Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Características de SSH
Llaves publicas
Historia:
En los años 60’s el protocolo de acceso remoto era telnet, siendo este un protocolo de
comunicaciones inseguro, debido a que se cualquier host en la red podía leer y ver el tráfico, SSH
encripta la información haciendo uso de llaves , se debe tener al menos un cliente para acceder al
server, la primera vez que se conecta solicita “key fingerprint” (mensaje de advertencia) es una
huella digital que permite identificar el server, cuando se realice una nueva conexión a este
servidor, se debe ingresar el texto “yes” para validar el proceso y finalmente se hará la verificación
de la contraseña del usuario, si se ingresa por segunda vez el fingerprint es reconocido dado a
que la huella ya se encuentra almacenada y es reconocida como equipo destino y solamente
tendrá que validar la contraseña del usuario
a. Implemente una topología de red similar a la del grafico siguiente. Esta puede ser
realizada en maquinas reales o bien en máquinas virtuales.
b. Instale el servicio ssh, desde la línea de comandos, en el equipo Linux que hará las veces
de servidor. Para esto utilice el archivo de instalación suministrado por el Instructor.
c. Elimine todos los archivos del directorio /root/.ssh/ tanto del lado cliente como del
servidor Linux, y genere un par de llaves (publica / privada), desde la línea de comandos
del equipo Linux que hará las veces de cliente, y cópiela al equipo Linux que hará las veces
de servidor. Una vez hecho esto, inicie una sesión en el equipo servidor utilizando la
contraseña cifrada y ejecute algunos comandos desde la Shell del cliente.
d. Una vez probada la conexión SSH del punto anterior, cierre todas las sesiones abiertas y
configure SSH para que acepte peticiones por el puerto TCP 70000. Reinicie el servicio
correspondiente.
e. Ejecute los comandos apropiados para copiar al servidor, de forma segura, una carpeta
completa llamada dir_prueba, la cual estará en /root del equipo cliente. La carpeta
contendrá los archivos informe1.pdf hasta informe10.pdf. Verifique que los archivos han
sido copiados de manera correcta.
f. Ahora descargue de forma segura, desde el equipo cliente, una carpeta llamada
/root/consolidados/ la cual está en el equipo servidor y contiene los archivos
enero_2010.xls a diciembre_2010.xls. Verifique que los archivos han sido copiados de
manera correcta
Recomendación actualizar SO, Librerías y repositorios. (upgrade-makecache)
openssh-server-8.7p1-8.el9.x86_64
libssh-config-0.9.6-3.el9.noarch
libssh-0.9.6-3.el9.x86_64
openssh-8.7p1-8.el9.x86_64
openssh-clients-8.7p1-8.el9.x86_64
Instalar el servicio
Instalado:
openssh-server-8.7p1-8.el9.x86_64
¡Listo!
Listar archivos
[root@dns1 ssh]# ls
ssh_config.d ssh_host_ed25519_key
sshd_config.rpmsave ssh_host_ed25519_key.pub
Se requiere que el server este en modo puente y que se encuentre en el mismo segmento del
equipo físico.
PowerShell
sshjuan@192.168.1.66's password:
Se recomienda hacer la prueba inicial sin hacer configuración del archivo sshd_config
[sshjuan@dns1 home]$ ls -l
total 4
Es importante validar las claves privadas color verde, para conocer la fingerprint se ingresan los
siguientes comandos:
[juan@dns1 ssh]$ ls -l
total 600
ssh-keygen: Herramienta.
-l: indica a la herramienta ssh-keygen que muestre el fingerprint.
-f: especificar el nombre de una llave que se desea ver.
ssh_host_ecdsa_key.pub: Nombre de la llave que quiero averiguar el fingerprint.
Generar certificado publico de la maquina remota que se conecta al server la primera línea verde
es la ubicación de la clave publica, la segunda línea verde seria la clave privada
+---[RSA 3072]----+
|o = ..=E*. o + o|
| o.+ ++. . . |
| oo o .o |
| . o..S.o |
| . B..o . |
| + =... |
| +.+o |
| ..o++. |
+----[SHA256]-----+
PS C:\Users\Juan Agredo>
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABgQDpAI8c5fsKU9uRxAb0/IoeAEc91walsn6SiQiVnnOxssWlrM
bkK0mbJWhiHhaTODUbtH+bnxXYZLjmYC5Ckf0aTUzeU7l7aKjxd+1dmf9nnXqT4H7Rl6HuV4VLWrcw
rPRuBivnIdUMdtI8oYczR7xFT9vZKdza3kM3nKF32qmUbKuhogHcKTbT6eN0H+xVBzDDzrrGb33y8fX
bCdMMnfB1wCu0fbIJWvAeFS04YmRmVH/iwryjuw2SrqBcPc00Bj/
WBPidaAXusBvVC9Pf6Dwl9BEvwEON8Y/bKzXI9/8uSpQPOw/
0f8UL+XLqNh23bgZ5kSu3h7eRJEhfU/YBD2mhnkPo/zi3tHTMSSXNPgV1yyNp7oX25XI+/
nsYsPpzefUFQm/
rXMPjIuHjaEJHcDlhnB+LSyIz59gKYEiYcuDvfKWRD0FjQsN7wsIbRjFJipIG4uvHXyPjxSJgYXn8UnGLFMb
YiYh7IkkogKPOwAEZ76LQBQsTVWQUFKNkCKnzxBs= juan agredo@DESKTOP-3H0SK8F
Lo amarillo es que se esta en pruebas para dar mas seguridad al SHH ingresos por llaves publicas
y clientes registrados en la configuración del SSh
ssh-copy-id -i /root/.ssh/id_rsa
Editando el archivo
juancho@192.168.1.68's password:
[root@localhost ssh]#
Configurar el archivo
Port 22
ListenAddress 192.168.2.69
PermitRootLogin no
MaxAuthTries 3
MaxSessions 10
FTP
a. Implemente una topología de red similar a la de la figura 3 siguiente. Esta puede ser realizada en
máquinas reales o bien en máquinas virtuales.
b. Instale el servicio vsftpd, desde la línea de comandos, en el equipo Linux que hará las veces de
servidor. Para esto utilice el DVD de instalación.
c. Cree y configure las cuentas de usuario ANA y CARLOS (con sus respectivas contraseñas), en el
servidor FTP, de modo que no tengan capacidad de login remoto, y además deben habilitarse
permisos, de lectura y escritura para el primer usuario, y de sólo lectura para el segundo. El acceso
anónimo debe deshabilitarse. Apóyese en el documento Material de Apoyo - Configuración y
Creación de Usuarios FTP.pdf. Nota: El tiempo de duración de la sesión FTP debe establecerse a 10
minutos.
d. Haga una conexión desde un cliente FTP (en modo texto), y pruebe que las cuentas de los
usuarios mencionados están activas. Además, que puedan realizarse operaciones de lectura /
escritura de archivos, de acuerdo a las condiciones establecidas en el punto anterior.
e. Cree y configure las cuentas de usuarios virtuales LUIS y JUAN, de modo que sólo puedan leer
archivos desde el servidor FTP. Apóyese en el documento Material de Apoyo - Creación de
Usuarios
f. Realice una conexión desde los clientes FTP, de modo que verifique la correcta creación de los
usuarios del punto anterior. Verifique también que las cuentas de usuarios: locales y anónima
están
Instalación:
Instalado:
vsftpd-3.0.3-49.el9.x86_64
¡Listo!
vsftpd-3.0.3-49.el9.x86_64
[root@dns1 vsftpd]# ls
Configurar el archivo
chroot_local_user=YES descomentar
al final ingresar este texto
allow_writeable_chroot=yes
Guarda y salir
Iniciar el servicio
Active: active (running) since Fri 2022-03-18 00:50:09 -05; 9min ago
ftpd_full_access --> on
Reiniciar el servicio
Crear cuentas locales que se conecta remotamente según permisos pero los usuarios in capacidad
de logue en el sistema operativo (s /sbin/nologin Pablo
[root@dns1 home]# ls
[root@dns1 Luci]# ls
1 2 3 4 5 Luci
sshjuan:x:1001:1001::/home/sshjuan:/bin/bash
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
Pablo:x:1002:1002::/home/Pablo:/sbin/nologin
Jorge:x:1003:1002::/home/Jorge:/sbin/nologin
Lucia:x:1004:1002::/home/Lucia:/bin/bash
Nueva contraseña:
success
success
success
[root@dns1 Jorge]# ls
Jorge
[root@dns1 Jorge]# ls
[root@dns1 Jorge]#
Establecer ACL
Una ACL específica a qué usuarios o procesos del sistema se les otorga acceso a los objetos, así
como qué operaciones se les permiten a los objetos dados. Cada entrada especifica un tema y una
operación. Para trabajar con las Listas de Control de Acceso tenemos disponibles dos herramientas
fundamentales, que son:
# file: home/Jorge
# owner: Jorge
# group: grdftp
user::rwx
user:Jorge:rw-
group::---
mask::rw-
other::---
Se crean dos permisos (ACL) con el comando setfacl para los usuarios Jorge (permiso de lectura y
escritura) y Pablo (permiso de solo lectura). Se utiliza el comando getfacl para ver en el directorio
de Jorge la creación de los permisos
Para ver el propietario de una carpeta en Linux usaremos el comando ls tal como se muestra en la
Ilustración 77 donde se entra al directorio home y luego damos ls –l y se visualiza el los
propietarios de las carpetas o grupos
[root@dns1 home]# ls -l
total 4
Se deja de forma recursiva el propietario del grupo, para que todo lo que se cree adentro quede
con los permisos asignados
Prueba desde el server con usuario y password de Lucia para ver el directorio Luci
Password:
230 Login successful.
ftp> ls
ftp>
Prueba desde un equipo en el mismo segmento de red del server, no deja ver los archivos dado a
que no se configura aun el servicio..
(0% perdidos),
Conectado a 192.168.2.69.
Contraseña:
SAMBA
Evolución de SMB
Capacidades de SAMBA
Demonio SAMBA
a. Implemente una topología de red similar a la del gráfico siguiente. Esta puede ser
realizada en maquinas reales o bien en máquinas virtuales.
b. Instale el servicio samba desde la línea de comandos en el equipo Linux que hará las veces
de servidor. Para esto, debe instalar los siguientes paquetes, mediante el comando rpm -
ivh nombre_del_paquete
c. Configure el servicio Samba, editando los archivos apropiados, desde un editor de texto,
de modo que el usuario Windows pueda acceder, al menos, a dos carpetas compartidas
del Servidor Linux. Una de las carpetas debe tener permisos de Lectura y Escritura, la otra
de Sólo Lectura. Apóyese en el documento Material de Apoyo - Configuracion de Samba
en Linux.pdf
d. Una vez realizado el paso anterior, desde el Explorador de Windows del equipo cliente,
acceda al contenido de las carpetas compartidas de Linux; copiando, creando, moviendo o
eliminando los archivos y subcarpetas contenidos
e. De nuevo en el servidor configure Samba, de tal modo que el usuario Windows pueda
acceder a la impresora conectada a dicho equipo, tal como se aprecia en el gráfico de la
página anterior
f. Realice una impresión de prueba de un documento de Windows hacia la impresora
compartida, en el servidor Linux.
g. Investigue con sus compañeros de grupo y con apoyo del Instructor, cómo acceder a los
recursos compartidos del Servidor, desde la maquina cliente Linux mostrada en el gráfico,
tanto en modo texto como en modo gráfico. Póngalo en práctica y anexe los resultados al
informe final
instalación:
se instalan los repositorios necesarios para la instalación y configuración de samba, en este caso ya
se encuentran instalados y lo que se realiza es verificar que los repositorios se encuentren en el
sistema con el comando rpm -q
Instalado:
tdb-tools-1.4.4-1.el9.x86_64
¡Listo!
Verificar:
samba-common-4.15.5-104.el9.noarch
samba-client-4.15.5-104.el9.x86_64
samba-winbind-4.15.5-104.el9.x86_64
cups-2.3.3op2-13.el9.x86_64
[1] 3087
Ir a la raíz del SO
[root@dns1 sshjuan]# cd
Se crea un directorio llamado samba y dentro de él se crean subdirectorios, los cuales se van a
compartir con el servicio y, por último, se dirige a la ruta del directorio con el comando cd y con el
comando ls se verifica la creación de los subdirectorios,
[root@dns1 ~]# ls
anaconda-ks.cfg
ir al directorio samba
[root@dns1 samba]# ls -l
total 0
creación de unos archivos dentro de cada subdirectorio que fue creando anteriormente con el
comando touch seguido de la ruta absoluta con el nombre de los archivos
[root@dns1 grd]# ls -l
total 0
Se modifican los permisos del directorio samba y los subdirectorios, con el comando chmod; se le
asignan todos los permisos al propietario y al grupo y a otros ninguno en el subdirectorio grd. En el
subdirectorio grdlocal se le asignan todos los permisos al propietario, al grupo solo lectura y
ejecución y ningún permiso a otros
se habilitan las banderas a todos los archivos y directorios que están dentro del directorio /samba
Se cambia el propietario y el grupo del directorio /samba a root y grdsamba respectivamente con
el comando chown
success
success
success
[global]
workgroup = SAMBA
security = user
netbios = Samba_server
printing = cups
Se configuran los parámetros necesarios para compartir los directorios con los usuarios del grupo
samba
[grd]
comment = instructor
path = /samba/grd
public = yes
writable = no
printable = no
browseable = yes
[grdlocal]
path = /samba/grdlocal
public = yes
writable = no
printable = no
write list =JuanSam JuanchoSam
browseable = yes
path = /var/spool/samba
browseable =yes
guest ok = yes
writable = yes
printable = yes
#browseable = No
[print$]
path = /var/lib/samba/drivers
public = yes
browseable =yes
writable = no
Guardar y salir
se abre la ventaja emergente de EJECUTAR con la combinación de teclas (Windows + R), se ingresa
la dirección IP del servidor samba para lograr entrar a las carpetas compartidas del servicio de
samba.