navegar en la raíz del sistema los demás solo 
podrán acceder a su carpeta home. 

configuración de nuestro servidor DNS bind9, este contará con dos 
zonas, para cada uno de los clientes y utilizaremos un solo rango de 
red,   y   usaremos   subinterfaces   para   que   además   estas   respondan   al 
servidor WEB.

Comenzaremos a editar los archivos que se encuentran en el directorio 
del bind /etc/bind

Lo primero sera modificar el archivo que contiene las zonas:
nano named.conf

Y   en   este   añadiremos   las   siguientes   lineas,   con   las   cuales 

configuraremos las zonas directas e inversa para nuestros dos clientes, 
galileo y voyager:
zone "voyager.star" {
        type master;
        file "/etc/bind/voyager";
};

zone "galileo.lab" {
        type master;
        file "/etc/bind/galileo";
};
zone "10.168.192.in­addr.arpa" {
        type master;
        file "/etc/bind/inversa";

Las   zonas   creadas   corresponden   a   las   tres   paginas   que   el   servidor 

deberá   manejar,   para   esto   debemos   crear   dos   zonas   directas   y   una 
inversa, debido a que las paginas se encuentran alojadas en un mismo 
rango de red.

Ahora veremos los archivos de configuración de las zonas:

galileo.lab

voyager.star
zona inversa inversa
Una vez hecho esto reiniciamos el servicio con el comando:

service bind9 restart

Ahora solo debemos poner nuestra maquina para que sea ella quien 
funcione como nuestro propio DNS así que modificamos el archivo 
¨/etc/resolv.conf¨   ponemos   como   servidor   de   nombres   nuestras 
direcciones IP.

Y podemos probar con el comando:
host [nombre del host o direccion IP]
dig [nombre del host]
Ahora pasamos a configurar un servidor WEB Apache este contará 
con hosting virtual y alojará 4 paginas:

Partiremos en el directorio que contiene los archivos de configuración 
del Apache:
/etc/apache2

Dentro de este encontraremos varios archivos verificares que exista la 
linea AccessFileName ya que es este el que proveerá las pautas para 
establecer   las   condiciones   de   acceso   restringido   mediante   usuarios 
mediante los archivos .htaccess

nano apache2.conf
El .htaccess es solo un nombre genérico que el servidor Apache toma 
como un archivo mas de su configuración, en caso de no estar o de 
estar pero no tener ninguna linea el servidor ignorará el archivo, pero 
si tiene lineas de configuración el servidor leerá estas y definirá las 
diferentes   opciones,   este   archivo   deberá   de   estar   en   la   carpeta   que 
contiene   el   index   de   la   pagina   a   la   cual   le   habilitaremos   la 
autenticación mediante a usuarios.

Veremos ahora el contenido de este archivo y la forma como añadimos 
usuarios al archivo que contiene a estos:

Como podemos ver en la imagen el archivo que contiene los usuarios 
es /etc/apache2/passwd en la linea AuthUserFile, así que crearemos 
este archivo,  puede  tener el nombre que nosotros queramos y estar 
donde mejor nos parezca en mi caso lo cree en la carpeta del apache 
para no apartarlo de los demás archivos.
Como somos quien crea el archivo este deberá estar en blanco, pero 
como ya he habilitado varios usuarios el mio se encuentra con estos, la 
contraseña se muestra encriptada.

La forma de añadir usuarios al archivo es la siguiente:

htpasswd  /etc/apache2/passwd  [usuario] 
Luego para este pedirá una contraseñe y se respectiva confirmación.

Y el documento que contiene los usuarios debería ser algo así:

Ahora   como   ya   tengo   los   index   de   mis   paginas   en   los   respectivos 

directorios donde serán alojadas, debemos ir al directorio de apache 
desde donde habilitaremos dichas paginas, este directorio es el ¨sites­
available¨ dentro del directorio de Apache.

Del archivo que se encuentra allí, llamado default copiaremos los 4 
archivos que nosotros necesitamos para nuestras cuatro paginas, y una 
vez hecho esto cuando listamos el contenido del directorio veremos 
algo así:

En este caso se crearon cuatro sitios llamados:

– galileopub: Sera la pagina de acceso publico del cliente 1.
 – galileousuario:   Corresponde   a   la   pagina   protegida   mediante 
autenticación de usuarios, perteneciente al cliente 1.

– voyagerpub: sera la pagina de acceso publico del cliente 2.

– voyagerusuario: esta es la pagina protegida mediante restricción 
de dirección IP, pertenece al cliente 2.

en estos archivos encontraremos la configuración de los las paginas 
que serán habilitadas en el servidor.

Una vez modificado nos queda un archivo como este:

Explicare las lineas que he agregado o modificado:

Esta linea establece el nombre del servidor, como no se encuentra en 
el archivo debemos añadirla:
ServerName www.galileo.lab
Esta linea establece el directorio donde se encuentra el index de la 
pagina respectiva:        
DocumentRoot /home/galileo/galileo/publico

Este bloque establece los permisos y muestra el nombre del index de la 
pagina,   la   linea   ¨Order¨   da   el   orden   sobre   el   cual   se   verifican   los 
permisos sobre el index, ¨DirectoryIndex¨ es el archivo index de la 
pagina, ¨allow¨ establece a quien se dan los permisos.

<Directory /home/galileo/galileo/publico>
                 Options Indexes FollowSymLinks MultiViews
                 AllowOverride None
                 DirectoryIndex galileopublic.html
                 Order allow,deny
                 allow from all
         </Directory>

El siguiente archivo a la pagina que solo permitirá que se conecten a 
ella ciertas direcciones IP, noten las lineas que cambian con respecto a 
el bloque anterior que corresponde a una pagina de acceso publico:
<Directory /home/vsftpd/voyager/usuarios>
                 Options Indexes FollowSymLinks MultiViews
                 AllowOverride None
                 DirectoryIndex voyageruser.html
                 Order deny,allow
                 deny from all
                 allow from 192.168.10.4
          </Directory>

En este la linea ¨Order¨ cambia su estado y primero verifica los que 
deniega y luego los que permite, se agrega una nueva linea ¨deny¨ que 
en este caso deniega a todos (from all), y luego se permite solo la 
direccion IP 192.168.10.4, pero esto solo lo haremos para la pagina 
conf.voyager.star

Lo   siguiente   seria   añadir   las   paginas   al   apache   con   el   siguiente 

comando, debemos estar parados en el directorio /etc/apache2/sites­
available o darle la ruta completa por comodidad:
 a2enside /etc/apache2/sites­available/galileousuario
a2enside /etc/apache2/sites­available/galileopublico
a2enside /etc/apache2/sites­available/voyagerusuario
a2enside /etc/apache2/sites­available/voyagerpublico

Posteriormente reiniciamos el servicio:
service apache2 restart

Y probaremos todas nuestras configuraciones, como son las paginas 
con acceso restringido mediante IP y mediante UserID. 

Cliente 1:
–  www.galileo.lab  

Por autenticacion de usuario:
– sec.galileo.lab

Luego de ingresar el UserID y la contraseña obtendríamos:
Cliente2:

–  www.voyager.star 

Por restricción mediante IP:
– conf.voyager.star

Cuando intentamos ingresar desde una direccion IP no autorizada nos 
responderá con un error:

Pero si lo hacemos desde una dirección que esta permitida no habrá 
inconveniente alguno:

Ya  que contaremos con  un servicio de SSH para el  mantenimiento 

remoto de nuestro servidor, entonces nos dispondremos a configurar 
este:

nano /etc/ssh/sshd_config 
Como   podemos   ver   en   la   imagen   el   bloque   de   autenticación   tiene 
cuatro lineas, de las cuales he agregado una y modificado otra:

PermitRootLogin   no:   este   parámetro   permite   o   deniega   la  

autenticación del usuario root mediante ssh, por defecto esta en 
¨yes¨, lo he cambiado a ¨no¨.

AllowUsers:   esta   linea   define   los   usuarios   que   se   podrán  

registran mediante ssh, podemos especificar los usuarios que  
queramos, solo agraegrla de la siguiente manera

AllowUsers johan

Ahora daremos una vuelta por la configuración de las subinterfaces de 
red, las cuales hemos planeado desde el principio.

nano /etc/network/interfaces
Todas se encuentran dentro del mismo rango de red, ya que esperamos 
que todas apliquen para un solo gateway.

Terminado   esto   hemos   cumplido  con   los   requerimientos  planteados 

para la actividad.
 CONCLUSIONES

1. En este documento se mostró una manera rápida de configurar 
los   diferentes   servicios,   queda   claro   que   cuando   queremos 
debemos modificar los archivos debemos estar pendientes para 
identificar nuestros diferentes errores.
2. Es conveniente contar con la suficiente documentación para la 
ejecución de dichos procesos.
3. Como   requisito   para   el   montaje   y   administración   de   estos 
servicios es el conocimiento básico de sistemas operativos bajo 
Linux.
4. Para la solución de problemas planteados como este proyecto es 
siempre   importante   la   seguridad   y   simplicidad,   teniendo   en 
cuenta   que   siempre   hay   múltiples   soluciones   para   un   mismo 
caso.