MEMORIA DE PRCTICAS DEL LABORATORIO DE PROTOCOLOS DE COMUNICACIN NOMBRE DEL ESTUDIANTE: Carlos Cabascango, Vctor Echeverra NOMBRE DEL

DOCENTE: Eduardo Surez Cruz AISGNATURA: Protocolos de Comunicacin FECHA: 07-01-2013 UNIVERSIDAD: Universidad Central del Ecuador PROTOCOLOS DE CAPA SUPERIOR TELNET: Instalacin de paquetes yum install telnet-server telnet openssl-clients Configuraciones necesarias Como Telnet trabajo embebido con el demonio Xinetd entonces, editamos el archive: vim /etc/xinetd.d/telnet y cambiamos la variable: disable = yes por disable = no. Y eso es todo, iniciamos telnet desde los servicios, y el demonio xinetd nos aseguramos de que arranquen junto con el sistema al encenderse el computador, con el comando ntsysv y escogemos el servicio. No configuramos que se pueda iniciar sesin con la cuenta root, por seguridad. Por ultimo abrir los el puerto 23 por TCP, y el servicio telnet en el Firewall. SSH Acerca de SSH SSH (Secure Shell) es un conjunto de estndares y protocolo de red que permite establecer una comunicacin a travs de un canal seguro entre un cliente local y un servidor remoto. Utiliza una clave pblica cifrada para autenticar el servidor remoto y, de manera opcional, permitir al servidor remoto autenticar al usuario. SSH provee confidencialidad e integridad en la transferencia de los datos utilizando criptografa y MAC (Message Authentication Codes o Cdigos de Autenticacin de Mensaje). De modo predeterminado, escucha peticiones a travs del puerto 22 por TCP. Acerca de OpenSSH OpenSSH (Open Secure Shell) es una alternativa de cdigo fuente abierto, con licencia BSD, hacia la implementacin propietaria y de cdigo cerrado SSH creada por Tatu Ylnen. OpenSSH es un proyecto creado por el equipo de desarrollo de OpenBSD y actualmente dirigido por Theo de Raadt. Se considera es ms segura que la versin privativa Ylnen, gracias a la constante auditora que se realiza sobre el cdigo fuente por parte de una enorme comunidad de desarrolladores, una ventaja que brinda el Software Libre. OpenSSH incluye servicio y clientes para los protocolos SSH, SFTP y SCP. Instalacin de paquetes yum -y install openssh openssh-server openssh-clients yast -i openssh Configuraciones necesarias #ACTION SOURCE DEST PROTO DEST SOURCE # PORT PORT(S)1 ACCEPT net fw tcp 22 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Poltica ssh_chroot_rw_homedirs. Esta poltica habilita o deshabilita, la lectura y escritura de archivos a travs de SFTP en los directorios de inicio de los usuarios enjaulados. El valor predeterminado es deshabilitado. Para habilitar, ejecute lo siguiente: setsebool -P ssh_chroot_rw_homedirs 1 Poltica fenced_can_ssh. Esta poltica habilita o deshabilita, que usuarios enjaulados a travs de SFTP puedan ingresar tambin a travs de SSH. El valor predeterminado es deshabilitado. Para habilitar, ejecute lo siguiente: setsebool -P fenced_can_ssh 1 Poltica ssh_sysadm_login. Esta poltica habilita o deshabilita, el acceso a travs del servicio de SSH como administrador del sistema (contextos sysadm_r:sysadm_t, que corresponden a los del directorio de inicio del usuario root o bien que pueden ser aplicados al directorio de inicio de otro usuario con privilegios). El valor predeterminado es deshabilitado. Para habilitar, ejecute lo siguiente: setsebool -P ssh_sysadm_login 1 Poltica allow_ssh_keysign. Esta poltica habilita o deshabilita, el acceso a travs de ssh utilizando firmas digitales. El valor predeterminado es deshabilitado. Para habilitar, ejecute lo siguiente: setsebool -P allow_ssh_keysign 1 Archivos de configuracin. /etc/ssh/sshd_config: Archivo principal de configuracin del servidor SSH. /etc/ssh/ssh_config: Archivo principal de configuracin de los clientes SSH utilizados desde el anfitrin local. ~/.ssh/config: Archivo personal para cada usuario, que almacena la configuracin utilizada por los clientes SSH utilizados desde el anfitrin local. Permite al usuario local utilizar una configuracin distinta a la definida en el archivo /etc/ssh/ssh_config. ~/.ssh/known_hosts: Archivo personal para cada usuario, el cual almacena las firmas digitales de los servidores SSH a los que se conectan los clientes. Cuando stas firmas cambian, se pueden actualizar utilizando el mandato ssh-keygen con la opcin -R y el nombre del anfitrin como argumento, el cual elimina la entrada correspondiente del archivo ~/.ssh/known_hosts, permitiendo aadir de nuevo el anfitrin con una nueva firma digital. Ejemplo: ssh-keygen -R nombre.dominio.tld. ~/.ssh/authorized_keys: Archivo personal para cada usuario, el cual almacena los certificados de los clientes SSH, para permitir autenticacin hacia servidores SSH sin requerir contrasea. NTP Acerca de NTP NTP (Network Time Protocol) es un protocolo de entre los ms antiguos protocolos de Internet (1985) utilizado para la sincronizacin de relojes de sistemas computacionales a travs de redes, haciendo uso de intercambio de paquetes (unidades de informacin transportadas entre nodos a travs de enlaces de datos compartidos) y latencia variable (tiempo de demora entre el momento en que algo inicia y el momento en que su efecto inicia). NTP fue originalmente diseado y sigue siendo mantenido por Dave Mills, de la universidad de Delaware. NTP utiliza el algoritmo de Marzullo (inventado por Keith Marzullo), el cual sirve para seleccionar fuentes de origen para la estimacin exacta del tiempo a partir de un nmero determinado de fuentes de origen desordenadas, utilizando la escala UTC Instalacin de paquetes Ejecute lo siguiente para instalar o actualizar todo necesario: yum -y install ntp ntpdate Herramienta ntpdate Una forma muy sencilla de sincronizar el reloj del sistema con cualquier servidor de tiempo es a travs del mandato ntpdate. Se trata de una herramienta similar a rdate y se utiliza para establecer la fecha y hora del sistema utilizando NTP. El siguiente ejemplo realiza una consulta directa NTP, utilizando el mandato ntpdate con la opcin -u, para definir se utilice un puerto sin privilegios, hacia el servidor 0.pool.ntp.org. ntpdate -u 0.pool.ntp.org La opcin -u se utiliza cuando hay un cortafuegos que impide la salida desde el puerto 123/UDP o bien si el servicio ntp est funcionando y utilizando el puerto 123/UDP.

Archivos de configuracin Archivo /etc/ntp.conf Para sincronizar la hora de inmediato en este servidor recin configurado, ejecute: ntpdate -u 0.pool.ntp.org Archivo /etc/dhcp/dhcpd.conf editamos este archivo para la asignacin automtica a travs de un servidor DHCP Utilice la opcin ntp-servers para definir una lista separada por comas de todos los servidores NTP que se quiera utilizar en la red de rea local. Edite el archivo /etc/ntpd.conf: vim /etc/ntp.conf Aada o modifique el siguiente contenido: driftfile /var/lib/ntp/drift restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict -6 ::1 server 172.16.1.1 iburst includefile /etc/ntp/crypto/pw keys /etc/ntp/keys HTTP Acerca del protocolo HTTP HTTP (Hypertext Transfer Protocol o Protocolo de Trasferencia de Hipertexto), es el mtodo utilizado para transferir o transportar informacin a travs de la Red Mundial (WWW, World Wide Web). Su propsito original fue el proveer una forma de publicar y recuperar documentos HTML. El desarrollo del protocolo fue coordinado por World Wide Web Consortium y la IETF (Internet Engineering Task Force o Fuerza de Trabajo en Ingeniera de Internet), culminando con la publicacin de varios RFC (Request For Comments), de entre los que destaca el RFC 2616, mismo que define la versin 1.1 del protocolo, que es el utilizado hoy en da. Acerca de Apache Apache es un servidor HTTP, de cdigo fuente abierto y licenciamiento libre, que funciona en Linux, sistemas operativos derivados de Unix, Windows, Novell Netware y otras plataformas. Ha desempeado un papel muy importante en el crecimiento de la red mundial y contina siendo el servidor HTTP ms utilizado. Instalacin de paquetes Para instalar slo Apache, ejecute lo siguiente: yum -y install httpd Si se desea que Apache incluya soporte para PHP/MySQL, Perl, Python y SSL/TLS, ejecute lo siguiente: yum -y install php php-mysql mod_perl mod_wsgi mod_ssl Archivos de configuracin Archivo /etc/httpd/conf/httpd.conf Localice lo siguiente: AddDefaultCharset UTF-8 Cambie UTF-8 por Off: AddDefaultCharset Off Genere el archivo /etc/httpd/conf.d/ejemplos.conf: vim /etc/httpd/conf.d/ejemplos.conf Aada el siguiente contenido:Alias /ejemplo /var/contenidos/ejemplo Limitar el acceso a directorios por direccin IP. Si se requiere limitar el acceso de un directorio en particular, para que ste est disponible slo hacia ciertas direcciones IP o bloques de red, defina algo como lo mostrado en el siguiente ejemplo: Alias /ejemplo /var/contenidos/ejemplo <Directory "/var/contenidos/ejemplo"> Order deny,allow Deny from all Allow from 127.0.0.0/8 192.168.70.0/25 Options Indexes AllowOverride all </Directory> El ejemplo anterior establece que el orden de acceso, donde primero se aplicarn las reglas de denegacin y luego las que permitirn el acceso y que se denegar el acceso a todo el mundo, permitiendo el acceso slo desde 127.0.0.0/8 y 192.168.70.0/25. Limitar el acceso por usuario y contrasea. La autenticacin para directorios, contra un archivo que incluya nombres de usuario y claves de acceso, que tambin puede combinarse con el acceso por direccin IP, se realiza a travs de la siguiente sintaxis: AuthName "Acceso slo para usuarios autorizados" AuthType Basic Require valid-user AuthUserFile /cualquier/ruta/hacia/archivo/de/claves Lo anterior puede ser incluido en la configuracin existente para cualquier directorio o bien en archivo .htaccess. Genere el directorio /var/www/privado/ ejecutando lo siguiente: mkdir -p /var/www/privado Genere un archivo denominado arbitrariamente /etc/httpd/conf.d/ejemplo-autenticar.conf: vim /etc/httpd/conf.d/ejemplo-autenticar.conf Aada con el siguiente contenido: Alias /privado /var/www/privado <Directory "/var/www/privado"> Options Indexes AllowOverride All Order allow,deny Allow from all </Directory>

DNS Acerca de Bind (Berkeley Internet Name Domain). BIND (acrnimo de Berkeley Internet Name Domain) es una implementacin del protocolo DNS y provee una implementacin libre de los principales componentes del Sistema de Nombres de Dominio, los cuales incluyen: Un servidor de sistema de nombres de dominio (named).

 Una biblioteca resolutoria de sistema de nombres de dominio. Herramientas para verificar la operacin adecuada del servidor DNS (bind-utils). El Servidor DNS BIND es utilizado de manera amplia en Internet en aproximadamente el 99% de los servidores DNS del mundo, proporcionando una robusta y estable solucin. Bind:Incluye el Servidor DNS (named) y herramientas para verificar su funcionamiento. bind-libs:Bibliotecas compartidas, que consisten en rutinas para aplicaciones para utilizarse cuando se interacte con Servidores DNS. bind-chroot: Contiene un rbol de archivos que puede ser utilizado como una jaula chroot para named aadiendo seguridad adicional al servicio. bind-utils: Coleccin de herramientas para consultar Servidores DNS. Instalacin de paquetes Si se utiliza CentOS 6 o Red Hat Enterprise Linux 6, se puede instalar Bind 9.7 utilizando lo siguiente: yum -y install bind bind-chroot bind-utils Ajustes para Bind 9.7. En los sistemas operativos que utilicen Bind 9.7 y versiones posteriores, para poder hacer uso del paquete bind-chroot, se requiere generar la firma digital de 512 bits (el valor predeterminado es 128 bits) para el servidor. Ejecute lo siguiente: rndc-confgen -a -r /dev/urandom -b 512 -c /etc/rndc.key Cambie las pertenencias para que este archivo sea propiedad del usuario y grupo named: chown named:named /etc/rndc.key Asegure que los permisos de acceso sean lectura y escritura para usuario, slo lectura para grupo y nada para otros, es decir un permiso 640 (rw-r----):chmod 640 /etc/rndc.key Mueva los componentes del paquete bind hacia las rutas correspondientes dentro del directorio /var/named/chroot, para luego generar los enlaces simblicos correspondientes, los cuales sern utilizados por las herramientas de configuracin como system-config-bind o bien Webmin. Cambie hacia el directorio /var/named: cd /var/named Ejecute lo siguiente: Cambie hacia el directorio /etc: for f in named.* data dynamic slaves cd /etc do Ejecute lo siguiente: mv $f ./chroot/var/named/ for f in named.* rndc.key ln -s /var/named/chroot/var/named/$f ./ do done mv $f /var/named/chroot/etc/ ln -s /var/named/chroot/etc/$f ./ done Regrese al directorio de inicio de root: cd /root Archivos de configuracin. Archivo /etc/named.conf Archivo /var/named/chroot/etc/named.conf Ejemplo de Zona de reenvo red local /var/named/chroot/var/named/data/red-local.zone Ejemplo de Zona de resolucin inversa red local /var/named/chroot/var/named/data/1.168.192.in-addr.arpa.zone Ejemplo de Zona de reenvo del dominio /var/named/chroot/var/named/data/dominio.com.zone Ejemplo de Zona de resolucin inversa del dominio /var/named/chroot/var/named/data/1.161.201.in-addr.arpa.zone Preparativos para aadir dominios. Idealmente se deben definir primero los siguientes datos: 1. Dominio a resolver. 2. Servidor de nombres principal (SOA). ste debe ser un nombre que ya est plenamente resuelto, y debe ser un FQDN (Fully Qualified Domain Name). 3. Lista de todos los servidores de nombres (NS) que se utilizarn para efectos de redundancia. stos deben ser nombres que ya estn plenamente resueltos y deben ser adems FQDN (Fully Qualified Domain Name). 4. Cuenta de correo del administrador responsable de esta zona. Dicha cuenta debe existir y debe ser independiente de la misma zona que se est tratando de resolver. 5. Al menos un servidor de correo (MX), con un registro A, nunca CNAME. 6. IP predeterminada del dominio. 7. Sub-dominios dentro del dominio (www, mail, ftp, ns, etc.) y las direcciones IP que estarn asociadas a stos. SMTP (POSTFIX) Acerca de Postfix Postfix, originalmente conocido por los nombres VMailer e IBM Secure Mailer, es un popular agente de transporte de correo (MTA o Mail Transport Agent), creado con la principal intencin de ser una alternativa ms rpida, fcil de administrar y segura que Sendmail. Fue originalmente escrito por Wietse Venema durante su estancia en el Thomas J. Watson Research Center de IBM. Acerca de Dovecot Dovecot es un servidor de POP3 e IMAP de fuente abierta que funciona en Linux y sistemas basados sobre Unix y diseado con la seguridad como principal objetivo. Dovecot puede utilizar tanto el formato mbox como maildir y es compatible con las implementaciones de los servidores UW-IMAP y Courier IMAP. Instalacin de paquetes Instalar los paquetes postfix, dovecot, cyrus-sasl y cyrus-sasl-plain: yum -y install postfix dovecot cyrus-sasl cyrus-sasl-plain Definiendo Postfix como agente de transporte de correo predeterminado. El mandato alternatives, con la opcin alternatives--config mta, se utiliza para conmutar el servicio de correo electrnico del sistema y elegir que paquete utilizar. Slo es necesario utilizar ste si previamente estaban instalados Sendmail o Exim. S este es el caso, ejecute lo siguiente desde una terminal y defina Postfix como agente de transporte de correo (MTA, Mail Transport Agent), seleccionado ste: alternatives --config mta SELinux y Postfix. A fin de que SELinux permita a Postfix escribir el el directorio de entrada de correo electrnico (/var/spool/mail/), es necesario habilitar la siguiente poltica:setsebool -P allow_postfix_local_write_mail_spool 1 Generando firma digital y certificado. Acceda al directorio /etc/pki/tls/: cd /etc/pki/tls/ Los servidores de correo electrnico, como Sendmail y Postfix, pueden utilizar una firma digital creada con algoritmo DSA de 1024 octetos. Para tal fin, se crea primero un archivo de parmetros DSA: openssl dsaparam 1024 -out dsa1024.pem A continuacin, se utiliza este archivo de parmetros DSA para crear una llave con algoritmo DSA y estructura x509, as como tambin el correspondiente certificado. En el ejemplo a continuacin, se establece una validez por 1095 das (tres aos) para el certificado creado. openssl req -x509 -nodes -newkey dsa:dsa1024.pem -days 1095 -out certs/smtp.crt -keyout private/smtp.key

La creacin de la firma digital y certificado para Dovecot es ms simple, pero requiere utilizar una clave con algoritmo RSA de 1024 octetos, con estructura X.509. En el ejemplo a continuacin, se establece una validez por 1095 das (tres aos) para el certificado creado. openssl req -x509 -nodes -newkey rsa:1024 -days 1095 -out certs/dovecot.pem -keyout private/dovecot.pem openssl x509 -subject -fingerprint -noout -in certs/dovecot.pem Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de solo lectura para el usuario root: chmod 400 private/dovecot.pem certs/dovecot.pem Configuracin de Postfix y archivos de configuracin Editar el archivo /etc/postfix/master.cf: vim /etc/postfix/master.cf A continuacin, se debe editar el archivo /etc/postfix/main.cf: vim /etc/postfix/main.cf Se debe editar tambin el archivo /etc/aliases:vim /etc/aliases Se debe definir que el correo del usuario root se entregue al cualquier otro usuario del sistema. El objetivo de esto es que jams se tenga necesidad de utilizar la cuenta del usuario root y se prefiera en su lugar una cuenta de usuario sin privilegios. Al terminar, se ejecuta el mandato postalias para generar el archivo /etc/aliases.db que ser utilizado por Postfix:postalias /etc/aliases Configuracin de Dovecot y archivos de configuracin Parmetros del archivo /etc/dovecot/dovecot.conf. Edite el archivo /etc/dovecot/dovecot.conf y descomente el parmetro protocolos, estableciendo como valor pop3 imap lmtp. protocols = imap pop3 Parmetros del archivo /etc/dovecot/conf.d/10-ssl.conf. En el archivo /etc/dovecot/conf.d/10-ssl.conf, descomente las siguientes lneas: ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem Soporte para LMTP. Edite el archivo /etc/dovecot/dovecot.conf y aada lmtp a los valores del parmetro protocolos, de la siguiente forma. protocols = imap pop3 lmtp A fin de poder hacer uso de LMTP de manera apropiada, es necesario aadir el siguiente parmetro en el archivo /etc/postfix/main.cf: virtual_transport = lmtp:unix:/var/run/dovecot/lmtp O bien ejecutar lo siguiente: postconf -e 'virtual_transport = lmtp:unix:/var/run/dovecot/lmtp' SAMBA yum -y install samba samba-client samba-common Se debe editar el archivo: vim /etc/samba/smb.conf, las variable principales: workgroup = WORKGROUP //Es el nombre de trabajo que tienen las maquinas Windows server string = Samba Server Version %v //Ver la version de Samba security = share //Las opciones del directorio que se compartira con Windows, el usuario debe estart creado en ambos nodos, de Linux y Windows. [Myshare] path = /samba/shares browsable = yes writable = yes valid users = viktor Luego crear el directorio por el que se va a copartir documentos, en nuestro caso es: mkdir -p /samba/shares Luego a este archivo, le damos los permisos 777 asi: chmod 777 /samba/shares Luego si queremos crear un archivo, y que este se pueda editar en windows, debe poseer los permisos respectivos, o ser el dueo del archivo el usuario correspondiente que consta como usuario valido en nmb.conf. Finalmente darle las dictivas de samba al directorio as: chcon -t samba_share_t /samba/shares Y el directorio est listo para compartir archivos. Es necesario abrir los puertos del 135 al 139 por TCP y UDP y el puerto 445 por TCP. LDAP Acerca de LDAP en modo SSL/TLS. El inicio de la operacin StartTLS en un servidor LDAP, establece la comunicacin TLS (Transport Layer Security o Seguridad para Nivel de Transporte) a travs del mismo puerto 389 por TCP. Provee confidencialidad en el transporte de datos e proteccin de la integridad de datos. Durante la negociacin, el servidor enva su certificado con estructura X.509 para verificar su identidad. Opcionalmente puede establecerse la comunicacin. La conexin a travs del puerto 389 y 636 difiere en lo siguiente: Al realizar la conexin por puerto 636, tanto el cliente como el servidor establecen TLS antes de que se transfiera cualquier otro dato, sin utilizar la operacin StatTLS. La conexin a travs de puerto 636 debe cerrarse al terminar TLS. Generando clave y certificado. cd /etc/openldap/cacerts La creacin de la llave y certificado para OpenLDAP requiere utilizar una clave con algoritmo RSA de 1024 octetos y estructura x509. En el ejemplo a continuacin, se establece una validez por 730 das (dos aos) para el certificado creado. openssl req -x509 -nodes -newkey rsa:1024 -days 730 -out slapd.crt -keyout slapd.key Es indispensable que todos los archivos de claves y certificados tengan permisos de acceso de solo lectura para el usuario ldap: chown ldap.ldap /etc/openldap/cacerts/slapd.* chmod 400 /etc/openldap/cacerts/slapd.* Parmetros de /etc/openldap/slapd.conf. Se deben descomentar los parmetros TLSCACertificateFile, TLSCertificateFile y TLSCertificateKeyFile establecendo las rutas hacia el certificado y clave. Opcionalmente se puede descomentar la directiva referral para indicar el URI (Uniform Resource Identifier o Identificador Uniforme de Recursos) del servicio de directorio superior como ldaps en lugar de ldap. TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt TLSCertificateFile /etc/openldap/cacerts/slapd.crt TLSCertificateKeyFile /etc/openldap/cacerts/slapd.key referral ldaps://midominio.org

SNMP (NAGIOS): Referencia: http://www.server-world.info/en/note?os=CentOS_6&p=download http://serverfault.com/questions/272817/nrpe-unable-to-read-output http://linuxtargz.blogspot.com/2011/12/nrpe-unable-to-read-output-y-sudo.html http://www.server-world.info/en/note?os=CentOS_6&p=nagios&f=2 http://www.server-world.info/en/note?os=CentOS_6&p=nagios&f=3 http://www.encuentroalternativo.com/check_nrpe-error-could-not-complete-ssl-handshake/ http://www.taringa.net/posts/linux/15233153/instalando-nagios-core-3_2_-plugins_-nrpe_-nscient-Ubuntu.html http://nagioses.blogspot.com/2009/03/nrpe.html http://translate.googleusercontent.com/translate_c?depth=1&hl=es&ie=UTF8&prev=_t&rurl=translate.google.com.ec&sl=en&tl=es&u=http:/nagios.source forge.net/docs/3_0/monitoring-linux.html&usg=ALkJrhigUUMV0jhPiIzccfwJZx5kOOqZ1g http://translate.google.com.ec/translate?sl=en&tl=es&js=n&prev=_t&hl=es&ie=UTF8&eotf=1&u=http%3A%2F%2Fnagios.sourceforge.net%2Fdocs%2F3 _0%2Fmonitoring-publicservices.html http://linuxtoolkit.blogspot.com/2010/07/encountering-checknrpe-error-could-not.html http://lifeofageekadmin.com/configure-snmp-for-rhel-6/ http://www.alcancelibre.org/staticpages/index.php/como-linux-snmp http://www.redes-seguridad.com.ar/2012/03/addon-nrpe-para-ejecutar-plugins-de.html Instalacin de paquetes yum --enablerepo=epel -y install nagios nagios-plugins nagios-plugins-all //Se debe instalar el repositorio de EPEL. Y comenzamos a configurar: vim /etc/httpd/conf.d/nagios.conf # line 15-19: change like follows ( change line 32-36 too as follows ) # Order allow,deny # Allow from all Order deny,allow Deny from all Allow from 127.0.0.1 10.0.0.0/24 Editar el archive /etc/nagios/objects/localhost.cfg, hay que cambiar localhost por el nombre del servidor y la direccin 127.0.0.1 por la direccin Ip del servidor, si se desea se puede aumentar el monitoreo de mas servicios. Para monitorear otro servidor: vim /etc/nagios/nagios.cfg # line 52: uncomment cfg_dir=/etc/nagios/servers chmod 750 /etc/nagios/servers mkdir /etc/nagios/servers vi /etc/nagios/servers/oui03srv.cfg chgrp nagios /etc/nagios/servers Dentro de este, se describe misma informacin que posee el archivo localhost.cfg, con la diferencia que vamos esta vez a utilizar otra herramienta que se llama NRPE, entoces un ejemplo de cmo deben ir los servicios es: define service{ use generic-service host_name node01 service_description Current Users check_command check_nrpe!check_users } define service{ use generic-service host_name node01 service_description Total Processes check_command check_nrpe!check_total_procs } Etc. Ahora vamos a instalar NRPE. yum --enablerepo=epel -y install nrpe yum --enablerepo=epel -y install nagios-plugins-nrpe Editamos: vim /etc/nagios/nrpe.cfg allowed_hosts=127.0.0.1,192.168.100.98,192.168.100.98 command[check_users]=/usr/lib/nagios/plugins/check_users -w 5 -c 10 command[check_load]=/usr/lib/nagios/plugins/check_load -w 15,10,5 -c 30,25,20 command[check_hda1]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/hda1 command[check_zombie_procs]=/usr/lib/nagios/plugins/check_procs -w 5 -c 10 -s Z command[check_total_procs]=/usr/lib/nagios/plugins/check_procs -w 150 -c 200 command[check_lv_root]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/mapper/VolGroup-lv_root Importante editar el archivo commands.cfg define command{ command_name check_nrpe command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$ } Ya tenemos editado el script para el monitoreo: vim /etc/nagios/servers/oui03srv.cfg Hay que tener en cuenta algunas cosas por ejemplo, las direcciones de los servidores nagios en allow_hosts, que este habilitado el puerto 161 y 162 por UDP y el 5666 por TCP, este ltimo es del nagios, Ademas cada vez que se adiera un servicio se debe tambin implementar el respectivo comando, para el servicio. Ademas permitir en el archivo, /etc/sudoers y poner comentario a # Defaults requiretty. Por ultimo si se edito otro usuario que no se nagiosadmin, entonces hay que darle los permisos necesarios, y esto lo hacemos editando el archivo /etc/nagios/cgi.cfg.