Download - Dam Si Si10 Completa
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 1/34
Esquemabsicodered.
Administracindelared(LinuxIII).
MaravisitaaJuan.
Juan, vamosamejorar la red de la empresa y para eso necesitoque utilices un servidor para que acte como router y leproporcione a le empresa los servicios msimportantes. Encaminamiento y DHCP, y luego leinstalaremosmsservicios.
MuybienMara,hevistoporInternetqueLinuxfuncionamuybienconredes.Dehechosumximapotenciaseutilizaparaactuarcomoservidor.Ahoramismomepongoaconfigurarelservidor.
1.Esquemabsicodered.
Juansedisponeadisearlared,peroantesdeempezar,vaahacerunesquema de red, ya que este esquema le ser de utilidad, paramantenerlaredyparacuandotengaquehacercambiosenlamisma.
ConlafuerteexpansinquehatenidoInternetsehageneralizadolautilizacinderedesen lasempresasyennuestroshogares.Hoyendaparaunempresaes totalmente necesario disponer de una red interna que le permita compartirinformacin,conectarseaInterneteincluso,ofrecersusserviciosenInternet.
Enestaunidadaprendersa configurar el sistemaGNU/Linux para convertirloen un potente router que provea a la red de los servicios necesarios:encaminamiento,DHCPy DNS.Parapoderaprendermejoraadministrarelsistemanuestroobjetivoesconfigurar la infraestructuraderedquesemuestraenlasiguientefigurayquepuedeutilizarseenunaempresaodomicilio.
Alahoradeconfigurarlaredhayquetenerencuentalossiguientesobjetivos:
Configurar iptablespara darle acceso a Internet a los clientes de laredinterna.Configurar el servidor DHCP para que asigne de forma automtica lasdirecciones que van desde la 10.0.0.100 a la 10.0.0.254. Las dems direcciones las asignar eladministradordelareddeformamanual.Adems,sedisponedeunaimpresoraderedquetieneladireccinMAC(AA:BB:CC:DD:EE:FF)a laque
Casoprctico
Casoprctico
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 2/34
Comandoifconfig.
selequiereasignarsiemprelaIP10.0.0.254.Configurarel servidordenombresparaqueadministreeldominiomiempresa.com. Adems, se tiene quecrear los siguientes registros: www.miempresa.com y ftp.miempresa.com apuntan a la IP10.0.0.1mail.miempresa.comesequivalenteawww.miempresa.comyelservidordecorreoelectrnicoseencuentraenmail.miempresa.com.Por ltimo, se configuran los serviciosWeb y FTP para que la empresa tenga su propio servidor depginaswebyFTP.
1.1.Configuracindelared.Una vez que tienes claro el esquema de red que vas a implementar, el primerpasoquedebes realizaresconfigurarcorrectamente lasdiferentes interfacesdereddenuestroservidor(queactacomorouter)ydelosclientes.
Bsicamente existen dos formas de configurar las tarjetas de red de nuestroequipo: manualmente o dinmicamente a travs de un servidor DHCP. Acontinuacinsevanaverambosmtodosdeconfiguracin.
1.1.1.Configuracindelaredcableada.ParaconfigurarunainterfazderedesnecesarioasignarleunadireccinIP con su respectiva mscara de red. El comandoms utilizado paraconfigurarlaredes ifconfig(InterfaceConfiguration).Porejemplo:
#ifconfigeth0192.168.1.2netmask255.255.255.0up
Enestecasoestasconfigurandolainterfazeth0 (primera tarjetade reddetectada) con la direccin IP 192.168.1.2 y con mscara de red255.255.255.0. El parmetro up indica que la tarjeta debe activarse,pero puede omitirse puesto que al asignarle los parmetros de red la tarjeta se activar por defecto. Paradesactivarunainterfazderedejecuta:
#ifconfigeth0down
Paraactivarunainterfazderedejecuta:
#ifconfigeth0up
Paracomprobarlaconfiguracindelasinterfacesderedejecutaelcomandoifconfig.Talycomopuedesveren lasiguiente figura la interfaz eth0 tiene la direccin 192.168.118.142 (la ha obtenido de forma automtica) y lainterfazeth1tieneladireccinIP10.0.0.1.
Paraqueelequipopuedaconectarseaunareddiferentede laqueseencuentra (porejemplo, Internet)necesitaestablecerlapuertadeenlace.Lapuertadeenlaceeselequipoquepermitecomunicarvariasredes.Porejemplo,si el equipo se encuentra conectado a la red 192.168.0.0/24 en la interfaz eth0 y la puerta de enlace es192.168.0.1,debesejecutarelsiguientecomando:
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 3/34
Configuracindered.
#routeaddnet0/0gw192.168.0.1eth0
Si quieres puedes realizar la configuracinmediante el entorno grficoxWindows. Para ello, en el men Sistema > Preferencias ejecuta laherramientaConexionesdered.
1.1.2.Configuracindelaredinalmbrica.Desde los sistemas GNU/Linux es posible configurar la red inalmbrica a travs del comando iwconfig o atravsdelasistentedeConexin.Paraaccederalaredinalmbricadeformagrfica,enelmendeherramientassuperior, pulsa en el icono de la red inalmbrica y selecciona la red a la que deseas conectarse. Si la redinalmbricarequiereautentificacin,indicalacontrasea WEPo WPAypulsaelbotnConectar.
Automticamente,elasistenteestablecelaconexinalaredinalmbricaymuestraenpantallaunmensajedequeelprocesoseharealizadocorrectamente.
1.1.3.Ficherosdeconfiguracin.Elproblemadeconfigurarlasinterfacesderedconifconfigesquenoseguardanlosdatos de configuracin en ningn fichero, al reiniciar el equipo se pierde laconfiguracin. A continuacin se van a ver los diferentes ficheros de configuracinqueintervienenenlaconfiguracindelareddelequipo.
La configuracin de las interfaces de red se guarda en elfichero/etc/network/interfaces.Siguiendoelesquemaderedpropuestoanteriormente,la interfaz de red eth0 es la encargada de conectarse a Internet mientras que lainterfazeth1pertenecealaredinterna.Losparmetrosdeconfiguracindeeth0 lostiene que facilitar el proveedor de Internet o los puedes obtener automticamenteutilizandoDHCP.
Fichero/etc/network/interfaces.
autoeth0
ifaceeth0inetdhcp
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 4/34
autoeth1
ifaceeth1inetstatic
address10.0.0.1
netmask255.255.255.0
network10.0.0.0
broadcast10.0.0.255
#gateway10.0.0.1
Aunque lo normal es que eth0 obtenga la direccin IP de forma automtica al iniciar el equipo puedes hacerlomanualmenteejecutando:
#dhclienteth0
Configuracindelnombredelequipo.
Paraconfigurarelnombredelequipohayquemodificarelfichero/etc/hostnameeindicarelnombredelequipo.
ConfiguracindelservidorDNS.
Existendos formaspara la resolucindenombres: de forma local o a travsdeun servidor denombres (DNS).Para la resolucin de nombres de forma local se utiliza el fichero /etc/hosts en donde se guarda el nombre y ladireccinIPdelasmquinaslocales.Porejemplo:
127.0.0.1localhost.localdomainlocalhost
193.147.0.29www.mec.es
Paraestablecerlosservidoresderesolucindenombres(DNS)debeseditarelfichero/etc/resolv.conf.Porejemplo:
nameserver8.8.8.8
nameserver150.214.156.2
Actualizarloscambios.
Unavezrealizadalaconfiguracindelsistemaparaqueseapliquenloscambiosenlas interfacesderedhayquereiniciarelservicioohacerunreloadejecutando:
#/etc/init.d/networkingforcereload
Indicalaopcinincorrecta.
Autoevaluacin
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 5/34
Enelarchivo/etc/resolv.confseguardanlosservidoresdenombres.
Elcomandoifconfigeslanicaformadeconfigurarlared.Enelfichero/etc/network/interfacesseguardalaconfiguracindelasinterfacesdered.ElservicioDHCPpermiteobtenerlaconfiguracinIPdeformaautomtica.
Comandoping.
1.1.4.Comprobacin.Para comprobar la conexin a Internet puedes ejecutar elcomando ping indicando como parmetro cualquier direccin deInternet.Porejemplo:
$pingwww.google.es
Si al realizar el ping se recibe respuesta entonces la comunicacin se est realizando correctamente. Si por elcontrarioindicaquetodoslospaquetessehanperdido(100%packetloss)debescomprobarlaconfiguracinderedo los parmetros de configuracin. En la figura anterior puedes ver como el servidor www.google.es respondecorrectamentealcomandoping.
ParacomprobarlaconfiguracindelareddeformagrficaesposibleutilizarlasHerramientasdered.ParaelloenelmenSistema>AdministracinejecutalaaplicacinHerramientasdered.
La aplicacin Herramientas de red incluye informacin relacionada con nuestros dispositivos de red. Permiterealizar ping a un determinado host. Incluye la posibilidad de ver el estado de las conexiones de mi equipo,utilizandonetstat.Permiteutilizartracerouteparaverlarutaentremiequipoyunequiporemoto.Tieneunapestaapara explorar puertos, que me permite analizar y/o visualizar los puertos que estn abiertos o cerrados de undeterminadoequipo.Tieneunherramientadebsqueda.Usandofingersepuedeautenticarlosusuariosqueestnsiendousadosenundeterminadohostdelared.Finalmenteconwhoissepueden identificar todos losdetallesdelaadquisicindeundeterminadodominio.
1.2.iptables.La tecnologade firewalldeGNU/Linuxhaevolucionadodesdesencillos filtrosdepaquetes linealeshasta losmotoresactualesdeinspeccindepaquetesdeestado.LosncleosdeLinux2.0empleanunaimplementacindereglas de filtrado de paquetes que utilizan tres pilas: INPUT (trfico de entrada), OUTPUT (trfico de salida)yFORWARD(paquetesquese reenvanaotroequipo).Lospaquetes llegana lapartesuperiorde laspilasysefiltran a travs de las reglas hasta que exista una coincidencia.En este punto, cada paquete se puede aceptar,descartar, rechazar o reenviar. Si el paquete no coincide con ninguna de las reglas, pasa a la directivapredeterminada,quenormalmentedescartaelpaquete.
Aunquelacapacidadnativadefirewallde losncleosdeLinux2.0eramsqueadecuadaparagenerar firewalls,enlasiguienteversindelncleo2.2apareciIpchainsqueincorpornuevasyeficacescaractersticas:permite la
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 6/34
definicindenuevaspilasymejoralaadministracindelasreglasdeunapila.
Apartirdeldesarrollodelncleo2.3, losprogramadoresdeLinuxcomenzaronatrabajareniptables(tambinllamadonetfilter). Iptablesmejor lasventajasdeadministracindeconjuntosdereglasalpermitirlacapacidaddecrearyanularasociacionesdeconjuntodereglasconsesionesexistentes.Coniptables,el firewallsepuedeprogramarparaasociarel trfico devuelto generado a partir de una regla INPUT anterior. El trfico que entracorrectamenteenelhostpuedesalirautomticamentedelhostalserdevuelto, indicandosimplementequegeneredinmicamenteunaregladedevolucin.
Las ventajas de la tecnologa de inspeccin de paquetes de estado (SPI,State PacketInspection) no se limitan a la eficacia de las reglas. Ipchains no permite diferenciar la"verdaderanaturaleza"deltrficodelared.Porejemplo,unfirewall ipchainsprogramadopara permitir el trfico FTP de salida tambin tendr una regla INPUT asociada parapermitir la devolucin de paquetes. Si un atacante puede fabricar paquetes FTPdevueltos,Ipchainspermitesuentrada.ConSPInoexisteningunasesinparaasociarestospaquetesfalsificadosy,portanto,elfirewalllosrechazara.
Nosehapodidocargarelcomplemento.
Osiloprefierespuedesdescargarteeldocumentoexplicandolaconfiguracindeiptables.
1.2.1.Resolucindelsupuestoprctico.AcontinuacinsevaaconfigurarelcortafuegosparaquepermitaquelaredInternapuedaconectarseaInternet.
Paraestablecerqueelsistemaactecomorouterhayqueejecutar:
#echo"1">/proc/sys/net/ipv4/ip_forward
Limpialaconfiguracindelcortafuegos:
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 7/34
#iptablesF
#iptablestnatF
Indicaquelaredinternatienesalidaalexteriorpor NAT:
#iptablestnatAPOSTROUTINGs10.0.0.0/24d0/0jMASQUERADE
Sepermitetodoeltrficodelaredinternaytodolodemssedeniega:
#iptablesAFORWARDs10.0.0.0/24jACCEPT
#iptablesAFORWARDmstatestateRELATED,ESTABLISHEDjACCEPT
#iptablesAFORWARDjDROP
Guardalaconfiguracindelcortafuegosejecutando:
#iptablessave>/etc/iptables.rules
Ymodificaelfichero/etc/sysctl.confparaestablecerlavariablenet.ipv4.ip_forward=1.
Paracomprendermejoriptablessevaarealizarunamejoradelsupuestoenlaquelaredinternaslotieneaccesoalexteriorparaverpginasweb(puerto80/TCP)yparalaresolucindenombres(53/UDPy53/TCP).Adems,sevaapublicarunservidorwebinternoqueseencuentraenladireccin10.0.0.100.
Limpialaconfiguracindelcortafuegos:
#iptablesF
#iptablestnatF
IndicaquelaredinternatienesalidaalexteriorporNAT.
#iptablestnatAPOSTROUTINGs10.0.0.0/24d0/0jMASQUERADE
Sepermitesloeltrficoweb(80/tcp)yDNS(53/udpy53/tcp).Todolodemssedeniega:
#iptablesAFORWARDs10.0.0.0/24pTCPdport80jACCEPT
#iptablesAFORWARDs10.0.0.0/24pTCPdport53jACCEPT
#iptablesAFORWARDs10.0.0.0/24pUDPdport53jACCEPT
#iptablesAFORWARDmstatestateRELATED,ESTABLISHEDjACCEPT
#iptablesAFORWARDjDROP
Redirigeeltrficowebqueentraporlainterfazexterna(eth0)alservidordelaredinterna:
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 8/34
#iptablestnatAPREROUTINGieth0ptcpdport80jDNATto10.0.0.100:80
Guardalaconfiguracindelcortafuegosejecutando:
#iptablessave>/etc/iptables.rules
Finalmente,modificaelfichero/etc/network/interfacesyescribealfinal:
preupiptablesrestore
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 9/34
AsociacinfijadedireccionesIPaclientes,medianteelusodeladireccinMAC.Periododevalidezdelasasignaciones.Servidoresdenombresywins.SitienenonoautoridadparaasignardireccionesIP.
1.3.1.Resolucindelsupuestoprctico.En primer lugar, es necesario realizar la instalacin delservidorDHCPejecutando:
#aptgetinstalldhcp3server
ConfigurarelservidorDHCPparalaasignacindinmicadedireccionesIP,detal formaquesepresteservicioa la red10.0.0.0/24y,porotro lado, realizarunareservaalporttilcondireccinMAC(AA.BB:CC:DD:EE:FF)paraqueseleasignesiempreladireccinIP10.0.0.254.
Paracomenzarconlaconfiguracin,debesindicar losparmetrosgeneralesdelservidorycomunesalosequiposde lared, la informacinnecesariaparaquestesepacmocomportarse.As,sielservidordhcp.ejemplo.eseselque tiene laautoridadsobre la zona, sequierequeel tiempomximodeasignacindeunadireccin IPseadeunasemana(maxleasetime).Paraelloelfichero/etc/dhcp3/dhcpd.confdebetenerelsiguientecontenido:
authoritative;
oneleaseperclienton;
serveridentifier10.0.0.1;
defaultleasetime604800;
maxleasetime604800;
ddnsupdatestyleadhoc;
Posteriormente,sedeben introducir losparmetrosgeneralesquese transmitirna losclientesde la red.La red10.0.0.0conlamscaradered255.255.255.0tienecomopuertadeenlaceladireccinIP10.0.0.1yquiereutilizarlosservidoresdenombres8.8.8.8y194.224.52.36.Adems,hayque tenerencuentael rangodedirecciones IPquedeseaasignarporDHCPqueenelejemploesdesdeladireccin10.0.0.100ala10.0.0.254.
Apartirdeestosparmetrosdeconfiguracindebesescribirenelficherolasiguienteconfiguracin:
subnet10.0.0.0netmask255.255.255.0{
range10.0.0.10010.0.0.254;
optionsubnetmask255.255.255.0;
optionbroadcastaddress10.0.0.255;
optionrouters10.0.0.1;
optiondomainnameservers8.8.8.8,194.224.52.36;
optiondomainname"miempresa.com";
}
Como se desea realizar la reserva de la direccin IP 10.0.0.254 para el porttil con la direccin MACAA:BB:CC:DD:EE:FFdebesaadirlassiguienteslneas:
hostportatil{
hardwareethernetAA:BB:CC:DD:EE:FF;
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 10/34
PermitequelosclientesobtenganladireccinIPdeformaautomtica.PermiterealizarreservasdedireccionesIP.PermiteoptimizarlasdireccionesIPdelared.Permitedarunamayorseguridad.
fixedaddress10.0.0.254;
}
Paracomprobarquelaconfiguracindelservidordhcpdseharealizadocorrectamenteejecuta:
#dhcpd3eth1
Siendoeth1lainterfazdereddondequierequeelservidordhcpdofrezcasusservicios.
Unavezconfiguradocorrectamenteelservidor,iniciaelservicioejecutando:
#servicedhcp3serverstart
Finalmente,configuraelsistemaparaqueseinicieautomticamenteelserviciodhcpaliniciarelequipo:
#chkconfigdhcp3serveron
DeestaformaelservidordhcpdirasignandoautomticamentelasdireccionesIPalosequiposqueseconectenala red. Para comprobar las asignaciones que se han realizado puedes consultar elfichero/var/lib/dhcp3/dhcpd.leasesdonde,comopuedesveracontinuacin,semuestranlosdatosdecadaconcesindedireccinIP:
DatosmsimportantesdelservicioDHCP.
Nombredelservicio: dhcp3server
Ficherodeconfiguracin: /etc/dhcp3/dhcpd.conf
Concesionesdedirecciones: /var/lib/dhcp3/dhcpd.releases
Comandosmsutilizados: dhcpd3dhclient
QufuncinNOrealizaelservicioDHCP?
2.Compartirarchivoseimpresoras(Samba).
Autoevaluacin
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 11/34
AnayJuanestncadaunoutilizandosuordenador.
Juan, tengo aqu todos los documentos que me pediste pero ocupanmuchoespacioynotengoUSBcmotelospaso?
Muyfcil,vamosacompartirunacarpetaporredymelopasas.
Asdefcilcmosehace?
Sambaes elmtodoms utilizado para permitir la integracin entresistemas,yaquepermitequelosequiposWindowsyGNU/Linuxpuedancompartircarpetaseimpresorasentres.
Sambaes una coleccin de programas que hacen que Linux sea capazdeutilizarelprotocoloSMB(ServerMessageBlock)quees labaseparacompartir ficheros e impresoras en una red Windows. Los posiblesclientes para un servidor SMB incluyen Windows y otros sistemasGNU/Linux.
Sambaestacompuestoportrespaquetes:sambacommon(archivoscomunes),sambaclient(cliente)ysamba(queeselservidor).Porlotanto,lospaquetesquenecesitasinstalardependendelusoquequierasdarlealequipo.
Parainstalarelclienteyservidordesambaesnecesarioejecutar:
#aptgetinstallsamba4smbclient
Acontinuacin,iniciaelservicioejecutando:
#servicesamba4start
ParaqueSambafuncionecorrectamenteprimerodebesdardealtalosusuariosdelsistemayluegoconfigurarlosrecursosacompartir.
2.1.Gestindeusuarios.Sambarealizaunagestindeusuariosindependientealadelsistemaoperativo.PorestaraznnecesitasdardealtaalosusuariosquevayanautilizarSamba.
El comando smbpasswd se utiliza para administrar los usuarios deSamba, y suscontraseas.Lasintaxisdelcomandoes:
#smbpasswdopcionusuario
Dondeopciones laopcinarealizaryusuarioeselnombredelusuarioconelquequierestrabajar.
Casoprctico
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 12/34
As por ejemplo, para aadir el usuario juan debes ejecutar el comando smbpasswd a juan e introducir sucontrasea:
#smbpasswdajuan
NewSMBpassword:
RetypenewSMBpassword:
Addeduserjuan.
Yparaeliminarlohayqueejecutar:
#smbpasswdxjuan
Deleteduserjuan.
Parapoderaadirunusuarioensambastetienequeexistirenelsistema.Paradardealtaunusuarioenelsistemautilizaelcomandoadduser.
Para ver todos los usuarios de Samba en las primeras versiones bastaba con ver el contenido delfichero /etc/samba/smbpasswdpero en las actuales versiones los usuarios y contraseas seguardanen la basededatosdeSamba.
ParaverlosusuariosdeSambadebesejecutarelsiguientecomando:
#pdbeditwL
juan:500:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3527DA04C3D767E36C618ED59764BD43:[U]:LCT4B661D14:
encarni:503:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:0D7F1F2BDEAC6E574D6E18CA85FB58A7:[U]:LCT4C6569B6:
2.2.Compartircarpetas.Para compartir una carpeta hay que modificar el fichero de configuracin desamba /etc/samba/smb.conf. En la siguiente tabla puedes ver las opciones msimportantesparacompartircarpetas.
El ejemploms sencillo que se puede realizar es compartir una carpeta de formapblicaparatodoslosusuarios.Paraelloaada:
[publico]
path=/publico
public=yes
readonly=yes
Opcionesmsutilizadasdesmb.conf.
Opcin. Comentario.
[recurso] Nombredelrecursocompartido.
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 13/34
browseable Indicasisepuedeexplorardentrodelrecurso.Losposiblesvaloressonnoyyes.
comment Proporcionainformacinadicionalsobreelrecurso(noafectaasuformadeoperar).
createmode Especificalospermisospordefectoquetienenlosficheroscreados.
directorymode Especificalospermisospordefectoquetienenlosdirectorioscreados.
forceuser Especificaelusuariopropietarioquetienenlosficherosycarpetasquesecrean.
forcegroup Especificaelgrupopropietarioquetienenlosficherosycarpetasquesecrean.
guestok Indicasisepermiteelaccesoausuariosannimos.Losposiblesvaloressonnoyyes.
path Carpetaacompartir.
public Indicasieldirectoriopermiteelaccesopblico.Losposiblesvaloressonnoyyes.
readonly Indicaqueeldirectorioesslolectura.Losposiblesvaloressonnoyyes.
validusers
Indicalosusuariosquepuedenaccederalacarpeta.Paraaadirungrupoentonceshayqueponerelnombredelgrupoprecedidodela@.
writable Indicaquesepuedemodificarelcontenidodelacarpeta.
writelist Indicalosusuariosquepuedenmodificarelcontenido.
Osiloprefieres,puedesestablecerqueelrecursoseaaccesiblesolamenteporunosdeterminadosusuarios:
[miscosas]
path=/datos/
comment=Datosyaplicaciones
validusers=juan,encarni,@master
Lgicamentelosusuariossehantenidoquecrearpreviamenteyelgrupomasterdebeexistirenelfichero/etc/group.
master:x:502:juan,encarni
Acontinuacinseamplaelejemploperoestableciendoelpermisodeescrituraparaelusuario juanyelpermisodelecturaparaelusuarioencarniyelgrupomaster.Adems,cuandounusuariocreaunficheroocarpetastesecreaenelsistemaconunpropietario(juan:juan)yunosdeterminadospermisos(770).
[miscosas]
path=/datos/
comment=Datosyaplicaciones
validusers=juan,encarni,@master
writeable=yes
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 14/34
Opcionesdelservidor.
writelist=juan
readlist=juan,@master
forceuser=juan
forcegroup=juan
createmode=770
directorymode=770
Cuandosecomparteunacarpetaesnecesarioestablecer lospermisosenel ficherodeconfiguracinyenelsistemadeficheros.Paraellopuedesutilizarloscomandos:chmod,chownychgrp.
Finalmente,paraqueseapliquenloscambiosreiniciaelservicio:
#servicesamba4restart
2.3.Compartirimpresoras.Existen dos formas de compartir las impresoras que se encuentran conectadas al equipo para que las puedanutilizartodoslosclientesdelared:atravsdelaherramientagrficasystemconfigprinteroutilizandosamba.
Existen impresorascon tarjetade redquepermitena losclientes imprimirdirectamentesinnecesidaddeningnservidor.
systemconfigprinter
La herramienta Impresoras, que se encuentra dentro delmen Sistema > Administracin, permite compartir lasimpresorasdelsistemadeunaformagrfica.Aliniciarlaherramienta,elsistemamuestralasimpresorasactivas.
Lastareasmsfrecuentesquesepuedenrealizanson:
CompartirlasimpresorasatravsdeInternet.Paraqueotrosequipos puedan utilizar las impresoras del servidor ve almenServidoryseleccionaConfiguracin.En laventanaquesemuestra activa la casilla Publicar impresorascompartidasyPermitirlaimpresindesdeInternet.Compartiruna impresora. Selecciona la impresora quedeseascompartir,pulsaelbotnderecho,seleccionePropiedadesyenlapestaaControldeaccesoindica losusuariosquepuedenutilizarlaimpresora.Administrarlosgruposdeimpresin.Permitequevarias impresorasformenunmismogrupo,deformaquecuandoseenvauntrabajoseproceseenlaimpresoraqueseencuentredisponible.Paragestionarlostrabajosdelaimpresoraseleccionalaimpresora,pulsaelbotnderechoyseleccionaVer la colade impresin.En laventanaqueaparecepermiteveryadministrar todos los trabajosde laimpresora.
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 15/34
Samba
ParacompartirunaimpresorahayqueaadirenelficherodeconfiguracindeSamba/etc/samba/smb.confunnuevorecursosiguiendolasiguienteestructura:
[printers]
comment=Allprinters
path=/var/spool/samba
browseable=no
printable=yes
public=no
writable=no
createmode=0700
ElaccesoalasimpresorasGNU/LinuxdesdeWindowsfuncionadelamismaformaquelosdirectorios.Elnombrecompartido es el nombre de la impresora Linux en el fichero printtab. Por ejemplo, para acceder a laimpresoraHP_laserjet,losusuariosdeWindowsdeberaccedera\\smbserv\HP_laserjet.
Amododeresumen,enlatablasemuestranlosparmetrosutilizadosenlaseccin[printers].
Opcionesmsutilizadasdesmb.conf(seccinprinters).
Parmetro. Comentario.
comment Proporcionainformacinsobrelaseccin(noafectaalaoperacin).
pathEspecificalarutadeaccesoalacoladeimpresinospool(quepordefectoes/var/spool/samba).EsposiblecrearundirectoriodespoolparaSambayhacerqueapunteal.
browseable Comoconlosdirectoriosraz,siindicaNOseaseguradequeslopuedenverlasimpresoraslosusuariosautorizados.
printable SedebeponerYES,sinosehaceasnofuncionarnlasimpresoras.
public SiseponeYES,cualquierusuariopodrimprimir(enalgunasredesseponeNOparaevitarlaimpresinexcesiva).
writable Lasimpresorasnosonescribibles,porlotantoescribaNO.
2.4.Asistentesdeconfiguracin.Dado el gran uso que se realiza de Samba para compartir informacin entre sistemas Windows y GNU/Linux,existenvariasinterfacesquefacilitanelprocesodeconfiguracindelsistema.Lasinterfacesmsimportantesson:
Swat.EsunainterfazwebespecficaparaadministrarSamba.Pararealizarlainstalacindebesejecutar:
#aptgetinstallswat
Finalmente, inicia el navegador y escribe la direccin http://127.0.0.1:901 y aparece la interfaz deadministracindeswat.
Webmin.Comosiemprewebminpermiteconfigurarcualquierserviciodelservidor.Paraaccederalmdulo
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 16/34
Administracindesambautilizandoswat.
deconfiguracinpulseenServers.SambaWindowsFileSharing.
systemconfigsamba. Por ltimo, tambin dispones de la herramienta de xWindows para administrarsamba.Parainstalarladebesejecutar:
#aptgetinstallsystemconfigsamba
Adems,esnecesarioinstalarlassiguientesdependencias:
#aptgetinstallgksupythongtk2pythonglade2
2.5.Cliente.Ademsdeactuarcomoservidordeficheros,elequipopuedeutilizarsecomoclienteparaaccederalosrecursoscompartidosquehayenotrosservidores.
Existen varias formas para acceder desde GNU/Linux a carpetas e impresorascompartidas.La formamssencillaesmediantedosprogramasclientequevienenen la instalacin de Samba: smbclient y smbprint. Aunque esta solucin funciona,est algo limitada, particularmente en el acceso a ficheros. Smbclient proporcionauna formasimilaraunservidorFTPparaaccederaun recurso remotocompartido.NopermiteelusodecomandosnormalesdeUnixcomocpymvparamanipular losficheros y, por lo tanto, no permite acceder a los recursos compartidos de otrasaplicaciones (a diferencia de los sistemas de ficheros remotos montadoscon NFS, que aparecen para las aplicaciones GNU/Linux como sistemas deficheroslocales).
EsteproblemasepuedeevitarmontandoelsistemadeficheroscompartidossambaenGNU/Linux,comosehaceconsistemasdeficherosNFSylocales.
La formams sencilla de acceder a un recurso compartido de Samba esmontarlo en una carpeta y as poderaccederalcontenidodelrecursodelamismaformaquelohacesconcualquierotracarpetadelsistema.
Para montar el recurso primero hay que crear la carpeta donde se va a montar el recurso y luego ejecuta elcomandomount.
$mkdir/prueba
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 17/34
$mounttcifsouser=usuario,pass=contrasena//10.0.0.1/recurso/prueba
Donde:
tcifs.Indicaeltipodeficherosquesevaautilizarqueenestecasoescifs.ouser=usuario,pass=contrasena.Indicaelnombredelusuarioylacontraseaconlaquiereacceder.//10.0.0.1/recurso.IndicaladireccinIPyelnombredelrecursoalquequieresacceder./prueba.Eseldirectoriodondesevaamontarelrecursocompartido.
Paraversisehamontadocorrectamenteel recursopuedesejecutarelcomandomountoentraren lacarpetayversucontenido.
Paraqueel recursosemonteautomticamenteal iniciarelequipohayqueaadiral fichero /etc/fstab lasiguientelnea:
//10.0.0.1/recurso/pruebacifsrw,username=login,password=pass00
Dondeusernameypasswordespecificanelnombreylacontraseadelusuarioconelqueaccederalservidor.
DatosmsimportantesdelservicioSamba.
Nombredelservicio: samba4
Ficherodeconfiguracin: /etc/samba/smb.conf
Comandosmsutilizados: smbpasswdsmbclientpdbeditmount
Puertosutilizados: 137/UDP,138/UDP,139/TCPy445/TCP
3.NFS.
AnavisitaaJuanporquetieneunproblema
Juan,tengoquehacerquedosservidorescompartaninformacinentresyhepensadoenutilizarSAMBAtalycomomeenseastehacepoco.Eslamejoropcin?
Samba esta pensado para compartir carpetas e impresoras entreequipos Windows. Si ambos equipos son GNU/Linux lo mejor es queutilicesNFS que es un servicio mucho ms seguro. Mira te enseo autilizarlo,esmuyfcil!
NFS(NetworkFileSystem)esunservicioquepermitequelosequiposGNU/Linuxpuedancompartircarpetasentres.ElservicioNFSsebasaenelmodelocliente/servidordeformaqueunservidorcomparteunacarpetaparaquelosclientespuedanutilizarla.Deestaforma,unavezqueunclientemontaunacarpetacompartidapuedeutilizarlanormalmentecomosisetrataradeunacarpetadelsistemadeficheroslocal.
Parainstalarelservicionfsdebesejecutar:
Casoprctico
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 18/34
#aptgetinstallnfskernelservernfscommonportmap
Antesdeiniciarlaconfiguracinhayqueiniciarelservicioejecutando:
#servicenfskernelservicestart
3.1.Compartirunacarpeta.Para indicar los directorios que se desean compartir hay que modificar el fichero/etc/exportsdelasiguienteforma:
(permisos)(permisos)...
Los permisos que se pueden establecer son:rw (lectura y escritura) y ro (lectura).Porejemplo,paracompartirlacarpeta/datosparaqueelequipo192.168.20.9puedaacceder en modo lectura y escritura, y el equipo 192.168.20.8 tan slo puedaaccederenmodolecturaseescribe:
/datos192.168.20.9(rw)192.168.20.8(ro)
LacarpetasecompartesolamentealaIPestablecidaenelfichero/etc/exportsporelusuarionfsnobody.
De forma que la carpeta que estas compartiendo tiene que tener los permisos para el usuario nfsnobody. Paraestablecerlospermisosejecuta:
#chmod660/datosR
#chownnfsnobody/datosR
#chgrpnfsnobody/datosR
Como el usuario nfsnobody tiene un UID y GID diferente en cada equipo es recomendable asignarle el mismoidentificadormodificandolosficheros/etc/passwdy/etc/groupstantoenlosequiposclientescomoservidores.
Unavezcompartidalacarpeta,reiniciaelservicioejecutando:
#servicenfskernelservicerestart
3.2.Configuracindelcliente.Paraaccederal directorioquecomparteel servidorhayquemontarlo, ya seamanualmente,oautomticamentealiniciarelequipo.
Paramontarelsistemadeficherosenelclientehayqueejecutar:
#mount192.168.20.100:/datos/prueba
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 19/34
Telnet.Samba.NFS.
Donde:
192.168.20.100:/datoseslacarpetaquesehacompartidoenelservidorenelfichero/etc/exports./mnt/trabajoeslacarpetadondesemontalacarpetacompartida.
Sideseasmontarlacarpetaautomticamentealiniciarelsistema,hayquemodificarelfichero/etc/fstabaadiendolasiguientelnea:
192.168.20.100:/datos/pruebanfsrw,hard,intr00
Donde:
rw. Indica que se monta el directorio en modo lectura/escritura. Para montarlo slo en modo lecturaescribaro.hard. Indicaquesi al copiarun ficheroen la carpeta compartida sepierde la conexinconel servidor sevuelvaainiciarlacopiadelficherocuandoelservidorseencuentreactivo.intr.Evitaque lasaplicacionessequeden"colgadas"al intentarescribiren lacarpetasinoseencuentraactiva.
DatosmsimportantesdelservicioNFS.
Nombredelservicio: nfs
Carpetascompartidas: /etc/exports
Comandosmsutilizados: mount
Puertos: 2049/TCPy2049/UDP
QuserviciospermitecompartirdatosconotroequipoLinux?
MostrarInformacin
4.Accesoremotoalsistema.
Pufff,Hemospuestoel servidoren laplantadearriba y cadavezque tengoque instalar algo tengoquesubirarealizarlatarea.Estoycansadadetantasescaleras!
Porqunolohacesdeformaremota?
Cmosehaceeso?
Muy fcil, nosconectamosporsshoporvncal equipo y lo utilizamos directamente desde cualquierordenador.Cuandoterminemoselcaf,vamosyteenseo.
Autoevaluacin
Casoprctico
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 20/34
PginaoficialopenSSH.
LosserviciosmsutilizadosparaaccederdeformaremotaaunsistemaGNU/Linuxson:
Telnet.Permiteaccederalsistemadeformaremotadeunamaneranosegura.Open SSH. Permite acceder al sistema por terminal, pero de forma segura ya que se cifran lascomunicaciones.
VNC. Mientras que los servicios telnet y SSH permiten conectarse al servidor por medio de unterminal, el servidor VNC permite utilizar el servidor utilizando el escritorio instalado en elsistema:GNOMEoKDE.
4.1.SSH.SSH es un protocolo que permite conectarse de forma segura a unservidorparapoderadministrarlo.Enrealidad,esmsqueeso,yaquese ofrecen ms servicios como la transmisin de ficheros, elprotocoloFTPseguroe,incluso,sepuedeusarcomotransportedeotrosservicios.
ElprotocoloSSHgarantizaquelaconexinserealizadesdelosequiposdeseados (para lo que usa certificados) y establece una comunicacincifrada entre el cliente y el servidor, mediante un algoritmode cifradorobusto (normalmente con 128 bits) que se utilizar paratodoslosintercambiosdedatos.
AcontinuacinvasavercmoinstalaryconfigurarelservicioOpenSSHporserelservidorSSHmsutilizado.
AlserSSHelmecanismomsfrecuenteparaaccederaunservidor,OpenSSHseinstalapordefectoalrealizarlainstalacindelsistema.NoobstantepuedesrealizarlainstalacindeOpenSSHejecutando:
#aptgetinstallssh
Einiciarelservicioejecutando:
#servicesshstart
Finalmente,sideseasqueelservicioseejecuteautomticamentealiniciarelsistemaejecutars:
#chkconfigsshon
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 21/34
Para evitar los ataques de fuerza bruta, una de las mejores soluciones es utilizar fail2ban. Siutilizas fail2ban cuando se realizan 5 intentos fallidos de autentificacin en el sistema, fail2ban secomunicaconelcortafuegosiptablesybloqueatudireccinIP.
fail2ban.
Nosehapodidocargarelcomplemento.
4.1.1.Configuracin.El servidor openSSH utiliza el fichero de configuracin /etc/ssh/sshd_config ynormalmentenoesnecesariomodificarlo.Losparmetrosmsimportantesson:
PortyListenAdress. Por defecto el servicio ssh trabaja en el puerto 22 yresponde por todas las interfaces del sistema. Los siguientes parmetrospermitencambiarelpuertoyladireccin,enlasqueatenderpeticiones:
Port22
ListenAddress0.0.0.0
PermitRootLogin.Establecesisepermiteonoelaccesodelusuariorootalservidor.
PermitRootLoginno
Parasaberms
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 22/34
ConexinremotaporSSHconPuTTY.
AllowUsers. Permite restringir el acceso a los usuarios del sistema. Al utilizar elparmetroAllowUsersindicalosusuariosquepuedanaccederalsistema.
AllowUserscesarsonia
Tambinesposibleindicarelequipoanfitrindesdeelquepuedenconectarse.Enelsiguienteejemploslolosusuarioscesarysoniapuedenconectarsealservidordesdeelequipo10.0.0.2.
[email protected]@10.0.0.2
Mensajesdeentradayconexin:
PrintMotdyes
Banner/etc/issue.net
Configuracindeseguridadycontroldeacceso:
IgnoreUserKnownHostsno
GatewayPortsno
AllowTcpForwardingyes
Usodesubsistemasparaotrasaplicaciones,comoporejemplo,FTP.
Subsystemsftp/usr/lib/openssh/sftpserver
Unavezconfiguradoelservidor,paraqueseapliquenloscambios,debesejecutar:
#/etc/init.d/sshrestart
4.1.2.Clientessh.Cuandose trabajaconservidores lonormalesadministrarlosde formaremotaatravsdeSSHoWebmin.SiutilizasunequipoLinuxyquieresconectartealservidortanslohayqueejecutar:
$ssh
DondeequipopuedeindicarelnombredelequipooladireccinIPdelmismo.
SiutilizasWindowsyquieresconectartealservidorenGNU/LinuxlomejoresutilizarlaaplicacinPuTTY.
Putty.
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 23/34
Elcomandoscppermitecopiarficherosenequiposremotosatravsdesshscp/etc/passwd10.0.0.2:/root.
Esposibleconfigurarelservidorparapermitirlautilizacindeloscomandossshyscpsinnecesidaddeescribirlacontrasea.Paramsinformacinvisitalasiguientepgina.
SSHySCPsincontrasea.
DatosmsimportantesdelservicioSSH.
Nombredelservicio: sshd
Ficherodeconfiguracin: /etc/ssh/sshd_config
Hostalosqueselespermiteelacceso: /etc/host.allow
EquiposautorizadosparaaccederporSSHsincontrasea: $HOME/.ssh/authorized_keys
Comandosmsutilizados: ssh,scpysftp
Puertoutilizado: 22/TCP
4.2.VNC.VNC es un programa con licencia GPL que utiliza el modelocliente/servidor y permite acceder a un equipo remoto utilizando suentornogrfico.
Pararealizarlainstalacindelservidorvncdebesrealizarlossiguientespasos:
Instalaelservidordevncejecutando:
#aptgetinstalltightvncserver
Indicalacontraseadelservidorvncejecutandoelcomando:
#vncpasswd
Ejecutaelsiguientecomandoparacrearautomticamentelosficherosdeconfiguracineiniciarelservicio:
#vncserver
Parasaberms
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 24/34
AccesoalservidorporVNCconVinagre.
DatosmsimportantesdelservicioVNC.Nombredelservicio: vncserver
Ficherodeconfiguracin: /etc/sysconfig/vncservers
Comandosmsimportantes: vncpasswdvncserver
Puertos: 6000/tcp,6001/tcp,6002/tcpy6003/tcp.
4.2.1.Cliente.Para acceder al servidor puede utilizar cualquier cliente VNC. Porejemplo, en sistemas GNU/Linux puede utilizar Vinagre y ensistemasWindowspuedeutilizartightVNC.
Vinagre(GNU/Linux).
Si quieres acceder desde un equipoGNU/Linux a un servidor VNC, lamejoropcinesutilizarel clientevinagre.Parautilizar vinagre primerodebesinstalarloejecutando.
#aptgetinstallvinagre
VealmenAplicaciones,InternetyejecutalaaplicacinRemoteDesktopViewer.PulsaelbotnConnect, indicaladireccindelservidorVNC(porejemplo,10.0.0.1:5901)ypulsaConnectparaaccederalservidorVNC.
tightVNC(Windows).
tightVNC es un cliente/servidor VNC que se encuentra licenciado bajo GPL. Para acceder desde Windows alservidorVNCdeberealizarlossiguientespasos:
DescargartetightVNC.
tightVNC.
InstalaenelequipoelvisortightVNC.EjecutatightVNCViewerquepuedesencontrardentrodelmendeaplicacionestightVNC.EntihgtVNCServerindicaladireccinIPdelservidoryelpuerto(porejemplo,10.0.0.1:5901).
Finalmente, pulsa el botn Connect, introduce la contrasea del servidor VNC establecida durante elprocesodeinstalacinyyatienesaccesoalescritoriodelservidor.
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 25/34
ElservicioSSHpermiteelaccesoremotoatravsdeunterminal.ElservicioVNCpermiteconectarmeaunequipodeformagrfica.ElservicioTelnetesseguro.ElprogramatightVNCpermiteconectarmeaunequipoWindows.
Nosehapodidocargarelcomplemento.
Indicalaopcinincorrecta.
5.ServidorWeb.
Para mejorar la imagen de la empresa vamos a tener nuestropropioservidorweb.Hastaahoraestbamosutilizandounservidorexterno pero como vamos a incorporar muchos nuevos servicios,vamosautilizarelnuestro.Juannecesitoquehagastesatarea.
Deacuerdo, perohe vistoquehaymuchos servidoreswebCulutilizo?
Aunque hay muchos servidores web, con diferencia, el ms
Autoevaluacin
Casoprctico
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 26/34
PginawebdepruebadeApache.
utilizado es Apache. As que lomejor es instalar Apache en el servidor. Adems, esmuy sencillo ypermiterealizarunmontndetareasconl.
ParainstalarelservidorApachefcilmentedesde repositoriosejecutaelcomando:
#aptgetinstallapache2
Elservicioseiniciaautomticamente:
#chkconfigapache2on
Parainiciarahoraelservicio:
#serviceapache2start
Una vez instalado, apache publica automticamente el contenido del directorio /var/www. De esta forma, parapublicarunapginawebdebescrearlaendichodirectorio.
Paraaccederalawebprincipaldelservidorescribeenlabarradedireccioneshttp://localhost/ohttp://direccin_ip/:
Nosehapodidocargarelcomplemento.
5.1.Instalarmdulophp.PHP es un lenguaje de programacin interpretado por el servidor de pginas web de forma que stas se
puedengenerardeformadinmica.PHPnosloseutilizaparaestepropsito,sinoqueademssepuedeutilizar
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 27/34
Ejecucindephpinfo().
desdeunainterfazdelneadecomandosoparalacreacindeaplicacionesconinterfacesgrficas.
Enladireccinweboficialdelproyectopuedesencontrarunaampliadocumentacinsobreellenguaje:manuales,sintaxisutilizada,interfazparalaprogramacindelasaplicaciones,etctera.
SitiooficialdePHP.
ParainstalarPHPautomticamenteejecuta:
#aptgetinstallphp5
Para comprobar que PHP se ha instalado con xito puedes crear unficherophpyubicarloeneldirectoriorazdelservidorweb.Porejemplopara mostrar toda la informacin til disponible y detalles sobre lainstalacinactualdePHP,editaelfichero/var/www//info.php.
#nano/var/www/info.php
Elcontenidodelficheroincluyeunasentenciaparaejecutarlafuncinphpinfo()quepermiteobtenerlainformacinsobreelmdulophp.
As,alejecutarelficheroenunapeticin HTTPelservidorlanzalasentenciaymuestraelcontenidosolicitado,deformadinmica.AntesdeprobaraejecutaresteficheroreiniciaelservidorApache:
#serviceapache2restart
Ahoras,iniciaunnavegadorwebyescribeenlabarradedireccioneshttp://localhost/info.php.Comopuedesverenla siguiente figura, PHP se encuentra correctamente instalado. Si observas con detenimiento la informacinmostradapuedesver,porejemplo,quetrabajaatravsdeApache,losmdulosactualmentehabilitados,etctera.
5.2.Configuracin.Laconfiguracindeapachesealmacenaeneldirectoriodeconfiguracin/etc/apache2.Acontinuacinsevanaverlasopcionesdeconfiguracinmsutilizadasparacadaunodelosficheros:
/etc/apache2/ports.conf. Permite establecer los puertos de escucha para lascomunicacioneshttpnormales(puerto80)ylascomunicacionesseguras https(puerto443).
Parasaberms
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 28/34
Listen*:80
Listen*:443
/etc/apache2/apache2.conf.Unadelasopcionesmsimportantesesquese puede establecer el usuario y grupo al que pertenecen los procesos queejecutaelservidor:
Userwwwdata
Groupwwwdata
Apachealmacenaenlacarpeta/etc/apache2/sitesavailablelaconfiguracindecadaunodelossitioswebdeapache.Pordefectoseencuentranlossitiosdefaultydefaultssl.Cadasitiotienelasiguienteestructura:
ServerAdminservermaster@localhost
#Servernamewww.miempresa.com#comentadoendefault
DocumentRoot/var/www
DirectoryIndexindex.htmldefault.html
Donde:
ServerAdmineselcorreoelectrnicodeladministradordelsitioweb.ServernameeselnombreFQDNdelsitioweb.Paraeldominiodefaultnose indicaningnnombre,peroparaatenderpeticionesespecficasdedominios(porejemplo,www.miempresa.com)ssedebeestablecer.DocumentRoot.Indicalaubicacindondeseencuentralaspginaswebdelsitio.DirectoryIndex.Indicaelnombredelosficherosqueenvapordefectoelservidorweb.
Nuevositio
Pordefectoelservidorwebpublicaeldirectorio/var/www/para todos losdominiosperoesposiblepersonalizardeforma independientecadadominio.Porejemplo,paraaadireldominiowww.miempresa.comquesealojaen lacarpeta /portales/miempresa hay que crear el fichero /etc/apache2/sitesavailable/miempresa.com con el siguientecontenido:
ServerNamewww.miempresa.com
DocumentRoot/portales/miempresa
Activarelsitio
#a2ensitemiempresa.com
Yreiniciarelservidorweb
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 29/34
Accesoalserviciohttps.
#serviceapache2restart
Lgicamenteparaqueel servidorwebatiendaundeterminadodominio laentradaDNS (porejemplo,www.miempresa.com)debeapuntaralservidorweb.
Sitioseguro(https).
Con el auge de los negocios en Internet se ha popularizado el uso decomunicaciones cifradas entre los clientes y el servidor Web, siendo latecnologadeencriptacinmsutilizadaelSecuritySocketLayer(SSL).
Para poder utilizar una pgina segura bajo https hay que realizar lossiguientespasos:
Activarelmdulossl:a1Activar el sitio defaultssl aunque si quieres puedes crear unnuevositioweb:a2Reiniciarelservidorweb:a3
Unavezfinalizadoelproceso,accedeaunnavegadorwebyescribehttps://IP_Servidor.
Puedesgenerartupropiocertificadodeseguridadutilizandoelcomandoopenssl.
Para aprender a realizar ms operaciones sobre Apache es recomendable que consultes la webww.adminso.es
www.adminso.es
Porltimo,parainiciarypararelservidorwebpuedesutilizarelcomandoservicedeformaquesiquieresiniciarelservicioejecuta:
#serviceapache2start
Adems,puedespararelservicio(stop),reiniciarlo(restart)ovolveracargarlaconfiguracin(reload).
DatosmsimportantesdelservidorApache.
Nombredelservicio: apache2(Ubuntu)
Ficherodeconfiguracin: /etc/httpd/conf/httpd.conf
Directorioweb: /var/www(Ubuntu)
Comandosmsutilizados: htpasswd
Parasaberms
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 30/34
Puertos: 80/tcpy443/tcp
6.ServidorFTP.
CarlosvaaveraJuanporquetieneunproblema.
HojaJuan,mira,tengounproblemayesqueyahehecholawebdelaempresa pero no s cmo subirla al servidor. Cmo se hace?Te lamandoporcorreo?
No,nohacefaltaelcorreo.Esmuchomsfcil!Mira,voyainstalarelservidorFTPyaspodrsconectarteyactualizar lawebde laempresacuandoquieras,
Genial,vamosavercmolohaces!
Vsftpd (VerySecureFTP)esun servidorFTPmuy pequeo y seguro.Para instalar el servidor FTP en el sistema debes de instalar elpaquete vsftpd (Demonio FTP muy seguro). Puedes realizar lainstalacinatravsdelalneadecomandosoatravsdesynaptic.
#aptgetinstallvsfttpd
Unavezinstaladoelpaquetedebesiniciarelservicioejecutando:
#servicevsftpdstart
Paracomprobarqueelservidorestfuncionandocorrectamentepuedesconectartealservidor:
$ftplocalhost
Connectedtolocalhost(127.0.0.1).
220(vsFTPd2.3.0)
Name(localhost:root):usuario
331Pleasespecifythepassword.
Password:
230Loginsuccessful.Havefun.
RemotesystemtypeisUNIX.
Usingbinarymodetotransferfiles.
ftp>ls
200PORTcommandsuccessful.ConsiderusingPASV
150Herecomesthedirectorylisting.
rwrr110031003179Mar1518:00examples.desktop
226DirectorysendOK.
Casoprctico
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 31/34
ftp>quit
221Goodbye.
Sielservidorestcorrectamenteinstaladoperonopermiteelaccesodesdeelexterior,esmuyposiblequenotengaselrouterconfiguradoparadejarpasareltrficodelservidorFTP.
Para aprender a configurar y a proteger el servidor vsftpd es recomendable que consultes la webww.adminso.es.
www.adminso.es
NuncaconfigureselservidorFTPparapermitirelaccesoannimonipermitaslaescriturasinenjaularalosusuariosdelsistema.
DatosmsimportantesdelservidorVSFTP.
Nombredelservicio: vsftpd
Ficherodeconfiguracin: /etc/vsftpd.conf
Puertoutilizado: 21/tcp
Nosehapodidocargarelcomplemento.
Parasaberms
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 32/34
ElservidorApachetrabajanormalmenteenlospuertos80y443.ElservidorFTPtrabajanormalmenteenelpuerto21.ElservidorApachetrabajanormalmenteenlospuertos80y445.ElservidorFTPpuedetrabajarenelpuerto44.
Indicalaopcinincorrecta.
AnexoI.Configuracindeiptables.Iptablespuedemanejarvariastablas,perolasmsimportantesson:
Filter. Es la tabla predeterminada que permite el filtrado de las comunicaciones. La tabla Filter estcompuestaportrespilas:
INPUT.Referenciaeltrficodeentrada.OUTPUT.Referenciaeltrficodesalida.FORWARD.Referenciaeltrficoqueelrouterreenvaaotrosequipos.
NAT.Elservicioquepermitedaraccesoa Internetauna red interna.Esta tablapermitedefinirel tipodecomunicacionesentrelaredexternaylasredesinternas.LatablaNATtienedospilas:
POSTROUTING. Permite establecer las comunicaciones desde la red interna al exterior. Porejemplo,parahacerquelaredinternatengaInternet.PREROUTING. Permite establecer las comunicaciones desde la red externa a la red interna. Porejemplo,seutilizaparaquedesdeelexteriorsetengaaccesoaunservidorinterno.
Loscomandosbsicosdeiptablesson:
iptablesL.Muestraelestadodelatablapredeterminada(filter).SiquiereverelestadodelatablaNATejecutaiptablestnatL.iptablesAj.Permiteaadirunareglaparaqueelcortafuegosrealiceunaaccinsobreuntrficodeterminado.iptablesDj.Permitequitarunaregladelcortafuegos.iptablesF.Limpialatabladecortafuegos.SiquiereslimpiarlatablaNATejecutaiptablestnatF.iptablesP.Permiteestablecerpordefectounaaccindeterminadasobreunapila.Porejemplo,siquieresquepordefectoel routerdeniegue todoel trficode lapilaFORWARDejecuta elcomandoiptablesPFORWARDDROP.
Como se ha comentado antes, con el comando iptables A jpuedes definir la accin quequierasquerealiceelcortafuegosconundeterminadotrfico.En la tabla101puedesver losparmetrosqueseutilizanparaespecificareltrfico.
LasaccionesquesepuedenrealizarenlatablaFILTERson:
jACCEPT.Aceptaeltrfico.jDROP.Eliminaeltrfico.jREJECT.Rechazaeltrficoeinformaalequipodeorigen.jLOGlogprefix"IPTABLES_L".Registraeltrficoquecumpleloscriteriosen/var/log.
LasaccionesquesepuedenrealizarenlatablaNATson:
jMASQUERADE.Haceenmascaramientodeltrfico(NAT)deformaquelaredinternasalealexteriorconladireccinexternadelrouter.jDNATto.Seutilizaparaquedesdeelexteriorsetengaaccesoaunservidorqueseencuentraenlaredinterna.
Autoevaluacin
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 33/34
Tabla10.1.Parmetrosparaespecificarlasreglasdeiptables.
Tabla10.1.Parmetrosparaespecificarlasreglasdeiptables.
Elemento. Sintaxis. Ejemplo. Descripcin.
Interfaz.
i ieth0 Interfazdeentrada.
o oeth1 Interfazdesalida.
Direccin.
s
s10.0.0.0/24 Reddeorigen.
d d0/0 Reddedestino.
Puerto.
p pTCP Tipodeprotocolo.Lasopcionesson:TCP,UDPoICMP.
dport
pTCPdport80
Indicaelpuertodedestino.Enelejemplodehacereferenciaalpuertodedestinohttp(80/TCP).
sport
pUDPsport53
Indicaelpuertodeorigen.EnelejemplosehacereferenciaalpuertodedestinoDNS(53/UDP).
Estado.mstatestate
mstatestateESTABLISHED
Indicaelestadodelaconexin.Losposiblesestadosson:NEW,INVALID,RELATEDyESTABLISHED.
Accin. j jACCEPTIndicalaaccinquesevaarealizarconundeterminadotrfico.Lasposiblesaccionesson:ACCEPT,DROP,REJECT,LOG,DNATyMASQUERADE.
Deestaformapuedes"jugar"conlosparmetrosdeunadeterminadareglaparapoderespecificarlaaccinqueseaplica.Acontinuacinpuedesver tresreglas,parapermitirel trficoquereenvaelrouter,quevandesde lamsgeneralalamsespecfica:
iptablesAFORWARDjACCEPT.Permitetodoeltrfico.iptables A FORWARD s 192.168.0.0/24 j ACCEPT. Permite slo el trfico de la red interna192.168.0.0/24.iptablesAFORWARDs192.168.0.0/24pTCPdport80jACCEPT.Permitesloeltrficodelaredinterna192.168.0.0/24enelpuerto80.
Si deseas bloquear comunicaciones por su pas de origen te recomiendo que visites la pgina webipinfodb.com.
ipinfodb.com
Unavezconfiguradoelcortafuegosparaguardarlaconfiguracinejecuta:
#iptablessave>/etc/iptables.rules
Parasaberms
-
15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).
data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 34/34
Dondeelfichero/etc//iptables.rulesguardalaconfiguracindeiptables.Silodeseaspuedesmodificarlodirectamenteycargarsuconfiguracinejecutando:
#iptablesrestore