Transcript
  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 1/34

    Esquemabsicodered.

    Administracindelared(LinuxIII).

    MaravisitaaJuan.

    Juan, vamosamejorar la red de la empresa y para eso necesitoque utilices un servidor para que acte como router y leproporcione a le empresa los servicios msimportantes. Encaminamiento y DHCP, y luego leinstalaremosmsservicios.

    MuybienMara,hevistoporInternetqueLinuxfuncionamuybienconredes.Dehechosumximapotenciaseutilizaparaactuarcomoservidor.Ahoramismomepongoaconfigurarelservidor.

    1.Esquemabsicodered.

    Juansedisponeadisearlared,peroantesdeempezar,vaahacerunesquema de red, ya que este esquema le ser de utilidad, paramantenerlaredyparacuandotengaquehacercambiosenlamisma.

    ConlafuerteexpansinquehatenidoInternetsehageneralizadolautilizacinderedesen lasempresasyennuestroshogares.Hoyendaparaunempresaes totalmente necesario disponer de una red interna que le permita compartirinformacin,conectarseaInterneteincluso,ofrecersusserviciosenInternet.

    Enestaunidadaprendersa configurar el sistemaGNU/Linux para convertirloen un potente router que provea a la red de los servicios necesarios:encaminamiento,DHCPy DNS.Parapoderaprendermejoraadministrarelsistemanuestroobjetivoesconfigurar la infraestructuraderedquesemuestraenlasiguientefigurayquepuedeutilizarseenunaempresaodomicilio.

    Alahoradeconfigurarlaredhayquetenerencuentalossiguientesobjetivos:

    Configurar iptablespara darle acceso a Internet a los clientes de laredinterna.Configurar el servidor DHCP para que asigne de forma automtica lasdirecciones que van desde la 10.0.0.100 a la 10.0.0.254. Las dems direcciones las asignar eladministradordelareddeformamanual.Adems,sedisponedeunaimpresoraderedquetieneladireccinMAC(AA:BB:CC:DD:EE:FF)a laque

    Casoprctico

    Casoprctico

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 2/34

    Comandoifconfig.

    selequiereasignarsiemprelaIP10.0.0.254.Configurarel servidordenombresparaqueadministreeldominiomiempresa.com. Adems, se tiene quecrear los siguientes registros: www.miempresa.com y ftp.miempresa.com apuntan a la IP10.0.0.1mail.miempresa.comesequivalenteawww.miempresa.comyelservidordecorreoelectrnicoseencuentraenmail.miempresa.com.Por ltimo, se configuran los serviciosWeb y FTP para que la empresa tenga su propio servidor depginaswebyFTP.

    1.1.Configuracindelared.Una vez que tienes claro el esquema de red que vas a implementar, el primerpasoquedebes realizaresconfigurarcorrectamente lasdiferentes interfacesdereddenuestroservidor(queactacomorouter)ydelosclientes.

    Bsicamente existen dos formas de configurar las tarjetas de red de nuestroequipo: manualmente o dinmicamente a travs de un servidor DHCP. Acontinuacinsevanaverambosmtodosdeconfiguracin.

    1.1.1.Configuracindelaredcableada.ParaconfigurarunainterfazderedesnecesarioasignarleunadireccinIP con su respectiva mscara de red. El comandoms utilizado paraconfigurarlaredes ifconfig(InterfaceConfiguration).Porejemplo:

    #ifconfigeth0192.168.1.2netmask255.255.255.0up

    Enestecasoestasconfigurandolainterfazeth0 (primera tarjetade reddetectada) con la direccin IP 192.168.1.2 y con mscara de red255.255.255.0. El parmetro up indica que la tarjeta debe activarse,pero puede omitirse puesto que al asignarle los parmetros de red la tarjeta se activar por defecto. Paradesactivarunainterfazderedejecuta:

    #ifconfigeth0down

    Paraactivarunainterfazderedejecuta:

    #ifconfigeth0up

    Paracomprobarlaconfiguracindelasinterfacesderedejecutaelcomandoifconfig.Talycomopuedesveren lasiguiente figura la interfaz eth0 tiene la direccin 192.168.118.142 (la ha obtenido de forma automtica) y lainterfazeth1tieneladireccinIP10.0.0.1.

    Paraqueelequipopuedaconectarseaunareddiferentede laqueseencuentra (porejemplo, Internet)necesitaestablecerlapuertadeenlace.Lapuertadeenlaceeselequipoquepermitecomunicarvariasredes.Porejemplo,si el equipo se encuentra conectado a la red 192.168.0.0/24 en la interfaz eth0 y la puerta de enlace es192.168.0.1,debesejecutarelsiguientecomando:

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 3/34

    Configuracindered.

    #routeaddnet0/0gw192.168.0.1eth0

    Si quieres puedes realizar la configuracinmediante el entorno grficoxWindows. Para ello, en el men Sistema > Preferencias ejecuta laherramientaConexionesdered.

    1.1.2.Configuracindelaredinalmbrica.Desde los sistemas GNU/Linux es posible configurar la red inalmbrica a travs del comando iwconfig o atravsdelasistentedeConexin.Paraaccederalaredinalmbricadeformagrfica,enelmendeherramientassuperior, pulsa en el icono de la red inalmbrica y selecciona la red a la que deseas conectarse. Si la redinalmbricarequiereautentificacin,indicalacontrasea WEPo WPAypulsaelbotnConectar.

    Automticamente,elasistenteestablecelaconexinalaredinalmbricaymuestraenpantallaunmensajedequeelprocesoseharealizadocorrectamente.

    1.1.3.Ficherosdeconfiguracin.Elproblemadeconfigurarlasinterfacesderedconifconfigesquenoseguardanlosdatos de configuracin en ningn fichero, al reiniciar el equipo se pierde laconfiguracin. A continuacin se van a ver los diferentes ficheros de configuracinqueintervienenenlaconfiguracindelareddelequipo.

    La configuracin de las interfaces de red se guarda en elfichero/etc/network/interfaces.Siguiendoelesquemaderedpropuestoanteriormente,la interfaz de red eth0 es la encargada de conectarse a Internet mientras que lainterfazeth1pertenecealaredinterna.Losparmetrosdeconfiguracindeeth0 lostiene que facilitar el proveedor de Internet o los puedes obtener automticamenteutilizandoDHCP.

    Fichero/etc/network/interfaces.

    autoeth0

    ifaceeth0inetdhcp

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 4/34

    autoeth1

    ifaceeth1inetstatic

    address10.0.0.1

    netmask255.255.255.0

    network10.0.0.0

    broadcast10.0.0.255

    #gateway10.0.0.1

    Aunque lo normal es que eth0 obtenga la direccin IP de forma automtica al iniciar el equipo puedes hacerlomanualmenteejecutando:

    #dhclienteth0

    Configuracindelnombredelequipo.

    Paraconfigurarelnombredelequipohayquemodificarelfichero/etc/hostnameeindicarelnombredelequipo.

    ConfiguracindelservidorDNS.

    Existendos formaspara la resolucindenombres: de forma local o a travsdeun servidor denombres (DNS).Para la resolucin de nombres de forma local se utiliza el fichero /etc/hosts en donde se guarda el nombre y ladireccinIPdelasmquinaslocales.Porejemplo:

    127.0.0.1localhost.localdomainlocalhost

    193.147.0.29www.mec.es

    Paraestablecerlosservidoresderesolucindenombres(DNS)debeseditarelfichero/etc/resolv.conf.Porejemplo:

    nameserver8.8.8.8

    nameserver150.214.156.2

    Actualizarloscambios.

    Unavezrealizadalaconfiguracindelsistemaparaqueseapliquenloscambiosenlas interfacesderedhayquereiniciarelservicioohacerunreloadejecutando:

    #/etc/init.d/networkingforcereload

    Indicalaopcinincorrecta.

    Autoevaluacin

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 5/34

    Enelarchivo/etc/resolv.confseguardanlosservidoresdenombres.

    Elcomandoifconfigeslanicaformadeconfigurarlared.Enelfichero/etc/network/interfacesseguardalaconfiguracindelasinterfacesdered.ElservicioDHCPpermiteobtenerlaconfiguracinIPdeformaautomtica.

    Comandoping.

    1.1.4.Comprobacin.Para comprobar la conexin a Internet puedes ejecutar elcomando ping indicando como parmetro cualquier direccin deInternet.Porejemplo:

    $pingwww.google.es

    Si al realizar el ping se recibe respuesta entonces la comunicacin se est realizando correctamente. Si por elcontrarioindicaquetodoslospaquetessehanperdido(100%packetloss)debescomprobarlaconfiguracinderedo los parmetros de configuracin. En la figura anterior puedes ver como el servidor www.google.es respondecorrectamentealcomandoping.

    ParacomprobarlaconfiguracindelareddeformagrficaesposibleutilizarlasHerramientasdered.ParaelloenelmenSistema>AdministracinejecutalaaplicacinHerramientasdered.

    La aplicacin Herramientas de red incluye informacin relacionada con nuestros dispositivos de red. Permiterealizar ping a un determinado host. Incluye la posibilidad de ver el estado de las conexiones de mi equipo,utilizandonetstat.Permiteutilizartracerouteparaverlarutaentremiequipoyunequiporemoto.Tieneunapestaapara explorar puertos, que me permite analizar y/o visualizar los puertos que estn abiertos o cerrados de undeterminadoequipo.Tieneunherramientadebsqueda.Usandofingersepuedeautenticarlosusuariosqueestnsiendousadosenundeterminadohostdelared.Finalmenteconwhoissepueden identificar todos losdetallesdelaadquisicindeundeterminadodominio.

    1.2.iptables.La tecnologade firewalldeGNU/Linuxhaevolucionadodesdesencillos filtrosdepaquetes linealeshasta losmotoresactualesdeinspeccindepaquetesdeestado.LosncleosdeLinux2.0empleanunaimplementacindereglas de filtrado de paquetes que utilizan tres pilas: INPUT (trfico de entrada), OUTPUT (trfico de salida)yFORWARD(paquetesquese reenvanaotroequipo).Lospaquetes llegana lapartesuperiorde laspilasysefiltran a travs de las reglas hasta que exista una coincidencia.En este punto, cada paquete se puede aceptar,descartar, rechazar o reenviar. Si el paquete no coincide con ninguna de las reglas, pasa a la directivapredeterminada,quenormalmentedescartaelpaquete.

    Aunquelacapacidadnativadefirewallde losncleosdeLinux2.0eramsqueadecuadaparagenerar firewalls,enlasiguienteversindelncleo2.2apareciIpchainsqueincorpornuevasyeficacescaractersticas:permite la

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 6/34

    definicindenuevaspilasymejoralaadministracindelasreglasdeunapila.

    Apartirdeldesarrollodelncleo2.3, losprogramadoresdeLinuxcomenzaronatrabajareniptables(tambinllamadonetfilter). Iptablesmejor lasventajasdeadministracindeconjuntosdereglasalpermitirlacapacidaddecrearyanularasociacionesdeconjuntodereglasconsesionesexistentes.Coniptables,el firewallsepuedeprogramarparaasociarel trfico devuelto generado a partir de una regla INPUT anterior. El trfico que entracorrectamenteenelhostpuedesalirautomticamentedelhostalserdevuelto, indicandosimplementequegeneredinmicamenteunaregladedevolucin.

    Las ventajas de la tecnologa de inspeccin de paquetes de estado (SPI,State PacketInspection) no se limitan a la eficacia de las reglas. Ipchains no permite diferenciar la"verdaderanaturaleza"deltrficodelared.Porejemplo,unfirewall ipchainsprogramadopara permitir el trfico FTP de salida tambin tendr una regla INPUT asociada parapermitir la devolucin de paquetes. Si un atacante puede fabricar paquetes FTPdevueltos,Ipchainspermitesuentrada.ConSPInoexisteningunasesinparaasociarestospaquetesfalsificadosy,portanto,elfirewalllosrechazara.

    Nosehapodidocargarelcomplemento.

    Osiloprefierespuedesdescargarteeldocumentoexplicandolaconfiguracindeiptables.

    1.2.1.Resolucindelsupuestoprctico.AcontinuacinsevaaconfigurarelcortafuegosparaquepermitaquelaredInternapuedaconectarseaInternet.

    Paraestablecerqueelsistemaactecomorouterhayqueejecutar:

    #echo"1">/proc/sys/net/ipv4/ip_forward

    Limpialaconfiguracindelcortafuegos:

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 7/34

    #iptablesF

    #iptablestnatF

    Indicaquelaredinternatienesalidaalexteriorpor NAT:

    #iptablestnatAPOSTROUTINGs10.0.0.0/24d0/0jMASQUERADE

    Sepermitetodoeltrficodelaredinternaytodolodemssedeniega:

    #iptablesAFORWARDs10.0.0.0/24jACCEPT

    #iptablesAFORWARDmstatestateRELATED,ESTABLISHEDjACCEPT

    #iptablesAFORWARDjDROP

    Guardalaconfiguracindelcortafuegosejecutando:

    #iptablessave>/etc/iptables.rules

    Ymodificaelfichero/etc/sysctl.confparaestablecerlavariablenet.ipv4.ip_forward=1.

    Paracomprendermejoriptablessevaarealizarunamejoradelsupuestoenlaquelaredinternaslotieneaccesoalexteriorparaverpginasweb(puerto80/TCP)yparalaresolucindenombres(53/UDPy53/TCP).Adems,sevaapublicarunservidorwebinternoqueseencuentraenladireccin10.0.0.100.

    Limpialaconfiguracindelcortafuegos:

    #iptablesF

    #iptablestnatF

    IndicaquelaredinternatienesalidaalexteriorporNAT.

    #iptablestnatAPOSTROUTINGs10.0.0.0/24d0/0jMASQUERADE

    Sepermitesloeltrficoweb(80/tcp)yDNS(53/udpy53/tcp).Todolodemssedeniega:

    #iptablesAFORWARDs10.0.0.0/24pTCPdport80jACCEPT

    #iptablesAFORWARDs10.0.0.0/24pTCPdport53jACCEPT

    #iptablesAFORWARDs10.0.0.0/24pUDPdport53jACCEPT

    #iptablesAFORWARDmstatestateRELATED,ESTABLISHEDjACCEPT

    #iptablesAFORWARDjDROP

    Redirigeeltrficowebqueentraporlainterfazexterna(eth0)alservidordelaredinterna:

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 8/34

    #iptablestnatAPREROUTINGieth0ptcpdport80jDNATto10.0.0.100:80

    Guardalaconfiguracindelcortafuegosejecutando:

    #iptablessave>/etc/iptables.rules

    Finalmente,modificaelfichero/etc/network/interfacesyescribealfinal:

    preupiptablesrestore

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A% 9/34

    AsociacinfijadedireccionesIPaclientes,medianteelusodeladireccinMAC.Periododevalidezdelasasignaciones.Servidoresdenombresywins.SitienenonoautoridadparaasignardireccionesIP.

    1.3.1.Resolucindelsupuestoprctico.En primer lugar, es necesario realizar la instalacin delservidorDHCPejecutando:

    #aptgetinstalldhcp3server

    ConfigurarelservidorDHCPparalaasignacindinmicadedireccionesIP,detal formaquesepresteservicioa la red10.0.0.0/24y,porotro lado, realizarunareservaalporttilcondireccinMAC(AA.BB:CC:DD:EE:FF)paraqueseleasignesiempreladireccinIP10.0.0.254.

    Paracomenzarconlaconfiguracin,debesindicar losparmetrosgeneralesdelservidorycomunesalosequiposde lared, la informacinnecesariaparaquestesepacmocomportarse.As,sielservidordhcp.ejemplo.eseselque tiene laautoridadsobre la zona, sequierequeel tiempomximodeasignacindeunadireccin IPseadeunasemana(maxleasetime).Paraelloelfichero/etc/dhcp3/dhcpd.confdebetenerelsiguientecontenido:

    authoritative;

    oneleaseperclienton;

    serveridentifier10.0.0.1;

    defaultleasetime604800;

    maxleasetime604800;

    ddnsupdatestyleadhoc;

    Posteriormente,sedeben introducir losparmetrosgeneralesquese transmitirna losclientesde la red.La red10.0.0.0conlamscaradered255.255.255.0tienecomopuertadeenlaceladireccinIP10.0.0.1yquiereutilizarlosservidoresdenombres8.8.8.8y194.224.52.36.Adems,hayque tenerencuentael rangodedirecciones IPquedeseaasignarporDHCPqueenelejemploesdesdeladireccin10.0.0.100ala10.0.0.254.

    Apartirdeestosparmetrosdeconfiguracindebesescribirenelficherolasiguienteconfiguracin:

    subnet10.0.0.0netmask255.255.255.0{

    range10.0.0.10010.0.0.254;

    optionsubnetmask255.255.255.0;

    optionbroadcastaddress10.0.0.255;

    optionrouters10.0.0.1;

    optiondomainnameservers8.8.8.8,194.224.52.36;

    optiondomainname"miempresa.com";

    }

    Como se desea realizar la reserva de la direccin IP 10.0.0.254 para el porttil con la direccin MACAA:BB:CC:DD:EE:FFdebesaadirlassiguienteslneas:

    hostportatil{

    hardwareethernetAA:BB:CC:DD:EE:FF;

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 10/34

    PermitequelosclientesobtenganladireccinIPdeformaautomtica.PermiterealizarreservasdedireccionesIP.PermiteoptimizarlasdireccionesIPdelared.Permitedarunamayorseguridad.

    fixedaddress10.0.0.254;

    }

    Paracomprobarquelaconfiguracindelservidordhcpdseharealizadocorrectamenteejecuta:

    #dhcpd3eth1

    Siendoeth1lainterfazdereddondequierequeelservidordhcpdofrezcasusservicios.

    Unavezconfiguradocorrectamenteelservidor,iniciaelservicioejecutando:

    #servicedhcp3serverstart

    Finalmente,configuraelsistemaparaqueseinicieautomticamenteelserviciodhcpaliniciarelequipo:

    #chkconfigdhcp3serveron

    DeestaformaelservidordhcpdirasignandoautomticamentelasdireccionesIPalosequiposqueseconectenala red. Para comprobar las asignaciones que se han realizado puedes consultar elfichero/var/lib/dhcp3/dhcpd.leasesdonde,comopuedesveracontinuacin,semuestranlosdatosdecadaconcesindedireccinIP:

    DatosmsimportantesdelservicioDHCP.

    Nombredelservicio: dhcp3server

    Ficherodeconfiguracin: /etc/dhcp3/dhcpd.conf

    Concesionesdedirecciones: /var/lib/dhcp3/dhcpd.releases

    Comandosmsutilizados: dhcpd3dhclient

    QufuncinNOrealizaelservicioDHCP?

    2.Compartirarchivoseimpresoras(Samba).

    Autoevaluacin

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 11/34

    AnayJuanestncadaunoutilizandosuordenador.

    Juan, tengo aqu todos los documentos que me pediste pero ocupanmuchoespacioynotengoUSBcmotelospaso?

    Muyfcil,vamosacompartirunacarpetaporredymelopasas.

    Asdefcilcmosehace?

    Sambaes elmtodoms utilizado para permitir la integracin entresistemas,yaquepermitequelosequiposWindowsyGNU/Linuxpuedancompartircarpetaseimpresorasentres.

    Sambaes una coleccin de programas que hacen que Linux sea capazdeutilizarelprotocoloSMB(ServerMessageBlock)quees labaseparacompartir ficheros e impresoras en una red Windows. Los posiblesclientes para un servidor SMB incluyen Windows y otros sistemasGNU/Linux.

    Sambaestacompuestoportrespaquetes:sambacommon(archivoscomunes),sambaclient(cliente)ysamba(queeselservidor).Porlotanto,lospaquetesquenecesitasinstalardependendelusoquequierasdarlealequipo.

    Parainstalarelclienteyservidordesambaesnecesarioejecutar:

    #aptgetinstallsamba4smbclient

    Acontinuacin,iniciaelservicioejecutando:

    #servicesamba4start

    ParaqueSambafuncionecorrectamenteprimerodebesdardealtalosusuariosdelsistemayluegoconfigurarlosrecursosacompartir.

    2.1.Gestindeusuarios.Sambarealizaunagestindeusuariosindependientealadelsistemaoperativo.PorestaraznnecesitasdardealtaalosusuariosquevayanautilizarSamba.

    El comando smbpasswd se utiliza para administrar los usuarios deSamba, y suscontraseas.Lasintaxisdelcomandoes:

    #smbpasswdopcionusuario

    Dondeopciones laopcinarealizaryusuarioeselnombredelusuarioconelquequierestrabajar.

    Casoprctico

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 12/34

    As por ejemplo, para aadir el usuario juan debes ejecutar el comando smbpasswd a juan e introducir sucontrasea:

    #smbpasswdajuan

    NewSMBpassword:

    RetypenewSMBpassword:

    Addeduserjuan.

    Yparaeliminarlohayqueejecutar:

    #smbpasswdxjuan

    Deleteduserjuan.

    Parapoderaadirunusuarioensambastetienequeexistirenelsistema.Paradardealtaunusuarioenelsistemautilizaelcomandoadduser.

    Para ver todos los usuarios de Samba en las primeras versiones bastaba con ver el contenido delfichero /etc/samba/smbpasswdpero en las actuales versiones los usuarios y contraseas seguardanen la basededatosdeSamba.

    ParaverlosusuariosdeSambadebesejecutarelsiguientecomando:

    #pdbeditwL

    juan:500:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3527DA04C3D767E36C618ED59764BD43:[U]:LCT4B661D14:

    encarni:503:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:0D7F1F2BDEAC6E574D6E18CA85FB58A7:[U]:LCT4C6569B6:

    2.2.Compartircarpetas.Para compartir una carpeta hay que modificar el fichero de configuracin desamba /etc/samba/smb.conf. En la siguiente tabla puedes ver las opciones msimportantesparacompartircarpetas.

    El ejemploms sencillo que se puede realizar es compartir una carpeta de formapblicaparatodoslosusuarios.Paraelloaada:

    [publico]

    path=/publico

    public=yes

    readonly=yes

    Opcionesmsutilizadasdesmb.conf.

    Opcin. Comentario.

    [recurso] Nombredelrecursocompartido.

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 13/34

    browseable Indicasisepuedeexplorardentrodelrecurso.Losposiblesvaloressonnoyyes.

    comment Proporcionainformacinadicionalsobreelrecurso(noafectaasuformadeoperar).

    createmode Especificalospermisospordefectoquetienenlosficheroscreados.

    directorymode Especificalospermisospordefectoquetienenlosdirectorioscreados.

    forceuser Especificaelusuariopropietarioquetienenlosficherosycarpetasquesecrean.

    forcegroup Especificaelgrupopropietarioquetienenlosficherosycarpetasquesecrean.

    guestok Indicasisepermiteelaccesoausuariosannimos.Losposiblesvaloressonnoyyes.

    path Carpetaacompartir.

    public Indicasieldirectoriopermiteelaccesopblico.Losposiblesvaloressonnoyyes.

    readonly Indicaqueeldirectorioesslolectura.Losposiblesvaloressonnoyyes.

    validusers

    Indicalosusuariosquepuedenaccederalacarpeta.Paraaadirungrupoentonceshayqueponerelnombredelgrupoprecedidodela@.

    writable Indicaquesepuedemodificarelcontenidodelacarpeta.

    writelist Indicalosusuariosquepuedenmodificarelcontenido.

    Osiloprefieres,puedesestablecerqueelrecursoseaaccesiblesolamenteporunosdeterminadosusuarios:

    [miscosas]

    path=/datos/

    comment=Datosyaplicaciones

    validusers=juan,encarni,@master

    Lgicamentelosusuariossehantenidoquecrearpreviamenteyelgrupomasterdebeexistirenelfichero/etc/group.

    master:x:502:juan,encarni

    Acontinuacinseamplaelejemploperoestableciendoelpermisodeescrituraparaelusuario juanyelpermisodelecturaparaelusuarioencarniyelgrupomaster.Adems,cuandounusuariocreaunficheroocarpetastesecreaenelsistemaconunpropietario(juan:juan)yunosdeterminadospermisos(770).

    [miscosas]

    path=/datos/

    comment=Datosyaplicaciones

    validusers=juan,encarni,@master

    writeable=yes

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 14/34

    Opcionesdelservidor.

    writelist=juan

    readlist=juan,@master

    forceuser=juan

    forcegroup=juan

    createmode=770

    directorymode=770

    Cuandosecomparteunacarpetaesnecesarioestablecer lospermisosenel ficherodeconfiguracinyenelsistemadeficheros.Paraellopuedesutilizarloscomandos:chmod,chownychgrp.

    Finalmente,paraqueseapliquenloscambiosreiniciaelservicio:

    #servicesamba4restart

    2.3.Compartirimpresoras.Existen dos formas de compartir las impresoras que se encuentran conectadas al equipo para que las puedanutilizartodoslosclientesdelared:atravsdelaherramientagrficasystemconfigprinteroutilizandosamba.

    Existen impresorascon tarjetade redquepermitena losclientes imprimirdirectamentesinnecesidaddeningnservidor.

    systemconfigprinter

    La herramienta Impresoras, que se encuentra dentro delmen Sistema > Administracin, permite compartir lasimpresorasdelsistemadeunaformagrfica.Aliniciarlaherramienta,elsistemamuestralasimpresorasactivas.

    Lastareasmsfrecuentesquesepuedenrealizanson:

    CompartirlasimpresorasatravsdeInternet.Paraqueotrosequipos puedan utilizar las impresoras del servidor ve almenServidoryseleccionaConfiguracin.En laventanaquesemuestra activa la casilla Publicar impresorascompartidasyPermitirlaimpresindesdeInternet.Compartiruna impresora. Selecciona la impresora quedeseascompartir,pulsaelbotnderecho,seleccionePropiedadesyenlapestaaControldeaccesoindica losusuariosquepuedenutilizarlaimpresora.Administrarlosgruposdeimpresin.Permitequevarias impresorasformenunmismogrupo,deformaquecuandoseenvauntrabajoseproceseenlaimpresoraqueseencuentredisponible.Paragestionarlostrabajosdelaimpresoraseleccionalaimpresora,pulsaelbotnderechoyseleccionaVer la colade impresin.En laventanaqueaparecepermiteveryadministrar todos los trabajosde laimpresora.

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 15/34

    Samba

    ParacompartirunaimpresorahayqueaadirenelficherodeconfiguracindeSamba/etc/samba/smb.confunnuevorecursosiguiendolasiguienteestructura:

    [printers]

    comment=Allprinters

    path=/var/spool/samba

    browseable=no

    printable=yes

    public=no

    writable=no

    createmode=0700

    ElaccesoalasimpresorasGNU/LinuxdesdeWindowsfuncionadelamismaformaquelosdirectorios.Elnombrecompartido es el nombre de la impresora Linux en el fichero printtab. Por ejemplo, para acceder a laimpresoraHP_laserjet,losusuariosdeWindowsdeberaccedera\\smbserv\HP_laserjet.

    Amododeresumen,enlatablasemuestranlosparmetrosutilizadosenlaseccin[printers].

    Opcionesmsutilizadasdesmb.conf(seccinprinters).

    Parmetro. Comentario.

    comment Proporcionainformacinsobrelaseccin(noafectaalaoperacin).

    pathEspecificalarutadeaccesoalacoladeimpresinospool(quepordefectoes/var/spool/samba).EsposiblecrearundirectoriodespoolparaSambayhacerqueapunteal.

    browseable Comoconlosdirectoriosraz,siindicaNOseaseguradequeslopuedenverlasimpresoraslosusuariosautorizados.

    printable SedebeponerYES,sinosehaceasnofuncionarnlasimpresoras.

    public SiseponeYES,cualquierusuariopodrimprimir(enalgunasredesseponeNOparaevitarlaimpresinexcesiva).

    writable Lasimpresorasnosonescribibles,porlotantoescribaNO.

    2.4.Asistentesdeconfiguracin.Dado el gran uso que se realiza de Samba para compartir informacin entre sistemas Windows y GNU/Linux,existenvariasinterfacesquefacilitanelprocesodeconfiguracindelsistema.Lasinterfacesmsimportantesson:

    Swat.EsunainterfazwebespecficaparaadministrarSamba.Pararealizarlainstalacindebesejecutar:

    #aptgetinstallswat

    Finalmente, inicia el navegador y escribe la direccin http://127.0.0.1:901 y aparece la interfaz deadministracindeswat.

    Webmin.Comosiemprewebminpermiteconfigurarcualquierserviciodelservidor.Paraaccederalmdulo

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 16/34

    Administracindesambautilizandoswat.

    deconfiguracinpulseenServers.SambaWindowsFileSharing.

    systemconfigsamba. Por ltimo, tambin dispones de la herramienta de xWindows para administrarsamba.Parainstalarladebesejecutar:

    #aptgetinstallsystemconfigsamba

    Adems,esnecesarioinstalarlassiguientesdependencias:

    #aptgetinstallgksupythongtk2pythonglade2

    2.5.Cliente.Ademsdeactuarcomoservidordeficheros,elequipopuedeutilizarsecomoclienteparaaccederalosrecursoscompartidosquehayenotrosservidores.

    Existen varias formas para acceder desde GNU/Linux a carpetas e impresorascompartidas.La formamssencillaesmediantedosprogramasclientequevienenen la instalacin de Samba: smbclient y smbprint. Aunque esta solucin funciona,est algo limitada, particularmente en el acceso a ficheros. Smbclient proporcionauna formasimilaraunservidorFTPparaaccederaun recurso remotocompartido.NopermiteelusodecomandosnormalesdeUnixcomocpymvparamanipular losficheros y, por lo tanto, no permite acceder a los recursos compartidos de otrasaplicaciones (a diferencia de los sistemas de ficheros remotos montadoscon NFS, que aparecen para las aplicaciones GNU/Linux como sistemas deficheroslocales).

    EsteproblemasepuedeevitarmontandoelsistemadeficheroscompartidossambaenGNU/Linux,comosehaceconsistemasdeficherosNFSylocales.

    La formams sencilla de acceder a un recurso compartido de Samba esmontarlo en una carpeta y as poderaccederalcontenidodelrecursodelamismaformaquelohacesconcualquierotracarpetadelsistema.

    Para montar el recurso primero hay que crear la carpeta donde se va a montar el recurso y luego ejecuta elcomandomount.

    $mkdir/prueba

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 17/34

    $mounttcifsouser=usuario,pass=contrasena//10.0.0.1/recurso/prueba

    Donde:

    tcifs.Indicaeltipodeficherosquesevaautilizarqueenestecasoescifs.ouser=usuario,pass=contrasena.Indicaelnombredelusuarioylacontraseaconlaquiereacceder.//10.0.0.1/recurso.IndicaladireccinIPyelnombredelrecursoalquequieresacceder./prueba.Eseldirectoriodondesevaamontarelrecursocompartido.

    Paraversisehamontadocorrectamenteel recursopuedesejecutarelcomandomountoentraren lacarpetayversucontenido.

    Paraqueel recursosemonteautomticamenteal iniciarelequipohayqueaadiral fichero /etc/fstab lasiguientelnea:

    //10.0.0.1/recurso/pruebacifsrw,username=login,password=pass00

    Dondeusernameypasswordespecificanelnombreylacontraseadelusuarioconelqueaccederalservidor.

    DatosmsimportantesdelservicioSamba.

    Nombredelservicio: samba4

    Ficherodeconfiguracin: /etc/samba/smb.conf

    Comandosmsutilizados: smbpasswdsmbclientpdbeditmount

    Puertosutilizados: 137/UDP,138/UDP,139/TCPy445/TCP

    3.NFS.

    AnavisitaaJuanporquetieneunproblema

    Juan,tengoquehacerquedosservidorescompartaninformacinentresyhepensadoenutilizarSAMBAtalycomomeenseastehacepoco.Eslamejoropcin?

    Samba esta pensado para compartir carpetas e impresoras entreequipos Windows. Si ambos equipos son GNU/Linux lo mejor es queutilicesNFS que es un servicio mucho ms seguro. Mira te enseo autilizarlo,esmuyfcil!

    NFS(NetworkFileSystem)esunservicioquepermitequelosequiposGNU/Linuxpuedancompartircarpetasentres.ElservicioNFSsebasaenelmodelocliente/servidordeformaqueunservidorcomparteunacarpetaparaquelosclientespuedanutilizarla.Deestaforma,unavezqueunclientemontaunacarpetacompartidapuedeutilizarlanormalmentecomosisetrataradeunacarpetadelsistemadeficheroslocal.

    Parainstalarelservicionfsdebesejecutar:

    Casoprctico

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 18/34

    #aptgetinstallnfskernelservernfscommonportmap

    Antesdeiniciarlaconfiguracinhayqueiniciarelservicioejecutando:

    #servicenfskernelservicestart

    3.1.Compartirunacarpeta.Para indicar los directorios que se desean compartir hay que modificar el fichero/etc/exportsdelasiguienteforma:

    (permisos)(permisos)...

    Los permisos que se pueden establecer son:rw (lectura y escritura) y ro (lectura).Porejemplo,paracompartirlacarpeta/datosparaqueelequipo192.168.20.9puedaacceder en modo lectura y escritura, y el equipo 192.168.20.8 tan slo puedaaccederenmodolecturaseescribe:

    /datos192.168.20.9(rw)192.168.20.8(ro)

    LacarpetasecompartesolamentealaIPestablecidaenelfichero/etc/exportsporelusuarionfsnobody.

    De forma que la carpeta que estas compartiendo tiene que tener los permisos para el usuario nfsnobody. Paraestablecerlospermisosejecuta:

    #chmod660/datosR

    #chownnfsnobody/datosR

    #chgrpnfsnobody/datosR

    Como el usuario nfsnobody tiene un UID y GID diferente en cada equipo es recomendable asignarle el mismoidentificadormodificandolosficheros/etc/passwdy/etc/groupstantoenlosequiposclientescomoservidores.

    Unavezcompartidalacarpeta,reiniciaelservicioejecutando:

    #servicenfskernelservicerestart

    3.2.Configuracindelcliente.Paraaccederal directorioquecomparteel servidorhayquemontarlo, ya seamanualmente,oautomticamentealiniciarelequipo.

    Paramontarelsistemadeficherosenelclientehayqueejecutar:

    #mount192.168.20.100:/datos/prueba

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 19/34

    Telnet.Samba.NFS.

    Donde:

    192.168.20.100:/datoseslacarpetaquesehacompartidoenelservidorenelfichero/etc/exports./mnt/trabajoeslacarpetadondesemontalacarpetacompartida.

    Sideseasmontarlacarpetaautomticamentealiniciarelsistema,hayquemodificarelfichero/etc/fstabaadiendolasiguientelnea:

    192.168.20.100:/datos/pruebanfsrw,hard,intr00

    Donde:

    rw. Indica que se monta el directorio en modo lectura/escritura. Para montarlo slo en modo lecturaescribaro.hard. Indicaquesi al copiarun ficheroen la carpeta compartida sepierde la conexinconel servidor sevuelvaainiciarlacopiadelficherocuandoelservidorseencuentreactivo.intr.Evitaque lasaplicacionessequeden"colgadas"al intentarescribiren lacarpetasinoseencuentraactiva.

    DatosmsimportantesdelservicioNFS.

    Nombredelservicio: nfs

    Carpetascompartidas: /etc/exports

    Comandosmsutilizados: mount

    Puertos: 2049/TCPy2049/UDP

    QuserviciospermitecompartirdatosconotroequipoLinux?

    MostrarInformacin

    4.Accesoremotoalsistema.

    Pufff,Hemospuestoel servidoren laplantadearriba y cadavezque tengoque instalar algo tengoquesubirarealizarlatarea.Estoycansadadetantasescaleras!

    Porqunolohacesdeformaremota?

    Cmosehaceeso?

    Muy fcil, nosconectamosporsshoporvncal equipo y lo utilizamos directamente desde cualquierordenador.Cuandoterminemoselcaf,vamosyteenseo.

    Autoevaluacin

    Casoprctico

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 20/34

    PginaoficialopenSSH.

    LosserviciosmsutilizadosparaaccederdeformaremotaaunsistemaGNU/Linuxson:

    Telnet.Permiteaccederalsistemadeformaremotadeunamaneranosegura.Open SSH. Permite acceder al sistema por terminal, pero de forma segura ya que se cifran lascomunicaciones.

    VNC. Mientras que los servicios telnet y SSH permiten conectarse al servidor por medio de unterminal, el servidor VNC permite utilizar el servidor utilizando el escritorio instalado en elsistema:GNOMEoKDE.

    4.1.SSH.SSH es un protocolo que permite conectarse de forma segura a unservidorparapoderadministrarlo.Enrealidad,esmsqueeso,yaquese ofrecen ms servicios como la transmisin de ficheros, elprotocoloFTPseguroe,incluso,sepuedeusarcomotransportedeotrosservicios.

    ElprotocoloSSHgarantizaquelaconexinserealizadesdelosequiposdeseados (para lo que usa certificados) y establece una comunicacincifrada entre el cliente y el servidor, mediante un algoritmode cifradorobusto (normalmente con 128 bits) que se utilizar paratodoslosintercambiosdedatos.

    AcontinuacinvasavercmoinstalaryconfigurarelservicioOpenSSHporserelservidorSSHmsutilizado.

    AlserSSHelmecanismomsfrecuenteparaaccederaunservidor,OpenSSHseinstalapordefectoalrealizarlainstalacindelsistema.NoobstantepuedesrealizarlainstalacindeOpenSSHejecutando:

    #aptgetinstallssh

    Einiciarelservicioejecutando:

    #servicesshstart

    Finalmente,sideseasqueelservicioseejecuteautomticamentealiniciarelsistemaejecutars:

    #chkconfigsshon

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 21/34

    Para evitar los ataques de fuerza bruta, una de las mejores soluciones es utilizar fail2ban. Siutilizas fail2ban cuando se realizan 5 intentos fallidos de autentificacin en el sistema, fail2ban secomunicaconelcortafuegosiptablesybloqueatudireccinIP.

    fail2ban.

    Nosehapodidocargarelcomplemento.

    4.1.1.Configuracin.El servidor openSSH utiliza el fichero de configuracin /etc/ssh/sshd_config ynormalmentenoesnecesariomodificarlo.Losparmetrosmsimportantesson:

    PortyListenAdress. Por defecto el servicio ssh trabaja en el puerto 22 yresponde por todas las interfaces del sistema. Los siguientes parmetrospermitencambiarelpuertoyladireccin,enlasqueatenderpeticiones:

    Port22

    ListenAddress0.0.0.0

    PermitRootLogin.Establecesisepermiteonoelaccesodelusuariorootalservidor.

    PermitRootLoginno

    Parasaberms

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 22/34

    ConexinremotaporSSHconPuTTY.

    AllowUsers. Permite restringir el acceso a los usuarios del sistema. Al utilizar elparmetroAllowUsersindicalosusuariosquepuedanaccederalsistema.

    AllowUserscesarsonia

    Tambinesposibleindicarelequipoanfitrindesdeelquepuedenconectarse.Enelsiguienteejemploslolosusuarioscesarysoniapuedenconectarsealservidordesdeelequipo10.0.0.2.

    [email protected]@10.0.0.2

    Mensajesdeentradayconexin:

    PrintMotdyes

    Banner/etc/issue.net

    Configuracindeseguridadycontroldeacceso:

    IgnoreUserKnownHostsno

    GatewayPortsno

    AllowTcpForwardingyes

    Usodesubsistemasparaotrasaplicaciones,comoporejemplo,FTP.

    Subsystemsftp/usr/lib/openssh/sftpserver

    Unavezconfiguradoelservidor,paraqueseapliquenloscambios,debesejecutar:

    #/etc/init.d/sshrestart

    4.1.2.Clientessh.Cuandose trabajaconservidores lonormalesadministrarlosde formaremotaatravsdeSSHoWebmin.SiutilizasunequipoLinuxyquieresconectartealservidortanslohayqueejecutar:

    $ssh

    DondeequipopuedeindicarelnombredelequipooladireccinIPdelmismo.

    SiutilizasWindowsyquieresconectartealservidorenGNU/LinuxlomejoresutilizarlaaplicacinPuTTY.

    Putty.

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 23/34

    Elcomandoscppermitecopiarficherosenequiposremotosatravsdesshscp/etc/passwd10.0.0.2:/root.

    Esposibleconfigurarelservidorparapermitirlautilizacindeloscomandossshyscpsinnecesidaddeescribirlacontrasea.Paramsinformacinvisitalasiguientepgina.

    SSHySCPsincontrasea.

    DatosmsimportantesdelservicioSSH.

    Nombredelservicio: sshd

    Ficherodeconfiguracin: /etc/ssh/sshd_config

    Hostalosqueselespermiteelacceso: /etc/host.allow

    EquiposautorizadosparaaccederporSSHsincontrasea: $HOME/.ssh/authorized_keys

    Comandosmsutilizados: ssh,scpysftp

    Puertoutilizado: 22/TCP

    4.2.VNC.VNC es un programa con licencia GPL que utiliza el modelocliente/servidor y permite acceder a un equipo remoto utilizando suentornogrfico.

    Pararealizarlainstalacindelservidorvncdebesrealizarlossiguientespasos:

    Instalaelservidordevncejecutando:

    #aptgetinstalltightvncserver

    Indicalacontraseadelservidorvncejecutandoelcomando:

    #vncpasswd

    Ejecutaelsiguientecomandoparacrearautomticamentelosficherosdeconfiguracineiniciarelservicio:

    #vncserver

    Parasaberms

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 24/34

    AccesoalservidorporVNCconVinagre.

    DatosmsimportantesdelservicioVNC.Nombredelservicio: vncserver

    Ficherodeconfiguracin: /etc/sysconfig/vncservers

    Comandosmsimportantes: vncpasswdvncserver

    Puertos: 6000/tcp,6001/tcp,6002/tcpy6003/tcp.

    4.2.1.Cliente.Para acceder al servidor puede utilizar cualquier cliente VNC. Porejemplo, en sistemas GNU/Linux puede utilizar Vinagre y ensistemasWindowspuedeutilizartightVNC.

    Vinagre(GNU/Linux).

    Si quieres acceder desde un equipoGNU/Linux a un servidor VNC, lamejoropcinesutilizarel clientevinagre.Parautilizar vinagre primerodebesinstalarloejecutando.

    #aptgetinstallvinagre

    VealmenAplicaciones,InternetyejecutalaaplicacinRemoteDesktopViewer.PulsaelbotnConnect, indicaladireccindelservidorVNC(porejemplo,10.0.0.1:5901)ypulsaConnectparaaccederalservidorVNC.

    tightVNC(Windows).

    tightVNC es un cliente/servidor VNC que se encuentra licenciado bajo GPL. Para acceder desde Windows alservidorVNCdeberealizarlossiguientespasos:

    DescargartetightVNC.

    tightVNC.

    InstalaenelequipoelvisortightVNC.EjecutatightVNCViewerquepuedesencontrardentrodelmendeaplicacionestightVNC.EntihgtVNCServerindicaladireccinIPdelservidoryelpuerto(porejemplo,10.0.0.1:5901).

    Finalmente, pulsa el botn Connect, introduce la contrasea del servidor VNC establecida durante elprocesodeinstalacinyyatienesaccesoalescritoriodelservidor.

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 25/34

    ElservicioSSHpermiteelaccesoremotoatravsdeunterminal.ElservicioVNCpermiteconectarmeaunequipodeformagrfica.ElservicioTelnetesseguro.ElprogramatightVNCpermiteconectarmeaunequipoWindows.

    Nosehapodidocargarelcomplemento.

    Indicalaopcinincorrecta.

    5.ServidorWeb.

    Para mejorar la imagen de la empresa vamos a tener nuestropropioservidorweb.Hastaahoraestbamosutilizandounservidorexterno pero como vamos a incorporar muchos nuevos servicios,vamosautilizarelnuestro.Juannecesitoquehagastesatarea.

    Deacuerdo, perohe vistoquehaymuchos servidoreswebCulutilizo?

    Aunque hay muchos servidores web, con diferencia, el ms

    Autoevaluacin

    Casoprctico

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 26/34

    PginawebdepruebadeApache.

    utilizado es Apache. As que lomejor es instalar Apache en el servidor. Adems, esmuy sencillo ypermiterealizarunmontndetareasconl.

    ParainstalarelservidorApachefcilmentedesde repositoriosejecutaelcomando:

    #aptgetinstallapache2

    Elservicioseiniciaautomticamente:

    #chkconfigapache2on

    Parainiciarahoraelservicio:

    #serviceapache2start

    Una vez instalado, apache publica automticamente el contenido del directorio /var/www. De esta forma, parapublicarunapginawebdebescrearlaendichodirectorio.

    Paraaccederalawebprincipaldelservidorescribeenlabarradedireccioneshttp://localhost/ohttp://direccin_ip/:

    Nosehapodidocargarelcomplemento.

    5.1.Instalarmdulophp.PHP es un lenguaje de programacin interpretado por el servidor de pginas web de forma que stas se

    puedengenerardeformadinmica.PHPnosloseutilizaparaestepropsito,sinoqueademssepuedeutilizar

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 27/34

    Ejecucindephpinfo().

    desdeunainterfazdelneadecomandosoparalacreacindeaplicacionesconinterfacesgrficas.

    Enladireccinweboficialdelproyectopuedesencontrarunaampliadocumentacinsobreellenguaje:manuales,sintaxisutilizada,interfazparalaprogramacindelasaplicaciones,etctera.

    SitiooficialdePHP.

    ParainstalarPHPautomticamenteejecuta:

    #aptgetinstallphp5

    Para comprobar que PHP se ha instalado con xito puedes crear unficherophpyubicarloeneldirectoriorazdelservidorweb.Porejemplopara mostrar toda la informacin til disponible y detalles sobre lainstalacinactualdePHP,editaelfichero/var/www//info.php.

    #nano/var/www/info.php

    Elcontenidodelficheroincluyeunasentenciaparaejecutarlafuncinphpinfo()quepermiteobtenerlainformacinsobreelmdulophp.

    As,alejecutarelficheroenunapeticin HTTPelservidorlanzalasentenciaymuestraelcontenidosolicitado,deformadinmica.AntesdeprobaraejecutaresteficheroreiniciaelservidorApache:

    #serviceapache2restart

    Ahoras,iniciaunnavegadorwebyescribeenlabarradedireccioneshttp://localhost/info.php.Comopuedesverenla siguiente figura, PHP se encuentra correctamente instalado. Si observas con detenimiento la informacinmostradapuedesver,porejemplo,quetrabajaatravsdeApache,losmdulosactualmentehabilitados,etctera.

    5.2.Configuracin.Laconfiguracindeapachesealmacenaeneldirectoriodeconfiguracin/etc/apache2.Acontinuacinsevanaverlasopcionesdeconfiguracinmsutilizadasparacadaunodelosficheros:

    /etc/apache2/ports.conf. Permite establecer los puertos de escucha para lascomunicacioneshttpnormales(puerto80)ylascomunicacionesseguras https(puerto443).

    Parasaberms

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 28/34

    Listen*:80

    Listen*:443

    /etc/apache2/apache2.conf.Unadelasopcionesmsimportantesesquese puede establecer el usuario y grupo al que pertenecen los procesos queejecutaelservidor:

    Userwwwdata

    Groupwwwdata

    Apachealmacenaenlacarpeta/etc/apache2/sitesavailablelaconfiguracindecadaunodelossitioswebdeapache.Pordefectoseencuentranlossitiosdefaultydefaultssl.Cadasitiotienelasiguienteestructura:

    ServerAdminservermaster@localhost

    #Servernamewww.miempresa.com#comentadoendefault

    DocumentRoot/var/www

    DirectoryIndexindex.htmldefault.html

    Donde:

    ServerAdmineselcorreoelectrnicodeladministradordelsitioweb.ServernameeselnombreFQDNdelsitioweb.Paraeldominiodefaultnose indicaningnnombre,peroparaatenderpeticionesespecficasdedominios(porejemplo,www.miempresa.com)ssedebeestablecer.DocumentRoot.Indicalaubicacindondeseencuentralaspginaswebdelsitio.DirectoryIndex.Indicaelnombredelosficherosqueenvapordefectoelservidorweb.

    Nuevositio

    Pordefectoelservidorwebpublicaeldirectorio/var/www/para todos losdominiosperoesposiblepersonalizardeforma independientecadadominio.Porejemplo,paraaadireldominiowww.miempresa.comquesealojaen lacarpeta /portales/miempresa hay que crear el fichero /etc/apache2/sitesavailable/miempresa.com con el siguientecontenido:

    ServerNamewww.miempresa.com

    DocumentRoot/portales/miempresa

    Activarelsitio

    #a2ensitemiempresa.com

    Yreiniciarelservidorweb

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 29/34

    Accesoalserviciohttps.

    #serviceapache2restart

    Lgicamenteparaqueel servidorwebatiendaundeterminadodominio laentradaDNS (porejemplo,www.miempresa.com)debeapuntaralservidorweb.

    Sitioseguro(https).

    Con el auge de los negocios en Internet se ha popularizado el uso decomunicaciones cifradas entre los clientes y el servidor Web, siendo latecnologadeencriptacinmsutilizadaelSecuritySocketLayer(SSL).

    Para poder utilizar una pgina segura bajo https hay que realizar lossiguientespasos:

    Activarelmdulossl:a1Activar el sitio defaultssl aunque si quieres puedes crear unnuevositioweb:a2Reiniciarelservidorweb:a3

    Unavezfinalizadoelproceso,accedeaunnavegadorwebyescribehttps://IP_Servidor.

    Puedesgenerartupropiocertificadodeseguridadutilizandoelcomandoopenssl.

    Para aprender a realizar ms operaciones sobre Apache es recomendable que consultes la webww.adminso.es

    www.adminso.es

    Porltimo,parainiciarypararelservidorwebpuedesutilizarelcomandoservicedeformaquesiquieresiniciarelservicioejecuta:

    #serviceapache2start

    Adems,puedespararelservicio(stop),reiniciarlo(restart)ovolveracargarlaconfiguracin(reload).

    DatosmsimportantesdelservidorApache.

    Nombredelservicio: apache2(Ubuntu)

    Ficherodeconfiguracin: /etc/httpd/conf/httpd.conf

    Directorioweb: /var/www(Ubuntu)

    Comandosmsutilizados: htpasswd

    Parasaberms

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 30/34

    Puertos: 80/tcpy443/tcp

    6.ServidorFTP.

    CarlosvaaveraJuanporquetieneunproblema.

    HojaJuan,mira,tengounproblemayesqueyahehecholawebdelaempresa pero no s cmo subirla al servidor. Cmo se hace?Te lamandoporcorreo?

    No,nohacefaltaelcorreo.Esmuchomsfcil!Mira,voyainstalarelservidorFTPyaspodrsconectarteyactualizar lawebde laempresacuandoquieras,

    Genial,vamosavercmolohaces!

    Vsftpd (VerySecureFTP)esun servidorFTPmuy pequeo y seguro.Para instalar el servidor FTP en el sistema debes de instalar elpaquete vsftpd (Demonio FTP muy seguro). Puedes realizar lainstalacinatravsdelalneadecomandosoatravsdesynaptic.

    #aptgetinstallvsfttpd

    Unavezinstaladoelpaquetedebesiniciarelservicioejecutando:

    #servicevsftpdstart

    Paracomprobarqueelservidorestfuncionandocorrectamentepuedesconectartealservidor:

    $ftplocalhost

    Connectedtolocalhost(127.0.0.1).

    220(vsFTPd2.3.0)

    Name(localhost:root):usuario

    331Pleasespecifythepassword.

    Password:

    230Loginsuccessful.Havefun.

    RemotesystemtypeisUNIX.

    Usingbinarymodetotransferfiles.

    ftp>ls

    200PORTcommandsuccessful.ConsiderusingPASV

    150Herecomesthedirectorylisting.

    rwrr110031003179Mar1518:00examples.desktop

    226DirectorysendOK.

    Casoprctico

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 31/34

    ftp>quit

    221Goodbye.

    Sielservidorestcorrectamenteinstaladoperonopermiteelaccesodesdeelexterior,esmuyposiblequenotengaselrouterconfiguradoparadejarpasareltrficodelservidorFTP.

    Para aprender a configurar y a proteger el servidor vsftpd es recomendable que consultes la webww.adminso.es.

    www.adminso.es

    NuncaconfigureselservidorFTPparapermitirelaccesoannimonipermitaslaescriturasinenjaularalosusuariosdelsistema.

    DatosmsimportantesdelservidorVSFTP.

    Nombredelservicio: vsftpd

    Ficherodeconfiguracin: /etc/vsftpd.conf

    Puertoutilizado: 21/tcp

    Nosehapodidocargarelcomplemento.

    Parasaberms

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 32/34

    ElservidorApachetrabajanormalmenteenlospuertos80y443.ElservidorFTPtrabajanormalmenteenelpuerto21.ElservidorApachetrabajanormalmenteenlospuertos80y445.ElservidorFTPpuedetrabajarenelpuerto44.

    Indicalaopcinincorrecta.

    AnexoI.Configuracindeiptables.Iptablespuedemanejarvariastablas,perolasmsimportantesson:

    Filter. Es la tabla predeterminada que permite el filtrado de las comunicaciones. La tabla Filter estcompuestaportrespilas:

    INPUT.Referenciaeltrficodeentrada.OUTPUT.Referenciaeltrficodesalida.FORWARD.Referenciaeltrficoqueelrouterreenvaaotrosequipos.

    NAT.Elservicioquepermitedaraccesoa Internetauna red interna.Esta tablapermitedefinirel tipodecomunicacionesentrelaredexternaylasredesinternas.LatablaNATtienedospilas:

    POSTROUTING. Permite establecer las comunicaciones desde la red interna al exterior. Porejemplo,parahacerquelaredinternatengaInternet.PREROUTING. Permite establecer las comunicaciones desde la red externa a la red interna. Porejemplo,seutilizaparaquedesdeelexteriorsetengaaccesoaunservidorinterno.

    Loscomandosbsicosdeiptablesson:

    iptablesL.Muestraelestadodelatablapredeterminada(filter).SiquiereverelestadodelatablaNATejecutaiptablestnatL.iptablesAj.Permiteaadirunareglaparaqueelcortafuegosrealiceunaaccinsobreuntrficodeterminado.iptablesDj.Permitequitarunaregladelcortafuegos.iptablesF.Limpialatabladecortafuegos.SiquiereslimpiarlatablaNATejecutaiptablestnatF.iptablesP.Permiteestablecerpordefectounaaccindeterminadasobreunapila.Porejemplo,siquieresquepordefectoel routerdeniegue todoel trficode lapilaFORWARDejecuta elcomandoiptablesPFORWARDDROP.

    Como se ha comentado antes, con el comando iptables A jpuedes definir la accin quequierasquerealiceelcortafuegosconundeterminadotrfico.En la tabla101puedesver losparmetrosqueseutilizanparaespecificareltrfico.

    LasaccionesquesepuedenrealizarenlatablaFILTERson:

    jACCEPT.Aceptaeltrfico.jDROP.Eliminaeltrfico.jREJECT.Rechazaeltrficoeinformaalequipodeorigen.jLOGlogprefix"IPTABLES_L".Registraeltrficoquecumpleloscriteriosen/var/log.

    LasaccionesquesepuedenrealizarenlatablaNATson:

    jMASQUERADE.Haceenmascaramientodeltrfico(NAT)deformaquelaredinternasalealexteriorconladireccinexternadelrouter.jDNATto.Seutilizaparaquedesdeelexteriorsetengaaccesoaunservidorqueseencuentraenlaredinterna.

    Autoevaluacin

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 33/34

    Tabla10.1.Parmetrosparaespecificarlasreglasdeiptables.

    Tabla10.1.Parmetrosparaespecificarlasreglasdeiptables.

    Elemento. Sintaxis. Ejemplo. Descripcin.

    Interfaz.

    i ieth0 Interfazdeentrada.

    o oeth1 Interfazdesalida.

    Direccin.

    s

    s10.0.0.0/24 Reddeorigen.

    d d0/0 Reddedestino.

    Puerto.

    p pTCP Tipodeprotocolo.Lasopcionesson:TCP,UDPoICMP.

    dport

    pTCPdport80

    Indicaelpuertodedestino.Enelejemplodehacereferenciaalpuertodedestinohttp(80/TCP).

    sport

    pUDPsport53

    Indicaelpuertodeorigen.EnelejemplosehacereferenciaalpuertodedestinoDNS(53/UDP).

    Estado.mstatestate

    mstatestateESTABLISHED

    Indicaelestadodelaconexin.Losposiblesestadosson:NEW,INVALID,RELATEDyESTABLISHED.

    Accin. j jACCEPTIndicalaaccinquesevaarealizarconundeterminadotrfico.Lasposiblesaccionesson:ACCEPT,DROP,REJECT,LOG,DNATyMASQUERADE.

    Deestaformapuedes"jugar"conlosparmetrosdeunadeterminadareglaparapoderespecificarlaaccinqueseaplica.Acontinuacinpuedesver tresreglas,parapermitirel trficoquereenvaelrouter,quevandesde lamsgeneralalamsespecfica:

    iptablesAFORWARDjACCEPT.Permitetodoeltrfico.iptables A FORWARD s 192.168.0.0/24 j ACCEPT. Permite slo el trfico de la red interna192.168.0.0/24.iptablesAFORWARDs192.168.0.0/24pTCPdport80jACCEPT.Permitesloeltrficodelaredinterna192.168.0.0/24enelpuerto80.

    Si deseas bloquear comunicaciones por su pas de origen te recomiendo que visites la pgina webipinfodb.com.

    ipinfodb.com

    Unavezconfiguradoelcortafuegosparaguardarlaconfiguracinejecuta:

    #iptablessave>/etc/iptables.rules

    Parasaberms

  • 15/5/2015 DAM_SI:SI10Completa.Administracindelared(LinuxIII).

    data:text/htmlcharset=utf8,%3Cdiv%20class%3D%22node%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontfamily%3A 34/34

    Dondeelfichero/etc//iptables.rulesguardalaconfiguracindeiptables.Silodeseaspuedesmodificarlodirectamenteycargarsuconfiguracinejecutando:

    #iptablesrestore


Top Related