O'REILLY“ Administraci6n de sistemas Linux De todos fos sistemas Unix, Linux es una plataforma servidora excelente, un buen sistema de eseritrio y el centro en torno al cual gita una gran pane de la | omovaciin del mundo infsmatco actual. Lime es probable el que mis imbitos abarca de todos los sistemas operativos, desde si un movil hasta chisteres de computadores mis grandes qué n los campos de las telecomunicaciones, sistemas embebidos, satélites, equipamiente sistemas militares y grificos por computador e informatica de escritono. NAT ADMINISTRACION DE SISTEMAS Administracion de sistemas Linu oftece mamerosos consejos para gestionae un ampio tango de sistemas y servidores, Este libro resume los pasos para implantar desde hulbs SOHO, servidores web y seevidores LAN, hasta clisteres de carga balanceada y serves virtates También le ayudars a conocer las hesramientas necesaris para administrar y mantener de bao, forma eflcaz estos entomos de Con este ibro aprenderd a ‘+ Instalar,configurar, mantener y resolver problemas en un servidor usando BIND, + Configurar un servidor de correo Postfix con autentificacisn SASt, un servidor POP y ua Servidor IMAP, = Gestionar usuarios y cl para pasarclas en redes de ‘elementos de red comunes, tales como DCHO y software 12a local (LAN), * Definir Xen, VMware en un equipo Linux y luego afd sist ‘operativos invitados, ‘+ Instalar y configurar Apache, PHP y MySQL en ua servidor web desde + Hacer copias de seguridad y restaurar datos com syne, tay decor, Amanda y heeramientas MySQL ‘Tom Adelstein comenzs su sn el mundo de las inv lideres de su sector. Ahomi es adminis 126 desarvollando ra Unix en la décadls de 1970, incerfaces ce la déeada de 1980 y para WX), Actualmente le visualizacién Web para una compania de energia e6lica Bill Lubanovie sgrifieas de Web en la década de 2027258 seem OPRRILE YY Dhue 2 Pi tabimondeR160. 315 Administracion de sistemas Linux Tom Adelstein Bill’ Lubanovic ANNAN‘orl los nombres propios de programas, sistemas operativs, equlpos harchare, etc, que aparecen en ese lio saa marcas reyisradas de sus respectvas ‘compaias u organizaciones Resenados tors lon derechos. E contenido de eva len ets protepida po ay, ce ‘etublnce pened prom yous, aes tetas comespondentesindermieciones por tafosy peices paraqulenesrepodueren, Hagen, dtibyeren comrieases publ ‘amen, esto oenpare,unaobraliesars Sitistiea © cunliea, os Warsormacion, inverpretseign eecucin atsics Hada en usin pn de soporte © comunieada 3 tuves de cualquier edi in a precept Copyright © 2007 by OReilly Metin [thorized translation from the Engish language edition published by O'Relly Mea, le All eghtscoserved © EDICIONES ANAYA MULTIMEDIA (GRUPO ANAYA, S.A, 2007, Juan Ignacio Luca de Tena, 15. 28027 Madi Depésito legal: M-31.807-2007 ISBN: 978.84.415.2254-3 Printed in Spain, Iimprime: Artes Grificas Guemo, $1. Febrero, 32, 28022 Madd Agradecimientos Este libro no existiria sin la contribucién de muchas personas, Aunque es im- posible incluirlas aquta todas. En primer lugar, queremos dar las gracias a Andy Oram cuyos esfuerzos de edicion, redaccidn y gestion son destacables. Aparte de su trahajo como editor, Andy ha contribuido materialmente al contenido de este libro. Andy ha gjercido como gestor del proyecto y ha demostrada paciencia y dliseiplina. Tampoco podemos olvidar las contribuiciones de Falko Timme, Phil Howard y Herschel Cohen. Falki nos ha prestado su tiempo y experiencia en los capitulos 2 y 4. Phil ha escrito gran parte del capitulo 11 y nos ha proporcionado el framework Uel capitulo 10 y el apéndice de los seripts. Herschel ha escrito varias secciones de ‘capitulo, entre los que estén el capitulo 8 y 10, y ha contribuido con su expe- riencia en el capitulo 6. Los tres, ademas, han revisado otras partes del libro. Muchas gracias también a les expertos téenicos, que han pasaclo innumera- bles horas revisando, probando y haciendo sugerencias sobre el trabajo: Markus Amersdorfer, Keith Burgess, Robert Day, Ammar Ibrahim, and Yaman Saqqa. ‘Yum agradedimiento especial a Yvonne Adelstein y Mary Lubanovic, nuestras esposas, que han demostrado una gran paciencia. No habriamos podido realizar este trabajo sin su apoyo, Sobre los autores ‘Tom Adelstein comenz6 su carrera en el mundo de as inversiones bancarias, donde sus conocimientos técnicos avudaron a algunas empresas de servicios f hancieros a convertirse en lideres de su sector. Ahora es administrador de siste- mas y eseritor Léenico. Bill Lubanovie comenz6 desarrollando software para Unix en la década de 1970, interfaces gréficas de usuario en la década de 1980 y para la Web en la década de 1990. Ahora lrabaja en el évea de visualizacién Web para una compa- fia de energia edlicaContenido Agradecimientos Sobre los autores IntroduccbM wcsnnsnns Como se organiza et libro. 16 Convenciones usadas en este libro " Capitulo 1. Requisitos para un administrador de sistemas Linux 9 Sobre este libro 20 2Cémo podemos ayudarle? a4 Wor dénde empezar? 24 eNecesita un libro? a Quin le necesita? 2 Ayuda demandada 23 Analizando Jos conjuntos de habilidades er ‘Qué deberfan saber los gestores de sistemas sobre Linux a5 {Qué es lo préximo? 26Contenido Capitulo 2. Configurando un servidor Linux multifuncién Requisitos del servidor. nstalando Debian Aulentificdndose remotamente Configurando la red Cambiando los paquetes por defecto de Debian COfrecienlo servicios de nombre de dominio Affadiendo una hase de datos relacional: MySQL Configurando el correo de manera segura con Postfix, POPS ¢ IMAP Haciendo funcionar Apache Afiadiendo servicios FTP con ProFTPD. Recopilanda las cstadisticas Web con Webslizer Sincronizando el reloj del sistema. Instalanda los diferentes méxhulos Perl requerides por SpamAssassin Qué es lo proximo Capitulo 3. El sistema de nombres de dominio “Aspectos basicos de DNS. ‘Ventajas de la administracién localizada de DNS Introduccion a BIND Componentes de BIND Configurando un servidor DNS. Usando un entorno chroot seguro Configurando un servidor DNS autoritativo Su responsabilidad en DNS El método distribusido para resolver nombres de dominio Encontrando un dominio. Responsliendo consultas. Servidores DNS primarios y secundarios Servilores de solo caché Faditando los archivos de configuracion. amed.cont B] archivo de zona primaria. Majoras y caracteristieas avanzadas El archivo de zona inversa Basquedas de prueba Configurando el servidor de nombres secundaria Herramientas BIND. rslookup, made Resolucidn de problemas en BIND [No se puede coneetar usando rd shamed se inieia pero no resuelve nombres [No se reconocen los equips Que es lo proxime Capitulo 4. Un entorno inicial listo para Internet Instalando ISPConfig Requisitos Comenzendo Estructura de directorios de {SPConfig Configurando un servidor y usuarios con ISPConfig Afuadienda clientes y sitios Web Gestionando usuarios y correo electronico Directorios publicos, de usuario y de inicio Configuraci6n del cliente de correo electronic Salvaguardando um servidor Web Linux. El papel de demonio monitorizador de demonios + Instalando y configurando monit Qué ¢s lo préximo itulo 5. Correo Aspectos claves del servi io de correo Postfix, Sendmail y otros MTA. El servidor SMTP de correo Postfix en Debian Paquetes de Debian relacionados con Postfix, Instalando Postfix en Debian Configuracién bsica de Postfix Probando el correo a4 86 88 89 89 1 92 92 94 95 98 101 102 103 104 an 412, 11, 19 133 123 14 15 126 130 131 132 132 134 135 136 138 at10 Contenido Aftadiendo autentifieacién y encripiacion, Autentificacién SASL. Configurando Postfix con SASL para autentificar ‘usuaring con cuentas El demonio sastauthd Configurando Postfix con SASL. para autentifiear usuarios sin cuentas Encriptacién TLS Configurando los agentes de entrega de correo POPS e IMAP Configuracion del cliente de correo. Qué ¢¢ o proximo, Capitulo 6. Administrando Apache Archivos estéticos y dinamicos Instalacin baisca de LAMP Instalaciée. Apache PHP MysaL. Archivos de configuracion de Ap: Ditectivas Directivas de usuarios y grupos Directiva Listen. Directiva DocumentRoot Autentificacién y autorizacion Archivos de usuario Archivos de grupo Contenedores y alias Rutas absolutas: Directorio. Rutas relativas: Ubicacion, Reconacimiento de patrones: Archivos y Comparacién de archivos Alias Limites ‘Tecnologia de servidor he de archivos de configuracion 142. 14, 143. 145 46 “7 150 152. 153 135 136 157 157 138 159 160) 162 164 164 16 164 165 167 167 167 168 168 168 169 169 Contenido u car im Location a2 Sulijo del archivo 1m Direetivas espetficas del modulo PHP rey Hosts Virtuales 1a Hosts virtuates hasados en IP va Tostsvietuales hasades en nombres va mod vhost alias 175 Archivos tog 176 Divisiin y rotacién de logs 176 Dividiendo los logs con viogger 7 ‘Analizandho logs con Webalizer 178 Enoriptaciin SSL/TLS 178 Soporte para suEXEC: 180 Rendimiento 180 Instalando y administrando Drupal 182 Instalando Drupal eon apt-get 182 Instalando Drupal desde ls fuentes 184 Configurande Drupal 135 Resolucidn de problemas 186 La pagina Web no aparece en el navegador 186 Los Hosts Virtuales no funcionan 189 851 no funciona 189 {Un programa CGt no se gecuta 190 © Sino funciona 190 Capitulo 7. Clusters de carga balancead usin 194 Balanceo de earga y alta disponibiisiad 192 Software para balanceo de carga 192 1PVS en el halanceador de eanga 193, laivectord 194 Configurando los servidores reales (Noss Apache) 195 Configurando el balanceador de carga 196 Probandbo el sistema. 197 ‘Afiadiendo HA a LB - 199Contenido 13 Afhadiendo otros servicios LB 200 Instalando VMware 246 Escalabidad sin LB y HA 200 Instalando sistemas operativos invitados en VMware 250 ‘Otras lecturas 201 Virtualizacién, {una moda pasajera? 252 Capitulo 10. Scripting Comenzando con bash Rutas y permisos La rata por defecto Redireccion de E/S Capitulo 8. Servicios de red de area local . Sistemas de archivos distribuides Introdueeidn a Samba Configurando la rea DHCP Variables lnstalando DHCP Blementos tities para bash Sexipts Iniciando el servicio DHCP Expresiones COfreciendo dicecciones IP estticas Aritmtica Asignando direeciones IPvé con radvd * Servicios de pasarcla Depuranda un script sencilla El papel de una DMZ Bucles Ora aproximacién alos servicios de pasarela Tareas cton Servicios de impresin Problemas con los lenguajes de script 272 Impresin en plataforma eruzada ersiones de seript 274 __Controando as clas de impresion dese a iene omaraos H bash script 275 Gestién de usuarios HL script Per 276 liminando a un usuario Bl script PHD 279 Sella ct dsstori personal EL script Python 280 Gestores grficos de usuarios Escogiendo un lenguaje de script 281 ‘otras letras: 282 Capitulo 9. Virlualizacion en la empresa Moderna wnnmnnsnnnn Capitulo 11. Haciendo copia de seguridad de fos datos Por qué la vietuatizacion ¢s tan popular Computacién de alto rendimiente Salvaguardando los datos de usuario en un servider con rsyne 284 Continuidad comercial y gestion de la carga de trabajo Aspectos basieos de rsync 204 Abastecimiento rapido Haciendo un script para copias de seguridad de usuario 286 Cémo ayuda la virtualizacién Listando archivos en el servidor de copias de seguridad 287 Instalando Xen en Fedora 5 Restaurando archivos perdidos o dahados 288 Instalando sistemas operatives invitados en Xen Copias de seguridad automatizadas 289 Fedora Core 5 Archivos tar 289 (tres invitades. Creando un nuevo archive 2vt“u Contenido Extrayendo datos de un archivo Un gjemplo completo de compresiéin y descompresign con tar Resumen Guardando archivos en medios épticos. ‘Aceediende a su unisdad CD-R ‘Opciones por defecto. Preparando los archivos para grabar un CD-R Grabando el CD-R Verificando el grabado Copias de seguridad en DVD. Haciendo copias de seguridad y guardandolas en una cinta con Amanda’ lnstalando Amanda Configurando Amanda Restatirando archivos replicadas con Amanda Replicando datos MySQL. Apéndice. Bash scripts de ejemplo sean Afiadiendo usuarios Generador de contrasefias aleatorias. Basqueda del DNS autoritativo Enviando archivos entre sesiones shell Integrande ssh y sereee indice alfabético 291 292 294 294 295 296 297 298 299 300 300 301 302 304 304 309 310 31a 313 520 327 Introduccién Cuando Bill Lobanovie y yo estabamos dando Tos retoques finales a este libro, ceseuché, sin quererlo, uma conversacion entre dos compaiieros de trabajo en nues- tro laboratorio Cisco acerca de Limux. Uno de los das era experto en redes y hacia tuna puntualizacién muy interesante, Decfa que a pesar de todos sus conoci- iientos, se sentia un profesional incompetente porque nunca habia aprendido Linux. Un poco después, el otro hombre se giré y me miré, Sonref y continué trabajando. Por la noche, nuestro director de Teenologias de la Informacién me hizo un, comentario improvisado y nada usual durante una conferencia. Me dijo que queria, aprender Apache, y cuando le pregunté por qué, me respondio: "Simplemente quiero aprender", y la cosa qued abt Después en la conferencia, nuestro director pidié al grupo una solucion para la ggstion de parches, explicando y haciendo uso de xsyne como ejemplo. Dijo {que queria algo similar, mientras entraba en detalles acerca de una herramienta para la gestion de parches de manera incremental y acumulativa En ambos casos, y en muchos otros, deseé tener este libro acabado para reco- mendarselo a toda esa gente que aunque poseia experiencia y habilidades, queria, aprender a administrar Linux. Quizas usted tenga experiencias similares y Ie hhubiese gustado tener un libro coma este a mano en aquellos momentos, Sospe- cho que conversaciones parecidas a las que acabo de contar ocurren muy @.me~ rnudo en muchos lugares, incluso diariamente, Cuando Andy Oram y yo comenzamos a debatir acerea de un libro para la administraci6n de sistemas Linux, tenfamos una idea ligeramente diferente de 10 ‘que queriamos hacer. Andy hablaba de un libro en el que cada capitulo mostrar a los usuarios los pasos para construir y desplegar servidores sin entrar en deta-tes, £1 proponia debatir primero accrca de los capitulos y luego acerca de Tos pasos técnicos. Después, yo propuse que hiciéramos de cada capitulo un médulo y asi permi- tiral lector completar los modulos que quisiera o que necesitase. A medida que el libro evolucionaba, sentiamos que se estaba cumpliendo este objetivo. No es nece- sario que lea este Iibro de principio a fin para convertirse en un administrador de sistemas Linux, Simplemente, comience por donde le interes. Cuando yo empecé a manejar Linux, la comunidad estaba compuesta en su ‘mayor parte por programaclores y aficionados. No creo recordar ninguna lista de discusion que se centraré en aplicaciones comerciales 0 de escritorio. Accediamos a Internet mediante un demonio de inicio. No teniamos conexiones ni navegadores ‘Web como los que estan disponibles hoy en dia, La gran mayoria de la gente que yo conocia o eran administradores de su propio sistema o estaban aprendiendo. Me estoy refiriendo a una época en Ia que Jos usuarios de Linux eran unos 30.000 en todlo el planeta, todavia me sorpreado con la cantidad de gente que usa Linux a dia de hoy sin tener la menor idea de ccémo escribir un archivo de configuracién. Los foros de Linnx se Henan de perso- nas que preguntan qué tienen que hacer para conseguir que CUPS o Samba fun- En las listas de correo, la gente mantiene debates acerca de detalles técnicos de proyectos como Fostfix, JBoss y Monit. Muchas personas atin sienten curiosidad Por aprender las grandes posibilidades de Linux como plataforma de aplicaciones. Si usted ya usa Linux a nivel de usuario, y quiere ir un paso mas alld, es decir, quiere convertirse en administrador, este libro le ayudaré en la transicién, puesto que hemos escrito este libro pensando en usted, ‘Cémo se organiza el libro + Capitulo 1. Requisitos para un administrador de sistemas Linux: Repasa los objetivos del libro y qué se conseguira al leer, + Capitulo 2. Configurando un servidor Linux multifuncién: Le inicia «en et mangjo de servidores sencillos para Internet. + Capitulo 3. EI sistema de nombres de dominio: Muestra los aspectos baisicos para configurar servidores DNS primarios y secundarios. + Capitulo 4. Un entorno inicial listo para Internet: Usa el software de configuracion ISPConfig para introducirle en un conjunto de servicios con los que posta practicar mientras lee el resto de libro. + Capitulo 5. Correo: Configura un servidor de correo Postfix con autenti- ficacién SASL, um servidor POP y un servidor IMAP. Introducci6n v7 + Capitulo 6. Administrando Apache: Proporciona una vision répida de la popular combinacién Apache, MySQl. y PHP (a la que junto con Linux se le llama servidor LAMP), incluyendo autentificacion SSL. + Capitulos 7. Clusters de carga balanceada: Extiende el capitulo previo dle configuracin de Apache con el servidor de IP Virtual v Wirectord para bfrecer gran eapacidad. + Capitulo 8, Servicios de red de drea local: Muestra como gestionar usuatios y configurar elementos de red comunes, tales como DCHO y sof- ‘ware para pasarelas en redes de érea local (LAN). + Capitulo 9, Virtualizacion de la empresa moderna: Muestra como de~ finir Xen, VMware en un equipo Linux y luego afiadir sistemas operativos, invitados, + Capitulo 10. Scripting: Mucstra algunas téenicas bésicas para eseribir script potentes y robustos que pueden aborrar mucho tiempo de adminis- tracién, + Capitulo 11, Haciendo copia de seguridad de los datos: Presenta un amplio rango de técnicas para realizar esta funcidn crucial, desde el rsync basico y el tar hasta el potente sistema Amanda. + Apendice. Bash scripts de ejemplo: Contiene unos cuantos shell seripts {que nos han sido tiles para administrar sistemas y también proporciona, consejos a tener en cuenta a Ja hora de escribir tus propios scripts. Convenciones usadas en este libro Para ayudarle a sacar el mayor partido al texto y saber dénde se encuentra en. cada momento, alo largo del libro utilizamos distintas convenciones: +" Las combinaciones de teclas se muestran en negrita, por ejemplo Con~ trol-A. Los botones de las distintas aplicaciones tambien se muestran cn, negrita + Los nombres de archivo, URL y cédigo incluido en texto se muestran en tun tipo de letra nonoespacial. + Los mentis, subments, opciones, cuadros de didlogo y demas elementos de la interfaz de las aplicaciones se muestran en un tipo de letra Arial ‘Nota: En estos cuadros se inclye informacion importante directamente relaeonada con el texto adjunto. Los trucos, sugerencias y comentarios afines relacionados cone] tema analizado se eproduen em este formato.Capitulo 1 Requisitos para un administrador de sistemas Linux [Nos gusta Linux. De todos los sistemas Unix y parecidos a Unix que hemos ‘usado, muchos abora olvidados, Linux ¢s nuestro Iavorito. Es una plataforma servidora excelente, un buen sistema de escritorio y el centro en torno al cual gira mucho de la innovacion de] mundo informético actual, Linux es probablemente el que mas aspeotos abarea de todos los sistemas ‘operatives, desde sistemas pequeos como un telefono mévil hasta chisteres de computadores més grandes que un edificio. Esta presente en los campos de las. telecomunicaciones, sistemas embebidos, satélites, equipamiento médico, siste- ‘mas militares y graficos por computador, y por ultimo, pero no por ello menos importante, informatica de escritorio. En un petiodo de tiempo relativamente corto, Linux ha pasado de ser el pasa~ tiempo de un hacker finlandés a:un sistema avanzado de nivel empresarial res paldado por gigantes como IBM y Oracle. La base de usuarios ha erecido Considerablemente desde las 30,000 personas que habia en 1995 hasta los cien= tos de millones que hay a dia de hoy. Durante el boom de Internet en la década de 1990, muchos administradores de Unix se sorprendieron gratamente al descu- brit que un Linux sobre un PC podia hacer las mismas tareas que carisimas esta~ cones y servidores UNIN. Muchos administradores de Windows y de Novell vieron, ‘que Linux podia mangjar DNS, correo electronico y servicios de archivos mas clicientemente y con menos soporte humano que sus diferentes plataformas. El ‘crecimiento de Internet, y especialmente la Web, sirvié de combustible para la rripida expansién del uso de los servidores Linux y la necesidad de personal para sgestionarlos. Este libro es para aciministradores de sistemas Linux. No obstante, puede que sea un veterano de Unix, ua bravo MCSE 0 un estoico administrador de20 Requisitos para un administrador de sistemas Linux mainframes. Pero esté explorando un nuevo territorio y necesita mapa y com- ps. Algunos aspectos le sonaran familiares, pero otros serdin una tierra sin ex- plorar. Este libro cubre muchos temas que se acaban de afiadir a la tendencia ‘actual, por ejemplo los elisteres de carga balanceacla y la virtualizacion, El éxito de Internet y del software de eédigo abierto esta cambiando los nego- ios. Google, Amazon, eBay y otros han levantado granjas de servidores con hardware mangjable y relativamente pocos administradorcs en comparacién con las instalaciones de PC y mainframes tradicionales, Los conocimientos necesarios para desarrollar y mantener tales sistemas dis- tribuidos y las aplicaciones no se ensefian en los colegios, sino que se aprenden de la experiencia, unas veces mas amarga y otras mas dulce, Nota; Mientras escribiamos este libro hemos estado de forma constante probando las tltimas distripuciones y herramientas, y mantendremos nuestros experimtentos hasta después de quie el libro esté lerminado, Invitamos a los leclores a que visite el sitio We que heraos levantado por el libro, neep://uwe-cenezalsoft. org, donde publicaremos acttte- lizaciones de los elemples, enlaces a nuevas y iiles herramientas que vayamos descubrienda y otros consejos. Sobre este libro Los libros de administracion de sistemas sueten ser facilmente predecibles. Ensefian como gestionar usuarios, sistemas de archivos, dispositivos, procesos, impresoras, redes, etc. Pero no indican qué tine que hacer cuando surge tn pro- blema, Sisu sitio Web se convierte en popular, tendré que aprender rapidamente a usar servidores proxy, diferentes niveles de caché, balanceado de carga, auten- tificacién distribuida y otros detalles complejos. Si ahade tna base de datos, ne~ cesitard saber como ampliarla y aprender a evitar los ataques de inyeccisn SQL, Dela noche a la maiiana, el sitio se ha convertido en una mision critica, y deberd ser capaz de hacer copias calientes en sistemas 24 x 7. Siya ha realizado muchos simulacros de incendios, estara cansado de hacerlo todo de la manera més dificil, pero tendra que hacer frente a nticvos retos téeni- cos pricticamente a diario y con la ayuda de muy pocas fuentes de ayuda La documentacién técnica, ya sea de software comercial o software libre, rara vez tiene que ver con fa tecnologia, y sucle pecar de sex demasiado abstracta, Por sjemplo, los servidores de directorios de e6digo abierto se han convertido en alge importante para gestionar ondenadores, usuarios y recursos. Los productos co- merciales suelen cumplir los protocolos del RFC original, pero la buena docu :mentacidn para proyectos abiertos es sorprendentemente escasa Requisitos para un administrador de sistemas Linu a 4Cémo podemos ayudarle? tas personas que trabajan en Linux resusven problemas Un usuario meio de Linus puede evantar un peguet servo, obtener un eonexon con una TP sté- tia en su case registrar unnhombre de domino poner en marcha el servior en Internet Stes eos que estan en esta calgon, puede er fos ots temas dl iro } amp sus posilates profesional A aligns, tod eto es peer como eal una mentafia de 10.000 metres, Sino es in de ellos, eomtence po cua quer parte Como deel refran, comme al lta de una Vey Ineo sara ‘is tenga cetifeaciones de otros stems operatives dstntes@ Linx ‘una ya sabe apicar paves eorregirfallos, aga aprenders a desplegar el Servidor Apache &tmanear su propio DNS ow cambiar Exchange por Zimbra. 5i solo quiere aprender o tiene la obligacion de aprender, necesita ayuda seal Ta curva de uprendizae de Linux, Para eso es exactamente pata 10 poral sistema Lina sn ene Ge Pst POF pa que estamos: para ayudarle a cexperiencias traumaticas. sPor dénde empezar? Este libro resume los pasos que tiene que seguir para desplegar srvidores autonome si nei evant un svi de gone cea un ze Gon capacidad para bogs oeonfigurarunapasaela pata su LAN, pul drigiese fad live, No ene que ler "Administra de ssernas anu” dese el Princip hast fina ‘Comenzaremos explicanto, paso por paso, Ia manera levantar un servidor mux en el capitulo siguiente, Puede clgir el camino que Ie convenga, desde {rear un huster para servicios Web o reforzar los servidores geatias @ la Virtealizaion, hasta configurar un seridor para una red de dea local acer funcionar n sistema operativo modern es muy barato. Poede confi juror un sofistcado centro de aprendzale sobre hardware queen mchos sitios Eonsideranubsoletoy To regan, Nosotros comenzamos com una caja que conte tna una CPU de tel ds generaciones ms antigua que los modelos actuals le prsimos una version antiguadedacos duro y memoria, una version sin extras praia de Linu iNecesita un libro? Los libros téenicos han adquirido popularidad a medida que Internet ha ma- durado. Para conseguir un libre de éxito hoy en dia, el autor tiene que proporcio-2 Requisitos para un administrador de sistemas Linux. nar im valor afiadido al lector. Una historia interesante sobre uno de los prime= 10s sitios de comercio electronico ayuda a explicar qué deberia ofeecer un libro. Una compania que fabricaba tartas de queso puso un anuncio en los primeros dias de la Web. Segxin la historia, pasaron varios meses sin que la compania reabiera un pedio. En un movimiento nada comin, el presidente de la compa- ‘ia publicé la receta secreta de la tarta de queso. Al cabo de unas horas, st linea de telétono estaba colapsada. La gente empez6 a pedir muchos pasteles de queso, Se dicron cuenta de que se necesitaba un esfuerzo considerable para hacer sus propios pasteles y por tanto vieron el valor de compratselos a la compatta, Muchos de los ingredientes de este libro han sido reeopilados de Internet, de listas de correos, foros, grupos de discusién, mientras quie otros han side extrai- dos de libros, revistas y la experiencia de amigos. Nosotros solucionamos mu- chos problemas cuyas soluciones estaban completamente indocumentadas antes de aparecer este libro, y abora se las ofrecemos. Muchos proyectos excelentes tienen una documentacién inadecuada, Los dcsarrolladores han (rabajado mucho para ofrecer un excelente software libre, perono una documentacion adecuada para el cligo por varias razones: falta de tiempo, falta de recursos, falta de interés, la barrera del lenguiaje, etc. Junto con nuestros lectores, editores y revisores, esperamos que esta tenden- cia disminuya, al menos en.esta pequefia parcela del mundo de la informatica, iQuién le necesita? Hace unos cuantos aftos, la mayoria de los aclministradores de sistemas Linux. decian que ellos no habta escogido esta carrera, sino que Linux les habia escogido aeellos. En aquellos tiempos, Linux era como un Unix adolescente. La mayoria de Jos administradores de sistemas Linux aprendian el funcionamiento en una esta- cin de trabajo y en pequefias redes. Linux hered6 algunos servidores de Unix (BIND, Sendmail, Apache}, pero también software de oficina y algunas aplicacio- nies, Hoy en dia, la administraci6n de sistemas Linux involuera a miles de paquue- tes ¥ la interoperabilidad con otros sistemas operatives. ZQuién necesita administradores Linux? El eentro para ciencias de la compu tacidn de la NASA (NCSS) y el Centro para vuelos espaciales Goddard. Los clisteres para computacion de alto rendimiento hasados en Linux se disefian para mejorar el tiempo de respuesta de aplicaciones, que van desde el estudio del tiempo y del cambio climatico hasta la simulacion de fenomenos astrofisicos, Linus permite a laarquitectura de la NCSS soportar hasta 4 billones de operaciones en coma flo {ante por segundo (TFLOPS) en su configuracién de alto rendimiento, Linux es el sistema operative que mas supercomputadores hace funcionar en el mundo. De hecho, a dia de hoy da soporte a un 73 por 100 de los 500 supercomputadores 23 Recqisitos para un administrador de sistem: tue hay en el planeta, Seguin el Lawrence Livermore National Laboratory de tivermore (California, Linux se gjecuta tn 10 de as sistemas ms robusto, todos inuidos entre la ist dos 300 tre eaos sistemas ence el BlueGene” er aupercomputador ms potente, yl Thunder, que actalmente ecupa el puesto diecineve fattps/ am. cops0d -org/1iet/2006/12/300) Ayuda demandada trenarytutorizat as adiinistrdores novels Centros de Ordenes.24 Requisitos para un administrador de sistemas Linux Linux es ahora una plataforma esténdar y ef talento ne abunda. Si quieres aprender Linux podras mejorar tu salario, como ast lo evidencia la creciente de- ‘manda de trabajadores con conocimientos de administracién Lint. Analizando los conjuntos de habi lidades Pregunte a distintos gestores de sistemas de informacin sobre el papel que debe jugar el administrador del sistema y obtendlea una gran variedad de res~ puestas. El mercado se ha visto sorprendide por el hecho de que la mayorta de estos gestores carecen de conocimientos acerca de Linux. Ellas no saben qué es 10 ue deberian saber los profesionates de Linux, y los profesionales de Linux, rara ver entiendden a estos gestores. Muchos gestores de sistemas de informacién que entienden Unix quieren adap- tar alos administradores de Linux a los estandares de Unix. Esto no stele Funcio~ nar. Aunque los administradores Unix crean que la migracion a Linux es tail, siempre sucten descubrir que no es asf. Los administradores Linux tienen menos problemas para adaptarse a Unix que al contrario. Una explicacion es que los administradores Linux tiene un conocimiento mucho mas amplio de sus siste- zmias, dehido a la naturaleza del software del e&digo abierto, las tareas de los administradores de sistemas muy a menudo involucran a Internet. La mayoria de las transacciones estén relacionadas con el correo y la gestion de sitios Web, ademas de las telecomunicaciones y la movilidad. El correo electrénico represenita el 70 por 100 de todo el trafico de Internet. Hoy en dia, las aplicaciones de banda ancha como la Voz sobre IP (VoIP) y otras formas de comt- nicacién, incluyendo la mensajeria instanténea, han incrementado el trafico en detrimento del corree electronico. Pero a pesar de los protocotos y las aplicacio- ‘hes multimedia, Internet sigue siendo el dominio principal de Linus Continuemos analizande las responsabilidades laborales descritas en la see- cién previa. La tiltima tarea ("Administrar servicios de infraestractura’) puede darle una idea det conjunto de habilidades necesarias en Linux. Las empresas quieren administradores de sistemas que puedan mancjar ‘infraestructuras de servicios’. Fijese en las tecnologias de Internet involucradas. De la lista de com- Ponentes Linux que es necesatrio saber, la mayorfa de las tareas involkieran DNS, LDAP, FTR SMTP y Postfix/Sendmail. Cubriremos la mayor parte de estos com ponentes en préximos capitulo Las otras descripciones de trabajos se ajustan mas ala categoria de necesida- des internas de la empresa. Entre ellas se incluyen el soporte para el discfio de servicios escalables, soporte téenico y consultor para el entomo del hardware y del sistema operativo. La mayoria de los administradores de sistemas Linux de- berian poscer habilidades para ofrecer estos servicios, pero éstos estan Fucran del alcanee de! libro porque no son de naturaleza téeniva, Requisitos para un adiministrador de sistemas Linux 25 El resto de las responsabilidades se encuadran dentro de la eategorfa de "habi~ lidades ligeras”. En el pasado, nadie esperaba que un administrador de sistemas aprendiera a funcionar come enlace con otros grupos internos de soporte come el de Desarrollo de Aplicaciones, Ingenieria, Administradores de Bases de datos © Servicios Web. Sin embargo, un administrador de sistemas no ¢s slo un teenico ‘con conacimientos de algunos sistemas mistcriosos, sino el miembro de un gru- po capaz de tomar decisiones. Uno normalmente consigue unas habilidades basicas y especializaciones des pués de estudiar los aspectos basicos. Quizas cubramos algunas de esas habilida~ des en este libro, pero creemas que ese no es el abjetivo. Otros libros de O'Reilly y cl tiempo le ayudaran a adguirit esas habilidades. For ahora, le introduciremos cen el area de la administracién de sistema, puesto que es la que mayor creci~ miento experimenta y donde no parecer exist uma adecuiada documentacién, AL contrario que en otras disciplinas de informatica y de ingenieria, pocos eentros ofrecen cursos de Administracién Linux, dejando incompletos ciertos programas dle grado, Por lo que si usted quiere aprender administracion de sistemas Linux, tiene que buscar materiales y cursos fuera de la universidad. Pero una gran parte /ete/nostnaas 4 Moin/hostnane -P /ote/hostoame34 Configurando un servidor Linux multfuncién [Necesitaré usar los mismos comandos independientemente de como configu- rara la red durante la instalacidn, sustituyendo su nombre de dominio por berverl.centraleoft .org, Luego, verifique que ha configurado su nombre de host correctamente ejecutando el comando hostname: op hostname -£ Slobtiene este resultado, esta listo para ira la siguiente seccién, De no ser asi, revise el archivo /etc/nostname, Deberla ser parecido a esto: ‘Oops. Deberia leer atentamente server? .centralsoft .org, Puede modifi- carlo ahora. Cambiando los paquetes por defecto de Debian Comenzamos con tos paquetes Debian que los desarrolladores colocan en su Aistribucion por defecto. Como indicamos anteriormente, necesitamos hacer al- sgunos cambios, sobre todo para hacer uso de Posftix. Aunque podria pensar que estamos relegando a un segundo plano el trabajo hecho por el equipo de Debian, este no es el eas, Et equipo Debian ha clegido instalar, por defecto, servicios apropiados para una LAN como el Networklile System (NFS). Pero nosotros estamos poniendo servidor en Internet, por lo que eliminaremos NES y otros servicios, mientras que abadiremos otros como Openssl, Para obtener todos los archivos necesarios para este capitulo, ejecute el si- _guiente comando: Verd a Debian descargar archivos en su consola. Luego, la descarga finalizaré ¥y vera un mensaje que le preguntara si desea eontinuar: © upgraded, 42 newly installed, 4 to renove and 0 not upgraded Yieod to gat 12.20 of arentves After unpacking 35.3MB of agaicional disk space vill be used Do you want t9 continue? (Ws) nu mulifuncidn 35 Pulsando Y completaré la instalacidn de los archivos adicionales. Luego, ha- ‘bra que eliminar los servicios que no vaya a usar. Ejecute el siguiente comando y vverd una salida como la siguiente: 4 ape Pepes pppcecont pep cppcontsc Reading Package ‘iscs--. bone Building Bopensency ‘ree... Bone Package poncin-en ie not eealled, go not renoved ‘Nie following packages Will be REMOVED) lpr nfa-comnon pidonta portnap PEP PRESORTIG pppDe ppoECont > wpytaded, 0 nevly installed, @ co remove and 0 not vparaded After wopaeking sash aiak epsce will be froed Do you vane to continue? (Yim (Roading datoiace -.. 22025 flea and dlvsctovies curvently inazalled.) Stopping printer epootar: Ipa enoving, portnap Scoping poremap dasnon: portnap. Renewing pepeontig We renore pe nte-comon portmap pident poncia-c \ Nota: Asegurese de revisar los comandes que introduzca, Sicomete un error, Debian le indicara que no puede encontrar el archivo en cuestin. En este ‘caso, simplemente reintroduzca ap ~gee, especificando solo el nombre del ppaquete, Desle que haga cambios en el paquete dela hase de datos, necesita, Eambiar los seripts que se ejecutam cudndo se arranca, Use los siguientes ‘comanidos para modifier los scripts de inicio on stareup links for /ese/intt a/exta Ahora necesita reiniciar insta, que es el proceso servidor para los servicios cestandares de Internet, inetd normalmente se lanza al arranear, pero como ha36. ando un servidor Linux multifluncién cambiado los servicios del sistema, necesita reiniciarlo para que pueda descubrir los nuevos servicios del archivo de configuracion, Et comando inetd acepta un pardimetro que apunta al archivo de configuraci6n listando los servicios que ofrece. Pero si no se proporciona un parametso por linea de comandos, inet lee la informacion de configuracién del archivo /etc/ inetd .cong, que sirve para nues- tros propositos. EI comando de actualizacion de inetd almacené nuestros cam bios en este archivo. Para reiniciar inetd usando el archivo de configuracién por defecto, introduzca: # fetc/snita/ineta vetoad ‘Vera cl siguiente mensaje en su consola: Reloading internet eupe> Configurando cuotas El servidor Web Apache offece a Linux la posiblidad de ofrecer alojamiento, virtual, ¢s decir, su servidor puede alojar varios sitios Web con nombres de domi- rio que difieren det nombre del servidor fisico. En el archivo de eonfiguracisn det servidor Web, puede definir diferentes dominios usando ckéusulas de alojamiento Virtual. Por ejemplo, incluso aunque el dominio usado en este libro es central - soft .arg, podrlamos tener notheranagic. con, wildbilis. info uotre do- rminio que registremos y usemos con la misma direcciOn IP. Cubriremos este concepto con detalle mis adelante. Por ahora, s6lo piense en la direccién IP como cl namero de telefono de una casa donde viven diferentes personas. Cuando el navegador accede al puerto 80, llega hasta el dominio que usted ha configurado, Linux ofrece medios para gestionar el uso del disco para multiples dominios gra- cas a una facilidad lamada cuotas, Originalmente, Unix ofrecia cuotas para las cuentas de usuario para que no ocuparan demasiado espacio en el servidor. Por cjemplo, si tuvicra 50 usuarios compartiendo espacio en disco en un servidor de archivos, sin un sistema de cuotas, un usuario podria llenar el disco, provocando {que las aplicaciones de todos los usuarios no pudieran guardar mas datos. 1a facilidad para las cuotas obliga a los usuarios a mantenerse dentro de los mites de consumo marcados, evitando la posibilidad de que consuman espacio ilimitado en disco, El sistema leva en cuenta la cuota por usuario y por sistema de archivos. Si tiene ms de un sistema de archivos donde Jos usuarios pueden crear archivos, configure la faciidad para cada sistema de archivos de manera separada, Puede usar el mismo sistema de cuota para limitar el espacio reservado para ‘un dominio de su host. Varias herramientas le permiten administrar y automa- tizar la politica de cuotas de su sistema. En esta parte de la configuracion del Contigurando un servidor Linux muhifuncién 37 servidor, aBadiré una facilidad para cuotas que podra usarse después. Primero, instala los paquetes de cuotas usando apt-get # apt-get inatart gusta quotatool Le aparecerd una pregunta como esta: Boapie this option if you want the wernquots utility fe be ran daily, Send daily seainders to users over quote? Aqui debe escoger «tio» Debian instalara y configuraré los dos paquetes, pero usted tendra que editar /ete/ fstab para activar las cuotas en los sistemas de archivos que desee, Debi- do a que nuestro sistema tiene una tinica particion para todos los archivos de usuario, puede afadir las opciones usrquota y grpquota a la particion con el punto de montaje / 4 ctitesysten ‘Teclee /q o quit para salir. ‘Ya que el servidor MySQL. se esta elecutando, puede ejecutar netstat tap y veralgo como esto. ep 0 6 Locathoot.tecatdocuyoqi *:* LISTEN 2449/uyegia MySQL es accesible desde Focahost (127.0.0.1) en el puerto 3306. Sino ve esta linea, edite /etc/nyeql/my -cng (el archivo de configuracién que el cliente y el servidor comprucban para ebtener los parametros) y afiada un simbolo # para comentar la linea skip-networking: fekip-netnerking Si quiere que MySQJ. eseuche en todas las direcciones IP disponibles, edite / eto/mysal/my ent y comente ta Linea bind-adldress = 127.0.0.1 Configurando un servidor Linux multifuncion 43 Siha editado /etc/mysgi /ny. ens, reinicie MySQL usando este eomando: # Jete/inte.a/aysal restare Esta seccién no ha cubierto todas las funciones de las bases de datos que los desarrolladores esperan de usted, MySQ1.esté ahora configurado para gjecutarse fn su servidor, no obstante, esto ¢s suficiente para que pueda dar los siguientes pasos, Haremos més cosas con MySQJ, en proximos capitutos. Configurando el correo de manera segura con Postfix, POP3 e IMAP in esta secidn,afadiremos agentes de transporte y de entregade correo clee~ tronice c implemeataremos un ligero control sobre cl entorne de lon sistemas Demostraremos como autentificar a los wstarins de un sistema de correo elec tronico y prevenir el ceso fraudulent aspects del correo, Durante mas de 25 afiosSeraimail ha servido como el MTA primario de Internet. Macha aplca siomesescritas para Linux esperan gui Sendmail sc estécjecutand en e servidor [A pesar de que fe escrito antes de que Internet seabriera al pailico, Sendmail tiene muchos problemas de seguridad que se listan en la Hista Common Vulnerabilities and Exposures (CVE) alojada en atcp:/ ove mitre ors, -Afortunalamiente, otvos MA han emengido para ocupar ef garde Sendmail I principal problema de estos MTA es que Tas aplicaciones esperan qu sea Senidmail el que estd presente ene servidor Linux. Para solucionar esto, algunos MIA como Postfix o Exim deben ser capaces de hacer eecr alas aplicaciones que tlfos som Sendmail, Som sustituciones de andar por casa y pucden hacer que el sistema seejcute en modo Sendmail Postfix es nuestro sustituto preferido para Sendmail. Rostfix es mas rapido aque Sendmail tiene wna arquitectura mas segura y modular y ofrece michas fuanciones requeridas por un proveedor de grandes volimenes de correo. Postfix hho porta protocolos obsoltos, sino que usa et Protocolo Simple de Transporte de Correo (SMTP), y es cl que Hene ef menor niimero de incidencta en la lista (CVE. Por todas estas razomes, usaremtos Postfix en lugar de Sendmail como MTA correo electronico seguro involuera mantencefacra del servidor a todos los usuarios sin atorizackim (por fo que no pueden usario para enviar correo and him) asegusindose de que nadie puede suplantar a los ustarioslegitimos y protegiendo el contenido de cada correo reeibido o despachado Una seguridad débil hace mas facil que los impostores suplanten ustarios Para proteger la autentifiacion, instalaremos con Postfix la Transport Layer Security (1), un protocolo mejor que el conocido Secure Sockets Layer (SSL). Est0“4 Configurando un servidor Linux multifuneién evita enviar contrasefas en texto claro desde un cliente de correo electronica a tun servidor. ‘También queremos que los usuarios se autentifiquen y accedan al servidor de correo. Para conseguirlo, emplearemos el Simple Authentication Security Layer {SASL}. Esto crea una extension (ESMTP) que permite a un cliente SMTP autenti- fear el servi Instalar los paquctes es necesario para Postfix y los otros componentes de correo, introduzca: 4 aptigat dnetall pooteix pasttix-tte Lib Libsacl2-aodulee ipopd-es2 uw inapa-ee) 212 sarl2-bia \ A medida que Debian instale los paquetes, presentard algunas pantallas que le preguntaran algunas cuestiones. Cuando vea la pantalla de configuracion de ipopd mostrada en la figura 2.1, seleecione pop3 y pop3s. Figura 2.1, Pantalla de configuracién de correo de Debian. Luego, vera una pantalla parecida a la de figura 2.2, donde deberia seleccio- nar para conseguir flexibilidad a la hora de enrutar los puertos en caso de Jo que necesite despues. Los puertos por defecto trabajan aqui porque usan TIS y el demonto SASL. La figura 2.3 ¢s informativa; el instalador Debian esta indicando qué opcio- ‘nes tiene para la configuravién de correo. Haga clic en OK para pasar ala panta~ Ila de la figura 2.4, que le permite escoyer una opcién. Para nuestro propésito, ‘escogeremos Internet Site, porque usaremos SMTP para todo el trafico, tanto para, la LAN comp para Internet. Debian ofrecerd el tipo de archivo de configuracion Configurando un servidor Linux multifuncion 45 {que mejor se ajuste a nuestras necesidads. Mas tarde podremos aftadir esto a la configuiracién por defceta, Figura 2.2. Dejando los puertos por defecto para el correo. Figuea 2.5. Opciones de configuracion Postfi: Cuanclo configure Postfix para ejecutar el correo, funncionaré como un agente de transferencia de correo estandar. No escoja la opcién de la figura 2.4 para usar tro servidor de correo como smarthost. En otras palabras, su sistema sera la autoridad de correo de su dominio. Si ha usado otro servidor (un portal popular 0 un ISP) para enviar y recibir correo en el pasado, su servidor realizard estas tareas ahora, Lugo, en la pantalla mostrada en la figura 2.5, respondanono, Postfix crearé Su propio archivo de alias.46. Configurando un servcor Linux multtuncion Figura 2.4, Selecionando el sitio de internet desde el ment de configuracion. Figura 2.5, Open para usar una cuenta alia existent, Enllas figuras 2.6 y 2.7, el configurador Postfix quiere saber para quign acepta, ¥y despacha el correo. El nombre de dominio ¢s también el "nombre de correo" Postfix usard este nombre para verificar ef correo ditigido al servidor. Cuando al- cance las pantallas mostradas en las figuras 2.6 y 2.7, tendrén valores por defecto cen las cajas azules de texto, Puede aceptar la figura 2.6 tal y como le mostramos. "Nota: cantralsoft org e el nombre de dominio que usamos en este bro, asegtirese de sustiturle por su nombre de dominto Ene figura 2.7, notard que hay dos comas después del nombre localhost . centralsoft .org. Elimine la segunda coma. Ena figura 2.8, el configurador de Postfix necesita informacion sobre la actua- Jizacién sinerona. Cubriremos la administracion de servidores de correo con gran detalle mis adelante. Por ahora, responda ala pregunta y siga avanzando. ‘Configurando un servidor Linux mulifuncin___ AZ Figura 2.6, Comprobando el nombre de dominio para Pastis. Figura 2.7. Lista interna de dominios usnda en Post. Después de que Debian acabe la instalacién y vea que la consola vuelve a estar disponible, necesitass poner a trabajar juntos varios componentes de correo, Esto significa que deberd escribir entradas en el archivo de configuracién Postfix y ‘generar certificados y claves de encriptacion, Le advertimos sobre esta parte al principio del capitulo. Algunos de estos co- mandlos no tend sentido para usted, Pero no se preocupe, le verd ol sentido cuan- do uelva la vista atras despues de haber completado las tareas de esta seccién. Figura 2.8, Rechazando actualizaciones sincronas.48 Configurando un servcor Linux multifuncién El comando postconf reside en el directorio /uez/abin. Se usaré para escribir 1 valor de un parametro Postfix en el archivo de configuracién main. Una vez que Posftix se ha instalado y se ha configurado como un servicio Debian, necesitara indicarle a Postfix qué hacer con respeto a la autentificacién segura, Usa los siguientes comandos: # postcont -e ‘smtpd sasi_tocal_domain =! # postesnt fh anable = yee! oanonynous” pontoon ve ‘broke uth elienes = yes" # posteont isnt Festrictions = \ pereit rent, uthent srait mrnatworks, reject _unauth destination’ W pocteone -e vinee ta Estos comandos escriben texto en el archivo savpa..cont: ¥ ceno spwchsck method: agalautna’ 2s /ate/poat fix/uael/amtpa. cont # sono shoch Iiats plais login’ >> /ete/posttix/asel/emtps, cont Ahora cree un directorio para sus certificados SSI. y genere tanto los certifiea- ddos como las elaves de encriptacién: 4 meats /ate/ponttix/eet 4 ca /eve/poattsx/aal/ 4 Sponsal genres “dex! -rand /ete/nosta -out emtpd.key 2024 353 somi-randon bytes Loaded Generating ROA private key, 2024 bit long wodulue ola 65837" (exidoaa) stew pasa phrase Lor antpd. key Verifying ~ siter pass parage for ontps.key: Lugo, ejecute este comando para cambiar los permisos del archivo que von- tiene la clave OpenSSL. RSA: # crmod 600 antpa. oy Posteriormente, genere otra clave y un certificado y cambie las claves existen- tes por las recién generadas: f openssl req -new key amtpa.key cout satpd.cor You are bout to bo aoved to aiter ineommattcn That will be Sacceporated oat you are about to enter is what 19 called a Diatingutched rans There are quite 2 few folds but you can Leave some blank Por one colds there will be a dufaute Value, Tr you enter °.', the field will be eft Blas Configurando un servic counery awe (2 Letter code) [NC) State ce Province Name (Cuil ene). [seme-Statel Toceitty wane fog, city) 0 Gegasisstson Name’ leg, company) (Taternct Widgits Pty Lea) Srgantantionel Unit tame leg, section! (1+ web oamon name” (eg, YOUR name? tobe sont aith your certitieate Toqlest A challenge passeora U1 do opeional company nase (1 c80 Voponesl 1809 "reg —deye 3650 cin antpa.cer -eignkay antpd.tey -out \ setpancrt unjects/C-06/6t-Texas/L-Dallag/Owentralactt.otg/Daweo/Cistom Adeiotetn/ Seat ladrecston-adeleveinecenteslaott-oFg Gevelng Private key Rater bass phrase for sepa. Rey: al rae -in enepécbay out satpd.key unencrypted 1s phrase for seep. wilting Ron ey Nav -f entpdtey.unenerypted sated. key f opensel req cate 2x50 vertenstons ¥3_c8 -BeyOut cekey.pem -out \ acert-pen -daye 3650 Generating 2 2984 it REA private kay citing neu’ private key to” “eakey pen’ Enter Pen pace phease: Werltying © Enter PEN pass phrase You ore about to be asked to enter information shat will be incorporat into your certificate request What you are aboue to ener is whist ig called 9 Diotingutehod Kame There ase quite a fey tselda bur you can leave some blank Por sone tlelde there vill be a defaule value Country Meee (2 letter code) [Ab] State cr Frovinge Hane (full navel [Sone-statel Locality Kame (es, esty) Oroandention wane’ (eg, cospany) [Inverset Widyits Pty Leal Organizational Onit ane (eg, rection) (Conran Kamo (oq, YOUR mame) {) Bret addons tb ‘Nota: Existe un debate acerca desi al generar wn certificado se deberia pedir ‘Ono informacidn, Nosotros le recomendaras que intreduzea la informacion apropiada a sus circunstancias.50 n servidor Linux maltiuncion Ahora necesita indicarle a Postfix sus claves y certficados, para ello use los jentes comandes posteont: » vm + postcone 4B posteont f ostcont -s “autp tis sete, etartels ofter = yee! f fostcont ) ey/nut 2061 + ven Sf stavtoatop-duemon --ceot {stat} =/aev/mull 342 then eeno vifaieal® mit Seto (DAME) alceady sunning. = sop) Coniigurando un sesvidor Linux multifuncion 33 cho -n Stopping #{oesc) + * SPunareetoplananas estoy ~oauiet —-pidtite se(PI0e008}* Stavean 9[anton) -reery 10" --aoxe 4(Q0ME) \ Sidewioa teat Oa coho "5 (te) -" wf start-etop-daonon --test S{START) +/dev/mula Zot; then eno "inst sunning) © eho “ieatted) restart |foree-reload! 20 stop Shee 30 atare » echo "sage: fate/init./(anHe} (eeare}mtep | reatazt] force. Feteaa)}" 262 Ahora inicie saslauthd: # fana/snit.s/eesiautne otart farting Gach mithensication Daevon+ changed ownership of ‘fwat/apooh pout ix/ver/sun/easlautha’ ro root sas saelavtha. Para ver si SMTP-AUTH y TLS funcionan correctamente, ejecute el siguiente comand: 4 seiner 1ocethoet 25 connected to localhost Jocaldomain, ecape character t=. ""1 220 corvert.contcalsctt org USMT Postfix |Debtan/CIv} Esto establece una conexion con Postfix, Ahora introduzca: 4 ante tocanbost: Si puede ver estas lineas: serveri:/ate/postfint telnst localhost 25 Trying 127.0.0.134 Configurando un servidor Linux multifuncion Connected to locallioet Lecaldonsin, 250 sever! contralce? org EOMI PoutSix (Bebian/Stt) su configuracién deberia funcionar y ya habré completado esta parte de la configuracion del correo, Puede teclear quit y pasar a la siguiente seccion, Haciendo funcionar Apache Como mencionamos anteriormente en este mismo capitulo, vamos a incluir lun servidor Web en nuestra configuraci6n inicial porque es importante aprender algunos aspectos biisicos de administracion de scrvidores, y porque el servicor puede servir de alojamiento para otras herramientas. Al final del capitulo, lo usaremos para ofrecer estadistieas Web generadas con Webalizer. En noviembre de 2006, Netcraft publieé un informe en el que se decia que el 60 por 100 de los sitios Web en internet usaban Apache. Esto lo convierte en el servidor mas usado de todos los otros servidores juntos. Apache esta bien integrado con la mayoria de las distribuciones Linux. En esta seccidn, seguiremos un patron familiar ¢ instalaremos y configuraremos Apache ejecutando el siguiente comando: 4 aptoget instal apache? apache2-dec Setting up ael-eecr td-0-10) Setting up apacne2-utlia |2.0.54-5) Setting up apacho2-comon (2.0.54-8) Setcing apache? to Listen ex port 80. 1 this is not desired, please edit Jetc/apachex/ports cont a9 desires. tote that the Fost dlssctive no longer Noduie ucerair ingtatledy zun fete/inte a/apache2 tores-relead to enable Starcing web server” Apache? Setting wp apaghe 12.0.84-5) Una vez que Debian acabe de instalar adecuadamente el seevidor apache httpd, ejecute lo siguiente: Configurando un servidor Linu multifuncion 55 4 apteget sneta12 2ibepachea-nod-phpt 1sbapache2-nod-peri2 \ pupt phpi-el! php4-comon papa-curl phps-dov phpé-demm=) \ 2api-ae phet-tmap shpt-Adap phpl-aosl papasahesh pRpa-nysqh \ Papt_odbe Bhpt-pear shpé-nelt cur! Litanne-perl samgeaagick Este comando captura y configura 48 archivos, por lo que tardara un rato. Una vez hecho, puede saltar al siguiente paso. Cambie la directive Directoryindex del archivo /etc/apache2 /apache2 .cont bésectoryThdex index.henl index. cgi index. pl index.php Lndex.xheal por bizectoeyindex index.eml Andovt htm ddex.ghtm) insex.ogt ind Sesex.phps tndex.p1 index xhemt php Lego, aftada stmbolos # tal y como se muestra, para comentar las siguientes lineas en e archivo /erc/mine. types SatpulcstLon snteoa- pe: fabplleation/-hespeplp> SSbplication/<-ntepd-pips-rrepeocecuea Stppuicorion/s-heepa pape ‘También necesitara comentar dos lineas més en /ete/apache2 /mode- enabled/php4 . con pndatype appiicstson/e-ntepe-pip php sphemt pps Ekdatype appiiestson/eatepa-pip-ource. pls Syisnoasie Después, asegirese de que las siguientes dos lineas estan presentes en el ar- chivo /ete/apache2/ports.. conf, ahddalas si es necesatio. _Ahora, tiene que activar algunos méxlulos Apache (SSL, rewrite y suexeei para fo que tendra que crear los siguientes enlaces simbdlicos en el sublirectorio mods- enabled: dan # in ca /ete/apachoz/mods # tn “a /ete/apachat /node: fan oa /ete/apeche? fod36. Configurando un servidor Linux multfuncién Como vio al instalar otros provesos en secciones previas de este capitulo, ins- talar los modulos apropiados con apt-get inicia antomaticamente Apache en el sistema. Sin embargo, y debido a que ha hecho varios en la configuracion, nece- sitard reiniciar Apache para que los cambios surtan efecto sin tener que reiniciar el servidor. Introduzea este comando: 4 /etc/init.a/apachaz restart EI servidlor Web se reiniciaré y activard los nuevos médules, junto con los cambios de contigaracién, Aijadiendo servicios FTP con ProFTPD. Junto con el servidor httpd que muestra paginas Web en un navegador, nece- sitard implantar un servidor de trasferencia de archivos (FTP). Usaremos tuna herramienta de c6digo abierto llamada ProPTPD para este propésito porque es popular, segura y configurable El servidor FTP usa un archivo de configuracién principal, con dircctivas y grupos de directivas que cualquier administrador que haya usado alguna vez el servidor Apache comprender4. ProFTPD tiene archivos . £tpaccess de configh- racién por directorios, de manera andloga a los archivos . htaccess de Apache, que obligan a los usuarios a introducir sus ID de usuarios y sus contrasefias para acceder a los directorios individuales. ProFTPD le permite configurar multiples servidores FTP virtuales y servicios de FTP andnimos. No invoca ningun programa externo y se ejecuta como ustia- rio sin privilegios. Instale ProFTPD ejecutando este comando: 4 apt-get dnetati prottpd La figura 2.9 muestra la pantalla gue vers wna vez que Debian haya descar- gado y comience a instalar FroFTPD. Este puede ejecutatse bien como aplicaciin ‘tutsnoma o bien como un servicio desde inetd. Ror razones de segura, eject taremos ProF PD en modo auténomo, Posteriormente, afiada las siguientes lineas al archivo /ete/proftpa .cont: Servectdeat on *F5" Server ready. Ahora, al igual que hemos hecho con los ottos procesos, reinicie ProTPD. usando este comando: # /etc/init.a/prottpd rentart Configurando un servidor Linux multifuncién 87 Figura 2.9. Pantalla de configuracion Debian para ProF¥?D. Recopilando las estadisticas Web con Webalizer ‘Webalizer crea informes estadisticos a partir de los archivos del servidor Web. Puede usarlo con un navegador Web estandar y produce informes detallados y ficilmente configurables en formato HTML. El proyecto Debian incluye Webalizer en suis repositorios estables, por lo que puede instalarlo con este comand 4 apt-get snotall webattzer Durante la instalacién, necesitard verificar e1 directorio de instalacion (/var/ ‘was/ebalizer}, clnombre que se usaré para los titulos de los informes estadis— ticos (podiria especificar un nombre de dominio, por ejemplo) y la localizacion del archivo log del servidor Web (que ¢n su sistema esta en /var/log/apache/ accass. 109.1): vinich dixectory enould sebaliger put the output in? (Peas /wne/webeliver eeu . Osage Starsatice for agrvert-centraisore.cra hot in the flename of the iotated webserver Loy? y/apache/access.109.% Sincronizando el reloj del sistema Los relojes de los ordenadores tienden a desviarse. Por tanto, existe una tarea basica de configuracién que conecta su sistema con un servidor Network Time Protocol (NTP) que mantendrd la hora correcta,58 Configurando un servidor Linux multifuncién 7 Para sincronizar su sistema con un servidor NTP, aflada las siguientes lineas a {var/epool /cron/crontabs/ root: 03)8,35,21 + + /use/abin/sdace 129.2.236.91 | logaer -t oF Si el archivo ne existe, puede crearlo con el comando: 4 touch /ver/apoei/eren/erontabe/z00t La direccion IP 128.2.136.71 pertenece al servidor de tiempo de la Universi dad de Carnegie Mellon. Puede usar un tiempo diferente silo desea. ‘Modifique los permisos en el archivo crontab ejecutando: 4 ctmod 600 /var/spool/cren/eventaba/#oot y reinicie l servicio cron mediante: # ferc/ante ajoxon vantant Instalando los diferentes médulos Perl requeridos por SpamAssassin Muchas herramientas dependen del lenguajc de programacién Perl w ofrecen una interfaz Perl que permite personalizarlas (aunque otros lenguajes estan ga~ nando adictos en tos mundos del software libre y de Unix), SpamAssassin es una herramienta critica para aciministradores de correo (¢ incluso usuarios de co- reo), es un programa que usaremos en este libro y esta implementande en Pet ‘Como administrador del sistema, incluso aunque no quiera programar en Perl, ‘deberia ser capaz de descargar médulos Mes] del repositorio mas popular y seg ro, el Comprehensive Perl Archive Network (CPAN), Para dacle una ligera idea de cémo instalar médulos Perl, afiadiremos algunos ‘usando la consola CPAN de Perl. Que es un entorne para buscar archivos ¢ mnsta- lar médulos Entre en la Iinea de comandos como root y ejecute el siguiente comando para ‘entrar en la consola CPAN de Petl: servert:/none/adnin# pee] -MCPAN -e ohel2 (ete/peri /cPaNy Cantigrps instal seed Responda a todas las preguntas presionando la tecla Intro para aceptar los valores por defecto. Luego ejecute los siguientes comandos para instalar los mé- dutos que usaremos en el proximo capitulo’ Configurando un servidor Linux multfuncion 39 > tasted se 3 install met Y con respeto a activar los test, responda no Si un médulo ya existiera en f sistema, verd un mensaje como HTML: Parse se ha actual izado. Cuando un médulo se instale con Exito, verd algo como / uar/bin/make install ~ OK. Una vez. que esté hecho, simplemente pulse g para abandonar Perl y volver a Ja consola del sistema, Qué es fo préximo Ahora que ya ha completado las tareas asociadas a la configuracidn det ser dor, ahora podra empezar a usarlo en modo de produccion, Necesitaré configu~ rar los servicios de DNS y notificar al registrador donde ha configurado su dominio (esto sera objeto de estudio en el siguiente capitulo). Una vez que la configura cién DNS esté acabada, puede instalar una aplicacion basada en Web {nosotros "usaremios ISPConfig) y comenzar a explorar cémo funcionan las aplicaciones Web.Capitulo 3 El sistema de nombres de dominio. Este capitulo le muestra como construir un Sistema de Nombres de Dominio. (DNS) usando BIND. Cuando acabe este capitulo, deberfa saber instalar, configu rar, mantener y resolver las incidencias de cualquier dominio que registee. Em- pezaremos con una introducei6n a DNS, la cual se podra saltar para ira la seccion de instalacion y eonfiguracién paso por paso. Si le surgen problemas, siempre puede volver atras y lero revisar ef material iniial Aspectos basicos de DNS Si busca un poco acerca de DNS en Internet, podra comprobar que DNS es la base de datos mas grande de! mundo, Aunque comparéndola con otros sistemas gestores de bases de datos como Oracle o MySQL. es un poco diferente. De hecho, DNS ¢s el directorio digital distribuido mas grande del mundo. Al igual que un directorio telefénico que se usa para asociar nombres con niimeros, DNS asocia la direecion IP con el nombre de los servidores conectados a Internet, que abarcan, desde pequefios sitios Web hasta granjas de servidores como Google 0 Amazon. ‘Al igual que las bibliotecas publicas tienen una coleccion de guias telefonicas clasifieadas por estados, DNS separa los dominios en categorfas. La coleecién de categorias reside en lo que se lama el directorio raiz. Esta coleccion esta divida en. dominios de alto nivel (TLD), de manera similar a como la colecciin de gatas telefénicas esta dividida en estado. En lugar de buscar un ndimero de telefono con, cl cédigo de area de Nueva York, DNS husea los nombres segiin el sufijo edu, ‘org, .com, -net, mil, .de, ff, ete. Los dominios de cada TLD apuntan a la direc” ion que puede usar para comunicarse con el servidor,62 H sistema de nombres de dominio ELDNS (que originalmente se defini6 en el RFC 882 en 1983 y luego se reviso ‘como RFC 1034 y 1035) introdujo varias ideas para gestionar el mapeo de los ‘nombres comunes de Internet a direcciones IPS. El sistema distribuye los datos y los nombres de los equipos de manera jerarquica en un espacio de nombres de dominio. Cada dominio se parece a una rama de un drbol y cada rama contiene a ‘su vez, sub-ramas. Los programas llamados servidores de nombres ofrecen infor macion sobre las partes del drbol y otros programas llamados resolvers piden informacion a los servidores de nombres de parte de los programas clientes. Los esquemas de nombres jerairquicos como DNS evitan la duplicae datos. Cada dominio es tinieo, y puede tener tantos servideres como quiera para su dominio, simplemente debe aNadir un prefjo a los equipos del dominio. Un sitio que controle centralsoft .ors, por cjemplo, puede tener equipos que se lamen serverl.centralsoft.org, 1dap.centralsoft .org y mail.centralsoft: org. inde los Ventajas de la administracién localizada de DNS Las organizaciones pequefias a menudo permiten a sus ISP administrar el DNS por ellos. Aunque configurar sus propios servidores tiene ventajas. Le da el con- trol total sobre qué sistemas alojan los servicios publics (por ejemplo, servicios Web o correo electrdnico), y poner DNS en su infraestructura permite mayor cescalabilidad: puede aftadir servidores segtin se vaya necesitando ¢ incluso ba- lancear la carga entre ellos, Esto se convierte en importante si posee y opera en. varios dominios activos o en servicios internos de autentificacin. Tambien tiene mas control a la bora de mantener los nombres actualizados. Resumtiendo, ¢s valioso controlar su propios DNS en cl panorama actual, en lugar de tener a alguien que lo haga, ‘Muchas empresas han migrado a la Web sus principales procesos de negocio, En lugar de reemplazar los sistemas existentes, prefleren oftecer sus aplicaciones & través de interfaces Web novedosas. Lo consiguen usando sistema basados en Web capaces de conectar sistemas heterogéncos, Los departamentos de teenologlas de Ja informacion usan servidores de aplicaciones como JBoss (propiedad de Red Hat) Webshpere de IBM o BEA WebLogic en segundo plano y ottos productos para la presentacion, En cada caso, DNS es una parte integrante de los sistemas hasados en Web, porque dichos sistemas usan servidores de ditectorios para comunicarse DNS también ocupa un lugar importante en dreas emergentes como Ia de los servicios Web y la Internet eecutable, donde Ia gente puede usar aplicaciones ofrecidas por Google, Yahoo y otras. Resolver las diecciones IP de forma répida y ‘segura es importante para ef éxito de estos productos en Internet y en empresas, Por tanto, considere la configuracién y la gestion de DNS como uno de los cono- cimientos més importantes de la administracion de sistemas que puede poseer. 63 Por qué podria necesitar un administrador de sistema gestionar sus propios: servidores DNS? Usted debe oftecer las direcciones de dos o mas servidores de su dominio al registrador (por lo menos dos, para garantizar que alguno de los dos funcione cuando alguien solicite un nombre). Debe gestionar los nombres de do- zinio de los sistemas que van a ser pablicos: los servidores Web, los servicores de correo, ee. A medida que aprenda DNS, se ira dando cuenta de que es muy intui- tivo, Muchas veces la jerga parece un idioma extranjero. No le encontrara el sen- tido hasta que no haya trabajado con ella durante un Uempo. Le ensefiaremos como Ievantar un servider DNS en un momento, Luego, revisaremos algunos aspectos y términos clave antes de sumergirnos en los archivos de configuracién, Introduccién a BIND La mayoria de los servidores DNS dle] mundo se ejecutan gracias al Sistema de Nombres de Dominio de Berkeley 0 BIND. BIND es un estandar en todas las ver- siones de Unix y de Linux. Puesto que los administradores necesitan usarlo, este capitulo cubrira BIND en detalle, ‘Nota: La alternativa mas popular para BIND ela suite djbdns. Funcion bien, la usan muchos servidores de nombres y es facil de configurar. Vease http: //c.yp.to/ajbang, neal para mas detalles, [No vamos a ofrecer una clase de historia sobre BIND, porque el lector proba- hlemente se dormiria, Solo sefialaremos una angedota historica y es que hay gente que todavia usa la antigua y obsoleta versién 4 de BIND. En este capitulo, tsaremos la nueva version 9, Si usa tin sistema con la sintaxis de los archivos de configuracion DNS distin- ta de fa que se muestra en este capitulo, probablemente cl sistema esté usando BIND 4. Como dijimos antes, las empresas odian reemplazar los sistemas que uncionan, deberfa ocurrir una catastrofe para que un departamento de tecnolo~ fas de la informacidn pudieen actualizar a BIND 8 0 9. Debido a que hay graves riesgos de seguridad para BIND 4, le recamendamos que se actualice (y ya de paso, salte a la version 8 coma minimo, no a la version 5, 6 6 7). Componentes de BIND BIND viene con tres componentes. EI primero es el servicio o demonio que jecula la parte servidora de DNS. Este componente se llama names. Es el encar- _gado de responder al eléfono cuando suena.se sistema de nombres de dominio EL segundo elemento de BIND ¢s la libreria resolutora. Este componente es el {que los navegadores Web, el software de correo y otras aplicaciones consultan cuando intentan encontrar un servidor por su. nombre DNS en la jungla de Internet Algunas personas piensan que un resolutor es un cliente dentro de BIND. Pero al contrario que el servidor, el cliente no ¢s un programa simple, sino que es una librerfa que enlaza con cada navegador Web, cliente de correo, etc. H eédigo del resolutor lanza consultas sobre los servidores DNS para intentar traducir nom bees en direcciones I ste elemento de BIND usa su propio directorio llamado resolv.conf que cst presente en cada ordenador. Es su tarea configurar ree0lv. conf. He aquut come se veria el archivo resolv. cons en los equipos del dominio centralacft ors search centralsoft-org ‘Como puede ver, el archivo de configuracién del resolutor BIND es simple. La primera linea busca un servidor en ef dominio local. Las otras Iineas indiean irecciones de servidores de nombres que ¢l administrador conoce, si una consul- ta falla, se procede con la siguiente linea. La tercera parte de BIND oftece herramientas tales como el comando dig para probar DNS, Vaya a la consola, teclee dig yahoo .com (u otro dominio conocido) y vea lo que ocurre. Analizaremos la herramienta dig y otras utilidades del kit mds tarde, Configurando un servidor DNS Para levantar nuestro servidor, vamos a hacer una instalacién de la dltima vversi6n estable de Debian y configurarla con el ntimevo minim de paquetes. Si todavia no tiene el disco de instalacin basada en red usado en el capitulo ante Flor, descérguelo de http: //ww.us.debian .org/CB/netinet. Realice una instalacion de red y asegtirese de indicar un nombre de dominio adecuade. Lucgo configure debian como se sugiere aqut. Cuando tenga la version actual de Debian GNU/Linux, encontrara diferencias entre ésta y la version que usamos para escribir las siguientes instruceiones. Los desarrolladores de Linux actuatizan sus distribuciones frecucntemente,y los pro- «esos de instalacién cambian debido a las actualizaciones, los parehes y las nic ‘vas versiones del kernel de Linux. Si encuentra diferencias en los procesos de instalacion que describimos, busque la esencia del asunto que explicamos y no tended problemas para instalar la tiltima version. Asistema de nombres de dominios Después de las etapas iniciales de la instalacion de Debian, vers una pantalla agrafica indicandole que escoge el tipo de instalacion que desea. La pantalla sera mnis 0 menos asf: Servidor de tmpreaton Base de datos SOL c No seleccione ninguna opcién, solo pulse Ta tecla Tab. Haga clic en el botén OK y cl instalador Debian comenzars a descargar y a instalar paquetes. Durante Ja descarga, vera una pantalla grafica. Esta pantalla le preguntard si quiere con figurar Exim (Exim-config), Elja Sin configuracién, Le preguntard "Seguro que desea dejar el sistema de correo sin configurar?™ Responda St Una ver que se haya completado la instalacion minima de Debian, deberfaelimi- nar algunos programas innecesarios que tiene alguna utiidad en una LAN pero 10 «en un servidor de correo de Internet: puede eliminarlos usando la utilidad apt-get: 4 apt-get renove pr nfa-conmon portmap pideatd poncia-cs pppoe \ Si ha decididdo usar SUSE 0 Fedora en lugar de Debian, puede eliminar estos paquetes con su método preferide, ‘Ahora, desactivemos algunos servicios y reiniclemos inetd Para instalar BIND en su servidor Debian, ejecute el comando: Debian descargara el archivo y lo configurard como un servicio de Internet. Podrd ver los siguientes mensajes en ta consola: setting up binge 19.2.4-2 ading group “bind” (loa)66. El sistema de nombres dle dominio Basing new goer sbind’ (204) with eroup “bina” Hing domain mane service: named Usando un entomo chroot seguro Muchos administradores de seguridad recomiendan ejecutar BIND como sun usuario no root en un directorio aislado llamado entorno chroot. Esto protege contra oportunidades de explotar fallos que se detecten en Ia version de BIND, «que podrian desembocar en que un extraio atacard el demonio named y consi- guiera acceso al sistema, Incuso si se ataca named, un entorno chroot limita cualquier dafio que pueda hacerse a los servicios de nombres. Para poner BIND en un entorno chroot, necesita ercar un nuevo directorio donde el servicio puede ejecutarse sin estar expuesto a los otros procesos. Tam~ bien se ejecutaré como usuario sin privilegios y s6lo el root podré acceder al Uirectorio. El directorio contendra todos los archivos que BIND necesita, y pa- recerd ser un sistema de archivos totalmente completo después de ejecutar el comando chroot Primero pare el servicio ejecutando este comando: 4 Jete/inie.a/bings step Luego, edite el archive /etc/default /binas y ast el demonio se ejecutara ‘como un usuario sin privilegios,defina el entorno chroot como /vax:/1ib/aaned. ‘Cambie la linea: para que ponga: a bind -t /var/1ib/naned® Para ofrecer un entorno completo para la cjecucién de BIND, crce los directo- ios necesarios en /var /1i: exate

>NEADERc<- opcode: QUERY, status: NOBRROR, id: 4096 +1) Elages qe ed fa) QUERY: 1, ANGWER: 2, AUTHORITY: 0, ADDITIONAL: © ty SERVER: 61.169.263.706H53 La biisqueda directa y la inversa se complementan. Nuestro servidor primario std completo,gee sistera de nombres de dominio. Configurando el servidor de nombres secundario Ahora, levantaremos nuestro servidor de nombres secundario, server2. centralsoft .org, Actuara como copia de seguridad en caso. de que el servidor primario (server .centralsoft .oxg) falle, por lo que las personas todavia podran buscar centralactt.org y sus subdominios. Elarchivonamed. conf para server? .centraisoft .org es parecido al del servidor de nombres primario con algunas diferencias: options { DidcEiLe */var/run/bina/un/nemed. pias 11 query-soizce addres * port 53: sone "of ype inc Eile ab: root i pone "8.9, 127-in-adde.axpa* { ype acter Hie "db: local, h zone reentratecte.org* { file "eec.centratactt.org*, (sorge3,asacagr he 1a diferencia mas importante es Ia que se coment6 antes en este mismo cap tulo. El tipo esclavo, que se indica en Ia sentencia final indica que es una zona esclava. En la linea del archivo especificamos el nombre del archivo donde se debe guardar la zona esclava, y en la linea maestra especificamos la direccion IP del servidor de nombres primario, Esto es todo lo que tenemos que hacer para configurar el servidor de nombres secundario, Reinicie named en server2.centralaoft. org y liego deberfa encontrar el archivo /ete/bind/sec. central soft .org en su servider de nombres secun- dario. ‘Qué ha ocurrido? El servider de nombres secundario ha contactado con et servidor de nombres primario que Ie ha transferido la zona, Ahora, eada vez que actualice una zona en el servidor de nombres primario, asegcirese de que el niimero de serie se incrementa. En caso contrario, la zona actualizada no se transferira al servidor de nombres secundario. sistema de nombres de dominio 89 Herramientas BIND ‘Como hemos mencionado anteriormente en este capstulo, BIND se divide en. tres partes: el demonio named, la ibreria resoluta y algunas herramientas. Una herramienta que ya ha usado es dig, que los administradores usan para consultar los servidores de nombres DNS. dig hace busquedas DNS y muestra las respuestas devueltas por los servidores de nombres y las estadisticas sobre la consulta. La mayorfa de Jos administradores DNS usan dig para solucionar los proble- mas de DNS debido a su flexibilidad, facilidad de uso y claridad. Otras herra- imientas de biisqueda suclen fener menos funcionalidad. Otra alternativa podria, ser, no obstante, nslookup. Tambien echaremos un vistazo a rnde, una herr? mienta de administracion ttil que se ineluye con BIND, nslookup: nslookup trabaja de manera similar a dig pero estd obsoleto en Linux. Usarlo, requiere mas trabajo, pero deberia serle familiar porque Microsoft Windows atin Jo usa como herramienta primaria de busqueda, nslookup consulta servidores de nombre de dominio de Internet en dos mo- dos: interactivo y no interactivo. EL modo interactivo permite consultar los ser~ vidores de nombres para obtener informacién sobre varios equipos y dominios, 0 para imprimir una lista de equipos en un dominio. EI modo no interactive sim- plemente imprime el nombre y la informacion solicitada para un equipo o domi- no. Por ejemplo, podria ejecutar la siguiente béisqueda para encontrar informacion sobre el servidor Google Radeens: 306.299-02-30 En cl modo interactivo, nslookup ofrece una interfaz. donde se pueden gjecu- tar comandos. Por ejemplo: Desde la interfaz se pueden hacer varias basquedas simples, como la de una siveceion IP0. E sistema de nombres de dominio. 42,156,285, 70.ip-addr orga mane = a4s1-79-269-158-42. 81 x08, Authoritative aneware can be found from 155,253, 70. n-acdy arpa nameoerver = net_swelt net. 250,255.70 {n-aade espe namese=ver © na? supe nee Puede ejecutar varios comandos, incluyendo Iserver (que usa su servidor local para hacer una btisqueda), server (que usa otro servidor para hacer una busque~ dda) y host. El comando Iserver produce una salida como la siguiente: Default servers google.com Baarooa: 4.233.167, 29859 Default server: google.com Auazeva: 6¢.233.189-95439 Elsubcomando host ofrece una utilidad simple para realizar bitsquedas. Cuando no se dan argumentos u opciones, host imprime un pequefio resumen en la linea ‘de comando de fos argumentos y las opciones. La gente lo usa principalmente para convertir nombres a direcciones IP y viceversa. He aqui un ¢jemplo: contralactt org has sddcees 29.26,256.42 Cuando pone host en modo completo con la opcién ~v, ofrece informacion similar al comando dig: > host -v centralsott.org Trying ‘eontraloott.org" SoHEADERC<- opcode: QUERY, statue: ROERROR, 4a. «3756 fy lager ge sd far QUERY! 1, NEWER. L) AUTVORIEY. 2, appoTzoMAR 0 24 goeerI0N secrzow. Joontralaote org mos fenteetestt org 29437 INNS servert.contraleott.o¢g. ELsistema de nombres de do a” Esta informacion viene de la direcci6n IP 68.94.156.1, puerto 53, qué es el servidor de nombres especiticado en el archivo asolv .coné del equipo que realizé la busqueda, Puede usar host de nuevo para averiquar el nombre de este servidor > nowt 6¢.94.356.1 Ziteeco4ccein-adde arpa doeasn name pointer dass1.ebegiobat net Introduzca exit para cerrar la sesi6n de bitsqueda interactiva. ‘También puede usar named para arreglar fallos en algunas situaciones. Por jemplo, para averiguar el naimero de version de su implementacién BIND, gje- cute el siguiente comando: ‘but lddaroelehopper: /bui14/buli4d/bind-8.4.6/ere/bin/mamed mdc BIND ofrece un comando ride como parte de la instalacién. rnde permite administrar named usando la linea de comandos. La ulilidad envia los comandos introducidos mediante linea de comandos al servidor que ¢jecuta server, que los pprocesa, El script de inicializacion de BIND 9 también usa mde. Para evitar que los usuarios no autorizados accedan a su servidor de nombres, ‘deberia usar una clave secreta para autentificar el acceso, Para que made ejecute Jos comandas en un servidor de nombres, incluso en un equipo local, ambos deben compartir la misma clave. Psta clave est almacenada en el archivo /ete/ bind/rndc.key, y tanto named como rndc leeran la clave desde esta localiza ion, Elarchivorndc. key deberia haberse creado durante la instalacion de BIND. EL comando rnde tiene la siguiente forma "endo rade-optione comand comand-option Ahora veremos algunas opciones de rnde comunes que podria necesitar (lea las paginas-manual de mde para ver la lista completa) + Kc key-file: Usa cl archivo con la clave especificado en lugar del archivo por defecto /ete/bind/rndc. key. +s server: Envia el comando al servidor espevificado en lugar de al servi- dor local + -V: Activa el modo de informacién completo, Aqai se muestran algunos de los comandos que rndc suele enviar a named (para ‘una lista completa de los comandos, simplemente introxhzea el comande rndc):a El sistema de nombres de dominio + halt: Para el servidor de nombres inmediatamente, + querylog: Activa o desactiva el log de todas las consultas hechas por los clientes a este servidor de nombres. Es un comanido de conmuttacion: con muta al estado activo si estaba desactivado y viceversa. + reload {zone}: Recarga los archivos de zona, pero mantiene todas las res- puestas que se almacenaron previamente en caché. Esto permite hacer ‘cambios en los archivos de zona y que tengan efectos en sus servidores maestros ¥ esclavos sin perder todos los nombres ya resueltos, Silos cam- bios afectan a una Gniea zona, puede indicar que solo se recargue esa + retransfer zone: Obliga a volver a transferit la zona especificada sin te- ner que comprobar cl rtimero de serie + stats: Vuetea las estadisticas actuales de named al archivonamed. etate. + status: Muestra el estado actual del servidor de nombres, + stop: Detiene el servidor, guardando y actualizando dinamicamente los datos antes de salir. Resolucién de problemas en BIND En este punto del capitulo, deberia tener un conocimiento funcional acerca de DNS. También deberia saber Como configurar sus archivos y cémo corregir pro- Dlemas de sintaxis, como errores tipograticos, En sta secci6n, cubriremos algunos aspectos basicos, problemas comunes que puede encontrar cuando BIND y DNS estan funcionando. No es un tratado ex haustivo, pero deberia ayudarle a ejecutar DNS en su servidor Lintx si tiene problemas para que su dominio resuelva nombres de equipos o haga transferen- cias de zona, ‘Nota: El disci de sistema de nombres de dominio cs robust, peroen ocd sones puerden aparecererrores. Siguendo estrctamente los patrones par «ear archivos de zona descrfos anteriormente en este capitulo, pede evitar problemas que estan fuera del aleance de est libro. No se puede conectar usando mde Para empezat, veamos un consejo sobre resolucién DNS, Anteriormente, vi- ‘mos cémo el comando status de rnde muestra el estado actual de ejectcion de ElLsistema de nombres de dominio 93 nuestro servidor DNS. Probemos a entrar en el sistema como root y ejecutar el comand: Sebug Levels © query logging 3 OFF Leomando rnde depende de una clave compartida en el archivo /ete/bind/ nde. key para que named acepte sus comandos, Problemas con este archivo pueden evitar que mdc envie los comandos. ‘Agus un ejemplo de que deberiamos ver si el archivo de la clave no existiera ‘pind/endc.cont nor /ate/bind/rnde,koy was found Podemos comprobar gue el archivo no existe con este comand: event P14 <1 /ate/bind/enda key Ser fete/bina/ende. key: No uch fle or aivectory Podemos solucionar el problema regenerando el archivo de la misma forma que lo hace la instalacion de BIND: servers ende-contgan -2 Bervesiiog Ia 1 /eca/sina/ rads. Key Thee ---- 1 toot bind 97 sl 19 23/38 /ete/bind/ende key Debido a que named no tiene esta nueva clave, debemos matar el proceso, named y reiniciarlo. Para ello, haremos uso del comando del sistema killall, que coge la ruta completa del nombre del programa named. Para detener named de manera correcta, ejecutaremos el comando killa dos veces en un intervalo de unos cuantos segundos, luego reiniciamos named: eerverti-f RiMlal2 -THRM /uer/sbin/aaned Secverlof killa] “KILL /uer/obin/aaned jaax/ediaysaneds no proceaa kttlee pecverl--4 /aee/inie-a/bing® stare ssvasisnf rade status94 EL sistema de nombres de dominio debug Levens 0 fon querien in progress: 0 Server ie up ana running named se inicia pero no resuelve nombres Ahora, veamos algunas situaciones donde named no funciona correctamente. 1a localizacién incorrecta de los archivos BIND a menudo causa problemas, ¢5- pecialmente en entornos chroot donde los archivos BIND estan en un directorio islado, Si named se inicia bien pero no carga ningan archivo de zona, puede que no estén en el directorio aislado, Necesitara mirar el archivo /var/1og/aysloa para ver sieste es el caso, He aqut un ejemplo de log: pescting BIND 9.2.4 -u Bind -t /var/ltb/named Maing 2 CPU, Loading contiguration fron '/ete/bind/naned. cont’ Listening on #v4 interince Lo, 227°0.0. 1859 Listening on TPv4 snteeface eth, 70.253.258. 42452 command hanne? Listening oa 127"0.0. 1893, command chanced Listening on :14953 EL oy muestra que BIND se ha iniciado, pero no incluye lmeas indicando que los archivos de zona se han eargado. Ya que named se ¢jecuta en un entorne chroot en /var/1ib/named, buscaré todos los archivos relativos del directorio, Por lo que realmente esta leyendo el archivo /var/1ib/namea/ete/bind/ named. cont para la lista de zonas que debe cargar. Cada uno de estos archivos de zona debe colocarse en la ruta relativa del directorio /var/1ib/named, Otro error comin ¢s el fallo de una conexion que involucra a rnde al recargar o reiniciar el servidor de nombres: byete/init.d/ binds retoee Stopping naned: de! connect failed: conection refuoed tor) Starcing ameds 08) . Este tipo de error también puede suceder como resultado de ejecutar BIND en un entorno chroot, cuando uno 0 mas archivos no esta en el directorio aislado, Puede comprobar si los archivos estdn en las localizaciones correctas as: te -2 /ver/1sb/naned/ate/bind/aamed.cont Tevtele!"Y’voat pind 1611 2006-08-07 12523. /vat/Lib/naned/ate/bsna/ H sistema de nombres de dominio 95 4 As /vas/2in/naned/eve/bina/ Grd Ndbslocal~ nanedconf Local pri.contraisofe.org 5.127 detect” nawed.conf eptione Prk cpensourcetodsy. b.255 naned.conf pei.256.18,67 Sn-aade_arpatnde.key Seveopty aagad.cont pri, 19¢.10 67 Anaade expe gones.rfc2918 Si estos archivos no existen, el entorno chroot no est configurado adecuada ‘0 completamente. Vuelva al comienzo del capitulo y siga las instrucciones con cuidaclo para asegurarse de que cada archivo esta en su lugar. Una vez arreglado el problema, necesitars parar y reit iciar named para que ‘nde pueda conectar con el servidor. Use la secuencia le commandos killa deserita en la seccion previa yee so R61a21 THRO /aes/ebLe/naned 0h Rildall “RELL /eer/abie/named fat/ehin/nened: no. process Killed server. fh sabe/tnieca/oina® start Scareing donin some service: nemod, Ahora, compruebe el archivo /var/1o3/sysiog para ver silos archivos de zona se han cargado. Deberia ver algo como esto: carting sii 9.2.4 -u ind -¢ /var/itb/named "onding configuration tron «/ete/eing/aaned cont Listening on dbv4 interface 10, 227-0-0.2053, Hetening on dvd Lntertace etho, 74.254 .150.42053 Saad channel Taseenseg on 14989 fone a,gsi7-in-adde-arpa/sm Loaded serial 1 tone centealgott.org/MKs loaded xeriel 2005070502, iene supporteallorg/1: lasded serial 2006052708 running No se reconocen los equipos Et siguiente paso es comprobar el correct funcionamiento de DNS para ase- _gurarse de que las consultas acezea de sus equuipos se responden de manera adle- ‘cuada, Primero, necesita asegurarse de que el archivo /ete/resolv. cont lista sus servidores de nombres con las direcciones correctas. La mayorfa de los pro- _gramas usan las direcciones de este archivo para determinar qué servidorcs de nombres deben consultar y en qué orden:86 H sistema de nombres de dominio servertsp cat /ete/reselv.cont E] comando host hace una simple busqueda DNS usando los servidores lista- dos en el archivo /etc/resolv.cont, Necesita el equipo a buscar como parimetro, y un segundo pardmetro optional hace que el eomando consulte a lun servidor de nombres especifico. He aqui dos ejemplos del comando hest y sus resultados: Giver -# heat wn cantealaott org server! centralsott org Una alternativa a host es el comando dig, que es més complejo pero ofrece respuestas mas detalladas. También tiene mas opciones que le posibilitan realizar consultas mas especificas. La sala de dig esta formateada segtin la sintaxis del archivo de zona. Esto es una ventaja, puesto que una vez que haya aprendido {qué formato tienen los registros en un archivo de zona, puede comprender faeil- ‘mente los detalles de estos registros en la salida de dig. dig también ofrece infor- ‘maci6n adicional sobre los resultados de la consulta en los comentarios que cempiezan por el cardcter " Echemos un vistazo al resultado del comandlo dig. Muchas lincas de la salida de dig son muy largas y no caben en el disefio de pagina de este libro. Ln el siguiente Histado, las hemos divide en lineas, Pod ver un resultado similar cuando Jo ejecute en su linea de comandos: servaris# dig wncentraiaofe.org & Fy global options? printom ° 3 epcode: QUERY, atarus: NOBRROR, 4: 1699 | El sistema de nombres de dominio 97 Sentaieote or actoo OS sexverd.centralsott.org Centaleote ora) Seo Tf SG gervesz ceneenlacte ong 2 query eter 1 eee 2) SuRvER: 70.299. 158.42453,70.259.256.42), La primera parte de la salida indica varios e6digos de estado y banderas, Pres~ te atencidn particular al valor del estado de la cuarta linea. Es este ejemplo, el valor es NOERROR, Cualquier otro valor india algan tipo de problema Los datos para la zona actual se dividen en cuatro secciones; + QUESTION: Esta seccién actualmente detalla una consulta, Se muestra como un comentario porque no es la informacion que deberfa estar en un archivo de zona, ‘+ ANSWER: Esta seccién contiene los resultados actuales solicitados por la consulta. Mostrar los registros espectficos solicitadas, si estan dispon bles, 0 todos los registros si se esta usando el tipo de consulta especial. + AUTHORITY: Esta sevcign identifica los servidores de nombres oficiales para Ja zona de la que viene la transferencia, + ADDITIONAL: Esta seecién ofrece las direcciones de algunos 0 de todos los nombres de las secciones anteriores, para evitar ef problema de hacer mas consultas para obtener esa informacion. Ahora, veamos lo que deberta hacer si se produjera un eror. El ejemplo anterior usaba un nombre de equipo valido para cl servidor Web. Esta vez lanzaremos una consulta para el nombre de un servidor FTP que no hayamos configurado en nues- tro archivo de zona: 2 eos DIG 9.2.4 cess Eep.cenbralaott.org a ScHGAdSRC-~ opcode. QUERY, etarus: NADONAEN, Sa 6592 Hy lage: qe aa £0 ay QOHRY: 1, ANSWER: 0, AUTBORITY: 1, ADDITIONAL: 028. sistema de nombres de dominio Seeteaisots.ora,S640o N08 gervert.cenratenttorg. ain ‘SERVER: 70,253. 156.42453 70.259. 288,421 serrecaid Poese en que el estado para la consulta es NADOMAIN, que en esencia significa “no existe tal nombre de dominio”. Si usted no tiene o introduce mal el nombre de ‘equipo en el archivo de zona, obtendira este error, Otro tipo de error que podria ver con dig es cuando un nombre de dominio: hha sido delegado a su servidor de nombres, pero el dominio no esta configurado en el servidor o falla al cargarse. Este error devuelve un estado dle SERVEAIL. Si ve este error para alguno de sus dominios, necesita afiadir el dominio a su ar~ chivo named..conf y asegurar que existe un archivo dle zona valido, Si el error ‘ocurre después de haber dado estos pasos, compruebe el archivo /var/103/ sysLog para ver los mensajes que indican por qué no se ha eargado la zona. Demostraremos el problema con un nombre de dominio que esta registrado, pero que no esti en uso: servoris-# dig Umbelp.org © e298 DIG 9.2.4 cess Lamelp org 5 ygispal options. printond ) ISPContig-2.2.1.tar ge" og muperh- west ai sourceforge net... 209.150.59.253 Saanaceing to superd-vee.souroeTorge. | 209.160.5, 253) 98, bength: 26,633,490 (25M) [app: jon/x-gzip} 2a Te,oub,cu9252-00K/e BTA 01432 Des omprima cl archivo con el comando: 4 ear avs encontige.tar.gt que crea un directorio llamado instat1_ispconfig. Muévase del directorio froot/ al install_ispconfig. Compruche el archivo dist .txt y_vea silos ‘valores son apropiades para su servidor Linux, Para Debian 3.1, los vatores de dist.txt serfan: spee-feve/snit.a 48 # debian. El archivo contiene 19 valores adicionales para Debian que no estan listados. aque menos que tenga cierta experiencia en administracion Linux y esté fami- Tiarizado con ISPConfig, respete los valores por defecto, Deberia funcionar siem- pre y cuando esté usando una de las dstribuciones que se listaban con anterioridad, Los administradores con conocimientos pueden cambiar los valores, aunque res- petanda el formato del archivo. Ahora inicie la instalacion. Ejecute el comando de instalacion . /satup desde Ja linea de comandos. El script de instalacion empezaré a compilar Apache con, PHP 5 que escucharé en el puerto 81, Primero, tendré que decidir qué idioma quiere: gerverdin/ingtali sepeontig # ./eetup Noy tnetattation eineo T6Pcontig-systomp. / Tnatatlation of a new Isreontig system. /106, Un entosno inital Histo para Internet Installation a’ rsPconfig sur un nowveau syerene. olen Ste Inre Sprache (deutech/engi seen spanigch/Ezanaziuch/iealteniach/ Blederindisch/painiseh! Sehwediech) / Please chcose your Language (Gexman/Bnglich/spanish/ Prench/Teatian/ Duteh/Poliab/ewedish) + / Mecci de cholels votes langue (AlLemand/ Angiase/Bepagno/ Poanceie/italien/Mexiandale/Polonaie/Sudeis) ade at Sse 1 pL re abl: / Your Choice: / Yotxe Choss: Vera una pantalla de advertencia: wih tho systen inetallation, won aysten filer are replaced vhere fajuatnenea were Gade, This con lead co loge of encriea Sn nttpd.cont, maneé.cont aa Sendvail configuration bo you went £0 continue with che snataliarion? Gyfnl x El sistema mostrara una licencia, deberia leerla y aceptarla: bo you accapt: the Livenoa? y/nl y El programa de instalacion procedera a preguntarle cucstiones acerca de la configuracién del sistema (p. fj, por et MTA, servidor FTP, servidor Web, logs, cle...) debido a que tiene que tener instalados todos los paquetes en su sistema, deberia ser capaz de responder a todas las preguntas, Durante la primera parte de la instalacign, e seript le preguntara en qué modo quiere ¢jecutar la instalacién, Seleccione el modo experto: 2) expere En modo experto, tendra que elegir algunas opciones que ISPConfig asigna por defecto en el modo estandar. ‘en prompted for a detault airactory, you can chooks any directory you" like, pit make gure it ia of a partition with enough disk apace for the veo cites you plan to host. Purtieraore, if you watlt to configure quotan vith TsPconfig, make gure you enabled quotas for that. partition fis deocribed Sn Chopeer 2. 1 you want to enable suBKec for veb sites (Un entorng iniia isto para Internet 107 hat are allowed to sun Ferl/our scripts, the dfrectory should be within focunent root sa /vse/awe, wblle on SURE it's /erv/wew. If you're Snabling subse, the dacuaent soot ie a good choice for the aizectory in Wwotea eo por TePcont ia necking for program netpa fsse/abin/eeDs ‘The ayatax Je okt ep-foat. /howe/inne Yo this correct? (y/n} a en-Roots /wae/wew syntan of tho nepd-cont "Nota: subse es una mejora de seguridad en un servidor Web que necesita scripts CGI para poder sjecutarse por parte de cers usarios. En este punto fa instalaciin comienza compilando el servidor Apache que se ‘usard para presentar la interfaz Web ISPConfig en el puerto 81. Cuando el Apa- che para ISPConfig esté completo, vera un certificado SSL compilado. Fl progra~ ‘ma de instalaci6n le preguntard varios valores. Puede aceptar los valores por efecto o introducir los suyos propios. La pantalla seré similar a esta: sel, Cestificate Ganeration DEsLity (okcert shi Gopyeishe (el 1998-2000 Ralf S. sagelechell, ALI Sigh Genssating sxston certiéicate signed By oun Ch (CHSTOH She systen wll aveplay # License, which you should rena and then accept: Bo you accept the License? fy/el 7 he generated ¥.5e8 ceztificates can eantain cithor Sh oF Gh fazed ingredients, Select tke one you vant To Use: Signature Rigorithm (iR)sk oF (D)SA) “ating FEA private Fey For GR OEE BIC) Teaney] 2698765 somi-randon byres londes Generating Sa private key, 1024 bit long medulue ciap fy Gavstating ¥ 50) certificate signing aquest for G& [Ga.cer) You are about to be aaked to antar information that will be incorporated neo your sorsificate request seat you are anait to eicer ie Wiat i= called a Diatinguished Hane oF @ DW. There axe quite a fow Eleide but you cum deere some Blak Fos some fislds there will be 3 default va108, [Un entarno inicial sto para Internet Af you enter *.7, ene field will be 1efe blank. 2 Eeamesy. ane (2 tetcer code) oh 2. State or grovince Hans (full nome) (enske Dovert) 3. Locansey Nase gj. city! (enake Town! 4. Gegansznesen wane (6g, company) (aneke O11, ita) 5. crganizationai Unit Mage (0.9: section) [Certificate authority) 2 common ane (eg, ck'nane} | (oneke O81 Ch) 30 fet Adaroee (2-9, nemeuPQOK) (casenaxeo!} dom) a cercitheare vanssity faye) Get ‘Hap T: Goveratlog W509 certificate for Ca signed by Teacl? fea.crtl Gertiticate versson (ar 2) Gl Zijeats en /60-Sonke Desext /Losuake Tow/ echorsey/ Ginsnake 0:1 Ch/emalladdvesaceatenakeot dow Getting Private key oust /eel cst /en.ctts /G-t/t-mvak Cenest/LnSrake Teen/O-Gnake O81, Led Guscertiticate authority/cNsGaake 011 Ch/omallnddrees-casenaeeni1 dea error 18 at 0 depth lockupraelt migned certificate ke of1, 199/o0-ceresesate BEEP, Goueiating Ren private bey for GHWVER (9020 BIE] TeeFver ney! 2600765 semi random bycee Loaded Generating RSA private key, 1024 bit long modulus SUEY (onteaeay ol "You aro about be sakes ro onter information chat will ue incorporates into your cevtstioare vaquert tiene you eve about fo enter io vit Se called a Distinguished Rime oF & DW. 2 Eounesy Rose @ letter code} 00) 2) Stave oe province tame (full mene) [Snake Deseret] 31 Lncalsey None (5, Services /arebrsebr> Normalmente, el equipo Web al que le dé soporte creard la estructura de dix reetorios y paginas Web. Probablemente necesite ofrecerles una base de datos tambien, pero esto se fratard en otro capitulo. For ahora, solo necesita saber como establecer un sitio Web y un dominio de Internet. Gestionando usuarios y correo electrénico Una de las tareas mas importantes a la hora de administrar sistemas Linux es Ja gestién de usuarios y sus cuentas. Puede usar el panel grafico ISPConfig. UnaBo. Un entomne inital listo para Internet vez que haya configurado los dominios, al seleccionar uno de ellos en la seccidn de gestion de ISP dela barra de tareas traera al primer plano la pantalla del sitio ‘que se mostr6 en la figura 4.9. Volvamos atréis para verla, Figura 4.13, Estructura de un sitio web simple El formulario tiene scis solapas. La segunda solapa de la izquierda se Hama Usuario y Correo. Desie esta solapa podra afiadir nuevos usuarios y gestionar los cexistentes. Cuando selecciona Nuevo, podré ver otro formulario como el de la figura 4.14. En este formulario, puede introducir los detalles de nucvos usuatios y esta- blecer los limites de almacenamiento, Un valor de -1 ofrece espacio ilimitado, pero puede gestionar las cuotas de la manera que prefiera, Bn la solapa Opciones Avanzadas (figura 4.15), puede usar una opeidn para permitir que el correo enviado a un usuario sea redirigido a otra direecién. En otras palabras, siel usuario tiene una direccion de correo altemativa que desea ‘usar, puede usar dicha opeién para enviarle el correo a esa cuenta, : Un entom inicial listo para internet 21 ise) cases cane Figure 4.14. Formularo de usuario. Figura 4.15. Opciones avanzadas de correo. ‘Oras opciones de esta solapa son’ ‘+ Mantener una copia: Al seleccionar esta opcién, sc mantendra una copia dle cualquier correo electrdnico que se reciba en el buz6n local del ustia~ rio. Esto ¢s muy util para el caso en que los mensajes que se reciban no hayan legado a la dircecidn de correo (debido al filtrado de spam u otro. problema}122 Un entorng inital Isto para Internet + Aiasde cone: Sine quiere exponersu buon de core pbcamente os ‘tons onde ctr come nombre ene ta cer esto ofreciendo un de correo. & Puede he + Gogor ode ol corto: sts opin ree a xin especial tos os corres queschayan eviado cuentas usuarios nein La gente normale crib a inecone saa ecuenenent come eases sts recone son valdas, Pde feoger estou hase enna Senta Se uaroceada alee. + Escanear correo: Si gulereescanear el correo en busca de virus © céigo Javascript para servi, use sta opeion, + Autorsponder: ata opin fe pete va una eset atomtin a jos mensajes enviados aun usuario expeific, esto es il, por emp cuando el usuario va estar facta dela oficna por in peiodo de tempo, Con respecto a la solapa Fillo de Spar & Antivirus, mostrada en la Figura 4.16, puede consderar que estratega de spam usa Acivande e filtro de spam Para tna cuenta, puede espeiicar el comportamiento el ito Spanier: sewite sabect: ‘ee Figura Si selecciona la estrategia de aceptar spam, permite que el | permite que el spam entre en el >buz6n del usuario, siendo el agente de correo del usuario (MUA) el encargado de Un entorna inicial sto para Internet 123 filtrar el spam. Muchos administradores prefieren esta estrategia inicialmente, hasta que el usuario fenga una hase de datos de correo identificado como spam. Después, el usuario puede cambiarse al modo de descarte, donde el correo iden tificado como spam se horra del servidor. "Ahora echemos un vistazo a las opciones para el spam: + Acietlos de spam: El filtro de spam ejecuta un determinado nimero de pruebas sobre correos entrantes y asigna puntos a cada prueba. Sila suma, Ge los para estas prueba alcanza o supera el valor especificade por los “Aciertos de spam, el correo se elasifica como spam y se maneja de acuerdo con la estrategia definida por el usuario. + Reeser asunto: En cl modo aceptar, escoger esta opcidn significa que la Tinea que identifiea ef asunto de cada correo se identificara como spam aadienddo un prefijo identificativo (por defecto “*"SPAM"*). Esto perm te al ustiario ordenar el correo clectrénico segiin el asunto. Para permitiy que 1m usuario haga cambios en su cuenta de correo electréni- co por si mismo {incluso la contrasefa, el filtrado de spam y las opciones de spam), debe seleccionar la apcién Usuario de correo para dicho usuario en la s0~ Tapa Base del formulario del sitio (Véase la figura 4.10). Para hacer cambios, et ‘usuario de correo puede autentificarse en el sistema a través de la dieccion: http: //centralaoft .org:81/mailuser. sci Directorios publics, de usuario y de inicio Cada usuario de un dominio gestionado por ISPConfig tiene su propio direc torio de inicio en el directorio de usuarios, $i el acceso FTP est permitido, los usuarios aparecerdn en su ditectorio de inicio al autentiticarse via FIP. Cada di rectorio de inicio también contiene una carpeta Hamada Web a la que los usa rios pueden acceder visitando una URL del tipo: http: //www.centralsoft .org/ Maser http://www ,contralacft .org/users/user. 1a figura 4.17 muestra Ia estructura de un directorio de inicio para el usuario creado en central soft .o7g. Configuracién del cliente de correo electrénico En este punto, deberfa comprender los aspectos basicos a la hora de configu~ rar un sitio Web, crear un usuario y manejar el correo. Pero ademas, tendra que ser capaz de ayudar a sus usuarios a configurar sus clientes de correo electré1 Co, especificando los servidores de correo entrante y saliente. En nuestro sistema, ISPConfig usa server? .central soft .org tanto como servidor SMTP como servidor POP3/IMAP.a Un entomo iniciat listo para Internet a Figura 4.17. Vista de tipo navegador para et directorio de asuaria, En Jos clientes modernos dle correo electrnico, existe la opeién de clegir la capa de transporte seguro (TIS). Seleccione TLS cuando sea posible para contigu- rar el servidor de correo saliente. Debido a que la mayoria de Jos clientes de co rreo usan su ISP como servider SMTY, puede seleecionar TLS si su ISP To usa. Em Ja gran mayoria de casos, su ID de usuario y contrasefia viajan sobre las Kneas de su ISP en forma de texto plano. Para recibir correo, configure el servidor de entrada (nosotros usamos serverl, centralaoft.crg) y seleccione 0 POP3 o IMAB Use su nombre de sistema (por ejemplo: web1_adel stein) y especifique la dircccion de correo como elalias (por ejemplo: tomaentral soft .ar3) Saparece un mensaje de error como "-ERR Unknown AUTHORIZATION state ‘command! al intentar obtener el correo via POP3, probablemente se haya olvida~ do de activar la encriptacion SSL/TLS. Reconfigure su cliente de correo, active POP3-sobre-SSLe inténtelo de nuevo. Salvaguardando un servidor Web Linux Enel entorno actual de los negocios a veces ocurren cosas inesperadas. Algunas personas escanean direcciones IP en busca de fallos. Osan sofisticados diccionarios ‘de contrasefias para intentar conseguir acceso como root alos servidores, de mane- a que puedan usarlos como plataformas de spam, virus 0 gusanos. Las situaciones ‘que tos administradores de sistemas tienen que afrontar ticnen su raiz.en una com- Dinacién de factores con precision o certeza, Por lo tanto, losadministradores tienen ‘que aprender a adaptarse rpidamente alas nuevas {y hostles)situaciones, Hay dos formas de adaptarse, Primero, siesta Jo suficientemente concienciado, puede tomar precauciones. Nosotros llamamos a esto anticipacisn. Un entorno inci listo para internet 125 Otras veces, no obstante, tend que adaptarse a la situacién en funcion del ‘momento, sin tiempo para la preparacion, Esto requiere improvisacién. Para ser completamente adaptable, hay que ser capaz tanto de antieiparse como de im- provisar. jitorizador de demonios Ei papel de demonio m: No importa lo riguroso que sea a la hora de salvaguardar su servidor de Internet, por alguna extrafta combinacién de razones, su sistema podria fallar. En un mundo perfecto, podria monitorizar cada servicio y el sistema Je alertaria inmediatamente de! fallo, Pero, no vivimos en un mundo donde todas nuestras expectativas puedan verse curplidas. Imagine que aloja su servidor en un ISP a muchos kilémetros de su base de operaciones, Si este servidor se viene abajo, alguien podria Hamar al ISP y conse- _guir que el personal de servieio vuelva a dejarlo funcionando. La persona encar gada del soporte téenivo puede que no este disponible inmediatamente, por lo tanto tendra que esperar un tiempo con una aplicacién critica caida En una empresa grande, podria sentirse aislado si su servidor esta situado a. muchos kilémetros, Los operadores de los centros de datos no suelen conceder acceso a [a sala de ordenadores, ni siquiera a los administradores de sistemas Independientemente de su ubieacién, por lo que es muy importante que un ad= ministrador sepa gestionar sus sistemas remotamente, Un demonio monitorizador de cemonios (DMD) es uma utilidad que observa sus servicios y autométicamente intenta reiniciarlos cuando fallan. Si un servi- io falla, normalmente tiene que autentificarse en cl servidor y abrir una consola para ejecutar un comando como /ets/init.4/myaql restart. Un DMD puede, sin embargo, gjecutar este comando sin intervencién por su parte, Sil servicio se reinicia, fin det problema. Si no se reinicia satisfactoriamente, el DMD hara un determinado ntimero de intentos (por ejemplo 5) y luego contactara con usted via mensaje de texto, correo electrénico wt otra forma de comunicacién que pueda alertarle del problema, En este punto, tendra que inter venir para averiguar por queé el servicio ha fallado. EI DMD se ejecuta como otro servicio de su servidor: Tiene un archivo de configuracisn para elegir la opeidn, {que mejor se ajusta a sus necesidades. Puede hacer que se inicie manual 6 auto- éticamente. En la siguiente secci6n, configuraremos un DMD llamado monit, que tiene ‘una interfaz Web sencilla como se muestra en la figura 4.18. ijese bien en que hay cinco servicios bajo Vigilancia. En la figura 4.19, se puede ver claramente como el sistema gestiona cada proceso. En este €as0, esta mos mostrando sshd.126 Un entorne inital isto para Internet QO0.000 osiim Monit Service Manager Figura 4.18. interfaz Web para moni clecutandose en centralsoft org Fijese que en la figura 4.19 el estado de sshd muestra que se est gjecutando y ue el sistema lo esta monitorizando. Em las tres lineas de la parte de debajo dela pantalla, puede ver las instrueciones que se harén si sshd fala 3E felled localhost :22 [SSH] with timeout 5 seconds then restart else Chen alere Esta politica simplemente reinicia un servicio que ha fallado y envia un men saje cuando se reiniia satisfactoriamente, Finalmente, monit ofrece cuatro botones en la parte de debajo de la pagina para la intervencién manual. Ahora, veamos c6mo funciona el sistema. Instalando y configurando monit Para poder instalar monit tiene dos opciones igual de validas. Puede utilizar tanto el gestor de paquetes del sistema como también descargar la distribucion {Un entorno incial listo para Internet 7 destle http://www. t4ldesiash .com/nonit. Si esta usando Debian, simple mente introduzea: cote es on a Rg Figura 4.19. nspeecionando sshe. Después de que haya instalado monit, edite /ete/moait /aonitre. archi vo creado durante la instalacion contiene montones de ejemplos y puede encon~ trar més ejemplos de configuracién en http://www. tildeslash.com/monit/ doc /exanpies..php. En nuestro caso, nosotros queremos: + Activar la interfaz. Web de monit en el Puerto 2812, + Monitorizar los servicios proftpd, sshd, mysql, apache y postfix. + Crear una interfaz Web basada en Secure Sockets Layer (https) donde po- der autentificarnos como admin, + Indicarle a monit que manda alertas de correo a root @lecalhest.ve Un entorno inicial Isto para Internet Nuestro archive de configuracién /ete/monit /monitre es! Set log file ayslog tacitity 1oq_daenon Set mulsorverloeathos® fet uail-formac( fron: moniteservert ,cencealaoft.org } Sat alert rostelocaihont fet htepa port 2612 ana cheek process protepa with pSafile /var/run/proftpa.pid store peagran = v/ena/anie.d/peotepa etare Step program = */ete/init.a/protepa atop’ Ge fatted port 21 protocol fep then 56 stop program */ete/inle.a/aan otop* it tailed pore 22 protocol sch then restart Start progran = "/ete/inte.a/nyeq. stat Stop program = "/ore/ssie-a/meq) sep! check proceed apache with plafile /ver/zun/epached pid "ete/snie.d/apache? stax) Failed host wiw,centralsoft org port, 80 protocol http ques! "/manit torent thea restart Af totalnen » 500 MB ror 5 cycles then restart EE children > 250 thon restart 2 loadavg(snin} greater than 10 for 8 cycles then stop process postiix with pidtile /var/spool/posttin/pid/naster.pid ‘group mail Start progran = "/ete/inic d/poectix stare Stop program = "/ate/iait.d/postiix seep" Ef failed poxt 25 protocol anup then restart EE 5 restarts within 5 cycles then timeout Las sentencias y las opciones se describen en la documentacién de monit en http: //wew. tildes! anh .con/monit /doc/manal -pkp. En la seccion de apache de la configuravidn de monit, verd la sentencia: Af fasted host wer centralaott.oxg port s@ protocol Rep sha Fequeat "/monit/eoeen* thes) restart [Un entorno inicial sto para tnternet 29 Esto significa que monit intenta conectarse con www.centralaoft-org en 1 Puerto 80 ¢ intenta acceder al archivo /nonit /toxen. Debido a que el doct~ mento raiz del sitio Web esta cn /vax/www/was. centralsoft .org/web, el nombre del archivo se extiende a /var/www/www.centralsoft .org/web/ onit /token. Si monit no se ejecuta, significa que Apache no se esta ejecutar do, por lo que monit intentara reiniciarlo, Ahora debemos erear el archivo var/www /waw.centralsoft .org/web/ monit/token y escribir una cadena de texto arbitraria: 4 akair /ver/inne/wne.centralsofe.org/eb/montt tone Mhatlor > /vet/aneu/wmr.centeaiaofe.cog/web/montt/token Puede seguir un procedimiento similar en su sistema. Luego, cree un directorio para albergar el archivo de certificado (/vax:/certs/ nonit.. pem) necesario para interfaz Web SSI. de monit: 4 mksts /ver/oerte ca /var/eeres Necesitard un archivo de configuraciin OpenSSL. para erear el certificado, EL resultado /var/certs/nonit, pem deberfa ser como este: ERDSICE © /opensel end Ureg } (req. an I ° counteyiiane = country same letter code) care of Province None (S011 ame) ocenteytane = tocaiity wore (es, ofty) orasnizationiane = Organization Rane (es, company? Orgesizetionel Unit Nae (ag, wctiou Commontane omon tare (FODE of your aoe) ‘comontane default + server onit.0 snalinddress 2 Shall address Tcert_ype | neCortiype » server Ahora cree el certificado: 4 openaea xaq -new -1509 -daya 265 -nodes -contig ./montt.onf -out \ Pvaz/oarea/aoait pen “bayou /var/oeree/nosit-pem130 Un entomo inicial isto para Internet Wohmod 700 /var/certe/montt. pew Luego edite /ete/default/monit para activar et demonio mont, Cambie Martup a 1 y configure CHECK_INTERVALS con elintervalo en segundos que quicre que se compruebe el sistema, Nosotros hemos elegido 60, El archivo deberia que~ dar ast 4 Defauite for woait inivecript ¥ sourced by /ove/init.a/moutt 4 installed at /ete/dedault/menit by maintainer eeripte 4 Predeix Steen cateneedebian.org> 4 You most get this variable co for aonit co start startups to change the intervala which monit showld run uncomment f and change this variable Finalmente, inicie monit: # fere/inie.a/sonte start Ahora haga que su navegador apunte a https : //your_donain:2812/ (ase- girese de que el puerto 2812 no esta bloqueado por su cortafuegos) y autentifiquese con et usuario admin y la contrasena test. Deberfa ver la interfaz ‘Web de monit, tal y como se mostr6 anteriormente en la figura 4.18. Qué es lo proximo Empezamos levantando el servidor y configurdndolo de manera que pueda usarse como una plataforma para Internet. Hemos instalado un servidor basado en texto sin el sistema de X Windows (por razones de seguridad y de rendimmien- to) y luego hemos configurado interfaces basadas en Web que le permitan ges- tionar de manera segura y monitorizar sus servicios. En los restantes capitulos, vamos a profundizar nuestra exploraci6n del siste- ‘ma de administracion de Linux. En el capitulo siguiente, aprenderd a instalar software administrativo que no se instala automaticamente. Configuraremos la ‘mayoria de las aplicaciones Linux gue la gente usa cada dia en la empresa y en negocios de pequeiio y medio tamafo, Capitulo 5 Correo ste capitulo muestra cOmo levantar un servicio de correo electrénico para tun sitio de pequetio o medio tamano, Los elementos del servicio son: + El servidor Postfix como agente de transferencia de correo SMTP (MTA), ‘que acepta correo de otros usuarios e interactia con otros sitios a través de Internet para enviar el correo, + Servidores Post Office Protocol (POP) y el Protocolo interactive de aeceso al correo (IMAP) para entregar el corteo a sus usuarios. + La capa Simple Authentication anu! Security Layer (SASL) sieve para auten- tificar el corrco y evitar el spoofing, Configuraremos Postfix para usar el tradicional sistema de autentificacton basado en archivos, que pusde soportar miles de usuarios. Las grandes instala- ciones de correo pueden almacenar nombres de cuentas de correo y contraseias fen bases de datos relacionales o en dizectorios LDAP. Para ver un gemplo de un servidor de correo muy escalable basado en Postfix con autentifieacion LDAP vease Zimbra (nee: //wew. 2imbra con). Las soluciones de este capitulo intentan juntar diversos componentes para ha~ «cer un sistema de gestidn de correo eficiente, robusto y seguro, Hoy en dia, perso~ ‘nas como Wietse Verma (el inventor de Postfix} han conseguido reducir mucho 1a complejidad de configuracion de los sistemas de correo electronico. En lugar de ‘vérselas con complejas configuraciones de servidores de correo, los administrado- res de sistemas Linux tienen otros problemas mas importantes que resolver: + Como asegurar el correo, una forma de comunicacién que no fue disefia~ dla teniendo en cuenta la seguridad, ni siquiera contra los ataques de su- plantacion de identidad w otros ataques maliciosos.